ORA-600 – Black Easter Eggs

ORA-600 - Kann ich meiner Datenbank noch trauen? DOAG - SIG Security Mannheim
Dienstag, 17. März 2016

Hat ein Anwender mehr als nur normale User Rechte erlangt, das kann er damit tun?
Welche Szenarien eines langsamen und versteckten katastrophalen Angriffs auf die Datenbank Umgebung lassen sich in der Datenbank und seiner Umgebung gut verbergen?
Was dagegen tun?
Wie viel Schutz ist überhaupt noch dagegen möglich?

 DOAG 2016 Konferenz- November 2016

DOAG - DOAG 2016 Konferenz- November 2016
Vom 15. bis zum 18. November 2016 fandt die 29. Auflage der DOAG Konferenz (Die größte Anwender Konferenz rund um alle Oracle Themen) in Nürnberg statt.

Mein Thema: Oracle SecurityRed Attack - Die Katastrophe in der Datenbank

  • Was kann ein User mit genügend Rechten in der Datenbank anrichten?
  • Mit welchen Tricks und Hintertüren kann eine Datenbank-Umgebung so bearbeitet werden, dass der Betrieb langsam aber sicher in der Katastrophe endet?
  • Wie kann sich ein Angreifer tarnen, damit er und der Angriff möglichst spät entdeckt wird?
  • Welche Fallen lassen sich in der System-Umgebung auslegen, um Spuren zu verwischen?
  • Was können wir aktiv dagegen unternehmen, um uns vor diesen Szenarien zu schützen?
  • Wo müssen wir ansetzen, um unserem System noch vertrauen zu können?
Im Vortrag wurden in einer Live Demonstration die Möglichkeiten aufgezeigt, wie ein potentieller Angreifer vorgehen kann. Auf Basis diese Wissen wird demonstriert, wie sich proaktiv entsprechende Schutzmaßnahmen aufzubauen lassen, um die Katastrophe zu verhindern.
Stichwort zum Thema: Ora-600 Code Injection Database Security Verschlüsselung
Details zur Oracle Datenbank und Oracle Primavera

Gunther Pipperr (c) 2016