All your data are belong to us - FIST Conference 2007
-
Upload
christian-martorella -
Category
Technology
-
view
139 -
download
2
Transcript of All your data are belong to us - FIST Conference 2007
![Page 1: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/1.jpg)
Christian Martorella - Vicente DíazEdge-security
Fist Conference April 2007
1
![Page 2: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/2.jpg)
Indice
• Introducción a la seguridad de DB
• Motores de Bases de Datos
• Ataques internos
• Ataques externos
• Conclusiones
2
![Page 3: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/3.jpg)
Introducción
• ¿Qué es una base de datos?
• ¿Qué hay en una base de datos? ...
‣ Tras pensar en ello diez segundos, se entiende la necesidad de protegerlas
‣ Y de porqué hay tanta gente interesada en acceder a las mismas
3
![Page 4: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/4.jpg)
Valor de los datosTipo de dato Valor
Dirección 0.5
Telefono 0.25
Telefono no publicado 17.5
Móvil 10
Fecha de nacimiento 2
Educación 12
Historia crediticia 9
Detalles de bancarrota 26.5
Información judicial 2.95
Historial laboral completo 18
Archivo militar 35
Tarjetas de credito $1-6
Identidad completa $16-18
Disco duro con transferencias del Banco Central de Rusia.
1800
Historial de llamadas a través de moviles $110 - 200
30.000 Emails 5
4
![Page 5: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/5.jpg)
Valor de los datos
• La cantidad TOTAL de registros personales sensibles que estuvieron relacionados con incidentes de seguridad es de: 150,520,490.
• Éstos son los declarados obligados por ley en USA ... pero HAY MÁS PAISES!
5
![Page 6: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/6.jpg)
Motores de Base de datos
Oracle
SQL Server
DB2 Mysql
Postgresql
6
![Page 7: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/7.jpg)
DB - Market Shares
Oracle SQL ServerDB2 Otros
IDC 2003
Oracle SQL ServerDB2 Otros
Gartner 20057
![Page 8: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/8.jpg)
DB - Oracle
• Servidor de DB más popular
• Mayor cuota de mercado
• Uno de los primeros en entrar al mercado
• Multiples OS desde el principio
• Campaña Unbreakable 2001.
• Versiones más extendidas 9.2 y 10g.
8
![Page 9: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/9.jpg)
DB Engines - SQL Server
• Uno de los últimos en entrar al mercado.
• Es una evolución de Sybase
• Solo funciona sobre plataformas Windows
• Problemas de seguridad en el pasado (Slammer Worm)
• Pocos problemas en la actualidad, salvo de configuración.
9
![Page 10: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/10.jpg)
DB Engines - SQL Server
10
![Page 11: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/11.jpg)
Ataques internos
• Atacando Oracle
• DB-Links
• Atacando SQL Server
11
![Page 12: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/12.jpg)
Atacando Oracle desde el interior
• Identificar:
• Puertos
• SID
• Usuarios/Password, lista por defecto
• Escalada de privilegios, Sql Injection
12
![Page 13: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/13.jpg)
Atacando Oracle desde el interior II
• Detección de puertos, generalmente 1521
• Utilizar algún Scanner con identificador de servicios, nmap -sV
13
![Page 14: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/14.jpg)
Atacando Oracle desde el interior III
• Identificar SID:
• En caso de que el servicio LISTENER no esté protegido, con un simple comando “show services” obtendremos los SID de ese puerto. O con herramientas como Winsid, Integrigy Lsnrcheck.
• Si el LISTENER esta protegido, habrá que adivinar el nombre del SID por ataque de diccionario (Sidguess, OAK)
14
![Page 15: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/15.jpg)
Atacando Oracle desde el interior IV
• User/password:
‣ Las cuentas con máximos privilegios: SYS y SYSTEM.
‣ Hay otras cuentas con privilegios de DBA (ctxsys,wksys,mdsys,sysman)
‣ Existen listas con más de 400 cuentas!!
15
![Page 16: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/16.jpg)
Atacando Oracle desde el interior V
• Una vez dentro que hacemos?
• Escalar privilegios si no los tenemos, SQL Injection, Buffer Overflows.
• Explotar relaciones de confianza entre DB’s. DB-Links.
16
![Page 17: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/17.jpg)
Atacando Oracle desde el interior
• Ejemplo práctico 4 pasos....
17
![Page 18: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/18.jpg)
Atacando Oracle desde el interior - DB Links
• Es un objeto que permite realizar una conexión desde una base de datos a otra.
• Facilita el acceso a recursos en otras DB.
• A los atacantes les brinda facilidad de expansión...
18
![Page 19: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/19.jpg)
Atacando Oracle - DB Links
Select * from all_users;
Select * from all_users@sales;
19
![Page 20: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/20.jpg)
Ataques externos
• SQL Injection y Blind SQL Injection
• File upload and inclusion, Web frontend
• Obteniendo una DB completa (SQL Server)
• Database Rootkits
20
![Page 21: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/21.jpg)
Escenario actual
21
![Page 22: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/22.jpg)
Escenario actual II
22
![Page 23: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/23.jpg)
SQL injection
select nombre from productos where id = 1
union select user+’,’+password from user
23
![Page 24: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/24.jpg)
Blind SQL injection
24
![Page 25: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/25.jpg)
File Inclusion - File Upload Web frontend
• Esta vulnerabilidad se encuentra en el Top 10 de OWASP como la número 3.
• Muchas aplicaciones permiten subir ficheros, fotos, documentos, etc...
• Si logramos subir un fichero de scripting...
25
![Page 26: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/26.jpg)
File Upload -Web frontend
• Se puede crear un cliente SQL a través de http.
• Total interacción con la DB
• Veamos un ejemplo. . .
26
![Page 27: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/27.jpg)
DB Backdoor
• Procedimientos de la base de datos, creados para establecer un canal de conexión con el atacante.
• Utiliza las funciones de HTTP disponibles en las bases de datos.
27
![Page 28: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/28.jpg)
DB Rootkits
• Realizan algunas modificaciones a la base de datos SYS, lo que hace que Oracle NO muestre ciertos detalles, o modifique otros.
• Son bastantes sencillos pero efectivos
28
![Page 29: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/29.jpg)
Conclusiones
• Securizar las instalaciones de las DB
• Eliminar usuarios por defecto y cambiar contraseñas
• Segmentar las redes (vlans)
• Segregar las funciones de los usuarios, roles, privilegios, etc
• Logs y alertas
29
![Page 30: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/30.jpg)
Conclusiones II
• Reglas de firewall de salida (extrusión detection)
• Securizar los servidores web, y las aplicaciones.
• Realizar auditorías de seguridad para analizar la seguridad de nuestros sistemas, o evaluar la implementación de controles de protección.
30
![Page 31: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/31.jpg)
Referencias
• Saumil Shah One way Hacking
• www.databasecurity.com
• www.argeniss.com
• www.petefinnigan.com
31
![Page 32: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/32.jpg)
Muchas gracias por su atención.
32
![Page 33: All your data are belong to us - FIST Conference 2007](https://reader033.fdocuments.in/reader033/viewer/2022052906/558a988cd8b42a98358b4683/html5/thumbnails/33.jpg)
33