M-A-O-L

Pete Finnigan und Alex Kornbrust machen gemeinsame Sache:

Alex and Pete are pleased to announce an exclusive and exciting limited opportunity to attend a 5 day Oracle Anti Hacker training in London from October 29th to November 2nd. The places are limited so don’t miss this unique opportunity.

Ich nehme mal an das bedeutet, dass beide Herren gemeinsam durch den Kurs führen werden. Das lohnt vermutlich sogar eine Reise nach London! Mal sehen, was sich machen lässt…

Aaron Newman, Gründer von von Application Security Inc., in einem Interview zum Thema Oracles Patching Policies:

You really need to refocus efforts away from new security features and onto how we fix these holes that have been around for years and years and port them to Oracle 8i or Oracle 9i or some of the other platforms that aren’t as critical. That’s what their problem is: They can patch problems quickly on 10g on Linux, but they take very, very long to back port that to Oracle 8i on the AIX platform and things like that. You have to support those people and that’s really the most critical thing I think they really need to address, rather than figuring out how to do a better auditing system.

Die grosse Anzahl Plattformen und Versionen ist sicher ein grosser Faktor bei der Reaktionszeit auf Bugs. Das Sicherheitsproblem aber einzig auf die Security Bugs zu reduzieren, wie es Newman tut, ist leider viel zu einfach. Auditing und Enterprise User Security oder Identity Management sind genauso wichtige Pfeiler in einer durchdachten Securitystrategie.
Langsam beginne ich Oracles Security-Kollegen zu verstehen, die mit manchen der Oracle-Hacker doch etwas Probleme haben.

Wieso IDS nur eine von mehreren Security-Massnahmen sein können: Interesting Payload to PLSQL exploit at Milw0rm von Paul Wright.

Instead of grant dba to scott the exploit payload inserts the values into sysauth$.
This will bypass many IDS signatures. David mentioned this to me quite a while ago and it is now public so better update those IDS rules.

Das Ganze anhand eines Exploits für Oracle 10g.

Im Zusammenhang mit Oracles Security Alert #68 taucht häufig das Wort Shell Code auf. Ein DBA mag da an die typischen Shellscripts denken, die sind aber nicht gemeint. Shell Code sind kurze Stücke Maschinencode, die der Hacker in seinem Exploit an die DB sendet, und dann via Buffer Overflow von Oracle ausführen lässt, um die Herrschaft über einen Server zu gewinnen.
Pete Finnigan hat mehr zum Thema in seinem Artikel Three great papers on shell codes and encoding and decoding: “If you want to understand how a hacker thinks and to understand the lengths that they will go to exploit applications including getting past filters then you need to read these papers. The two by Rix and obscou are superb and well worth reading. The paper by skylined that I found first is also excellent.”


[23:21] et-0nline (~mail@h180n2fls33o267.telia.com) joined #crux.
[23:22] <et-0nline> hello
[23:23] <maol> hi et-0nline
[23:28] <et-0nline> i want to become hacker how i do that
[23:29] <miba> et-0nline: first change your nick...
[23:29] <maol> et-0nline: second result on http://www.google.com/search?q=how+to+become+a+hacker
[23:29] <maol> http://www.catb.org/~esr/faqs/hacker-howto.html
[23:30] <will> lol
[23:30] <et-0nline> i know allso google.
[23:31] <et-0nline> are u makin narrow of me punk

Manchmal muss man einfach laut drauflos lachen. Vielleicht geht’s ja noch weiter, dann wüsste das auf jeden Fall MelOne Fruchtbot.