Schwacher Passwortschutz in Oracle

Die Passwörter in Oracle-Datenbanken werden nur unzureichend durch ein leicht angreifbares Verfahren geschützt, berichteten Sicherheitsexperten auf einer Sicherheitskonferenz des SANS in Los Angeles.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Lesezeit: 2 Min.
Von

Die Passwörter in Oracle-Datenbanken werden nur unzureichend durch ein leicht angreifbares Verfahren geschützt, berichteten die Sicherheitsexperten Joshua Wright vom SANS und Carlos Sid von der Universität London auf einer Sicherheitskonferenz des SANS in Los Angeles.

Als so genanntes Salt für die Passwort-Hash-Berechnung, das dafür sorgen soll, dass ein und dasselbe Passwort mit unterschiedlichen Hashes abgebildet wird, besteht nur aus dem Benutzernamen – beispielsweise SYSTEM für das Systemkonto. Der Schlüsselraum verkleinert sich dadurch weiter, dass der Algorithmus die Zeichenketten in Großbuchstaben umwandelt. Der propietäre Hash-Algorithmus, der von Dritten analysiert und offen gelegt wurde, enthält selbst zwar keine Schwachstelle, die Berechnung der Hashes sollen sich jedoch sehr schnell durchführen lassen.

Auf einem Pentium 4 mit 2,8 GHz schafften die beiden Experten mit einer modifizierten OpenSSL-Variante, die Oracles Hash-Algorithmus nachbildet, 830.000 Passwörter in der Sekunde. Schlechtestenfalls benötigt ein Angriff auf einen Hash eines acht Zeichen langen Benutzernamens mit einem ebenfalls acht Zeichen langen Passwort so 38 Tage. Durchschnittlich seien Passwort-Hashes nach etwa 20 Tagen geknackt, hieß es. Durch den Einsatz von Rainbow Tables, also vorberechneten Passwörtern, lässt sich ein Angriff sogar auf wenige Minuten verkürzen. Da als Salt der Benutzername zum Einsatz kommt, lassen sich derartige Rainbow Tables für bekannte Konten wie SYSTEM anlegen.

An die Passwort-Hashes zu gelangen ist meist nicht kompliziert. Der Netzwerkverkehr zwischen Client und Datenbankserver lässt sich mitschneiden und auswerten, sofern keine Verschlüsselung zum Einsatz kommt. Die zahlreichen Updates für Schwachstellen in Oracle-Produkten an den Oracle-Patchdays belegen auch das Vorhandensein einiger SQL-Injection-Lücken, über die ein Angreifer an die Passwort-Hashes gelangen könnte.

In ihrem Dossier An Assessment of the Oracle Password Hashing Algorithm liefern die beiden Autoren einen Maßnahmenkatalog, mit dem die Oracle-Datenbankkommunikation trotz unsicheren Verfahrens abgesichert werden kann. So sollten für Web-Anwendungen nur unpriviligierte Benutzerkonten genutzt und der Zugriff auf Passwort-Hashes eingeschränkt werden. SELECT-Statements auf die DBA_USERS sollten überwacht, der Netzwerkverkehr auf dem Oracle transport network substrate (TNS) verschlüsselt sowie eine Mindestlänge von Datenbankpasswörtern erzwungen werden.

Siehe dazu auch: (dmk)