Rootkits für Datenbanken
Mit Rootkits können Hacker ihre Einbruchsspuren auch in Datenbanken verwischen. Sie verbergen angelegte Nutzer, verstecken Prozesse und machen Datenbankjobs unsichtbar.
Nicht zuletzt durch Sony BMGs fragwürdigen Kopierschutz sind Rootkits und deren Techniken mittlerweile hinreichend bekannt. Dass es neben Rootkits für Unix- und Windows-Systeme auch solche für Datenbanken gibt, ist allerdings nur wenigen geläufig. Alexander Kornbrust von Red Database Security hat bereits im April 2005 eine erste Demonstration eines Datenbank-Rootkits vorgestellt, durch das nicht mehr alle Nutzer und Prozesse einer Datenbank angezeigt werden.
Das Besondere dieser Rootkits liegt in der Unabhängigkeit vom Betriebssystem, da sie sich nur in der Datenbank einnisten; und die kann, wie etwa Oracle, unter Windows, Solaris und Linux laufen. Zudem sind Datenbanken mittlerweile mit so vielen Funktionen ausgestattet, dass sie fast schon ein eigenes Betriebssystem darstellen – allerdings ohne deren Sicherheitsfunktionen. Meist ist über besondere Schnittstellen auch der Zugriff auf die Resourcen des darunterliegenden Betriebssystems möglich.
Mittlerweile arbeitet Kornbrust an Version 2.0 seiner Rootkit-Demonstration, die er auf der kommenden Black-Hat-Konferenz in Las Vegas vorstellen will. Mit den Standardtools zur Administration soll die Tarnkappe nur noch schwer zu entdecken sein. Auch mit den herkömmlichen Security-Tools sei den Datenbank-Rootkits schwer zu Leibe zu rücken, da sie nur die üblichen Betriebssysteme oder Netzwerke analysieren könnten.
Kornbrust versteht sein Tool aber nicht als Hackingwerkzeug, sondern als Werkzeug zur Demonstration von Fehlkonfigurationen und Schwachstellen in bekannten Datenbankprodukten. Gerade weil Oracle und Microsofts SQL-Server immer größere Verbreitung finden, sei damit zu rechnen, dass diese bald vermehrt Angriffen ausgesetzt seien. Ende des vergangenen Jahres tauchte auch schon der erste so genannte Oracle-Wurm auf. Dem Voyager genannten Demonstrationscode fehlte allerdings eine eigene Verbreitungsroutine.
Ein kleine Serie auf heise Security beschäftigt sich mit Rootkits unter Windows. Nachdem der erste Teil die grundlegenden Techniken erläuterte, stellt Windows Rootkits 2005, Teil 2 eine innovative Konzeptstudie vor, die Speicherzugriffe auf Hardware-Ebene kontrolliert und damit unsichtbar für Security-Scanner ist. (dab)
