Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties
Bron: Security Focus

Di-Fosfor schrijft: "Larry Ellison, de CEO van Oracle, maakte vorige maand in zijn Comdex toespraak de bewering dat Oracle versie 9i onkraakbaar is. Door een zogenaamde unieke verzameling van maatregelen zou het database pakket absoluut veilig zijn. Niet alleen Larry, die wel vaker van dit soort impulsieve uitspraken doet, maar ook de complete PR-afdeling van Oracle gaat mee in deze bewering.

Ironisch genoeg demonstreerde David Litchfield van NGS Software tijdens een black-hat meeting in Amsterdam hoe makkelijk het is om door middel van buffer overflows administratieve rechten te krijgen. Hij heeft de bugs in het 'onfeilbare' software pakket inmiddels aan Oracle bekend gemaakt, en wacht met verdere publicatie tot Oracle een patch uitbrengt":

Larry ellison, Oracle CEO Larry Ellison, CEO of Oracle, recently revealed a phenomenal aspect of the Oracle architecture that is unique in the world: It is unbreakable! During his keynote address at Comdex, Ellison told the audience that they could "keep their Microsoft Outlook, and we will make it unbreakable; and unbreakable means you can't break it, and you can't break in."

The very same day that Ellison boasted that no one could break into Oracle, David Litchfield of NGSSoftware found several exploitable vulnerabilities in the Oracle 9i Application Server. Ironic, huh? During an impromptu gathering at the recent Blackhat Security Briefings in Amsterdam, I watched him exploit 9iAS to remotely create an administrative user on the server. I also saw examples of unchecked buffers where overflows could be used to run other arbitrary code on the box. By the end of the demonstration, he covered four exploits against 9iAS that could allow an attacker to gain remote root.

Security Focus gaat dieper in op de kwestie in een column van Tim Mullen.

Moderatie-faq Wijzig weergave

Reacties (57)

Was te verwachten natuurlijk dat men dit zou gaan proberen na een uitspraak van "wij zijn niet te kraken".
Als het je lukt om een beveiliging te maken waar je zelf nog niet doorheen zou komen dan ben je daar trots op. Je gaat dan dingen zeggen als, "onkraakbaar", je weet in je achterhoofd wel dat men het zal gaan proberen, er niet rekening mee houdend dat het ook binnen de kortste keren lukt. De manier waarop dat is gebeurd is ook wel erg lullig, na de patch die je kunt verwachten zal het wel behoorlijk waterdicht zijn, hopen dat ze er dan de volgende keer wat langer over doen.
De manier waarop de boel gekraakt is wijst IMO op een zeer stupide, zelfingenomen software afdeling. Als je zo'n uitspraak durft te maken over een stuk software, dan zou je op z'n minst een audit op de source gedaan moeten hebben, al was 't alleen maar om alle bufferoverflows er uit te halen. En dat zijn de meest voorkomende problemen met security. Eigenlijk dus ook nog eens een software afdeling die slecht programmeert.
je zou zoiets dus uberhaupt nooit moeten zeggen, je kan nooit zeker weten of iets inderdaad onkraakbaar is. Ik ben van mening dat dat ook nooit het geval is, al was het alleen maar omdat er toch voor de administrator een mogelijkheid moet zijn om in het systeem te komen....

Jammer dat ze dit soort uitspraken doen, en goed dat ze worden teruggefloten, al is de manier waarop wel pijnlijk.

edit:
iets leesbaarder gemaakt
Jit bedoelde dat een buffer overflow de eerste poging om ergens in te breken is en dat ze op dat soort exploits beter hadden kunnen aan debuggen doen en dit vermijden.

Onfeilbaar bestaat eigenlijk maar je kan er wel naar toe streven door zoveel mogelijk bekende algemene exploits eruit te gooien
Was te verwachten natuurlijk dat men dit zou gaan proberen na een uitspraak van "wij zijn niet te kraken".
Dat is wel zo, maar het grappige was natuurlijk dat dat al 'per ongeluk' op dezelfde dag werd getoond... Dus waarschijnlijk wist men nog niets van Ellison's uitspraak!
Oracle is relatief weinig beveiligd, althans in versie 8. Als je daar root-rechten had kon je zonder veel problemen binnenkomen als System, dat is bijna zelfs de bedoeling.

Lekker is dat wanneer je de Unix rechten niet 1 op 1 wilt koppelen aan rechten om de database te veranderen.

Bij Sybase is dat beter geregeld, root heeft evenveel (even weinig eigenlijk) rechten om binnen te komen als een normale sterveling. Alleen met een truc kan het toch, maar dan moet je eerst de dataserver onderuit schoffelen en dat valt wel op.
The very same day that Ellison boasted that no one could break into Oracle, David Litchfield of NGSSoftware found several exploitable vulnerabilities in the Oracle 9i Application Server. Ironic, huh?
beetje beter lezen, het was niet NADAT Ellison dat gezegd had dat ze het vonden maar reeds DEZELFDE dag werd het getoond, dus was al eerder gevonden dan dat :+

edit:
in het vervolg best de replyes ook lezen denk ik :o
Misschien is het juist wel heel slim dat ze zo'n uitspraak gedaan hebben, want nu wil iedereen proberen om die software toch te kraken. En nu dat gelukt is, weet Oracle waar de fouten zitten. Een betere diagnostische test is er bijna niet.
Zoiets werkt natuurlijk als een rode lap op een stier. Dat wordt Hackers United, da's logisch.
Al is de code nog zo snel, de hacker achterhaald hem wel.
Voor een tijdje terug stond op webwereld dat de ptt digitale postzegels gaat verkopen en dat systeem zou ook 100% veilig zijn. Ik hou het er op dat er een aantal mensen zijn die gratis kerstkaarten kunnen versturen.
Om iets veilig te maken heb je een complexe codering nodig, maar als je een complexe codering maakt is de kans natuurlijk groter dat er fouten in zitten. Hackers hebben nu eenmaal tijd zat om de zwakke plek te zoeken, terwijl software developers vaak tegen een deadline aanlopen.
Moraal van het verhaal: Zeg niet wat je weet, maar weet wat je zegt.
Voor degenen die niet precies weten wat die Oracle 9i allemaal precies inhoud.
Het is meer dan alleen maar een database, het is nl. een hele suite met diverse onderdelen.

Wellicht een beetje overmoedig van Oracle om een suite met zoveel onderdelen onkraakbaar te noemen, maar een zo'n groot pakket met 'maar' 4 (ontdekte) exploits is nog niet eens zo slecht lijkt me. Als het gefixed is kunnen patches (wat je als Oracle gebruiker gewend bent om regelmatig te gebruiken) die problemen oplossen en is er geen vuiltje aan de lucht. (behalve een L E die weer eens loopt te stunten in een oude oostblok jet)
Maar hoevaak hebben we al niet gezien dat een patch weer andere problemen aan het licht brengt? :)

M'goed.. crap marketing.. typische marketing eigenlijk, sorry ;)
Yeah rite, on-'kraak'-baar.

Windows (NT/2000/XP) is net zo onkraakbaar als Oracle, alleen is het probleem dat iedereen probeert dit te hacken, daarom denkt iedereen dat Win xx niet veilig is... Zelfde geldt trouwens voor Unix & Linux, ook niet veilig & onkraakbaar, bestaat (helaas?) niet

-7
alleen is het probleem dat iedereen probeert dit te hacken, daarom denkt iedereen dat Win xx niet veilig is...
Ook al zoeken zoveel meer mensen naar bugs in Windows denk ik toch wel dat je kunt stellen dat sommige producten gewoon minder bugs *hebben* dan Windows. Vergelijk IIS en Apache bijvoorbeeld eens.. de laatste wordt *meer* gebruikt dan IIS, en er wordt ook driftig in naar exploits gezocht.. toch blijft IIS gewoon op een hoger aantal uitkomen. :)
Da's waar, maar inmiddels zijn we in zeer korte tijd al bij versie 5.1 van IIS terwijl er nog heel veel servers met versie 4 draaien.

Er zijn gewoon veel versies van IIS en men telt de bugs die gevonden worden in IIS bij elkaar op. Da's niet helemaal eerlijk.
Ja en? Apache zit ook niet meer op 1.0 hoor. ;)
Als je dan ziet dat de apache website gewoon op een alpha van Apache draait...
Default-install van OpenBSD komt anders een heel eind hoor....
Ja duh.. standaard staat alles uit :D. Dus JIJ komt niet zo ver met default OpenBSD install :).
Dan ga je je afvragen waarom het eigenlijk OpenBSD heet. Zou het niet beter ClosedBSD moeten zijn ofzo ;)
In een huis zonder ramen en deuren en met gepantserde muren kom je ook niet snel in, of het echt functioneel en prettig is is een andere vraag.
Toch wel een moedige zet van Oracle om te zeggen dat het pakket niet te kraken zou zijn. Alleen hoop ik dat ze, nu ze gekraakt zijn, er niet op zo'n spastische manier mee omgaan zoals veel bedrijven doen.
Moedige zet?

Eerder arrogantie en anders een slecht marketing truck.
Je kunt het ook zien als een goedkope manier om bugs te laten zoeken in je pakket. Hoef je zelf geen groot testteam te hebben, dat laat je gewoon over aan de experts. :)
Je kunt het ook zien als een goedkope manier om bugs te laten zoeken in je pakket. Hoef je zelf geen groot testteam te hebben, dat laat je gewoon over aan de experts.
Ten koste van een afgang, nadat je met veel bravoure hebt gezegd dat het onkraakbaar is? Lijkt mij nou niet echt een geslaagde marketing.
dadelijk is het geen white hat hacker maar iemand die het gelijk maar even public knowledge maakt... en dan zijn ze dus fucked...

tis niet moedig tis gewoon een domme uitspraak
Slechte publiciteit is ook publiciteit...

Bovendien, als er razendsnel een goed patch komt hebben ze weinig te verliezen...
Ten koste van een afgang, nadat je met veel bravoure hebt gezegd dat het onkraakbaar is? Lijkt mij nou niet echt een geslaagde marketing.
Zo lijkt het wel ja, maar denk eens aan ons aller bekende MicroSoft, hoe vaak zijn die niet op hun bek gegaan met uitspraken, bugs, security leaks etc... En wat gebruikt bijna iedereen? Juist, nog steeds MicroSoft producten. Dus de 'schade' valt wel mee, kan zelfs positief itvallen, want je hebt reclame!
people, relax
zoals JimmyPop al zei:
Als het je lukt om een beveiliging te maken waar je zelf nog niet doorheen zou komen dan ben je daar trots op. Je gaat dan dingen zeggen als, "onkraakbaar".
die kerel is fucking trots op z'n product. en terecht. 't is relatief superveilig, en dan gaat zo'n CEO dat niet verzwijgen. das juist een van de redenen om voor Oracle te kiezen.
hoe makkelijk het is om door middel van buffer overflows administratieve rechten te krijgen

buffer overflows, t zal ook s niet, t lijkt haast wel of niemand hier meer naar kijkt. in veel programma's werden en worden helaas nog steeds ernstige vulnerabilities gevonden dmv buffer overflows.

maar dat dit zelfs het geval zou zijn bij oracle's 9i, had ik niet verwacht. en dat dit zelfs dezelfde dag al bekend was, is helemaal schandalig. Of Larry ging voor de reclame en het goedkope gevarieerde testteam (heeft ook wel z'n voordelen) of hij is gewoon zo arrogant.
Larry arrogant? Je kent deze mop toch wel:

Q: What's the difference between God and Larry Ellison?
A: God knows he's not Larry Ellison

:)
Ik vind lekken in een systeem van deze complexiteit onvermijdelijk, maar het risico van buffer-overflow is afdoende bekend en zouden tijdens de bouw moeten worden afgevangen door de programmeurs
En achteraf is dit m.b.v. een syntax-controle op de source terug te vinden (in C-termen : zoeken op functies als "strcpy" i.p.v. "strncpy" enz.).
Helaas werken er nog erg weinig bedrijven met een goede software analyse/design/test fase. De hele industrie is momenteel nog erg amateuristisch (Op deze manier mag je toch ook geen gebouwen neer zetten???) Dus het is niet te verwachten dat we binnenkort van deze problemen af zijn.
(Snelle check van code hier wijst er op dat 6 van de 10 programmeurs niet goed met pointers en buffers om gaan... misschien toch tijd om van C af te stappen en met Java/smalltalk verder te gaan (ok assembly rekent ook met die programmeurs af }> )
Overigens lost een check op strcpy maar een zeer klein deel op, de meeste fouten komen (hier) door maintenance op ingewikkelde code die niet wordt begrepen (of door inhuur krachten die in 2 maanden een systeem moeten doorgronden en herbouwen...)

Laatste . in Amerika wordt code vaak zo moeilijk mogelijk gemaakt om voor 'job security' te zorgen...
wat mij nou het beste idee lijkt, is dat je gewoon helemaal geen beveiligingen maakt. Klink misschien wel erg dom (dat is het ook), maar waarom zou je zoveel tijd en geld in zo'n beveiliging steken. Er zullen toch altijd van die mafkezen overblijven die het toch proberen om beveiligingen te kraken. En het lukt ze altijd.
Het niet meer beveiligen is helemaal geen optie, want dat kan iedere idioot bij de data, en juist bij een database wil je dat niet.

Daarom kan je beter gewoon doorgaan met proberen, want dan maak je het in ieder geval zo moeilijk dat alleen de echt goede hackers/crackers uberhaupt een poging wagen en hopelijk niet binnen kunnen komen.

Neem mij, ik weet geen zak van hacken en daarom probeer ik het niet eens, maar als ik erachter kom dat Oracle bijvoorbeeld helemaal geen beveiliging heeft, zou ik toch ff gaan kijken wat er nou in de verschillende databases staat.
Hij heeft de bugs in het 'onfeilbare' software pakket inmiddels aan Oracle bekend gemaakt, en wacht met verdere publicatie tot Oracle een patch uitbrengt"
En daar mag Oracle heel blij mee zijn, want het is heel aanlokkelijk om deze bug openbaar te maken door de uitspraken van Larry.

Als een of andere vage groep Crackers achter deze bug was gekomen had Oracle veel meer problemen gehad behalve een beschadigd imago, want dan hadden ze de bug nooit openbaar gemaakt en waren ze lekker overal Admin aan het spelen en zo heel veel schade veroorzaken. Dat had Oracle veel geld kunnen kosten aan schadeclaims en aan gemiste verkopen.

Ik vind dit wel leuk, Larry vind ik nou niet echt een leuk persoon (zwak uitgedrukt) en ik vind het altijd leuk als arrogante mensen voor paal worden gezet (en er is geen schade natuurlijk).
In principe is dit alleen maar goed voor Oracle, ook wat betreft publiciteit, want eerst beweren ze onkraakbaar te zijn, en kennelijk zijn ze wat dat betreft wel een heel end, en nu die 'hacker' ze dan ook nog eens netjes heeft doorgegeven waar het zit kan Oracle bij de volgende patch roepen dat alles is opgelost en dan heeft de consument volgens mij ook meer vertrouwen.

edit:

voor een CEO ziet ie er wel cool uit
Trek em een Metallica T-shirt aan en geef em een gitaar :-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True