about News

News: Oracle Key Vault 12.2

Oracle Key Vault est une appliance pour la gestion des clefs de chiffrement et des certificats pour Oracle Database et les Middleware Oracle, mais pas seulement. La première version, la 12.1 est sortie été 2014, une nouvelle version 12.2 vient de sortir il y a quelque mois (fin 2016).

Key Vault c’est un coffre-fort de clefs, de wallets, de keystores et de certificats. Il permet de stocker de façon centralisée :

  • Les « master keys » de TDE (TDE (Part I)). Avant Key Vault, la « master key » était contenue dans une wallet (un fichier) locale à la base de données ce qui, dans le cas de RAC, Dataguard ou GoldenGate posait des problèmes de propagation de clefs. Il fallait gérer manuellement la recopie des wallets (sans se tromper de sens !).Il y avait aussi la possibilité d’utiliser un HSM réseau pour éviter la recopie manuelle et sécurisé par un hardware la clef. Avec Key Vault les clefs sont partageables entre plusieurs instances directement accessibles sur le réseau en passant par l’appliance.
  • Les wallets Oracle. Les wallets Oracle contiennent des clefs, des mots de passe, des certificats… C’est compatible avec Oracle Database et tous les produits middleware d’Oracle.
  • Les Java keystores.
  • Des fichiers Credential comme par exemple les clefs SSH ou des fichiers de mot de passe
  • Les fichiers de certificat répondant à la norme X.509

Lire la suite : News: Oracle Key Vault 12.2

12cR2: Liste des nouveautés accessibles en ligne

 La 12.2 pointe son nez. La documentation en ligne de la 12.2 est disponible avant même la sortie de la database: Documentation en ligne 12cR2. Elle n’est pas encore downloadable, elle est pour l’instant uniquement consultable en ligne, il faudra donc attendre pour une mise à jour de l’article L'encyclopédie du DBA.

Evidement l’information la plus intéressante à la sortie d’une nouvelle release, ce que le DBA Oracle attend avec impatience, c’est le lot de nouveauté qu’elle va apporter. La liste exhaustive pour la 12.2 est disponible ici : Nouveautés 12.2.

A la lecture de cette liste, il y a évidemment beaucoup moins de nouveauté que lors de la sortie de la 12.1 qui introduisait entre autres une petite révolution avec les containers databases et leur pluggable databases : avant la 12 plusieurs instances possibles pour une même base de données, après la 12 plusieurs instances possibles pour plusieurs bases de données.

Je ne vais pas lister ici toutes les nouveautés, loin de là, je vais me contenter par lister celles qui ont un impact/rapport sur des articles déjà écrit sur ce site.

Lire la suite : 12cR2: Liste des nouveautés accessibles en ligne

News: Le secret du H:

Ca y est je me suis monté un nouveau PC ! Tant mieux pour vous me diriez-vous mais quel rapport avec Oracle? Tout simplement : dans News: Problème de sécurité sur les passwords 12c j’avais alerté sur la facilité à "éventrer" le mot de passe H: stocké dans sys.user$, mais je n’avais pas réussi à le faire moi-même car je m’étais arrêté sur le fait que oclHashcat n’était pas compatible avec ma vieille carte graphique (et je savais que j'allais bientôt en changer). J’aurai peut-être pu avec Hashcat mais je n’avais pas trop cherché. Ma nouvelle configuration avec une carte graphique GTX 960 me permet donc d’utiliser oclHashcat pour résoudre le secret mis dans le MD5 du mot de passe H:, je me suis donc un peu plus investi, et le résultat a été payant.

Pour rappel d’après le document Best of Oracle Security 2015, le mot de passe hash H: est MD5(secret + ":" + password). Dans ce document qui est en fait un support de présentation il y a écrit que le secret est "par exemple" XDB.

Lire la suite : News: Le secret du H:

12c : (Pure) Unified Auditing

Une nouveauté de la 12c est l’audit unifié (Unified Audit Data Trail). Cette nouveauté n’a pas été très mise en avant par rapport à de nombreuses autres fonctionnalités, et pourtant elle est vraiment intéressante pour qui s’intéresse à la sécurité. Mais avant de parler de l’audit unifié, un petit rappel sur l’audit traditionnel peut être lu ici : Activation, Configuration et Lecture de l'Audit Standard et Fin . En résumé en version 11gR2 et antérieure, il n’existait pas d’audit global. Il y avait plusieurs types d’audit avec chacun leur règle d’implémentation et chaque type d’audit avait son stockage spécifique comme décrit dans le schéma ci-dessous :

Lire la suite : 12c : (Pure) Unified Auditing

News: Problème de sécurité sur les passwords 12c

Dans l’article La sécurité des mots de passe de février 2013, j’expliquais qu’il était important d’avoir une gestion des mots de passe, car il était aisé de les casser et surtout en 10g car ils étaient chiffrés en DES et je conseillais de forcer la génération du mot de passe qu’au format 11g dans la base car il était généré en SHA1 et donc soit disant plus dur à casser. Hélas ce n’est pas/plus vrai. En lisant une présentation sur le bilan annuel des problèmes de sécurité sur Oracle rencontrés en 2015: Best of Oracle Security 2015 de red-database-security.com, j’ai découvert le projet hashCat. HashCat et oclHashCat est un casseur de mot de passe il supporte plein d’algorithme et j’ai testé et effectivement il fonctionne très bien.

HashCat n’utilise que le CPU mais oclHashCat utilise en plus les GPU de vos cartes graphiques (Nvidia ou AMD). Les mot de passe Oracle les plus rapide à casser avec oclHashCat (version Nvidia CudaHashCat) c’est le format SHA1 de la 11g suivi de de celui de la 10g en DES et enfin « logiquement » les mots de passe de la 12c au format PBKDF2/SHA512. Pour donner une idée, avec un monstre de seulement 18.500$ (8 Nvidia GTX Titan X et 2 Inel Xeon E5-2600V3) red-database-security.com met pour casse un mot de passe de 8 caractères (alphanumerique seulement):

  • 8 minutes pour la version 10g
  • 58 secondes !!! pour la version 11g
  • 60 jours pour la version 12c

Au la vue du résultat dans un premier temps, on peut se dire, il faut rapidement passer sur la 12c pour enfin sécuriser les mots de passe, la différence de temps de cracking est énorme entre la 11g et la 12c.

Mais hélas tout n’est pas aussi rose. C’est ce que nous allons voir.

Lire la suite : News: Problème de sécurité sur les passwords 12c