about News
12c : (Pure) Unified Auditing
- Détails
- Catégorie : News
- Publié le lundi 16 mai 2016 19:31
- Écrit par Administrator
- Affichages : 63749
[EDIT 13/06/2018: cet article s'applique pleinement à la version 12.1 non patchée 22782757. Des changements d'architecture de la table de l'audit trail ont eu lieu en 12.2 ou avec le patch 22782757 de la 12.1. Cela est décrit dans l'article: Unified Audit 12.2 vs 12.1 ]
Une nouveauté de la 12c est l’audit unifié (Unified Audit Data Trail). Cette nouveauté n’a pas été très mise en avant par rapport à de nombreuses autres fonctionnalités, et pourtant elle est vraiment intéressante pour qui s’intéresse à la sécurité. Mais avant de parler de l’audit unifié, un petit rappel sur l’audit traditionnel peut être lu ici : Activation, Configuration et Lecture de l'Audit Standard et Fin . En résumé en version 11gR2 et antérieure, il n’existait pas d’audit global. Il y avait plusieurs types d’audit avec chacun leur règle d’implémentation et chaque type d’audit avait son stockage spécifique comme décrit dans le schéma ci-dessous :
Activation, Configuration et Lecture de l'Audit Standard et Fin
- Détails
- Catégorie : Sécurité
- Publié le dimanche 15 mai 2016 13:21
- Écrit par Administrator
- Affichages : 18973
Cet article a pour but d’expliquer ce qu’est l’audit sous notre SGBD préféré. Il s’applique donc aux bases Oracle de la version 10g à 11gR2 et à la 12cR1 dans le cas de la non activation de la nouveauté : audit unifié.
Il est important de comprendre comment l’audit s’active, et surtout comment on peut le configurer pour obtenir ce que l’on souhaite auditer. Bien souvent la mise en place de l’audit est un prérequis demandé par un client, par un projet mais bien souvent personne ne sait vraiment ce que l’on peut obtenir et ce que l’on veut obtenir. L’erreur serait d’ouvrir toute les vannes, d’activer l’audit tout azimut, cela génèrerait un flux important d’audit qui noierait l’information pertinente, générerait aussi peut être des problèmes de volumétrie d’audit, voire de performance. Il faut donc définir une stratégie d’audit avant le mettre en place et pour cela comprendre comment s’articule l’audit.
Remarque : Cet article ne traite que de l’audit dit Standard et Fin, c’est-à-dire celui fournit de base dans Oracle et expliqué dans la documentation Oracle Security. Il ne traite pas de l’audit provenant d’option Oracle : Oracle Database Vault, Oracle Label Security…
Lire la suite : Activation, Configuration et Lecture de l'Audit Standard et Fin
News: Le secret du H:
- Détails
- Catégorie : News
- Publié le vendredi 22 janvier 2016 21:03
- Écrit par Administrator
- Affichages : 57022
Ca y est je me suis monté un nouveau PC ! Tant mieux pour vous me diriez-vous mais quel rapport avec Oracle? Tout simplement : dans News: Problème de sécurité sur les passwords 12c j’avais alerté sur la facilité à "éventrer" le mot de passe H: stocké dans sys.user$, mais je n’avais pas réussi à le faire moi-même car je m’étais arrêté sur le fait que oclHashcat n’était pas compatible avec ma vieille carte graphique (et je savais que j'allais bientôt en changer). J’aurai peut-être pu avec Hashcat mais je n’avais pas trop cherché. Ma nouvelle configuration avec une carte graphique GTX 960 me permet donc d’utiliser oclHashcat pour résoudre le secret mis dans le MD5 du mot de passe H:, je me suis donc un peu plus investi, et le résultat a été payant.
Pour rappel d’après le document Best of Oracle Security 2015, le mot de passe hash H: est MD5(secret + ":" + password). Dans ce document qui est en fait un support de présentation il y a écrit que le secret est "par exemple" XDB.
Sqlnet Encryption Demystified
- Détails
- Catégorie : Sécurité
- Publié le mardi 5 janvier 2016 21:41
- Écrit par Administrator
- Affichages : 12546
Avec la 12c, l’encryption sqlnet est devenue gratuite… ou plutôt inclus dans la licence Oracle database SE2 ou EE. Avant en 11g et version antérieure il fallait payer l’option Advanced Security et donc avoir une licence EE.
L’encryption sqlnet permet de chiffrer les échanges réseaux entre le client et la base de données dans le flux sqlnet. Il faut savoir que par défaut que tous les échanges sont en clair à l’exception de certaines commandes comme « password » qui est une rare commande qui crypte le passage du mot de passe dans le flux sqlnet. Cela signifie, que si on fait à partir d’un client « select nom,cb from client where nom='WINROC'; » sur le réseau on pourra lire en claire « select nom,cb from client where nom='WINROC' » mais surtout quand la base répondra « 2050804010306050» cela apparaitra en clair et lisible avec un simple tcpdump ou un client en mode trace.
Les données peuvent être interceptées très simplement en mettant en trace la couche sqlnet ou bien avec un dump sur le client ou le serveur.
News: Problème de sécurité sur les passwords 12c
- Détails
- Catégorie : News
- Publié le dimanche 22 novembre 2015 19:57
- Écrit par Administrator
- Affichages : 58038
Dans l’article La sécurité des mots de passe de février 2013, j’expliquais qu’il était important d’avoir une gestion des mots de passe, car il était aisé de les casser et surtout en 10g car ils étaient chiffrés en DES et je conseillais de forcer la génération du mot de passe qu’au format 11g dans la base car il était généré en SHA1 et donc soit disant plus dur à casser. Hélas ce n’est pas/plus vrai. En lisant une présentation sur le bilan annuel des problèmes de sécurité sur Oracle rencontrés en 2015: Best of Oracle Security 2015 de red-database-security.com, j’ai découvert le projet hashCat. HashCat et oclHashCat est un casseur de mot de passe il supporte plein d’algorithme et j’ai testé et effectivement il fonctionne très bien.
HashCat n’utilise que le CPU mais oclHashCat utilise en plus les GPU de vos cartes graphiques (Nvidia ou AMD). Les mot de passe Oracle les plus rapide à casser avec oclHashCat (version Nvidia CudaHashCat) c’est le format SHA1 de la 11g suivi de de celui de la 10g en DES et enfin « logiquement » les mots de passe de la 12c au format PBKDF2/SHA512. Pour donner une idée, avec un monstre de seulement 18.500$ (8 Nvidia GTX Titan X et 2 Inel Xeon E5-2600V3) red-database-security.com met pour casse un mot de passe de 8 caractères (alphanumerique seulement):
- 8 minutes pour la version 10g
- 58 secondes !!! pour la version 11g
- 60 jours pour la version 12c
Au la vue du résultat dans un premier temps, on peut se dire, il faut rapidement passer sur la 12c pour enfin sécuriser les mots de passe, la différence de temps de cracking est énorme entre la 11g et la 12c.
Mais hélas tout n’est pas aussi rose. C’est ce que nous allons voir.
Lire la suite : News: Problème de sécurité sur les passwords 12c