普通的黑客從進入到退出一次數(shù)據(jù)攻擊只需用不到10秒鐘時間就可完成,這個時間對于數(shù)據(jù)庫管理員來說即使注意到入侵者都幾乎不夠。因此,在數(shù)據(jù)被損害很長時間之前,許多數(shù)據(jù)庫攻擊都沒有被單位注意到。
令人奇怪的是,根據(jù)許多專家的介紹,作為企業(yè)之“王冠”的大本營,數(shù)據(jù)庫在許多企業(yè)中并沒有得到恰當?shù)陌踩Wo。惡意的黑客正利用非常簡單的攻擊方法進入數(shù)據(jù)庫,如利用弱口令和不嚴謹?shù)呐渲茫袄梦创蜓a丁的已知漏洞等。
我們不妨先談談丟失備份磁帶的問題:如果丟失的或被盜竊的磁帶沒有加密,那么如果一個壞家伙得到了這種磁帶,你就等著瞧吧。這根本就不需要攻擊。
Forrester Group 的首席分析師Noel Yuhanna說,“最大的問題之一是許多數(shù)據(jù)庫攻擊甚至都不為人知,典型的數(shù)據(jù)庫每秒鐘擁有15000到20000次連接。對人類來說,要知道所有這些連接正在做什么是不太可能的。”
黑客們對企業(yè)數(shù)據(jù)庫補丁的困難問題特別清楚。事實上,企業(yè)正指望backlog。那種企業(yè)能夠在一個數(shù)據(jù)中心中就可以鎖定少量數(shù)據(jù)庫的日子一去不復返了:當今的多數(shù)組織,擁有成千上萬的數(shù)據(jù)庫需要配置、保障安全、實施監(jiān)視,而遠程用戶、客戶和企業(yè)合伙人都需要訪問這些數(shù)據(jù)庫。
數(shù)據(jù)庫安全廠商Sentrigo的CTO Slavik Markovich說,“困擾我的一個重大問題是,在我訪問一個客戶的站點時,通常情況下,其數(shù)據(jù)庫的配置是很脆弱的,以至于很容易就可以利用其漏洞。你通常并不需要緩沖區(qū)溢出或SQL注入攻擊,因為這種數(shù)據(jù)庫的初始配置總體上就是不安全的。”
所有這些低垂的“果實”使得數(shù)據(jù)庫攻擊并不一定很復雜。Markovich說,“這些是基本的配置問題,因此一個黑客并不必要做一些真正復雜的事情,因為這些簡單的方法就可以奏效。”
那么,這些攻擊是什么呢,企業(yè)如何阻止這種攻擊?下面我們看一下當今的黑客們正在利用的六大數(shù)據(jù)庫攻擊。多數(shù)攻擊都利用了組織設置其數(shù)據(jù)庫中的極明顯的缺陷。有一些缺陷對于內(nèi)部的惡意人員更為有用,而另外一些由那些試圖得到公司的貴重數(shù)據(jù)的不法之徒所利用。不管怎樣,鎖定數(shù)據(jù)庫的唯一途徑是認識到罪惡之手是如何進入的。
下面是六大數(shù)據(jù)庫攻擊:
1.強力(或非強力)破解弱口令或默認的用戶名及口令
2.特權(quán)提升
3.利用未用的和不需要的數(shù)據(jù)庫服務和和功能中的漏洞
4.針對未打補丁的數(shù)據(jù)庫漏洞
5.SQL注入
6.竊取備份(未加密)的磁帶
下面分別分析一下:
1.對弱口令或默認用戶名/口令的破解
以前的Oracle數(shù)據(jù)庫有一個默認的用戶名:Scott及默認的口令:tiger;而微軟的SQL Server的系統(tǒng)管理員賬戶的默認口令是也是眾所周知。
當然這些默認的登錄對于黑客來說尤其方便,借此他們可以輕松地進入數(shù)據(jù)庫。
Oracle和其它主要的數(shù)據(jù)庫廠商在其新版本的產(chǎn)品中表現(xiàn)得聰明起來,它們不再讓用戶保持默認的和空的用戶名及口令等。但這并不意味著,所有的組織都在較老的數(shù)據(jù)庫中敞開著大門。
Forrester的Yuhanna說,“問題是企業(yè)擁有15000個數(shù)據(jù)庫,而完全地保護其安全并不容易。有時企業(yè)只能保障關鍵數(shù)據(jù)庫的安全,其它的就不太安全了。現(xiàn)在,較新的數(shù)據(jù)庫強制使你在安裝時改變系統(tǒng)管理員賬戶的默認口令。但較老的數(shù)據(jù)庫版本可能存在著問題。”
但即使是唯一的、非默認的數(shù)據(jù)庫口令也是不安全的。Sentrigo的 Markovich 說,“你總可以在客戶那里找到弱口令和易于猜測的口令。通過強力破解或只試著用不同的組合就可以輕易地找到這種口令。”
口令破解工具有很多,并且通過Google搜索或sectools.org等站點就可以輕易地獲得,這樣就會連接到Cain 、 Abel或John the Ripper等流行的工具。
保護自己免受口令攻擊的最佳方法:避免使用默認口令,建立強健的口令管理程序并對口令經(jīng)常改變。
2.特權(quán)提升
有幾種內(nèi)部人員攻擊的方法可以導致惡意的用戶占有超過其應該具有的系統(tǒng)特權(quán)。而且外部的攻擊者有時通過破壞操作系統(tǒng)而獲得更高級別的特權(quán)。應用安全公司的銷售副總裁Ted Julian說,“這是一種常見的威脅因素。”
特權(quán)提升通常更多地與錯誤的配置有關:一個用戶被錯誤地授與了超過其實際需要用來完成工作的、對數(shù)據(jù)庫及其相關應用程序的訪問和特權(quán)。
Forrester的Yuhanna說,“這是一個控制問題。有時一個企業(yè)并沒有提供哪些人員需要訪問何種資源的良好框架結(jié)構(gòu),而且通常情況下,數(shù)據(jù)庫管理員并沒有從業(yè)務上理解企業(yè)的數(shù)據(jù)。這是問題之一。”
而且,有時一個內(nèi)部的攻擊者(或者一個已經(jīng)控制了受害人機器的外部的家伙)可以輕松地從一個應用程序跳轉(zhuǎn)到數(shù)據(jù)庫,即使他并沒有這個數(shù)據(jù)庫的相關憑證也可以如此。Yuhanna 說,“一個非特權(quán)用戶可以試著連接到數(shù)據(jù)庫,只要他可以訪問一個系統(tǒng),如CRM,他就可以用同樣的口令通過檢查,即使他沒有獲得此數(shù)據(jù)庫的授權(quán)。有些控制并沒有實現(xiàn)很好的集中化。”
Sentrigo的Markovich近來能夠通過一個擁有少量特權(quán)的用戶賬戶攻入一個客戶的數(shù)據(jù)庫。Markovich說,“他們要求我攻入其數(shù)據(jù)庫。我找到了一個少量特權(quán)的用戶口令,然后就進入了系統(tǒng)。然后我檢查了他的特權(quán),他擁有對數(shù)據(jù)庫的只讀性訪問,因此一個少量特權(quán)的用戶可以訪問讀取數(shù)據(jù)庫內(nèi)的任何表,包括信用卡信息、個人信息。因此,我說:‘我不需要攻入數(shù)據(jù)庫。’”
專家們說,經(jīng)驗法則應當說是僅給用戶所需要的數(shù)據(jù)庫訪問和權(quán)力,不要有更多的東西。
還有那些擁有合法訪問的特權(quán)用戶,他們頭腦中可能并沒有合法的操作。“你如何控制訪問呢?這個領域也正在開始演化。”
3.利用未用的和不需要的數(shù)據(jù)庫服務和功能中的漏洞
當然,一個外部的攻擊者會尋找較弱的數(shù)據(jù)庫口令,看其潛在的受害人是否在運行其Oracle數(shù)據(jù)庫上運行監(jiān)聽程序(Listener)功能。監(jiān)聽程序可以搜索出到達Oracle數(shù)據(jù)庫的網(wǎng)絡連接,并可以轉(zhuǎn)發(fā)此連接,這樣一來就會將用戶和數(shù)據(jù)庫的鏈接暴露出來。
只需采用一些Google hacking攻擊,一位攻擊者就可以搜索并找到數(shù)據(jù)庫服務上暴露的監(jiān)聽程序。Markovich 說,“許多客戶并沒有在監(jiān)聽程序上設置口令,因此,黑客就可以搜索字符串并找出Web上活動的監(jiān)聽程序。我剛才搜索了一下,發(fā)現(xiàn)有一些可引起人們注意的東西,如政府站點。這確實是一個大問題。”
其它的特性,如操作系統(tǒng)和數(shù)據(jù)庫之間的鉤子可以將數(shù)據(jù)庫暴露給攻擊者。這種鉤子可以成為達到數(shù)據(jù)庫的一個通信鏈接。Yuhanna說,“在你鏈接庫和編寫程序時…那將成為與數(shù)據(jù)庫的界面,”你就是在將數(shù)據(jù)庫暴露出去,并可能在無認證和無授權(quán)的情況下讓黑客進入內(nèi)部。
通常,數(shù)據(jù)庫管理員并沒有關閉不需要的服務。Julian 說,“他們只是任其開著。這種設計過時且管理跟不上,這是讓其發(fā)揮實際作用的最簡單方法。不需要的服務在基礎結(jié)構(gòu)中大搖大擺地存在,這會將你的漏洞暴露在外。”
關鍵是要保持數(shù)據(jù)庫特性的精簡,僅安裝你必須使用的內(nèi)容。別的東西一概不要。Markovich說,“任何特性都可被用來對付你,因此只安裝你所需要的。如果你并沒有部署一種特性,你就不需要以后為它打補丁。”
4.針對未打補丁的數(shù)據(jù)庫漏洞
好消息是Oracle和其它的數(shù)據(jù)庫廠商確實在為其漏洞打補丁。壞消息是單位不能跟得上這些補丁,因此它們總是處于企圖利用某種機會的老謀深算的攻擊者控制之下。
數(shù)據(jù)庫廠商總是小心翼翼地避免披露其補丁程序所修正的漏洞細節(jié),但單位仍以極大的人力和時間來苦苦掙扎,它會花費人力物力來測試和應用一個數(shù)據(jù)庫補丁。例如,給程序打補丁要求對受補丁影響的所有應用程序都進行測試,這是項艱巨的任務。
Yuhanna 說,“最大問題是多數(shù)公司不能及時安裝其程序補丁,一家公司告訴我,他們只能關閉其數(shù)據(jù)庫一次,用六小時的時間打補丁,它們要冒著無法打補丁的風險,因為它們不能關閉其操作。”
Markovich說,在今天正在運行的多數(shù)Oracle數(shù)據(jù)庫中,有至少10到20個已知的漏洞,黑客們可以用這些漏洞攻擊進入。他說,“這些數(shù)據(jù)庫并沒有打補丁,如果一個黑客能夠比較版本,并精確地找出漏洞在什么地方,那么,他就可以跟蹤這個數(shù)據(jù)庫。”
而且一些黑客站點將一些已知的數(shù)據(jù)庫漏洞的利用腳本發(fā)布了出來,他說。即使跟得上補丁周期有極大困難,單位也應當打補丁。他說,例如,Oracle4月15日的補丁包含了數(shù)據(jù)庫內(nèi)部的17個問題。這些和其它的補丁都不應當?shù)粢暂p心。每一個問題都能夠破壞你的數(shù)據(jù)庫。
5.SQL注入
SQL注入式攻擊并不是什么新事物了,不過近來在網(wǎng)站上仍十分猖狂。近來這種攻擊又侵入了成千上萬的有著鮮明立場的網(wǎng)站。
雖然受影響的網(wǎng)頁和訪問它的用戶在這些攻擊中典型情況下都受到了重視,但這確實是黑客們進入數(shù)據(jù)庫的一個聰明方法。數(shù)據(jù)庫安全專家們說,執(zhí)行一個面向前端數(shù)據(jù)庫Web應用程序的SQL注入攻擊要比對數(shù)據(jù)庫自身的攻擊容易得多。直接針對數(shù)據(jù)庫的SQL注入攻擊很少見。
在字段可用于用戶輸入,通過SQL語句可以實現(xiàn)數(shù)據(jù)庫的直接查詢時,就會發(fā)生SQL攻擊。也就是說攻擊者需要提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù)。
除客戶端之外,Web應用程序是最脆弱的環(huán)節(jié)。有些情況下,如果攻擊者得到一個要求輸入用戶名和口令的應用程序的屏幕,而且應用程序并不檢查登錄的內(nèi)容的話,他所需要做的就是提供一個SQL語句或者數(shù)據(jù)庫命令,并直接轉(zhuǎn)向數(shù)據(jù)庫。Yuhanna說,問題是身份驗證和授權(quán)已經(jīng)被移交給了應用程序服務器。
他說,“此時輸入的并不是一個用戶名,而是一個SQL命令。它被輸入到一個數(shù)據(jù)包中,并且由應用程序服務器發(fā)送給數(shù)據(jù)庫。這個數(shù)據(jù)庫會讀取欺詐性的SQL命令,而且它能夠完全關閉整個數(shù)據(jù)庫。”
他說,“這是開發(fā)者的一種可悲的開發(fā)方法。你必須關注用戶正在輸入的內(nèi)容。不管你想執(zhí)行什么,數(shù)據(jù)庫都會執(zhí)行。這是很令人驚慌的問題。SQL注入式攻擊是一個很大的問題。”
Sentrigo 的Markovich說,從Web應用程序到數(shù)據(jù)庫兩個方面都可以實施SQL注入式攻擊,而且可以從數(shù)據(jù)庫內(nèi)部實施。但有一些程序設計方法可有助于防止應用程序中的SQL注入攻擊漏洞,如使用所謂的綁定變量(bind variable)或者使用參數(shù)進行查詢等。
Markovich說,在Java等語言中,這就意味著在SQL語句中將問號用作占位符,并將“接收”值與這些占位符綁定。另外一種方法是避免顯示某些數(shù)據(jù)庫錯誤消息,目的是避免將可能敏感的信息透露給潛在的攻擊者。
6.竊取(未加密的)備份磁帶
如果備份磁帶在運輸或倉儲過程中丟失,而這些磁帶上的數(shù)據(jù)庫數(shù)據(jù)又沒有加密的話,一旦它落于罪惡之手,這時黑客根本不需要接觸網(wǎng)絡就可以實施破壞。
但這類攻擊更可能發(fā)生在將介質(zhì)銷售給攻擊者的一個內(nèi)部人員身上。只要被竊取的或沒有加密的磁帶不是某種Informix或HP-UX 上的DB2等較老的版本,黑客們需要做的只是安裝好磁帶,然后他們就會獲得數(shù)據(jù)庫。
Julian說,“當然,如果不是一種受內(nèi)部人員驅(qū)動的攻擊,它就是非主要的。”他說,同樣的原因,閃盤也是另外一種風險。
除了沒有對備份介質(zhì)上的數(shù)據(jù)進行加密等明顯的預防措施,一些單位并沒有一直將標簽貼在其備份介質(zhì)上。“人們備份了許多數(shù)據(jù),但卻疏于跟蹤和記錄。”Yuhanna說,“磁帶容易遭受攻擊,因為沒有人會重視它,而且企業(yè)在多數(shù)時間并不對其加密。”
| 
大家都在看
