2min

Tags in dit artikel

,

Een Argentijnse beveiligingsonderzoeker heeft een manier ontdekt om de Oracle 11g-database te hacken. De sessiekey die Oracle gebruikt bij het inloggen van een gebruiker bevat namelijk informatie over de wachtwoord-hash. Met deze hash is het mogelijk om via een bruteforce aanval het wachtwoord te achterhalen.

De Argentijn, Esteban Martínez Fayó, geeft wel aan dat het als hacker ook nog nodig is om de naam van de gebruiker als de naam van de database te hebben. In de praktijk blijkt echter dat het niet altijd lastig hoeft te zijn om deze te achterhalen. Nadat de sessiekey in handen van de hacker is moet deze de hash nog wel "brute forcen", dit houdt in dat er miljoenen wachtwoorden moeten worden berekent volgens dezelfde hash formule totdat deze overeenkomst met de hash die uit de sessiekey is onttrokken. Er kan geen gebruik worden gemaakt van een "rainbow table" omdat er unieke waardes aan de wachtwoorden zijn toegevoegd.

Martínez Fayó zegt dat het kraken van een gemiddeld wachtwoord ongeveer vijf uur in beslag zal nemen op een standaard computer. Dit wordt langer naarmate de wachtwoorden meer gecompliceerd zijn. Zowel versie 1 als versie 2 van de 11g-databases bij Oracle zijn kwetsbaar.

Er is een nieuw loginprotocol door Oracle uitgegeven voor versie 2 om dit probleem op te lossen. Gebruikers moeten deze echter zelf handmatig installeren, het is dus aan aan te raden om dat snel te doen. Indien er nog gebruik wordt gemaakt van versie 1 is het verstandig om externe authenticatie uit te schakelen.