Nový útok dokáže získať aj bez chýb informácie z DB

DSL.sk, 3.8.2007

IT-bezpečnostní experti z Core Security Technologies predstavili vo štvrtok na bezpečnostnej konferencii Black Hat nový typ útoku, ktorý dokáže získať údaje z databázy, na ktoré užívateľ nemá práva, a to aj bez bezpečnostnej chyby v samotnej databáze alebo rozhraní, cez ktoré sa k databáze pristupuje.

Útok je časovým útokom na B-tree strom používaný väčšinou databáz na uchovávanie utriedených štruktúr, najmä indexov. Potenciálne sú týmto útokom tak zraniteľné všetky databázy používajúce B-tree štruktúru, teda prakticky všetky známe databázy.

Podrobné informácie o útoku zatiaľ neboli prezentované, útok je ale podľa dostupných informácií možné realizovať meraním časov potrebných pre vkladanie nových údajov do databázy. Z týchto časov je zrejme možné postupne dopočítať hodnoty kľúčov, podľa ktorých je index realizovaný B-tree stromom zoradený.

Vkladanie je u B-tree stromov realizované s pomerne malou zložitosťou s počtom krokov rádovo log N, kde N je počet údajov v strome. Pre malú zložitosť a malé rozdiely v potrebných časoch útok zrejme využíva viacero po sebe idúcich operácií, detaily ale zatiaľ nie sú známe.

Experti podľa dostupných informácií včera útok úspešne demonštrovali na MySQL databáze.

Pre realizovanie útoku musí mať útočník právo vkladať priamo či nepriamo cez napríklad webové rozhranie do databázy nové dáta, ktoré mu v rovnakých tabuľkách umožnia útokom získať dáta iných užívateľov.

Realizácia útoku pri databázach využívaných súčasne veľkým množstom ľudí a cez webové aplikácie útok zrejme výrazne sťažuje, negatívne vplyvy týchto javov je ale možné minimalizovať napríklad prístupom v nočných hodinách, prístupom z počítačov umiestnených v sieťovej hierarchii čo najbližšie k databázovému systému a štatistickým prístupom.

Aké sú predpoklady a požiadavky na databázu pre úspešný útok zatiaľ experti nezverejnili a nie je tak známe, či sú podľa súčasných poznatkov reálne zraniteľné napríklad bežné databázy, na ktorých sú postavené webové stránky.


Najnovšie články:



Diskusia:

thriler Od: thriler | Pridané: 3.8.2007 11:55 Zatial ste tu spominali iba mysql. A tie ostatne databazy ste nespecifikovali. Iba akosi hmlisto. Odpovedať Hodnotiť:

DSL.sk Od: DSL.sk | Pridané: 3.8.2007 12:04 Ide potenciálne o každú, ktorá používa na indexy B-tree, myslím, že je to uvedené jasne. Stačí si konkrétnu skontrolovať, nepreveroval som, predpokladám ale, že veľká trojka používa B-tree. Odpovedať Známka: -6.7 Hodnotiť:

:-D Od: :-D | Pridané: 3.8.2007 11:57 B-tree strom je co? =-O tak hadam iba B-tree alebo iba B-strom, nie? :D Odpovedať Známka: 0.0 Hodnotiť:

DSL.sk Od: DSL.sk | Pridané: 3.8.2007 12:07 Niekedy sa takéto formulácie používajú, keďže B-tree je vlastné meno (podobne napríklad DRAM pamäte, atď). Pre neanglicky hovoriacich čitateľov to zdôrazňuje, o akú štruktúru ide. Odpovedať Známka: 4.3 Hodnotiť:

:-D Od: :-D | Pridané: 3.8.2007 12:27 tak pouzijem B-Strom co je vlastne meno a aj pouzita struktura je z toho jasna pre neanglictinarov Odpovedať Známka: 7.1 Hodnotiť:

___ Od: ___ | Pridané: 3.8.2007 13:28 Aspon ze sa mas na com odbavit... Odpovedať Hodnotiť:

:-D Od: :-D | Pridané: 3.8.2007 15:33 a to nevies co sposobil tvoj post ;D Odpovedať Hodnotiť:

Aqw3R Od: Aqw3R | Pridané: 3.8.2007 12:21 \"Experti včera podľa dostupných informácií včera útok úspešne demonštrovali na MySQL databáze.\" A tu tiez nie je vsetko ok.. napriklad \"vcera\" a o kusok dalej \"vcera\"... asi aby sme si boli 100% isty, ze sa to stalo vcera. Odpovedať Hodnotiť:

head Od: head | Pridané: 3.8.2007 12:29 omg je mi zle ked kazdy kritizuje pravopis, jak male deti Odpovedať Známka: -7.1 Hodnotiť:

Bozz Od: Bozz | Pridané: 4.8.2007 11:28 omg je mi omg zle ked omg kazdy omg kritizuje pravopis omg , jak male deti omg Odpovedať Známka: 0.0 Hodnotiť:

iso Od: iso | Pridané: 3.8.2007 13:03 No neviem, pripomína mi to veštenie. Taký oracle attack ... Odpovedať Hodnotiť:

Xwing Od: Xwing | Pridané: 3.8.2007 15:32 si zabil :D Odpovedať Hodnotiť:

ARny Od: ARny | Pridané: 3.8.2007 13:05 hmm mne to pripada ako SQL injection. Odpovedať Známka: 8.2 Hodnotiť:

pete Od: pete | Pridané: 3.8.2007 13:14 to si potom bud nepochopil toto alebo nevies, co je to sql injection. Odpovedať Známka: -8.0 Hodnotiť:

lifo Od: lifo | Pridané: 3.8.2007 14:48 lol neohanaj sa frazami ked nevies co znamenaju. Odpovedať Známka: -6.7 Hodnotiť:

Propediotika Od: Propediotika | Pridané: 3.8.2007 17:15 Presne tak. Odpovedať Známka: -3.3 Hodnotiť:

Bozz Od: Bozz | Pridané: 4.8.2007 11:26 Sobota, 4. augusta 2007, dnes má meniny Bozz, zajtra Propediotika - Pošli kvety Odpovedať Hodnotiť:

Snake Od: Snake | Pridané: 5.8.2007 0:45 Vsetko naj :D ale kvety vam neposlem :D Odpovedať Známka: 3.3 Hodnotiť:

Bohh Od: Bohh | Pridané: 5.8.2007 15:23 A ja aby som čakal do 24.decembra na narodeniny, a meniny nikde... Žeby som sa pripísal? Na zajtra? Pondelok, 6. augusta 2007, dnes má meniny Bohh, Bohhyňa, zajtra som zrušil (:)Pošli pivo Odpovedať Hodnotiť:

huncut Od: huncut | Pridané: 5.8.2007 22:36 :-) Odpovedať Známka: 3.3 Hodnotiť:

Snake Od: Snake | Pridané: 5.8.2007 0:45 pripada ti zle.. Odpovedať Známka: -3.3 Hodnotiť:

ezhole Od: ezhole | Pridané: 4.8.2007 11:35 Pre retardov co nevedia co je b-tree: http://www.semaphorecorp.com/btp/algo.html Odpovedať Hodnotiť:

andrej Od: andrej | Pridané: 4.8.2007 20:56 dajte niekto navod ako ten utok spravit za vsetkych dakujem ;-) Odpovedať Známka: 3.3 Hodnotiť:

thriler Od: thriler | Pridané: 5.8.2007 19:52 A potom ho uz spravis sam? alebo aj to mam spravit za teba a potom ti uz len oznamit vysledok? Ozaj a nepotrebujes dakoho kto ti bude pravidelne zapinat pocitac aby si ty nemusel? A co takto utriet ritku? Odpovedať Známka: -7.1 Hodnotiť:

Pridať komentár