Und was kommt nach Heartbleed und ShellShock? Ein kritischer Überblick über die Security Produkte rund um die Oracle Datenbank
Themenübersicht Herausforderungen im Security Bereich im letzten Jahr Security Features von Oracle was gibt es und wofür ist es Decken die Oracle Security Features die Herausforderungen ab? Was fehlt noch, damit man sich sicher fühlen kann?
Herausforderungen im Security Bereich im letzten Jahr 7. April 2014: Heartbleed OpenSSL Oracle reagiert erstmalig am 18. April und braucht bis zum 3. Juli um für alle Produkte Patches bereit zu stellen 24. September 2014: ShellShock Bash ist verwundbar Erste Patches am 27. September, finale Patches erst 15. Dez 15. Oktober 2014: Poodle SSLV3 Erste Patches Ende 2014, aktuell fehlen für 20 Produkte die Patches 28. Jan 2015: Ghost eine Lücke im Glibc Ist Oracle nicht einmal eine Meldung wert, RHat Patches übernommen Details finden Sie auf unserer Homepage
Herausforderungen im Security Bereich in den letzten drei Monaten (seit Mitte Nov 2014) Adobe Flash & Co: mehrfach ZeroDay Lücken, über 40 Security Leaks im Flash Microsoft Google enthüllt 3 Windows ZeroDay Lücken, die 90 Tage lang nicht behoben wurden Hintertür in Microsoft Active Directory entdeckt Windows Lücke in Kerberos und TLS Security Patch fehlerhaft Exploit für eine Lücke in Windows und IE Versionen der letzten 18 Jahre Sicherheitslücke in NTP und OpenVPN 27 Jahre alte Sicherheitslücke in X11 geschlossen Google entdeckt 30 Sicherheitslücken in Java Poodle beißt die Load Balancer von Cisco, F5 und A10 Networks Große Hackerangriffe US Krankenkasse Anthem bestohlen, US Außenministerium, Sony Entertainment, usw.
USA schafft eine neue Behörde gegen Hackerangriffe Quelle: Washington Post vom 10. Feb 2015 Auslöser Hackerangriff auf Sony Pictures Davor gab es Angriffe auf das Computer Netz des Weißen Hauses Angriffe auf das US Außenministerium Angriffe auf US Krankenkassen Fast schon unzählbare Anzahl von gestohlenen Personen und Kreditkarteninformationen Mehrere Großbanken (2012)
Kreditkarten Informationen von Tim Cook (Apple) Laut Presseinformationen vom 11. Feb 2015 gibt es folgende Aussage von Tim Cook, CEO von Apple: Cook bekräftigte sein Bekenntnis zu strikterem Datenschutz. So wolle der Konzern bei seinem Bezahldienst Apple Pay ganz bewusst nicht wissen, wer wo was kauft. Er glaube, dass die Menschen mit der Zeit gegen eine breit angelegte Erfassung und Auswertung ihrer Daten rebellieren werden, sagte der Apple-Chef. Zudem solle das kontaktlose Bezahlen per Handy mehr Sicherheit bieten. Bei Apple Pay geben wir dem Händler nie ihre Kreditkarten-Nummer. Ihm selbst seien die Kreditkarten-Informationen drei Mal gestohlen worden, sagte Cook.
Security Produkte und Features von Oracle für Oracle Datenbanken und Cloud Control 12c Audit Vault und Database Firewall Analysiert den SQL Net Verkehr zwischen Client und Datenbank Oracle Datenbank Features Password Security / External Identification Data Redaction ab Oracle 12c TCPS Connects mit TLS benötigen im SQLNET.ORA: SSL_VERSION=1.0 Advanced Networking Option: Verschlüsselung Database Vault, Label Security, Data Masking HTTPS / SSL für Kommunikation OEM/Agent Siehe Instructions to Mitigate the SSL v3.0 Vulnerability (aka "Poodle Attack") in Oracle Enterprise Manager Grid / Cloud Control (Doc ID 1938799.1)
Security Features von Oracle für Operating Systeme Oracle Enterprise Linux Wenn RedHat Security Patches bereitstellt, werden diese übernommen (mit 1-2 Tagen Verzögerung) Sollten Security Leaks im Unbreakable Kernel gefunden werden, muss Oracle diese selbst beheben Solaris Laut National Vulnerability Database gibt es in Solaris 10+11 ca. 150 bekannte Security Leaks, von denen ca. 50 als High Risk eingestuft sind. Aktuelle Security patches können mit pkg install update solaris-11-cpu eingespielt werden. Es gibt eine 3rd Party Software in Oracle Product Vulnability Liste http://www.oracle.com/technetwork/topics/security/thirdparty-patch-map-1482893.html
Schützen die Oracle Features vor den letzten Vulnabilities? Die Antwort ist schlicht und ergreifend: Nein Oracle braucht im Schnitt 1-2 Wochen für die ersten Patches und selbst nach 2-3 Monaten sind noch nicht für alle Produkte Patches vorhanden Für viele Themen wie für den TLS Einsatz statt SSL gibt es keinen Patch sondern nur sehr komplexe Anleitungen (Beispiel Poodle und Enterprise Manager), statt einfach einen Patch heraus zu bringen, der das Problem löst. Damit TCPS Verbindungen zur Datenbank mit TLS geschützt werden, muss man sowohl am Client als auch am Server im SQLNET.ORA einen Eintrag machen auch hier die Frage: Warum Oracle den nicht als Default mit einem Sicherheitsupdate ausliefert
Wovor schützen die Oracle Security Features? Database Firewall schützt vor SQL Injektion Advanced Security Option wird hauptsächlich zum Verschlüsseln der Daten in den Datenbank Files verwendet, es kann aber auch zum Verschlüsseln der Datenübertragung genutzt werden. Data Masking anonymisiert die Daten für Test- und Schulungsdatenbanken Data Redaction anonymisiert die Daten transparent, abhängig von Regeln für bestimmte Applikationen oder Benutzer (Call Center darf nicht alles sehen). Database Vault verhindert den unberechtigten Zugriff auf Daten innerhalb der Datenbank (auch als SYSDBA darf man die Daten nicht mehr sehen) Label Security verhindert ebenfalls die Möglichkeit, Daten ohne Berechtigung zu sehen
Conclusio Die Oracle Security Features schützen die Daten innerhalb der Datenbank und im Filesystem ein Schutz vor dem Angriff auf den Host und somit indirekt auf die Daten bieten diese nicht. Die Database Firewall bietet eine Schutz, sofern die Kommunikation über SQL*Net läuft, alles andere wird nicht abgedeckt hier bieten andere Anbieter wie Imperva SecureSphere mehr Funktionalität. Zusätzlich treffen einige der Themen wie Heartbleed und Poodle auch direkt Teile der Features (TCPS, HTTPS Kommunikation, )
Schauen wir uns ein typisches Environment an Praktisch jede Firma nutzt Firewalls AntiVirus Software VPN/Remotezugang für Mitarbeiter Was bräuchte man zusätzlich? WAF Web Application Firewall Verhindert unberechtigte Zugriffe/Ausnutzung von Vulnabilities DBF Database Firewall Schützt die Daten vor SQL Injection und vielem mehr Schutz gegen Security Leaks in Produkten (OS, Web Inhalte, Mail Lösungen) und Malware
Ein passendes Zitat Es gibt zwei Arten von Firmen: Solche die gehackt wurden und die, die noch gehackt werden! Mit diesem Zitat auf einer Sicherheitskonferenz im März 2012 deutete der frühere FBI-Direktor Robert Mueller bereits an, wovor viele Unternehmen noch ihre Augen verschließen. Denn einen hundertprozentigen Schutz vor Hackerangriffen oder Cyberattacken gibt es nicht.
Leben wir auf einer Insel der Seligen? Analyse für www.dbmasters.at am 8. Feb 16:00 Angriffsversuche der letzten 24 Stunden Aktuell: durchschnittlich 15-20 Angriffe / Tag Auswertung der Angriffe seit Installation am 9. Oktober 2014 ( 4 Monate) Über 1500 Angriffsversuche
Einige der Angriffe waren wirklich penetrant Beispiel ShellShock Teilweise über 100 Versuche / Tag! Das wird nur als EIN Angriff gewertet
Zusammenfassung Security hat in vielen Unternehmen leider immer noch nicht den Stellenwert den sie haben sollte Es gibt faktisch niemanden hier sind auch wir als Privatpersonen gemeint die nicht täglich angegriffen werden. Schon 2009 gab es eine Analyse zu dem Thema Kaspersky Labs hat 2013 die durch Malware infizierten Systeme grafisch aufbereitet. Infektionsrate in % Österreich: 42% USA nur 38%!!
Q & A Wir helfen Ihnen bei der Analyse Ihrer Security Anforderungen mit Schwerpunkt auf die Oracle Datenbank und Web Application Landschaft