Independent Oracle Users Group (IOUG)在它的2009年度Oracle安全性调查中指出,令人不安的“内部安全性问题”继续作为Oracle IT部门的一个主要威胁。
例如,在2009年7月,Secret Service 逮捕了2名DBA,因为他们使用信用卡信息来盗取了上百万美元。这个事件突出了审查DBA的个人诚信和道德的重要性。
根据法庭的记录,被逮捕的其中一人是American Express的一个计算机数据库分析员,他是少数“可能能够下载所有帐号拥有者,包括从不同银行的ATM机存取现金的PIN码在内的信息”的人员之一。另一个被捕人员拥有超过100张假冒的代金卷和信用卡,同时,这些被盗物资都已经使用来自American Express的有效客户的信息进行重新编码。
DBA从他们的雇主处盗取信息的例子很多,并且人们一致认国所有安全机制都应该防止DBA对系统安全性拥有完全的权限,特别是审计跟踪,以便保护内部数据库安全。
同时人们也很反对将Oracle外包,因为很多公司发现允许美国以外的人员访问他们的数据库是很不安全的。最近的一起由于海外外包引发的安全事件详细说明了Oracle部门是如何被盗取数据的海外支持公司所完全毁坏的。
Oracle安全性问题可能损害你的公司到什么程度?
很不幸,受信任的Oracle DBA滥用职权所犯下的罪行可能毁掉你的公司。更令我吃惊的是,有大量的Oracle职能部门在雇佣实际上完全没有数据防护的海外支持组织。
有一个更著名的案例,我曾经负责修复一个专门收集房地产中介数据的Oracle部门的性能问题。当我分析系统问题时,我发现中间有小段代码在秘密盗取他们的数据并将它们以电子邮件方式发送到中国。当我向他们询问这方面问题时,他们说他们曾经出于节省资金的考虑而雇佣了一名加拿大人来担任Oracle DBA,但是他已经离职了。
经过检查,电子邮件吸尘器(vacuum)非常高明和不显眼,并且已经秘密地偷取他们的数据达几个月时间了。它使用一个“root kit”,这是一个用别名替换标准Linux命令的方法,从而实现程序伪装以盗取数据。这样进程命令“ps”就被替换成“ps|grep –i vacuum”,所以这个进程不会出现在查找恶意程序的结果中。
这个公司后来很快就停业了,它是将Oracle DBA活动外包到海外的“因小失大”方法的受害者。不幸的是,你不必成为一个使用root kit的行家,更糟糕的是,他们能够轻易地从Internet下载到。我将它报告给Charlotte, N.C.的FBI Cybercrime,而FBI告诉我有一个American公司也明显没有保护,有人能够从国外访问他们的服务器。
那么,如果你不能信任DBA,你还能信任谁呢?
转载请注明:IT运维空间 » 安全防护 » Oracle数据库内部安全威胁:严重性
发表评论