אנשי אבטחת מידע וגם אנשי IT אחרים מכירים את הצורך להקשיח בסיסי נתונים עפ"י כללים מקובלים. גם מנהלי אבטחת מידע שאינם טכניים מכירים את הצורך לשנות סיסמאות ברירות מחדל של חשבונות המגיעים בהתקנה, את הצורך להגדיר מדיניות סיסמאות, לכבות שירותים רגישים ומיותרים.
חוץ מהאקרים ו – DBAs, לא הרבה יודעים שישנו רכיב מאזין בשם Listener שמתווך בין בסיס הנתונים למשתמש. הרבה פעמים מגלים שרכיב זה לא אובטח כיאות, גם אם נעשו מאמצים להקשיח את בסיס הנתונים עצמו.
ה – Listener הינו רכיב תוכנה של Oracle המאפשר תקשורת בין המשתמש לבסיס הנתונים. מכאן שלרכיב זה יש חשיבות מאוד גבוהה באבטחת מידע. גורם זדוני שפוגע ברכיב זה, פוגע למעשה בתקשורת לבסיס הנתונים. הוא דומה ברעיון ל – Socket של פרוטוקול TCP/IP אשר מאזין לתעבורת רשת בפורט מסוים. בברירת מחדל, ה – Listener מוגדר להאזין על תעבורה המגיעה על פורט 1521.
היעדר אבטחה על ה – Listener עשויה להוביל לסיכונים הבאים:
-
מניעת שירות (DoS) לבסיס הנתונים. פורץ יוכל להפסיק את פעולת הרכיב. בנוסף, פורץ שמשיג שליטה ב – Listener יכול להגדיר ל – Listener סיסמא לא מוכרת ולמנוע מ - DBA לשלוט להבא ברכיב. דרך נבזית נוספת היא הגדרת Timeout של שניה אחת להתחברות לבסיס הנתונים. מהר מאוד, כמות הפניות להתחברות לבסיס הנתונים (דרך ה – Listener) תהיה גבוהה מאוד ותוביל למניעת שירות.
-
גניבת מידע רגיש. הפורץ יכול להגדיר כתיבת Trace על פעולות מול בסיס הנתונים. למשל, פעולת החלפת סיסמא. במקרה כזה, ה – Trace עשוי לתעד את הסיסמא החדשה באופן נגיש לפורץ.
-
גישה לא מורשית (פריצה) לשרת. פורץ יוכל להגדיר כתיבת קובץ שידרוס את קובץ .rshosts שמגדיר לאיזה כתובות IP מותרת גישה. דריסת הקובץ אפשרית מכיון של – Listener יש הרשאה גבוהה על השרת.
אלה לא כל החולשות של הרכיב. ישנן עוד רבות שהאקרים ו – DBAs מכירים. מספר נקודות חשובות להקשחת הרכיב (ויש עוד הרבה שלא ציינתי):
-
לשדרג את בסיס הנתונים לגרסת Oracle מתקדמת. ככל שהגרסה מודרנית יותר, כך הרכיב מאובטח יותר בברירת מחדל. תת גרסה מתקדמת של 10g תאפשר, למשל, חיבור ל – Listener על בסיס משתמש של מערכת הפעלה LOCAL OS AUTHENTICATION כדי למנוע ניהול הרכיב מרחוק (ובכך לאפשר פריצה).
-
התקנת טלאי (Patches) אבטחת מידע של אורקל.
-
לשנות את ה – TNS Port בו הוא מאזין לפורט שאינו ברירת מחדל.
לסיום, חשוב תוודאו שבזמן שמאבטחים את בסיס הנתונים, מטפלים גם בהקשחת ה – Listener.
1 תגובה ל “סיכונים הנובעים מ – Listener”