Upload
it-school
View
312
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Kamil Stawiarski
Kamil KoziełORA-600
|2013
Oracle hacking session
Czyli o jedno uprawnienie za daleko
Foto
: To
mek
Kam
ińsk
i
Co to jest Hacker?
Prawdziwa historia
Dziękuję, że jesteście dzisiaj z nami na warsztacie. Mój kolega i ja jesteśmy związani z zarzadzaniem projektami i z technologią Oracle od ponad 8 lat…
Kiedy dostaliśmy zaproszenie na infoShare stanęliśmy przed dylematem, czego dotyczyć ma nasze wystąpienie. Oracle oznaczałby, że główną rolę odegra mój kolega, a zarządzanie projektami, zostawiałoby ją mnie…
Oczywiście, jesteśmy z krwi i kości przedstawicielami branży IT, więc cechuje nas skromność, zachowawczość, empatia… i takie tam…
Nie kłócil iśmy się kto dzisiaj będzie l iderem… za długo. Mój kolega, jest po prostu znacznie lepszy w tak zwanej ciężkiej perswazji… mniej więcej o… 30 kilo lepszy…
I jak widzicie, w demokratycznym głosowaniu wybraliśmy warsztat oraclowy…
Mieliśmy wątpliwości, czy zrobil iśmy dobrze wybierając aż tak mocno techniczny obszar…
…pomyśleliśmy, może to nikogo nie będzie ciekawić? Jednak ostatnio nasze wątpliwości zostały rozwiane…
Do kina z grupą humanistów…
Wybraliśmy się do kina, na ambitny amerykański film, klasyka gatunku…
Fajnie… ale, jaki to ma związek z
naszym tematem?
Spojrzeliśmy się po sobie z kolegą, który za chwilę do nas dołączy, robiąc mniej więcej taką minę: :/\[]{}:"{}:> :D:D:D
a Mariusz – absolwent Psychologii – wziął, głęboki oddech i łyka koli, po czym powiedział z pełnym przejęciem:
„Cholera… nieźli są!”
I widzicie… nie do końca zgadzamy się z tym wizerunkiem Hakera… Naszym zdaniem, prawdziwe zagrożenie, pochodzi
z wewnątrz organizacji i… wygląda zgoła inaczej…
Otóż w pewnej scenie, zły człowiek, HAKER, z korzeniami ewidentnie sięgającymi byłych krajów Związku
Radzieckiego, schroniony w pilnie strzeżonej jaskini, zlokalizowanej gdzieś głęboko pod ziemią, dzięki
nieosiągalnej dla zwykłych śmiertelników technologii, którą on sam parę minut wcześniej wymyślił, przejmuje
kontrolę nad wszystkimi telewizjami na świecie, włączając w to prywatną transmisję Gumisiów na pokładzie AIR Force One. Przekaz jest jasny – pokażemy wam gdzie
brzozy zimują…
Muszę wreszcie
zrobić porządek
z tymi kablami
w serwerowni…
Gdybym wiedział, że tyle was przyjdzie… wziąłbym
podwójną traw…stawkę
Ale nie kalajcie serc lękiem! Jam jest oto ten, który poprowadzi Was przez
morze niewiedzy ku Wyroczni, jak Mesjasz jaki
… …albo Przewodnik.
Z kim ja muszę
pracować…
Zdradzę Wam, dlaczego administrator potrafi
być czasem troszeczkę upierdliwy przy
nadawaniu uprawnieńBo rzekła Wyrocznia:
albowiemz owych uprawnień
eskalował będziesz…
• ANALYZE ANY• CREATE ANY INDEX• CREATE ANY
PROCEDURE, EXECUTE ANY PROCEDURE
• CREATE ANY TRIGGER
Ale nie wiedziała czy było to dobre…
A w efekcie można przejąć kontrolę nad
całym światem!!!Czyli po ludzku –
autoryzować publiczny klucz ssh i wleźć bez hasła na konsolę…
No dobra, Miszczu, ale czy nie wystarczy zaszyfrować przestrzeń tabel i wdrożyć Database Vaulta, żeby być
w 100% bezpiecznym?
Masz rację…
…nazywając mnie Mistrzem. Podstawowe wdrożenie można
złamać równie łatwo jak mój opór przed wieczornym browarem.
Chętnie bym to
zobaczył…
Zachęcamy do zapoznania się z merytoryczną częścią
naszej prezentacji.
Zawarliśmy ją dwóch poniższych artykułach:
ORACLE DATABASE VAULT AND TDE
Znajdziecie je na blog.ora-600.pl
oraz na itschool.pl/blog
SIMPLE TECHNIQUES OF PRIVILEGE ESCALATION
Na co on mnie znowu namówił…
Co Ty byś Kubusiu beze mnie zrobił…