Kamil Stawiarski

Kamil KoziełORA-600

|2013

Oracle hacking session

Czyli o jedno uprawnienie za daleko

Foto

: To

mek

Kam

ińsk

i

Co to jest Hacker?

Prawdziwa historia

Dziękuję, że jesteście dzisiaj z nami na warsztacie. Mój kolega i ja jesteśmy związani z zarzadzaniem projektami i z technologią Oracle od ponad 8 lat…

Kiedy dostaliśmy zaproszenie na infoShare stanęliśmy przed dylematem, czego dotyczyć ma nasze wystąpienie. Oracle oznaczałby, że główną rolę odegra mój kolega, a zarządzanie projektami, zostawiałoby ją mnie…

Oczywiście, jesteśmy z krwi i kości przedstawicielami branży IT, więc cechuje nas skromność, zachowawczość, empatia… i takie tam…

Nie kłócil iśmy się kto dzisiaj będzie l iderem… za długo. Mój kolega, jest po prostu znacznie lepszy w tak zwanej ciężkiej perswazji… mniej więcej o… 30 kilo lepszy…

I jak widzicie, w demokratycznym głosowaniu wybraliśmy warsztat oraclowy…

Mieliśmy wątpliwości, czy zrobil iśmy dobrze wybierając aż tak mocno techniczny obszar…

…pomyśleliśmy, może to nikogo nie będzie ciekawić? Jednak ostatnio nasze wątpliwości zostały rozwiane…

Do kina z grupą humanistów…

Wybraliśmy się do kina, na ambitny amerykański film, klasyka gatunku…

Fajnie… ale, jaki to ma związek z

naszym tematem?

Spojrzeliśmy się po sobie z kolegą, który za chwilę do nas dołączy, robiąc mniej więcej taką minę: :/\[]{}:"{}:> :D:D:D

a Mariusz – absolwent Psychologii – wziął, głęboki oddech i łyka koli, po czym powiedział z pełnym przejęciem:

„Cholera… nieźli są!”

I widzicie… nie do końca zgadzamy się z tym wizerunkiem Hakera… Naszym zdaniem, prawdziwe zagrożenie, pochodzi

z wewnątrz organizacji i… wygląda zgoła inaczej…

Otóż w pewnej scenie, zły człowiek, HAKER, z korzeniami ewidentnie sięgającymi byłych krajów Związku

Radzieckiego, schroniony w pilnie strzeżonej jaskini, zlokalizowanej gdzieś głęboko pod ziemią, dzięki

nieosiągalnej dla zwykłych śmiertelników technologii, którą on sam parę minut wcześniej wymyślił, przejmuje

kontrolę nad wszystkimi telewizjami na świecie, włączając w to prywatną transmisję Gumisiów na pokładzie AIR Force One. Przekaz jest jasny – pokażemy wam gdzie

brzozy zimują…

Muszę wreszcie

zrobić porządek

z tymi kablami

w serwerowni…

Gdybym wiedział, że tyle was przyjdzie… wziąłbym

podwójną traw…stawkę

Ale nie kalajcie serc lękiem! Jam jest oto ten, który poprowadzi Was przez

morze niewiedzy ku Wyroczni, jak Mesjasz jaki

… …albo Przewodnik.

Z kim ja muszę

pracować…

Zdradzę Wam, dlaczego administrator potrafi

być czasem troszeczkę upierdliwy przy

nadawaniu uprawnieńBo rzekła Wyrocznia:

albowiemz owych uprawnień

eskalował będziesz…

• ANALYZE ANY• CREATE ANY INDEX• CREATE ANY

PROCEDURE, EXECUTE ANY PROCEDURE

• CREATE ANY TRIGGER

Ale nie wiedziała czy było to dobre…

A w efekcie można przejąć kontrolę nad

całym światem!!!Czyli po ludzku –

autoryzować publiczny klucz ssh i wleźć bez hasła na konsolę…

No dobra, Miszczu, ale czy nie wystarczy zaszyfrować przestrzeń tabel i wdrożyć Database Vaulta, żeby być

w 100% bezpiecznym?

Masz rację…

…nazywając mnie Mistrzem. Podstawowe wdrożenie można

złamać równie łatwo jak mój opór przed wieczornym browarem.

Chętnie bym to

zobaczył…

Zachęcamy do zapoznania się z merytoryczną częścią

naszej prezentacji.

Zawarliśmy ją dwóch poniższych artykułach:

ORACLE DATABASE VAULT AND TDE

Znajdziecie je na blog.ora-600.pl

oraz na itschool.pl/blog

SIMPLE TECHNIQUES OF PRIVILEGE ESCALATION

Na co on mnie znowu namówił…

Co Ty byś Kubusiu beze mnie zrobił…