Metode Baru Hacking Database Oracle Dipresentasikan

10:58:00 AM



Pada konferensi DerbyCon 2.0, pakar keamanan Laszlo Toth dan Ferenc Spala mempresentasikan beberapa serangan, termasuk yang sebelumnya belum dikenal, pada database Oracle dan server SQL. Mereka bahkan telah merilis perangkat yang dapat melakukan eksploit pada keduanya.

Dalam presentasi berjudul "Hacking the Oracle Client", Laszlo Toth mendemonstrasikan bahwa meskipun Oracle menyimpan nama pengguna dan password di database dalam format terenkripsi di dalam memori utama klien, data ini masih tertinggal di memori setelah sesi selai dan dapat dengan mudah didekripsi. Sebuah trojan, misalnya, dapat mengeksploitasi hal ini untuk memanen password dalam format plain-text dari klien, yang secara menakjubkan ditunjukan oleh ekstensi meterpreter ocioralog.

Videonya dapat dilihat di : http://tutorial.rumahilmu.or.id/inde...clehacking.flv

Para pakar ini juga mendemontrasikan bagaimana koneksi Oracle dapat dibajak dan dieksploitasi. Dikarenakan adalah celah keamanan TNS poisoning yang belum ditambal, pendekatan yang mereka lakukan ini berfungsi pada setiap database Oracle standar, kecuali jika ada perlakukan keamanan khusus pada listener TNS yang dipasang. Proxy TNS pytnsproxy yang dikombinasikan dengan modul Metasploit yang disebut tnspoison, memperkenankan seorang penyerang yang tidak terotentikasi untuk melakukan sniff atau memodifikasi koneksi ke database. Perintah SQL tertentu bahkan bisa dikirim menggunakan TNS Proxy.

Di bagian akhir, para peneliti menampilkan ekstensio meterpreter yang disebut oralog. Ekstensi ini adalah sejenis sniffer password yang menulis semua password pengguna database yang ada di dalam server database ke dalam bentuk file yang tidak terenkripsi. Ini adalah modul Metasploit lain yang dapat membuat seorang penyerang bisa mengeksekusi perintah sistem operasi pada lubang oradebug.

Ekstensi tersebut kini tersedia untuk para peneliti dan penguji keamanan.

Sumber : H-Online
Terjemah Bebas oleh http://forum.rumahilmu.or.id


Materi yang terdapat pada blog kumpulan materi komputer ini yaitu:

Judul: Metode Baru Hacking Database Oracle Dipresentasikan; Ditulis oleh Kumpulan Materi KomputerUnknown; Rating Blog: 5 dari 5


Posted In | 0 comments | edit

0 Responses to "Metode Baru Hacking Database Oracle Dipresentasikan"

Post a Comment

Newer Post
Older Post
10:58:00 AM

Metode Baru Hacking Database Oracle Dipresentasikan

Posted by Unknown



Pada konferensi DerbyCon 2.0, pakar keamanan Laszlo Toth dan Ferenc Spala mempresentasikan beberapa serangan, termasuk yang sebelumnya belum dikenal, pada database Oracle dan server SQL. Mereka bahkan telah merilis perangkat yang dapat melakukan eksploit pada keduanya.

Dalam presentasi berjudul "Hacking the Oracle Client", Laszlo Toth mendemonstrasikan bahwa meskipun Oracle menyimpan nama pengguna dan password di database dalam format terenkripsi di dalam memori utama klien, data ini masih tertinggal di memori setelah sesi selai dan dapat dengan mudah didekripsi. Sebuah trojan, misalnya, dapat mengeksploitasi hal ini untuk memanen password dalam format plain-text dari klien, yang secara menakjubkan ditunjukan oleh ekstensi meterpreter ocioralog.

Videonya dapat dilihat di : http://tutorial.rumahilmu.or.id/inde...clehacking.flv

Para pakar ini juga mendemontrasikan bagaimana koneksi Oracle dapat dibajak dan dieksploitasi. Dikarenakan adalah celah keamanan TNS poisoning yang belum ditambal, pendekatan yang mereka lakukan ini berfungsi pada setiap database Oracle standar, kecuali jika ada perlakukan keamanan khusus pada listener TNS yang dipasang. Proxy TNS pytnsproxy yang dikombinasikan dengan modul Metasploit yang disebut tnspoison, memperkenankan seorang penyerang yang tidak terotentikasi untuk melakukan sniff atau memodifikasi koneksi ke database. Perintah SQL tertentu bahkan bisa dikirim menggunakan TNS Proxy.

Di bagian akhir, para peneliti menampilkan ekstensio meterpreter yang disebut oralog. Ekstensi ini adalah sejenis sniffer password yang menulis semua password pengguna database yang ada di dalam server database ke dalam bentuk file yang tidak terenkripsi. Ini adalah modul Metasploit lain yang dapat membuat seorang penyerang bisa mengeksekusi perintah sistem operasi pada lubang oradebug.

Ekstensi tersebut kini tersedia untuk para peneliti dan penguji keamanan.

Sumber : H-Online
Terjemah Bebas oleh http://forum.rumahilmu.or.id


Materi yang terdapat pada blog kumpulan materi komputer ini yaitu:

Labels:

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)