Уж сколько раз твердили миру, что любые заявления о неуязвимости сразу привлекают толпы хакеров, которые, как мухи, начинают виться над непробиваемой защитой и все-таки находят способы проникновения и вывода из строя неприступной системы.
Об этом писал и я в своей статье “Почему вы можете стать жертвой хакеров” (PCWeek-Online от 14 февраля 2002 г.). Так было раньше, так есть и сейчас, так будет и дальше. Этот тезис вновь подтвержден после выхода новой версии системы управления базами данных Oracle9i. Одним из основных эпитетов, которым награждали новую версию популярной СУБД, был “unbreakable” — “невзламываемый”.
Кстати, до сих пор на главной странице сайта российского представительства Oracle можно найти большое число ссылок по данной теме. Вот только несколько из них: “Независимые аналитики подтверждают “неуязвимость” СУБД Oracle9i”, “Нельзя сломать”, “Неуязвимость: Oracle9i Application Server 2”, “С выходом новой версии Вы можете спокойно доверить свой бизнес Oracle9iAS” и т. д.
После анонсирования девятой версии Oracle хакеры всех стран объединились с целью показать Ларри Эллисону, что он поторопился, назвав свое детище невзламываемым. И им это удалось.
Свою деятельность они разделили на два направления — взлом самого Oracle9i и взлом сайта компании Oracle. Первое направление практически сразу принесло свои плоды — 19 сентября была обнаружена уязвимость, которая приводила к раскрытию полного пути к файлу на Web-сервере. И хотя эта уязвимость имела самую низкую степень риска, она стала первой ласточкой, за которой последовали и другие.
Уже через месяц была обнаружена более серьезная уязвимость — посылка HTTP-запроса длиной 3094 символа приводила к тому, что загрузка процессора на узле с запущенным Oracle9i Application Server достигала 100% и он уже не мог обрабатывать запросы других пользователей.
Для возврата сервера в работоспособное состояние его приходилось перезагружать. В этот же день, 18 октября, было обнаружено еще три уязвимости, приводящие к отказу в обслуживании Oracle9i. Дальше — больше.
По данным группы X-Force, за прошедшие с появления девятой версии полгода было обнаружено 17 уязвимостей различной степени тяжести (см. таблицу).
| п/п | Дата | Краткое описание | Степень риска | Тип атаки | Платформа |
| 1. | 6.02.2002 | Oracle PL/SQL external procedure could allow a remote attacker to execute any library function | Высокая | По сети | Все версии Oracle8i, все версии Oracle9i |
| 2. | 6.02.2002 | Oracle9i Application Server long PL/SQL module request buffer overflow | Высокая | По сети | Все версии Oracle9i Application Server |
| 3. | 6.02.2002 | Oracle9i Application Server PL/SQL module HTTP client Authorizationheader buffer overflow | Высокая | По сети | Все версии Oracle9i Application Server |
| 4. | 6.02.2002 | Oracle9i Application Server PL/SQL module long cache directory name buffer overflow | Высокая | По сети | Все версии Oracle9i Application Server |
| 5. | 6.02.2002 | Oracle9i Application Server PL/SQL module adddad form buffer overflow | Высокая | По сети | Все версии Oracle9i Application Server |
| 6. | 6.02.2002 | Oracle9i Application Server PL/SQL pls module denial of service | Низкая | По сети | Все версии Oracle9i Application Server |
| 7. | 6.02.2002 | Oracle9i Application Server OracleJSP could allow a remote attacker to view sensitive information | Средняя | По сети | Все версии Oracle9i Application Server |
| 8. | 28.12.2001 | Oracle9iAS Web Cache null characters denial of service | Низкая | По сети | Все версии Oracle9i Application Server |
| 9. | 28.12.2001 | Oracle9iAS Web Cache allows an attacker to gain privileges using webcached daemon | Средняя | На узле | Все версии Oracle9i Application Server |
| 10. | 28.12.2001 | Oracle9iAS Web Cache stores admin password in $ORACLE_HOME/webcache/webcache.xml | Средняя | На узле | Все версии Oracle9i Application Server |
| 11. | 21.12.2001 | Oracle9i Application Server ModPL/SQL buffer overflow | Высокая | По сети | Oracle9i Application Server 1.0.2.x.x |
| 12. | 21.12.2001 | Oracle9i Application Server ModPL/SQL double decoding directory traversal | Средняя | По сети | Oracle9i Application Server 1.0.2.x.x |
| 13. | 18.10.2001 | Orace9i Application server administration interface port denial of service | Средняя | По сети | Oracle9i Application Server 2.0.0.1.0 |
| 14. | 18.10.2001 | Oracle9i Application Server HTTP header denial of service | Средняя | По сети | Oracle9i Application Server 2.0.0.1.0 |
| 15. | 18.10.2001 | Oracle9i Application Server Web services exits process unexpectedly | Средняя | По сети | Oracle9i Application Server 2.0.0.1.0 |
| 16. | 18.10.2001 | Oracle9i Application Server Web service long string denial of service | Средняя | По сети | Oracle9i Application Server 2.0.0.1.0 |
| 17. | 17.09.2001 | Oracle Application Server '.jsp' file request could reveal path to Web directory | Низкая | По сети | Все версии Oracle9i Application Server |
Самая последняя уязвимость, обнаруженная 6 февраля 2002 г., позволяла злоумышленнику удаленно выполнять абсолютно любое действие на сервере баз данных. Эта же дата ознаменовалась тем, что число уязвимостей Oracle 9i превысило число сертификатов качества (http://otn.oracle.com/deploy/security/seceval/content.html), выданных независимыми организациями, занимающимися тестированием в области обеспечения информационной безопасности.
В том числе Oracle имеет сертификаты соответствия “Общим критериям” (уровень EAL-4), Европейским критериям ITSEC (уровни E3/F-C2 и E3/F-B1), американской “Оранжевой книге” TCSEC (уровни C2 и B1) и даже российским критериям Гостехкомиссии России.
По словам Мэри Энн Дэвидсон, ведущего специалиста Oracle по информационной безопасности, “сертификация в сфере безопасности — не новая область для Oracle. Мы ведем такие работы уже более 10 лет”. На сайте Oracle приведена таблица, где сравнивается число сертификатов, полученных главными конкурентами — Microsoft SQL Server и DB2, которые имеют один (TCSEC по уровню C2) и ни одного сертификата соответственно.
И далее задается вопрос: “Кому вы будете доверять?”. Однако несмотря на то, что Oracle имеет 14 сертификатов, число обнаруженных в нем уязвимостей превысило допустимые пределы, поставив под сомнение не только способность компании Oracle создавать защищенную продукцию, но и непредвзятость организаций, выдавших вышеназванные сертификаты качества.
Что касается второго направления, то если хакеры и не достигли своей цели, то существенно попортили кровь администраторам Web-сервера www.oracle.com. По словам представителя компании Oracle, обычное число атак на ее Internet-представительство составляет около 3000 в неделю.
После начала рекламной кампании Oracle, в которой каждое сообщение электронной почты (и не только) сопровождалось текстом “Oracle9i. Unbreakable. Can't break it. Can't break in” (Oracle9i. Невзламываемый. Его невозможно взломать. В него невозможно проникнуть), число атак возросло на порядок и превысило 30 000 нападений в неделю.
Я сам, когда писал эту статью, столкнулся с тем, что сайт Oracle работает некорректно — многие страницы (по иронии судьбы посвященные именно безопасности) я просто не смог увидеть, так как Web-сервер Oracle постоянно выдавал мне сообщения об ошибках.
В заключение хочу сказать, что, несмотря на появление новых возможностей в различном программно-аппаратном обеспечении, в том числе и в новой версии Oracle9i, а также повышенное внимание к теме безопасности со стороны различных организаций и компаний, абсолютной защиты по-прежнему нет. И ситуация с Oracle — яркий тому пример.
