• Tweet

Experto en seguridad de Oracle advierte sobre una debilidad en PL/SQL

El empaquetamiento del lenguaje de programación usado para escribir procedimientos y comandos en la base de datos de Oracle no es tan robusto como se puede pensar. De hecho, un experto afirma que puede ser utilizado para tener acceso a datos sensibles.

Esta advertencia fue hecha por Pete Finnigan, autor y encargado de un blog sobre la seguridad de Oracle.

Finnigan lanzó recientemente un documento en el que ilustra cómo vulnerar la capa protectora de la extensión del Procedural Language del Lenguaje Estructurado de Búsquedas de Oracle (PL/SQL), y dio una presentación sobre el tema en la conferencia Black Hat USA 2006 en Las Vegas a principios de este mes.

Muchas compañías asumen erróneamente que el mecanismo usado por PL/SQL es tan fuerte como el cifrado estándar, dijo, por lo que su presentación fue diseñada para ejercer presión a los administradores de base de datos (DBAs) en ese sentido.

“El problema más grande es que muchas compañías han utilizado PL/SQL para implementar lógica de negocios en la base de datos y tienen una falsa percepción de que sus secretos comerciales y la propiedad intelectual están seguros si el código está empaquetado,” dijo Finnigan. “Los DBA’s deben estar concientes de por qué la aplicación puede ser vulnerada, ya que datos críticos tales como llaves usadas para cifrar tarjetas de crédito pueden ser encontradas y con ello robarse las tarjetas.”

Finnigan dijo que no ve la debilidad como una vulnerabilidad del software que pueda ser parchada fácilmente. Dijo que es un problema inherente a las decisiones de diseño de Oracle hechas hace algún tiempo. Eligió específicamente utilizar un tipo de datos abstracto llamado Notación Descriptiva Intermedia para ADA (DIANA) como la herramienta de ofuscación para ocultar la propiedad intelectual escrita en PL/SQL, y más recientemente eligió utilizar un algoritmo simple en la versión 10g de la base de datos para cifrar el código de fuente de PL/SQL.

Mientras que él percibe este asunto como una debilidad en el lenguaje de programación, Finnigan no ha visto ninguna evidencia directa de los hackers intentando explotarla.

“No he visto evidencia de que los hackers estén utilizando desempaquetadores, a excepción de unos hackers que hace algunos años desempaquetaron todos los paquetes de Oracle y los publicaron en la red,”, dijo, “Sé que la mayoría de las compañías de seguridad implicadas en productos y servicios de seguridad de Oracle están utilizando desempaquetadotes para encontrar problemas tales como SQL injection y bugs cross-site scripting, y también analizan las actualizaciones críticas de parches lanzados por Oracle, para entender qué ha sido parchado y cómo el bug original se podría explotar.”

Después de revisar el documento de Finnigan, un portavoz de Oracle estuvo de acuerdo en que los DBAs nunca deben considerar al empaquetador PL/SQL como un sustituto para el cifrado.

El mecanismo de empaquetamiento convierte datos en números y símbolos para ocultar el código de fuente, lo cual es otra barrera entre los datos sensibles y los intrusos, pero nunca fue considerado como una forma de cifrado.

“Aunque el empaquetamiento hace difícil la ingeniería inversa, no la recomendamos para ocultar contraseñas y datos por el estilo,” dijo el portavoz. “Ésto es ofuscación, no cifrado.”

La presentación de Finnigan en el Black Hat no fue la única enfocada a la seguridad de Oracle. Alexander Kornbrust, investigador de seguridad de la base de datos y director de la firma alemana Red-Database-Security GmbH, dio una presentación sobre cómo los atacantes podrían utilizar rootkits para comprometer una base de datos de Oracle.

David Litchfield, director de administración de Next Generation Security del Reino Unido, no utilizó su tiempo para enfocarse específicamente en las vulnerabilidades de Oracle como lo hizo en pasadas conferencias Black Hat, pero criticó al gigante de base de datos por no estar tan atento en la seguridad como debe ser, y llamó a la seguridad de la base de datos “el más grande problema que enfrentamos hoy en día, en cuanto a tecnologías de la información se refiere.”

Don Burleson, experto en Oracle y CEO de Kittrell, dijo que la seguridad de Oracle es mucho más fuerte de lo que alguien puede sugerir y que la amenaza más grande para la seguridad de la base de datos viene de los DBAs que incurren a menudo en fallas en la configuración, dejando los sistemas abiertos.

“En cada una de las vulnerabilidades publicadas sobre Oracle ha estado involucrado alguien en el exterior que sin un identificador de usuario no podría explotar la vulnerabilidad,” dijo. “Cuando veo estas vulnerabilidades, encuentro que son explotadas debido a la mala configuración hecha por los DBA’s. Por lo que la mayor culpa la tienen los administradores y no las fallas que pueda tener Oracle ”