September 2016

Umsetzung des ersten Webcast für das Transparent JDBC Gateway für Oracle ( TJG-O ).

Knobelaufgabe:

Ein komplettes SQL Select Statement beim ersten Aufruf über das Gateway zu schicken ist nicht das Problem,
die dynamischen Rückgabewerte auch nicht. Wie man jedoch die Rückgabewerte einer View als Wrapper auf eine dyn. Tablefunction bei der ersten Abfrage ändert, ist die härteste Denksportaufgabe im Bereich Oracle Datenbanken,
die mir je untergekommen ist.
 
Die Profi Lösung sollte ohne SQL Translation Framework arbeiten damit 11g noch mit im Boot ist. 

Wenn jemand eine Idee hat, nur zu und bitte melden.

Anyway ...

Eine 'arme Leute' Lösung könnte für 12c mit dem SQL Translation Framework erfolgen.
Hier besteht die Denksportaufgabe darin, die Auswertung von sql_text auf true zu bekommen wenn lediglich
ein bestimmter Tabellenname im Select Statement enthalten ist.

August 2016

Optimierung Query Mode des Transparent JDBC Gateway für Oracle ( TJG-O ).

Wording:

Fremdatenbank :
Alles was mit JDBC ereichbar ist, inkl. der eigenen Oracle Instanz, wenn es so sein soll.
Remotetabelle:  Die Tabelle, die per JDBC abgefragt wird.

Im Beispiel liegt die Remotetabelle "M1_BIGTABLE" in der Fremddatenbank MariaDB/db_name.
Zur Orientierung dient der Connection Name 'M1' im Präfix.

Die Connection M1 wurde in der Oracle Session aufgebaut mit :

          
            exec  gw.get_conn( 'M1','jdbc:mysql://localhost:3306/db_name', 'username', 'password', 'conn_profile', 'ren=yes');

            oder bei neuerlichem Connect

            exec  gw.re_conn( 'M1','password');

Mit 'ren_yes' werden alle Proxy Objekte, die für MariaDB und diese Datenbank,db_name, username,  ... freigegeben wurden, mit dem Präfix 'M1_' umbenannt.

Die Lebensdauer der Connection ist im Default Connection Profile aus Sicherheitsgründen identisch mit der Oracle Session Lifetime. Der Parallelisierungsgrad beträgt im Default Connection Profile 1. Bis auf das Passwort
wird im Default Connect Profile die Connection ULRL unter dem Namen, z.B. 'M1' automatisch gespeichert.

Table Mode ( bisher und zukünftig ) :

            Modus setzen.

            exec  gw.set_tbl_prop('M1_BIGTABLE', 'Mode=Table');

            SQL Abfrage:

select count(*) cnt_id from m1_bigtable; 

  1.  Komplette Übertragung der Tabelle BIGTABLE an das Oracle Proxy Object 'BIGTABLE'.
      - optional als Oracle Table oder In Memory via Snapshot mit oder ohne fast refresh
  2.  Ausführung der Count Funktion durch die Oracle SQL Engine auf dem Proxy Object und Ausgabe

bzw.

Query Mode ( bisher ) :

  1. View erstellen:


          create or replace view q_cnt_bigtable_v as select count(*)   as cnt_id from m1_bigtable_q; 

  1. Abfrage auf View:


          select * from  q_cnt_bigtable_v;

Neben dem Proxy Objekt 'm1_bigtable' für den Table Mode gab es ein Proxy Objekt 'm1_bigtable_q' für den Query Mode.

Query Mode ( zukünftig ) :   

            Modus setzen.

            exec  gw.set_tbl_prop('M1_BIGTABLE', 'Mode=Query');

            Beim ersten Aufruf wird die SQL Query registriert.

            select count(*) cnt_id from m1_bigtable; 
                   Query registered  successfully !
      


             select count(*) cnt_id from m1_bigtable;  - > Result

  1.  Übertragung und Ausführung der Count Funktion auf der Remote Tabelle bigtable  z.B. in MariaDB
     Übertragung des Ergebnisses ( im Beispiel ein Datensatz) an das Oracle Proxy Object und Ausgabe. 

Es gibt fortan lediglich ein Proxy Objekt, welches sowohl  im Query Mode als auch im Table Mode verwendet werden kann.
Die Parallelisierung z.B. bei der Abfrage wird über das Setzen von Werten einer Eigenschaft aktiviert.

              exec  gw.set_tbl_prop('M1_BIGTABLE', 'ParallelQuery=4');

Join's sind ebenso möglich, sofern alle Tabellen des Joins in der Fremddatenbank liegen!

Unabhängig davon kann jede Tabelle einer Fremdatenbank bzw. JDBC Quelle in Oracle vorgehalten  werden.
Entweder im Speicher oder als Tabelle jeweils mit oder ohne Refresher.

________________________________________________________________

Neue Eigenentwickung :

Transparent Dataload Oracle > In Memory DB's
z.B. SAP Hana, MariaDB, usw.

Vollkommen transparent aus der Oracle DB z.B. via PL/SQL - SQL und asynchron

Mit Transformation auf  z.B. Columnstore Formate sowie Parallelisierbar!

___________________________________________________________________

In Planung:

Oracle DB Proxy der zwischen Application und Oracle DB  bzw. Oracle Dummy DB geschaltet wird.
Im einfachsten Fall wird die Connection 1:1 durchgereicht.
Vorteil : Keine Änderungen an der Application

Security Features:

  1. Application Filter auch für SQLPLUS / DBA's
  2. Alternative Daten  für z.B. Tests von anderen DB's auch mit dem Transparent JDBC Gateway.
  3. SQL Translation - sicher und auditierbar.
  4. Datenmaskierungen
    usw.

Weitergehende Features:

  1. Migrationen von Oracle DB's zu Whatever, ohne die Applications ändern zu müssen.


Juni 2016

Unified Auditing Oracle 12c in Practice Teil 4 (new  14.06.2016 )


März 2016


Unified Auditing Oracle 12c in Practice Teil 3 ( 09.03.2016 )

DWH/BIG DATA - Oracle Konferenz in Mainz
Gateway Port auf C++

Februar 2016


Gateway in Java und PL/SQL abgeschlossen. Vorführung und Verkauf  auf Anfrage.

Januar 2016

Unified Auditing Oracle 12c Teil 2 (update 10.01.2016 )

Update Tipps&Tricks : Unfied Auditing Oracle 12c 

Dezember 2015

Diverse Parallel Pipelined Tablefunctions teils mit ODCI erstellt.
Die Wirkung geht deutlich über das hinaus was man dem alten Monolithen Oracle DB zutrauen würde.
Dies besonders, wenn die Connectivity  Datenbankgrenzen überwindet.

November 2015

Update Tipps&Tricks : Unfied Auditing Oracle 12c ( update 26.11.2015 )
 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Im Backlog stehen folgende Artikel zu Oracle Security 12c:

Wie kann man die Nutzung von Translate any SQL auditieren und den Original-  und Ersatz- SQL protokollieren ?
Wie kann man die Nutzung von Inherit any Privileges auditieren samt Ausweisung der geerbten Privilegien?

Ob mir eine simple Lösung einfällt, welche Auditeinträge bei Mixed Mode 12c von sys.aud$ in das Unified Audit Trail überträgt, werden wir sehen. Eine View basierend auf einer Table Function welche sys.aud$ als Union an das Unified Audit Trail hängt sollte jedoch immer gehen.

Tipps&Tricks : Unfied Auditing Oracle 12c ( update 24.11.2015 )

August+Oktober 2015

Damit das JDBC Gateway auch für Massenabfragen genutzt werden kann, muss die Parallel Query Funktionalität von Oracle mit der Architektur des Gateways verheiratet werden. Dies gilt auch für Parallelized PipelinedTable Functions.

Damit lassen sich dann auch über Apache Hive Massendaten nach Oracle und zurück transportieren, sofern es genug Performance für den Java Anteil gibt.

July 2015

JDBC Gateway - ( Korrektur 25.08.2015 )

Volldynamische Variante  des JDBC Gateways erstellt.
 
select * from table ( gw.dyn_tbl ( 'MARIADB_CON_1', 'PRODUCTS' , 'S_GT_NF', 'DT_MAP_1', 'FULL' ) );
             Abfrage des erstellten Objects, sofern gewünscht.
   
             select * from "PRODUCTS@MARIADB_CON_1";

--------------------------------------------------------------------------------------------------------------------------------------------------------
 gw.dyn_tbl( Param_1,Param_2,Param_3,Param_4,Param_5,.. );
Param_1 :  Connection  -- im Beispiel hinterlegt und zur Erläuterung mit  Herstellernamen
Param_2 :  Table/View/Tablefunction, ..
Param_3 :  Persistenzverhalten
                   C_VM         -  Call Volatile Memory - flüchtig
                   S_GT_NF   - Session   Global Temp Table ohne Fast Refresh
                   P_MW_FR - Permanent   Fast Refresh
                  
 
Param_4 :  Datatype Mapping mt Lob,Geo,.. 
Param_5 :  Data Mapping
                        Anonymisierung
                        Verwürfelung
                        Verschlüsselung
                        Sichtbarkeit - Full /Partial/ Null / Fakedata
                    
                       
Param_6 :
...
Param_nm  optional



Juni 2015

Fast Key Generation for PGP in der Oracle Datenbank.
Aktuell für z.B. OraPGP von DidiSoft
Eigene Implementierung folgt.
Entscheidend für den Einsatz der asymmetrischen Verschlüsselung sind passende
Konzepte für die logische Partitionierung und die Lebensdauer von Schlüsselpaaren bzw.
PwdPhrases.

Mai 2015

Neue Version Audittransport  to SIEM für Unified Auditing.
Redundanzen bei den Daten vermeiden.Sicherheit und Performance gegen Aufwand!

April 2015

Hazelcast als In-Memory Technologie mit Java einzusetzen kann kostenintensive Lizenzen von kommerziellen Datenbanken sparen die diese Technolgie mehr oder minder aufwändig  anbieten. Es bietet sich daher an, diese Technolgie in mein JDBC Gateway einzubauen. JDBC ist hier vielleicht nicht das bevorzugte Mittel zur Umsetzung der Kernaufgabe. Es geht darum Massendaten performant in die Caches von In-Memory Datenbanken zu bekommen.
Das liegt mir.
Bestimmte Berechnungen via  SQL/ PLSQL mit dahinterliegendem JAVA in einem Hazelcast Cluster auszuführen klingt reizvoll.

__________________________________________________________________________________________________________

Das unsere Politiker nur sehr begrenzte Intelligenz besitzen dürfen, ist offenbar ein Naturgesetz. Das jetzt Unionpolitiker dem Bundesverfassungsgericht  Einfluß per Grundgesetztänderung entziehen wollen, zeigt die Geisteshaltung oder besser den Größenwahn dieser Leute. Da wird mal locker der Versuch unternommen einen Kontrollmechanismus auszuschalten.
Der Verfassungsschutz sollte sich diese Zellen mal näher anschauen...
__________________________________________________________________________________________________________

Bloß nicht auf eine technische Diskussion über verteilte Schlüssel reinfallen.Das wäre dem NSA Chef nur recht.
Es gilt die Bürgerrechte zu schützen und keinerlei Zugeständnisse zu machen.Cameron will gar Verschlüsselung ganz verbieten.
Wir heiß muss man gebadet haben ...

__________________________________________________________________________________________________________

Die größten Gefahren gehen nicht nur aktuell von einigen Vertretern der Wirtschaft und von Poliikern aus, jeweils diejenigen die mit ungeheurer  Macht ausgestattet sind. Die Geheimdienste sind in diesem Bild die Armprothesen, die ein ungewöhnliches Eigenleben führen. Wahrscheinlich gewollt.

Unseren Wirtschaftsminister Gabriel halte ich aktuell für den gefährlichsten deutschen Politiker.

VDS,TTIP, Waffenlieferungen, Fracking und all die Entscheidungen, die wir irgendwann beiläufig von unserer Wahrheitspresse
beigebracht bekommen, gehen auf sein Konto oder werden es.

Kein Grund den Kopf in den Sand zu stecken. Das Bundesverfassungsgericht, i.d.R. meine letzte Hoffnung, hat mich selten enttäuscht. Das Problem mit z.B. VDS ist allerdings nicht die jeweilige Gesetzeslage, sondern deren Auslegung durch Politik und Behörden sowie deren Umsetzung damit.
Auch in diesem Themenblock dürfte NSA und GCHQ das Know-How besitzen, wie man offiziell recht gut aussieht und dennoch macht was man will.

In der Rubrik Security++ gibt es fortan Artikel und Kommentare zu Themen, die nicht zwangsläufig etwas mit Datenbanken zu tun haben, allerdings im weitesten Sinne etwas mit Security. Dies natürlich vollkommen subjektiv.

JDBC Gateway.

Die GUI des JDBC Gateways nimmt Formen an nachdem ich mich gegen APEX entschieden habe.
Die erste Version wird in Swing realisiert. JAVA FX wäre eine Option.

Auch wenn ich die harte Tour wählte und manuell codiere,  möchte ich das Produkt XDEV, das in einer kostenlosen Variante erhältlich ist, ausdrücklich empfehlen. In einer kostenpflichtigen Variante gibt es sogar ein Grid welches visual grouping in einer Tabelle erlaubt. Es muss also nicht immer DotNet und DevExpress sein...

März 2015

Unter Tipps&Tricks ein Artikel zu Innentätern.
Nach Schätzungen werden 80-90% aller Angriffe auf Daten von Innentätern durchgeführt.

____________________________________________________________________________________________

DE-Mail soll mit PGP Plugin sicher sein

http://www.heise.de/security/meldung/De-Mail-integriert-Ende-zu-Ende-Verschluesselung-mit-PGP-2570632.html

Wie könnte man einen PGP Mailversand unterwandern ?
Den Mailtext zusätzlich symmetrisch verschlüsseln und z.B. an die PGP Verschlüsselung anhängen.
Die Länge der symmetrischen Verschlüsselung wird als letztes angehängt.
Den Schlüssel kennen der Mail Provider und alle anhängigen Dienste.

Februar 2015

In eigener Sache :

Anmerkungen zu meinen Artikeln sind jederzeit willkommen. Hinweise auf Fehler noch viel mehr.
Bevorzugt über Mail, Rauchzeichen und Lärmfeuer statt über Url-Injections ...

Januar 2015

Funktionalität zu programmieren ist man ja gewohnt, diese jedoch halbwegs sicher gegen Reverse Engineering umzusetzen, treibt den Aufwand extrem nach oben.

Man könnte glatt eine Verschwörungstheorie aufstellen über Java/ Dotnet CLR und andere Techniken mit Zwischencode.
War aber keine Verschwörung, jedenfalls keine explizite.

_________________________________________________________________________________________________________

Unser Innenminister will dem Staat ein Recht auf Schlüsselherausgabe bei Verwendung von Kryptografie gesetzlich zugestehen.
Im Sommer 2014 wollte genau dieser Innenminister Deutschland zum Verschlüsselungsstandort No.1 machen.

Wie man dennoch verschlüsselt kommunizieren kann, ohne den eigentlichen Klartext zu verwenden und  mit scheinbar gewöhnlichem Text, ist seit Jahrhunderten bekannt.
Unser Innenminister wird schon wissen, warum Wirtschaftsspionage offensichtlich staatlich steuerbar bleiben soll.
Leider fehlt den deutschen Schlapphüten ein Regin. Sind halt näher an Hagen dran ...

_________________________________________________________________________________________________________

Hier der Vergleich von zwei Entwicklungsumgebungen

Größe des Downlaods :

Pure Basic mit IDE 1100+ Befehlen/Lib's : ca. 30MB Win/Linux/MaOS - native Executables ohne DLL's /Shared Lib's möglich
Visual Studio 2012 Express ( nur)  Desktop  :  6.5 GB !

Einarbeitungszeit ohne Vorwissen der jeweiligen IDE für erfahrene Programmierer :

Pure Basic :  ca. 5 Minuten
Visual Studio : geschätzt  Monate bzw. Jahre um über Win32 API und an die zwanzig dem Turmbau zu Babel angelehnten Klassenbibliotheken durchzusteigen. Dies verbunden mit einem Geschichtsstudium der Microsoft "Konzepte' die sich regelmäßig ändern und ...

Preise :

Pure Basic  79 Euro  Bücher : 0 Euro
Visual Studio Express 2012  0 Euro  Bücher : ca. 50-100 Euro

Irgendetwas ist da wohl schiefgelaufen.
              

Dezember 2014

Matthew Green meinte einmal, nahezu alle kommerziellen Verschlüsselungsprodukte seien Junk.
Das bringt mich auf die Idee kommerziellen Database Security Produkten etwas mehr Zeit zu widmen.
Ein Verdacht kann dadurch ausgeräumt  bzw. relativiert werden. Als Vergleich sollen
Wegfahrsperren in Autos dienen, welche weit wirksamer sein könnten, als sie es aktuell sein dürfen.

Ein wenig erinnern mich so einige Database Security Tools an die Pläne der Autoindustrie bezgl. autonom fahrendener Autos.
Die Autodiebe wird es freuen, haben diese das System verstanden, fahren die Autos autonom zu ihnen bzw. zur entsprechenden
Zerlegungswerkstatt!

November 2014

DAM Sidekick ist in Arbeit.

Bevor einige große Softwarehersteller die Probleme mit ihrem DAM Tool überhaupt verstanden haben, sind wir mit dem Release 1.0 auf dem Markt.
Bevor einige große Softwarehersteller die Probleme mit ihren DAM Tool für nicht marktrelevant erklären, haben wir die ersten 10 Runden bei Kunden mit Anpassungen bezgl. des Betriebsablaufs hinter uns gebracht.

Bevor einige große Softwarehersteller die Probleme mit ihren DAM Tool behoben haben, ist Richard Branson wahrscheinlich regelmäßig auf dem Mars.

_________________________________________________________________________________________

Es wird Zeit für eine eigene Lösung, die zwischen DAM Tools / Database Audit und SIEM geschaltet wird.

DAM EventOptimizer

Core Features

  • Rule Based Intrusion Detection
  • Dynamic Event Aggregation


Benefits

  • High quality  events derived from n-Events
  • Significant data reduction e.g.  one Billion Events to 1 Event !

Erstmal für Oracle Datenbanken.

Weiterführender Link :

Über die Sinnhaftigkeit von Regelauswertungen für einzelne Datenbankstatements  ( new 14.11.2014 )


Juli 2014

DOAG News Artikel über Security abgegeben.
Wie man mit einem einfachen 'Schläferjob' System Database Trigger rechtzeitig verläßt und regelrecht aktiv wird, bevor es teuer wird, kann man in der nächsten Ausgabe nachlesen.

Juni 2014

Die Yikes University in Groningen wechselt  zu  Google's GMail.

Nachdem es in der Öffentlichkeit untergegangen ist, das sich auch die Schweden über die Nordsee Kabel hermachen,
werde ich bei meinem nächsten Besuch im Rheiderland eine Beschäftigung mit sogeannten Naturschutzgebieten
an der holländischen Nordseeküste in Erwägung ziehen. Ob sich die Bezeichnung Datenabzugsgebiete besser eignet,
wird sich zeigen.


Die Diskrepanz zwischen Lehre und Praxis an Universitäten und in Universitätsstädten ist mitunter deutlich.
Fährt man mit dem Auto oder dem Bus nach Darmstadt oder Gießen, bekommt man einen Eindruck von dem was nicht wohldurchdacht und sinnvoll plausibilisiert ist. Von der Verkehrsführung in Darmstadt ganz zu schweigen.
Die Websites der genannten Städte pflegen zudem das Paradigm : Ja, des weiss mehr doch!

Dem Schild Wissenschaftsstadt in Darmstadt sollte eine dezente Warnung beigefügt werden:
                                    'Theorie und Praxis sind zwei Paar Schuhe'

____________________________________________________________________________________________

Die Fussball WM ist stellenweise ein Sicherheitsfakor.
Ob Apple ohne die WM das Desaster mit den iphone Akkus je veröffentlicht hätte ?

Wer angesichts der WM ein gewisses Unbehagen spürt, kann diesen Feed abonnieren.

http://news.feed-reader.net/2410-bundestag.html


Mai 2014

Passwort :

Ein unbesiegbares Passwort  ist das von Chuck Norris : Die Zahl Pi.

____________________________________________________________________________________________


Google probiert sich an 'End to End' Verschlüsselung.Wird Ihnen für GMail auch nicht viel nutzen.

Werde nach  Abstimmung mit Kollegen den deutschen Anbieter Posteo vorschlagen. 1 Euro / Monat ist es mir das wert.
Posteo bietet übrigens einen Kalender mit Share Funktionalität.
Eine 'End to End' Verschlüsselung ist bei Posteo in Arbeit.

https://posteo.de/

Einziger Nachteil : Posteo's Sitz ist Berlin. Und dort gibt es drei Typen von Menschen : Normale Einwohner, Politiker und zweibeinige Agenten.

Welcher Anteil überwiegt, ist nicht überliefert.

______________________________________________________________________________________________________


Truecrypt Entwickler hat angeblich keine Lust mehr

Truecrypt wäre nicht mehr sicher. So steht es zumindest auf der umgeleiteten Truecrypt Website.
Wieder mal ein Feld, um hemmungslos zu spekulieren...

Hier meine Favoriten:
  1. Truecrypt ist zu sicher.Die Entwickler haben durch einen bestimmten Umstand postwendend keinen Bock mehr auf die Pflege von Truecrypt. Und das im Jahr 1 nach Snowden ...
  2. Die Entwickler arbeiten für einen Geheimdienst und haben Bedenken vor dem zweiten Teil des Audits durch Matthew Green.
  3. Die Entwickler haben Informationen über die neuen Möglichkeiten der NSA, wenn die Kühlung im Rechenzentrum mal funktioniert.

Was würde ich nur darum geben die Naivität einiger Jung-Redakteure erlangen zu können. Die glauben doch tatsächlich die Notlügen.

Möglicher Hintergrund :  Bitlocker besitzt evtl. Backdoors. Microsoft ist immerhin strategischer Partner der NSA.

Selbiges gilt übrigens für Oracle. Woher diese Ihre Erfahrung mit Big Data wohl haben und welche limitierte Resteverwertung auf dem konventionellen Markt damit stattfindet ? Aber das ist ein anderes Thema.

_________________________________________________________________________________________________________


Oracle 12c Expolit mit lediglich Create Session Privs von David Litchfield

http://t.co/ctknlyFXr2

Wirksame minimale Absicherung, falls nicht über Härtung realisiert :

  • revoke execute on dbms_java_test from public;
  • revoke execute on dbms_java  from public;
  • audit execute on dbms_java_test by access;
  • audit execute on dbms_java by access;
  • audit grant any privilege by access;

Die JVM aus der Oracle Datenbank zu entfernen ist nicht notwendig!

Allein zur Nutzung von überprüften Java - Cryptocode ( AES256, SHA2, SHA3 ,  ) rentiert es sich, die JVM mit wenigen Maßnahmen hinreichend abzusichern. Die JVM ist ab 11g aktualisierbar!

Anders ausgedrückt ist es wesentlich gefährlicher die JVM zu entfernen und z.B. den Packages DBMS_CRYPTO und DBMS_OBFUSCATION zu vertrauen. Das dies bislang gerade  britischen und US-amerikanischen Geheimdiensten den Rechenaufwand deutlich verringern könnte, sollte bedacht werden.

Bei einer Gesamtbewertung über Funktionalität und Sicherheit kann eine JVM in der Oracle Datenbank ein Segen sein. 

 

 _________________________________________________________________________________________________

Die APEX Anwendung für das JDBC Gateway -  MDB SQL Command ist in Arbeit.
Der APEX Listener heißt jetzt übrigens Oracle REST Data Services und APEX 5.0 könnte ein wichtiger Schritt werden.

Hoffentlich kann man bei APEX 5.0 IR's volldynamisch erstellen.
Dies ging bisher lediglich bei klassischen Reports!

Das Blondinen auch im APEX Geschäft wichtig sind, zeigen die PDF's von der MT AG aus Ratingen.

https://apex.mt-ag.com/pls/apex/f?p=SHOWCASE:APEX:0

 Die Welt is klein ...

___________________________________________________________________________________________________

Warum soll Quellcode in der Datenbank lesbar sein? Wie kann man Metadaten von Oracle Datenbankobjekten verschleiern ? Muss der DBA wissen, wo konkret kritische Daten gespeichert sind ?

Dies sind nur einige Fragen, die in einer Artikelreihe behandelt werden.
Gestartet wird mit dem Quellcode in der Oracle Datenbank und einem Plädoyer für Codegeneratoren und Obfuskatoren.

Secure PL/SQL Code   - dynamic vs. static

April 2014

Nach fast 20 Jahren hat es nicht nur meinen Uralt Account bei AOL erwischt.
Die Kontaktliste wurden sehr wahrscheinlich ausgelesen und wird von irgendwelchen 'Spielkindern'
für Spammails mißbraucht. Die Mails wurden laut Heise teilweise mit gefäschtem Absender und damit nicht über AOL Server
versendet. Meine Normal Passwörter sind 12-20 Stellen lang und besitzen selbst für die NSA eine hinreichende Kompexität.

Damit sind die Erklärungsmuster recht übersichtlich

Da E-Mails und Kontaktlisten von bis zu vor drei Jahren stillgelegten AOL Accounts benutzt wurden,
muss ein aktueller Angriff nicht zwingend vorgefallen sein.

Alternativ könnte tatsächlich die  Kunden Datenbank  gehackt worden sein, soweit diese alle Daten von Anbeginn der AOL Zeit enthält.( 'Is Delete necessary?')

Für Variante 1 bleiben nicht viele übrig, die jahrelang solche Daten gehortet haben und und bis Ostersonntag nicht verwendeten.
Wahrscheinlicher klingt eine schlecht abgesicherte Kunden DB. Die Sache mit dem schwächsten Glied eben ...
Das bei diesem Angriff das Passwort nicht geknackt werden musste, ist wahrscheinlich, wenn alle weiteren Daten, inkl. der Kontaktdaten, unverschlüsselt in Tabellen abgelegt wurden.
Da hat O2 wohl seine Hausaufgaben nicht gemacht. ( Active Monitoring, Metadata Obfuscation, Data Distribution, Data Encryption ,...)


Interessant ist die Tatsache, das ich drei Tage zuvor den Uralt Vertrag aus dem Jahr 1996 gekündigt hatte.

Alle Empfänger von SPAM über den Absendernamen dieses nun ehemaligen Accounts, sollten diese SPAM Mails ungelesen und ungeöffnet löschen. 
Sorry für die Unannehmlichkeiten ...

http://www.heise.de/security/meldung/Spammer-Angriffswelle-auf-AOL-Mail-2174085.html

Update : 29.4.2014

AOL räumt ein, das jemand die Datenbank gehackt habe samt verschlüsselter Passworte.

Von selbst springen Daten eben nicht zu Hackern ...

Tipp 1:
Legen Sie sich immer einen E-Mail Account an, der keinen direkten Rückschluß auf ihren Realnamen zulässt. Diesen Account fügen Sie dann zu jeder Ihrer Mail- Kontaktlisten hinzu.

Tipp 2: Wenn Sie Uralt Accounts aus irgendwelchen Gründen nicht löschen wollen, sollten Sie dies jedoch für die gesamte Kontaktliste tun. Ja, jetzt weiss ich es auch;-)


März 2014

Beta Version   :  MDB SQL Command Expert

JDBC Gateway
für Oracle EE  

 _______________________________________________________________________________________________
 

Januar  2014

Das Backlog wird langsam kleiner!

Dezember  2013

Ein komplettes Beispiel für einen Schutzschild am Beispiel DDL Trigger ist in Arbeit.
Das bezahlbare Gateway aus der Oracle DB zu allen JDBC Quellen mit verteilten Abfragen ebenfalls.

November  2013

Der Vortrag 'Oracle Database Security mit Bordmitteln' wird über den IT-Stammtisch Darmstadt  organisiert.
Organisatorin :   Cosima Jörgens


Termin : 27.11. 2013, 18:30  Raum D14/104, h_da (Fachhochschule DA, Informatikgebäude),
Schöfferstraße 8, Darmstadt.

http://www.it-stammtisch-darmstadt.de/vortraege/oracle-database-security.html

 

Der Vortrag versucht für relevante Sicherheitslücken praxinahe Hilfestellungen zu vermitteln.
.

Oktober  2013

'Prism Break'  Ein Vortrag mit Workshopanteil zum Thema 'Agenten Arbeit machen' in Darmstadt.
28.10.2013  18:30-21.30 House of IT, Mornewegstr. 30, Darmstadt, Raum 3.1.01 (3. Stock)

http://www.it-stammtisch-darmstadt.de/vortraege/prism-break.html

Organisator : IT - Stammtisch Darmstadt, Cosima Jörgens
Speaker : Christoph Weinandt und Dieter H. Herold

Für Laien gedacht bzw. diejenigen, die mit PGP und S/Mime noch keine oder wenig Erfahrung haben.

_________________________________________________________________________________


PUF's ( Physical Unclonable Functions) sind der Schlüssel zu sicheren Schlüsseln

Puffin Workshop  am 3.11.2013 in Berlin
Projektleiterin : Prof. Tanja Lange

http://puffin.eu.org/index.html


September  2013

 

Heise events : Eine Konferenz zum Thema Wirtschaftsspionage und Schutz am 3.12.2013 in München.

Prism, Tempoa & Co Konferenztag.

http://de.amiando.com/heise_PrismTempCo.html?page=1024561


Empfehlung des Vortrags :

New directions for Trustcenter based services in the cloud:
Authentication, Signature, Identity verification and provisioning


_______________________________________________________________________________________________________

11g XE ist wie ein Auto mit drei Rädern aber Vierradantrieb.
Wer eine ACL erstellen will, die bekanntlich nur über eine vollständig funktionierende XDB Datenbank abzusetzen ist,
muss vorher von einer passenden Standard oder EE 11g Installation fehlende Ordner und Dateien in den XML Ordner kopieren.
Dann XDB deinstallieren und wieder neu installieren.


August 2013

Ein Umzug, fast ohne Ende.

Seit Mai war ein nicht endendes Kistenschleppen angesagt. Die letzten zwei Wochen hatte ich  Alpträume, in denen  Geheimagenten der NSA ( No Sense Activities ) , GCHQ ( Global Cummulative Hidden Queries ) sowie des BND
( Beamten nach DIN ) nachts Kisten in meine alte Wohnung stellen, die ich dann am Tag
wegtragen darf. Werde nie wieder etwas Materielles kaufen!

Am 31.8 ist es dann hoffentlich geschafft..


Juli 2013

Neue Produkte, vorerst für Oracle :
  • PL/SQL Treasure
  • DATA Treasure
Zwei Packages für den Hochsicherheitsbereich.
Faire Preise und einfaches Lizenzierungsmodell

               Price per Oracle instance !
________________________________________________________________________________

Sie  können nichts tun gegen das Ausspionieren ?
Dann lesen Sie folgendes ...
 

Kommentare :  

  • Sollten deutsche Unternehmen auf Non-US Software und NON-GB Tools ausweichen ?


__________________________________________________________________________


Umzug !

Nein, vorerst nicht auf NON-US Software, sondern real.
3000 Bücher wollen verpackt, transportiert und wieder ausgepackt werden.
Vom Bau des Index ganz zu schweigen.
Die Bücher von Michael Tischer, Donald Knuth, Andrew Tanenbaum und Richard Stevens
bekommen einen Sonderplatz.
20 Rechner aus drei Dekaden bevölkern ein Zimmer und warten auf Inbetriebnahme.

Juni 2013

Neue Produkte :

  • FILE_CHANGE_DETECT

Tipps und Tricks :

  • Data Treasures oder warum verschlüsseln nur bedingt hilft

Mai 2013

APEX 4.2.1 und APEX Listener 2.0.1 leiden unter der typischen Oracle Krankheit. Viel Funktionalität, jedoch schwache und nicht vollständig plausibilisierte Install / Config Usability. Habe mich doch glatt  bei Aktivierung einer Security Option aus APEX ausgesperrt. Dank an Dietmar Aust.

April 2013

Ausbau Toolbox Datenbank Härtung sanft bis hart via PL/SQL inkl. Code / Data Treasure.

März 2013

Ausbau High Secure PL/SQL  mit anonymen PL/SQL Block inkl. Selbstzerstörung im Memory. Block bleibt encrypted oder obfuscated bestehen. - Kein Recompile mehr notwendig !

Neuer Ansatz für  Detecting und Behandlung  aller Select's gegen beliebige Anwendungstabellen. Die Möglichkeit für Information Hiding inkl. null oder terminate  Session sind gegeben.


 Neuer Ansatz zur Erkennung illegaler  Manipulation von Oracle 'aud'  Files aus der Datenbank heraus.
Setzt eine gehärtete DB inkl. eines autarken Security Datenbankschemas voraus.

Siehe Tipps & Tricks 

  • SYS_GUID() als Default Function spart bis zu zwei Trigger

  • Die Macht der Virtual Columns 
     

Januar 2013

Für Prototyping und Light-Weight Win Executables hier ein Tipp aus der Steinzeit :
PureBasic formely Amiga Basic . Einfach, übersichtlich, kleine und standalone laufende Exe's, Sektenfaktor 0,001.

Erweiterung für Hedgehog, cron delete archive files older than x days,
MSSQL Server erzeugt mit an die 40 Executables erhebliche interne Connections , die ohne Exception, als Alert  in Hedgehog hochpoppen. Fleißarbeit war hier gefragt.


Dezember 2012

APEX 4.2.1 released !

Oracle System Events  können  durch die APEX Architektur zumindest für APEX Anwendungen nicht verwendet werden.
Apex schleust jedes Statement durch NDS bzw. dbms_sql.


Vortrag Node.js von Golo Roden über JUG in Darmstadt. Das alte Prinzip der nonblocking call's wird mal konsequent
eingesetzt. Warum Node.js lediglich eiinen Thread erlaubt, ist mir schleierhaft. Für alle, die es noch nicht wissen:
Nginx ist einer der wenigen Webserver, der nicht pro Request einen Thread aufmacht.
Die Haupterkenntnis des Vortrags war jedoch ->. Javascript ist eine richtige Programmiersprach
e!
Funktioniale Programmierung macht Spaß.


OCILIB v3.11.0 released (12.12.12)

November 2012

DOAG  Konferenz in Nürnberg : Einige interessante Vorträge. Zwei Vorträge zum Thema PL/SQL zeigten leider eher,wie man es fachlich lieber nicht machen sollte. Der Vortrag von Carsten Czarski hat dafür entschädigt.

Oktober 2012

Mein Ansatz zum Thema 'Secure PL/SQL Programming'

siehe unter Tipps & Tricks ( new 25.10.2012)


____________________________________________________



O5LOGON Cryptographics Flaws in Oracle Auth Protocol

Workaround :

@Oracle :
Step 1:
Please detect every access on password / spare4  in sys.user$  via sysevents.
If you use caching for such data, please change it to a hot cache implementation. Trigger event for refreshing the cache is every relevant  commit; This prevents logins with non existent user accounts. Every cache access for pwd hashes, salt or spare4 should also be detected via sysevents.
 
Step 2:
With a system trigger it should be possible to isolate aborted login attempts. In those cases,  every company could write specific handlers. Perhaps locking the account or changing the password, ...
 
Level 1 Bugfix :

@ORACLE : Change the login procedure steps from server side view. Think your client is your fancy woman - foreplay. To show the AUTH_KEY so early is like a young man, who will ...

Level 2 Fix :

@ORACLE : Develop an API for a customized login workflows, dyn. change of protocols, and dyn. change of encryption algorithms. Next step : Install a test /pen test center.
Companies can test their customizing.The result of these tests is a security rating. Benefit for Oracle : Customers are responsible !


Juni 2012 :

Stiftung Datenschutz

Kommentar :

Das es Zeitgenossen gibt, die im Umgang mit Ihren Daten Beratung brauchen steht zweifelsfrei fest. Leider haben wir durch die Medien den Eindruck, das es sich hierbei hauptsächlich um Teenager mit öffentlichen Facebook Parties oder um einfach gestrickte Zeitgenossen handelt.  Ich denke, das hauptsächlich in nicht wenigen Firmen das Thema Datenschutz gelinde gesagt ' massiv verdrängt' wurde. Ähnlich wie bei dem Datenbankhersteller Oracle lautete die Devise : Funktionalität ging/geht vor Sicherheit.

Zurück zum Privatmenschen.
Warum könnte Otto Normalverbraucher dazu angehalten werden, nur wenig Daten von sich preiszugegeben ?
Diese Frage impliziert aus Sicht bestimmter Behörden, das die wenigen Daten sensibel sein könnten oder besser sollten.
Gibt es da etwa ein Problem mit der Auswertung von BIG-DATA?

Um es kurz zu machen : Der beste Schutz von ganz normalen Privatpersonen besteht aktuell in der Flutung der 'Abhörer' mit  scheinbar interessanten Daten. Dies allerdings mit Verstand.  Pflegen Sie diverse virtuelle Identitäten, suchen Sie offen ohne 'Ghostery'  in Google nach allen Dingen die Sie interessieren. Es gibt aus meiner Sicht exakt zwei Tabus : Kinderpornographie und gewaltverherrlichende Seiten.
Wenn Sie hingegen wissen wolllen, wie eine chemische Waffe aufgebaut wird, versuchen Sie das Wissen darüber zu erlangen. Es wirkt befreiend und Sie dürfen es !
Wenn Sie konsequent mit Desinformation den Aktivitäten des ehemaligen Innerministers Schäuble begegnen wollen,  verwenden Sie Tools zum automatisierten Surfen. Allein die Keywords einzugeben, macht unheimlich Spaß. Es gibt nicht wenige Psychologen, die von einer gezielt gesteuerten Angstgesellschaft sprechen.

Sind Sie allerdings eine Person des öffentlichen Lebens, empfehle ich eine konservative defensive Strategie : Alles verschlüsseln ( Mail, Platten, Dummy Konten )  - PGP &Co !
 

Warum also diese Stiftung, die sich nach dem Kick-Off offensichtlich durch Gelder aus der Privat-Wirtschaft finanzieren soll ?  Ein klassisches Dilemma.
Abgesehen von dem Deckmäntelchen der Aufklärung ( Umgang mit FB&Co ) wittert unsere Regierung doch schon etwas Wirtschaftpotenzial im Datenschutzbereich und ein Hauptthema der diesjährigen Cebit war dies auch noch. Die Firmen hingegen benötigen Internetverbraucherdaten um ihre Produkte gezielter zu verkaufen und haben nur begrenztes Interesse, den Verbraucher aufzuklären. Was bleibt also übrig, außer einen zahnlosen Tiger zur Welt zu bringen.
 


Mai 2012 :

Hedgehog Regelsatzframework
File Schnittstelle Oracle/SAP  - Auditdata -> SIEM
 - Directory versus dbms_backup_restore
Repscan Baselines - Scan's
Entwicklung eines Gewichtungsstandard für Datenbanksicherheit-
in Abhängigkeit von Signifikanz und Quantität.
Schnelle Suche in PL/SQL Source



April 2012 : 

Oracle Listener Exploit  im RAC :

Eine Härtungsmaßnahme :
Check auf neue Instanzen im Cluster
gv$database  -  creation date of instance
Eventhandling : Geht nicht über CQN aber mit Logminer nativ
Intervallgesteuert oder Eventhandler.

Kommentar :

Oracle wusste 4 Jahre Bescheid und will aus 'Komplexitätsgründen' nicht ran
an den Fiix. Gibt es da einen einzelnen Entwickler für RAC, der seinen eigenen Code nicht
mehr versteht ? Klingt irgendwie nach Softareentwicklung im Jahr 1985. Damals musste man erstmal im Wörterbuch nachschauen, was das Wort Backup ausmacht, ausgenommen dem Host.

____________________________________________________________________________

Interessanter Auftrag, der mir folgende Erkenntis brachte :

Der Transport von Audit-Daten hat nicht zwangsläufig nach dem Motto : Und weg - Tschüss ! zu funkionieren.
Neben einem Zeitintervall gesteuerten Transport der Audit Daten sollten Tansportereignisse definierbar sein.

1.)  Prioritätsgesteuert  - z.B. sofort Transportieren,wenn jemand in der Audit$ updates fährt - Vorsicht : Oracle macht das mitunter Implizit - Alarm direkt an Larry Ellison;-)
2.) Mengengesteuert  - Die Menge der Auditeinträge soll z.B. 10.000 Einträge nicht überschreiten.

__________________________________________________________________________







März 2012 :

Alpha Release von SEC'AUDIT - siehe Produkte

Objectchange        : insert, update, delete - alter, drop
Result Set change  : select number, varchar2 from ...; 

OCI native, PL/SQL

_____________________________________________________

Audit Config/Report Frontend für Oracle via APEX 

  • Standard
  • Sys
  • FGA
  • optional Change Notification Tool

Migration of Standard Auditing - Tablespace- Table - Housekeeping

Output :
  • TABLE
  • XML
  • TEXT
  • SYSLOG/SYSLOG_NG
  • CUSTOMIZED 

________________________________________________________

Februar  2012 :

Erster Prototypen in C bzw. C++ via OCI/OCCI:
  • Oracle Systemtabellen  : Änderungen tracken( und zwar alle ! ) 
War das OCI 1986 unter MS-DOS nur rudimentär dokumentiert,  gleicht die native Verwendung heutzutage einem schwer nachvollziehbaren Hürdenlauf, der offensichtlich vielfältige firmenpolitische und weniger technische Hintergründe besitzt.
Das Ganze wirkt wie eine Mehrfach-Verkomplizierung. Aus Sicht der Security bzw. der Angreifbarkeit vielleicht sogar nachvollziehbar.

Wer nativ mit OCI und Windows sowie Microsoft Visual Studio arbeiten muß, dem sei Visual C++ 2008 empfohlen. Express Edition ist hinreichend.

Der alte Borland Compiler 5.5 ist übrigens wieder frei verfügbar.

http://edn.embarcadero.com/article/20633

Klasse !


______________________________________________________


Januar 2012 :



Oracle CPU vom 17.01.2012


Weiche Obergrenze SCN - Exploit - gefixt mit CPU vom 17.01.2012

PL/SQL Programme zur Password Erzeugung
und Ermittlung der ungültigen Zeichen für ein Passwort relativ zum Zeichensatz der Datenbank.  Siehe Tipps & Tricks

Dezember 2011 :  Unmögliches Passwort setzen

Unmögliches Passwort in 11g setzen-siehe Tipps & Tricks
Externe SHA-1 Verifizierung - positiv !


November 2011 :  Oracle / SAP / Database Vault und HSM


Seltene Kombination in einem Projekt. Es soll HSM's geben, die sich bei mittlerer bis heftiger Bewegung datentechnisch zerstören!


November 2011 :  DOAG in  Nürnberg


Stand : Red Database Securit und McAfee

Interessante Vorträge zum Thema Security.


Kerberos und Oracle - Trivadis Jürgen Kühn

Best of Security        - Red Database Security Alexander Kornbrust


Oktober 2011 :  Erster Einsatz mit McAfee Database Activity Monitoring


Als Alternative zu Oracle Database Vault eignet sich das genannte Tool

zum Überwachen von Datenbanken.

Durch eine spezielle Architektur ist es möglich nach Regeln nicht zugelassene Transaktionen vor der Durchführung abzufangen und ggfs. abzubrechen.

 

Oktober 2011 :  SIG Security Leipzig


Der Verfassungsschutz und die Story vom bösen chinesischen Hacker

HSM's

Activity Monitoring

Security Leaks - become user !



July  2011 :  Kooperation mit  Red Database Security


Im Bereich Datenbank Security  begann im July  eine strategische Zusammenarbeit
mit Alexander Kornbrust im Bereich Consulting und Produktentwicklung
 
* Databankaudits - via McAfee Security Scanner for Databases -ehemals Repscan
* Datenbankhärtungen
* Datenbank Security Konzepte
* Konzeption und Aufbau von ISMS 
* Sicherheitskonzepte/ Vorgaben für die Softwareentwicklung ( PL/SQL, JAVA, Dot.Net)
 

15.08.2011

Einführung in das McAfee Tool Data Security Scanner, ehemals Repscan,
vom geistigen Vater des Tools.


________________________________________________________


7.6.2011

Vortrag : Daten(un)sicherheit am Beispiel von Oracle Datenbanken


in der Hochschule Darmstadt.


http://www.it-stammtisch-darmstadt.de/vortraege/dbsicherheit.html