Nieuwe tool kraakt Oracle-wachtwoorden
Gepubliceerd: Dinsdag 5 juni 2007
Auteur: Brenno de Winter
Hackers hebben enkele 'handige' hulpmiddelen uitgebracht waarmee het relatief eenvoudig is om de wachtwoordbeveiliging van Oracle-databases te kraken.
De hackers hebben hierbij handig gebruikgemaakt van een fout in de databasesoftware. Het probleem zit in de manier waarop de client en de server sleutels uitwisselen.
Dit blijkt uit een rapport (pdf) dat twee hackers op de website van The Hacker's Choice (THC) hebben gepubliceerd waarin het beveiligingslek uit de doeken wordt gedaan.
Om een aanval uit te kunnen voeren, dient een aanvaller wel toegang te krijgen tot de database. Ook kan de aanval worden uitgevoerd via applicaties die met de database praten. Als dit eenmaal is gelukt, heeft de aanvaller toegang tot de gebruikersnaam en zogenaamde wachtwoord-hash.
Volgens de hackers is deze hash echter eenvoudig te kraken. Dit omdat de hash met een zogenoemd 'fixed magicnumber' is gecodeerd. Een simpele combinatie van deze code en de gebruikersnaam wordt vervolgens gebruikt voor de des-versleuteling.
Met deze wetenschap is het mogelijk de hashes in enkele seconden te kraken, stelt het duo. Om hun gelijk te bewijzen hebben de ontdekker een Windows-applicatie gemaakt om dit uit te proberen.
Bron: Techworld
