Onderzoekers demonstreren nieuwe databaseaanval
Gepubliceerd: Donderdag 2 augustus 2007
Auteur: Wilbert de Vries
Onderzoekers hebben een aanvalsmethode gedemonstreerd die hackers toegang kan geven tot databases zonder hiervoor misbruik te hoeven maken van een lek in de beheersoftware.
Voor deze aanval gebruiken de onderzoekers van de Core Security Technologies zogenoemde timing attacks. Dit is een techniek om algoritmes bij databases die 'btree' gebruiken te ontcijferen.
Btree is het meest gebruikte algoritme voor het indexeren van databases en datastructuren. Tijdens hun demonstratie, op de Black Hat-conferentie in Las Vegas, hebben de onderzoekers een Mysql-database gebruikt.
Hackers krijgen vaak toegang tot databases door een lek in de front-end applicatie of fouten in het toegangsbeheer. Volgens de onderzoekers is dit bij hun methode echter niet nodig.
"De nieuwe aanval maakt alleen gebruik van de onsamenhangende karakteristieken van de indexeringsalgoritmen die de meeste commerciële beheersystemen van databases gebruiken", zeiden Core-onderzoekers Ariel Waissbein en Pablo Damian Saura tijdens hun presentatie.
Voor hun methode maken de onderzoekers handig gebruik van de mogelijkheid om records aan de database toe te voegen, een handeling die veelal beschikbaar is voor alle databasegebruikers, waaronder anonieme gebruikers en webapplicaties.
Door te timen hoe lang het duurt om bepaalde soorten inserts te doen, kunnen aanvallers deduceren wat voorafgaand aan de aanval is toegevoegd.
Bron: Techworld
