Oracle数据库内部安全威胁:严重性

日期: 2009-12-23 作者:Don Burleson翻译:曾少宁 来源:TechTarget中国 英文

Independent Oracle Users Group (IOUG)在它的2009年度Oracle安全性调查中指出,令人不安的“内部安全性问题”继续作为Oracle IT部门的一个主要威胁。   例如,在2009年7月,Secret Service 逮捕了2名DBA,因为他们使用信用卡信息来盗取了上百万美元。这个事件突出了审查DBA的个人诚信和道德的重要性。   根据法庭的记录,被逮捕的其中一人是American Express的一个计算机数据库分析员,他是少数“可能能够下载所有帐号拥有者,包括从不同银行的ATM机存取现金的PIN码在内的信息”的人员之一。

另一个被捕人员拥有超过100张假……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Independent Oracle Users Group (IOUG)在它的2009年度Oracle安全性调查中指出,令人不安的“内部安全性问题”继续作为Oracle IT部门的一个主要威胁。

  例如,在2009年7月,Secret Service 逮捕了2名DBA,因为他们使用信用卡信息来盗取了上百万美元。这个事件突出了审查DBA的个人诚信和道德的重要性。

  根据法庭的记录,被逮捕的其中一人是American Express的一个计算机数据库分析员,他是少数“可能能够下载所有帐号拥有者,包括从不同银行的ATM机存取现金的PIN码在内的信息”的人员之一。另一个被捕人员拥有超过100张假冒的代金卷和信用卡,同时,这些被盗物资都已经使用来自American Express的有效客户的信息进行重新编码。

  DBA从他们的雇主处盗取信息的例子很多,并且人们一致认国所有安全机制都应该防止DBA对系统安全性拥有完全的权限,特别是审计跟踪,以便保护内部数据库安全。

  同时人们也很反对将Oracle外包,因为很多公司发现允许美国以外的人员访问他们的数据库是很不安全的。最近的一起由于海外外包引发的安全事件详细说明了Oracle部门是如何被盗取数据的海外支持公司所完全毁坏的。

  Oracle安全性问题可能损害你的公司到什么程度?

  很不幸,受信任的Oracle DBA滥用职权所犯下的罪行可能毁掉你的公司。更令我吃惊的是,有大量的Oracle职能部门在雇佣实际上完全没有数据防护的海外支持组织。

  有一个更著名的案例,我曾经负责修复一个专门收集房地产中介数据的Oracle部门的性能问题。当我分析系统问题时,我发现中间有小段代码在秘密盗取他们的数据并将它们以电子邮件方式发送到中国。当我向他们询问这方面问题时,他们说他们曾经出于节省资金的考虑而雇佣了一名加拿大人来担任Oracle DBA,但是他已经离职了。

  经过检查,电子邮件吸尘器(vacuum)非常高明和不显眼,并且已经秘密地偷取他们的数据达几个月时间了。它使用一个“root kit”,这是一个用别名替换标准Linux命令的方法,从而实现程序伪装以盗取数据。这样进程命令“ps”就被替换成“ps|grep –i vacuum”,所以这个进程不会出现在查找恶意程序的结果中。

  这个公司后来很快就停业了,它是将Oracle DBA活动外包到海外的“因小失大”方法的受害者。不幸的是,你不必成为一个使用root kit的行家,更糟糕的是,他们能够轻易地从Internet下载到。我将它报告给Charlotte, N.C.的FBI Cybercrime,而FBI告诉我有一个American公司也明显没有保护,有人能够从国外访问他们的服务器。

  那么,如果你不能信任DBA,你还能信任谁呢?

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • Notre Dame对云端SQL Server性能基准的探索实践

    确立SQL Server的性能基准,对于云端迁移来说是至关重要的第一步,一位来自于University of Notre Dame 的DBA表示,他正在试图通过数据库监控软件,找出SQL server的性能基准。

  • DBA必须掌握的数据库恢复管理技术

    如果没有备份副本,数据库管理员就无法还原数据库,所以DBA在恢复之前倾向于考虑备份是合乎逻辑的。 但是,对我来说,这种逻辑一直是错误的。

  • DBA也要和领导抢饭碗?

    数据库架构师Ziaul Mannan 认为,DBA有成为高管的潜在可能,而这种潜力在过去往往被忽视,他还将证明DBA技能到领导力的转变是可行的。

  • Oracle备份和恢复简史

    这些年来,Oracle数据库备份和恢复方式已经发生了重大变化,特别是在Recovery Manager(RMAN)功能有了进一步改善之后。