Tool bricht in Oracle Datenbanken ein
Forscher wollen auf den Hacker-Konferenzen ‘Black Hat’ und ‘Defcon’ ein Tool veröffentlichen, das über verschiedene Wege in Oracle-Datenbanken eindringen kann. Die besondere Stärke des Werkzeugs lieg im Bereich SQL Injection.
Chris Gates und Mario Ceballos wollen auf den Veranstaltungen Defcon und Black Hat in Las Vegas die ‘Oracle Pentesting Methodology’ vorstellen sowie sämtliche Tools, die für einen Einbruch in eine Oracle-Datenbank nötig sind als Hilfsmodule für das Hacker-Tool Metasploit veröffentlichen.
Diese Tools richten sich jedoch nicht an Kriminelle, sondern sollen, wie Gates in einem E-Mail-Interview mit CBS Interactive mitteilte, Unternehmen den Test ermöglichen, ob die eingesetzten Systeme verwundbar sind. “Bislang gibt es einfach noch keine guten, freien Werkzeuge, um eine Oracle-Datenbank zu prüfen.”
Gates, der Mitglied im Metasploit Project ist, erklärte auch, dass er sich nicht mit Oracle in Verbindung gesetzt hätte, weil die Lecks und Exploits, die sein Tool testet, alle bekannt seien. Auch Wege, wie sich diese Risiken minimieren lassen, seien schon bekannt.
Eine Hilfestellung für Hacker und Kriminelle sieht Gates in seiner Software jedoch nicht. “Es gibt eine Vielzahl von Tools, die genau das machen, was unser Tool auch kann. Unser Werkzeug vereinfacht lediglich den Testprozess.” Und auf diese Weise könnten Administratoren leicht feststellen, ob alle relevanten Patches aufgespielt wurden. Sein Tool sei das erste frei verfügbare Tool, das sämtliche SQL Injection-Verwundbarkeiten aufzeigen kann.
Von Oracle liegt zu dem Tool derzeit kein Kommentar vor.