Esteban Fayó (Application Security Inc. )

Defectos criptográficos en el protocolo de autenticación de bases de datos Oracle

Esta presentación se enfocará en las nuevas vulnerabilidades encontradas en el protocolo de autenticación de base de datos Oracle. Demostraremos cómo fueron descubiertas, y cómo pueden ser explotadoas por atacantes remotos no autenticados, para crackear las contraseñas de los usuarios haciendo bruterforce off-line, de forma similar si el hash de la contraseña estuviera disponible libremente, permitiendo a los atacantes comprometer fácilmente las bases de datos Oracle. Las versiones afectadas van de la 10.1 a la 11.2. Una de estas vulnerabilidades es particularmente crítica, ya que puede ser utilizada por atacantes remotos, con el solo envío de unaos pocos paquetes y sin dejar ningún tipo de rastro en las auditorías. Para esta vulnerabilidad, Oracle decidió no proveer un fix en la versión actual del protocolo de logon. En cambio, lo están arreglando en una nueva versión del protocolo (incompatible): versión 12. En esta charla se mostrará por qué esta vulnerabilidad es tan difícil de arreglar, dejando el protocolo de las versiones afectadas inservible de ahora en adelante. Pondremos especial énfasis en las posibles soluciones que pueden aplicarse para prevenir los ataques.

Sobre Esteban Fayó

Esteban Martínez Fayó is a security researcher who specializes in application security; he has discovered and helped to fix hundreds of security vulnerabilities in major vendor software products including software from Oracle, IBM and Microsoft. Esteban has developed and presented novel database attack and defense techniques at international conferences such as Black Hat, Defcon, Ekoparty, WebSec and NcN.

« volver a Speakers

NOVEDADES