Defectos criptográficos en el protocolo de autenticación de bases de datos Oracle

Esta presentación se enfocará en las nuevas vulnerabilidades encontradas en el protocolo de autenticación de base de datos Oracle. Demostraremos cómo fueron descubiertas, y cómo pueden ser explotadoas por atacantes remotos no autenticados, para crackear las contraseñas de los usuarios haciendo bruterforce off-line, de forma similar si el hash de la contraseña estuviera disponible libremente, permitiendo a los atacantes comprometer fácilmente las bases de datos Oracle. Las versiones afectadas van de la 10.1 a la 11.2. Una de estas vulnerabilidades es particularmente crítica, ya que puede ser utilizada por atacantes remotos, con el solo envío de unaos pocos paquetes y sin dejar ningún tipo de rastro en las auditorías. Para esta vulnerabilidad, Oracle decidió no proveer un fix en la versión actual del protocolo de logon. En cambio, lo están arreglando en una nueva versión del protocolo (incompatible): versión 12. En esta charla se mostrará por qué esta vulnerabilidad es tan difícil de arreglar, dejando el protocolo de las versiones afectadas inservible de ahora en adelante. Pondremos especial énfasis en las posibles soluciones que pueden aplicarse para prevenir los ataques.