Kamil Stawiarski

Kamil Kozieł ORA-600

|2013

Oracle hacking session

Czyli o jedno uprawnienie za daleko

Fo

to: To

me

k K

am

ińsk

i

Prawdziwa historia

Co to jest Hacker?

Dziękuję, że jesteście dzisiaj z nami na warsztacie. Mój kolega i ja jesteśmy związani z zarzadzaniem

projektami i z technologią Oracle od ponad 8 lat…

Kiedy dostaliśmy zaproszenie na infoShare stanęliśmy przed dylematem, czego dotyczyć ma nasze

wystąpienie. Oracle oznaczałby, że główną rolę odegra mój kolega, a zarządzanie projektami,

zostawiałoby ją mnie…

Oczywiście, jesteśmy z krwi i kości przedstawicielami branży IT, więc cechuje nas

skromność, zachowawczość, empatia… i takie tam…

Nie kłóciliśmy się kto dzisiaj będzie liderem… za długo. Mój kolega, jest po prostu

znacznie lepszy w tak zwanej ciężkiej perswazji… mniej więcej o… 30 kilo lepszy…

I jak widzicie, w demokratycznym głosowaniu wybraliśmy warsztat oraclowy…

Mieliśmy wątpliwości, czy zrobiliśmy dobrze wybierając aż

tak mocno techniczny obszar…

…pomyśleliśmy, może to nikogo nie będzie ciekawić?

Jednak ostatnio nasze wątpliwości zostały rozwiane…

Do kina z grupą humanistów…

Wybraliśmy się do kina, na ambitny

amerykański film, klasyka gatunku…

Fanie… ale, jaki to ma

związek z naszym

tematem?

Spojrzeliśmy się po sobie z kolegą, który za chwilę do nas dołączy, robiąc mniej więcej taką minę

:/\[]{}:"{}:> :D:D:D

a Mariusz – absolwent Psychologii – wziął, głęboki oddech i łyka koli, po czym powiedział z pełnym przejęciem: „Cholera… nieźli są!”

I widzicie… nie do końca zgadzamy się z tym wizerunkiem Hakera…

Naszym zdaniem, prawdziwe zagrożenie, pochodzi z wewnątrz organizacji i… wygląda zgoła inaczej…

Otóż w pewnej scenie, zły człowiek, HAKER, z korzeniami ewidentnie sięgającymi byłych krajów Związku Radzieckiego, schroniony w pilnie

strzeżonej jaskini, zlokalizowanej gdzieś głęboko pod ziemią, dzięki nieosiągalnej dla zwykłych śmiertelników technologii, którą on sam

parę minut wcześniej wymyślił, przejmuje kontrolę nad wszystkimi telewizjami na świecie, włączając w to prywatną transmisję Gumisiów na pokładzie AIR Force One. Przekaz jest jasny – pokażemy wam gdzie

brzozy zimują…

Muszę wreszcie

zrobić porządek

z tymi kablami

w serwerowni…

Gdybym wiedział, że tyle was

przyjdzie… wziąłbym podwójną

traw…stawkę

Ale nie kalajcie serc lękiem! Ja

oto poprowadzę Was przez morze niewiedzy ku Wyroczni, jak

mesjasz jaki … …albo przewodnik.

Z kim ja muszę pracować…

Zdradzę Wam, dlaczego

administrator potrafi być

czasem troszeczkę

upierdliwy przy nadawaniu

uprawnień

Bo rzekła Wyrocznia: albowiem z owych uprawnień eskalował

będziesz…

• ANALYZE ANY • CREATE ANY INDEX • CREATE ANY PROCEDURE,

EXECUTE ANY PROCEDURE • CREATE ANY TRIGGER

Ale nie wiedziała czy było to dobre…

A w efekcie można

przejąć kontrolę nad

całym światem!!! Czyli po ludzku –

autoryzować

publiczny klucz

ssh i wleźć bez

hasła na

konsolę…

Masz

rację…

No dobra, Miszczu, ale czy nie

wystarczy zaszyfrować

przestrzeń tabel i wdrożyć

Database Vaulta, żeby być w

100% bezpiecznym?

…nazywając mnie Mistrzem.

Podstawowe wdrożenie można

złamać równie łatwo jak mój opór

przed wieczornym browarem.

Chętnie

bym to

zobaczył…

Zachęcamy do zapoznania się

z merytoryczną częścią naszej

prezentacji.

Zawarliśmy ją dwóch

poniższych artykułach:

ORACLE DATABASE VAULT AND

TDE

Znajdziecie je na

blog.ora-600.pl

oraz na

itschool.pl/blog

SIMPLE TECHNICS OF PRIVILEGE

ESCALATION