• Thứ Ba, 08/11/2005 15:43 (GMT+7)

    Con sâu đầu tiên tấn công cơ sở dữ liệu của Oracle

    Một kẻ nặc danh đã gửi loại sâu (worm) có thể tấn công các cơ sở dữ liệu (CSDL) Oracle lên một nhóm thư điện tử (mailing list). Loại sâu này không chứa nội dung (payload) có hại nhưng cho thấy nguy cơ các CSDL Oracle có thể bị tấn công

    Cuối tháng 10/2005, một kẻ nặc danh đã gửi e-mail với tiêu đề "Trick or treat Larry" lên một mailing list trên Internet chuyên thảo luận về chủ đề bảo mật. Mặc dù con sâu "demo" này vô hại nhưng sự kiện này cho thấy sẽ có những loại sâu nguy hiểm, có thể tự động lan truyền và tàn phá các CSDL Oracle.

    "Trick or treat" là loại sâu đầu tiên, được tạo ra bên ngoài các phòng thí nghiệm, tấn công CSDL Oracle. Nhà nghiên cứu bảo mật Alexander Kornbrust của hãng Red-Database-Security ở Neunkirchen (Đức) phát hiện con sâu này. Các tin tặc “để ý” đến CSDL Oracle thường nhắm tới CSDL đơn và đánh cắp thông tin trong CSDL này. Loại sâu "Trick or treat" tự động tiến hành quá trình “chui” vào nhiều CSDL của doanh nghiệp được đặt trong mạng nội bộ hoặc trên Internet (có công ty có tới hàng ngàn CSDL Oracle).

    Theo các nhà phân tích, có hai lí do hạn chế mối đe dọa của sâu. Thứ nhất, sâu thường khai thác mật khẩu mặc định của CSDL Oracle, nhưng đa phần người dùng đều đã thay mật khẩu mặc định này bằng mật khẩu của riêng họ. Thứ hai, phần lớn các CSDL Oracle đều không kết nối trực tiếp với Internet; do đó, nếu muốn tấn công, tin tặc phải truy cập được vào mạng LAN để “thả” sâu.

    Để bảo vệ khỏi nguy cơ nhiễm sâu, người dùng không nên dùng mật khẩu mặc định của CSDL và trong CSDL nên có một phần tử listener (tiến trình đảm bảo liên hệ giữa người dùng và CSDL) bảo vệ mật khẩu.

    Khi sâu "Trick or treat" chui được vào CSDL thì nó chỉ tạo ra một bảng mới (tên là “x”). Nhưng có thể các loại sâu trong tương lai sẽ nguy hại hơn nhiều. Chúng có thể thay đổi nội dung, sửa đổi, xóa hoặc ăn cắp dữ liệu.

    Nếu sâu lan rộng được nhờ sử dụng mật khẩu mặc định thì người dùng lại lo lắng sâu sẽ có đoạn mã tấn công “từ điển” ("dictionary" attack code) giúp sâu dò ra được mật khẩu của CSDL. May mắn thay, phần lớn các nhà quản trị CSDL Oracle quan trọng ít khi dùng những mật khẩu mà dạng tấn công này dễ dò ra được.

    Theo ông Kornbrust, một trong những lí do mà ít thấy sâu nhắm vào CSDL vì sâu không phải là công cụ tốt để ăn cắp dữ liệu. Tuy nhiên, nếu sâu có thể lan truyền nhanh từ CSDL này sang CSDL khác, có thể thay đổi dữ liệu trong CSDL thì chúng sẽ gây nên nguy hiểm thực sự. Ví dụ, một kẻ tấn công “thả” sâu vào trong mạng LAN của công ty, thay đổi dữ liệu trong CSDL, sau đó lại bán "thuốc giải" cho nạn nhân.

    Bạch Đình Vinh (IDG News Service, 2/11/2005)

    ID: O0511_1