毋庸置疑,如今已是重大數據泄密事件層出不窮的年代。大大小小的企業在遭到數據庫泄密事件的重創。7天酒店600會員信息被網上叫賣、索尼公司1000萬客戶信用卡信息遭泄露、電信行業內鬼倒賣用戶通話記錄獲利300多萬……
據隱私權信息交流中心(Privacy Rights Clearinghouse)聲稱,單單2011年上半年就發生了234起泄密事件,受影響的人成千上萬。另據美國專業諮詢機構評估,歐美企業發生一次數據泄密事故,給企業帶來的平均損失額在2000萬美元,用於賠付客戶的損失等。
縱觀這些數據庫泄密事件,可以發現都是由於利用了數據庫自身的安全漏洞或威脅,***後直接操縱數據庫或直接拿走數據文件。數據庫的安全漏洞與威脅類別繁多,不亞於幾十種,***們或***者最常使用的有:
通過暴力破解數據庫用戶口令,操縱數據庫
利用缺省口令的漏洞訪問數據庫
利用權限提升的漏洞得到高權限用戶身份,控制數據庫
利用PL/SQL注入等,獲取訪問權限提升,操縱數據庫
利用管理漏洞,獲知DBA等合法用戶名的口令,然後冒用
***到數據庫服務器主機,拷貝數據文件、或備份文件
除了對工作流程進行嚴格管理和控制,對數據庫威脅及漏洞做一一對應的安全加固,是人們常用的數據庫泄密防護方法,但面臨的問題是工作量繁重且難以完全覆蓋極其容易遺留漏洞。
經過分析,各種數據庫***的方法,最終竊取數據的目標途徑離不開以下三個層面:
1. 存儲層:直接盜走數據文件或備份文件,異地還原後得到數據
2. 數據訪問:通過人爲獲取DBA等高權限用戶的口令,或通過權限提升等漏洞得到一個高權限用戶身份,進行數據竊取。
3. 應用層:破解或通過工作便利獲取應用中的數據庫用戶口令,繞開業務系統直接訪問所有數據(因業務系統中往往對操作範圍進行限定,只可獲得局部數據)。
因此,真正行之有效的數據庫防護的技術手段應該是從根源上,進行核心數據的增強訪問控制。包括存儲層上利用加密技術保護核心數據項、訪問控制上採用獨立的權控增強技術防止DBA等高權限用戶,應用層保證數據庫用戶與業務系統的綁定無法繞開。
以下是對近年發生的典型數據泄密事件進行分析,總結其中暴露出的數據庫安全威脅,並給出數據庫防護手段的建議。
一、7天酒店數據庫被盜
會員人數超過1650萬,酒店總數逼近600家,在美國紐約證券交易所上市的7天連鎖酒店集團無疑是國內經濟型連鎖酒店集團的龍頭企業之一,但更多人所不知道的是,從去年開始,7天酒店在國內***圈中成了“明星”。
最早在去年8月2日,國內安全圈子裏就傳出了7天酒店官方網站被攻破,會員資料數據庫被刷走的消息。
“我不清楚7天酒店是被哪個***攻破的,但那天我所在的幾個安全類的QQ羣中都在談這件事,甚至羣裏面還有人給出了會員數據庫文件準確的大小——562M左右。”互聯網安全專家一翔曾經在接受採訪時表示。
數據庫安全威脅分析
7天酒店事件中暴露出了當前數據庫中普遍存在的一個安全威脅,即數據的明文存儲。數據庫雖然以二進制方式存儲數據,但本質上數據是明文形態,使用Dul/MyDul等工具,可以輕鬆對數據庫文件進行反向解析,還原成清晰的格式化數據。
安全防護建議
建議採用加密技術類的數據庫安全防護產品,對核心敏感數據進行加密存儲,使數據文件、備份文件中的敏感數據都是密文形態;即使數據文件或備份文件被盜,也可以保證核心敏感數據的安全性,防止批量泄露。
二、深圳福彩中心雙色球鉅獎騙局
2009年6月9日,福彩雙色球第2009066期搖獎結束後,深圳市福彩中心值班人員在收到中福彩中心中獎號碼傳真後,進行數據文件中獎數據檢索時發現,封期時從銷售數據庫中導出的兩份數據文件(存於硬盤和光盤中)均報錯,搖獎程序無法正常對文件進行處理。
結果顯示,深圳83021022站中出5注一等獎,爲一張機選、單注5倍的彩票,深圳福利彩票中心隨即將生成中獎檢索結果報告單上報中彩中心,以發佈當期中獎信息。中獎結果公佈後,爲了覈驗那5注中獎彩票的真實性,工作人員對上傳中彩中心的數據備份文件進行對比校驗,發現備份數據中該彩票的投注號碼並非中獎號碼,即該彩票未中一等獎。因此判斷,有人非法***深圳福彩中心銷售系統,篡改彩票數據,人爲製造一等獎。
經審訊,犯罪嫌疑人程某如實交代了作案過程:程某利用系統實施工作之便,提前獲知數據庫口令。通過植入***程序,待中獎號碼公佈後,立即啓動***程序,修改數據庫中自己購買彩票的號碼。
數據庫安全威脅分析
(1) 假冒合法用戶進行違規訪問:數據庫口令防控不嚴,他人可直接使用該用戶及口令,繞過合法業務系統,通過自定義程序直接訪問數據庫;
(2) 數據庫用戶權限過大
若應用系統中數據庫用戶本身不被授予中獎號碼的修改權限,則即便口令被泄露,也不會造成核心的中獎號碼數據被篡改。
安全防護建議
(1) 使用基於數據加密的應用綁定技術,防止合法用戶的違規訪問
應用綁定技術可以將數據庫用戶和合法的業務系統直接綁定,確保該用戶只能通過指定的業務系統程序進行核心數據的訪問,通過自定義程序、其他管理工具等方式無法進行敏感數據的訪問。
(2) 數據庫管理員需要按最小原則構建安全的權限體系。
三、程稚瀚北京移動充值卡盜竊案
2005年3月至8月間,被告人程稚瀚多次通過互聯網,經由西藏移動通信有限責任公司(以下簡稱西藏移動公司)計算機系統,非法侵入北京移動通信有限責任公司(以下簡稱北京移動公司)充值中心,採取將數據庫中已充值的充值卡數據修改後重新寫入未充值數據庫的手段,對已使用的充值卡進行非法充值後予以銷售,非法獲利人民幣377.5萬元。
數據庫安全威脅分析
該事件暴露出了數據庫固有的一大安全威脅,即超級用戶的權限漏洞;數據庫中的超級用戶具有至高的權限,可以執行任何數據庫操作,特別是Oracle數據庫中,還存在DBA用戶本地執行權限的漏洞,即使用DBA身份本地登錄時不需要任何口令校驗。
安全防護建議
使用加密技術對核心的敏感數據進行加密,同時引入三權分立機制,通過安全管理員控制對密文數據的訪問權限,這樣即使是DBA用戶,在沒有被授予密文訪問權限的情況下照樣無法訪問敏感數據。
四、Korea會展中心數據庫被***
2011年5月,******Korea會展中心數據庫,在網上爆出其中大量的客戶資料數據,並展示數據庫操做過程。
***首先通過端口掃描技術,檢測出該服務器上開放着1521端口(Oracle數據庫的缺省端口),首先探明該主機便是數據庫服務器。接着利用掃描程序,檢測到缺省系統用戶dbsnmp並未被鎖定,且保留着數據庫安裝時的缺省密碼。
之後***利用權限提升的漏洞,將dbsnmp用戶的權限提升至DBA,開始了數據庫訪問之旅。
數據庫安全威脅分析
該事件暴露出了Oracle數據庫自身及管理上的幾個漏洞:缺省端口號、缺省用戶名,以及存在權限提升的漏洞。
安全防護建議
使用加密技術對核心的敏感數據進行加密,同時引入三權分立機制,通過安全管理員控制對密文數據的訪問權限,這樣即使是利用了數據庫的漏洞獲取DBA權限,在沒有被授予密文訪問權限的情況下照樣無法訪問敏感數據。
五、3.15移動聯通網通"內鬼"泄密
一調查公司的“私家偵探”涉案被抓後,牽出“移動、聯通及原中國網通三大電信運營商的3個內鬼多次向其泄露公民個人信息”一事。2010年的3.15晚會上暴露出該電信行業內鬼泄密事件。
事件的過程是內部坐席維護人員利用工作中的便利途徑,獲取客服操作員的工號、口令;利用該操作員身份登錄客戶應用系統。利用修改客服口令不需要舊口令的業務邏輯漏洞,直接修改用戶客服密碼;以用戶的身份和修改後的新客服密碼直接登錄業務系統,導出短信、通話記錄等信息,以此爲私家偵探提供線索累計獲利300多萬。
數據庫安全威脅分析
(1) 缺乏基於應用級用戶的數據訪問權限控制
對於不同應用級用戶,後臺使用同一個數據庫用戶進行數據訪問控制,因此無法有效區分應用級用戶的數據訪問權限。
(2) 對應用級用戶的身份鑑別強度不夠
安全防護建議
(1) 構建應用級用戶的數據訪問權限體系
使用具備應用級用戶權限控制能力的數據庫安全防護產品,使得對於不同應用級的用戶,能夠精確控制敏感數據的訪問權限。
(2) 增加應用級用戶的身份鑑別強度
使用基於物理設備的雙因素口令認證技術,如Ukey+PIN等方式的身份鑑別方法,使得即使獲取密碼口令後也不能輕易冒用他人身份,隨意進行業務操作。