Oracle-Passwörter leicht zu knacken

Auf der diese Woche in Los Angeles stattfindenden SANS Network Security-Konferenz riefen Sicherheitsexperten den Software-Hersteller Oracle dazu auf, seine Sicherheitspraktiken zu verbessern. So sei der in Oracle-Datenbanken verwendete Mechanismus zur Sicherung von Benutzerpasswörtern unausreichend: Angreifer könnten die Passwörter leicht aushebeln, und so an sensible Unternehmensdaten gelangen.

Die Security-Forscher Joshua Wright vom SANS Institute und Carlos Cid von der University of London wollen eine Methode entwickelt haben, sogar starke, gut gewählte Oracle-Passwörter innerhalb von Minuten zu knacken. In einer Untersuchung (PDF-Download hier) identifizierten die Researcher gravierende Schwächen in dem von Oracle verwendeten Verschlüsselungsverfahren. Zu den dokumentierten Problemen gehören ein mangelhafter Hash-Algorithmus sowie die fehlende Unterscheidung zwischen Groß- und Kleinschreibung – alle Passwörter werden vor der Generierung des Hash-Werts erst einmal in Großbuchstaben umgewandelt.

In einer am Mittwoch auf der Konferenz gehaltenen Präsentation stellte Wright ein selbst geschriebenes Tool zum Ausspähen der Passwörter vor.

Eigenen Angaben zufolge haben Wright und Cid Oracle bereits im Juli über die Ergebnisse ihrer Arbeit unterrichtet. Anfragen zu einer Stellungnahme des Software-Herstellers zu der Untersuchung sollen bislang unbeantwortet geblieben sein.

Oracle gerät wegen seiner Vorgehensweise in Sicherheitsfragen zunehmend ins Kreuzfeuer der Kritik. Experten bemängeln die vergleichsweise langsame Veröffentlichung, unausreichende Dokumentation sowie die unzuverlässige Qualität der von Oracle herausgegebenen Updates.