Advarer mot elendige Oracle-passord

Advarer mot elendige Oracle-passord

Beskyttelsen av passord i Oracle-databaser er altfor dårlig. - Oracle ligger flere år bak Microsoft på sikkerhet, hevder eksperter.

Oracle har fått sviende kritikk for sikkerheten i deres produkter de siste ukene. Den siste oppdateringen skulle tette hele 88 hull.

Det siste nå er at passordene er dårlig beskyttet. Selv velskrevne, såkalt sterke databasepassord har eksperter greit å hente ut på noen få minutter, skriver Cnet News.

For den britiske eksperten David Litchfield er den siste, og mangelfulle oppdateringen fra databasegiganten dåpen som får begeret til å renne over. Han mener Oracles sikkerhetsdirektør bør gå av.

- Oracle må gå i seg selv med hensyn til sin sikkerhetsfilosofi, sier Litchfield, som driver det britiske rådgivningsfirmaet Next Generation Security Software, til Cnet News.

- Langt bak Microsoft

En argentisk ekspert maner til grundig skjerping.

- Oracle ligger flere år bak Microsoft og andre selskaper på sikkerhet. Oracle er en amatør på sikkerhet akkurat nå, sier Cesar Cerrudo i sikkerhetsfirmaet Argeniss.

To britiske eksperter, Joshua Wright og Carlos Sid, presenterte sin kritikk av databasepassordene un der en sikkerhetskonferanse i Los Angeles denne uken. Blant svakhetene de bemerket, er en svak hashing-mekanisme og at ikke skillet mellom små og store bokstaver blir opprettholdt.

"Ved å utnytte disse svakhetene kan en angriper med begrensede ressurser sette i gang et angrep som avdekker det rene tekstpassordet ut fra hash-verdien for en definert bruker" skriver de britiske ekspertene i sin rapport.

Inngen innbrudd

Ekspertene gjorde sine funn i juli og meldte da fra til Oracle, som imidlertid ikke har respondert. Britene anbefaler Oracle-brukere å kreve sterke passord og skjerpe begrensningen av brukerrettigheter. De oppfordrer også kunder til å be Oracle skjerpe passord-sikkerheten.

Markedsdirektør Harald Løvvik i Oracle Norge, påpeker at det så å si ikke har firekommet innbrudd i Oracels databaser.

- Oracle tar sikkerhet svært alvorlig og leverer i dag en database som har oppnådd høyeste sikkerhetsnivå med 13 internasjonale sertifiseringer. Ingen andre har mer enn to. Det er få eller ingen insidenter der noen har tatt seg inn i Oracles databaser.

Det betyr ikke at Løvvik og Oracle ikke tar kritikken alvorlig.

- At Litchfield og Wright påpeker forbedringsområder er bra og det jobbes med høy prioritet for å utbedre dette, sier Løvvik.