Eigen schuld, dikke bult: databasebeheerders erg laks

16 januari 2008

Veel hacks van databases blijken de schuld van de bedrijven zelf. Tweederde van de databasebeheerders installeert namelijk geen veiligheidspatches van Oracle. Het maakt niet uit of ze cruciaal zijn of niet. Sentrigo, een producent van databasesecurity-tools, heeft het afgelopen half jaar aan 305 databasebeheerders gevraagd of zij de beschikking hadden over de laatste patches van Oracle en of ze ooit security-updates van het databasebedrijf hadden geinstalleerd. Nog geen 10 % van de ondervraagden zei de meest recente update te hebben geïnstalleerd ! Ongeveer 65 % van de respondenten gaf aan nooit Critical Patch Updates (CPU's) te hebben toegepast ! Slechts 30 % van de databasebeheerders had ooit wel een een CPU geïnstalleerd. Slavik Markovich, Chief Technology Officer van Sentrigo was al langer op de hoogte van het feit dat databasebeheerders het niet zo nauw nemen met die veiligheidspatches. 'This survey scares the heck out of me', zegt Mike Rothman, president en senior analist van Security Incite. 'The database is where most of an organization's critical and regulated data resides and if it's not patched in a timely fashion, organizations are asking for trouble'. Markovich merkte een ' lack of awareness' op 'especially among IT security professionals, of open database vulnerabilities'.


Markovich voert verschillende redenen aan voor de bestaande laksheid. Veel databasebeheerders vrezen dat het installeren van een patch het functioneren van de database bemoeilijken. Omdat de applicaties die van de database gebruikmaken getest moeten worden, is het installeren van een patch erg tijdrovend. Veel applicaties kunnen vaak zelfs tijdelijk niet gebruikt worden, wat de meeste bedrijven zich niet eens kunnen permitteren. Ook weigeren sommige softwareproducenten hun software te certificeren als Oracle patches zijn geïnstalleerd. En tenslotte moeten databasebeheerders die wel patches willen installeren eerst de voorgaande patch-set geïnstalleerd hebben. Ze kunnen dus steeds verder achter op schema raken. Oracle, dat deze week weer een CPU rondstuurt, zegt organisaties aan te moedigen om de updates te installeren, zodat zij hun systemen veilig kunnen houden. Het bedrijf heeft nog niet gereageerd op het onderzoeksresultaat. Markovich gaf toe 'that nonpublic databases are less at risk from outside intrusion. But even databases not directly accessible from the Internet can be hacked into as long as an unbroken physical connection exists. Insiders using publicly available exploits can gain DBA privileges with no need for any database expertise and pose additional risks'. Er is wel sprake van een zekere ironie, zegt Markovich. 'The CPU system was Oracle's response to customer requests a couple of years back. The system is a big improvement on the previous method that was less organized and did not have enough disclosure to allow customers to make informed decisions'. Oracle geeft in haar CPU's 'additional improvements that provide more details about the vulnerabilities and their severity'. Maar het probleem ligt niet zozeer bij de softwareproducent. 'Ultimately there is an inherent complexity to database patching', zo gaat Markovich verder. 'And while Oracle could still make things incrementally easier, there has to be recognition on the customer side that security has to be worked into the normal database administration routine'. Oraclegebruikers zijn niet de enige die hun software niet naar de laatste versie upgraden. Secunia toonde onlangs aan dat dat verschijnsel gold voor een groot aantal applicaties.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.