Security Session „SQL Attack..ed“ – Attack scenarios on SQL Server ("Hacking SQL Server")
Vortrag SQL Server Sicherheit „SQL Attack..ed“ – Angriffszenarien auf SQL Server („SQL Server Hacken“)
(DE) Auf dem diesjährigen SQLSaturday in Deutschland habe ich wieder einmal einen meiner Sicherheitsvorträge gehalten, in denen ich mich auf „Angriff“ konzentriere. Für mich eine gute Gelegenheit, mich wieder einmal intensiv mit SQL Server Sicherheit und einigen Penetrationstest-Tools auseinanderzusetzen, und SQL Server auf Fallstricke in Sachen Sicherheitskonfiguration zu untersuchen. Am Ende hatte ich eine lange Liste an möglichen Demonstrationen, worunter auch eine von mir frisch entwickelte DoS-Attacke via SQL Injection zählt (zumindest habe ich nirgends einen Hinweis auf eine Beschreibung dieser Art Angriff gefunden oder auf meine Nachfragen erhalten), sowie eine „privilege elevation“(Privilegienerweiterung)-Attacke, die in dieser Form auch noch unbekannt zu sein scheint. – Alles jedoch unter Ausnutzung von angepassten Einstellungen, und keine Schwächen in der Engine(!).
Da es speziell zu SQL Server kaum nennenswerte Sessions in Deutschland zu diesem Thema gibt (selbst auf den Summits in den USA war ich damit meist recht allein unterwegs), und mir das Thema in dieser Tiefe natürlich auch besonders Spaß macht, habe ich mich entschieden, hier meine möglichen Themen zu sammeln. Ich werde sie nicht nur auf weiteren kommenden Konferenzen in Europa oder USA präsentieren, sondern auch den Regionalgruppen der deutschen PASS anzubieten – die sich hier sozusagen im „Menü“ bedienen können :-)
|
(EN) At this year’s SQLSaturday in Germany I have shown one of my sessions again, in which I concentrate on “attack”. For me a great opportunity to dive deep into SQL Server Security and several penetration-test-tool, and to explore SQL Server for pitfalls and security configuration. At the end I had a long list of possible demonstrations. Among them a just recently developed DoS-attack via SQL Injection (at least I did not find any clue on a description for this kind of attack anywhere or got an answer on my inquiries), as well as a “privilege elevation”, which in this form seems to be quite unknown as well. – Everything is just done by exploiting customized settings and not by weaknesses in the engine (!).
Since there are barely any nameable sessions on this topic specifically for SQL Server in Germany (even at the Summits in the US I tended to be quite alone with my sessions on security), and I enjoy this topic in this a lot, I have decided to collect all possible topics here. |
Session Beschreibung: SQL Server kann als "secure by default" gelten, aber da das am häufigsten erfolgreich angegriffene Ziel die Daten, die in der Datenbank liegen, sind, möchte ich in dieser Session für das Thema sensibilisieren. In dieser rein Demo-basierten Session werden verschiedene Angriffsszenarien auf verschiedenen Ebenen gezeigt. Auf speziellen Wunsch auch einige Advanced SQL-Injection Beispiele. Des Weiteren zeige ich, wie eine „privilege elevation“ aufgrund einer nicht unüblichen Einstellung möglich ist und die Ausnutzung von Rechten mit einem Datenbank-Rootkit durch einen "Insider". In dieser Art Vortrag gebe ich natürlich keine Anleitung "wie man hackt", sondern ich beleuchte häufige Schwachstellen - "Was kann unter welchen Umständen passieren". (Fast) keine Folien: Demos Demos Demos |
Session Description: SQL Server is considered "secure by default", but one of the most often successfully attacked targets is the data that resides in a Database Server. In this purely demo-based security session, I am showing several attack scenarios on different layers. Due to special request this includes some special SQL Injection types. Furthermore I show how an evaluation of privileges attack is possible due to a not uncommon configuration as well as an “insider-exploit” with a database root kit. Note that in this kind of session I do not give instructions on “how to hack” but rather I am highlighting common weaknesses - “what can happen and under which circumstances”. (Almost) no slides: just Demos Demos Demos |
Inhalte // Contents
(Web)Application Layer
|
(Web)Application Layer
|
Innerhalb des Netzwerk
|
Inside the Network
|
Network Monitor TDS frame capture
Server & Datenbank-Ebene – Angriffe von Innen, Teil 1: der böse Consultant
|
Server & database-Level – attacks from inside, Part 1: evil Consultant
|
Server & Datenbank-Ebene – Angriffe von Innen, Teil 2: der böse Entwickler
|
Server & database-Level – attacks from inside, Part 2: evil Developer
|
Recent Security Reports:
- Data Breach Investigations Report
- White Hat – Website Security Statistics Report, Mai 2013
PASS Essential "SQL Server 2012 Datenbank-Sicherheit, Best Practices & Fallstricke"
- 25.9.2013, Düsseldorf
www.sqlpass.de/Portals/0/PassEssentials/2013-09-25_PE_AWO_Datenbank-Sicherheit_Datenblatt_web.pdf
Security Workshops, 2014:
- SQL Server Security Essentials für Entwickler & Administratoren (SES) (1 Tag)
3. April 2014 in Düsseldorf - Securityworkshop (SID) für SQL Server Entwickler (1 Tag)
"Die Basis für ein sicheres Backend: Von Ausführungskontext bis zu Verschlüsselung."
24. April 2014 in Düsseldorf - Securityworkshop (SIA) für SQL Server Administratoren (1Tag)
"Systemsicherheit für SQL Server: Von Authentifizierung bis zur Sicherheits-Überwachung."4. April 2014 in Düsseldorf
enjoy
and until soon - in your regional chapter, in your company, at a SQL Server Master-Class or at some conference - just say hello if you see me
Andreas
Print article | This entry was posted by Andreas Wolter on 2013-07-16 at 22:42:00 . Follow any responses to this post through RSS 2.0. |