這幾天關於 Oracle 安全方面的消息很是令人震驚.
看來安全專家們是盯上了 Oracle. 隨著對 Oracle 加密體系的研究不斷深入,有人重新研究了 Oracle 的密碼加密算法大致信息. 估計是為了引起 Oracle 技術圈子的注意,有好事者居然冒充 PSOUG 的 DanIEl A. Morgan 在Google新聞組貼出了這篇文章.這篇文章先從 Oracle 的密碼設計目標開始("反向工程"),然後說了加密的大致思路是這樣的:
用戶名字和密碼合並成一個字符串"s"
"s" 轉換為unicode
用 DES 的ncbc mode模式加密.Key為 0x123456789abcdef, 初始化向量為 0
同樣的串用更新的初始化向量作為Key再次加密
更新的初始化向量作為 Hash
伴隨著"潘多拉的盒子"被打開,很多密碼 Crack 工具如雨後春筍般冒了出來,目前不下 10 多種.這其中比較引人注意的是 orabf 0.7 ,因為他是目前最快的工具.在 Pentium 4, 3 GHz (Windows XP) 的機器上每秒鐘可以破解 1,100,000 個密碼(感覺有些誇張). 著名的 Oracle 安全研究廠商 Red Database Security 也發布了自己的密碼檢查工具 Checkpwd.這個工具和 orabf 一樣,也是基於字典的.在該站點上還提供了一份各種 Oracle 密碼破解工具的比較.非常值得一看! 另外值得注意的是有人寫出了針對 John the ripper 這個老牌破解工具的插件.
其實話說回來,這個關於 Oracle 密碼加密的研究是早在 1993 年由 Bob Baldwin 發布的.不過當初似乎並沒有引起人們注意.為什麽安全專家們開始翻老箱子底了呢? 一個原因是Oracle本身的安全問題的確不少,密碼也的確存在不少問題(比如,database link 的密碼是明文保存在數據庫裡的),另一個原因恐怕也和 Oracle 的首席安全官 Davidson 的大放厥詞有關,恐怕是她的措辭大大激怒了安全專家們.好戲還有......
