在日前美國拉斯維加斯舉行的2011黑帽大會(huì)上，數(shù)據(jù)庫安全專家David Litchfield表示，即使是在這個(gè)海量數(shù)據(jù)庫泄漏和數(shù)據(jù)庫攻擊的時(shí)代，數(shù)據(jù)庫取證仍然處于明顯落后的狀況。Litchfield因數(shù)據(jù)庫安全漏洞檢測(cè)方面的工作而聞名，他在黑帽大會(huì)上展示了一套新的Oracle數(shù)據(jù)庫取證工具測(cè)試版，現(xiàn)在正在向整個(gè)安全社區(qū)免費(fèi)發(fā)放。

在Litchfield的演講中，他向觀眾展示了Oracle數(shù)據(jù)庫攻擊，從獲取到數(shù)據(jù)庫的訪問權(quán)限，到提升權(quán)限，再到修改數(shù)據(jù)，并展示了這些攻擊所留下的各種類型的證據(jù)以及他的工具將如何收集這些證據(jù)以用于數(shù)據(jù)取證。

他還說道，并沒有人真正承擔(dān)起數(shù)據(jù)庫取證和事故響應(yīng)的責(zé)任，因?yàn)閿?shù)據(jù)庫和取證的結(jié)合讓這兩個(gè)領(lǐng)域的專家都無所適從。

“似乎這成了‘無人認(rèn)領(lǐng)的領(lǐng)域’，因?yàn)槿∽C和IR人員都非常清楚他們自己的技術(shù)，而對(duì)于數(shù)據(jù)庫他們必須理解像SQL這些東西，你必須理解架構(gòu)，所以他們將問題交給數(shù)據(jù)庫人員去處理，”Litchfield表示，“而數(shù)據(jù)庫人員可能會(huì)想，‘哇，我懂?dāng)?shù)據(jù)庫，但是整個(gè)取證的工作完全不明白，所以我要把它交給別人來處理’。”

此外，他表示，目前市面上并沒有有效的工具來有效地進(jìn)行數(shù)據(jù)庫取證。

Litchfield表示，取證方面存在的巨大差距是吸引他從研究漏洞轉(zhuǎn)移到研究數(shù)據(jù)庫和開發(fā)相關(guān)工具的主要因素。

根據(jù)Litchfield，很多取證數(shù)據(jù)都是圍繞數(shù)據(jù)庫基礎(chǔ)設(shè)施來進(jìn)行適當(dāng)?shù)恼{(diào)查，特別是針對(duì)Oracle。Litchfield表示，雖然從安全態(tài)勢(shì)的角度來看，Oracle要趕上SQL服務(wù)器還有很長(zhǎng)的路要走(從關(guān)鍵補(bǔ)丁更新的數(shù)量進(jìn)行對(duì)比)，但是他認(rèn)為Oracle提供了最多的必要的取證信息來幫助分析事故。

“在Oracle中，證據(jù)無處不在，這也是它的優(yōu)點(diǎn)之一。存在很多內(nèi)置冗余，具有很豐富的信息來分析發(fā)生了什么事情，”他表示，“這些信息非常有利于取證調(diào)查員的工作。”

事故響應(yīng)團(tuán)隊(duì)還應(yīng)該看看其他地方，包括系統(tǒng)元數(shù)據(jù)、數(shù)據(jù)庫文件、重做日志、交易日志、還原段以及內(nèi)存和跟蹤文件。日志文件也不錯(cuò)，但是要十分謹(jǐn)慎，因?yàn)楹诳涂赡芸梢圆倏v日志文件。

關(guān)鍵在于在不改變?nèi)魏蜗到y(tǒng)狀況的前提下提取出去，使數(shù)據(jù)可以以人類可理解的格式來讀取。Litchfield表示，他的新工具目前支持Oracle 版本8.他鼓勵(lì)取證人員與他討論這個(gè)免費(fèi)工具的問題。