DOAG Deutsche ORACLE-Anwendergruppe e.V.
 
   
11.09.2013
09:00 - 17:15 Uhr

DOAG SIG Security

Ort: Hotel Palace Berlin, Budapester Str. 45, 10787 Berlin
Kontakt: Franz Hüll, Tilo Metzger

ORACLE 12c: Natürlich beschäftigen sich gleich mehrere Referenten mit dem neuen Release des Datenbankherstellers. Den Anfang macht Alexander Kornbrust, der in altbewährter Manier die Dinge beim Namen nennen wird. Auch Stefan Oehrli hat 12c gründlich unter die Lupe genommen und ausführlich getestet. Davon wird er in seinem Vortrag berichten. Beide Vorträge lassen einen umfassenden Überblick erwarten.
Carsten Mützlitz stellt die Frage in den Raum, wann die Teilnehmer zuletzt die Sicherheit ihrer Datenbanken überprüft haben. Damit macht er deutlich, dass Sicherheit keine einmalige Aktivität ist, sondern ein ständiger oder immer wiederkehrender Prozess.
Aus der Projektpraxis kommt ein hoch interessanter Vortrag, in dem darüber berichtet wird, wie ein Benutzermanagement weg von der Datenbank hinein in ein Microsoft Active Directory erfolgreich verlagert wurde.
Ergänzt werden diese Vorträge mit einem Beitrag über den Schutz von Daten, ein Thema, dass derzeit kaum an Aktualität zu überbieten ist.

Wir sind überzeugt, dass mit diesem Programm für jeden Teilnehmer wertvolles Wissen angeboten wird und wir freuen uns auf eine rege Teilnahme.

Am Folgetag findet in der selben Location die SIG Database statt.

 

*Die Agenda ist vorläufig, Änderungen unter Vorbehalt

Agenda
09:00 Registrierung  
09:30 Begrüßung Franz Hüll DOAG e.V. 
09:45 Oracle 12c Security aus Angreifersicht

→ Details

Oracle Database 12c ist endlich verfügbar!  Darauf haben sich die Sicherheitsforscher gefreut. Für einige ist das wie Weihnachten: Nach 5 Jahren von Oracle wieder eine neue Datenbank zum Hacken. Aus rechtlichen Gründen nehmen die Security Researcher nicht  am Oracle Beta Programm teil.

Oracle hat bei der 12c Entwicklung Wert auf Sicherheit gelegt und so hat es immerhin 48h gedauert, bis der erste Security Bug von mir gefunden wurde. Weitere Fehler werden in naher Zukunft von den üblichen Verdächtigen gefunden werden.

Im Vortrag werden folgende Themen behandelt:

  • Welche Angreifer-Tricks klappen immer noch (z.B. oradebug) und welche nicht mehr ?
  • Welche Strategien werden verwendet, um das Konzept der "Pluggable Databases" auszutricksen ?
  • Welche gefährlichen PL/SQL-Packages sind neu dazugekommen?
  • Welche Benutzer sind interessant für Angreifer?
  • Undokumentierte Sicherheitsparameter (_SYS_LOGON_DELAY)
  • Spuren verwischen in Oracle 12c
Alexander Kornbrust, Red Database Security GmbH 
10:45   Kaffeepause  
11:15 Datenschutz beim Umgang mit Datenbanken

→ Details

Datenschutzrechtliche Aspekte beim Umgang mit personenbezogenen Daten müssen bei nahezu jedem Verarbeitungsschritt berücksichtigt werden. So auch beim Aufbau von Datenbanken sowie deren Nutzung. Im Rahmen des Vortrags werden die folgenden Fragen aufgeworfen und praxisorientierte Lösungsansätze dargestellt.

  • Wie beeinflusst Datenschutzrecht den Umgang mit Datenbanken?
  • Welche Anforderungen stellt der Datenschutz an den Umgang mit Datenbanken?
  • Wie können datenschutzrechtliche Aspekte effizient umgesetzt werden?
Florian Gerhard, Loomans & Matz AG 
12:15   Mittagspause  
13:15 Oracle 12c Security auf dem Prüfstand (Teil 2), erste Ergebnisse und Erfahrungen

→ Details

Oracle Database 12c ist endlich verfügbar! Neben neuen Features zur Konsolidierung von Oracle Datenbanken bringt die aktuell Version speziell im Bereich der Datenbank Sicherheit so viele Neuerungen wie seit langem nicht mehr. Nur, welche der neuen Funktionen und Optionen machen in welchem Kontext Sinn? Gibt es sogar Änderungen, welche einen Einfluss auf den bestehenden Datenbankbetrieb haben? Wie lässt sich die Sicherheit bei 12c Datenbanken generell verbessern? Und wo macht es gegebenenfalls Sinn in zusätzliche Datenbank Optionen zu investieren. Ziel dieses Vortrages ist, es diese und weitere Fragen rund um Oracle 12c Datenbank Sicherheit zu beantworten.

Anhand von ersten Erfahrungen und Erkenntnissen werden unteranderem folgende Themen besprochen:

  • ·         Starke Authentifizierung
  • ·         Netzwerk Verschlüsselung
  • ·         Data Redaction
  • ·         Neue Rollen und Privilegien
  • ·         Einheitliches Datenbank Auditing mit Unified Audit
  • ·         Hinweise zur Lizenzierung von Security Features
  • ·         Sowie ein Überblick über weiter Neuerungen im Bereich der Datenbank Sicherheit
Stefan Oehrli, Trivadis AG 
14:30   Kaffeepause  
15:00 Wann haben Sie das letzte Mal die Sicherheit Ihrer Datenbank geprüft?

→ Details

Hr. Mützlitz präsentiert typische Praxisbeispiele von riskanten Datenbank-Konfigurationen und Konzept-Implementierungen.
Diese verlinkt er mit Best Practice Implementierungen und Lösungen und verzweigt auch auf die sehr guten Security Konzepte der 12c Datenbank.

Der Vortrag soll das Bewußtsein schärfen, die Kontrolle der Datenbank zu behalten und andauernd für eine guten Zustand der Datenbank zu sorgen.

Carsten Mützlitz, ORACLE Deutschland B.V. & Co. KG 
16:00 Verlagerung der Benutzeradministration aus der Vielzahl von Oracle-Datenbanken in ein zentrales Directory - ein Projektbericht.

→ Details

Die Oraclebenutzer werden klassisch durch die DBAs der Barmenia in den Datenbanken manuell verwaltet. D.h., dass User in der jeweiligen Datenbank angelegt, geändert und gelöscht, aber auch Passwörter von dem zuständigen DBA neu gesetzt werden müssen. Über die Anzahl der betriebenen Datenbanken hinweg ergibt sich dadurch ein erhöhter Administrationsaufwand.

Von der Revision der Barmenia ist gefordert, dass Passwörter in regelmäßigen Abständen zu ändern sind.

Dies lässt sich mit einem vertretbaren Aufwand nur noch in einer zentralen Benutzersteuerung realisieren. Insbesondere lassen sich dort Synergien mit der Verwaltung des zentralen Active Directory nutzen, da hier die gleichen Prozesse für den Windowsbenutzer schon implementiert sind.

In diesem Projektbericht wird aufgezeigt, welche Schritte Barmenia unternommen hat, um zu einer zentralen Benutzersteuerung zu kommen. Weiterhin wird dargestellt, wie aktuelle Verzeichnisprodukte die Integration und den Betrieb der Lösung vereinfachen können.

 

Inhalte:

 

-     Welche alternativen Lösungsansätze kann man gehen.

-     Welchen Lösungsweg hat Barmenia gewählt.

-     Hindernisse und Fallstricke bei der Umsetzung.

-     Migration von User und Rollen im Umsetzungsprozess.

-     Lessons learned und Fazit

Herr André Lünsmann, Barmenia Versicherungen (Hauptreferent), Herr Thomas Kriener, TWINSEC GmbH (Koreferent), Herr Stefan Seck, OPITZ CONSULTING Deutschland GmbH (Koreferent)  
17:00 Zusammenfassung & Verabschiedung  
17:15 Ende der Veranstaltung