Zum Inhalt springen

SIG Security

17. September 2014 in Hamburg

SIG (DB) Security

Den Beginn macht Alexander Kornbrust. Der anerkannte Experte für Datenbanksicherheit beschäftigt sich mit Datenbank Privilegien. Sie sind enorm wichtig für die Sicherheit der Daten. Daher ist jede Form der Eskalation von Privilegien höchst gefährlich.

Über Schwierigkeiten bei der Umsetzung eines Security Konzeptes wird im zweiten Vortrag berichtet. Beispiele aus der Praxis werden von Ralph Baumbach präsentiert.

Ergeizige Ziele verfolgt Carsten Muetzlitz. Innerhalb einer Stunde wird er zeigen, wie Compliance-Anforderungen erfüllt werden können.

Hersteller von Datenbank Vulnerability Scannern stellen Ihr Produkt vor. Für die Teilnehmer bedeutet das einen kompakten Überblick, der vergleichbare Informationen bietet.

Wir freuen uns auf Ihre Teilnahme!

Ihre DOAG

 

 

Agenda

Franz Hüll DOAG e.V.

Mit Oracle 12c hat Oracle zusätzliche Maßnahmen eingeführt, um SQL Injection und die dazugehörende Privilegien Eskalation zu vermeiden. Durch neue und z.T. nach 11.2.0.4 zurückportierte Funktionen wie Oracle Data Redaction ergeben sich aber zusätzliche und weitere Möglichkeiten der Privilegieneskalation. Diese wurde zwar z.T. mit dem Juli 2014 CPU korrigiert, sollte aber jedem DBA und Anwendungsentwickler bekannt sein. 


- Einführung

- Privilegieneskalation via SQL Injection in (selbstgeschriebenen) PLSQL Packages

        - nur mit CREATE SESSION

        - mit erweiterten Privilegien

        - via GRANT und ALTER Befehle

- Oracle 9i/10g (z.B. DBMS_SQL)

- Oracle 11g (z.B. DBMS_JAVA_TEST)

- Oracle 12c (z.B. DBMS_XMLSTORE)

- Sicheres Aufsetzen von Oracle 12c (DBMS_REDACT, DBMS_XMLSAVE, DBMS_XMLSTORE, DBMS_JAVA_TEST)

- Zusammenfassung

 

Alexander Kornbrust Red Database Security GmbH

Dieser Vortrag berichtet über die Erfahrungen, die der Autor in diversen Security Projekten und Datenbank-Audits sammeln konnte. Auch wenn Kunden und Infrastrukturen sich sehr unterschieden, so konnten doch einige typische Hemmnisse ausgemacht werden, die einer Umsetzung von Security Maßnahmen im Wege standen oder sogar umgesetzte Security Maßnahmen Ad-Absurdum führten. An Hand von Beispielen werden typische Hindernisse beschrieben und eine Methodik vorgestellt um diesen Hindernissen zu begegnen.

 

Ralph Baumbach MT AG

In der Session wird demonstriert, wie Innerhalb einer Stunde Compliance-Anforderungen erfolgreich erfüllt werden können. Ziel ist die Steigerung der Sicherheit der Daten und die Trennung der Verantwortlichkeiten unter Verwendung bestehender Investitionen.

Innerhalb von 60 Minuten wird live gezeigt, wie man Enterprise User Security für DBAs aufsetzt und MS AD einbindet. Zusätzliche wird Kerberos Authentizierung (also SSO für die DBAs) verwendet.

Installation und Setup wird gezeigt "from the scratch!"

 

Carsten Muetzlitz ORACLE Deutschland B.V. & Co. KG

Details zum Termin

Uhrzeit: 09:00 - 17:00 Uhr

Die PremiumCard ist für diese Veranstaltung gültig.

→ die vorherige Veranstaltung der Reihe

→ die nächste Veranstaltung der Reihe

Unterlagen

Franz Hüll, McAfee GmbH: McAfee Vulnerability Manager for Databases

Carsten Muetzlitz, ORACLE Deutschland B.V. & Co. KG : Wie erfülle ich innerhalb einer Stunde Compliance-Anforderungen

Martin Ulmer, Qualys GmbH : Qualys Vulnerability Management für Oracle DB

Martin Schmitz, Imperva Inc: Imperva - 360° Security für das Datacenter

Ralph Baumbach, MT AG, Ratingen : Existiert Ihr Security Konzept auch nur auf dem Papier?

Alexander Kornbrust, Red Database Security GmbH: Privilegieneskalation via SQL Injection in Oracle 12c (und 11g)

Location

Adresse

Mercure Hotel Hamburg Mitte, Schröderstiftstr. 3, 20146 Hamburg

Preise

Günstig reisen

Mit dem Kooperationsangebot der DOAG und der Deutschen Bahn reisen Sie kostengünstig das ganze Jahr über zu den Veranstaltungen der DOAG.

Mehr Informationen

Premium Card

Die Event-Flatrate für DOAG-Veranstaltungen: die DOAG Premium Card. Ihr Vorteil: einmal bezahlen – das ganze Jahr an vielen DOAG-Veranstaltungen teilnehmen.

Mehr Informationen

Mitglied werden

DOAG-Mitglieder erhalten ab 20 Prozent Nachlass auf die regulären Ticketpreise. Die persönliche Mitgliedschaft kostet nur 105 Euro pro Jahr. Informieren Sie sich!

Mehr Informationen

Teilnahmegebühr

bis 23. März 2017

  • 100,00 Mitglieder
  • 200,00 Nicht-Mitglieder

Buchungsbedingungen