在日前美國(guó)拉斯維加斯舉行的2011黑帽大會(huì)上，數(shù)據(jù)庫(kù)安全專家David Litchfield表示，即使是在這個(gè)海量數(shù)據(jù)庫(kù)泄漏和數(shù)據(jù)庫(kù)攻擊的時(shí)代，數(shù)據(jù)庫(kù)取證仍然處于明顯落后的狀況。Litchfield因數(shù)據(jù)庫(kù)安全漏洞檢測(cè)方面的工作而聞名，他在黑帽大會(huì)上展示了一套新的Oracle數(shù)據(jù)庫(kù)取證工具測(cè)試版，現(xiàn)在正在向整個(gè)安全社區(qū)免費(fèi)發(fā)放。

在Litchfield的演講中，他向觀眾展示了Oracle數(shù)據(jù)庫(kù)攻擊，從獲取到數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，到提升權(quán)限，再到修改數(shù)據(jù)，并展示了這些攻擊所留下的各種類型的證據(jù)以及他的工具將如何收集這些證據(jù)以用于數(shù)據(jù)取證。

他還說(shuō)道，并沒(méi)有人真正承擔(dān)起數(shù)據(jù)庫(kù)取證和事故響應(yīng)的責(zé)任，因?yàn)閿?shù)據(jù)庫(kù)和取證的結(jié)合讓這兩個(gè)領(lǐng)域的專家都無(wú)所適從。

“似乎這成了‘無(wú)人認(rèn)領(lǐng)的領(lǐng)域’，因?yàn)槿∽C和IR人員都非常清楚他們自己的技術(shù)，而對(duì)于數(shù)據(jù)庫(kù)他們必須理解像SQL這些東西，你必須理解架構(gòu)，所以他們將問(wèn)題交給數(shù)據(jù)庫(kù)人員去處理，”Litchfield表示，“而數(shù)據(jù)庫(kù)人員可能會(huì)想，‘哇，我懂?dāng)?shù)據(jù)庫(kù)，但是整個(gè)取證的工作完全不明白，所以我要把它交給別人來(lái)處理’。”

此外，他表示，目前市面上并沒(méi)有有效的工具來(lái)有效地進(jìn)行數(shù)據(jù)庫(kù)取證。

Litchfield表示，取證方面存在的巨大差距是吸引他從研究漏洞轉(zhuǎn)移到研究數(shù)據(jù)庫(kù)和開發(fā)相關(guān)工具的主要因素。

根據(jù)Litchfield，很多取證數(shù)據(jù)都是圍繞數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施來(lái)進(jìn)行適當(dāng)?shù)恼{(diào)查，特別是針對(duì)Oracle。Litchfield表示，雖然從安全態(tài)勢(shì)的角度來(lái)看，Oracle要趕上SQL服務(wù)器還有很長(zhǎng)的路要走(從關(guān)鍵補(bǔ)丁更新的數(shù)量進(jìn)行對(duì)比)，但是他認(rèn)為Oracle提供了最多的必要的取證信息來(lái)幫助分析事故。

“在Oracle中，證據(jù)無(wú)處不在，這也是它的優(yōu)點(diǎn)之一。存在很多內(nèi)置冗余，具有很豐富的信息來(lái)分析發(fā)生了什么事情，”他表示，“這些信息非常有利于取證調(diào)查員的工作。”

事故響應(yīng)團(tuán)隊(duì)還應(yīng)該看看其他地方，包括系統(tǒng)元數(shù)據(jù)、數(shù)據(jù)庫(kù)文件、重做日志、交易日志、還原段以及內(nèi)存和跟蹤文件。日志文件也不錯(cuò)，但是要十分謹(jǐn)慎，因?yàn)楹诳涂赡芸梢圆倏v日志文件。

關(guān)鍵在于在不改變?nèi)魏蜗到y(tǒng)狀況的前提下提取出去，使數(shù)據(jù)可以以人類可理解的格式來(lái)讀取。Litchfield表示，他的新工具目前支持Oracle 版本8.他鼓勵(lì)取證人員與他討論這個(gè)免費(fèi)工具的問(wèn)題。