在Litchfield的演讲中,他向观众展示了Oracle数据库攻击,从获取到数据库的访问权限,到提升权限,再到修改数据,并展示了这些攻击所留下的各种类型的证据以及他的工具将如何收集这些证据以用于数据取证。
他还说道,并没有人真正承担起数据库取证和事故响应的责任,因为数据库和取证的结合让这两个领域的专家都无所适从。
“似乎这成了‘无人认领的领域’,因为取证和IR人员都非常清楚他们自己的技术,而对于数据库他们必须理解像SQL这些东西,你必须理解架构,所以他们将问题交给数据库人员去处理,”Litchfield表示,“而数据库人员可能会想,‘哇,我懂数据库,但是整个取证的工作完全不明白,所以我要把它交给别人来处理’。”
此外,他表示,目前市面上并没有有效的工具来有效地进行数据库取证。
Litchfield表示,取证方面存在的巨大差距是吸引他从研究漏洞转移到研究数据库和开发相关工具的主要因素。
根据Litchfield,很多取证数据都是围绕数据库基础设施来进行适当的调查,特别是针对Oracle。Litchfield表示,虽然从安全态势的角度来看,Oracle要赶上SQL服务器还有很长的路要走(从关键补丁更新的数量进行对比),但是他认为Oracle提供了最多的必要的取证信息来帮助分析事故。
“在Oracle中,证据无处不在,这也是它的优点之一。存在很多内置冗余,具有很丰富的信息来分析发生了什么事情,”他表示,“这些信息非常有利于取证调查员的工作。”
事故响应团队还应该看看其他地方,包括系统元数据、数据库文件、重做日志、交易日志、还原段以及内存和跟踪文件。日志文件也不错,但是要十分谨慎,因为黑客可能可以操纵日志文件。
关键在于在不改变任何系统状况的前提下提取出去,使数据可以以人类可理解的格式来读取。Litchfield表示,他的新工具目前支持Oracle 版本8.他鼓励取证人员与他讨论这个免费工具的问题。