新数据库取证工具可帮助调查案件

数据库安全专家David Litchfield正在开发的一种新的数据库取证工具能够帮助数据突破调查人员获得起诉攻击者的证据。

　　英国NGS(下一代安全)软件公司总经理Litchfield计划发布"Forensic Examiners Database Scalpel"(取证检查员数据库解剖刀)。这种工具设计用于甲骨文数据库管理系统，实现在海量系统数据中查找数据安全突破的原因和范围这一过程的自动化。

　　Litchfield在拉斯维加斯举行的"2007年美国黑帽会议"上呼吁在数据库取证领域展开进一步的研究。主要从事甲骨文数据库安全研究的Litchfield说，他在甲骨文10g数据库管理系统上已经进行了6个月的取证研究。我们一直看到数据库突破事件总在发生。我们需要看到这种事件是如何发生的。

　　Litchfield说，他需要克服甲骨文的一些法律障碍，因为这个工具使用了一些甲骨文专有的算法。这种工具一旦发布将成为第一个这种类型的工具。目前市场上还没有数据库具体的取证分析工具。

　　Litchfield说，有些工具能够让你确定是否发生了数据库被攻破的事件。但是，通过运行这些工具，你将破坏证据。有一些工具能够让你勉强进行这种检查，但是，通过运行这种工具，你会给系统带来很大的变化。

　　Litchfield说，调查人员检查重做记录、数据文件和Apache记录以便跟踪黑客的踪迹。

　　检查元数据和统计的过程能够产生创建外部数据库对象和数据库行删除的证据。调查人员能够发现暴露黑客路径的隐藏的线索并且使用这个信息立案。

　　Litchfield说，一个攻击者也许会兜圈子创建对象，然后设法清除这些对象和隐藏证据。

　　但是，黑客在甲骨文数据库构件深处会留下他们过去出现的踪迹。数据库构件中的头文件和行目录对应的数据库中的区域能够产生暴露黑客踪迹的线索。

　　Litchfield说，调查人员进行的取证分析应该在数据库管理员在场的情况下实施。数据库管理员应该能够发现问题。

　　一位不愿意透露姓名的参加Litchfield演示活动的数据库管理员说，这种新的工具对于具体数据构件进行取证研究是非常重要的。没有这种工具，这种工作就会非常耗费时间。

　　他说，这种工具会有所不同。使用其它工具有许多进行分析的方法。但是，那些工具能够修改表格并且可能破坏证据。

　　最近几年，黑帽会议上与数据库相关的消息一直是Litchfield唱主角。他重点研究甲骨文数据库。不过，他去年的重点是IBM的Informix系列数据库产品的安全漏洞。