Cadfile une nouvelle solution d'analyse forensique pour Oracle

Par Xavier Poli, secuobs.com
Le 26/11/2008

---

Résumé : Cadfile est une nouvelle solution d'analyse forensique visant à permettre aux enquêteurs de rechercher des preuves de compromission au sein d'une base de données Oracle sans avoir à mettre en production celles-ci via un serveur de gestion de base de données. - Lire l'article



David Litchfield, de la société NGS Software (lien ), vient de publier un document intitulé « Using the Oracle System Change Number in Forensic Investigations » qui présente ses avancées en matière de recueil de preuve ( forensic - lien ) à partir de fichiers de données d'une base Oracle ( lien ).

Cette nouvelle méthode a été implémentée dans une suite d’outils répondant au nom de Cadfile. Elle a été développée par David Litchfiled lui-même et elle peut être téléchargée dès à présent sur le site « databasesecurity.org » ( lien ). Cadfile se décompose en deux outils distincts, Oratime et Orablock, qui permettent d’analyser conjointement ces fichiers sans avoir au préalable à mettre en production, via un serveur Oracle, les données qu'ils contiennent.

La suppression de ces étapes intermédiaires permet de ne pas prendre de risque inutile quant à l’altération de ces données ; l'intégrité de ces dernières étant un point vraiment essentiel dans le domaine de la recherche de preuve. La suite Cadfile vise à repérer les modifications éventuellement effectuées sur une base de données Oracle dont le serveur de gestion aurait pu être compromis par un personne malveillante.

Dans les bases Oracle, les données sont stockées sous la forme de tables qui sont elles-même réparties, au niveau des fichiers, entre différents blocs selon une structure spécifique. Cadfile travaille sur ces blocs et leurs structures afin de déterminer si les données, qui y sont stockées, auraient pu être altérées ; l'altération pouvant se caractérisée par une suppression ou des mises à jour.

Ces recherches sont réalisables grâce à la présence de la notion de SCN au sein des bases de données Oracle. Le SCN, ou System Change Number, est une valeur qui définit un numéro d’identification unique pour les modifications effectuées sur une base de ce type ; il est important de savoir que le SCN est toujours associé à un horodatage précis.

Le système SCN peut en fait s’apparenter à un historique daté des modifications apportées à une base de données ; celui-ci étant cependant limité dans le temps car il ne permet qu'un accès aux modifications ayant été effectuées lors des cinq derniers jours d’exploitation, les données plus anciennes sont supprimées définitivement.

La lecture des fichiers de données et la récupération SCN sont effectuées en utilisant l’exécutable orablock.exe alors que l’outil oratime.exe permet quant à lui de convertir les horodatages SCN vers un format plus traditionnel et utilisable ; c'est grâce à la récupération de ces derniers qu'il est possible de connaître l’heure exacte des modifications avec une précision de plus ou moins trois secondes.

D’un point de vue compatibilité, la suite Cadfile est principalement destinée à l’analyse des fichiers issus d'un serveur de base de données Oracle en version 10g. Les outils disponibles dans Cadfile peuvent être compilés sous des systèmes d’exploitation de type GNU/Linux, Apple Mac OS X et Microsoft Windows ; leur code source étant disponible publiquement afin que tout un chacun puisse comprendre les tenants et les aboutissants de son mode opératoire.

Source : Bugtraq ( voir secumail - lien )