VIII S Zaproszenie

Warszawa, 23.04.2003, ul. Chałubińskiego 8

VIII Seminarium PLOUG

Bezpieczeństwo
Oracle9i/AS:
zagrożenia i metody ochrony

Mamy ogromną przyjemność zaprosić Państwa do uczestnictwa w VIII
Seminarium Użytkowników i Deweloperów Oracle, organizowanym przez
Stowarzyszenie Polskiej Grupy Użytkowników Systemu Oracle. Tematami tego
spotkania, adresowanego m.in. do konsultantów, administratorów i programistów,
będą zagrożenia i metody ochrony aplikacji internetowych zbudowanych w środowisku
Oracle oraz dodatkowe mechanizmy zabezpieczające produkcji Oracle. Tradycyjnie
już, seminarium zostanie podzielone na dwie części: teoretyczną, obejmującą
referaty plenarne, oraz praktyczną, obejmującą miniszkolenie, nazywane
roboczo tutorialem. W przypadku tego seminarium również referaty będą zawierać praktyczne prezentacje „na żywo”, omawianych metod ataku i sposobów ochrony.

Tematyka seminarium dotyczy bezpieczeństwa informacji pojmowanego w sposób
tradycyjny – jako zapewnienie wysokiej poufności przechowywanych w
systemie danych. Szczególną uwagę poświęcimy problemom związanych z
bezpieczeństwem aplikacji internetowych. Aplikacje internetowe zyskały bardzo
dużą popularność w ostatnich latach. Z punktu widzenia architektury systemu,
aplikacja internetowa to połączenie technologii związanych z serwerami WWW
oraz baz danych. Jest to oprogramowanie działające na platformie serwera WWW,
które przyjmuje zlecenia od przeglądarek, pobiera z bazy odpowiednie
informacje i w odpowiedzi generuje z nich stronę WWW, która jest prezentacją
pobranych z bazy danych. Aplikacją internetową jest zarówno prosty formularz
zbierający dane od klienta i zapisujący je do pliku bądź bazy, jak i np.
rozbudowane rozwiązania aplikacyjne budowane na bazie Oracle Portal.

Oracle dostarcza szeregu rozwiązań umożliwiających łatwe i szybkie
budowanie rozwiązań udostępniających informacje za pośrednictwem
technologii internetowych. Np.: Oracle 9iAS, Oracle Portal, Oracle HTTP Listener,
mod_plsql, OC4J, servlety, JSP. Dużą popularność zdobywa też zastosowanie
do celu integracji bazy z serwerem WWW, popularnych technologii nie wspieranych
bezpośrednio przez Oracle, takich jak PHP czy ASP.

Aplikacje internetowe dają zupełnie nowe możliwości jeśli chodzi o
prezentowanie i udostępnianie informacji. Niestety – daje to również
zupełnie nowe możliwości atakowania. Zauważmy, że aplikacja internetowa
posadowiona na serwerze WWW komunikuje się z użytkownikiem za pośrednictwem
tradycyjnego protokołu HTTP/HTTPS. W związku z tym, mechanizmom zabezpieczającym
trudno jest odróżnić atak od dopuszczalnego działania użytkownika. Drugim
aspektem, który czyni to zagrożenie szczególnie niebezpiecznym jest to, że
większość aplikacji internetowych jest budowana na zamówienie klienta pod
konkretną potrzebę. W związku z tym, nie można liczyć na to, że producent
bądź ktoś inny wykryją błędy, poinformują nas o tym i opracują poprawki.

Wszystko to sprawia, że w przypadku aplikacji internetowych tradycyjne
mechanizmy zabezpieczające (firewall, IDS) nie sprawdzają się. Szczególnie
ważna staje się natomiast świadomość zagrożeń zarówno u twórców
aplikacji jak i u administratorów. W trakcie prezentacji postaramy się
przedstawić zarówno zagrożenia i sposoby atakowania aplikacji internetowych,
jak i metody podniesienia bezpieczeństwa systemu.

Druga część seminarium będzie poświęcona mechanizmom mogącym posłużyć
do zwiększenia bezpieczeństwa przetwarzanych przez bazy Oracle informacji.
Skupimy się tutaj na dwóch technologiach udostępnianych przez Oracle: Label
Security oraz Oracle Advanced Security Option.

Oracle Label Security to technologia pozwalająca na kontrolę uprawnień już
na poziomie pojedynczych rekordów.

Oracle Advanced Security Option – to rozszerzenie pozwalające na
zastosowanie zaawansowanych mechanizmów, które mogą posłużyć do budowy
rozwiązań o zwiększonym bezpieczeństwie. Pakiet udostępnia m.in. możliwość
szyfrowania transmisji sieciowych, zaawansowane mechanizmy uwierzytelniania umożliwiające
integrację np. z metodami biometrycznymi, oraz implementacje Single Sign-On.

Zaprezentowane zostaną zarówno idee działania tych opcji jak i praktyczne
wskazówki dotyczące ich wdrażania w środowiskach produkcyjnych.

Do udziału w przygotowaniu seminarium „Bezpieczeństwo Oracle –
zagrożenia i metody ochrony” zaprosiliśmy uznanych w tej dziedzinie
ekspertów. Mamy nadzieje że ich wystąpienia przyczynią się do tego, że na
nowo spojrzą Państwo na bezpieczeństwo swoich systemów. Ponad to –
podczas tego seminarium – nie tylko tutoriale ale również referaty
zostaną wzbogacone przez prezentacje „na żywo”.

Serdecznie zapraszamy!

Program Seminarium:

  Referaty:
10:15 Otwarcie
10:20-11:50 Wojciech Dworakowski, SecuRing: „Aplikacje
internetowe – przegląd zagrożeń”
11:50-12:00 przerwa
12:00-13:00 Wojciech Dworakowski, SecuRing :
„Zabezpieczanie aplikacji internetowych za pomocą rozwiązań
application firewall”
13:00-14:00 Paweł Chomicz, Altkom: „Oracle Label
Security”
13:50-15:00 Lunch
15:00-18:00 Tutorial:
Marcin Przepiórowski, Altkom: „Oracle
Advanced Security Option”
16:30-17:00 przerwa kawowa
17:00-18:00 Tutorial dalszy ciąg

Opisy referatów i tutorialu

REFERATY

Wojciech Dworakowski – SecuRing
„Aplikacje internetowe – przegląd zagrożeń”

Wykład będzie poświęcony sposobom atakowania
aplikacji internetowych. Jest to coraz popularniejszy sposób udostępniania
informacji w Internecie i w sieciach wewnętrznych.
Oracle ma w swojej ofercie wiele produktów służących do udostępniania
informacji za pośrednictwem WWW (np. 9iAS, Portal, mod_plsql, OC4J).
Niestety – stosowanie aplikacji internetowych, czyli oprogramowania które
działa po stronie serwera a dane prezentuje na przeglądarce WWW wiąże
się z wieloma zagrożeniami. Ostatnie lata przyniosły wiele odkryć i
metod ataku z tym związanych.
Wykład będzie miał na celu omówienie tych zagrożeń i prezentacje ich
w praktyce. Zostaną omówione i zaprezentowane m.in. takie techniki jak:

  • manipulacja nagłówkami HTTP
  • SQL-injection
  • Cross-site scripting
  • wykorzystanie Server side includes
  • Buffer-overflow

Wojciech Dworakowski – SecuRing
„Zabezpieczanie aplikacji internetowych za pomocą rozwiązań application firewall”

Aplikacje internetowe nie poddają się tradycyjnym
mechanizmom obronnym takim jak firewalle i IDS. Wynika to z faktu, że z
punktu widzenia mechanizmów obronnych posługują się one zwykłym
protokołem HTTP. Dla firewalla – będzie to zawsze zwykły ruch HTTP –
niezależnie od tego, czy będzie przekazywał normalną aktywność użytkowników,
czy też atak.
Z tego względu pojawiła się ostatnio nowa klasa mechanizmów obronnych
– firewalle aplikacyjne. Są to filtry ściśle zintegrowane z danym
serwisem (w naszym wypadku – z serwisem WWW). Potrafią one analizować
protokół HTTP i bronić nie tyle przed konkretnymi atakami co przed całymi
klasami zagrożeń.
Prezentacja zostanie uzupełniona o pokaz praktyczny tego typu rozwiązania
działającego jako moduł Apache (Oracle HTTP Listener).

Paweł Chomicz – Altkom
„Oracle Label Security”

Mechanizm Label Security jest obecny we wszystkich współczesnych
wersjach Oracle DBMS. Pozwala na kontrolę uprawnień do danych na
poziomie poszczególnych rekordów bazy.
W trakcie prezentacji dokładnie zostanie omówiona zasada działania
Oracle Label Security. Przedstawimy też szczegóły i uwagi dotyczące
konfigurcji i wprowadzania tego mechanizmu w środowiskach produkcyjnych.
Prezentacji będzie towarzyszył pokaz konfiguracji i wykorzystania
mechanizmu Label w praktyce.

TUTORIAL

Marcin Przepiórowski – Altkom
„Oracle Advanced Security Option”

Celem tutorialu będzie zaznajomienie administratorów z rozszerzeniem
Advanced Security Option. Szczególny nacisk zostanie położony na możliwość
szyfrowania transmisji protokołów z rodziny Net8. Pokazane zostaną również
rozszerzone możliwości uwierzytelniania oraz mechanizm Single Sign On.
Podczas tutorialu wszystkie tematy zostaną dokładnie omówione, zarówno jeśli
chodzi o konfiguracje oprogramowania, jak i zalecenia co do stosowania go w
praktyce.


Opłata za uczestnictwo w seminarium wynosi 290 zł. Opłata dla członków Stowarzyszenia – 250 zł.

Dla zgłoszenia uczestnictwa w seminarium należy skopiować niżej dostępny formularz, wypełnić i przysłać zgodnie ze wskazówką na końcu formularza.

Spóźnialscy mogą wypełnić formularz na miejscu.

Organizacja seminarium:
Sławomir Kwiecień,
tel. +48 601 958 703, +48 12 415-82-64
fax: +48 12 632-35-24
e-mail: