BBED

Aus IT-Forensik Wiki

BBED oder Block Browser and Editor ist ein Tool das die direkte Bearbeitung von Datendateien ermöglicht. Hierzu umgeht es die Zugriffkontrolle von Oracle-Datenbankmanagementsystemen, jedoch muss der Zugriff auf das Betriebssystem möglich sein, was die Verwendung dieses Tools auf das Oracle-Konto, die Betriebssystemebene und den Rest der OSDBA-Gruppe beschränkt. Dieses Tool ermöglicht, dass zwischen den Benutzern in der OSDBA-Gruppe und denjenigen die auf BBED zugreifen können, praktisch keine Berechtigungskontrolle erfolgt. Hierdurch könnte das Tool zum Bespiel verwendet werden, um das SYS-Passwort und den Status zu ändern.

BBED kann als Absicherung verwendet werden, wenn Oracle im Falle einer Brute-Force-Attacke die SYS AS SYSDBA sperrt. Allerdings kann BBED auch von einem Angreifer verwendet werden, der in das System eingedrungen ist. Daher wird empfohlen, das Tool nicht auf dem Server zu speichern.

Aus forensischer Sicht ist BBED ein gutes und nützliches Tool, wenn Daten eines Datenbanksystems wieder hergestellt werden müssen. Es sollte aber nur von Leuten verwendet werden, die mit dem Tool vertraut sind und auch nur als letzte Instanz, da eine Fehlbedienung Schäden an der Datenbank verursachen kann.

BBED wird bis Oracle 11g mitgeliefert und kann mit dem DBMS installiert werden. BBED ist ein Oracle internes Tool, über das die Firma nicht viel Preis gibt, da BBED Datenblöcke innerhalb einer Oracle-Datenbank ändert und Inhalte zerstören kann, wodurch die Verwendung des Tools mit einem hohen Risiko verbunden ist. Bei der Verwendung des Tools ist daher nicht mit einer Unterstützung von Seiten der Firma Oracle zu rechnen.

Hinweise zur Installation: http://www.dba-oracle.com/t_callan_installing_block_browser_and_editor.htm

BBED-Tipps: http://www.dba-oracle.com/t_bbed.htm

BBED-Guide: http://www.orafaq.com/papers/dissassembling_the_data_block.pdf