Artigo em revista

Pessoal, tive a alegria de ter um artigo meu publicado esses mês na revista "Informática em Revista"!

Para quem se interessar, segue o conteúdo do artigo.

Segurança em bancos de dados

 

O seu banco de dados está seguro?
É uma pergunta comum, a qual qualquer administrador de banco de dados, ou
responsável pelo mesmo, já ouviu algumas vezes.

Algumas pessoas, por incrível que
pareça, ainda pensam em segurança física, quando falamos de segurança de banco
de dados. Não que não seja importante, pois ninguém quer um desconhecido
acessando localmente o seu servidor de banco de dados, mas no mundo de hoje a
segurança do banco de dados passa por pontos muito mais complexos.

Começando pelo básico, temos de
analisar a questão das senhas. É de extrema importância utilizar senhas fortes,
que misturem letras (maiúsculas e minúsculas), números e caracteres especiais, que
sejam periodicamente alteradas e que possuam um comprimento mínimo satisfatório,
definido na política de segurança da empresa. Mas do que vale ter essa senha
super complexa se a mesma fica anotada em um pedaço do papel em cima da mesa ou
em um arquivo de texto no desktop da sua máquina? Além disso, qual a política
de expiração das senhas e qual a política para adição e remoção de acessos aos
usuários?

Outro ponto de grande importância
é o uso dos usuários administradores do Sistema Gerenciador de Banco de Dados
(SGBD) em questão. Utilizando como exemplo o SQL Server, em que situações é
utilizado o usuário SA (System
Administrator
) e quem possui a senha do mesmo? Em uma área onde se fala
cada vez mais em segurança, não é nada incomum encontrar sistemas que utilizam
tal usuário para acesso ao banco de dados e, pior do que isso, cujos desenvolvedores
do software insistem no fato de que “o sistema precisa de um usuário
administrador para fazer o acesso ao banco, senão ele não funciona”. Será que
tais pessoas têm noção do risco que tal atitude acarreta? Provavelmente não!

Aumentando um pouco a
complexidade do problema, temos a questão dos ataques de SQL injection, que basicamente são uma forma de tentar burlar a
segurança do sistema ou obter informações privilegiadas (ou até apagar as
mesmas) através de comandos SQL inseridos através do sistema. Exemplificando,
um ataque de SQL Injection pode ser
feito através da tela de login, onde
o usuário tenta obter acesso ao sistema, através de comandos digitados nas
caixas de login e senha. Até mesmo
uma tela de cadastro pode ser utilizada para, entre outras coisas, apagar todos
os registros de seus clientes. Ah, lembram daquele sistema onde o usuário SA é
utilizado para fazer a conexão ao banco de dados? É exatamente este tipo de
sistema que mais sofre com os ataques, pois se o usuário é administrador,
qualquer comando que ele execute será validado pelo banco de dados, sem sofrer
restrições de permissão.

Outro ponto que não pode ser
esquecido é a atualização do SGBD. Migração para novas versões, aplicação de
Service packs, patches de segurança. O responsável pelo banco de dados lê os
boletins de segurança do fabricante? E o SGBD que sua empresa utiliza, fornece
recursos eficientes de segurança? Permite auditar e limitar os acessos? As
atualizações de segurança, são pagas ou já estão inclusas no preço da licença?

Estes são apenas alguns dos
riscos que um banco de dados sofre, mas que muitas vezes são subestimados. Por
isso, é essencial uma política de segurança para o banco de dados.

E o seu banco de dados, está
protegido? Já sofreu algum ataque de SQL Injection?
Não?! Será que você sabe mesmo a resposta para essa pergunta?

Esse post foi publicado em Artigos. Bookmark o link permanente.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s