12 02 2016

Несанкціоноване впровадження в бази даних

Несанкціоноване впровадження в бази даних
При словосполученні "Бази даних" у багатьох людей виникають асоціації з якимись рідкісними, суперсучасними і дуже захищеними комп'ютерними програмами, які використовуються тільки державними службами і дуже серйозними комерційними структурами. Насправді, це помилка, бази даних дуже поширена річ, вони напевно є, і в вашому особистому комп'ютері (деякі програми мають свою, вбудовану базу даних), і їх повним-повнісінько в інтернеті.

Зберігатися в таких базах може все що завгодно, від списку телефонів і повідомлень гостьової книги, до паспортних даних, і номерів кредитних карт. У щорічному аналізі засобів комп'ютерної безпеки, американська телекомунікаційна компанія Verizon Business наводить відомості, що 75% зламаних баз даних містять конфіденційну інформацію, що користується великим попитом на чорному ринку, наприклад, списки клієнтів або записи про різні виплати, атакам піддавалися в основному корпоративні мережі організацій. Звичайно, абсолютно безпечних систем не буває. Це ж стосується і баз даних, до того ж не можна сказати, що в забезпеченні безпеки на програмному рівні нічого не робиться, робиться і дуже багато.

Друзі сайту: перейшовши по ссылке ви зможете потрапити на сайт, на якому у вас можуть терміново викупити автомобіль, якщо вам це потрібно.

Базою даних може бути абсолютно будь-яка інформація, яка систематизована і представлена в формі, в якій вона могла бути, легко знайдена і оброблена персональним комп'ютером, для зручності машинної обробки дані представляються в табличному вигляді. База даних управляється система керування Бази Даних (СУБД) - спеціальною програмою, яка виробляє всі необхідні операції. Так ось, коли ми говоримо про безпеку бази даних, ми маємо на увазі можливість її системи управління протистояти злому. Розглянемо способи, якими користується зловмисник, здійснюючи крадіжку інформації з бази. Перший найпоширеніший спосіб, це використання помилок програмування системи СУБД, наприклад, метод, так званих SQL-ін'єкцій. Що це таке, це впровадження потрібного шкідливого коду в запит до бази даних.

Справа в тому, що порядок роботи, з будь-якою базою наступний: ваш комп'ютер посилає до віддаленої СУБД запит на виконання певних дій, система обробляє запит, і при допустимості виконання певних умов ви отримуєте відповідь у вигляді готової інформації. Якщо запит виконати неможливо, тоді приходить повідомлення про помилку, що містить причину невиконання. Саме по тексту відповіді хакер визначає діри в системі безпеки і виробляє злом.

Безпосереднє, несанкціоноване підключення і відкриття бази даних, що зберігається на сервері вимагає досконального знання мови програмування і терпіння, але це того варто. Відкривши віддалену базу, зловмисник копіює ДАМП (файл, що дозволяє відтворити базу «з нуля») на локальний комп'ютер, все база вкрадена, тепер можна імпортувати ДАМП в систему управління базами даних, встановлену на локальному комп'ютері і читати інформацію. Ще один поширений метод злому, це розширення прав рядового користувача. У цьому випадку людина здійснює злом вже має доступ до бази даних, він тільки обмежений в правах користування, хоча має право встановлювати програмне забезпечення, яке може йому допомогти розширити призначені для користувача можливості. У разі вдалого результату справи, зловмисник копіює базу даних на знімний накопичувач, наприклад, USB, і виносить інформацію з підприємства. Якщо розглянути перший і другий варіанти, і проаналізувати їх з точки зору складності здійснення, то другий випадок найбільш легкий, дійсно, якщо хтось ззовні бажає отримати конфіденційну інформацію про фірму, то найпростіший спосіб це зробити, підкупити якогось співробітника компанії.

У багатьох випадках підкупу взагалі не відбувається, співробітник використовує секретну інформацію в своїх, особистих цілях, наприклад збільшення зарплати. Простіше кажучи, саме працює в компанії людина найкраще знає, як перетворити корпоративну інформацію в гроші. Висновки очевидні, оскільки крадіжка даних приходить зсередини, тут не допоможуть засоби захисту від проникнення ззовні (шифровані диски, firewall, смарт-карти і т.д.).

Злом без злому - буває і таке, типовий випадок, абсолютною відсутністю якої б то не було системи безпеки, зловмисникові не потрібно взагалі використовувати кошти злому для отримання потрібної інформації. У компанії вважають, що секретність це зайве, і не вживають заходів захисту, а права користувача зрівняні з правами адміністратора. Розглянемо заходи захисту загальні для всіх випадків. У першому прикладі, розглядався доступ до інформації ззовні, і була описана хакерська атака за допомогою SQL-запиту. Тут, захист може бути організована програмними методами, на рівні адміністратора. Не варто зберігати паролі в базі у відкритому вигляді, завжди шифруйте дані, в цьому випадку якщо і вдасться розкрити базу, їй не зможуть скористатися. Всі функції доступу до бази зберігайте в окремому файлі, вимкніть висновок помилок, що виникають при неправильному запиті на екран, це набагато ускладнює завдання зловмисникам. Заведіть собі тлумачного адміністратора, який повинен чітко розмежувати права всіх користувачів використовують базу даних і стежити за правильністю їх дотримання.

Якщо є підтримка запису текстових повідомлень, то обов'язково, ведіть журнал про операції в базі даних. Ведення журналу, звичайно, не відверне злом, але воно дасть можливість визначити, яка частина програми була піддана атаці. Корисна вся зберігається інформація. Чим її буде більше - тим краще. Методом аналізу, з'ясуйте, які дані найцінніші і сконцентруйте увагу на їх захист. Платіть нормальну зарплату адміністратору за його кваліфіковану працю. Пам'ятайте, будь-який захист відключається підкупом адміністратора, або через неправильне адміністрування.
Интересные материалы читать все
В останні роки готовий комплект бездротових камер відеоспостереження став користуватися великим попитом серед компаній і..
Комплект бездротових камер відеоспостереження
08 сентября 0 комментария
Для забезпечення безпеки бажано встановити на вхідні двері квартири ефективний засіб спостереження. Кольоровий відео вічко є..
Склад кольорового відеовічка
07 сентября 0 комментария
При виборі відеореєстратора головними параметрами є дозвіл і швидкість запису, яка є не що інше, як кількість кадрів в секунду. У..
Швидкість відеореєстраторів
29 августа 0 комментария
Системи охоронного спостереження використовуються на великих підприємствах і в офісах невеликих компаній. Як правило, молоді..
Як дешево придбати відеореєстратор?
28 августа 0 комментария