[firebase-br] Permissões SYSDBA

Sandro Souza escovadordebits em gmail.com
Qua Set 11 17:20:57 -03 2013


Eu espero realmente que não dê mais para quebrar a segurança das bases de
dados no Firebird 3.0 em diante.
Fiz o cracker (apenas uma única versão a anos atrás) para atender uma
necessidade daquela equipe, mas como também uso FB, espero realmente que
melhorem a segurança, e pelo que você relatou, parece que as nossas
esperanças serão atendidas a partir da 3.0.
Sei que isso vai causar perda de performance, pois quando usarmos a
criptografia/descriptografia transparente de dados, vai reduzir a
performance das operações na base de dados em prol da segurança dos mesmos.
Na minha humilde opinião, os dados são de propriedade do cliente, e não do
desenvolvedor do software, mas isso é apenas a minha humilde opinião.


Em 11 de setembro de 2013 16:53, Gladiston Santana
<gladiston em vidy.com.br>escreveu:

> Voce leu a minha mensagem até o final, certo?
>
>
> "Mesmo assim, saiba que com os programas certos é possível derrubar essa
> proteção."
>
> Ok, então.
> Em outras palavras voce criou um crack para a base de dados.
> Voce não conseguirá mais fazer isso no FB3, vem aí a criptografia tanto do
> DB com secret key ou se preferir nos dados com funções especiais.
> Estava interessado como eles fariam com uso de 'secret key' afinal se voce
> coloca-a num arquivo de configuração, quem tiver acesso ao arquivo saberá
> qual é ela, mas pelo que lí, voce poderá criar um programa, um helper que
> fornecerá a 'secret key' com a qual o firebird terá acesso aos dados.
> Assim, seu novo crack deverá ler o helper ao inves do db.
>
> Em 11 de setembro de 2013 16:30, Sandro Souza <escovadordebits em gmail.com>escreveu:
>
> Essa solução eu já quebrei.
>>
>> Uma equipe de uma empresa em que trabalhei precisou acessar dados de uma
>> base em que foi aplicada essa solução do role com o nome de SYSDBA.
>>
>> Fiz um programa em Delphi para analisar a base de dados, e em questão de
>> segundos eu consigo saber o nome do usuário que realmente consegue acessar
>> a base de dados. E depois disso, o próprio programa já remove esse role,
>> removendo assim essa semi-proteção.
>>
>> Só haverá realmente proteção se algum dia todos os dados de uma base
>> feita em Firebird puderem ser criptografados e descriptografados de forma
>> transparente pelo próprio Firebird, utilizando uma determinada string para
>> criptografar e descriptografar os dados, fornecida como mais um parâmetro
>> da conexão (que não existe hoje) e que não seja armazenada na própria base.
>>
>> Sem isso, nada mais vai resolver, principalmente por se tratar de um SGBD
>> de código fonte aberto.
>>
>> Espero ter ajudado mais que atrapalhado. :D
>>
>>
>> Em 11 de setembro de 2013 15:28, Gladiston Santana <gladiston em vidy.com.br
>> > escreveu:
>>
>>>  Dá uma googleada que voce acha a solução, é mais ou menos assim, voce
>>> cria
>>> um outro usuario com superpoderes e acesso a role rdb$admin, depois cria
>>> uma role chamada SYSDBA, isso fará com que o login ao seu banco de dados
>>> não funcione com a conta SYSBA e para futuras emergencias possa ser
>>> usado o
>>> superusuario que voce criou no inicio.
>>>
>>> Mesmo assim, saiba que com os programas certos é possível derrubar essa
>>> proteção.
>>>
>>
>



Mais detalhes sobre a lista de discussão lista