[firebase-br] Segurança de dados e estrutura, alguém se habilita?

Magno System magno em speet.com.br
Qui Dez 4 18:20:32 -03 2008 

        A questão é saber quantos por cento de empresas com FIREBIRD 
instalado poderia ser alvo de hackers com tamanho conhecimento a ponto de 
capturar informações implantando um vírus via INTERNET (pois o mesmo não tem 
acesso físcio ao servidor) para capturar informações de uma base de dados 
linux, por exemplo, no qual ninguém além do DBA tem acesso físico ao banco 
de dados.

        Um hacker deste porte não vai ter interesse de invadir 
SUPERMERCADOS, FARMÁCIAS, LOJAS, COMÉRCIO EM GERAL. Talvez em bancos ou 
computador da NASA, como já aconteceu.

        Talvez 1 empresa a cada 10000. Não sei. O fato é: deixar o banco 
mais pesado com mega-proteções vai beneficiar 0,001% e punir 99,999%.



----- Original Message ----- 
From: "Sandro Souza" <escovadordebits em gmail.com>
To: "FireBase" <lista em firebase.com.br>
Sent: Thursday, December 04, 2008 2:53 PM
Subject: Re: [firebase-br]Segurança de dados e estrutura, alguém se 
habilita?


Bom dia/tarde Adriano.

Excelente pergunta Adriano.

Quem sabe se a equipe do Firebird acopla SSL nas conexões, para que fiquem
mais seguras com relação à grampos.

Quanto a desassemblar, nenhum programa está imune a isso.

Se você utilizar linguagens de programação interpretadas, como Java e tudo
.Net, já era. O fonte é regerado com N ferramentas na internet.

Se você utilizar linguagens de programação que gerem código nativo em
linguagem de máquina (como C, C++, Delphi, Kylix, Free Pascal, Lazarus, GPC,
etc...) vai realmente dificultar bastante a engenharia reversa devido às
otimizações de código que cada compilador faz, mas de forma alguma impede a
engenharia refersa.

Você poderia então, tentar utilizar esse segundo conjunto de linguagens
(gerando código assembly) e em sua aplicação, você criptografa a própria
chave de criptografia, de preferência, com algum algoritmo seu que não seja
conhecido nem padronizado.

A chave seria descriptografada em tempo de execução e fornecida ao Firebird
para a conexão.

Se aliar a brincadeira de SSL, TLS ou outro mecanismo de criptografia na
comunicação entre o Firebird e as aplicações clientes, já reforça mais
ainda.

Claro que um Mitnick desses por aí conseguiria quebrar tudo isso. Ninguém
está imune, mas podemos tentar fazer o possível.

Espero ter ajudado mais que atrapalhado. :D

2008/12/4 Adriano dos Santos Fernandes <adrianosf em uol.com.br>

> Sandro Souza escreveu:
>
>> Seria necessário criar mais um parâmetro de conexão, que seria a própria
>> chave de criptografia.
>>
>>  E se alguém pegar a chave, desassemblando o aplicativo ou monitorando a
> rede?
>
>
> Adriano
>
>
>
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas: http://firebase.com.br/pesquisa
>
______________________________________________
FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
Para saber como gerenciar/excluir seu cadastro na lista, use: 
http://www.firebase.com.br/fb/artigo.php?id=1107
Para consultar mensagens antigas: http://firebase.com.br/pesquisa

Mais detalhes sobre a lista de discussão lista