Защита баз данных
В то время как компании сосредоточивают усилия на обеспечении безопасности ОС и сетевых устройств, эксперты по безопасности заявляют, что базам данных, наиболее важным местам, где хранится ценная информация, уделяется слишком мало внимания.
Информация по уязвимостям Oracle доступна по адресу http://otn.oracle.com/deploy/security/alerts.htm, а для Microsoft SQL Server по адресуhttp://support.microsoft.com/. Существует и российский источник информации об уязвимостях СУБД. Это сервер НИП "Информзащита" (http://www.infosec.ru/), на котором размещено описание около 300 уязвимостей СУБД Oracle, Microsoft SQL Server и Sybase, обнаруживаемых системой анализа защищенности Database Scanner американской компании Internet Security Systems.
Уязвимости сетевого взаимодействия
Большинство современных СУБД построено по технологии клиент-сервер, что подразумевает доступ клиентской части к серверу по каналам связи. В качестве сетевого протокола, по которому осуществляется взаимодействие, как правило, выступает IP (и TCP над ним), поскольку никакой другой из распространенных протоколов не обеспечивает межплатформенного взаимодействия (например, между рабочей станцией Windows 98 и сервером Solaris, да еще через Интернет).
Доступ клиентов к серверу баз данных осуществляется путем обращения к так называемому слушающему сервису, функционирующему на порте с определенным номером (1433 - для Microsoft SQL Server, 1521 - для Oracle и, как правило, 5000 - для Sybase). Несанкционированный доступ к учетной записи, отвечающей за старт и останов слушающего сервиса, приводит к тому, что злоумышленник может остановить данный сервис, тем самым блокировав все попытки подключения клиентов к серверу базы данных.
Но нарушителю не обязательно даже знать пароль. Он может попросту послать на "слушающий" порт специальным образом сформированные пакеты, приводящие к нарушению работоспособности сервера баз данных (т. е. атака "отказ в обслуживании").
Еще одна уязвимость баз данных, взаимодействующих по протоколу TCP/IP, связана с тем, что информация между клиентом и сервером в абсолютном большинстве случаев передается в незащищенном виде. Установив в сети анализатор протоколов или используя анализатор, встроенный в ОС (как, например, Network Monitor для Windows NT), можно без проблем перехватывать пароли и идентификаторы пользователей, не говоря уже о конфиденциальных данных, хранящихся в БД.
Уязвимости учетных записей
Еще одна проблема Microsoft SQL Server также связана с системным реестром, в котором хранятся (пусть и в зашифрованном виде) пароли не только пользователей БД, но и пользователей операционной системы. С помощью расширенных хранимых процедур xp_regdeletevalue, xp_regwrite, xp_regread и т. д. можно манипулировать ключами системного реестра как угодно. Например, прочтя с помощью команды xp_regread
'HKEY_LOCAL_MACHINE', 'SECURITY\SAM\DOMAINS\ACCOUNT\USERS\000001F4', 'F' неизвестный зашифрованный пароль учетной записи пользователя, можно заменить его на известный пароль и войти в систему, замаскировавшись под ничего не подозревающего пользователя. А если у злоумышленника есть время, то он может попытаться "взломать" зашифрованный пароль с помощью уже упомянутой утилиты L0phtCrack.
Еще одна проблема, о которой нельзя умолчать, присуща не только СУБД, но и многим другим программным средствам. Речь идет о контроле "слабых" паролей, содержащих только буквы (без цифр), малое число символов и т.д. Предыдущие версии Oracle, Sybase, Microsoft SQL Server не содержали никаких средств контроля таких паролей, что позволяло пользователям выбирать для них абсолютно неподходящие значения типа "1111", "alex", "sex", "aaaa" и т.д. Такие пароли подбираются злоумышленниками в течение нескольких секунд, что (в случае отсутствия механизма контроля неудачных попыток регистрации в СУБД) открывает злоумышленнику доступ к конфиденциальным данным. В новых версиях Sybase и Oracle появились такие механизмы проверки, но по умолчанию они не используются.