You are on page 1of 29

Integrantes:

Renato Duarte
Leonardo de Jesus
Felipe Plattek
Ricardo Villas-Bas Fernandes
Marcus Vincius S. Silva

Agenda
Segurana de dados e informao
Banco de dados
Vulnerabilidades
Ataques a banco de dados
Criptografia
Concluso

Segurana de Dados e Informao

Desafios das organizaes


Estabelecer contra medidas para o risco de perda de dados.
Adequar-se s exigncias da atual dinmica empresarial;
Rapidez nas tomadas de deciso;
Racionalizao dos processos;
Processamento de grandes volumes;
Presso sobre os resultados.

Dados e Informao
Problemas identificados em dados no protegidos:
Dados armazenados em mdia removvel (perdidos / roubados)
Poltica inconsistente de dados;
Dados no estruturados;
Falha no processo de auditoria interna
Exposio legal, regulamentria e tica para a organizao;
Custo de violaes de dados.

Dados e Informao
Valores agregados proteo dos dados e informao:
Reduo do custo, aumento da capacidade de cumprir as

obrigaes de auditoria e conformidade;


Garantia que os dados estejam disponveis para as pessoas
certas, no momento certo;
Garantia que os dados no sejam deliberada- ou
inadvertidamente acessados, vazados ou danificados;

Banco de Dados

Banco de Dados
um conjunto de registros dispostos em uma estrutura regular que

possibilita a reorganizao dos mesmos permitindo extrair a


informao.

Banco de Dados
So utilizados para armazenar diversos tipo de dados, como

informaes de pessoas, dados bancrios, informaes


confidenciais, etc.

Ferramentas de Segurana
Poltica de Segurana
Levantamento de Necessidades de Usurios

O que desejam
O que precisam
Perfis comuns
Nveis de Segurana
Adaptao s Regras da Empresa
Administrador, Dono de Objetos, Usurio Comum
Proteo em nvel de Tabela
Gerncia da base; Acesso a Objetos (Tabelas, Vises etc.)
Integrao com o Sistema Operacional
Views, Stored Procedures, Triggers
Backup & Recovery
Auditoria

Ferramentas de Segurana
SQL Server
Modos de Segurana: Standard e Integrated
Logins
Usurios

Administrador, Database Owner, Database Object Owner,


Database User
Privilgios de Objeto vs. Sistema
Objetos: Rule, Default, Stored Procedure, Trigger, View
Polticas de Backup
Recuperao
Auditoria
Ferramentas externas

Ferramentas de Segurana
Oracle
Integrao com o SO
Schemas
Usurios

Administrador, Database Owner, Database Object Owner,


Database User
Privilgios de Objeto vs. Sistema
Roles
Objetos: Stored Procedure, Trigger, View, Synonym, Profile
Polticas de Backup
Recuperao
Ferramentas do Oracle Enterprise Manager
Oracle Security Server
Auditoria
Criptografia

Vulnerabilidades

Vulnerabilidades
O maior valor de uma empresa so as informaes que ela possui.
Todos os recursos que expem dados ou informaes podem ser

considerados um risco, se forem implementados incorretamente.


A preocupao com a segurana dos dados contidos em bancos de

dados deve ser alta, independente do tipo de informao que est


sendo tratada.

Vulnerabilidades
Ameaas e vulnerabilidades podero ser de menor impacto se estiver
bem definido:
Processo (Diretivas de segurana);
Plataforma (Sistema no atualizado);
Autenticao (Senhas pouco seguras);
Programao (Injeo SQL);
Acesso aos dados (Criptografia aplicada de forma inadequada);

Ataques a Banco de Dados

Ataques a Banco de Dados


SQL Injection
Uma das tcnicas de fraude mais conhecida pelos desenvolvedores

web.
Manipulao de instruo SQL atravs das variveis que compem
parmetros recebidos por scripts server-side.

Ataques a Banco de Dados


SQL Injection Exemplo
$Sql = "SELECT * FROM tb_usuario
WHERE usuario = '" + $usuario + AND senha = + $senha + ;"
Ao entrar com:
Usurio: or 1=1
Senha: or 1=1
Comando que ser processado pelo Banco de Dados:
SELECT * FROM tb_usuario
WHERE usuario = or 1=1 AND senha = or 1=1;

Ataques a Banco de Dados


SQL Injection Exemplo
$Sql = "SELECT * FROM tb_clientes
WHERE cliente = '" + $nome + ;"
Ao entrar com:
Cliente: ; SELECT * FROM SYSOBJECTS;
Comando que ser processado pelo Banco de Dados:
SELECT * FROM tb_clientes WHERE cliente = ; SELECT * FROM SYSOBJECTS

Comando que poder ser processado pelo Banco de


Dados:
SELECT * FROM tb_clientes WHERE cliente = ; DROP TABLE FINANCEIRO

Ataques a Banco de Dados


SQL Injection Soluo
Utilizao de parmetros
Remoo de caracteres especiais
Limitao da quantidade de caracteres
Configurao correta do usurio de acesso ao BD.

Criptografia

Criptografia
Codifica os dados atravs de algoritmos;
A decodificao dos dados feita atravs de

chaves (pblica e

privada) ou senha;
Inutiliza os dados sem a chave de decriptrografia ou senha

correspondente;
No resolve problemas de controle de acesso;
Aumenta a segurana, limitando perda de dados mesmo se os

controles de acesso forem ignorados.

Fonte: http://msdn.microsoft.com/pt-br/library/bb510663.aspx

Tipos de criptografia
Criptografia Hash (ou Digest);
Chaves Simtricas;
Chaves Assimtricas;

Criptografia Hash
Permite que, atravs de uma string de qualquer tamanho, seja

calculado um identificador digital de tamanho fixo, chamado de


valor hash;
O valor hash geralmente formado por 16 bytes (no caso do MD-2,
MD-4 e MD-5) ou 20 bytes (no caso do SHA-1), mas pode se
estender, embora no passe de 512 bytes;

Chaves Simtricas
A mesma chave usada tanto na codificao quanto na

decodificao;
Algoritmos criptogrficos que fazem uso da Chave Simtrica:
DES (Data Encryption Standard);
IDEA (Internacional Data Encryption Algorithm);
RC (Rons Code ou Rivest Cipher);
3DES;
Twofish;
Blowfish.

Confiram o vdeo exibido na apresentao:


http://www.youtube.com/watch?v=U62S8SchxX4

Chaves Assimtricas
O sistema funciona da forma que algum cria uma chave e envia

essa chave quem quiser mandar informaes ela, essa a


chamada chave pblica. Com ela feita a codificao da
mensagem;
Para decodificao ser necessrio utilizar uma outra chave que
deve ser criada, a chave privada que secreta.

Na figura, a chave verde representa a chave pblica,


enquanto a chave rosa representa a chave privada.

Fonte: Wikipedia

Criptografia em Banco de Dados


No deve ser considerada em todos os dados ou conexes.

Como os usurios acessaro os dados?


Usurios acessarem dados por uma rede pblica.
Usurios acessarem dados por uma intranet segura.
Qualquer uso de criptografia deve tambm incluir uma estratgia de

manuteno de senhas, chaves e certificados.

Concluso
Independentemente dos recursos e investimentos aplicados em alta

tecnologia, se faz necessria uma adoo comportamental e


contnua voltada para a segurana do negcio. Pois, a
sobrevivncia da empresa no fundamental apenas quanto ao
aspecto da rentabilidade, mas tambm quanto ao aspecto da
manuteno da operacionalidade em nveis que no possam
interromp-la.

Nenhuma corrente mais forte que seu elo mais fraco.