Importanta securitatii informationale a bazelor de date. a. Notiuni de baza. b. Metode de codificare a informatiilor din baza de date. 2…. [630617]

Securitatea

Bazelor De Date

Alesandrescu Ionu
ț
-Alexandru

Tehnologia Informa
ț
iei gr. 4361

Cuprins

1.
Importanta securitatii informationale a bazelor de date.

a.
Notiuni de baza.

b.
Metode de codificare a informatiilor din baza de date.

2.
Vulnerabilitatile bazelor de date.

a.
Amenintari principale.

b.
Metode de preventie a furtului de date.

3.
Cele 4 straturi de securizare a bazelor de date.

a.
Stratul Network.

b.
Servere de tip Web.

c.
Firewall.

d.
Stratul sistemului de operare.

4.
Concluzii.

a.
Concluzii si impresii personale.

Cap.1 Importan
​
ț ​
a
​
securită
ț
ii
​
informa
​
ț ​
ionale a bazelor de date.

1.1.
​
No
ț
iuni
​
de baza.

În această eră a tehnologiei, un aspect extrem de important pentru toate

tipurile de institu
ț
ii sau asocia
ț
ii este reprezentat de către stocarea

informa
ț
iilor în baze de date. De obicei, tipul de informa
ț
ii care este

re
ț
inut în baza de date depinde de zona de activitate a firmei sau

institu
ț
iei aferente, acestea pot fi de la date personale despre utilizatori,

numerele căr
ț
ilor de credit până la tranzac
ț
ii financiare între diferite

persoane. Acest tip de informa
ț
ie este unul strict confiden
ț
ial, iar accesul

persoanelor neautorizate trebuie împiedicat prin metode moderne
ș
i

eficiente de securizare a datelor. De aceea în momentul construirii bazei

de date, securizarea acesteia trebuie luată foarte bine în considerare

deoarece codificarea datelor este crucială pentru majoritatea

întreprindelor din ziua de astăzi, deteriorarea bazei de date va avea un

impact negativ asupra companiei cât
ș
i asupra clien
ț
ilor acesteia.

Securitatea datelor este una crucială nu numai în mediul de afaceri ci

chiar
ș
i în calculatoarele noastre personale deoarece fi
ș
ierele pe care noi

le stocam pot ajunge cu mare u
ș
urin
ț
ă în mâinile unor oameni care pot

folosi informa
ț
iile respective în interes propriu, prin intermediul unor erori

umane.

Bazat pe un studiu de caz realizat de către Centrul Na
ț
ional American de

Protec
ț
ie a Infrastructurii în anul 2000, atacurile cibernetice asupra

sistemului de securitate al comer
ț
ului electronic din SUA este în continuă

cre
ș
tere. Hackerii se folosesc de diverse metode pentru a identifica

punctele slabe ale sistemelor informatice de
ț
inute de către diversele

institu
ț
ii pentru a accesa
ș
i descarcă datele pesonale ale acestora pe

care ulterior le folosesc în scopuri proprii.

O securizare precare a bazei de date poate afecta nu numai baza de

date în sine ci
ș
i celelalte sisteme cu care această comunica, intru
ș
ii se

folosesc de punctele slabe pentru a pătrunde în sistemul informatic iar

după aceea ob
ț
in accesul asupra diverselor mecanisme de control ale

unor dispozitive, sisteme, aplica
ț
ii etc.

1.2.Metode de codificare a informa
ț
iilor din baza de date.

Cea mai răspândită metodă de securizare a informa
ț
iilor din baza

de date se referă la un procedeu numit criptare. Criptarea informa
ț
iilor

din baza de date se define
ș
te ca fiind un proces ce folose
ș
te un algoritm

de criptare pentru a transforma datele stocate într-un format ce nu poate

fi în
ț
eles până la momentul decriptării. Ideea principală a acestui

procedeu este aceea că doar persoanele autorizare pot decripta

informa
ț
ia respectivă prin utilizarea unei chei de decriptare care se

referă de cele mai multe ori la o parolă sau la niste operatii matematice

care trebuiesc aplicate mesajului respectiv.

Acesti algoritmi de criptare au inceput sa fie folositi din cele mai

vechi timpuri, aici putem aminti de procedul “Cifrul lui Cezar” care a fost

numit dupa fostul lider politic roman Iulius Cezar, acesta a inventat un

algoritm de codificare a cuvintelor cu scopul protejarii mesajelor cu

importanta militara. Ideea criptarii era una extrem de simpla, conversia

din mesajul de baza in textul criptat se realiza printr-o metoda de

substitutie a fiecarui litere din mesaj cu litera care se afla in alfabet la o

distanta fixa fata de cea inlocuita care specifica caracterul respectiv.

Cifrul lui Cezar a fost un procedeu foarte util la acele vremuri insa

cu trecerea timpului s-au dezvoltat foarte multe tehnici de depistare si de

spargere al acestori algoritmi de codificare simplii astfel ca in ziua de azi

avem algoritmi de o complexitate foarte ridicata precum algoritmul

“Blowfish” sau “Triple DES” care preiau mesajul de intrare, il sparg in

blocuri de cate 64 de biti si le cripteaza individual, acesti algoritmi se

numesc “algoritmi simetrici”.

Conform site-ului “
​
www.techopedia.com
​
” criptarea unei baze de

date este destul de costisitoare si necesita mai mult spatiu de stocare

decat datele originale in sine. Pasii de urmat pentru criptarea unei baze

de date sunt:

1.
Determinarea gradului de necesitate de criptarii informatiilor

din baza de date.

2.
Determinarea datelor ce trebuiesc criptate.

3.
Alegerea algoritmilor de criptare cei mai potriviti in functie de

tipurl de date stocate.

4.
Determinarea modului in care se vor gestiona cheile

(parolele) ce vor fi imanate celor care vor avea dreptul sa

acceseze datele respective.

Cap.2. Vulnerabilitatile bazelor de date.

2.1. Amenintari principale.

Amenintarile principale in ceea ce priveste securitatea si

integritatea bazelor de date sunt date, in mare parte, de catre

proiectarea sau configurarea deficitara a sistemului bazei de date. Martin

Pill, consultant si arhitect in securitate informationala a oferit un interviu

celor de la
​
“The British Computer Society”
​
unde a vorbit despre top 10

cele mai frecvente atacuri asupra bazelor de date. In urmatoarele

randuri vom mentiona cateva amenintari principale enumerate de catre

Martin Pill si le vom detalia pe scurt.

●
Erori de configurare a bazei de date in cloud.

Adresele IP ale servicilor publice nu sunt secrete si sunt scanate

continuu de catre hackeri pentru a detecta vulnerabilitati.

●
Injectare de tip SQL

Vulnerabilitatile de tip injectare SQL apar atunci cand codul

aplicatiei contine interogari dinamice ale bazei de date. Aceasta este o

forma ce produce o vulnerabilitate extrem de ridicata a informatiilor,

hackerii pot gasi foarte usor aplicatii care permit bypass-ul complet de

autentificare si extragere a intregii baze de date.

●
Parola slaba.

Acest tip de amenintare se refera la securizarea deficitara a bazei

de date cu o parola care nu respecta standardele de siguranta

recomandate. Parola ar trebui sa contina cel putin 8 caractere dintre

care cel putin o litera mare, o litera mica, o cifra si un simbol.

●
Abuzul de permisiuni.

Persoanele autorizate sa acceseze informatii din baza de de date

pot abuza de acest privilegiu pentru a accesa date in scopuri

neautorizate. De exemplu, un utilizator care acceseaza baza de date a

unei banci, poate folosi diverse informatii pe care ulterior le-ar putea

vinde unei banci concurente.

●
Arhitectura deficitara a sistemului.

La momentul crearii unei baze de date, arhitectul trebuie sa aiba in

vedere unele norme generale de “design”. Persoanele rau intentionate

pot detecta bazele de date cu o vulnerabilitate ridicata si pot accesa si

folosi informatii cruciale in cazul unei arhitecturi slabe.

●
Backup inadecvat.

Pentru a preveni pierderea permanenta a informatiilor stocate, este

recomandat de cele mai multe ori sa avem un backup de rezerva a bazei

de date, acesta reprezinta o solutie intr-o situatie in care sa prespunem

ca din cauza unui atac se pierd absolut toate datele iar compania

respectiva depinde de acele informatii.

2.2. Metode de preventie a furtului de date.

Pierderea de date este o problema destul de serioasa pentru

companiile de toate dimensiunile, pierderea fisierelor este echivalent cu

pierderea de timp si bani pentru restaurarea sau recuperarea

informatiilor. Pierderea de date se produce atunci cand datele sunt

sterse din greseala sau baza de date a fost atacata de catre o persoana

rau intentionata, in continuare vom analiza cateva metode prin care

fiecare dintre noi poate oferi un plus de siguranta unei baze de date.

In functie de datele interne stocate in baza de date si de tipul

acestora, se pot implementa cu usurinta proceduri de configurare si de

gestionare a modificarii infrastructurii.

La bazele de date care sunt incarcate pe tehnologii de tip cloud

exista un risc foarte mare de atac deoarce acestea fiind pe internet sunt

direct accesibile mai multor oameni care ar putea depista vulnerabilitati

in structura acestora, pentru probleme de acest gen ne putem folosi de

un procedeu de securizare a bazei de date prin intermediul unei parole

cu un grad ridicat de complexitate sau cum se procedeaza mai nou prin

tehnici moderne de securitate cum ar fi “2 step authentication” care

necesita pe langa parola si un cod de securitate care este trimis la

momentul autentificarii pe telefonul/mail-ul persoanei autorizate sa

acceseze acele date.

Pentru evitarea atacurilor injectare de tip SQL este recomandat

evitarea utilizarii interogarilor dinamice in aplicatii, de aceea ar fi bine sa

se implementeze un mecanism de monitorizare a input-ului utilizatorului

inainte ca acesta sa fie trimis la baza de date astfel incat sa se verifice

corectitudinea informatiilor care urmeaza sa fie introduse.

Implementarea unui sistem de blocare a contului atunci cand

utilizatorul depaseste un numar stabilit de autentificari nevalide, acest

procedeu este unul foarte util deoarce ii opreste pe acei care utilizeza

metoda “brute force” de a sparge o parola, aceasta metoda incearca

toate combinatiile posibile de parole pana o gaseste pe cea corecta. De

asemnea, algoritmul brute force poate primi ca si input o lista de cele

mai utilizate parole pentru a reusi spargerea contului intr-un timp mai

scurt, de aceea se incurajeaza alegerea unei parole cat mai complexe

care sa nu aibe legatura cu utilizatorul. Nu este necesar ca utilizatorii sa

isi schimbe parolele in periodic, deoarece acest fapt incurajeaza

alegerea unei parole usor de retinut (si de ghicit).

De retinut este faptul ca orice camp din baza de date ar trebui sa fie

criptat prin intermediul unui algoritm de criptare, totusi daca acest lucru

nu este posibil din varii motive, ar trebui sa se garanteze cel putin

criptarea campurilor ce contin parole deoarce acestea reprezinta cele

mai mari vulnerabilitati intr-o baza de date.

Toate copiile de rezerva (backup-uri) trebuie criptate pentru a

putea proteja confidentialitatea si integritatea datelor, de asemnea

acestea trebuie sa contina un management eficient al cheilor de

decriptare. Aceste copii ale bazelor de date trebuiesc stocate local, pe

dispozitive fara acces la internet, care sunt destinate exclusiv stocarii

backup-urilor, acest lucru face ca si incercarea celor care vor sa puna

mana pe aceste copii de rezerva o misiune aproape imposibila.

Backup-urile trebuie actualizate periodic deoarece datele trebuie sa fie la

zi in cazul in care baza de date originala se pierde.

In concluzie, daca urmati sfaturile de mai sus, veti fi eliminat o

mare parte din amenintarile actuale la adresa datelor dumneavoastra.

Cap.3. Cele 4 straturi de securizare a bazelor de date.

3.1. Stratul sistemului de operare.

Securitatea sistemului de operare este o specificatie foarte

importanta atunci cand vine vorba despre administrarea unei baze de

date,