[firebase-br] Permissões SYSDBA

jean em i7tecnologia.com jean em i7tecnologia.com
Qua Set 11 17:13:26 -03 2013 

Eu li até o fim, obrigado a todos.

Att

Jean Wetter

From: Gladiston Santana 
Sent: Wednesday, September 11, 2013 4:53 PM
To: Sandro Souza 
Cc: FireBase ; jean em i7tecnologia.com 
Subject: Re: [firebase-br] Permissões SYSDBA

Voce leu a minha mensagem até o final, certo?

"Mesmo assim, saiba que com os programas certos é possível derrubar essa
proteção."


Ok, então. 
Em outras palavras voce criou um crack para a base de dados. 
Voce não conseguirá mais fazer isso no FB3, vem aí a criptografia tanto do DB com secret key ou se preferir nos dados com funções especiais.

Estava interessado como eles fariam com uso de 'secret key' afinal se voce coloca-a num arquivo de configuração, quem tiver acesso ao arquivo saberá qual é ela, mas pelo que lí, voce poderá criar um programa, um helper que fornecerá a 'secret key' com a qual o firebird terá acesso aos dados. Assim, seu novo crack deverá ler o helper ao inves do db.


Em 11 de setembro de 2013 16:30, Sandro Souza <escovadordebits em gmail.com> escreveu:

  Essa solução eu já quebrei. 

  Uma equipe de uma empresa em que trabalhei precisou acessar dados de uma base em que foi aplicada essa solução do role com o nome de SYSDBA.

  Fiz um programa em Delphi para analisar a base de dados, e em questão de segundos eu consigo saber o nome do usuário que realmente consegue acessar a base de dados. E depois disso, o próprio programa já remove esse role, removendo assim essa semi-proteção.

  Só haverá realmente proteção se algum dia todos os dados de uma base feita em Firebird puderem ser criptografados e descriptografados de forma transparente pelo próprio Firebird, utilizando uma determinada string para criptografar e descriptografar os dados, fornecida como mais um parâmetro da conexão (que não existe hoje) e que não seja armazenada na própria base.

  Sem isso, nada mais vai resolver, principalmente por se tratar de um SGBD de código fonte aberto.

  Espero ter ajudado mais que atrapalhado. :D



  Em 11 de setembro de 2013 15:28, Gladiston Santana <gladiston em vidy.com.br> escreveu:

    Dá uma googleada que voce acha a solução, é mais ou menos assim, voce cria
    um outro usuario com superpoderes e acesso a role rdb$admin, depois cria
    uma role chamada SYSDBA, isso fará com que o login ao seu banco de dados
    não funcione com a conta SYSBA e para futuras emergencias possa ser usado o
    superusuario que voce criou no inicio.

    Mesmo assim, saiba que com os programas certos é possível derrubar essa
    proteção.

Mais detalhes sobre a lista de discussão lista