Segurança de Sistemas de Bancos de Dados U2S3 - ATIVIDADE DIAGNÓSTICA

Segurança de Sistemas de Bancos de Dados U2S3 - ATIVIDADE DIAGNÓSTICA

No uso de banco de dados, há a necessidade de categorizarmos (para fins de organização) vários tipos de usuário, como nos mostra Pires (2009), dividindo os indivíduos que interagem com os bancos de dados em dois grupos básicos, a saber

• Usuário de bancos de dados – aquele que interage direta ou indiretamente com os bancos de dados, mas não tem responsabilidade administrativa sobre estes;

•  Administrador – aquele que interage diretamente com os bancos de dados, atende as necessidades dos usuários, e zela pela organização e pela segurança de todos sob sua guarda, sejam eles bancos de dados ou usuários.

Assinale a alternativa que se refere à definição a seguir:

“Geralmente é um funcionário e/ou executivo da organização, que não somente interage com as aplicações, mas também tem acesso aos bancos de dados em si, consultando-os para fins administrativos. ”

Escolha uma:

a. Usuário Final.

b. Desenvolvedor de Aplicações.

c. Usuário Especializado.

d. Administrador de Banco de Dados.

e. Administrador de dados.

Para falarmos sobre ataques às permissões dos bancos de dados é útil observarmos um esquema lógico de uma implantação típica de bancos de dados. Na visão de Azevedo Filho e Costa (2008), podemos observar que o servidor SQL se encontra geralmente protegido por nada menos que dois firewalls (um firewall de perímetro e um firewall interno).

Podemos notar, também, que vários elementos propiciam pontos de ataque, e que dois deles, em particular nos remetem a ameaças com permissões em sua raiz:

• Aplicativos Web – Podem conter contas com excesso de privilégio e pontos vulneráveis de entrada

• Servidor SQL – Pode conter contas com excesso de privilégio, bem como permissões inconsistentes de acesso ou acesso sem certificado.

No tocante aos ataques com base em privilégios, observe a situação seguinte:

• • O funcionário Edson Watashiro é gerente de contas em um banco, atendendo mais de 200 clientes. Com o objetivo de ganhar o prêmio anual de produtividade, Edson usa sua conta no sistema de bancos de dados para criar novas contas correntes em nome de seus clientes, transferindo pequenas somas de suas contas oficiais para as contas novas. Neste processo, os clientes passam a ter novas contas e a receber novos cartões e — obviamente — a pagar novas taxas, que é o objetivo do banco com a campanha. A diferença é que os clientes não concordaram com este procedimento, que está sendo feito sem seu conhecimento. ”

Que tipo de ataque está ocorrendo neste caso?

Escolha uma:

a. Abuso de privilégios.

b. Privilégios esquecidos.

c. Insuficiência de privilégios.

d. Sequestro de privilégios.

e. Privilégios excessivos.

Em uma solução de bancos de dados — como é o caso para vários ambientes e soluções que exigem controle de acesso — é fundamental que ambas as tarefas sejam realizadas: autenticação e autorização do usuário, antes que este tenha acesso ao sistema em si, seja diretamente ou por meio de alguma aplicação.

Assinale a alternativa correta com relação ao que são e à ordem em que a autenticação e a autorização devem ocorrer quando alguém solicita acesso a um banco de dados.

Escolha uma:

a. A autenticação é a designação dos privilégios de uso do sistema a que o usuário autenticado tem direito. Autorização é a certificação de que quem pede o acesso está credenciado para ter este acesso. A Autorização deve ocorrer antes da Autenticação.

b. A autenticação é a designação dos privilégios de uso do sistema a que o usuário autenticado tem direito. Autorização é a certificação de que quem pede o acesso está credenciado para ter este acesso. A Autorização e a Autenticação devem ocorrer ao mesmo tempo.

c. A autenticação é a designação dos privilégios de uso do sistema a que o usuário autenticado tem direito. Autorização é a certificação de que quem pede o acesso está credenciado para ter este acesso. A Autenticação deve ocorrer antes da Autorização.

d. A autenticação é a certificação de que quem pede o acesso está credenciado para ter este acesso. Autorização é a designação dos privilégios de uso do sistema a que o usuário autenticado tem direito. A Autorização deve ocorrer antes da Autenticação.

e. A autenticação é a certificação de que quem pede o acesso está credenciado para ter este acesso. Autorização é a designação dos privilégios de uso do sistema a que o usuário autenticado tem direito. A Autenticação deve ocorrer antes da Autorização.