O documento aborda a importância da segurança de dados em bancos de dados e os desafios enfrentados pelas organizações, como vulnerabilidades e ataques, destacando a necessidade de medidas de proteção eficazes. Também discute a criptografia como uma solução para garantir a integridade e a confidencialidade das informações. Conclui que a adoção de comportamentos focados na segurança é essencial para a continuidade operacional das empresas.

1. Integrantes: Renato Duarte Leonardo de Jesus Felipe Plattek Ricardo Villas-Bôas Fernandes Marcus Vinícius S. Silva

2. Agenda Segurança de dados e informação Banco de dados Vulnerabilidades Ataques a banco de dados Criptografia Conclusão

3. Segurança de Dados e Informação

4. Desafios das organizações Estabelecer contra medidas para o risco de perda de dados. Adequar-se às exigências da atual dinâmica empresarial; Rapidez nas tomadas de decisão; Racionalização dos processos; Processamento de grandes volumes; Pressão sobre os resultados.

5. Dados e Informação Problemas identificados em dados não protegidos: Dados armazenados em mídia removível (perdidos / roubados) Política inconsistente de dados; Dados não estruturados; Falha no processo de auditoria interna Exposição legal, regulamentária e ética para a organização; Custo de violações de dados.

6. Dados e Informação Valores agregados à proteção dos dados e informação: Redução do custo, aumento da capacidade de cumprir as obrigações de auditoria e conformidade; Garantia que os dados estejam disponíveis para as pessoas certas, no momento certo; Garantia que os dados não sejam deliberada- ou inadvertidamente acessados, vazados ou danificados;

7. Banco de Dados

8. Banco de Dados É um conjunto de registros dispostos em uma estrutura regular que possibilita a reorganização dos mesmos permitindo extrair a informação.

9. Banco de Dados São utilizados para armazenar diversos tipo de dados, como informações de pessoas, dados bancários, informações confidenciais, etc.

10. Ferramentas de Segurança Política de Segurança Levantamento de Necessidades de Usuários O que desejam O que precisam Perfis comuns Níveis de Segurança Adaptação às Regras da Empresa Administrador, Dono de Objetos, Usuário Comum Proteção em nível de Tabela Gerência da base; Acesso a Objetos (Tabelas, Visões etc.) Integração com o Sistema Operacional Views, Stored Procedures, Triggers Backup & Recovery Auditoria

11. Ferramentas de Segurança SQL Server Modos de Segurança: Standard e Integrated Logins Usuários Administrador, Database Owner, Database Object Owner, Database User Privilégios de Objeto vs. Sistema Objetos: Rule, Default, Stored Procedure, Trigger, View Políticas de Backup Recuperação Auditoria Ferramentas externas

12. Ferramentas de Segurança Oracle Integração com o SO Schemas Usuários Administrador, Database Owner, Database Object Owner, Database User Privilégios de Objeto vs. Sistema Roles Objetos: Stored Procedure, Trigger, View, Synonym, Profile Políticas de Backup Recuperação Ferramentas do Oracle Enterprise Manager Oracle Security Server Auditoria Criptografia

13. Vulnerabilidades

14. Vulnerabilidades O maior valor de uma empresa são as informações que ela possui. Todos os recursos que expõem dados ou informações podem ser considerados um risco, se forem implementados incorretamente. A preocupação com a segurança dos dados contidos em bancos de dados deve ser alta, independente do tipo de informação que está sendo tratada.

15. Ameaças e vulnerabilidades poderão ser de menor impacto se estiver bem definido: Processo (Diretivas de segurança); Plataforma (Sistema não atualizado); Autenticação (Senhas pouco seguras); Programação (Injeção SQL); Acesso aos dados (Criptografia aplicada de forma inadequada); Vulnerabilidades

16. Ataques a Banco de Dados

17. Ataques a Banco de Dados SQL Injection Uma das técnicas de fraude mais conhecida pelos desenvolvedores web. Manipulação de instrução SQL através das variáveis que compõem parâmetros recebidos por scripts server-side.

18. SQL Injection – Exemplo $Sql = "SELECT * FROM tb_usuario WHERE usuario = '" + $usuario + “ AND senha = ‘” + $senha + “’;" Ao entrar com: Usuário: ‘ or ‘1’=‘1 Senha: ‘ or ‘1’=‘1 Comando que será processado pelo Banco de Dados: SELECT * FROM tb_usuario WHERE usuario = ‘’ or ‘1’=‘1’ AND senha = ‘’ or ‘1’=‘1’; Ataques a Banco de Dados

19. SQL Injection – Exemplo $Sql = "SELECT * FROM tb_clientes WHERE cliente = '" + $nome + “’;" Ao entrar com: Cliente: ‘; SELECT * FROM SYSOBJECTS; Comando que será processado pelo Banco de Dados: SELECT * FROM tb_clientes WHERE cliente = ‘’; SELECT * FROM SYSOBJECTS Comando que poderá ser processado pelo Banco de Dados: SELECT * FROM tb_clientes WHERE cliente = ‘’; DROP TABLE FINANCEIRO Ataques a Banco de Dados

20. SQL Injection – Solução Utilização de parâmetros Remoção de caracteres especiais Limitação da quantidade de caracteres Configuração correta do usuário de acesso ao BD. Ataques a Banco de Dados

21. Criptografia

22. Criptografia Codifica os dados através de algoritmos; A decodificação dos dados é feita através de chaves (pública e privada) ou senha; Inutiliza os dados sem a chave de decriptrografia ou senha correspondente; Não resolve problemas de controle de acesso; Aumenta a segurança, limitando perda de dados mesmo se os controles de acesso forem ignorados. Fonte: http://msdn.microsoft.com/pt-br/library/bb510663.aspx

23. Tipos de criptografia Criptografia Hash (ou Digest); Chaves Simétricas; Chaves Assimétricas;

24. Criptografia Hash Permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital de tamanho fixo, chamado de valor hash ; O valor hash geralmente é formado por 16 bytes (no caso do MD-2, MD-4 e MD-5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes;

25. Chaves Simétricas A mesma chave é usada tanto na codificação quanto na decodificação; Algoritmos criptográficos que fazem uso da Chave Simétrica: DES (Data Encryption Standard); IDEA (Internacional Data Encryption Algorithm); RC (Ron’s Code ou Rivest Cipher) ; 3DES; Twofish; Blowfish. Confiram o vídeo exibido na apresentação: http://www.youtube.com/watch?v=U62S8SchxX4

26. Chaves Assimétricas O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar informações à ela, essa é a chamada chave pública. Com ela é feita a codificação da mensagem; Para decodificação será necessário utilizar uma outra chave que deve ser criada, a chave privada – que é secreta. Na figura, a chave verde representa a chave pública, enquanto a chave rosa representa a chave privada. Fonte: Wikipedia

27. Criptografia em Banco de Dados Não deve ser considerada em todos os dados ou conexões. Como os usuários acessarão os dados? Usuários acessarem dados por uma rede pública. Usuários acessarem dados por uma intranet segura. Qualquer uso de criptografia deve também incluir uma estratégia de manutenção de senhas, chaves e certificados.

28. Conclusão Independentemente dos recursos e investimentos aplicados em alta tecnologia, se faz necessária uma adoção comportamental e contínua voltada para a segurança do negócio. Pois, a sobrevivência da empresa não é fundamental apenas quanto ao aspecto da rentabilidade, mas também quanto ao aspecto da manutenção da operacionalidade em níveis que não possam interrompê-la.

29. “ Nenhuma corrente é mais forte que seu elo mais fraco.”