فا

‫ امنيت پايگاه داده: تهديدات و چالش‌ها – بخش دوم

شماره :IRCAR201408230

تاريخ: 28/5/93
در بخش اول مقاله، مقدمه‌اي درباره امنيت پايگاه داده و انواع روش‌هاي حمله بيان شد و به دو تهديد امنيتي آن اشاره گرديد. در اين بخش، ساير تهديدات و چالش‌هاي امنيت پايگاه داده مورد بحث قرار مي‌گيرد.
ادامه تهديدات امنيتي پايگاه داده
‌ج- ترفيع حق دسترسي
گاهي اوقات، آسيب پذيري‌هايي در نرم افزار پايگاه داده وجود دارد و مهاجمان از اين آسيب پذيري‌ها براي تبديل حق دسترسي از كاربر عادي به مدير استفاده مي‌كنند. به طور مثال، اين ترفيع حق دسترسي ممكن است منجر به حساب‌هاي كاربري ساختگي، انتقال سرمايه و سوء استفاده از اطلاعات تحليلي حساس شود. روت كيت (rootkit) پايگاه داده برنامه يا رويه‌اي است كه درون پايگاه داده پنهان بوده و دسترسي سطح مديريتي به داده را در پايگاه داده فراهم مي‌كند. اين روت كيت‌ها حتي ممكن است باعث غيرفعال شدن هشدارهاي IPSها شود. البته لازم به ذكر است كه نصب روت كيت‌ها فقط بعد از سوء استفاده از سيستم عامل امكان پذير است.
‌د- آسيب پذيري‌هاي پلت فرم
آسيب پذيري‌ سيستم عامل‌ها و سرويس‌هاي اضافي نصب شده روي سرور پايگاه داده ممكن است منجر به دسترسي غيرمجاز، تخريب داده يا انكار سرويس شود. به طور مثال، كرم Blaster از آسيب پذيري ويندوز 2000 براي ايجاد شرايط انكار سرويس استفاده مي‌كرد.
‌ه- استنتاج
حتي در DBMSهاي امن، كاربران امكان استنتاج از اطلاعاتي را كه به آنها دست يافته‌اند دارند. كاربر مي‌تواند از اطلاعاتي كه از پايگاه داده بدست آورده است، اطلاعات حساس بيشتري را استنتاج كند. اگر از اطلاعات طبقه بندي با درجه پايين‌تر بتوان اطلاعات طبقه بندي شده با درجه بالاتر را استخراج كرد، اين نوع استنتاج منجر به نقض امنيتي شده است. اغلب در دو حالت زير، مشكل استنتاج در سيستم‌هاي پايگاه داده‌اي بوجود مي‌آيد:
الف) مشكل تجميعي (aggregation): زماني اتفاق مي‌افتد كه مجموعه‌اي از اقلام داده‌‌اي كه حساس‌تر هستند در سطحي بالاتر از سطوح تك تك اقلام داده‌اي طبقه بندي مي‌شوند. به طور مثال، ميزان منفعت هر بخش در سازمان حساس نيست، اما مجموع سودهاي سازمان از سطح بالاتري برخوردار است.
ب) مشكل اتحاد (association): زماني اتفاق مي‌افتد كه وقتي دو مقدار در كنار هم قرار مي‌گيرند در سطح بالاتري از سطح هركدام ديده مي‌شوند. به طور مثال، فهرستي كه حاوي نام تمام كاركنان و فهرستي كه حاوي حقوق كاركنان است به تنهايي طبقه بندي شده محسوب نمي‌شوند؛ در حالي كه وقتي فهرستي حاوي نام كاركنان همراه با حقوق آنها است طبقه بندي شده محسوب مي‌شود.
‌و- تزريق SQL
در حمله تزريق SQL، مهاجم عبارات SQL غيرمجازي را به كانال داده آسيب پذير SQL تزريق مي‌كند. كانال‌هاي داده‌اي معمولاً رويه‌هاي ذخيره شده و پارامترهاي ورودي برنامه‌هاي كاربردي مبتني بر وب هستند. اين عبارات تزريق شده، توسط پايگاه داده اجرا مي‌شوند. به طور مثال، كاربر مي‌تواند پرس و جويي را به جاي نام خود وارد كند. مهاجمين ممكن است با استفاده از تزريق SQL، دسترسي بدون محدوديتي را به كل پايگاه داده بدست آورند.
‌ز- DBMS اصلاح نشده
فروشندگان پايگاه داده، اصلاحيه‌هايي را براي به روزرساني پايگاه داده در برابر آسيب پذيري‌ها منتشر مي‌كنند. اين اصلاحيه‌ها بايد پس از انتشار نصب شوند. اگر اين اصلاحيه‌ها نصب نشوند، مهاجمان قادر به استفاده از اين آسيب پذيري‌ها براي رخنه به پايگاه داده هستند.
‌ح- فعال بودن ويژگي‌هاي غيرضروري DBMS
DBMSها ويژگي‌هاي غيرضروري دارند كه به صورت پيش فرض فعال هستند. اين ويژگي‌ها در صورت غيرفعال نشدن، مي‌توانند منجر به حملاتي روي پايگاه داده شوند.
‌ط- پيكربندي اشتباه
پيكربندي ضعيف در سطح پايگاه داده مي‌تواند منجر به فعال نگه داشتن ويژگي‌هاي غيرضروري شود. پيكربندي اشتباه پايگاه داده، نقاط دسترسي ضعيفي را براي هكرها جهت دور زدن روش‌هاي احراز هويت و اخذ دسترسي به اطلاعات حساس فراهم مي‌كند. مجرمان از اين رخنه‌ها براي اجراي انواع خاصي از حملات استفاده مي‌كنند. عدم تنظيم مناسب تنظيمات پيش فرض، در دسترس بودن فايل‌هاي رمز نشده براي كاربران غيرمجاز، و رخنه‌هاي اصلاح نشده ممكن است منجر به دسترسي غيرمجاز به داده‌هاي حساس شود.
‌ي- سرريز بافر
زماني كه برنامه‌اي داده‌هايي را بيشتر از آنچه كه بايد نگهدارد در بافر ذخيره مي‌كند، سرريز بافر اتفاق مي‌افتد. در چنين شرايطي، داده اضافي مي‌تواند به مكان‌هاي مجاور سرريز شود و منجر به تخريب يا بازنويسي داده‌هاي معتبري كه در آن مكان‌ها نگهداري مي شوند گردد. به طور مثال، برنامه‌اي منتظر ورود نام كاربر است. هكر، به جاي وارد كردن نام، دستوري اجرايي را وارد مي‌كند كه باعث افزايش اندازه بافر مي‌شود. اين دستور معمولاً چيزي كوتاه است.
در بخش بعدي مقاله، به ساير تهديدات اشاره خواهد شد.
مقالات مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 2 شهریور 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0