Tripletech IT Solutions » SQL Server

8 técnicas para bloquear ataques SQL

InfoBlog — Mon, 24 Oct 2011 14:22:34 +0000

Aplicativos web recebem 71 tentativas desse tipo de taque por hora, mas isso pode chegar a 1,3 mil. Considere os conselhos de segurança para impedir ataques SQL

Em médias, aplicativos web recebem 71 tentativas de ataque por injeção de comandos SQL por hora. Mas durante picos de ataque, esse volume pode atingir 1,3 mil por hora. Essa descoberta veio da fornecedora de segurança Imperva, que divulgou uma nova pesquisa sobre ataques SQL. Para tal estudo, a companhia monitorou 30 aplicativos web diferentes – todos reais, de diferentes tamanhos e utilizados por diferentes indústrias – durante nove meses. Nesse período, a empresa viu o número de ataques diários aumentar, em média, 34%.

Os ataques contra aplicativos web, infelizmente, já são muitos eficientes. Desde 2005, eles resultaram em 83% das brechas bem sucedidas relacionadas à hacking, de acordo com a Privacy Rights Clearinghouse. O motivo é simples: a maioria dos aplicativos web tem vulnerabilidades que podem ser facilmente exploradas por quem comanda os ataques.

A disponibilidade de ferramentas automáticas para testes de penetração facilita o trabalho. Só em injeção de SQL, por exemplo, o código aberto Sqlmap pode lançar cinco tipos diferentes de ataques. Popular também – e usada por LulzSec, entre outros – é o Havij, uma ferramenta automática de SQL para Windows, distribuída pela empresa de segurança iraniana ITSecTeam. As duas ferramentas podem identificar (pela digital) bancos de dados individuais, restaurar senhas e nomes de usuário, eliminar colunas e tabelas, rodar SQL e, às vezes, até executar comandos por meio do sistema operacional do servidor de banco de dados.

Com tais ferramentas em circulação, e grandes vulnerabilidades em aplicativos web, o que empresas podem fazer para se protegerem? Quando se trata de impedir ataques SQL, comece com esses conselhos:

1. Lista negra de hosts maliciosos.

Quase um quarto dos ataques SQL registrados pela Imperva, em julho de 2011, vieram de três hosts. Além disso, metade dos dez principais hosts que lançaram ataque SQL geraram até duas mil ameaças em um período entre um e sete dias, e mais de 30 hosts geraram, ao menos, 100 ataques num período de 48 horas. Tudo isso significa que os hosts mais perigosos podem ser identificados e adicionados à lista negra de acesso ao banco de dados.

2. Pool de recursos.

Negócios que compartilham inteligência em ataques SQL podem ter uma ideia melhor de quais hosts lançam os ataques. Dito isso, de acordo com a Imperva, “a velocidade de atualização da lista negra deve ser maior para ficar em dia com as novas ameaças”, porque, em média, os hosts se mantêm ativos apenas por meio dia.

3. Acesso minimizado.

Restrinja os dados que qualquer aplicativo web pode resgatar do banco de dados. Nunca permita acesso ao banco de dados em nível de administrador a aplicativos web.

4. Codifique dados.

Nunca armazene dados em formato de texto simples. Em vez disso, codifique os dados e dificulte senhas, para que caso um ataque chegue ao banco de dados, extraia o mínimo possível de informações valiosas.

5. Desconfie de usuários.

“Qualquer input é maligno”. Esse é um mantra essencial para aplicativos web, de acordo com a Microsoft. O que significa que, em um cenário ideal, desenvolvedores de aplicativos web somente permitiriam input esperados e bloqueariam todo o resto.

6. Perfil de aplicativo.

Compreenda o comportamento normal do aplicativo web, para que fique mais fácil identificar qualquer comportamento anormal, como tentativas de executar mais buscas em bancos de dados do que o normal ou utilizando inputs incomuns.

7. Padronize inputs.

Padronize input de banco de dados “para evitar tentativas de evasão”, aconselha a Imperva. Depois compare o padrão com inputs maliciosos conhecidos para identificar ataques em andamento.

8. Cuidado com automação.

Como os ataques SQL são lançados por meio de ferramentas automáticas, preste atenção aos indicadores dessa técnica. De acordo com a Imperva, “existem diversos mecanismos para detectar o uso de clientes automáticos, como políticas baseada em taxas e coerção de resposta à desafios por clientes válidos”.

As técnicas acima ajudarão a equipe de TI a bloquear ataques SQL. Elas não vão impedir absolutamente todos os ataques a aplicativos web, mas, devido à prevalência de vulnerabilidades nesses aplicativos e à habilidade dos responsáveis pelos ataques em explorar, com êxito, essas falhas, os negócios precisam de toda ajuda que conseguirem.

fonte:8 técnicas para bloquear ataques SQL

SQL 2011 Denali – HADRON

Especialista DBA — Fri, 17 Jun 2011 14:32:32 +0000

Com a chegada de cada nova versão do SQL Server, novas tecnologias são introduzidas ou ha melhorias nas ja existentes. Quando o SQL Server 2005 foi lançado, uma nova solução de alta disponibilidade denominada Mirror foi um dos grandes diferenciais em relação sua versão anterior (SQL Server 2000).

Como o Mirror Funciona:
Vamos supor que exista o servidor SRV01 com a base BSE1 na instancia ITC1, ja no servidor SRV2, existe a instancia ITC2. Voce foi designado para propor uma solução de alta disponibilidade, porem, voce não possui uma storage (Armazenamento externo), e como lhe foi dito que a diferença entre a base de contingencia e a principal deve ser minima, o log shipping pode até ser aceitavel, porem não é recomendado cria-lo para ficar rodando em um intervalo muito pequeno, como voce precisa ter alta disponibilidade de toda uma base, a replicação se torna uma solução inviavel, portanto sua melhor opção (Até o SQL Server 2008) é a utilização do Mirror.
Claro que o mirror possui sua vantagens e desvantagens, cujas quais são listadas abaixo:

Vantagens:
- Facil configuração e monitoramento.
- Base primaria e secundaria sincronizadas em tempo real.
- Não é necessario uma solução de hardware de discos externos (Storage).
- FailOver automatico com a utilização de uma instancia Witness.

Desvantagens:
- Necessario espaço em disco igual nos servidores envolvidos.
- Por ser sincrono, problemas de infra-estrutura em relação a rede podem atrapalhar a performance entre os servidores.
- FailOver de apenas uma base por mirror.
- Base secundaria fica em modo restoring não podendo nem ser acessada para consultas via SELECTs.

No SQL Server 2011 que ainda será lançado, existe uma nova solução atualmente chamada de High Avaiability Disaster Recovery AlwaysOn, ou simplismente HADRON, esta solução funciona como um mirror, porem possui algumas vantagens sobre seu concorrente.

Vantagens sobre o mirror comum:
- Escrita assincrona e com intervalo pequeno, ou seja, voce tera seus dados atualizados o mais rapido possivel em sua base secundaria, porem a performance de rede não ira impactar as ações na base primaria.
- FailOver automatico gerenciado pelo WSCS (Windows Server Cluster Service) para mais de uma base automaticamente.
- Como todo o FailOver é pelo WSCS, não é mais necessario uma instancia Witness para verificação do estado dos servidores envolvidos.
- Bases secundarias podem ser configuradas com 3 roles basicas de acesso:

1. Leitura -> Os usuarios podem se conectar porem apenas para leitura.
2. Leitura de conexão -> Não existe conexão direta na base, porem um select informando esta base, schema e tabela ira funcionar.
3. Sem leitura -> Mesmo estado do mirror comum.

Como conclusão final é possivel dizer que a solução HADRON não é realmente uma mudança extremamente impactante ou inovadora como foi o Mirror para o SQl Server 2005, mas possui conceitos e melhorias interessantes a serem considerados para sua implantação em alguns ambientes, principalmente pelo acesso de leitura na base secundaria.

Nova classe de banco de dados emerge

Info — Fri, 25 Jun 2010 18:35:36 +0000

Com alto desempenho e baixo custo, essas soluções conquistam espaço e surgem como alternativa ao SQL

Uma nova geração de software de banco de dados de baixo custo e alta performance emerge rapidamente para desafiar o domínio do SQL em processos distribuídos e aplicativos Big Data. Algumas empresas já trocaram a rica funcionalidade SQL por essas novas opções que permitem criar, trabalhar e gerenciar grandes conjuntos de dados. Um forte motivo para esse movimento, apelidado de NoSQL, é que as diferentes implementações de web, operações e aplicativos de computação em nuvem têm diferentes requerimentos em seus bancos de dados. Nem todo aplicativo requer consistência rígida, por exemplo. Além disso, quando um aplicativo usa dados distribuídos por centenas ou até milhares de servidores, tem um ponto econômico simples, que é usar software de servidor sem custo em vez de pagar licenças por processador. Uma vez livre dessas licenças, você pode escalar, horizontalmente, com hardware ou mesmo optar por um serviço de cloud e evitar os gastos de capital. As ferramentas mais antigas nem sempre conseguiam isso. Os desafios à hegemonia do SQL vêm de produtos especializados, desenvolvidos do zero para armazenamento de documentos e análises de larga escala e, também, para desenvolver sistemas operacionais que requerem alta disponibilidade e mais consistência ao particionar dados.Aplicativos de processos de transações online, inteligência de negócio, gestão de relacionamento com cliente, processamento de documentos e redes sociais não têm as mesmas necessidades de dados, pesquisa ou tipos de índice, nem apresentam as mesmas exigências em relação a consistência, escalabilidade e segurança. Por exemplo, aplicativos de BI rodam pesquisas analíticas e de suporte de decisões que podem explorar índices bitmap para operações com bancos de dados gigabyte ou terabyte.Análises web, modelos financeiros e aplicativos similares procuram por sistemas distribuídos para processar, de forma eficiente, conjuntos de dados gigabyte ou terabyte. OLTP exige segurança e, as redes sociais, como Facebook, adotaram propriedades BASE (basically available, soft state, eventually consistent) em vez das propriedades mais familiares ACID (atomicity, consistency, isolation, durability) para servir suas maciças comunidades web. Essas diferenças não representam o motivo pelo qual NoSQL ganhou força. Elas são mais ferramentas especializadas do que o exército funcional da plataforma SQL. Os arquitetos de sistemas devem considerar as funções e características especializadas que um aplicativo precisa ao escolher seu banco de dados. Os bancos de dados NoSQL podem ser criados especialmente para funções como BI, OLTP, CRM, redes sociais e armazenamento de dados, e incluem funções como escalabilidade, particionamento, segurança e elasticidade.

Fonte: Nova classe de banco de dados emerge

Banco de dados: processos distribuídos

Info — Wed, 23 Jun 2010 18:53:19 +0000

Para garantir durabilidade e integridade das informações, bancos de dados SQL oferecem registros e replicação de dados

Quando se trata de processos distribuídos de grandes conjuntos de dados, o Hadoop Map-Reduce se tornou a tecnologia do momento. Os pesquisadores do Yahoo!, por exemplo, usaram 3,8 mil nódulos com ele para separar cerca de 1 Petabyte em 16.25 horas. Recentemente, o Google desenvolveu e patenteou o MapReduce. A função de mapeamento produz uma lista de pares de valores-chave que o sistema transforma em uma lista de valores. O Apache Hadoop Project inclui o HDFS (Hadoop Distributed File System), MapReduce, banco de dados HBase, linguagem de análise Pig, pesquisa Hive e ferramentas de análises e outros softwares. O HBase é uma coluna de armazenamento distribuída, modelada com inspiração no Bitable, do Google, que serve como input ou output para o MapReduce. O HBase é uma das várias colunas de armazenamento competindo no mercado de análise e inteligência de negócio. Armazenar tabelas ordenadas em grandes colunas oferece aperfeiçoamento substancial no desempenho sobre armazenando em grandes filas. Benefícios como localização aperfeiçoada e desempenho de cachê tornam aceleram as pesquisas orientadas em retorno, mas não se pode dizer o mesmo para inserção de pesquisas. Outras colunas de armazenamento incluem Sybase IQ, Vertica e CStore, colaboração em código aberto entre diversas universidades. O aumento no interesse de buscas semânticas e Linked Data deram destaque ao armazenamento triplo RDF. Essas ofertas incluem AllegroGraph, Bigdata, Garlik, Jena, Ontotext Big-OWLIM, OpenLink Virtuoso, Oracle 11g e Sesame. Muitos deles foram implementados no EC2, da Amazon, para explorar o poder dos processos distribuídos na nuvem. Pesquisadores da Raytheon BBN também usaram o Hadoop MapReduce para criar armazenamento RDF distribuído que suporta o processo de pesquisa SPARQL. Restrições e melhores práticasPara garantir a durabilidade e a integridade das informações, os bancos de dados SQL oferecem registros e replicação de dados. As ofertas NoSQL precisam de uma rede de segurança similar. O Cassandra, por exemplo, suporta registros de transações e replicação automática. Tokyo, Cabinet e HBase suportam registros WAL (write-ahead logging). Tokyo, Cabinet e CouchDB suportam replicação master-master, enquanto o MongoDB a replicação master-slave e pares replicados. Arquitetos usando banco de dados orientado a documento devem lidar com as diferentes formas de armazenar diversos tipos de documentos e se devem ou não ter bancos de dados separados para cada um deles. Alternativas para separar bancos de dados incluem usar um atributo para especificar os tipos ou coleções separadas. A nova geração de armazenamento de dados é direcionada para as necessidades de disponibilidade e escalabilidade. Com o Amazon SimpleDB, por exemplo, o tempo limite de resposta de pesquisa é de cinco segundos. Se a resposta levar mais tempo, ele retorna com resultados parciais e o aplicativo deve fazer chamadas adicionais para obter os resultados completos. O SimpleDB restringe os resultados das pesquisas a um máximo de 250 itens, enquanto o Google, recentemente, aumentou o limite do AppEngine para mil itens. Em sistemas particionados horizontalmente, as pesquisas exigem cruzamento de junções particionadas, o que é caro, portanto, o design e algoritmos para o particionamento exigem habilidade e conhecimento de padrões de uso de dados. Quando pesquisas complexas, como agrupamento, são necessárias, os bancos de dados operacionais NoSQL não são uma boa opção, mas podem oferecer fonte de dados para soluções separadas para análises. As empresas que usam armazenamento de valores-chave podem, às vezes, precisar das habilidades de pesquisa e indexação do SQL.Elas podem recorrer a outros softwares que suportam pesquisa e indexação, como o Apache Lucene. Independentemente de sua empresa usar banco de dados SQL ou NoSQL, ainda é uma boa ideia usar versões de bancos de dados controlados e separados para testes e produção. Para todas as áreas endereçadas pelas opções NoSQL, ainda temos que pensar sobre qual software de banco de dados adotar. A resposta depende de questões fundamentais: Quanto e qual o tipo de dado será armazenado? Eles serão usados em pesquisas complexas? Quantos usuários concomitantes precisará suportar? E seu banco de dados irá escalar se aceitar mais dados e usuários? Seja SQL ou NoSQL, é aqui que começamos.

Fonte: Banco de dados: processos distribuídos

Você está em dia com as atualizações dos seu servidores Microsoft SQL Server?

Especialista DBA — Wed, 10 Mar 2010 20:11:29 +0000

Fique atento! O suporte ao SP2 do SQL Server 2005 encerrou no dia 12/01. O suporte a versão RTM do SQL Server 2008 vai encerrar em 13/04. Confira a tabela abaixo ou acesse o blog oficial da Microsoft aqui.

Product	Version	SP	Mainstream Support End Date	Extended Support End Date	Options / Notes
SQL Server	2000	SP4	04/08/2008	04/09/2013	Technical support continues till 04/09/2013, yet mainstream (hotfix) support ends as of 04/08/2008; options for hotfix support after 04/08/2008: Upgrade to SQL Server 2005 SP3 or SQL Server 2008 SP1 Extended support agreement
SQL Server	2005	RTM (SP0)	07/10/2007	07/10/2007	Technical support ends as of 07/10/2007; options for technical and/or hotfix support after this date: Continue with self-help Upgrade to SQL Server 2005 SP3 or SQL Server 2008 SP1
SQL Server	2005	SP1	04/08/2008	Not Applicable	Technical support ends as of 04/08/2008; options for technical and/or hotfix support after this date: Continue with self-help Upgrade to SQL Server 2005 SP3 or SQL Server 2008 SP1
SQL Server	2005	SP2	01/12/2010	Not Applicable	Technical support ends as of 01/12/2010; options for technical and/or hotfix support after this date: Continue with self-help Upgrade to SQL Server 2005 SP3 or SQL Server 2008 SP1 Custom support agreement
SQL Server	2005	SP3	See Options/Notes		Support ends 12 months after the next service pack releases or at the end of the product’s support lifecycle, whichever comes first. Visit the Lifecycle page to find the support timelines for your particular product.
SQL Server	2008	RTM (SP0)	04/13/2010	Not Applicable	Technical support ends as of 04/13/2010; options for technical and/or hotfix support after this date: Continue with self-help Upgrade to SQL Server 2008 SP1 Custom support agreement
SQL Server	2008	SP1	See Options/Notes		Support ends 12 months after the next service pack releases or at the end of the product’s support lifecycle, whichever comes first. Visit the Lifecycle page to find the support timelines for your particular product.