Падение черного ястреба

Фленов Михаил aka Horrific

Спецвыпуск: Хакер, номер #052, стр. 052-070-5

Сервер баз данных может ловить достаточно много событий. Наиболее интересным с точки зрения безопасности может быть Insufficient permission (недостаточные права). Допустим, хакер пытается проникнуть в систему и удалить все данные. На каком-то этапе исследования он узнает пароль доступа одного из пользователей и запустит команду DELETE FROM DatabaseName. Если прав недостаточно, то злодей будет искать другую учетную запись и пароль к ней до тех пор, пока не найдет интересующую его жертву.

Задача защищающей стороны - вовремя обнаружить попытку взлома, и в этом ей помогают события. Когда хакер неудачно выполнил команду, система генерирует ошибку Insufficient permission, и чем быстрее обнаружится ошибка, тем быстрее можно будет предпринять меры пресечения. Например, узнав об ошибке, можно тут же добавить в сетевой экран фильтр и запретить любое подключение с IP-адреса злоумышленника. Таким образом, можно выиграть время, пока хакер будет обходить правила сетевого экрана. Начинающего взломщика это может просто напугать, и он убежит сломя голову.

Как создаются события? В Enterprise Manager открываем ветку Management/SQL Server Agent/Alerts. Здесь щелкаем правой кнопкой и в появившемся меню выбираем New Alert. Открывается окно создания нового события, в котором нужно заполнить следующие поля:

- name – имя, которое может быть любым;

- type – тип события, может быть event alert (здесь все основные события) и performance condition alert (события производительности);

- Severity – здесь нужно указать конкретное событие, которое требуется отловить;

На закладке Response можно указать операторов, которым нужно отослать сообщения (e-mail, net send или пейджер) о возникновении события.

Операторы – это просто контактная информация людей, отвечающих за работу сервера. Например, можно указать себя и свой e-mail, и при возникновении события на твой ящик будет падать тревожное письмо с информацией об ошибке. Таким образом, как только возникнет критическое событие, не надо будет лишний раз осматривать весь журнал безопасности.

Итого

В этой статье мы рассмотрели основы безопасности и средства, которые предоставляют базы данных. Но нельзя забывать, что уязвимыми могут быть не только настройки, но и сама ОС или программы базы данных. Ошибки есть в любом софте, поэтому не забывай следить за сообщениями об ошибках и обновлять сервер. Надежда на то, что тебя не взломают, – рисковое дело. Когда-нибудь найдется человек, который просто от скуки или в отместку за что-нибудь напишет DROP DATABASE, и тогда, увы, ты распрощаешься с плодами своего многолетнего труда.

В истории известны случаи, когда уничтожение данных приводило к банкротству фирм, а виной всему было дилетантство админов.