SóProvas

ID
175561
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Na rede de computadores de uma organização pública
brasileira com diversos ativos, como, por exemplo, switches,
roteadores, firewalls, estações de trabalho, hosts servidores de
aplicação web, servidores de bancos de dados, é comum a
ocorrência de ataques e de outros incidentes que comprometem
a segurança de seus sistemas. Nessa organização, a definição de
políticas e metodologias adequadas para se lidar com esse tipo de
problema cabe ao departamento de TI.

A partir da situação apresentada acima, julgue o item abaixo
relativos à segurança da informação.

Se houver suspeita de que um dos sistemas web da rede de uma organização está sob ataque do tipo SQL injection, é recomendada ao administrador do sistema web a ofuscação de nomes das tabelas e dos campos do SGBD usados por esse sistema, o que pode reduzir as chances de que tal ataque seja bem-sucedido. O simples aumento da segurança no acesso ao host em que se encontra o SGBD não fará que os dados armazenados no banco de dados deixem de ser expostos a consultas indevidas decorrentes de ataques do tipo SQL injection.

Alternativas
Comentários
  • SQL injection decorre de mau desenvolvimento de software. É uma vulnerabilidade que, se existir, pode ser explorada e não haverá firewall, nem IDS, nem nada que poderia efetivamente resolver, senão o refactory (refazimento) das consultas do software em questão.

    A sugestão proposta pelo cabeçalho da questão de fato atenua/ameniza o problema, mas certamente não resolve. Finalmente, se um administrador simplesmente mudar os nomes das tabelas usados pelo sistema, o sistema parará de funcionar, bem como outros que dependam das tabelas em questão. É estar no mato sem cachorro. O programa vulnerável precisa ser consertado.
  • SQL Injection explora a vulnerabilidade de segurança da camada de banco de dados de uma aplicação inserindo instruções não esperadas pelo banco de dados em aplicações sem validação de entrada. Algumas aplicações não validam as entradas de usuários permitindo que hackers executem comandos diretamente no banco de dados de uma aplicação através da manipulação de uma instrução SQL por meio das variáveis que compõem os parâmetros recebidos por um script.


    Algumas medidas podem evitar os ataques de SQL Injection: Uso de views, stored procedures e cursores.

  • [certa]

    Só descobri depois de ler isso aqui:

    "Através da técnica de Restrição de Acesso vamos remover esse privilégio da role public, para que através de ocultação, um possível invasor não consiga identificar o nome dos databases da instância, dificultando bastante o sucesso de seus ataques."

    https://www.dirceuresende.com/blog/sql-server-como-ocultar-os-databases-para-usuarios-nao-autorizados/

  • GABARITO: CERTO.