como (não) invadirem o seu banco de dados
DESCRIPTION
Apresentação de 5 minutos exibida no evento Women Teckmakers, no dia 08 de março de 2014, no escritório do Google em São Paulo. Tema: segurança em banco de dados.TRANSCRIPT
![Page 1: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/1.jpg)
Como (não) invadirem seu banco de dados - Por Lílian Barroso 1
![Page 2: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/2.jpg)
COMO (NÃO) INVADIREM SEU BANCO DE DADOS
Um pouco sobre segurança em banco de dados para desenvolvedores.
Por Lílian BarrosoSão Paulo, 08-03-2014
Como (não) invadirem seu banco de dados - Por Lílian Barroso
![Page 3: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/3.jpg)
Um pouco sobre a Lílian ...
• 12 anos na TI, sendo 7 anos como DBA
• Especialista em Segurança da Informação
• Casada – com um cara de TI *-*
Como (não) invadirem seu banco de dados - Por Lílian Barroso 3
![Page 4: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/4.jpg)
Como (não) invadirem seu banco de dados - Por Lílian Barroso 4
![Page 5: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/5.jpg)
Quando se fala em segurança na TI...
• Ih... vão bloquear toda a Internet ...
• Token, biometria, senha de 16 caracteres ... Só falta o teste de DNA!
• Criptografia? Depois não venham me cobrar performance...
Como (não) invadirem seu banco de dados - Por Lílian Barroso 5
![Page 6: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/6.jpg)
Atualmente, em uma corporação, o que é mais importante do que dinheiro?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 6
Quando se fala em segurança ...
![Page 7: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/7.jpg)
Como (não) invadirem seu banco de dados - Por Lílian Barroso 7
![Page 8: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/8.jpg)
Como (não) invadirem seu banco de dados - Por Lílian Barroso 8
O "ouro" das empresas são suas informações!!!
![Page 9: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/9.jpg)
• Então, onde fica armazenado o pote de ouro da empresa?
• E, como proteger o seu pote de ouro?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 9
![Page 10: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/10.jpg)
Qual o motivo do ítem "SEGURANÇA DA INFORMAÇÃO" parar no perímetro do banco de dados???
Como (não) invadirem seu banco de dados - Por Lílian Barroso 10
???
![Page 11: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/11.jpg)
Segurança em Camadas
• Tratar a segurança do banco de dados é colocar mais uma camada na segurança da TI!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 11
![Page 12: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/12.jpg)
Alvos de Ataque! Servidor
Perímetro
Database Software Aplicação
Cliente
Contas (usuários)
Dados Restritos
Mudanças
Criptografia
Backup
Auditoria
Cliente
Cliente
Database Software
Database Software
Database Software
Mudanças
Contas (usuários)
Contas (usuários) Contas (usuários)
Aplicação
Aplicação
Aplicação
Dados Restritos
Dados RestritosDados Restritos
Backup
Backup
Backup
Servidor
Servidor
Servidor
Como (não) invadirem seu banco de dados - Por Lílian Barroso 12
![Page 13: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/13.jpg)
Qual o motivo de pensarmos em segurança só depois do incêndio?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 13
![Page 14: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/14.jpg)
Segredo: Desenvolva pensando no NEGÓCIO!
• O desenvolvimento seguro deve ser feito pensando na manutenção do negócio.
• A informação é o item de maior valor em uma empresa!
Você sabe qual é o negócio, qual é a fonte de lucro da sua empresa?
Você conhece a Política de Segurança da Informação da sua empresa?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 14
![Page 15: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/15.jpg)
BBBWS...
Como (não) invadirem seu banco de dados - Por Lílian Barroso 15
![Page 16: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/16.jpg)
Como (não) permitir a invasão
Pense em segurança desde o primeiro instante!
Tenha MALDADE na sua cabeça! Tente pensar como um invasor.Como (não) invadirem seu banco de dados - Por Lílian Barroso 16
![Page 17: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/17.jpg)
Dicas básicas
• Tenha uma equipe "multidisciplinar":
Traga o DBA e o Security Officer para sua equipe!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 17
![Page 18: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/18.jpg)
Dicas básicas
• Cuidado com senhas! Não manter senhas em texto puro no banco de dados. Se for necessário armazenar senhas, usar criptografia;
• Use o princípio do menor privilégio!!!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 18
![Page 19: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/19.jpg)
Dicas básicas
• Valide os dados de entrada da sua aplicação.
• nUNCa utilizar contas administrativas do banco de dados. SYS, SYSTEM, SA, ROOT!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 19
![Page 20: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/20.jpg)
Dicas básicas
• Aplique todos os patches de segurança disponibilizados
pelo fabricante do SGDB;
• Procure homologar sua aplicação para as novas versões de banco.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 20
![Page 21: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/21.jpg)
Dicas básicas
teste mais um pouco.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 21
• Teste, teste e, quando estiver cansado ...
![Page 22: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/22.jpg)
Ops... peraí... repete?!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 22
![Page 23: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/23.jpg)
Resumindo
• O pote de ouro é o Banco de Dados!
• Pense em segurança desde o início;
• Esteja alinhado com o negócio da empresa;
• Trabalhe em equipe – inclusive com as outras equipes!
• Conheça tecnicamente as estratégias de segurança para DBs.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 23
![Page 24: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/24.jpg)
E aí, seu pote de ouro está seguro???
Como (não) invadirem seu banco de dados - Por Lílian Barroso 24
![Page 25: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/25.jpg)
Caso queira saber mais ...
br.linkedin.com/in/lilianbarroso/
http://lilianbarroso.wordpress.com/
liliandba
@liliandba
Como (não) invadirem seu banco de dados - Por Lílian Barroso 25
![Page 26: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/26.jpg)
Como (não) invadirem seu banco de dados - Por Lílian Barroso 26
![Page 27: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/27.jpg)
Fontes de pesquisa:
• https://www.owasp.org/index.php/Main_Page
• http://g1.globo.com/tecnologia/noticia/2010/05/conheca-os-diferentes-tipos-de-vulnerabilidades-e-ataques-de-hackers.html
• http://corporate.canaltech.com.br/noticia/ibm/Para-CEO-da-IBM-informacao-e-o-maior-recurso-natural-deste-seculo/
• http://en.wikipedia.org/wiki/Database_security
• https://security.berkeley.edu/node/138?destination=node/138
• http://www.oracle.com/technetwork/topics/security/whatsnew/index.html
• http://www.oracle.com/technetwork/articles/entarch/arch-approach-inf-sec-360705.pdf
• http://pt.slideshare.net/artinfo/segurana-em-banco-de-dados
Como (não) invadirem seu banco de dados - Por Lílian Barroso 27
![Page 28: Como (não) invadirem o seu banco de dados](https://reader034.vdocuments.pub/reader034/viewer/2022051016/5595c7a61a28ab1d698b45c2/html5/thumbnails/28.jpg)
Fontes (imagens)
• http://pernaquebradarj.blogspot.com.br/2012/12/o-desespero-do-ator-e-falta-de-trabalho.html
• http://aristizabalvegaseguros.com/site/
• www.accesssecurity.com
• https://www.google.com.br/url?http://dearleticia.blogspot.com.br/2010/04/arco-iris-sonhos-e-chocolate-quente.html
• http://technet.microsoft.com/en-us/library/cc767969.aspx
• http://watchdogalarms.com.au/
• http://mariliabalbe.com/trabalho-em-equipe-quais-erros-voce-comete/
• http://makeitsafe.missouri.edu/topics/
• http://www.vectorstock.com/royalty-free-vector/pay-attention-handgesture-vector-692275
• http://security.iyogi.com/news/security-updates-microsoft-on-its-way-to-fix-patches.html
• http://www.segurancadainformacao1.xpg.com.br/ameacaseataques.html
Como (não) invadirem seu banco de dados - Por Lílian Barroso 28