none
accessi hacker con SQL server su s.o. Vista e XP RRS feed

Risposte

  • su s.o. win XP professional c'è la possibilità di accessi non autorizzati da remoto o via Internet/modem sul computer ( per lo sviluppo di applicazioni in asp.net 3.5 ) dove è installato SQL server 2008, sfruttando quest'ultimo per l'hacking?

    Ciao Valentino,

    La messa in sicurezza di un sistema prevede un'attività a 360° e non può certo essere limitata ad un singolo servizio.
    Se il sistema è esposto su internet senza alcun sistema di protezione (Firewall, AV, accesso VPN) ha poco senso focalizzarsi sulla configurazione della security di SQL Server.
    Una regola che andrebbe sempre seguita è quella di non esporre MAI su internet una istanza SQL Server, prima di tutto perché è inutile e secondo per limitare la superficie d'attacco.
    Quindi:

    • SQL Server dovrebbe risiedere su una macchua distinta rispetto al web server sulla rete di backend e ben protetta da un firewall.
    • Gli account utilizzati dai servizi dovrebbero essere dei normali user (locali o di dominio) senza alcun privilegio particolare (ci pensa la procedura di setup o SQL Server Configuration Manager ad impostare tutte le permission necessarie a livello di file system/registry).
    • Non si dovrebbe mai utilizzare il dynamic SQL, prima fonte degli attacchi di SQL injection.
    • Bisognerebbe autenticarsi all'istanza con login NON amministrative, mappate a user account a livello di database con le permission minime richieste dalle applicazioni per il corretto funzionamento. 
    • Non bisognerebbe utilizzare le stored procedure sp_OAxxx o xp_cmdshell per accedere "al di fuori" del processo di SQL Server.

    In generale va sempre utilizzato il buon senso in tutte le cose :-)

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    • Contrassegnato come risposta Valrife venerdì 9 ottobre 2009 15:58
    martedì 6 ottobre 2009 12:35
    Moderatore

Tutte le risposte

  • su s.o. win XP professional c'è la possibilità di accessi non autorizzati da remoto o via Internet/modem sul computer ( per lo sviluppo di applicazioni in asp.net 3.5 ) dove è installato SQL server 2008, sfruttando quest'ultimo per l'hacking?

    Ciao Valentino,

    La messa in sicurezza di un sistema prevede un'attività a 360° e non può certo essere limitata ad un singolo servizio.
    Se il sistema è esposto su internet senza alcun sistema di protezione (Firewall, AV, accesso VPN) ha poco senso focalizzarsi sulla configurazione della security di SQL Server.
    Una regola che andrebbe sempre seguita è quella di non esporre MAI su internet una istanza SQL Server, prima di tutto perché è inutile e secondo per limitare la superficie d'attacco.
    Quindi:

    • SQL Server dovrebbe risiedere su una macchua distinta rispetto al web server sulla rete di backend e ben protetta da un firewall.
    • Gli account utilizzati dai servizi dovrebbero essere dei normali user (locali o di dominio) senza alcun privilegio particolare (ci pensa la procedura di setup o SQL Server Configuration Manager ad impostare tutte le permission necessarie a livello di file system/registry).
    • Non si dovrebbe mai utilizzare il dynamic SQL, prima fonte degli attacchi di SQL injection.
    • Bisognerebbe autenticarsi all'istanza con login NON amministrative, mappate a user account a livello di database con le permission minime richieste dalle applicazioni per il corretto funzionamento. 
    • Non bisognerebbe utilizzare le stored procedure sp_OAxxx o xp_cmdshell per accedere "al di fuori" del processo di SQL Server.

    In generale va sempre utilizzato il buon senso in tutte le cose :-)

    Ciao!


    Lorenzo Benaglia
    Microsoft MVP - SQL Server
    http://blogs.dotnethell.it/lorenzo
    http://social.microsoft.com/Forums/it-IT/sqlserverit
    • Contrassegnato come risposta Valrife venerdì 9 ottobre 2009 15:58
    martedì 6 ottobre 2009 12:35
    Moderatore
  • problema risolto
    mercoledì 7 ottobre 2009 14:47
  • 1. - In internet ho trovato da più fonti ( soprattutto in inglese ) sistemi per trafugare le password degli account con i quali i vari utenti si loggano. Ad esempio, pwdump, ophcrack, ophcrack LiveCD versioni di Linux autoinstallanti ( che consentono quindi di non far attivare la Syskey per la protezione del file sam ), Kon Bot, BartPE, LC4, LC4 online, saminside ed il famoso Man in the Middle.
    Tutti questi sistemi prevedono che ci sia una falla (anzi direi più di una) da qualche parte; ti sembra possibile che qualcuno avvii un tuo server con un LiveCD o che possa installare qualcosa su un TUO sistema per catturare le password? Di errori commessi da "amministratori" o pseudo tali ne ho viste tantissime, credimi... ed anche molto macroscopiche... ma come queste mai.
    Tieni anche presente che un server NON può essere windows XP così come un database server esposto su internet non lo metterei neanche per il sito della parrocchia e la sicurezza che ottieni, prima ancora di quella che ti offre il sistema, è quella che TU realizzi. Il sistema può fare molto ma il più delle volte l'anello debole della catena è il fattore umano o, per dirla tutta, l'amministratore "disumano" che sarebbe meglio cambiasse mestiere.
    Non so che tipo di dati vai a trattare e che livello di sicurezza devi raggiungere, ma dalle domande che poni ti suggerirei di farti assistere da qualcuno che possa farti crescere professionalmente. Raccogliere info qua e la su internet non ti aiuta di certo ad andare lontano...

    Bye


    Luca Bianchi Microsoft MVP - SQL Server
    mercoledì 7 ottobre 2009 19:57