Che si tratti di una serie di tentativi manuali o di tool che testano la sicurezza, i cracker usano svariati trucchi per cercare di entrare nei sistemi SQL Server. E questo sia all’interno sia all’esterno del vostro firewall. Va da sé che per valutare …
Che si tratti di una serie di tentativi manuali o di tool che testano la
sicurezza, i cracker usano svariati trucchi per cercare di entrare nei sistemi
SQL Server. E questo sia all’interno sia all’esterno del vostro firewall. Va da
sé che per valutare al meglio il livello di sicurezza del vostro sistema
dovreste portare gli stessi tipi di attacchi. Per aiutarvi in questa operazione
vi proponiamo 10 trucchi che i cracker impiegano per tentare di accedere e
violare i sistemi dove gira SQL Server.
1. Connessioni dirette via Internet
Questi collegamenti possono essere usati per attaccare e violare un sistema Sql Server che non è protetto da firewall. DShield Rapporto Port mostra quanti sono i sistemi possono attaccati senza problemi. Purtroppo la mancanza di protezione tramite firewall è una pratica ancora molto diffusa. Non c’è quindi da stupirsi dei danni (e tutti li abbiamo certo ben presenti) che può arrecare un worm come SQL Slammer su un server vulnerabile. Questi tipi di attacchi diretti solitamente portano a un denial of service o un buffer overflow.
2. Scansione delle vulnerabilità
La scansione delle vulnerabilità
rivela spesso le debolezze del sistema operativo, delle applicazioni Web o dello
stesso database. Qualsiasi elemento sia stato trascurato, dall’installazione
delle patch di SQL Server alle limitazioni nella configurazione dell’Internet
Information Services(IIS) o la gestione dell’SNMP, può essere scoperto dai
cracker e portare alla compromissione del database server. I malintenzionati
possono usare tool open source, commerciali o sviluppati in proprio. Alcuni sono
realizzati così “bene” da consentire di effettuare gli attacchi manualmente dal
prompt dei comandi. Suggeriamo di usare tool commerciali per la valutazione
della vulnerabilità come QualysGuard da Qualys (per l’esame generale),
WebInspect di SPI Dynamics (per l’esame delle applicazione Web) e NGSSquirrel
for SQL Server di Next Generation Security Software (per un esame specifico del
database). Sono facili da usare, offrono la più completa valutazione possibile e
forniscono i risultati migliori.