Seguridad de BD Violada con embedded

[CarlosG]

Cita:

Empezado por Casimiro Notevi

Yo llego a la empresa de tu cliente y digo:
"Buenos días, por favor, ¿me pueden llevar hasta donde esté el servidor de datos de su empresa, y una vez allí me darían ustedes el login y el password para entrar en el equipo, y de paso me dejarían ustedes copiar su base de datos en mi pendrive para llevármela?, muchas gracias.

Espera un poco abogado de Firebird . Pero que pasa si la persona que tiene acceso es un:

1.- Tecnico contratado por la empresa para dar mantenimiento a sus pc's incluido el servidor que de paso aprovecha para llevarse una copia de la base de datos y después de romperse la cabeza la abre en 2 minutos puede ver todos tus procedimientos almacenados que tanto trabajo te han costado, ademas de los datos de la empresa y hasta le dice le dice al dueño no es necesario que llame al programador cuando quiere algun nuevo reporte que lo puede hacer por un poco menos , ma ha pasado mas de una vez.

2.- Un usuario del programa o aplicación confabulado con el Tecnico de la misma empresa. Por ejemplo:

-En una municipalidad en mi pais, el jefe de tributos prediales en base a un incentivo (coima) te rebaja el monto de los impuestos prediales confabulado con el tecnico de sistemas entrando directamente en la base de datos que no le pusieron contraseña y modificando el monto del impuesto adeudado, claro de ahi se reparten los ganancias.

-Otra, por si las dudas: Un capitan de la policia encargado de los papeletas por infracciones de transito ofrece el servicios de eliminar las papeletas por una modica bonificacion personal , ¿como?, el sistema no te lo permite sin quedar registrada la eliminacion y quedar expuesto a una auditoria, pero si la base de datos no tiene contraseña es muy facil si se cuenta con un tecnico de sistemas que tiene acceso al servidor de BD, y le gusta el dinero facil.

Si el tecnico de sistemas es bueno, aunque tenga la BD. al menos se demorara unos dias , si es poco inteligente (como la mayoria que se presta a la corrupción, por que no tiene la inteligencia para sobresalir por si mismo) puede tardar meses o años abrir una BD con una buena seguridad de contraseña y hasta puede que nunca abra la BD, claro a menos que se la pida al programador o al jefe de sistemas que en cualquiera de los dos casos es mas dificil.

Estos no son casos hipoteticos, son casos reales que suceden en mi localidad. Aun le podria enumerar muchos mas,incluso con mi propio sistema, pero no es un foro de "informatica forense" .

Cita:

La base de datos puede estar en un servidor y los clientes se redirigen a ella mediante un "alias", por lo que no tienen por qué saber dónde está físicamente. Ya sabes, el concepto cliente/servidor no tiene nada que ver con una BD de escritorio como access

No se cual sera el medio en el que te desenvuelves (aunque parece el ideal). En mi caso, por lo general en muchos de mi clientes que son pequeñas y medianas empresas desde 4 hasta 25 terminales de usuario, el personal que usa el sistema esta en contacto con el servidor en la misma oficina o una cercana , y muchas veces el servidor funge de terminal. Y en el mejor de los casos solo tiene acceso al terminal un tecnivo externo a la empresa.

Pero para que no digan que me voy contra Firebird, he de decir a su favor que el hecho que en mi localidad casi nadie la conozca, hara que a pesar que se pueda abrir en 2 minutos , no sepan como hacerlo .