Quanto de risco à segurança são publicados o esquema conceitual?


15

Eu estava solicitando os esquemas conceituais do sistema de informações de uma agência governamental para minha pesquisa. Meu pedido foi negado por ser um risco à segurança.

Realmente não tenho uma vasta experiência em banco de dados, portanto não posso verificar essa reivindicação. A divulgação do seu esquema é realmente um grande risco à segurança? Quero dizer, essas são bastante abstratas e divorciadas das implementações de hardware e software. Uma explicação de como um invasor poderia explorar esquemas conceituais seria apreciada. Obrigado.


Você se ofereceu para assinar um NDA?
precisa saber é o seguinte

Foi para a minha tese de mestrado. Os resultados serão publicados, então não. Se eu tiver que assinar um NDA, não será bom para mim.
RK

Se esta é uma agência do governo dos EUA, você pode considerar registrar uma solicitação FOIA . Seu perfil diz que você é das Filipinas, onde há legislação pendente .
precisa saber é

Sim. Uma pena que ainda não temos a legislação. Levaria algum tempo até que eles pudessem aprovar essa legislação. Os políticos não gostam muito disso.
RK

Respostas:


12

Concordo com gbn (mais ou menos +1), mas acho que existem outras duas possibilidades em jogo:

  1. É bem possível que o esquema conceitual deles tenha muita sobreposição com o esquema físico. Saber os nomes das tabelas fornece uma vantagem decente no planejamento de seus ataques de injeção de SQL.

  2. É muito provável que eles não tenham seu esquema conceitual documentado. As organizações que permitem que os programadores projetem seus próprios bancos de dados geralmente não têm rigor no processo de design do banco de dados, indo diretamente à implementação física sem nenhum design inicial. Eles podem não querer admitir isso, ou podem não querer gastar tempo e dificuldade em criar um documento conceitual que nunca existiu.

Edit: O OP comentou que a organização que está sendo solicitada para seu esquema conceitual é uma agência governamental. Isso, em minha opinião, acrescenta outra possibilidade provável:

Os funcionários públicos não são conhecidos por sua paixão por correr riscos e, portanto, é improvável que um funcionário de nível médio de um departamento do governo estique o pescoço para fora e libere informações para o caso de atrair a atenção ou a ira de alguém na hierarquia .

Ainda acho que o 2 é o mais provável.


11
+1 para o número 2. atributo Nunca a malícia ...

6

Eu sugiro que seja um risco de Propriedade Intelectual, mas eles não quiseram dizer isso


Portanto, não há muito risco de segurança?
RK

Concordo, mas não ficaria surpreso se esse medo fosse exagerado. Muito provavelmente, é uma questão de algum gerente pensar "não há nada para mim, então por que correr um risco?"
Joel Brown

Eu apenas acho que isso é segurança pela obscuridade.
RK

3

Concordo plenamente que o esquema conceitual por trás das informações secretas também deve ser mantido em segredo.

Se os espiões coletam pequenos detalhes de informações que de alguma forma escapam das rachaduras, ainda resta o problema de colocar esses detalhes no contexto. O esquema conceitual fornece o contexto. A forma e o conteúdo dos petiscos coletados podem ser substancialmente diferentes da forma e do conteúdo dos dados no banco de dados, mas o esquema concorrencial fornece um excelente guia para decodificar o material.

Ao trabalhar na recuperação de dados para empresas, sempre considerei um esquema conceitual confiável uma mina de ouro. Certamente, esses projetos não envolviam espionagem. Mas pode ver facilmente como a mesma análise é transmitida.


2

Muitos fornecedores tentam manter seus esquemas de banco de dados próximos ao seu peito. Na maioria das vezes, trata-se de ocultar seus pequenos segredos sujos, como a abjeta falta de integridade dos dados ou, obviamente, o mau design do banco de dados. Outras razões incluem:

  • Muitos produtos de software possuem esquemas de banco de dados mal projetados.

  • Um desejo de não incorrer em carga de trabalho de suporte.

  • Tentativas de forçar os clientes a comprar serviços de consultoria para o trabalho de integração de sistemas.

  • O desejo de maximizar os custos de saída para desencorajar os clientes de migrar para os produtos da concorrência.

Infelizmente você não está trabalhando para o cliente, mas, se estivesse, poderia usar um argumento ao longo das linhas de indagação sobre quais falhas arquiteturais o software possui para que expor o esquema do banco de dados possa ser um risco à segurança.


Peço desculpas se minha pergunta não foi clara. Eu estava pedindo os esquemas do banco de dados de uma agência governamental.
RK
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.