Segurana de arquivos e metadados do Firebird

Geoff Worboys
3 Maro 2008 Verso do documento 0.5-pt_br Traduo para o Portugus do Brasil: Gabriel Frones

ndice
Introduo .............................................................................................................................................. 3 O Funcionamento em Segundo Plano ...................................................................................................... 3 O Problema ........................................................................................................................................... 4 A Soluo .............................................................................................................................................. 5 Dificuldades ................................................................................................................................... 5 Protegendo as Informaes do Usurio ............................................................................................ 5 Servidor Firebird Embedded ................................................................................................................... 8 Outras Formas de Obscuridade ............................................................................................................... 9 Baixa Segurana Aceitvel ..................................................................................................................... 9 Optando por Obscuridade ..................................................................................................................... 10 O Argumento Filosfico ....................................................................................................................... 10 Concluses ........................................................................................................................................... 10 Agradecimentos .................................................................................................................................... 11 Apndice A: Histrico do Documento ................................................................................................... 12 Apndice B: Uso deste Documento ....................................................................................................... 13

Introduo
Se voc veio parar nessa pgina e no sabe nada sobre Firebird, veja este link: www.firebirdsql.org Este artigo visa discutir a questo de segurana dos arquivos de base de dados do Firebird e, particularmente, o acesso aos metadados armazenados nestes, tendo sido escrito em resposta s frequentes perguntas sobre o tema em listas de discusses. O artigo evita especificaes tcnicas. Para ler sobre como proteger arquivos no seu sistema operacional, especificamente, procure pela documentao relevante a este sistema operacional. Para ler sobre como configurar a segurana de usurios e objetos em sua base de dados Firebird, procure pela documentao disponvel no website do projeto (linkado acima) ou compre o livro Dominando o Firebird (The Firebird Book, no original, em ingls) da autora Helen Borrie.

O Funcionamento em Segundo Plano

Para que uma aplicao (usurio) possa acessar um banco de dados Firebird, ela deve conectar-se a um servidor Firebird que contenha este arquivo. Ao receber uma requisio de conexo, o servidor automaticamente verificar as permisses do usurio definidas no arquivo de segurana (normalmente, isc4.gdb). Se a autenticao for bem sucedida, ento o servidor dar aplicao a permisso de acessar qualquer banco de dados que ela requisitar e ento, utilizar os privilgios e roles definidos neste banco de dados para garantir um acesso controlado aos objetos nesse banco de dados. Em momento algum o usurio que conecta ao banco de dados necessita de acesso diretamente ao arquivo em si. Todo o acesso se d atravs do aplicativo servidor, que acessa os arquivos conforme necessrio para atender s requisies dos clientes. Fica, portanto, a cargo do servidor restringir o acesso aos usurios logados, conforme as permisses definidas para este usurio naquele banco de dados. Nota
A verso embedded do Firebird funciona de forma diferente e no apropriada para instalaes seguras. O fato de a verso embedded existir no anula os pontos discutidos neste artigo sobre segurana de banco de dados, mas ressalta a importancia de se usar um ambiente de segurana efetivo em instalaes seguras. Mais detalhes sobre a verso embedded sero discutidos mais adiante.

Todo servidor Firebird possui um usurio SYSDBA, que possui acesso irrestrito a qualquer banco de dados disponvel a esse servidor. Os privilgios especificos dos bancos de dados so ignorados quando este acessado por esse usurio. Quando voc copia um banco de dados para dentro de um servidor, voc pode utilizar este usurio para determinar os privilgios de acordo com os usurios e as necessidades deste servidor. No entanto, dessa forma, se eu tiver acesso ao arquivo do banco de dados, eu posso copiar esse arquivo para um servidor onde eu saiba a senha do usurio SYSDBA, e obterei acesso irrestrito ao arquivo. Como voc pode notar, a segurana do Firebird presume que seu servidor estar sendo executado em um ambiente de segurana apropriado. O Firebird em si no toma precauo alguma para evitar riscos externos. Se uma pessoa tem acesso fsico ao arquivo de banco de dados, no h uma maneira efetiva para prevenir que o usurio leia toda a informao (dados e metadados) contida neste arquivo.

Segurana arquivos e metadados

Nota
A segurana adequada depende do nvel de segurana que necessrio ao ambiente em questo. Este quesito varia muito de instalao para instalao.

Isto significa que, para uma segurana razovel, toda instalao deve manter os arquivos do banco de dados adequadamente seguros. Na maioria dos casos, isto significa que o servidor Firebird deve rodar em um usurio especfico no sistema operacional, e apenas esse usurio (e provavelmente o administrador/root) deve ter acesso direto aos arquivos do banco de dados. Estes arquivos no devem ficar em diretrios compartilhados na rede ou que sejam acessveis por qualquer pessoa que no o pessoal autorizado. Para uma segurana ainda mais efetiva, prefervel que o computador que ser o servidor fique armazenado em um local fsico de acesso restrito, de forma a prevenir que algum tente acessar os arquivos por trs das restries do sistema operacional. No entanto, a explicao acima no necessariamente ajuda desenvolvedores que, tendo desenvolvido um banco de dados para distribuio e instalao em locais remotos, desejam proteger as propriedades intelectuais contidas nestes arquivos. Tais preucupaes podem incluir desde os metadados (estruturas, relacionamentos, stored procedures e triggers) at os dados em si, includos em algumas tabelas. este o ponto que representa o foco deste artigo.

O Problema
Um desenvolvedor cria um banco de dados (e, normalmente, um aplicativo cliente que o acompanha) para instalao em locais remotos. Nestes locais, natural que ao menos uma pessoa de l tenha acesso irrestrito ao computador no qual o servidor Firebird ser executado - para poder executar tarefas como backup's e manuteno. Como descrito no tpico acima, acesso direto aos arquivos permitem que se ganhe acesso completo e irrestrito a toda a informao das tabelas (dados e metadados). Nestes casos, o desenvolvedor pode no confiar que os usurios deste local respeitaro a propriedade intelectual que este banco de dados representa. Ento, fica o receio de que o usurio faa a engenharia reversa do banco de dados por interesse prprio, ou que no haja, neste local, uma preocupao real em manter seguros os arquivos a acesso de terceiros. Isto nos leva s frequentes perguntas nas listas de Firebird como: Eu quero proteger os metadados de meu banco de dados (estruturas, stored procedures, triggers etc.) de todos os usurios em uma instalao remota. Como posso fazer isso com Firebird? Eu quero impedir que qualquer usurio de uma instalao remota tenha acesso a estas tabelas em particular. Elas contm informao proprietria que usada internamente pelo aplicativo. O Firebird (pelo menos at a v1.5) no oferece nenhuma facilidade integrada de encriptao. A resposta simples s questes acima que isto no pode ser feito com as atuais capacidades do Firebird. Um usurio que tem acesso direto ao arquivo, tem acesso irrestrito s informaes dele. Na primeira questo, nenhum arranjo pode ser feito, porque o servidor em si deve ser capaz de ler os metadados da tabela. Na segunda questo, possvel implementar rotinas de encriptao/desencriptao no aplicativo cliente, mas neste caso, voc perde a capacidade de fazer um uso efetivo dos ndices e das facilidades de busca do Firebird - e o gerenciamento de senhas de encriptao torna-se um problema ainda maior (mais adiante). 4

Segurana arquivos e metadados

A Soluo
Existe apenas uma soluo possivel para esses problemas, na realidade: Armazenar o banco de dados em seu prprio computador e us-lo como servidor remoto, para permitir que os clientes conectem ao banco atravs da internet. Terminal server (Windows ou Linux/Unix) uma alternativa interessante para implementar esta estrutura. Desta forma, voc fica com o controle sobre o arquivo de banco de dados e pode restringir o acesso s suas informaes utilizando as ferramentas internas de segurana do Firebird (roles e privilgios, etc.).

Dificuldades
importante ressaltar que voc pode encontrar dificuldades at mesmo nesta situao, se sua inteno proteger a estrutura do banco de dados.

Necessidades da Camada de Acesso

Muitas das bibliotecas de acesso a banco de dados fazem consultas aos metadados da tabela, como chave primria, domnio e outras informaes da estrutura, visando tornar o desenvolvimento das aplicaes clientes uma tarefa mais simples. Se impedimos os usurios de acessar os metadados da tabela, consequentemente, impedimos tambm a aplicao de recuperar as informaes que precisa. Isto nos leva a duas alternativas: permitir que seus metadados escapem do servidor atravs de uma sofisticada interface de acesso; ou gastar o tempo necessrio para se desenvolver uma aplicao utilizando uma biblioteca de acesso menos sofisticada.

Vazamento por Inferncia e Deduo

H tambm o problema de que muitas aplicaes clientes, inerentemente, deixam escapar informaes sobre a estrutura do banco de dados com a qual interagem. muito raro encontrar uma aplicao de banco de dados que tenha uma interface que no revele detalhes sobre a estrutura das tabelas que usa. Alguns detalhes podem ser escondidos por meio de Views e Stored Procedures, mas definir essas ferramentas apenas para tentar esconder a informao da estrutura uma tarefa frustrante. Provavelmente ser intil, pois alguns detalhes escaparo, no importa o que voc tente.

Protegendo as Informaes do Usurio

Antes de continuar discutindo questes relacionadas encriptao das informaes do banco de dados, eu gostaria de ressaltar que perfeitamente possvel proteger as informaes dos usurios por meio de encriptao. No serve para desenvolvedores que queiram esconder informaes de usurios legtimos, mas pode servir para suprir as necessidades de privacidade que seus clientes possam querer com relao ao banco de dados. 5

Segurana arquivos e metadados Existem algumas situaes em que impraticvel colocar o servidor Firebird sob uma infra-estrutura adequadamente segura. Em perodos em que o escritrio esteja funcionando, bem pouco provvel que algum poder acessar o computador para copiar os arquivos do banco de dados (ou at mesmo roubar o computador ou disco rgido para obter os arquivos posteriormente). No entanto, fora do horrio normal de trabalho (noites e finais de semana), a situao pode ser um pouco diferente. Algum poderia conseguir entrar no escritrio e roubar o disco rgido do computador (ou levar o computador inteiro) e levar a algum lugar onde possa obter acesso ao banco de dados.

Encriptao
O Firebird em si no disponibiliza nenhuma ferramenta de encriptao integrada, mas existem excelentes produtos que podem fornecer essa soluo. Voc poderia instalar um software que crie uma partio virtual encriptada em seu computador e colocar os arquivos do banco de dados (e qualquer outra informao confidencial) nessa partio. Dessa forma, toda a informao ficar armazenada em um arquivo encriptado e ningum poder acess-la a menos que tenha a senha. Sempre que voc iniciar o computador, ter que montar a partio virtal encriptada e fornecer a senha secreta para poder acessar as informaes. Esse processo manual de inicializao pode ser um pouco inconveniente, mas pode proporcionar uma excelente segurana a computadores que no so constantemente vigiados. Alguns softwares com essas caractersticas so: TrueCrypt (www.truecrypt.org), Bestcrypt da Jetico (www.jetico.com) e PGPDisk (www.pgpi.org/products/pgpdisk/ note que este link te levar a uma antiga verso gratuita. Nesta mesma pgina existem links para as verses comerciais mais novas). Existem outros, mas estes dois ltimos so os que eu mesmo usei.

Por que o Firebird no possui encriptao nativa? Devido s necessidades descritas anteriormente, muito comum encontrar usurios pedindo que o Firebird, em um verso futura, tivesse a capacidade de encriptar metadados, dados do usurio, ou at mesmo o banco de dados todo. Como no sou um desenvolvedor do ncleo do Firebird, no posso afirmar categoricamente que no vai acontecer. Mas a questo aqui no realmente se a encriptao praticvel ou til, mas se o gerenciamento de senhas de encriptao proporcionaria uma soluo para os problemas que estamos examinando. A encriptao em si pode apenas ser to boa quanto a senha de desencriptao. Pode ser ainda pior, mas no pode ser melhor. Existem diversos excelentes algoritmos de encriptao disponveis que poderiam ser utilizados. Quando a encriptao boa, os ataques costumam centralizar-se contra a senha e no contra a encriptao em si.

Como funcionaria a encriptao? Ento vamos analisar como funcionariam as coisas se o Firebird proporcionasse maneiras de encriptar metadados no banco de dados... Antes que um banco de dados pudesse ser acessado, a senha deveria ser fornecida. Dar a senha ao usurio seria irrelevante, pois nos levaria de volta ao problema original. Ento podemos presumir que, sempre que o cliente reiniciar o servidor, teria que chamar o desenvolvedor, que poderia ento entrar com a senha. Mesmo que isso fosse praticvel, no necessariamente resolveria o problema. Por exemplo: o cliente poderia instalar algum tipo de software para monitorar o servidor e roubar a senha. Existem solues baseadas em hardware para proporcionar a senha para o processo de desencriptao. Mas novamente, este dispositivo precisaria ficar sob a posse do cliente, e se no confiamos nele, no podemos imped-lo de obter acesso ao banco de dados em outro computador onde a senha do usurio SYSDBA conhecida. 6

Segurana arquivos e metadados O Firebird um produto Open Source. Se as facilidades de encriptao forem nativas ou atravs de bibliotecas adicionais tambm open source, seria possvel aos usurios desenvolverem suas prprias verses do servidor ou da biblioteca que no apenas providencie as capacidades de encriptao e desencriptao do banco de dados, mas tambm possa mostrar a senha na tela ou simplesmente mostre os resultados desencriptados diretamente. O desenvolvedor, que no tem o controle do servidor, no pode detectar e nem prever tal atividade. Voc pode vir a considerar a construo de sua prpria verso do Firebird server, com a senha de desencriptao escondida no executvel. Mas descompiladores so facilmente encontrados. No levaria muito tempo para descobrir a senha por uma simples comparao das verses descompiladas da sua verso do servidor e da verso normal. Existem vrios bancos de dados que existem com o propsito de proporcionar uma forte encriptao. Talvez a encriptao seja forte, mas a menos que o gerenciamento de senhas sesteja no local para suportar essa ferramenta, a encriptao no alcanar o efeito desejado. Pode at encoraj-lo a acreditar que est protegido, mas voc precisa estudar o gerenciamento de senhas para descobrir se realmente verdade. A dura realidade que, se voc no tem o controle sobre o hardware no qual o processo de encriptao e desencriptao ocorre, nunca estar protegido. Se a senha de desencriptao no pode ser mantida em segurana, ento at mesmo as melhores encriptaes tornan-se apenas um pouco mais que segurana por obscuridade.

Limitando a distribuio da informao

Algumas pessoas pedem a encriptao dos dados, para que eles possam tentar limitar a disseminao destes. Elas no se importam com o fato de que um usurio autorizado em particular veja a informao, mas querem, no entanto, limitar a capacidade deste usurio de distribuir essa informao a outras pessoas. Vamos imaginar por um momento que todos os problemas com o gerenciamento de senhas descritos acimas foram resolvidos, ento torna-se impossvel ao usurio apenas copiar o banco de dados para poder obter as informaes. Nestes casos, o usurio poderia simplesmente escrever um pequeno programa que extrasse as informaes que lhe forem interessantes (atravs do servidor legtimo, instalado) e copi-las para seu prprio arquivo ou banco de dados. Eu acredito que seja possvel que o Firebird proporcione, no futuro, algum tipo de sistema de autenticao da aplicao que poderia limitar essa maneira de extrair as informaes, mas ainda assim, os mesmos problemas persistem. Se voc no tem controle sobre o servidor, no pode prevenir que o usurio instale uma verso que no requer esta autenticao.

Removendo o acesso do usurio SYSDBA

Vrias vezes, algumas pessoas sugeriram que remover o acesso do usurio SYSDBA a esse banco de dados poderia ser a soluo. A idia por trs desta soluo que mover um banco de dados para um outro servidor onde a senha do usurio SYSDBA conhecida no ajuda em nada, pois o usurio SYSDBA no tem acesso s tabelas. Algumas pessoas relataram um limitado sucesso nesse contexto, criando uma role SQL com o nome de SYSDBA e assegurando que ela no ter acesso aos objetos do banco de dados. Mas isso no resolve realmente o problema. O arquivo do banco de dados pode ser visualizado com um editor hexa-decimal ou similar e a lista de usurios disponveis, descoberta (Descobrir os nomes dos usurios donos dos objetos seria particularmente til). Dessa forma, estes nomes podem ser adicionados ao novo servidor e usados diretamente. E um arranjo ainda mais simples seria utilizar a verso embedded do servidor Firebird (mais adiante) ou compilar uma verso prpria que ignore as diretivas de segurana. 7

Segurana arquivos e metadados

Nomes personalizados para SYSDBA

Tambm houveram sugestes de permitir que o nome de usurio SYSDBA seja alterado. Esta soluo poderia oferecer alguma proteo limitada contra ataques de fora bruta contra a senha do SYSDBA, visto que o ataque teria que adivinha tanto o nome de usurio quanto sua senha. Mas no ajuda em nada a proteger o sistema de uma pessoa que tenha acesso direto ao arquivo.

Excluindo o cdigo fonte das SP's e Triggers

Quando voc escreve e define uma Stored Procedure ou Trigger para o banco de dados Firebird, o servidor armazena uma cpia quase completa do cdigo fonte juntamente com a cpia compilada, chamada de BLR (Binary Language Representation). a BLR que executada pelo servidor, o cdigo fonte no utilizado. Alguns desenvolvedores tentam proteger ao menos uma parcela de seus metadados deletando o cdigo fonte antes de distribuir o banco de dados (apenas um update direto nos campos relevantes da tabela de metadados). Eu recomendo no adotar esta prtica por duas razes: 1. BLR uma codificao muito simples do cdigo fonte. No seria muito difcil decodificar o BLR de volta para uma forma legvel a humanos. A decodificao no traria comentrios ou formatao, mas as SQL's que vo em SP's ou Triggers so raramente to complicadas a ponto de isso causar problemas. Ento, a proteo oferecida pela remoo do cdigo fonte no muito significante. O cdigo fonte pode ser til para outros propsitos. Ele permite que correes sejam aplicadas diretamente no banco de dados, sem precisar trazer de volta o cdigo fonte completo de algum outro lugar (e ento, lembrar de remover novamente aps aplicar as correes). O cdigo fonte tambm utilizado em vrios utilitrios, como o meu DBak - uma ferramenta de backup alternativa ao gbak. Eu no me importei em escrever meu prprio decodificador de BLR neste momento, portanto, DBak depende da disponibilidade do cdigo fonte para conseguir criar o script DDL para reconstruir o banco de dados.

2.

Servidor Firebird Embedded

H uma verso especial do servidor Firebird chamada de embedded. Esta verso , na verdade, uma biblioteca cliente especial, que inclui o servidor em si. Quando um aplicativo chama essa biblioteca, ela carrega o servidor e permite acesso direto a qualquer banco de dados acessvel ao computador local. Dessa forma, no faz uso do banco de dados de segurana. O nome de usurio especificado durante o logon (no existe autenticao de senha) utilizado para gerenciar o acesso aos objetos do banco de dados (por permisses SQL), mas se este usurio for SYSDBA (ou o dono do banco de dados), ento, o acesso irrestrito possvel. As caractersticas do servidor embedded so teis a desenvolvedores que querem criar aplicativos monousurios simples de se distribuir e que no requerem muita segurana. Dessa breve descrio, pode parecer que ter um aplicativo com servidor embedded instalado em um servidor que esteja armazenando outros bancos de dados pode representar um grave risco segurana. Na realidade o risco no maior do que se o servidor embedded no existisse. Quando um aplicativo carrega o servidor embedded, ele opera no contexto de segurana do aplicativo (e portanto, do usurio). O que significa que o servidor embedded ter acesso apenas aos arquivos que o usurio pode acessar 8

Segurana arquivos e metadados diretamente pelo sistema operacional. Conceder a um usurio suspeito acesso para instalar programas em um servidor seguro j no boa idia, mas se voc tiver especificado permisses de arquivo apropriadas em arquivos de banco de dados seguros, o servidor embedded no representa uma ameaa. A ameaa vem de todas as outras coisas que o usurio poderia instalar. O fato de o servidor embedded existir serve apenas para ressaltar que possvel acessar diretamente as informaes de um arquivo de banco de dados, especialmente em um ambiente open source. Se j no existisse, certamente seria possvel que algum compilasse um equivalente.

Outras Formas de Obscuridade

Vrias outras formas de segurana por obscuridade foram propostas. Coisas como eventos especiais que so acionados no login e no logoff para chamar funes de usurios que liberem ou neguem acesso. Essas implementaes podem oferecer alguma segurana limitada em sistemas de cdigo fonte proprietrio, onde a obscuridade da implementao ajuda a esconder como, exatamente, a informao est sendo protegida. Mas para um sistema open source, basta que se compile uma nova verso do servidor para pular os eventos ou cdigos que esto prevenindo o acesso para acessar totalmente a tabela. muito difcil oferecer obscuridade em um sistema open source. Considere, por exemplo, o que acontece quando voc distribui seus executveis compilados. Executveis compilados so timos exemplos de obscuridade. No h uma encriptao (normalmente), e todos os passos do cdigo esto l para serem analisados por qualquer um que tenha o tempo e o conhecimento, e alm disso, ainda existem descompiladores que podem auxiliar o processo. To logo uma pessoa descubra com que bibliotecas seu cdigo foi compilado, isolar os resultados para apenas o cdigo secreto fica muito fcil. Voc j escreveu Borland, Microsoft ou qualquer outro solicitando algum tipo de encriptao dos binrios compilados?

Baixa Segurana Aceitvel

Meus comentrios at ento se direcionaram a um ideal de forte segurana, e talvez o conceito de segurana por obscuridade tenha sido escrito com algum desprezo. No entato, eventualmente uma baixa segurana suficiente, quando a informao no assim to valiosa. Voc quer apenas impedir uma navegao casual e ao menos deixar o trabalho um pouco inconveniente aos ladres mais avanados. Eu mesmo j utilizei esse tipo de esquema vrias vezes. Frequentemente, no tem porque utilizar Twofish, AES ou qualquer outro porque eles so apenas forte encriptao. So pesados, causando sobrecarda do processador e complicao com relao a manter uma forte segurana. Um simples XOR contra uma string conhecida (uma senha) j deve ser suficiente. Se a chave puder ser descoberta pelo ladro, ento no importa se a encriptao fraca ou forte, a brincadeira de qualquer forma. Nota
A maior parte dos algoritmos simples baseados em XOR podem ser facilmente quebrados. Consulte um bom guia de referencia sobre encriptao para mais informaoes e opes.

Segurana arquivos e metadados

Optando por Obscuridade

O problema com segurana por obscuridade que ela precisa ser obscura. Se o Firebird implementasse algum tipo de encriptao em suas rotinas de leitura e escrita em disco, ela no seria obscura, pois este um projeto Open Source. No levaria mais que alguns minutos para recompilar o cdigo fonte para descobrir a senha utilizada e ento, tudo est perdido. Ento, se voc realmente precisa dessa ferramenta, voc teria que copiar o cdigo fonte do Firebird, inserir suas prprias rotinas de obscuridade e compilar sua prpria variao do servidor Firebird. (O cdigo fonte ainda pode ser descompilado, mas para isso seria necessrio um avanado conhecimento de programao.) Antes de tentar fazer isso, verifique se realmente resolveria o problema se o usurio pudesse obter uma cpia dos executveis especiais compilados junto com o banco de dados. Ou se ainda seria possvel ao usurio extrair os segredos diretamente de seu servidor.

O Argumento Filosfico
H tambm a seguinte questo filosfica: Por que voc escolheria um banco de dados Open Source para construir um produto com banco de dados proprietrio. Muitas pessoas contribuiram com o projeto com a crena de que a melhor forma de se fazer software Open Source. Mais particularmente, quando se trata de armazenamento de informaes do usurio, eu acredito que os usurios precisem ter a habilidade de acessar sua prpria informao - o que normalmente inclui a necessidade de entender a estrutura e os processos que voc construiu (metadados). Se voc sair do mercado ou ficar, de alguma forma, indisponvel, ser de crtica importancia que o usurio consiga ao menos extrair sua prpria informao (em formatos apropriados) de forma a conseguir migrar para sistemas alternativos. Voc pode confiar em seus usurios para respeitarem sua propriedade intelectual enquanto voc ainda estiver no mercado e disponvel? Disponibilize os servios e facilidades necessrios e provavelmente, eles respeitaro. Caso contrrio, ento h uma grande chance de que no h nada que voc possa fazer.

Concluses
O problema que muitas pessoas no entendem de segurana e como difcil fazer bem feito. Lamentavelmente existem muitos softwares que estimulam esses desentendidos por implementar obscuridade no lugar de segurana de verdade. Observe o nmero de empresas que existem que oferecem servios de recuperao de informao, que na verdade, nada mais que quebrar a suposta segurana da informao protegida por obscuridade. Encriptao no um milagre da segurana. Se voc no tiver o controle sobre a estrutura (o hardware, o sistema operacional e todos os softwares neste sistema), voc no ter controle sobre a segurana - no importa que esquemas de encriptao voc implemente no local. Essa a situao que voc tem quando precisa distribuir seu banco de dados para instalaes externas. 10

Segurana arquivos e metadados Se voc realmente precisa proteger as informaes (dados e metadados) de seu banco de dados, ento voc precisa reter o controle do arquivo do banco de dados e da estrutura em que ele ser acessado. Nenhuma outra soluo oferece o mesmo nvel de segurana.

Agradecimentos
Eu gostaria de agradecer a todas as pessoas que avaliaram e comentaram este artigo. Gostaria tambm de agradecer as pessoas que contribuem para a lista de suporte do Firebird, que fonte de grande parte das informaes disponveis neste artigo.

11

Segurana arquivos e metadados

Apndice A: Histrico do Documento

O histrico exato do arquivo - comeando pela verso 0.5 - est gravado no mdulo manual na nossa rvore do CVS; veja http://sourceforge.net/cvs/?group_id=9028 Histrico de Revises N/A 14 Fev 2005 N/A 11 Abr 2005

GW GW

Primeira edio. A seo Baixa Segurana Aceitvel foi revisada para tentar ressaltar que algoritmos XOR simples so fracos demais, para assegurar que os leitores investiguem mais a fundo, se estiverem interessados nessa soluo. Seo adicional sobre o servidor Embedded (e referencias a ela). Movidas notas de rodap para uma nota em itlico, notas de rodap no funcionam bem em HTML. Adicionado TOC. Adicionada referencia ao TrueCrypt. Adicionada seo Uso deste documento. Adicionada seo de agradecimentos. Histrico do Documento e Uso deste Documento movidos para apndices. Adicionado nmero de verso para uso juntamente com o projeto Firebird. Documento adicionado ao repositrio CVS do Firebird. Traduo para o Portugues do Brasil por Gabriel Frones.

N/A

26 Apr 2005

GW

N/A 0.5

4 Dez 2005 7 Dez 2005

GW PV

0.5-pt_br 3 Mar 2008

GF

12

Segurana arquivos e metadados

Apndice B: Uso deste Documento

Eu tentei fazer este documento o mais preciso possvel no momento de escrita, mas no posso garantir que no hajam enganos. Segurana um assunto complexo. Onde segurana importante ao seu produto ou instalao, voc deveria procurar orientao profissional. Eu no imponho nenhuma restrio em particular ao uso deste documento. Voc est livre para reproduzir, modificar ou traduzi-lo. No entanto, verses alteradas do documento devem ser anotadas com as alteraes efetuadas e o nome do autor (de forma que meu nome no fique associado ao texto que no escrevi). G.W.

13