Relatório de Segurança para Comparação de Funções
Contents
1. de Mar o de 2003 apenas se elas foram ajustadas durante esse per odo Da mesma forma n o iremos considerar as vulnerabilidades descobertas dentro deste per odo de um ano mas ajustadas ap s 28 de Fev de 2005 Algu m poderia selecionar per odos diferentes no futuro e repetir esses estudos utilizando novos per odos e come ar a estudar as tend ncias tamb m Copyright O 2005 Security Innovation Inc Enquanto o nosso objetivo era de aplicar m tricas sobre o per odo de um ano essas datas particulares foram escolhidas por representarem as informa es mais atuais que pudessem ser analisadas no per odo do nosso estudo Descri o e Introdu o das M tricas Qualitativas Al m das atualiza es e vulnerabilidades h qualidades mais leves de seguran a que s o dif ceis de se quantificar mas que causam claro impacto na seguran a implantada As qualidades como o suporte do ciclo de vida da seguran a recursos padr es de seguran a todas t m impacto sobre a seguran a da fun o implantada Em nosso relat rio iremos descrever de que forma as duas solu es se comparam nesses crit rios para a conveni ncia dos leitores Hip teses amp Regras Como indicado anteriormente iremos analisar tr s configura es b sicas de servidor de banco de dados sendo uma no Microsoft Windows Server e duas no Red Hat Enterprise Linux MySQL no Red Hat Enterprise Linux ES 3 Para esta configura o consideramos uma instala2. o e tamb m um servi o de seguran a ao fornecedor Dias de risco cumulativos referem se exposi o geral de uma solu o assim como o servi o de seguran a do fornecedor em certa estat stica Especificamente os dias de risco cumulativos interrompidos pela severidade Isso se refere ao n mero total de dias de exposi o o que pode envolver diferentes vulnerabilidades quando o sistema esteve no auge de seu risco por meio da explora o de uma vulnerabilidade Comparando os n meros vemos que o SQL Server 2000 na solu o do Windows Server 2003 apresentou 952 dias de risco cumulativos para vulnerabilidades com classifica o ICAT alta comparando se com as 1525 do My SQL na solu o do RHEL e 2539 do Oracle na solu o do RHEL demonstrando clara lideran a da Microsoft Os dias de risco m dios representam uma medida valiosa da resposta de seguran a do fornecedor uma vez que se refere ao tempo m dio entre quando a vulnerabilidade divulgada e quando um fornecedor a conserta tornando a dispon vel Os n meros do per odo considerado mostram uma lideran a da Microsoft nesta categoria assim como uma m dia de 32 0 dias representando o per odo de tempo que os clientes s o expostos a n veis maiores de risco por vulnerabilidade se comparados com a m dia de 61 6 dias de risco para o MySQL na solu o do RHEL e 38 7 dias de risco do Oracle na solu o RHEL interessante observar como esses dados refletem a desc
3. o m nima em que o servidor especificamente projetado para suprir a fun o instalando apenas um conjunto m nimo de componentes of componentes ao se elaborar o sistema O cen rio de instala o m nima fornece uma superf cie de ataque reduzida para o servidor supondo que um administrador que priorize a seguran a acima de outros crit rios implante o servidor Oracle 10g no Red Hat Enterprise Linux ES 3 O Oracle fornece recomenda es detalhadas de instala o para os usu rios instalarem o Oracle 10g no RHEL 3 Enquanto os passos adicionais podem ser tomados para fortalecer o servidor ou remover certos componentes seguimos os procedimentos recomendados pelo fornecedor uma vez que este provavelmente o cen rio mais comum estando dentro das especifica es de suporte da Oracle SQL Server 2000 no Windows Server 2003 Como a constru o da Microsoft n o torna f cil remover componentes adicionais do sistema operacional do Servidor a proje o e an lise do nosso sistema incluem todos os componentes que acompanham o Windows Server 2003 Al m da instala o segue uma lista de preocupa es e necessidades do usu rio que se interessar por esta an lise O usu rio requer os recursos a confian a o suporte e a manuten o profissional fornecidos por um distribuidor confi vel de software Por exemplo no caso de uma solu o de c digo aberto como o Red Hat Enterprise Linux presumimos que no que se refere ao gerenci
4. Este um campo interessante e aberto e incentivamos outras pessoas a levar em conta essa rea a fim de obter uma pesquisa mais reflexiva No entanto uma vez que h oportunidades de pesquisas nas duas reas optamos por tentar e progredir nos estudos e medidas dos fatores de vulnerabilidades primeiro essa uma m trica precursora para outras que se baseiam nas amea as Dessa forma n o levamos em considera o o perfil de amea a nesse estudo e em vez disso irmos nos concentrar na vulnerabilidade subjacente do sistema Conforme foi observado no nosso estudo anterior Web Study vamos nos voltar s medidas comparativas focadas no cliente quanto seguran a das plataformas em particular analisamos essas medidas as quais os fornecedores t m a capacidade de afetar e aprimorar Este estudo atual enfatiza o objetivo e concentra se em fornecer as principais vis es para a seguran a das plataformas mais comuns em uma fun o do servidor de banco de dados relat rio de An lise da Security Innovation Relat rio da Compara o entre Fun es Fun o do Web Server Mar o de 2005 http www sisecure com pdf windows linux final study pdf Copyright O 2005 Security Innovation Inc Agradecimentos Este estudo e as nossas an lises foram baseados em um contrato de pesquisa a partir da Microsoft Como parte do contrato temos controle editorial total sobre as pesquisas e an lises aqui apresentadas Estamos atr s da
5. ncias da lista do CVE As tabelas que seguem mostram os resultados obtidos para as an lises dos dias de risco Tanto os dias de risco cumulativos como os m dios s o calculados pois representam m tricas diferentes sobre as vulnerabilidades e a resposta de patching Copyright O 2005 Security Innovation Inc Severidade Windows Server RHEL ES 3 Oracle RHEL ES 2003 SQL Server 10g 3 MySQL 3 23 2000 Dias de Risco Severidade Alta 952 2539 1525 Dias de Risco Severidade M dia 573 3314 3594 Dias de Risco Severidade Baixa 0 574 741 Dias de Risco Desconhecida 490 1590 1290 Dias de Risco Cumulativos 2015 8017 7150 Dias de Risco M dios por Vulnerabilidade 31 98 38 73 61 64 Tabela 2 Dias de risco nos tr s sistemas estudados Cumulative Days of Risk Window s RHEL 3 RHEL MySQL Server 2003 Oracle 10g SQL Server 2000 Platforms Figura 3 Dias de risco cumulativos para os tr s sistemas estudados Copyright O 2005 Security Innovation Inc Average Days of Risk 70 60 50 40 isk Days of Ris va 20 10 Windows Server RHEL 3 Oracle RHEL MySQL 2003 SQL 109 Server 2000 Platforms Figura 4 Dias de risco m dios para os tr s sistemas estudados Distribui o de Dias de Risco interessante analisar al m dos dias de risco m dios e examinar a propor o de vulnerabilidades solucionadas dentro de certo tempo As Figuras 4 6 explicam as vulnerabilidades solucionadas em 2004 nas
6. plataforma do Windows Server 2003 levando em considera o diversas m tricas importantes As contagens totais de vulnerabilidades da plataforma Windows s o significativamente menores que aquelas para as solu es do Oracle e do MySQL projetadas no RHEL ES 3 da mesma forma ao analisar apenas os bugs de severidade alta as contagens s o claramente a favor da Microsoft Sem uma metodologia rigorosa pode se esperar que uma m nima parte do MySQL no Red Hat Enterprise Linux tenha a menor quantidade de vulnerabilidades seguida do Oracle no Red Hat Enterprise Linux e o SQL Server 2000 no Windows Server 2003 No entanto os verdadeiros resultados demonstram que o Microsoft Security Development Lifecycle SDL resulta em um software com menor taxa de incid ncia a vulnerabilidades contribuindo com menos vulnerabilidades e menos patching para os clientes do que o Oracle ou as alternativas de C digo Aberto estudadas Embora o foco do estudo esteja nas 3 configura es descritas j antecipamos que alguns leitores podem ainda questionar o seguinte E o Oracle em certa parte do Linux semelhante constru o do MySQL E o Oracle quando instalado no Windows Server 2003 em vez do Linux Copyright O 2005 Security Innovation Inc A Figura 2 do gr fico mostra varia es nas constru es que estudamos e mostra as respostas a essas quest es O servidor de banco de dados projetado com as m nimas vulnerabilidades juntamente com as m
7. Linux em se tratando de uma base cont nua Copyright O 2005 Security Innovation Inc OBSERVA O da An lise Um dos principais itens que aprendemos durante o estudo dos nossos resultados preliminares foi que existem fortes op es de valor ou falta de valor para as m tricas dos dias de risco Para n s vemos muito claramente a distin o no risco do cliente tanto antes como depois de um evento de tornar publicamente conhecido Dessa forma os dias de risco s o uma medida interessante para se analisar como a combina o das pol ticas de divulga o do fornecedor o processo de resposta e os testes e libera es de patches se combinam para reduzir ou n o o per odo quando os clientes est o expostos sem uma alternativa de patch do fornecedor uma medida do mundo real para um problema do mundo real e queira ou n o ela afetada pela forma com que o software desenvolvido Um dos pontos levantados foi o tipo de m trica que automaticamente favorece uma solu o de c digo fechado Outro ponto questiona a defesa da Microsoft quanto divulga o respons vel uma vez que ela serve para tornar menores os dias de risco e fazer a Microsoft analisar melhor Na verdade um fornecedor com processos maiores de testes de qualidade pode se beneficiar mais da divulga o respons vel mas uma vez que a pol tica que conduz o menor risco ao cliente isso parece intensificar e n o reduzir a import ncia da m trica
8. Linux kernel X Windows drivers de hardware rsync o n mero de pesquisas de seguran a do SuSE significativamente menor devido a seu uso de pesquisas sint ticas Se algu m precisasse desempenhar uma an lise simples de pesquisa iria representar dados melhores por m enganosos da seguran a relativa do SuSE quanto ao Red Hat Na verdade o n mero de vulnerabilidades ajustadas por cada fornecedor tem a mesma dimens o mas o Red Hat mais granular e at mais transparente na libera o das pesquisas de seguran a Em vez disso tomamos uma abordagem baseada em fun es para medir a seguran a com base em configura es provavelmente implantadas Para os dados quantitativos esta abordagem significa apenas considerar essas vulnerabilidades e patches que se aplicam a uma fun o implantada Por exemplo n o devemos considerar uma vulnerabilidade reportada em um componente que n o esteja instalado em nossa solu o de servidor de banco de dados em funcionamento Per odo de Tempo A metodologia usada para esta compara o poderia ser aplicada a qualquer per odo de tempo Para a nossa compara o entre fun es de servidor de banco de dados iremos considerar apenas as vulnerabilidades para as quais o fornecedor de solu es Microsoft Oracle ou Red Hat tenha liberado ajustes entre 1 de Mar o de 2004 e 28 de Fevereiro de 2005 tendo um ano para implanta o Iremos incluir vulnerabilidades desvendadas antes de 1
9. Na verdade os dados s o t o claros que as comunidades da Microsoft e do Linux seguem a divulga o respons vel a certo n vel Por exemplo para o problema do Samba solucionado pelo Red Hat na RHSA 2004 670 10 pode se seguir as refer ncias para saber que os fornecedores mantiveram o problema longe de ser divulgado na data em que foram notificados pela primeira vez Segue um registro parcial do bugzilla Jerry no Samba reportado ao fornecedor sec em 2004120 uma falha de raiz remota no Samba afetando todas as vers es Requer usu rio autenticado Problema descoberto pela iDEFENSE Este problema est atualmente inativo at 20041216 1200UTC Pode se pensar que este problema era p blico logo que foi reportado ao fornecedor sec devido ao n mero de pessoas na lista No entanto usamos 16 12 2004 como a primeira data publicamente conhecida O Red Hat apresentou 15 problemas solucionados com zero dia e a maioria beneficiou com a divulga o respons vel de forma privada aos fornecedores do Linux as a es foram elogiadas Al m disso parece estar claro que o risco do cliente poderia ser reduzido ainda mais por uma coordena o maior da seguran a pelos fornecedores de Linux Observe o exemplo da RHSA 2004 413 07 que diagnosticou um problema de kernel e o tornou p blico em 3 8 2004 Os usu rios do SuSE n o obtiveram diagn stico at 9 8 2004 e os usu rios do Gentoo Linux esperaram at 25 8 2004 de acordo com refer
10. O texto que segue foi tirado dos procedimentos recomendados de instala o do Oracle 10g no Red Hat Enterprise Linux 3 podendo ser encontrado em http www oracle com technology pub articles smiley 10gdb install htmlfrhel3 As informa es abaixo s o atuais desde 1 de Maio de 2005 RHEL3 O Oracle Database 10g certificado para executar a vers o base do Red Hat Enterprise Linux 3 Advanced Server e Enterprise Server sem atualiza es Se voc possui CDs de atualiza o pode usar o CD de boot a partir da atualiza o em vez de faz lo por meio da vers o base para aplicar automaticamente todas as atualiza es durante a instala o Todas as atualiza es do Red Hat s o suportadas pelo Oracle 1 Reinicialize o servidor usando o primeiro CD o Voc pode precisar alterar as configura es de BIOS para permitir a reinicializa o a partir do CD 2 Atela de reinicializa o aparece com o boot prompt na parte superior o Selecione Enter para continuar com a instala o gr fica no console Para os m todos e op es de instala o recorra ao Manual de Instala o do Red Hat o O instalador pesquisa seu hardware exibe brevemente a tela do Red Hat e depois inicia uma s rie de prompts de tela 3 Sele o do Idioma o Aceite o padr o 4 Configura o do Teclado o Aceite o padr o 5 Tela de Boas Vindas o Clique em Next 6 Configura o do Mouse o Aceite o padr o 7 Tipo de Instala o o Selecione Custo
11. essa fun o est geralmente localizado atr s de um firewall Considera es gerais da superf cie de ataque como o n vel de privil gio dos servi os apresentados Hip teses Adicionais sobre os Dados Quantitativos Os dados quantitativos dispon veis est o relacionados com as vulnerabilidades as atualiza es e a qualidade de atualiza es patches Essas informa es podem ser obtidas a partir de listas de relat rios p blicas sobre bugs e dos fornecedores que liberam esses patches Enquanto esses resultados representam apenas a dimens o da vulnerabilidade do risco de seguran a eles fornecem uma id ia quanto aos aspectos da qualidade de seguran a que est o sob o controle do fornecedor a qualidade de seguran a do c digo e a resposta de seguran a Essas m tricas no entanto devem ser consideradas juntamente com diversos outros fatores qualitativos importantes ao se escolher uma plataforma baseada no custo da manuten o de seguran a e na probabilidade das brechas na seguran a Para se fazer uma compara o imparcial entre duas plataformas a s rie de hip teses usadas para reunir os dados essencial Essas informa es tamb m s o fundamentais para tornar a experi ncia reprodutiva Segue uma s rie de hip teses que foram usadas para reunir informa es de vulnerabilidades e de patch i Presume se que os clientes do Red Hat instalam apenas os patches liberados pela Red Hat ou Oracle no caso de uma configu
12. fun o existe a partir de uma s rie ampla de ind strias e neste documento ent o presumimos que uma organiza o tenha um objetivo de alto n vel ao possuir um sistema de banco de dados extens vel robusto com alto desempenho e disponibilidade e que existam m ltiplas plataformas servidores que possam suprir esses requisitos Para esta finalidade primeiro fornecemos uma descri o geral da fun o do Servidor de Banco de Dados e depois descrevemos uma implanta o t pica desta fun o usando o Windows Server 2003 com o Microsoft SQL Server 2000 Red Hat Enterprise Linux RHEL 3 com o servidor de banco de dados do MySQL e o Red Hat Enterprise Linux 3 com o Oracle 10g Em um n vel mais alto descrevemos a nossa abordagem dos requisitos de tais fun es e posteriormente a usamos como um roteiro para implementa es espec ficas necess rias para as solu es do Windows Server 2003 e RHEL As compara es da seguran a tanto quantitativas como qualitativas s o feitas a partir desta fun o nas configura es Por fim iremos concluir checando os resultados e as a es que os fornecedores devem tomar para aprimorar sua seguran a se medida por esta metodologia Descri o Defini o da Fun o do Servidor de Banco de Dados A necessidade de um gerenciamento de dados altamente dispon vel e confi vel muito importante para as organiza es de hoje em dia Os servidores de banco de dados suprem essa necessidade
13. nossa metodologia e execu o quanto aquela metodologia de se determinarem resultados objetivos aos clientes e praticantes da seguran a Incentivamos outras pessoas a examinar analisar bastante e comentar nosso trabalho Nosso objetivo foi de desempenhar uma an lise baseada em fatos e n o em especula es usando uma metodologia transparente e significativa A s ntese de feedback no surgimento da nossa pesquisa beneficia todas as pessoas independente da prefer ncia nosso objetivo nesta abordagem de trazer esclarecimentos e n o pol micas Sendo assim agradecemos Mark Cox da Red Hat por ter trabalhado conosco para ajudar a resolver as discrep ncias entre as datas de suas pr prias vulnerabilidades e outras que compilamos usando a metodologia publicada em Mar o de 2005 O feedback de Mark foi extremamente valioso e nos ajudou a refinar nossa metodologia veja o Ap ndice A para acomodar os bancos de dados privados trazendo posteriormente conjuntos mutuamente valiosos de dados usados em todas as an lises dentro deste estudo Z Este estudo a segunda parte das nossas tentativas comparativas da seguranca de plataforma sob uma variedade de fun es Ao lan ar nosso primeiro estudo nas compara es de fun es sobre Web Server em Mar o de 2005 recebemos feedbacks positivos das comunidades acad micas usu rios e analistas e gostar amos portanto de agradecer todos os que nos forneceram esses feedbacks Esses come
14. plataformas configura es consideradas categoricamente pelos dias de risco Em todas as plataformas a propor o de vulnerabilidades nas categorias de dias de risco de 0 30 dias maior Analisando os dados revela se que 87 2 das vulnerabilidades da categoria 0 30 da Microsoft de zero opondo se aos 24 3 zeros do MySQL na solu o do RHEL e 41 1 do Oracle na solu o RHEL dentro desta categoria Isso se refere s diferen as no modelo de divulga o das duas plataformas Essa distribui o importante como a pesquisa sobre a taxa de explora o s vulnerabilidades mostrou um grande aumento na taxa de explora o medida que o tempo passava a partir da divulga o Dessa forma as vulnerabilidades com maior vida til t m um impacto desproporcional na seguran a geral da plataforma al m de terem efeito nos c lculos dos dias de risco Copyright O 2005 Security Innovation Inc RHEL ES3 MySQL DB Role of Vulnerabilities 31 90 91 365 ICAT Severity Figura 5 Dias de Risco do RHEL 3 com o MySOL apresentados pelo tempo de soluc o RHEL ES3 Oracle DB Role of Vulnerabilitie s 00 80 60 40 20 0 31 90 91 365 ICAT Severity Figura 6 Dias de Risco do RHEL 3 com o Oracle apresentados pelo tempo de soluc o Copyright O 2005 Security Innovation Inc Windows Server 2003 SOL Server 2000 DB Role Hof Vulnerabilities 31 90 91 365 ICAT Severity Figura 7 Dias de Risco do SOL Server 2
15. 000 no Windows Server 2003 Oracle 10g no Red Hat Enterprise Linux 3 e MySQL no Red Hat Enterprise Linux 3 Com o intuito de produzir uma compara o significativa entre as plataformas os sistemas estudados foram manualmente instalados e suas configura es foram verificadas Ao considerar os dados quantitativos examinamos o n mero e o tipo de vulnerabilidades reportadas em cada plataforma Filtramos essas vulnerabilidades com base nos recursos e pacotes instalados em nossas tr s constru es de sistema Para cada vulnerabilidade determinamos o tempo total decorrido entre a divulga o p blica da vulnerabilidade e a disponibilidade do patch que solucionou a vulnerabilidade Em se falando de contagem de vulnerabilidades o SQL Server 2000 na solu o do Windows apresentou uma vantagem n tida sobre as solu es do Oracle e MySQL constru das sobre o servidor Red Hat Linux Enquanto uma deve considerar a seguran a da plataforma subjacente para cada sistema de banco de dados implantado torna se ilustrativo checar as vulnerabilidades no software do pr prio servidor de banco de dados Esses dados apresentam uma vantagem pouco significativa ao SQL Server 2000 sobre o MySQL e Oracle No entanto interessante reparar que esses servidores de banco de dados est o em est gios diferentes de seus respectivos ciclos de vida O SQL Server 2000 utilizado desde 2000 ao passo que o Oracle obteve mais vers es freq entes com seu servidor de ba
16. 000 no Windows apresentados pelo tempo de soluc o Vis o Detalhada dos Ajustes Com Prazo de 90 Dias As tr s configura es consideradas possuem certas vulnerabilidades que tinham mais de 90 dias entre sua descoberta e a libera o de uma solu o Abaixo iremos detalhar essas vulnerabilidades para obter solu es analisadas SOL Server 2000 no Windows Server 2003 Existem dez vulnerabilidades solucionadas no per odo de um ano sob a considera o de que h mais de 90 dias de risco e destas cinco foram designadas pelo ICAT como sendo de severidade alta Das vulnerabilidades que restaram tr s foram designadas como de m dia severidade e duas n o passaram pelo processo de classifica o no momento da an lise Cinco dessas vulnerabilidades CAN 2005 0053 CAN 2004 0727 CAN 2004 0841 CAN 2003 1041 e CAN 2003 1048 estavam no navegador do Internet Explorer quatro estavam no sistema principal e uma no ASP NET MySQL no RHEL Houve vinte e nove vulnerabilidades solucionadas no per odo de um ano levando se em conta mais de 90 dias de risco e delas sete foram designadas pelo ICAT como sendo de severidade alta dezesseis como m dia tr s como baixa e tr s ainda n o passaram pelo processo classificat rio no momento do estudo Doze dessas vulnerabilidades estavam no kernel do sistema operacional O restante foi distribu do entre uma variedade de pacotes com o MySQL como o segundo maior ofensor atr s do kernel com sete
17. 4 741 Dias de Risco Desconhecida DER 490 1590 1290 Cumulativos 2015 8017 7150 Dias de Risco M dios Por Vulnerabilidade 31 98 38 73 61 64 Tabela 4 Resumo dos Dias de Risco para as tr s solu es estudadas Copyright O 2005 Security Innovation Inc Ap ndice A Metodologia Passo a Passo Nosso objetivo nas compara es quantitativas de vulnerabilidades deste documento foi de criar e seguir uma metodologia que estivesse clara para fornecer resultados significativos aos tomadores de decis o Neste ap ndice inclu mos um processo passo a passo para reconstruir os dados analisados neste relat rio assim como as m tricas dos resultados Abaixo est o os passos que podem ser seguidos para projetar a sua pr pria s rie de dados para an lise A Elabore uma planilha de vulnerabilidades do Windows Server 2003 a Segiiencialmente examine cada Boletim de Seguran a liberado pela Microsoft durante o per odo estudado n o contando com a lista de pesquisa do Boletim de Seguran a fornecida Os Boletins de Seguran a Microsoft e as vulnerabilidades solucionadas por eles est o em http www microsoft com technet security current aspx b Para cada Boletim leia e identifique se o Windows Server 2003 afetado Geralmente a Microsoft inclui uma tabela no Sum rio Executivo do boletim com uma linha para cada vulnerabilidade listada pelo Nome CVE e mostrando a severidade da Microsoft para cada plataforma afetada Para cada N
18. E AE FEAE FE E FE AE FE AE FE AE FE FE FE FE AE HE AE FE AE FE AE FE AE FE AE FE FE FE FE E HEHE 100
19. Os procedimentos de instala o sugeridos pela Oracle por outro lado favorece a riqueza do recurso ao solicitar uma interface gr fica composta por janelas e sugerindo a instala o dos pacotes do Red Hat como as Ferramentas do Desenvolvedor e outras que expandem a funcionalidade do servidor ao mesmo tempo em que aumenta a superf cie de ataque do sistema No SQL Server 2000 do caso do Windows Server 2003 consideramos uma instala o completa de todos os componentes que acompanham a plataforma Copyright O 2005 Security Innovation Inc A solu o do Windows trouxe mais de 63 vulnerabilidades se comparado s 116 no sistema do MySQL RHEL do Oracle RHEL No caso do Windows levamos em conta uma instala o completa do sistema operacional base o que significa que contamos todas as vulnerabilidades dos componentes do Windows Server estivessem ou n o instalados Para os outros casos contamos apenas aquelas vulnerabilidades que afetam os pacotes instalados nesses sistemas Uma olhada mais detalhada nos dados revela que o Internet Explorer tinha mais vulnerabilidades do que quaisquer outros componentes do Windows em seu per odo de estudo chegando a 16 dos 63 problemas de seguran a solucionados no SQL Server 2000 na solu o do Windows Server 2003 A Microsoft Pode se beneficiar com uma perspectiva da superf cie de ataque tornando seus futuros sistemas operacionais de servidor mais modulares para que os usu rios possam remove
20. Relat rio de Seguran a para Compara o de Fun es Fun o de Servidor de Banco de Dados Herbert H Thompson Ph D Fabien Casteran M Sc Junho de 2005 Bon 1990 W New Haven Ave Melbourne FL 32904 Tel 321 308 0557 Fax 321 308 0552 infoQsecurityinnovation com www securityinnovation com Copyright O 2005 Security Innovation Inc Sum rio Executivo Ao levar em conta a plataforma a ser implantada em uma empresa ou para designar uma fun o espec fica os tomadores de decis es da rea de TI sempre analisam um pequeno conjunto de crit rios como o pre o de compra a compatibilidade com as aplica es tecnologias existentes o custo de implanta o e manuten o Historicamente a seguran a sempre esteve ausente desta lista Em muitos casos no entanto o custo para as empresas que t m pouca seguran a e decis es de implanta o gerou outros custos tradicionalmente avaliados Tendo isso em mente o mercado precisa urgentemente de medidas objetivas quanto seguran a da plataforma que s o significativas em um contexto de implanta o Qualquer medida de seguran a significativa deve ser baseada em uma vis o hol stica de um sistema considerando tamb m a fun o que o sistema ir servir No in cio de 2004 pensamos em conduzir compara es importantes sobre a seguran a quanto s solu es de plataformas em uma variedade de fun es dos servidores Nossa primeira compara o levou em co
21. a a plataforma para a qual o patch ajustou totalmente a vulnerabilidade Se o patch precisou ser reemitido para consertar parte do problema de seguran a ser usada a ltima data x Os pacotes de documenta o n o ser o inseridos Isso se aplica apenas plataforma Red Hat xi 80x86 a nica arquitetura considerada para a plataforma Red Hat xii Presume se que os patches sejam instalados na ordem de libera o Os bugs funcionais s o apenas registrados como vulnerabilidades no caso de os patches apresentarem nos xiv Se uma vulnerabilidade possuir um ID nico mas est em pacotes diferentes da aplica o de diferentes patches tais vulnerabilidades devem ser contadas como o n mero de patches que se aplicam aos componentes instalados Por exemplo se uma vulnerabilidade tiver sido atribu da a um nico CAN ID mas tiver afetado duas aplica es separadas a e b e um patch tiver sido lan ado separadamente para a e b isso ser contado como duas vulnerabilidades Enquanto h apenas alguns desses incidentes em nossa an lise de dados acreditamos que este seja o tratamento mais cauteloso uma vez que m ltiplos patches e pontos de exposi o recorrem diretamente aos pontos fracos da seguran a do usu rio xv Se o fornecedor do produto n o participar ativamente do programa Mitre CVE consideramos a enumera o do pr prio fornecedor como a contagem de vulnerabilidades daquela aplica o Especificamente consideramos
22. a das organiza es Vulnerabilidades n o classificadas Enquanto o ICAT cont m classifica es de severidade para a maioria das vulnerabilidades no CVE h muitas que ainda permanecem sem classifica o As classifica es s o continuamente atualizadas no site e as informa es de classifica o deste estudo est o atualizadas desde 27 de Janeiro de 2005 Ao avaliar as estat sticas apresentadas adiante neste relat rio com rela o severidade sugerimos que voc trate as vulnerabilidades com a classifica o de Desconhecida com extremo cuidado pois elas t m o potencial para ser de severidade alta No caso da Oracle como n o existe um mapeamento direto de nomes CVE s vulnerabilidades individuais e uma vez que o ICAT indexa seu banco de dados pelos CVEs consideramos que todas as vulnerabilidades da Oracle tenham uma classifica o de Desconhecida Sobre o cuidado com as classifica es Ao examinar as vulnerabilidades h certa tend ncia de se ignorar ou subestimar aquelas classificadas como M dia ou Baixa errado pensar assim uma vez que j analisamos diversos ataques que exploraram vulnerabilidades classificadas como baixa para obter controle remoto total sobre uma m quina A combina o sin rgica das vulnerabilidades classificadas como baixas e m dias pode levar a uma exposi o da maior severidade Outro problema a severidade contextual da vulnerabilidade Os sistemas de classif
23. acle liberar suas atualiza es cr ticas na Ter a feira pr xima ao 15 dia de Janeiro Abril Julho e Outubro Embora a Red Hat afirme que h uma libera o agrupada de patches n o existe nenhuma indica o de dados s lidos ou ciclo de libera o que permita que o administrador do sistema programe os ciclos de gerenciamento do patch Capacidade Reversa do Patch No caso de um patch ruim que devasta um sistema ou simplesmente faz com que outras aplica es funcionem mal sua remo o pode ser garantida As duas plataformas permitem a remo o de patches indesejados no entanto os patches da Microsoft rastreiam os arquivos modificados e desinstalar um patch exige apenas a utiliza o do recurso padr o de instala o desinstala o do Windows e escolha por remover um patch Infelizmente essa capacidade n o uniformemente dispon vel para todos os softwares da Microsoft mas est dispon vel apenas com os patches do Windows Server A RPM ferramenta de gerenciamento de patch da Red Hat tamb m permite q remo o de patches no entanto de responsabilidade do usu rio especificar quais pacotes foram modificados pelo up2date Copyright O 2005 Security Innovation Inc A ferramenta up2date pode relacionar esses pacotes usando listas rollbacks na linha de comando A Oracle permite a revers o do patch atrav s de sua ferramenta de linha de comando do opatch Os usu rios devem fornecer o n mero de ID de pat
24. ado de um ano foi uma m dia de 0 417 vulnerabilidade por m s muito semelhante taxa do MySQL Oracle 10g Nos 12 meses estudados o Oracle 10g contribuiu com 30 vulnerabilidades para a fun o do servidor de banco de dados ou de aproximadamente 2 5 por m s o que tamb m representa o total encontrado no final de Fevereiro de 2005 uma vez que o Oracle 10g foi lan ado em Fevereiro de 2004 Este resultado fornece uma m dia de 2 3 vulnerabilidades por m s uma taxa um pouco maior do que a MySQL ou SQL Server 2000 Copyright O 2005 Security Innovation Inc Houve ainda alguns outros desafios referentes an lise das vulnerabilidades do Oracle 10g se comparado ao Red Hat ou Microsoft As 30 vulnerabilidades ajustadas no Oracle 10g foram identificadas nos alertas de seguran a encontre os em http www oracle com technology deploy security alerts htm da Oracle conforme segue Alerta 68 Atualiza o de Seguran a Oracle identificou as vulnerabilidades que afetaram o 10g como usando dados da Oracle DB01 DB02 DBOS DB08 DB09 DB10 DB11 DB12 DB13 DB14 DB15 DB16 DB20 DB22 DB24 DB25 DB26 DB27 e DB28 para um total de 19 vulnerabilidades solucionadas Atualiza o Cr tica de Patch em Janeiro de 2005 identificou vulnerabilidades que afetaram o 10g como DB03 DB06 DBO7 DBO8 DB09 DB11 DB12 DB13 DB14 DB15 e DB16 para um total de 11 vulnerabilidades solucionadas Esses alertas n o fornecem informa es
25. aiores vulnerabilidades no per odo de 12 meses da seguinte forma 1 P gt 4 5 m nima SOL Server 2000 SP3 no Windows Server 2003 Oracle no Windows Server 2003 MySQL no Red Hat Enterprise Linux 3 ES constru o m nima Oracle no Red Hat Enterprise Linux 3 ES construc o m nima maior Oracle no Red Hat Enterprise Linux 3 ES Instru es de instala o do Oracle Esses resultados mostram que o Oracle na solu o Windows apresentou menos vulnerabilidades que o Oracle na solu o Linux mas que o SQL Server no Windows apresentou menos vulnerabilidades por uma margem significativa m Database m Server OS windows Semer 2003 Windows Sener 2003 RHEL3 MySQL RHEL3 Oracle 109 RHEL 3 Oracle 109 F SQL Server 2000 f Oracie 10g minimum theoretical minimum Oracie guide Figura 2 Varia es do Banco de Dados e Plataforma 5 Os n meros do Oracle para a configura o m nima do Red Hat presumem que possamos executar o Oracle efetivamente ap s remover os componentes recomendados de instala o O verdadeiro n mero de vulnerabilidades portanto um pouco maior do que os dados mostrados no gr fico apresentado Copyright O 2005 Security Innovation Inc Discuss o sobre Dias de Risco Cumulativos e M dios Em nossas m tricas referimo nos a dias de risco cumulativos e m dios Cada um deles importante de ser considerado pois oferece alguma id ia na seguran a central do usu rio quanto solu
26. amento e ao seu custo associado os usu rios ir o apenas instalar vers es dos componentes do OS garantidos e liberados pelo fornecedor do OS para que seu contrato de suporte permane a v lido Espera se que o servidor de banco de dados acomode uma grande rea de componentes interfaces de aplica es e plataformas e forne a dados de alto desempenho de forma robusta e confi vel Copyright O 2005 Security Innovation Inc Os diferentes componentes do servidor de banco de dados devem ser compat veis e facilmente integrados O sistema de gerenciamento do banco de dados deve ser capaz de executar consultas simples e complexas de forma r pida e confi vel Ao levar em conta a seguran a relativa de diferentes solu es importante n o apenas considerar o que est instalado mas tamb m como est instalado Assim os recursos padr es de seguran a essencialmente o contexto em que uma fun o implantada s o importantes quando se considera a viabilidade de seguran a em longo prazo de uma solu o Entre as informa es contextuais importantes com rela o seguran a est o Portas abertas na implanta o padr o configurada Usu rios e seus privil gios Outros aplicativos que podem modificar o comportamento com rela o s vulnerabilidades Tecnologia que reduz a vulnerabilidade de um sistema ex prote o contra estouro de buffer Considera es ambientais como em um servidor que satisfaz
27. as vulnerabilidades do Oracle conforme enumeradas pelos boletins de seguran a da Oracle Uma vez que tais vulnerabilidades n o ter o classifica o independente de severidade ICAT ou CERT consideramos que todos os problemas estejam com classifica o de nenhuma na escala de severidade do ICAT Para compilar os dados em um local centralizado criamos um banco de dados que foi preenchido usando fontes diferentes e consolidadas utilizando nomes de identifica o do CVE em que os identificadores de fornecedores est o dispon veis Criando esse banco de dados temos a capacidade de pesquisar facilmente qualquer tipo de dados vulnerabilidades e patches baseados em uma quantidade de crit rios diferentes como a implica o da vulnerabilidade fun o ou dias de risco Lista Mitre CVE Em nossa an lise geralmente nos referimos ao CVE ou identificador CAN de uma vulnerabilidade CVE significa Common Vulnerabilities and Exposures sendo uma taxonomia que pretende padronizar a nomenclatura para todas as vulnerabilidades e exposi es publicamente conhecidas Inicialmente as vulnerabilidades s o atribu das a um n mero do candidato CAN Esses candidatos s o ent o examinados pelo Conselho Editorial da CVE composto de especialistas do mercado em que uma decis o tomada para inclus o no CVE O CVE mantido pela Mitre Corporation uma organiza o sem fins lucrativos que desempenha pesquisas e an lises independentes para o G
28. atrav s de canais de assinatura na Rede do Red Hat No entanto a atualiza o autom tica do Windows agora tamb m atualiza aplica es instaladas no sistema operacional incluindo o SQL Server 2000 Al m disso a Microsoft possui outras ferramentas dispon veis para o gerenciamento de patch que pode controlar outros produtos Microsoft em uma ferramenta centralizada SUS WUS Software Update Services Windows Update Services e SMS 2003 System Management Server 2003 permitindo maior flexibilidade Com o lan amento do 10g a Oracle oferece sua ferramenta do Enterprise Manager que automatiza a notifica o e entrega dos patches da Oracle atrav s de uma conex o com um site de suporte do Oracle s MetaLink O Enterprise Manager tamb m pode ser configurado para notificar os administradores sobre a disponibilidade do patch com base em seus produtos implantados e vers es permitindo que os administradores programem implanta es de forma centralizada Libera o do Patch Agrupamento Os tr s fornecedores adotaram uma diretiva de patches agrupados para libera o A diretiva da Microsoft agrupa patches em um ciclo mensal a Oracle libera suas Atualiza es Cr ticas de Patch a cada tr s meses e a Red Hat produz erratas sempre que poss vel mas geralmente libera patches de seguran a conforme o necess rio Mais especificamente a diretiva da Microsoft de liberar patches na primeira Ter a feira de cada m s a da Or
29. c 1 Nome do CVE ex CAN 2004 1028 ii Identificador da Pesquisa de Seguran a ex RHSA 2005 010 iii Data da Pesquisa de Seguran a Solu o iv Cada pacote diagnosticado C Elabore uma planilha de vulnerabilidades do Oracle 10g a Seq encialmente examine cada pesquisa de seguran a do Oracle para o 10g liberado pela Oracle durante o per odo estudado As pesquisas de seguran a do e as vulnerabilidades solucionadas por eles est o em http www oracle com technology deploy security alerts htm b Para cada pesquisa de seguran a leia e confirme se o Oracle 10g foi afetado O identificador de vulnerabilidade geralmente listado como DBNN em uma tabela pr xima ao final do documento Examine a coluna ltima S rie de Patch Afetada para determinar se a vulnerabilidade se aplica ao 10g c Para cada vulnerabilidade preencha as colunas que seguem Note que uma pesquisa que soluciona diversas vulnerabilidades resulta m ltiplas linhas i Identificador da vulnerabilidade ii Identificador da Pesquisa de Seguran a ex Alert 68 iii Data da Pesquisa de Seguran a Solu o d Manualmente procure por refer ncias cruzadas aos identificadores CVE OBSERVA O este passo dif cil sendo necess rio apenas para os c lculos dos Dias de Risco as contagens de vulnerabilidades podem ocorrer sem eles D Re na informa es para Calcular os Dias de Risco a Para cada Nome CVE das planilhas do respectivo servi
30. ch espec fico da plataforma inclu do no arquivo leiame do patch Enquanto a ferramenta Oracle Enterprise Manager n o suporta diretamente a revers o do patch o processo automatizado com execu o remota de script por meio do Enterprise Manager Copyright O 2005 Security Innovation Inc Conclus es Toda vez que implantamos uma nova tecnologia na empresa pensamos em termos de complementar uma quest o corporativa estrat gica Em lugar nenhum isso mais verdadeiro do que no gerenciamento de dados em que os bancos de dados relacionais transformam vastas quantidades de dados em informa es que potencializam os neg cios Um dos principais desafios que existem diversas tecnologias diferentes plataformas e solu es que podem satisfazer uma s rie de requisitos corporativos e toda solu o tem um custo Alguns desses custos como o pre o de compra s o f ceis de analisar mas outros como o custo da exposi o a partir de falhas latentes nos sistemas s o muito mais complexos Neste relat rio estudamos tanto os dados quantitativos como os qualitativos que afetam as vulnerabilidades e assim o risco de seguran a operacional das diferentes plataformas de um servidor de banco de dados Esses resultados fornecem certos aspectos adicionais da seguran a do sistema a ser considerada ao se tomar decis es Mais especificamente para a fun o do servidor de banco de dados consideramos tr s configura es Microsoft SQL Server 2
31. ciando a solu o e ativamente projetando rela es com novos pesquisadores de seguran a Os dados do Red Hat mostram provas do levantamento da diretiva de divulga o de responsabilidade com diversos dias de risco zero Isso ajuda a controlar as m dias de forma a reduzir diretamente o risco do cliente De forma qualitativa descrevemos diversos fatores que finalmente conduzem a viabilidade de uma solu o espec fica no que se refere seguran a Enquanto esses aspectos de uma solu o podem ser dif ceis de ser considerados de maneira quantitativa est claro que eles desempenham uma fun o de determinar o grau de facilidade para que a seguran a possa ser gerenciada e mantida surtindo impacto direto no risco geral Cada organiza o precisa levar em considera o esses fatores qualitativos assim como as m tricas que podem ser atribu das a um grande n mero ao se tomar uma decis o de implanta o Na compara o como pesquisadores da seguran a sabemos que as solu es de banco de dados da Microsoft Oracle e do mundo do c digo aberto executado tanto na plataforma Red Hat como na Microsoft podem ser usadas para fornecer uma solu o segura quando implantada e administrada com os conhecimentos apropriados e sob as pol ticas corretas Analisando os fatores de seguran a do software que todo fornecedor tem a capacidade de afetar diretamente no entanto como a qualidade e resposta de seguran a de um software dos tr s
32. compat db compat gece X compat gcc c compat libstdc compat libstdc devel Ex rpm q gcc make binutils openmotif setarch compat db compat gcc gt openmotif compat gcc c compat libstdc compat libstdc devel gCce 3 2 3 20 make 3 79 1 17 binutils 2 14 90 0 4 26 openmotif 2 2 2 16 setarch 1 3 1 package compat db is not installed compat gcc 7 3 2 96 122 compat gcc c 7 3 2 96 122 compat libstdc 326122 compat libstdc devel 7 3 2 96 122 Observe que o pacote compat db n o est instalado Este pacote n o est dispon vel em nenhum dos grupos dispon veis durante a instala o e deve ser instalado separadamente Se alguma outra vers o do pacote estiver faltando em seu sistema ou as vers es s o mais antigas do que as especificadas acima que n o seja o compat db voc pode baixar e instalar as atualiza es da Rede do Red Hat Instalando o compat db Insira o CD2 da m dia original do Red Hat Enterprise Linux Este pacote n o foi atualizado desde a Atualiza o 2 sendo encontrado apenas na m dia original O CD executado automaticamente Execute o seguinte comando como raiz rpm ivh mnt cdrom RedHat RPMS compat db 4 0 14 5 1386 rpm Ex rpm ivh mnt cdrom RedHat RPMS compat db 4 0 14 5 1386 rpm Copyright O 2005 Security Innovation Inc Preparing FEAE FE AE FE AE FE E FE FE AE FEAE FE EEE EEE 100 1 compat db FEAE FE AE FE AE AE E FE F
33. damos presumimos que os sistemas s o completamente diagnosticados para a data do estudo Por exemplo ao olhar para o per odo de 1 de Mar o de 2004 at 28 de Fevereiro de 2005 presumimos que todos os patches da data inicial de nosso per odo tenham sido implantados em ambos os sistemas A primeira data ou descoberta p blica aquela em que a vulnerabilidade foi lan ada pela primeira vez em uma lista ou site p blico Bugtraq Red Hat Microsoft Full disclosure k otik etc dedicado seguran a ou a uma lista acess vel p blica de bugs ou problemas reportados pelo site dom stico de um pacote ou sua lista de mensagens N o consideramos p blicas as discuss es sobre o fornecedor sec Linux E tamb m n o consideramos discuss es sobre o bugzilla como descoberta p blica vii As datas dos patches s o baseadas na libera o da distribui o de interesse viii As datas de libera o para o patch ou ajuste da vulnerabilidade s o espec ficas distribui o arquitetura Caso o ajuste de um componente ex libpng seja liberado em 01 01 1970 para certa distribui o do Linux ex Gentoo Linux e um ajuste para o mesmo problema seja lan ado para o Red Hat em 10 01 1970 a data de libera o deste ajuste no Red Hat ser 10 01 1970 Isso n o se aplica plataforma Windows ix Para os problemas antigos a data de libera o de um patch o primeiro relat rio publicado pelo fornecedor que inclua o patch par
34. dor analise as refer ncias listadas em http cve mitre org Por exemplo os detalhes da CAN 2004 0021 est o relacionados em http www cve mitre org cgi bin cvename cgi name CAN 2004 0021 b Siga cada refer ncia examinando a data de publica o da p gina da Web referenciada que tornou a quest o p blica Digite a data mais antiga na planilha como Primeira data P blica e a URL na planilha como Primeira refer ncia P blica c Para as entradas dos bancos de dados com bugs a entrada mais antiga n o deve ser publicamente leg vel ao ser digitada Primeiro verifique a pol tica do servidor do bug para ver se as entradas est o sempre p blicas Se n o verifique uma entrada apresentando que a indica o de privacidade foi alterada para tornar o bug publicamente vis vel d Uma vez que a lista do CVE n o garante a captura da primeira refer ncia p blica embora ela o fa a verifique as refer ncias com qualquer refer ncia listada D Observe que este um passo de nova metodologia adicionado libera o deste relat rio para acomodar as vulnerabilidades no software do c digo aberto que foi mantido privado por meio do gerenciamento de bugs para depois se tornar p blico Nossa metodologia considera a data p blica como uma divulga o p blica do bug Copyright O 2005 Security Innovation Inc Na pesquisa de seguran a do Boletim Se uma refer ncia p blica mais atual for encontrada utilize a ass
35. dor que pode assumir diferentes fun es incluindo a fun o de servidor de banco de dados A plataforma Windows Server 2003 muito bem suportada por uma empresa estabelecida que leva a consolidada marca do Microsoft Windows Sendo assim ele fornece estabilidade suporte e gerenciamento para uma implanta o comercial Para a plataforma Microsoft Windows Server 2003 sob a fun o de servidor de banco de dados tem se a seguinte configura o Servidor de banco de dados SQL Server 2000 Service Pack 3 O SQL Server 2000 o servidor de banco de dados da Microsoft Ele inclui todos os recursos que algu m pode esperar de um servidor de banco de dados al m das funcionalidades atribu das para aumentar a usabilidade e o desempenho Iremos analisar o SQL Server 2000 SP3 a vers o disponibilizada quando o Windows Server 2003 acompanhou o 2003 Requisitos Comparar a seguran a de um servidor baseado em uma an lise que leva em considera o todos os problemas de seguran a reportados em todas as aplica es que devem ser instaladas neste sistema operacional n o algo nem realista e nem til para os tomadores de decis o Na verdade poucos usu rios possuem todos os componentes de servidor instalados ou sendo executados em seus sistemas Assim o foco deste relat rio comparar a seguran a dos sistemas configurados na fun o do servidor de banco de dados uma vez que isso muito mais representativo para os cen rios do mundo
36. e n o permite tr fego no sistema por padr o As diretrizes de instala o do Oracle recomendam desativar o firewall durante o procedimento de instala o para fins de teste O software do up2date que baixa automaticamente as atualiza es para o sistema instalado por padr o Enquanto o up2date gerencia os patches suportados pelo Red Hat os administradores ainda gerenciam as atualiza es do Oracle SQL Server 2000 no Windows Server 2003 Vis o Geral da Instala o A instala o do Windows Server 2003 conduzida por assistente sendo muito objetiva A configura o padr o n o instala aplicativos sup rfluos Ao final da instala o outro assistente automaticamente notifica o usu rio sobre a configura o de uma fun o para o servidor Copyright O 2005 Security Innovation Inc Recursos consider veis da seguran a O firewall instalado mas deve ser habilitado e ent o n o permite tr fego no sistema O SQL Server 2000 comunica o TCP IP usando a biblioteca de rede de sockets O servi o autom tico de atualiza o do Windows instalado e executado por padr o Desde a data de publica o deste relat rio essa ferramenta agora gerencia as atualiza es s aplica es instaladas no Windows Server 2003 incluindo o SQL Server 2000 Resultados da Contagem de Vulnerabilidades Apenas o Software de Banco de Dados Antes de analisar o funcionamento geral dos servidores de banco de dados vamos primeiro exami
37. e permite que o servidor funcione na fun o do Servidor de Banco de Dados Durante a instala o a senha de boot est desativada por padr o O Mysal server n o est atualmente nos CDs do RHEL portanto baixamos este m dulo e o instalamos ap s completar o restante da instala o Recursos consider veis de seguran a Durante a instala o da plataforma um firewall instalado e n o permite tr fego no sistema por padr o O firewall um simples firewall de entrada bloqueando o tr fego de chegada ao sistema mas sem fazer nada para a sa da O software up2date que baixa automaticamente as atualiza es para o sistema est instalado por padr o Durante a instala o o assistente pergunta que tipo de tr fego deve ser desbloqueado pelo firewall Oracle 10g no Red Hat Enterprise Linux Vis o Geral da Instala o A instala o da plataforma Red Hat Enterprise Linux conduzida por assistente sendo muito amig vel O Oracle apresentou diretrizes precisas de instala o recomendadas para o 10g no Red Hat Enterprise Linux 3 que est o detalhadas no Ap ndice B deste relat rio interessante notar que o sistema resultante possui muito mais componentes de OS dos suplementos do que a constru o do MySQL O sistema do Oracle por exemplo inclui o X Windows Gnome o Mozilla e muitos outros pacotes adicionais Recursos consider veis da seguran a Durante a instala o da plataforma um firewall instalado
38. e trilha de auditoria Alguns dos problemas qualitativos mais importantes s o relacionados nas se es que seguem essa lista n o exaustiva e n o deve ser compreendida como uma rela o abrangente dos recursos referentes seguran a No lugar disso ela destaca os recursos que est o prontamente medidos por um cliente bem informado Prote o da Porta Firewall Ambos os fornecedores oferecem suporte a um firewall por padr o Os dois aplicativos de firewall s o b sicos e baseados em tabelas de IP O firewall instalado por padr o nas duas plataformas bloqueando todas as solicita es de chegada quando executado Para o Red Hat Enterprise Linux 3 o firewall est habilitado por padr o J no Windows Server 2003 ele deve ser manualmente ativado O ICF Firewall de Conex o Internet na plataforma do Windows Server 2003 desempenha fun es b sicas podendo ser configurado para bloquear com sucesso as conex es ou pacotes com falhas As configura es do ICMP podem ser usadas para permitir que o servidor comunique as informa es de status da rede As configura es padr es do ICMP desabilitam a maioria das comunica es do ICMP exceto as solicita es de eco de ICMP de sa da O software iptables no servidor do Red Hat possui uma interface baseada em texto N vel de Seguran a que permite a configura o b sica do firewall i e habilitar ou desabilitar o firewall permitindo conex es para um n mero
39. ecurity Innovation Inc Os Alertas de Seguran a da Oracle foram aprimorados no ano passado mas fornecem muito menos detalhes quanto s vulnerabilidades solucionadas A Oracle fornece pequenos resumos das quest es individuais de seguran a solucionadas em formato tabular fornecendo tamb m uma instru o de pr condi o para a capacidade de explora o 1 2 para cada vulnerabilidades Um dos maiores desafios do cliente empresarial no entanto ligar as informa es dos boletins dos fornecedores com as fontes externas de informa es que podem fornecer uma id ia sobre o perfil da amea a e os verdadeiros riscos Isso pode certamente ser aprimorado pela participa o ativa do Oracle no programa Mitre CVE e sua inclus o nos nomes CVE para vulnerabilidades em seus boletins como o Red Hat e a Microsoft fazem Divulga o do Impacto do Patch Uma preocupa o importante dos administradores de sistema que um patch pode corromper a funcionalidade de outra aplica o s vezes nem relacionada que est sendo executada no sistema Isso pode ser causado por incompatibilidades ou tempos de parada referentes a reinicializa es durante o processo de instala o do patch Algumas preocupa es geralmente fazem com que os administradores atrasem a implanta o de patches enquanto sua valida o ocorre aumentando portanto o tempo durante o qual os sistemas est o vulner veis mas diminuindo as chances de o patch ter efeitos cola
40. eira usar ou ativar a conta da sua Rede do Red Hat agora aceite o padr o clique em Next e siga as instru es de ativa o do produto que acompanham o Red Hat CDs adicionais o Clique em Next Conclua a configura o o Clique em Next Aparecer uma tela gr fica de login Parab ns Seu software do Linux est instalado Verificando Sua Instala o Se voc concluiu os passos acima deve ter todos os pacotes e atualiza es exigidos pelo Oracle Database 109 No entanto pode executar alguns passos para verificar a sua instala o Vers o kernel requerida 2 4 21 4 EL a vers o kernel que vem com a libera o base do RHEL3 Este kernel ou qualquer outro fornecido nas atualiza es funciona com o Oracle Database 109 Verifique a vers o do seu kernel executando o seguinte comando uname To EX E t uname r 2 4 21 4 0 1 ELsmp Copyright O 2005 Security Innovation Inc Outras vers es exigidas do pacote ou superiores gcc 3 2 3 2 make 3 79 binutils 2 11 openmotif 2 2 2 16 setarch 1 3 1 compat gcc 7 3 2 96 122 compat gcc c 7 3 2 96 122 compat libstdc 7 3 2 96 122 compat libstdc devel 7 3 2 96 122 compat db 4 0 14 5 listado no Manual de Instala o do Oracle 10g Database como exigido mas n o necess rio aqui Para ver as vers es que est o instaladas desses pacotes em seu sistema execute os seguintes comandos como ra zes rpm q gcc make binutils openmotif setarch
41. ente a nica parte da informa o que os administradores de sistema utilizam para tomar decis es a respeito da implanta o de patch a partir de uma perspectiva de gerenciamento de riscos Portanto importante que as pesquisas contenham informa es para que essas pessoas sejam capazes de tomar decis es bem informadas e contextualmente relevantes As pesquisas do Red Hat veja https rhn redhat com errata rhel3as errata security html s o muito sucintas e cont m uma breve descri o sobre as vulnerabilidades solucionadas A pesquisa cont m pouca informa o sobre o contexto em que uma vulnerabilidade est presente N o h informa es sobre patch a n o ser que o n mero da vers o do arquivo n mero do patch seja fornecido Os boletins de seguran a da Microsoft cont m dados sobre os fatores solucionados poss veis demonstra es consequ ncias do patching e uma descri o do processo de patching veja http www microsoft com technet security current asp para conferir os Boletins de Seguran a da Microsoft As pesquisas cont m tamb m informa es sobre o escopo e as consequ ncias da vulnerabilidade incluindo uma extens o aos danos que podem ocorrer Al m disso elas incluem informa es sobre todos os arquivos que ser o modificados 15 https www redhat com apps support 7 http support microsoft com default aspx scid fh 5BIn 5D LifeWin 8 http www oracle com support policies html Copyright O 2005 S
42. erabilidades semelhantes que afetam o Mozilla n o contar o pontos contra a constru o do MySQL no RHEL 3 Em nosso estudo implantamos o software e validamos fisicamente as configura es Para analisar a seguran a levamos em conta tanto as m tricas quantitativas como as qualitativas Nossa an lise ir ent o avaliar as tr s solu es em ambas as frentes assim como ir examinar parte as aplica es de banco de dados Descri o e Introdu o das M tricas Quantitativas Historicamente as compara es de seguran a entre plataformas foram desempenhadas em dados prontamente dispon veis e quantitativos Tais compara es foram apenas consideradas boletins de seguran a ou pesquisas de seguran a emitidas pelos fornecedores Enquanto as pesquisas s o populares poucas provas existem para suportar sua inutilidade em tomar decis es de implanta o referentes seguran a uma vez que os fornecedores controlam quantas vulnerabilidades devem ser emitidas por uma nica pesquisa Esses boletins de pesquisa portanto n o representam a qualidade subjacente de seguran a dos produtos a menos que um cuidado extra seja tomado para assegurar que o comportamento do fornecedor seja semelhante Por exemplo o SuSE Enterprise Linux e o Red Hat Enterprise Linux possuem um alto n vel de correla o entre os componentes No entanto embora ambos os ajustes sejam semelhantes de vulnerabilidades principais dos componentes ex
43. fornecendo s aplica es o acesso s informa es de uma forma organizada e til Para suprir as demandas corporativas tais servidores devem encontrar um grande espectro de requisitos de usu rio Tipicamente os servidores de bancos de dados interagem tanto com a internet e a intranet lidando com os componentes e portanto a necessidade pela seguran a e toler ncia a falhas alta Al m do sistema operacional de hospedagem para a fun o do servidor de banco de dados n s precisamos de uma aplica o de servidor e um software que suportem a criptografia dos dados transmitidos Suporte para SSL Criptografia Acreditamos que para fins de seguran a e privacidade uma fun o t pica de servidor de banco de dados precise de uma implementa o s lida de tecnologia de criptografia em particular um suporte deve existir para os padr es aceitos como o SSL e o TLS para a transmiss o de dados Copyright O 2005 Security Innovation Inc Isso importante para proteger os dados sens veis durante a transfer ncia entre o cliente e o servidor ou entre as camadas de aplica o O servidor de banco de dados O servidor de banco de dados respons vel pelo armazenamento e recupera o din mica das informa es O servidor deve fornecer uma grande s rie de interfaces para interagir com outros servidores como os servidores de aplica es de arquivo e impress o e outros sistemas Ele deve por exemplo ser equipado para contro
44. i o de um identificador CVE os produtos de Detec o e Limpeza de Intrusos geralmente usados compat veis com CVE n o necessariamente encontrar o e reportar o as vulnerabilidades Por outro lado essa taxa de complexidade parece dificultar tamb m para os atacantes uma vez que poucos detalhes foram descobertos a respeito das vulnerabilidades Fun o do Servidor de Banco de Dados OS do Servidor e Software de Banco de Dados A tabela que segue resume nossas descobertas com rela o contagem de vulnerabilidades da instala o analisada Copyright O 2005 Security Innovation Inc Severidade Windows Server RHEL ES 3 Oracle RHEL ES 2003 SQL Server 10g 3 MySQL 2000 3 23 58 Alta 27 73 41 M dia 18 63 49 Bena 0 10 8 Desconhecida 18 i Total 63 207 116 Tabela 1 Contagem de vulnerabilidades para a compara o de tr s solu es Total Vulnerability Count of Vulnerabilities 50 0 Window s Server RHEL 3 Oracle RHEL MySQL 2003 SOL 109 Server 2000 Platforms Figura 1 Contagem de vulnerabilidades para 2004 considerando se tr s configura es Esta tabela inclui as vulnerabilidades de todos os softwares instalados na plataforma pelos procedimentos de instala o descritos na se o anterior A Figura 1 representa graficamente esses resultados No caso da solu o do MySQL RHEL fizemos um grande levantamento da modularidade do Linux para criar um sistema com componentes minimamente instalados
45. ica o como o ICAT atribuem r tulos de severidade baseados em seu impacto potencial ou aplica o separadamente Essas classifica es oferecem uma id ia m nima no impacto de uma vulnerabilidade em uma solu o implantada Por exemplo as prote es como o firewall baseado em host podem significar que um sistema espec fico n o esteja vulner vel a certas exposi es classificadas como altas 13 As informa es s o obtidas s o tiradas da documenta o oficial do ICAT encontrada em http icat nist gov icat documentation htm 14 A Oracle publicou um mapeamento dos nomes CVE que foram externamente atribu dos a algumas vulnerabilidades listadas nos alertas de seguran a em http www oracle com technology deploy security pdf public vuln to advisory mapping html Esses nomes CVE representam apenas um subconjunto dos problemas e n o h mapeamento direto de nomes CVE para as vulnerabilidades espec ficas enumeradas nos boletins Copyright O 2005 Security Innovation Inc Enquanto as classifica es contextuais podem apresentar a prioriza o da implanta o de patches em uma organiza o importante lembrar que as configura es est o constantemente em fluxo e a prote o contextual apenas tempor ria As vulnerabilidades devem ser fixadas em sua raiz para realmente limitar a exposi o durante o tempo Outro aspecto a ser considerado que uma simples vulnerabilidade pode ser aplicada a m ltiplos sistema
46. iginalmente aplicamos essa metodologia fun o do Web Server em um relat rio lan ado em Mar o de 2004 que se concentra nas fun es projetadas no Windows Server 2003 e o Red Hat Enterprise Linux O relat rio atual limita se aos resultados dessas mesmas plataformas na fun o do Servidor de Banco de Dados Enquanto os dois relat rios analisam as mesmas plataformas eles seguem uma metodologia gen rica que poderia ser aplicada a outros produtos fornecedores e fun es de servidor Embora analisemos a vers o ES do Red Hat Enterprise Linux 3 os pacotes instalados na vers o AS s o muito semelhantes plataforma para poder ser feita uma compara o gt Fonte relat rio do IDC Ambientes Operacionais do Linux no Mundo Todo 2004 2008 Previs o e An lise Produtos Empresariais de Olho no Futuro Dezembro de 2004 Uma vez que este estudo foi conclu do o Red Hat lan ou o Red Hat Enterprise Linux 4 Confira a Observa o de An lise abaixo para mais detalhes Copyright O 2005 Security Innovation Inc Red Hat Enterprise Linux ES 3 O Red Hat l der mundial de solu es de c digo aberto empresarial Devido sua forte posi o no mercado de solu es empresariais do Linux o Red Hat o melhor representante dos distribuidores de c digo aberto e o candidato favorito para essas an lises Entre as solu es encontra se o Red Hat Enterprise Linux ES 3 que a solu o empresarial que o Red Hat recome
47. im como a data mais atual e Al m disso busque na Internet e nos grupos de not cias mais comuns uma discuss o p blica da vulnerabilidade da seguran a e utilize os dados e refer ncias caso encontrados f Adicione uma coluna s planilhas chamadas Dias de Risco e subtraia a Primeira Data P blica da Data do Boletim solu o para calcular os dias de risco daquela vulnerabilidade E Para a planilha do WS2003 e RHEL3ES adicione a rela o de severidade do ICAT a Baixe o ltimo ICAT Metabase de http icat nist gov icat cfm b Para cada Nome CVE nas planilhas do servidor digite um valor da coluna de ALTA M DIA BAIXA ou INDESEJADA F Para a planilha RHEL3ES crie uma planilha para cada fun o do servidor a Instale e elabore um sistema de RHEL3AS na configura o que est sendo estudada ex fun o do servidor da web Use o comando rpm qa para verificar cada pacote que foi diagnosticado com alguma pesquisa de seguran a durante o per odo Ap s concluir os cinco passos acima voc deve fazer as planilhas capturarem a lista de vulnerabilidades para cada fun o da plataforma e servidor para certo per odo juntamente com a classifica o da severidade primeira data de publica o primeira refer ncia p blica e c lculo dos dias de risco A partir disso voc pode calcular as contagens os totais e as m dias se desejar Copyright O 2005 Security Innovation Inc Ap ndice B
48. lar uma conex o ODBC e receber e responder s consultas do SQL Uma Plataforma de Servidor Examinar um servidor de banco de dados em isolamento a partir de um sistema operacional subjacente seria ignorar a base que suporta a fun o do banco de dados Um banco de dados seguro perfeitamente instalado em uma plataforma insegura n o ser capaz de manter sua seguran a Portanto devemos levar em conta a seguran a total da solu o em nossas an lises e depois incluir os problemas da plataforma Neste estudo n s analisamos especificamente o Windows Server 2003 e o Red Hat Enterprise Linux 3 Plataformas Comparadas Em nossa an lise escolhemos plataformas para comparar o que seria mais significativo aos clientes Tendo se o alto n vel de interesse no Windows versus Linux escolhemos a mais recente vers o do software de servidor do Windows o Microsoft Windows Server 2003 e o Red Hat Enterprise Linux 3 Notamos que h muitas distribui es diferentes do Linux que poder amos selecionar mas os relat rios mais recentes de analistas indicam que os clientes corporativos est o optando muito mais pelo Red Hat ou SuSE nos ambientes de produ o Dessa forma selecionamos o Red Hat para estes testes pois ele l der em distribui o Al m disso devido forte posi o desta solu o no mercado o Red Hat vem sendo o melhor representante dos distribuidores de c digo aberto e o candidato preferido em nossas an lises Or
49. lha completa de servidor necess ria para preencher uma fun o de banco de dados nosso estudo encontrou um total de 63 vulnerabilidades para a solu o baseada em SQL Server 2000 no Windows Server 2003 comparando se com as 116 vulnerabilidades para a configura o m nima do MySQL no Red Hat Enterprise Linux e 207 vulnerabilidades para a solu o do Red Hat Enterprise Linux executada no Oracle Al m disso ao examinar os dias de risco tempo intermedi rio em que uma vulnerabilidade publicamente desvendada at quando um patch liberado pelo fornecedor da vulnerabilidade encontramos uma m dia de 32 dias de risco por vulnerabilidade da solu o do Windows Server 2003 com o SQL Server 2000 61 6 dias por vulnerabilidade da solu o Linux com o MySQL e 38 7 dias de risco para a solu o Linux executando o Oracle Esperamos que os resultados deste estudo forne am instru es valiosas para o gerente de TI que deve fazer a aquisi o da plataforma e as decis es de implanta o para maximizar o valor e minimizar o risco de seguran a Escopo da An lise Para obter uma vis o completa dos Riscos de Seguran a uma pessoa deve levar em conta dois importantes fatores Vulnerabilidade do software sistemas ou redes onde for apropriado Amea as contra essas vulnerabilidades Desses dois fatores nossa experi ncia pr pria nos leva a crer que o ltimo mais dif cil de se quantificar ou prever de maneira objetiva
50. m 8 Configura o de Particionamento de Disco o Um tratamento completo da parti o de disco est al m do escopo deste manual que sup e que voc seja familiarizado com os m todos de particionamento de disco CUIDADO Particionar incorretamente um disco uma das maneiras mais claras e r pidas de destruir tudo o que estiver em seu disco r gido Caso voc n o tenha certeza de como proceder pare e pe a ajuda ou ir se arriscar a perder seus dados Este manual utiliza o seguinte esquema de particionamento com o ext3 para cada filesystem O disco de 9GB no primeiro controlador dev sda ir suportar todos os softwares do Linux e Oracle contendo as seguintes parti es 100MB parti o de boot 1 500MB parti o de troca Defina a a no m nimo duas vezes da quantidade de RAM Copyright O 2005 Security Innovation Inc No sistema mas n o a mais de 2GB os sistemas de 32 bits n o suportam arquivos de troca com mais de 2GB Caso voc precise de mais 2GB de espa o de troca crie m ltiplas parti es de troca 7 150MB de parti o raiz Essa parti o ser usada para tudo incluindo usr tmp var opt home e mais Isso foi feito apenas para simplificar a instala o para fins deste manual Um esquema de particionamento mais robusto iria separar esses diret rios em filesystems isolados 9 Configura o Mais Carregada de Boot o Aceite o padr o 10 Configura o da Rede o geralmente
51. melhor configurar os servidores de banco de dados com um endere o IP est tico Para isso clique em Edit o Uma janela de pop up aparece Desmarque a caixa Configure using DHCP e digite um endere o IP e uma M scara de Rede para o servidor Veja se a op o Activate on boot est selecionada e clique em OK o Na caixa Hostname selecione manually e digite o hostname o Na caixa Miscellaneous Settings digite as configura es restantes de rede 11 Configura o do Firewall o Para fins de an lise nenhum firewall ser configurado Selecione No firewall 12 Suporte Adicional a Idioma o Aceite o padr o 13 Sele o de Fuso Hor rio o Escolha as configura es de hora mais apropriadas para a sua regi o Configurar o sistema para UTC geralmente uma boa pr tica para os servidores Para isso clique em System clock uses UTC 14 Configure a Senha Raiz o Digite uma senha da raiz e digite a novamente para confirma la 15 Sele o do Grupo do Pacote o Selecione apenas as s ries de pacotes mostradas aqui Mantenha as outras sem sele o o Desktop X Window System Gnome KDE Veja meus coment rios na se o RHES 2 1 independente da escolha da GUI o Aplicativos Editores Internet Gr fica o Servidores N o selecione nada neste grupo o Desenvolvimento Ferramentas de Desenvolvimento o Sistema Ferramentas Administrativas o Red Hat Enterprise Linux N o selecione nada neste grupo o Miscel nea Desenvol
52. mente s o tidas com uma forma aceita e objetiva para os administradores de sistema e profissionais de TI a fim de estimar o impacto de uma vulnerabilidade sobre um sistema comum Embora as classifica es de severidade do ICAT n o ofere am instru es contextuais para a severidade particular de uma vulnerabilidade em certo contexto elas fornecem uma forma objetiva de classificar vulnerabilidades Dentro dessa possibilidade utilizamos as classifica es de severidade do ICAT em nossa an lise para agrupar as vulnerabilidades em classes O ICAT utiliza tr s amplas classes de severidade para as vulnerabilidades Alta M dia e Baixa conforme definidas abaixo Uma vulnerabilidade de severidade alta se Permite que um atacante remoto danifique a prote o de seguran a de um sistema i e consiga algum tipo de conta de usu rio ou raiz permite um ataque local que obtenha controle total sobre o sistema importante o suficiente para ter uma pesquisa CERT CC associada Uma vulnerabilidade de severidade m dia se N o encontra a defini o tanto da severidade alta e nem baixa Uma vulnerabilidade de severidade baixa se a vulnerabilidade n o apresenta informa es valiosas ou controle sobre o sistema mas em vez disso fornece o conhecimento de que o atacante precisa para encontrar e explorar outras vulnerabilidades Entendemos que a vulnerabilidade n o provoca consegii ncias para a maiori
53. minamos as diferen as de vulnerabilidades entre o MySQL e o postgreSQL Seguem algumas aplica es requeridas para suprir a fun o do servidor de banco de dados na plataforma Red Hat com o MySQL Servidor de banco de dados MySQL Mais de 4 milh es de instala es ativas do MySQL no mundo tornam o servidor de banco de dados do MySQL o banco de dados de c digo aberto mais popular Os usu rios deste servidor podem optar por utiliz lo sob a Licenca P blica Geral GNU ou sob uma licenca comercial O MySQL leve e pode controlar diversas conex es de forma r pida e confi vel Ela n o apresenta alguns recursos de outros servidores de banco de dados como o PostgreSQL como visualiza es e sub consultas no entanto seu desempenho superior maioria dos concorrentes de c digo aberto O MySQL tamb m o componente de banco de dados da t o conhecida configura o LAMP um conjunto de programas gratuitos comumente usados juntos para executar web sites e ships din micos como um componente suplementar do RHEL ES 3 Red Hat Enterprise Linux 3 Servidor de Banco de Dados da Oracle A Oracle se estabeleceu como provedor l der em tecnologias de banco de dados no mercado de servidores da plataforma Linux Um relat rio recente pela IDC uma empresa analista de tecnologia estima que a Oracle ret m 41 3 da participa o de mercado quanto aos bancos de dados relacionais A Oracle Corporation o maior fornecedor de
54. mo usamos o ICAT pois precis vamos de uma classifica o objetiva e que se aplicasse aos fornecedores e produtos Outra quest o interessante que recebemos durante a primeira verifica o da metodologia foi por que n o usamos a m trica de severidade do CERT Basicamente a m trica de severidade do CERT subjetiva e poderia mudar quase que diariamente com base em sua defini o Para outros detalhes confira nossa observa o no relat rio de Fun o da Web Relat rio de an lise da Security Innovation Relat rio de Compara es entre Fun es Fun o do Web Server Mar o de 2005 An lise da Fun o do Servidor de Banco de Dados A se o que segue descreve em detalhes os passos desempenhados para configurar diferentes fun es Eles s o apresentados para que nossos dados e resultados sejam reproduzidos por terceiros MySQL no Red Hat Enterprise Linux Vis o Geral da Instala o A instala o da plataforma Red Hat Enterprise Linux conduzida por assistente e f cil de ser executada Para alcan ar uma instala o m nima da fun o do servidor de banco de dados com o MySQL n s desmarcamos a sele o de todas as op es do pacote de instala o Copyright O 2005 Security Innovation Inc E depois selecionamos manualmente apenas o grupo do pacote mysql Isso representa a instala o m nima do Red Hat configur vel por meio das principais op es do assistente de instala o qu
55. nar o software de banco de dados separadamente SQL Server 2000 SP3 Nos 12 meses estudados o SQL Server 2000 contribuiu com zero vulnerabilidade para a fun o do servidor de banco de dados Enquanto o SQL Server 2000 SP3 teve algumas vulnerabilidades antes do per odo de 12 meses examinando o hist rico do produto descobrimos que ele possui o menor n mero de vulnerabilidades entre os bancos de dados estudados Uma vez que o SQL Server 2000 SP3 era vendido em Janeiro de 2003 houve ent o um total de cinco vulnerabilidades em torno de Fevereiro de 2005 o que fornece em m dia 0 2 vulnerabilidade por m s MySQL 3 23 58 Nos 12 meses estudados o MySQL forneceu sete vulnerabilidades fun o do servidor de banco de dados o que representa o total encontrado no final de Fevereiro de 2005 uma vez que o RHEL 3 foi lan ado em 23 de Outubro de 2003 Isso resulta em uma m dia de 0 4375 vulnerabilidade por m s ou seja duas vezes a m dia descoberta do SQL Server 2000 SP3 PostgreSQL Embora o postgreSQL n o fa a parte de nenhum dos tr s servidores analisados como concorrente pr ximo do MySQL no mundo do c digo aberto interessante analisar seu impacto potencial uma vez que o selecionamos Nos 12 meses estudados o postgreSQL apresentou cinco vulnerabilidades diagnosticadas pelo Red Hat e seis vulnerabilidades no total at o final de Fevereiro de 2005 uma vez que o RHEL 3 foi lan ado em 23 de Outubro de 2003 O result
56. nco de dados 10g sendo lan ado no in cio de 2004 Uma estat stica comprovada portanto o n mero total de vulnerabilidades na vida do produto e quando esses problemas foram encontrados O SQL Server 2000 teve um total de 36 vulnerabilidades reportadas em mais de 4 anos a partir de seu lan amento em 2000 8 em 2000 4 em 2001 19 em 2002 4 em 2004 e 1 em 2004 O Oracle totaliza 30 vulnerabilidades em seu primeiro ano de lan amento para seu servidor de banco de dados 10g com 10 de suas vulnerabilidades sendo externamente atribu das a um identificador CAN No MySQL os dados est o menos claros devido natureza de suas vers es incrementais Analisando se o per odo de um ano terminando em 28 de Fevereiro de 2005 o servidor MySQL totalizou 7 vulnerabilidades distintas Al m da contagem das vulnerabilidades tamb m analisamos o per odo m dio e cumulativo de exposi o s vulnerabilidades das tr s constru es a t o conhecida m trica dos Dias de Risco Em se tratando de dias de risco m dios a Microsoft apresentou o menor resultado de 32 0 seguida da Oracle no RHEL3 com 38 7 e a solu o do Copyright O 2005 Security Innovation Inc MySQL com 61 6 Tanto o SQL Server 2000 no Windows Server 2003 como o Oracle 10g no RHEL 3 se beneficiaram dos dias de risco m dios por meio de seu forte incentivo divulga o de responsabilidade em que eles tentam cuidadosamente coordenar a publica o da vulnerabilidade anun
57. nda para as pequenas a m dias configura es da web Ap s um IPO de sucesso em 1999 o Red Hat tira proveito de sua marca consolidada sendo considerado por muitos o nome mais reconhecido nas distribui es de Sistemas Operacionais OS de c digo aberto Al m disso o Red Hat Enterprise Linux amplamente implantado na fun o do servidor da web o que o torna um candidato bvio e significativo para an lises O Red Hat Enterprise Linux 3 utiliza uma abordagem h brida de kernel com recursos do Linux 2 6 kernel back ported de porta de tr s para utiliza o com o kernel est vel do Linux 2 4 O RHEL ES 3 inclui suporte para diversas arquiteturas e fornece recursos e suporte exigidos pelas grandes organiza es A fim de projetar um servidor de banco de dados funcional usando o RHEL devemos primeiro escolher componentes diferentes que supram os requisitos funcionais nas pr ximas se es deste relat rio Abaixo est uma lista dos principais componentes juntamente com uma breve justificativa de sua sele o OBSERVA O da An lise O Red Hat veio com o Red Hat Enterprise Linux 4 RHELA4 como o sucessor do RHEL3 em Janeiro 2005 mas sob esses acordos empresariais o RHEL3 ser suportado por muitos anos Considerando que quer amos estudar no m nimo 12 meses de dados o RHELA4 n o seria uma boa op o Devido inclus o do kernel 2 6 SELinux no RHELA ocorre certa especula o de que a seguran a aprimorada muda
58. nt rios foram incorporados ao longo deste documento e esperamos que este relat rio tamb m seja comentado Por fim queremos agradecer Richard Ford do Instituto de Tecnologia da Fl rida pela co cria o da metodologia subjacente aqui utilizada assim como sua contribui o extensiva aos pontos anal ticos desses estudos Copyright O 2005 Security Innovation Inc Introdu o A seguran a uma s ria preocupa o para aqueles que implantam sistemas modernos de computadores isso verdade pois a seguran a relativa das diferentes solu es pode ser fator principal ao se escolherem plataformas e aplica es Al m disso tendo se certos ciclos de vida da implanta o de um produto muitas empresas fazem escolhas que ir o afetar suas opera es para os pr ximos dez ou quinze anos Neste documento apresentamos uma compara o baseada em fun es da seguran a relativa de tr s solu es diferentes de uma fun o do Servidor de Banco de Dados Ao se concentrar nessas fun es poss vel criar compara es de servidor que sejam significativas e centradas nos requisitos dos clientes Acreditamos que este principal aspecto tenha estado ausente das compara es quantitativas anteriores sua inclus o fornece mais compara es significativas das funcionalidades equivalentes O gerenciamento din mico o armazenamento e a recupera o de dados s o algumas das fun es mais cr ticas de servidor em diversos ambientes Essa
59. nta a fun o do servidor Web em que as organiza es centralizam a implanta o de aplica es dentro de uma nica fun o de servidor que fornece o banco de dados os servi os da Web e a funcionalidade de escrita dos aplicativos No mais recente relat rio consideramos a fun o mais granular de um servidor de banco de dados em que uma m quina deve apenas gerenciar armazenar e recuperar dados de forma altamente dispon vel Especificamente comparamos tr s solu es distintas para preencher essas fun es o Microsoft Windows Server 2003 que executa o servidor de banco de dados Microsoft SQL Server 2000 Service Pack 3 o Red Hat Enterprise Linux 3 0 RHEL 3 0 que executa o servidor de banco de dados MySQL e o Red Hat Enterprise Linux 3 0 RHEL 3 0 que executa o servidor de banco de dados Oracle 10g As compara es mais acirradas dos dados s o feitas em vulnerabilidades reportadas que afetam esses sistemas assim como os diagn sticos relevantes seguran a do sistema em geral Mais especificamente iremos levar em conta as vulnerabilidades desses sistemas obtidas no per odo de um ano a come ar em 1 de Mar o de 2004 indo at 28 de Fevereiro de 2005 Em nossa an lise levantamos a modularidade inerente do Linux para considerar um sistema de instala o m nima do servidor de banco de dados do MySQL que apresenta uma superf cie menor de ataque Para o caso do Oracle seguimos a configura o recomendada pela O
60. oberta respons vel de vulnerabilidade que a Microsoft promove de forma ativa levando diversas vulnerabilidades a zero dia de risco o que significa que a vulnerabilidade descoberta no mesmo momento em que a solu o disponibilizada Observe que a utiliza o extensiva do Oracle a respeito da divulga o tamb m faz com que a constru o do Oracle sobre o RHEL tenha uma m dia menor de dias de risco do que o MySQL no RHEL embora o maior n mero total de vulnerabilidades ainda leve a dias de risco cumulativos maiores Uma estat stica comprovada que os dias m dios de risco para vulnerabilidades na solu o da Microsoft s o 0 ou seja o oposto dos 23 dias de risco do MySQL na solu o do RHEL e 18 para o Oracle no RHEL Um aspecto interessante do desafio que o Red Hat enfrenta que n o t o bvio a partir de uma simples an lise dos n meros brutos a demora entre a disponibilidade de uma solu o dentro do produto e a inclus o do produto como um pacote Red Hat aprovado Por exemplo o CAN 2004 0836 trata de um bug na fun o mysql real connect do MySQL Isso foi registrado no banco de dados de bugs do MySQL em 4 de Junho de 2004 e solucionado na raiz em 17 de Junho de 2004 No entanto o Red Hat disponibilizou essa solu o apenas na RHSA 2004 611 em 27 de Outubro Esse problema de gerenciamento de solu es publicadas a partir de terceiros muito complicado podendo representar um desafio significativo ao
61. ome CVE preencha as seguintes colunas Note que um Boletim que soluciona diversas vulnerabilidades resulta m ltiplas linhas i Nome CVE ex CAN 2004 1028 ii Identificador do Boletim de Seguran a MSFT ex MS04 007 iii Data do Boletim de Seguran a Solu o Uma vez que supomos que todos os componentes estejam presentes no WS2003 n o necess rio agrupar componentes em grupos de fun es como fazemos para o Red Hat Uma vez que supomos que todos os componentes estejam presentes no WS2003 n o precisamos no passo de valida o para verificar se o componente est fisicamente instalado Presumimos que ele esteja instalado em todos os casos B Elabore uma planilha de vulnerabilidades do Red Hat Enterprise Linux 3 Enterprise Server RHEL3ES a Segiiencialmente examine cada pesquisa de seguran a do RHEL3ES liberado pelo Red Hat durante o per odo estudado As pesquisas de seguran a do RHEL3ES e as vulnerabilidades solucionadas por eles est o em https rhn redhat com errata rhel3es errata security html Para cada pesquisa de seguran a leia e confirme se RHEL3ES foi afetado O identificador de pesquisa o componente afetado e os Nomes CVE associados s o geralmente listados no cabe alho da pesquisa de seguran a Para cada Nome CVE Para cada Nome CVE preencha as seguintes colunas Note que uma pesquisa que soluciona diversas vulnerabilidades resulta m ltiplas linhas Copyright O 2005 Security Innovation In
62. overno dos Estados Unidos Em nossa an lise referimo nos a uma vulnerabilidade como sendo diferente caso tivesse seu pr prio identificador CVE ou CAN No caso dos fornecedores que n o participam ativamente do programa CVE somos obrigados a usar a pr pria enumera o dos fornecedores quanto s vulnerabilidades na seguran a Enquanto a Microsoft e a Red Hat s o participantes ativos do programa CVE a Oracle n o Nossa contagem para as vulnerabilidades da Oracle baseada em seu sistema pr prio de numera o ligado a alertas espec ficos que eles liberam Acreditamos que usar esses identificadores fornece nos uma contagem apurada das vulnerabilidades mas isso torna complexo o processo de relacionar diretamente uma descoberta p blica de um n o fornecedor a uma certa vulnerabilidade Ainda utilizamos a abordagem conservadora de contar essas vulnerabilidades com O dia de risco que em ltimos casos pode favorecer a Oracle quanto aos dias de risco Classifica es de Severidade do NIST ICAT Um dos t picos mais polemicamente debatidos sobre a seguran a e a severidade de impacto que uma vulnerabilidade pode ter O Instituto Nacional de Padr es introduziu o ICAT Metabase que cont m informa es sobre as vulnerabilidades conhecidas e utiliza os identificadores CVE para catalogar esses registros Um aspecto interessante do ICAT a classifica o de severidade que ele atribui s vulnerabilidades As classifica es do ICAT geral
63. r esses componentes se desejado Levando em conta que aproximadamente 30 das vulnerabilidades solucionadas em um per odo de um ano de an lise no Windows Server 2003 estavam relacionadas ao Internet Explorer fornecer aos administradores a op o de remover tais componentes iria reduzir a contagem da vulnerabilidade para o Windows Server 2003 ainda mais Para as duas proje es baseadas no Linux o Kernel foi o maior colaborador contagem total de vulnerabilidades com 38 reportadas em nosso per odo de estudo afetando tanto o MySQL na solu o do RHEL 38 das 116 vulnerabilidades estavam no kernel como a solu o RHEL 38 das 207 vulnerabilidades estavam no kernel Na constru o do Oracle depois do kernel do Linux o software Oracle 10g contribuiu com o pr ximo maior n mero de vulnerabilidades com 30 no total durante o tempo estudado Deveria ter sido observado que o Red Hat Enterprise Linux ES 3 modular em seu procedimento de instala o podendo funcionar com alguns dos componentes que s o principais no sistema do Windows Isso potencialmente significativo pois um menor n mero de componentes instalados significa uma superf cie de ataque reduzida e menos patches que podem ser aplicados Tamb m deveria ser observado que a superf cie de ataque do Oracle pode tamb m ser reduzida removendo se alguns componentes sugeridos em seus procedimentos de instala o A an lise de vulnerabilidade mostra uma vantagem
64. ra o em Oracle e v m tomando outros passos para garantir que estejam de acordo com o contrato de manuten o Da mesma forma os clientes do Windows apenas utilizam ajustes liberados pela Microsoft ii Todos os ajustes liberados pelo Red Hat Oracle e Microsoft pertencentes aos sistemas ser o gravados juntamente com as aplica es s quais os patches pertencem Para cada ajuste as vulnerabilidades solucionadas ser o inseridas com o uso do identificador de vulnerabilidades Mitre ex CVE 2004 0079 caso haja alguma atribui o 12 O banco de dados de Vulnerabilidades e Exposi es Comuns CVE um padr o amplamente aceito para identificar vulnerabilidades espec ficas O CVE est dispon vel online em http www cve mitre org Veja tamb m a se o Lista CVE Mitre abaixo vi xiii iii Para cada vulnerabilidade consideramos sua classifica o de severidade atribu da pelo sistema de classifica o de vulnerabilidades o Instituto Nacional de Padr es NIST ICAT Enquanto os fornecedores possuem seus pr prios sistemas de classifica o para a severidade esses esquemas n o s o necessariamente compar veis e assim n s utilizamos essa fonte independente para facilitar as compara es significativas dos fornecedores cruzados iv Quando uma aplica o instalada por padr o todas as vers es atualizadas ser o consideradas aplica es padr es tamb m v Para fins do per odo de tempo que estu
65. racle de projetar o nosso servidor e considerar apenas as vulnerabilidades que afetam a configura o depois de implantada Para a solu o baseada na Microsoft existem muitos componentes que s o dif ceis ou imposs veis de remover completamente do sistema operacional e portanto consideramos uma instala o completa e contamos as vulnerabilidades para todas as aplica es inclu das no software do Windows Server Muitos ir o se lembrar do worm Slammer de Janeiro de 2003 que atingiu o Microsoft SQL Server 2000 SP2 e outros Servidores do Red Hat Enterprise Linux 3 vendidos com o MySQL 3 23 e esta a vers o sob manuten o corporativa da Red Hat portanto esta a vers o analisada no relat rio A utiliza o de outras vers es significaria que os clientes devem fornecer auto manuten o ao servidor Copyright O 2005 Security Innovation Inc Amea as como o Slammer foram a maior preocupa o dos departamentos de TI para obter a seguran a do servidor e o gerenciamento de atualiza es Neste relat rio analisamos as principais m tricas que auxiliam os administradores a examinar como a seguran a operacional dos tr s diferentes sistemas de banco de dados surgiu no ltimo ano Olhando se apenas para as aplica es de bancos de dados nosso estudo encontrou que o SQL Server 2000 tinha vulnerabilidade zero naquele per odo de um ano o MySQL teve 7 vulnerabilidades e o Oracle 10g tinha mais de 30 Ao examinar a pi
66. rcer para executar o sistema Tecnologia de Implanta o do Patch O processo adequado de patching das m quinas um m todo poderoso de aprimorar a probabilidade de se permanecer seguro Mesmo as amea as mais atuais que infectaram os CSOs do mundo todo foram logo solucionadas por m quinas de patching r pidas e efetivas uma vez que em cada caso os worms encontrados exploraram vulnerabilidades que ainda estavam sendo solucionadas pelas s ries de patch atualmente dispon veis Apesar do conflito que existe na maioria das organiza es entre a implanta o autom tica de patch e o teste de compatibilidade de patches autorizados a habilidade de as m quinas se atualizarem automaticamente Copyright O 2005 Security Innovation Inc Extremamente valiosa para os usu rios individuais e os corporativos que n o possuem recursos para suportar uma equipe de gerenciamento de patch A Microsoft e a Red Hat possuem recursos de atualiza o autom tica que permitem que um sistema obtenha automaticamente as atualiza es funcionais e de seguran a Essas aplica es de auto atualiza es Atualiza o Autom tica do Windows para o sistema operacional da Microsoft e o up2date para o da Red Hat podem ser definidas para notificar e baixar ou para notificar baixar e instalar automaticamente os patches Uma grande vantagem da aplica o do up2date sobre a atualiza o autom tica do Windows de que ele pode rastrear um software n o OS
67. real Uma das for as de seguran a geralmente mencionadas quanto ao Linux a sua modularidade que permite uma proje o m nima verdadeira da fun o do servidor reduzindo portanto sua superf cie efetiva de ataque e tornando o mais seguro No entanto os administradores devem operar dentro dos limites de gerenciamento e tamb m implantar de uma forma que ainda seja suportada pelos fornecedores Para a configura o do Oracle ou do Linux instalamos tanto o sistema operacional RHEL 3 como o servidor de banco de dados Oracle 10g de acordo com o m todo exato especificado pelo Oracle que detalhado no Ap ndice B deste relat rio Para constru o do MySQL no Linux levantamos a modularidade do Linux para fornecer uma instala o m nima e portanto uma menor superf cie de ataque para este servidor Na constru o do SQL Server 2000 e do Microsoft Windows Server 2003 os componentes como o Internet Explorer estar o presentes nas cargas de trabalho uma vez que n o possam ser facilmente desinstalados da fun o do servidor de banco de dados Em nossa pesquisa N http www oracle com technology pub articles smiley 10gdb install html Copyright O 2005 Security Innovation Inc assumimos que um cliente precisaria diagnosticar qualquer quest o que esteja presente no software do servidor da Microsoft Portanto enquanto os problemas com o Internet Explorer ir o contar contra a constru o a Microsoft as vuln
68. restrito de servi os Essa interface tamb m n o permite que as configura es do ICMP sejam alteradas as respostas do eco do ICMP s o habilitadas por padr o ou monitorem os logs do firewall O recurso mais importante a filtragem de n vel de pacote que permite que o administrador estabele a regras de firewall em qualquer aspecto do pacote As op es de linha de comando tamb m permitem o bloqueio do tr fego com base na associa o de pacotes a uma determinada regra Diretiva de Suporte ao Ciclo de Vida Um dos aspectos da seguran a a dura o do servi o de suporte Se um produto n o mais suportado os usu rios s o for ados a atualizar ou encarar riscos avan ados de uma brecha na seguran a Enquanto as informa es aqui s o atualizadas a partir da data de publica o deste relat rio as diretivas de suporte se desenvolveram de forma significativa durante os ltimos anos para os dois fornecedores com a probabilidade de continuarem no fluxo Copyright O 2005 Security Innovation Inc Ent o sugerimos que voc visite o site do fornecedor para obter as informa es mais atualizadas A tend ncia dos servidores nos ltimos anos levando se em conta os requisitos do cliente de ampliar o ciclo de vida padr o O Red Hat 9 durou apenas um ano mas com as vers es Empresariais o Red Hat introduziu um compromisso para o ciclo de vida do suporte de 7 anos de seguranca Da mesma forma em 2002 a Microsoft pad
69. ria significativamente os resultados deste estudo caso fosse poss vel usar o RHELA A Seguran a Aprimorada do kernel 2 6 refere se a uma nova capacidade de controle de acesso baseado em fun o e n o qualidade do c digo portanto vale mais a pena adquirir certo espa o para ver como as vulnerabilidades e os diagn sticos est o agindo no RHEL 4 De acordo com o site do Red Hat entre 15 de Fevereiro e o final de Abril de 2005 o Red Hat emitiu o seguinte 36 consultas de seguran a do Red Hat Enterprise Linux 3 AS e 61 consultas de seguran a do Red Hat Enterprise Linux 4 AS Embora essas consultas representem todos os pacotes das vers es do Red Hat Enterprise Linux e n o apenas um conjunto m nimo de pacotes que estudamos os dados desta estrutura de tempo timeframe limitada n o parece indicar uma melhoria dr stica na vulnerabilidade da seguran a do RHELA Al m disso as tr s vulnerabilidades expostas no MySQL durante o per odo ap s o lan amento do RHEL4 e dentro do nosso per odo de estudo afetaram o MySQL quando ele acompanhava o RHEL3 e o RHELA Copyright O 2005 Security Innovation Inc Red Hat Enterprise Linux 3 Servidor de Banco de Dados do MySQL Ao passo que existem diversas op es potenciais para um servidor de banco de dados de c digo aberto como o postgreSQL e o MySQL optamos por analisar o servidor do MySQL devido sua popularidade no mercado Nos resultados deste estudo no entanto exa
70. ronizou suas diretivas de suporte ampliando recentemente esse ciclo de vida para 10 anos Come ando com sua vers o de Servidor de Banco de Dados 91 a diretiva de Suporte Corre o de Erros da Oracle foi estendida para cinco anos a partir da libera o do produto com uma notifica o de 12 meses para os clientes antes de descontinuar o suporte O suporte da Microsoft para o Windows Server 2003 come ou na data de lan amento em 28 de Maio de 2003 e est planejado para continuar at Maio de 2013 Seu suporte ao SQL Server 2000 come ou com o lan amento do produto em 30 de Novembro de 2000 planejado para continuar por sete anos a partir da pr xima vers o se seu servidor de banco de dados previsto para 2005 com suporte at 2012 O suporte do Red Hat para o Enterprise Linux 3 0 come ou na data de lan amento 23 de Outubro de 2003 planejado para ser mantido por 7 anos terminando em 2010 O Suporte Corre o de Erros do Servidor de Banco de Dados da Oracle 10g come ou em seu lan amento no in cio de 2004 e est programado para continuar at 2009 Em resumo os fornecedores se comprometeram a pelo menos cinco anos de suporte seguran a em longo prazo para seus softwares de servidor Os tomadores de decis o devem analisar as implica es dessas diretivas medida que elas se relacionam com suas necessidades de produ o Boletim Descri o Informativa Os boletins de seguran a representam geralm
71. s como m ltiplas vers es do Windows ou distribui es do Linux que isso pode ter uma severidade contextual diferente para uma vers o particular Quanto a isso a severidade baseada em CAN pode ser um fraco instrumento para que os administradores analisem o impacto de uma vulnerabilidade em uma aplica o espec fica vers o de OS ou sua implanta o particular do sistema OBSERVA O da An lise Ap s termos publicado o estudo sobre a Fun o do Web Server uma das quest es que recebemos foi sobre a raz o de n o termos feito uma an lise de severidade pelos sistemas de classifica o do fornecedor em vez das classifica es do ICAT H diversas raz es pelas quais o ICAT a melhor escolha para a an lise de severidade Primeiro o Red Hat n o forneceu classifica es de severidade durante todo o per odo de tempo estudado na primeira vez o ano de 2004 inteiro portanto isso n o seria poss ve O Red Hat apresentou classifica es de severidade s suas pesquisas em Fevereiro de 2005 Em segundo lugar embora os r tulos de classifica o da Microsoft e da Red Hat pare am iguais n o est claro ainda que eles sejam exatamente compar veis ou se s o aplicados da mesma maneira Por fim queremos que nossa metodologia controle outros fornecedores Mesmo que os sistemas de classifica o da Microsoft e do Red Hat tenham sido id nticos a Oracle n o os utiliza assim como a Apple tamb m n o ou a Novell etc Em resu
72. sistemas de banco de dados estudados o Microsoft SQL Server 2000 no Windows Server 2003 apresentou menos vulnerabilidades na seguran a e menos dias de risco em compara o com as solu es do MySQL e Oracle no Red Hat Enterprise Linux 3 imposs vel e irrespons vel fornecer uma compara o abrangente sobre as quest es de seguran a que ser o aplicadas a esses ambientes operacionais Nossa pesquisa mostrou que o perfil de amea as que um pacote enfrenta pode ser um determinante fundamental ao se analisar a seguran a em geral Para tanto a import ncia de cada fator contribuinte em rela o seguran a deve ser pesada para cada ambiente de amea a Tabela Combinada de Compara es A tabela que segue resume as nossas descobertas a respeito das contagens de vulnerabilidades para as tr s configura es consideradas Severidade Windows Server RHEL ES 3 Oracle RHEL ES 2003 SOL Server 10g 3 MySQL 2000 3 23 58 lia 27 73 41 nica 18 63 49 Paa 0 10 8 Desconhecida 18 61 18 Tori 63 207 116 Tabela 3 Resumos da contagem de vulnerabilidades para as tr s solu es estudadas Copyright O 2005 Security Innovation Inc A tabela abaixo resume os resultados de dias de risco para as tr s configura es consideradas Severidade Windows Server RHEL ES 3 Oracle RHEL ES 2003 SQL Server 10g 3 MySQL 3 23 2000 Dias de Risco k Aa 952 2539 1525 Dias de Risco Severidade M dia 573 3314 3594 Dias de Risco Severidade Baixa 0 57
73. sobre quais identificadores CVE se associam aos identificadores da Oracle no entanto a Oracle fornece um documento de mapeamento em http www oracle com technology deploy security pdf public vuln to advisory mappin g html Este documento mapeia os identificadores CVE apenas nos documentos de Alerta da Oracle e n o s vulnerabilidades individuais mapeando apenas um total de dez CVEs com exce o das 30 vulnerabilidades identificadas e solucionadas no Oracle 10g Ap s uma verifica o extensiva n o podemos afirmar de que forma os CVEs mapeiam os identificadores individuais do DBNN nos Alertas prov vel que alguns pesquisadores publiquem separadamente detalhes no Bugtrag ou em outras fontes depois que a Oracle emite um patch o que resulta na atribui o das IDs do CVE mas para outros problemas isso n o aconteceu Para fins de an lise no estudo supomos o seguinte As vulnerabilidades DBNN que n o possuem um identificador CVE tamb m foram encontradas pela Oracle ou reportadas sob a divulga o respons vel da Oracle para se obterem solu es uma vez que n o conseguimos encontrar outras abordagens sobre elas As vulnerabilidades sem um identificador CVE ser o consideradas descobertas na data em que a Oracle emitiu seu Alerta contribuindo com zero dia de risco Assemelha se ent o a uma rea em que a Oracle possa fazer algumas melhorias para benef cio dos consumidores participando do processo Mitre CVE Sem a atribu
74. software comercial atingindo a marca de U 10 bilh es no Ano Fiscal de 2004 Para essa configura o instalamos o Oracle de acordo com suas diretrizes de implanta o e ent o analisamos o sistema resultante Seguem algumas aplica es requeridas para suprir a fun o do servidor de banco de dados na plataforma Red Hat com o Oracle Servidor de banco de dados Oracle 10g Estudo da BZ Media Database and Data Access Integration and Reporting Study http www bzmedia com bzresearch 5914 htm Maio de 2004 7LAMP ou Linux Apache MySQL Perl PHP Python considerado padr o na configura o do c digo aberto de um servidor din mico Oracle corporation http www oracle com database feature db dbleadership html IDC Corporation Robust Recovery in Worldwide RDBMS Market But Results Tempered by Currency Environment IDC Reveals http www idc com getdoc jsp containerId prUS00089505 1 Oracle corporation Installing Oracle Database 10g on Linux x86 http www oracle com technology pub articles smiley 10gdb install html Copyright O 2005 Security Innovation Inc Com sua ltima vers o 10g do produto a Oracle fornece uma plataforma robusta e extens vel com suporte para o gerenciamento e configura o dos dados de servidor a fim de encontrar uma s rie diversa de necessidades dos usu rios Microsoft Windows Server 2003 O Windows Server 2003 um sistema operacional de servi
75. terais imprevistos Os boletins de seguran a da Microsoft cont m informa es referentes aos arquivos que ser o modificados s reinicializa es e ao impacto de n o se fazer o patching Al m disso a Microsoft fornece ferramentas como o Analisador de Seguran a da Linha de Base que determina se uma atualiza o ou n o solicitada para o sistema No entanto os boletins n o cont m informa es sobre a quantidade de tempo exigida para a instala o As pesquisas de seguran a do Red Hat s o orientadas pela vulnerabilidade ou seja as informa es dispon veis referem se causa da vulnerabilidade e do perigo potencial que ela apresenta As pesquisas n o cont m nenhuma informa o sobre o impacto do processo de patching ou reinicializa es exigidas As nicas informa es dispon veis referentes ao patch s o as vers es dos pacotes que est o implantados neste patch O impacto preciso de um patch pode ser determinado pela an lise das altera es feitas no c digo fonte entre as vers es Enquanto isso impratic vel em muitos ambientes uma possibilidade adicional para os sistemas que s o cr ticos As Atualiza es Cr ticas de Patch da Oracle cont m informa es sobre as quais o componente de alto n vel afetado pelas vulnerabilidades listadas mas n o fornecem indica es sobre o impacto do patch Os clientes empresariais t m portanto a possibilidade de tentar determinar o impacto que o patch pode exe
76. vimento do Software de Legado o Clique em Next para prosseguir 16 Sobre a Instala o o Clique em Next 17 Instalando Pacotes 20 21 22 23 24 25 26 27 28 29 30 Copyright 2005 Security Innovation Inc o O software ser copiado no disco r gido e instalado Mude os discos quando for notificado e clique em Next quando a instala o estiver conclu da Configura o da Interface Gr fica X o Aceite os padr es a menos que o instalador n o reconhe a a sua placa de v deo Caso isso aconte a voc n o conseguir continuar Configura o do Monitor o Aceite o padr o se o instalador identificar corretamente o seu monitor Caso contr rio selecione um monitor compat vel a partir da lista Personalize a Configura o Gr fica o Aceite os padr es Congratula es o Remova a m dia de instala o do sistema e clique em Next O sistema reinicia automaticamente e apresenta a nova tela de boas vindas o Clique em Next Acordo de Licen a o Leia o acordo de licen a Se concordar com os termos selecione Yes I agree to the License Agreement e clique em Next Data e Hora o Defina a Data e a Hora o Caso queira usar um servidor NTP recomendado selecione Enable Network Time Protocol e digite o nome do servidor NTP Conta de Usu rio o Crie uma conta para voc o N o crie uma conta para o Oracle agora Isso ser mostrado mais adiante nesta se o Rede do Red Hat o Caso qu
77. vulnerabilidades Oracle no RHEL Houve vinte e seis vulnerabilidades solucionadas em 2004 em mais de 90 dias de risco e delas oito foram designadas pelo ICAT como de severidade alta treze como m dia duas como baixa e tr s ainda n o receberam a classifica o Doze dessas vulnerabilidades estavam no kernel do sistema operacional com o restante distribu do entre uma variedade de pacotes Copyright O 2005 Security Innovation Inc Crit rios Qualitativos da Seguran a Enquanto a an lise das vulnerabilidades e libera o dos patches nos fornece uma id ia quanto capacidade de explora o de um sistema existem fatores adicionais que podem ser importantes para aqueles que desejam tomar decis es sobre o desenvolvimento e a implanta o de uma plataforma Esses crit rios ir o ajudar a tomar decis es sens veis de seguran a no contexto de considera es operacionais pr ticas que podem ser importantes a um departamento de TI Mais especificamente fazemos a compara o entre duas plataformas Red Hat Enterprise Linux 3 e Windows Server 2003 que serviram como base para as tr s configura es estudadas neste relat rio De interesse particular est o os recursos de seguran a que s o parte padr o da plataforma Por exemplo os clientes prestam muita aten o nos recursos de autentica o suporte a VPNs capacidade de Atualiza o autom tica prote o ao estouro de buffer recursos gerenciados de c digo
Download Pdf Manuals
Related Search