1.3.2 Атаки на уровне субд

Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще. Тем не менее, в отдельных случаях преодоление злоумышленником защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях: если в АБС используется СУБД, защита которой недостаточно надежна; если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении; если администраторы базы данных допускают грубые ошибки при определении политики безопасности. Кроме того, известны две атаки СУБД, для защиты от которых требуются специальные меры. К ним относятся: “атака салями”, когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету злоумышленника); статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись. Для реализации атаки на СУБД злоумышленник должен как минимум являться пользователем СУБД.