Caras, estamos há dois dias da estréia do Star Wars no cinema. Nível de ansiedade nas alturas 🙂 Mas, voces não vieram aqui para falar de Star Wars. Então, vamos ao que interessa, e, deixemos que lado negro da força para iluminar sua mente. Sopa de letrinhas: AWS é Amazon Web Services. Aliás, acho que … Continue lendo MySQL na Amazon AWS: RDS ou EC2? →
O que é o GDPR? A Global Data Protection Regulation ou Regulamento Geral sobre Proteção de Dados é uma regulamentação, criado pela União Européia, mas, com abrangência global. Antes de ser uma regulamentação, é acima de tudo, um belo conjunto de boas práticas que deveria ser adotado por toda empresa que, de alguma forma, coleta e … Continue reading MySQL e o GDPR →
No cenário atual de segurança da informação, percebemos que devemos estar preparados contra os possíveis ataques. Nesse contexto, um grande aliado contra as ameaças na integração de segurança no ciclo de desenvolvimento é a metodologia OWASP Software Security Assurance Process, também descrita pela sigla OSSAP.
Neste artigo, iremos falar um pouco sobre desenvolvimento seguro e como podemos mitigar algumas ameaças já no processo de desenvolvimento.
Por onde começar?
Para saber do que precisamos nos proteger e como devemos nos proteger, precisamos entender quais são as vulnerabilidades mais encontradas em aplicações web. Para tanto, utilizamos como base o guia Open Web Application Security Project, mais conhecido como …
[Leia mais]Diversas mudanças vieram com esta nova versão do SGBD, principalmente no que diz respeito da gestão de usuários e configurações de segurança que vem para solucionar alguns problemas que muitos DBA tinham antes.
Instalação
Uma das mudanças é na hora da instalação. Considerando que usuários sem privilégios administrativos no nível do sistema operacional não têm acesso a determinados arquivo de log – especificamente acesso de leitura ao arquivo de log de erros do MySQL, que inicialmente se encontra em /var/log – após fazer a instalação do servidor de bancos de dados, o arquivo .mysql_secret não será mais gerado no diretório /home do usuário efetivo da instalação do MySQL.
Após a instalação, basta iniciar o serviço. Ao abrir o arquivo de log, verá um evento parecido com este:
[Warning] A temporary password is generated for root@localhost: 4RT_l.h7*p
Após, …
[Leia mais]Diversas mudanças vieram com esta nova versão do SGBD, principalmente no que diz respeito da gestão de usuários e configurações de segurança que vem para solucionar alguns problemas que muitos DBA tinham antes.
Instalação
Uma das mudanças é na hora da instalação. Considerando que usuários sem privilégios administrativos no nível do sistema operacional não têm acesso a determinados arquivo de log – especificamente acesso de leitura ao arquivo de log de erros do MySQL, que inicialmente se encontra em /var/log – após fazer a instalação do servidor de bancos de dados, o arquivo .mysql_secret não será mais gerado no diretório /home do usuário efetivo da instalação do MySQL.
Após a instalação, basta iniciar o serviço. Ao abrir o arquivo de log, verá um evento parecido com este:
[Warning] A temporary password is generated for root@localhost: 4RT_l.h7*p
Após, …
[Leia mais]O banco de dados é parte importante e fundamental de um ou vários sistemas de uma empresa, provendo informações necessárias para tomadas de decisões, lançamentos de produtos e regras de negócios, ou seja, é no banco de dados onde estão a informações mais valiosas de uma empresa.
É fato que tanta informação valiosa em um mesmo local não é algo seguro por natureza e é ai que você, DBA, deve agir com inteligência e elaborar estratégias de segurança como: Políticas de senhas, firewall, SO, SGBD e até a própria cultura do local onde você trabalha, pois, não adianta de nada você cuidar da segurança e a sua equipe ficar trafegando o usuário e senha em plain text pela rede.
Criando uma boa estratégia de segurança você evita dores de cabeça como: Acessos indevidos, roubo ou exclusão de dados e indisponibilidade no serviço. Então hoje estarei ensinando alguns truques e passando algumas dicas de como deixar …
[Leia mais]O banco de dados é parte importante e fundamental de um ou vários sistemas de uma empresa, provendo informações necessárias para tomadas de decisões, lançamentos de produtos e regras de negócios, ou seja, é no banco de dados onde estão a informações mais valiosas de uma empresa.
É fato que tanta informação valiosa em um mesmo local não é algo seguro por natureza e é ai que você, DBA, deve agir com inteligência e elaborar estratégias de segurança como: Políticas de senhas, firewall, SO, SGBD e até a própria cultura do local onde você trabalha, pois, não adianta de nada você cuidar da segurança e a sua equipe ficar trafegando o usuário e senha em plain text pela rede.
Criando uma boa estratégia de segurança você evita dores de cabeça como: Acessos indevidos, roubo ou exclusão de dados e indisponibilidade no serviço. Então hoje estarei ensinando alguns truques e passando algumas dicas de como deixar …
[Leia mais]O banco de dados é parte fundamental de um sistema, sendo o provedor dos dados, ou seja, o sistema realiza uma série de validações e aplica as regras de negócio e os demais controles de acesso a informação para por fim armazenar e buscar os dados segundo tais políticas no database.
Fica claro que um dos pontos fracos e de maior importância em tal sistema é o banco de dados, e por isso o administrador deve providenciar e implementar estratégias de segurança que impeçam acessos indevidos e indisponibilidades do banco de dados.
O MySQL tem determinadas peculiaridades que podem se tornar vulnerabilidades ou pontos fortes na segurança do sistema, isso dependerá do uso de tais recursos pelo administrador. Meu objetivo aqui é explanar esses recursos exibindo as vulnerabilidades e erros mais comuns cometidos, bem como as implementações necessárias para ter um ambiente seguro.
Instalação e Sistema …
[Leia mais]A mais recente falha na glibc (CVE-2015-0235) e a vulnerabilidade heartbleed OpenSSL (CVE-2.014-0.160) deram a mim e a outros administradores de sistemas um pouco de trabalho. Isso me fez pensar: o que podemos fazer para aliviar nossas dores?
Gerenciadores de pacotes são inteligentes
Eu sou um usuário ávido e adepto do Puppet como minha ferramenta de gerenciamento de configuração preferida. Então, pensei em tornar a correção de vulnerabilidades apresentadas no CVE menos dolorosa. Aqui está o que eu estou pensando no momento, mas não acho que seja uma estratégia viável a longo prazo.
Para começar, seria muito demorado …
[Leia mais]Olá, pessoal! Neste episódio do DatabaseCast Mauro Pichiliani (Twitter | Blog) e Wagner Crivelini (@wcrivelini) hackeiam o banco de dados com o pessoal do Hack’n’Cast Magnum (@mind_bend) e Ricardo Medeiros. Neste episódio, você vai saber quem se considera hacker ou não, quais são as diferentes atividades que podem ser encaradas como hacking, quem ama o VI, porque meninos desmontam carrinhos de controle remoto, o que foi o SQL Slammer e quem gosta de ajudar em cartórios.
Não deixe de nos incentivar digitando o seu comentário no final deste artigo, mandando um e-mail para …
[Leia mais]