Wie viel von einem Sicherheitsrisiko sind konzeptionelle Schema veröffentlicht?

15

Ich habe die konzeptionellen Schemata für meine Recherchen vom Informationssystem einer Regierungsbehörde angefordert. Mein Antrag wurde abgelehnt, da dies ein Sicherheitsrisiko darstellt.

Ich habe nicht wirklich umfangreiche Datenbankerfahrung, daher kann ich diese Behauptung nicht bestätigen. Ist die Offenlegung Ihres Schemas wirklich ein so großes Sicherheitsrisiko? Ich meine, diese sind ziemlich abstrakt und von den Hardware- und Software-Implementierungen getrennt. Wir würden uns über eine Erklärung freuen, wie ein Angreifer konzeptionelle Schemata ausnutzen könnte. Vielen Dank.

RK
quelle
Haben Sie angeboten, eine NDA zu unterzeichnen?
Tag, wenn der
Es war für meine Masterarbeit. Die Ergebnisse werden veröffentlicht, also nein. Wenn ich eine NDA unterzeichnen muss, ist das nicht gut für mich.
RK
Wenn dies eine US-Regierungsbehörde ist, können Sie einen FOIA- Antrag stellen. In Ihrem Profil wird angegeben, dass Sie von den Philippinen stammen, für die noch keine Rechtsvorschriften vorliegen .
Josh3736
Ja. Schade, dass wir die Gesetzgebung noch nicht wirklich haben. Es würde einige Zeit dauern, bis sie diese Gesetze verabschieden können. Politiker mögen es nicht sehr.
RK

Antworten:

12

Einverstanden mit gbn (also +1), aber ich denke, es gibt zwei andere Möglichkeiten im Spiel:

  1. Es ist durchaus möglich, dass sich ihr konzeptionelles Schema stark mit ihrem physischen Schema überschneidet. Wenn Sie die Tabellennamen kennen, haben Sie einen guten Vorsprung bei der Planung Ihrer SQL-Injection-Angriffe.

  2. Es ist sehr wahrscheinlich, dass ihr konzeptionelles Schema nicht dokumentiert ist. Organisationen, die es Programmierern ermöglichen, ihre eigenen Datenbanken zu entwerfen, unterliegen häufig keinen strengen Vorgaben im Datenbankentwurfsprozess, sodass die physische Implementierung ohne anfänglichen Entwurf direkt erfolgt. Möglicherweise möchten sie dies nicht zugeben, oder sie möchten nicht die Zeit und Mühe auf sich nehmen, ein konzeptionelles Dokument zu erstellen, das es nie gab.

Bearbeiten: OP hat kommentiert, dass die Organisation, die nach ihrem konzeptuellen Schema gefragt wird, eine Regierungsbehörde ist. Dies fügt meiner Meinung nach eine weitere wahrscheinliche Möglichkeit hinzu:

Beamte sind nicht für ihre Liebe zum Eingehen von Risiken bekannt, und daher ist es unwahrscheinlich, dass ein Funktionär auf mittlerer Ebene in einer Regierungsabteilung den Hals heraushält und Informationen herausgibt, falls dies die Aufmerksamkeit oder den Zorn von jemandem auf sich zieht, der weiter oben in der Hierarchie steht .

Ich denke immer noch, dass # 2 am wahrscheinlichsten ist.

Joel Brown
quelle
6

Ich würde vorschlagen, es ist ein Risiko für geistiges Eigentum, aber sie wollten es nicht sagen

gbn
quelle
Also kein großes Sicherheitsrisiko?
RK
Einverstanden, aber ich wäre nicht überrascht, wenn diese Angst überwunden ist. Es ist sehr wahrscheinlich, dass ein Manager denkt: "Ich habe nichts davon. Warum also ein Risiko eingehen?"
Joel Brown
Ich denke nur, dass dies Sicherheit durch Dunkelheit ist.
RK
3

Ich stimme vollkommen zu, dass das konzeptionelle Schema hinter geheimen Informationen ebenfalls geheim gehalten werden muss.

Wenn Spione kleine Informationen sammeln, die irgendwie durch die Risse gleiten, bleibt das Problem bestehen, diese Informationen in einen Zusammenhang zu bringen. Das konzeptionelle Schema liefert den Kontext. Die Form und der Inhalt der gesammelten Leckerbissen können sich erheblich von der Form und dem Inhalt der Daten in der Datenbank unterscheiden. Das konkretisierte Schema bietet jedoch eine hervorragende Anleitung zum Dekodieren des Materials.

Bei der Arbeit an der Datenwiederherstellung für Unternehmen habe ich ein verlässliches konzeptionelles Schema immer als Goldgrube angesehen. Allerdings waren diese Projekte nicht mit Spionage verbunden. Kann aber leicht erkennen, wie sich die gleiche Analyse überträgt.

Walter Mitty
quelle
2

Viele Anbieter versuchen, ihre Datenbankschemata in der Nähe ihrer Brust zu halten. So oft wie nicht, geht es darum, ihre dreckigen kleinen Geheimnisse, wie die mangelnde Datenintegrität oder das offensichtlich schlechte Datenbankdesign, zu verschleiern. Andere Gründe sind:

  • Viele Softwareprodukte haben schlecht gestaltete Datenbankschemata.

  • Der Wunsch, keine Arbeitsbelastung zu verursachen.

  • Versuche, Kunden zum Kauf von Beratungsleistungen für die Systemintegration zu zwingen.

  • Der Wunsch, die Exit-Kosten zu maximieren, um Kunden davon abzuhalten, auf Produkte der Wettbewerber umzusteigen.

Leider arbeiten Sie nicht für den Kunden, aber wenn Sie es wären, könnten Sie mit einem Argument fragen, welche architektonischen Mängel die Software aufweist, sodass das Offenlegen des Datenbankschemas ein Sicherheitsrisiko darstellen könnte.

Betroffen vonTunbridgeWells
quelle
Ich entschuldige mich, wenn meine Frage nicht klarer war. Ich habe nach den Schemata der Datenbank einer Regierungsbehörde gefragt.
RK