Introduzione

Le informazioni sono uno dei beni più preziosi della società odierna ed i database rappresentano, in senso virtuale, il luogo nel quale tali informazioni sono custodite in attesa di essere utilizzate per le finalità più disparate.

I moderni RDBMS (Relational DataBase Management System, ossia le banche dati o database) costituiscono il fondamento di ogni sistema di business e di altre attività di natura differente; tuttavia essi non vengono tradizionalmente considerati alla stessa stregua dei sistemi operativi e delle periferiche di rete almeno per quanto concerne l’adozione degli standard di sicurezza.

Due sono le ragioni fondamentali che rendono tali sistemi uno dei target più appetibili per gli hackers: la prima è sicuramente riconducibile alla presenza di dati che molto spesso assumono il carattere di estrema confidenzialità (numeri di carte di credito, dati finanziari, strategici, ecc…) mentre la seconda è data dal fatto che la compromissione di un server di database determina, non di rado, a fronte di una difficoltà di penetrazione talvolta irrisoria, la possibilità da parte dell’attaccante di acquisire il completo controllo della macchina se non addirittura della intera infrastruttura di rete.

In questa guida pertanto, dopo aver illustrato brevemente il modello di sicurezza adottato dalla maggior parte dei sistemi di database, passeremo ad analizzare gli aspetti coinvolti nel processo di hardening di un tipico RDBMS e quindi, nelle sezioni successive, analizzeremo due tra i più diffusi sistemi vale a dire Microsoft Sql Server e MySql.