Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

Seiten
Kategorien
Archiv
Kalender
März 2026
M D M D F S S
 1
2345678
9101112131415
16171819202122
23242526272829
3031  
Suchen
SQL Server Security
SQL Security
Microsoft SQL Thinking
Microsoft SQL Thinking
Top 15 Postings
BlogWart
  • BlogHaus Blogger-Karte
  • Bloggeramt.de
18. September 2010 um 13:58

Whitepaper: Anatomie eines Sicherheitsverstoßes

Von Thomas

Bei Heise.de entdeckte ich heute das Whitepaper "Anatomie eines Sicherheitsverstoßes – Warum es zu Datensicherheitsverstößen kommt … und was Sie dagegen tun können" von Symantec. Um es zu bekommen, muss man erst mal einen Heise-Account einrichten, dann muss man noch etliche persönliche Informationen angeben, unter anderem Name der Firma, Daten über die Firma und die eigene Position und das Aufgabengebiet (Pflichtfelder), aber man kann auch bspw. "secret" beim Firmennamen eintragen, was sicher nicht nur für Privatleute oder Studenten vorteilhaft ist. Wenn es dann an den Download geht, dann gehen diese Infos offenbar an Symantec, die aber auch noch unbedingt eine Telefonnummer haben wollen. Auch hier habe ich ausprobiert, dass man bspw. "0000000" eintragen kann. Seltsam, dass die da keinen Zusammenhang zum Titel des Whitepapers sehen: Daten, die sie nicht haben, können nicht verloren gehen bzw. missbraucht werden…

Das Whitepaper an sich enthielt für mich keine neuen Informationen, nur eine Grafik, die leider nicht erklärt oder im Text angerissen wird und die Entwicklung der Angriffsarten aufzeigt (in %). Da die Summe pro Jahr der Angriffsarten aber bei 230% liegt, wäre eine Erklärung scher hilfreich gewesen. Das Dokument ist vermutlich geeignet, wenn man für das Management externe Referenzen für Aussagen rund um Security braucht.

Hier ist das Inhaltsverzeichnis, um einen Eindruck über die behandelten Themen zu bekommen:

Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Warum treten Datensicherheitsverstöße auf? . . . . . . . . 2
Wohlmeinende Mitarbeiter . . . . . . . . . . . . . . . . . . . . . 2
Zielgerichtete Angriffe . . . . . . . . . . . . . . . . . . . . . . . 3
Mitarbeiter mit böswilligen Absichten . . . . . . . . . . . . . . 5
Was bedeutet das? . . . . . . . . . . . . . . . . . . . . . . . . . 6
So lassen sich Datensicherheitsverstöße stoppen. . . . . . 7
Machen Sie den ersten Schritt . . . . . . . . . . . . . . . . . . 10
Warum Symantec? . . . . . . . . . . . . . . . . . . . . . . . . . .10
Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

In Kategorie Security | Kommentare deaktiviert für Whitepaper: Anatomie eines Sicherheitsverstoßes | (Der Artikel wurde 31221 mal abgerufen)
16. September 2010 um 20:15

VSS-Sicherungen mit SQL Server unter Windows 7

Von Thomas

Nach zähem Ringen mit Microsoft (Bug oder Feature) erhielten wir vor gut zwei Monaten einen Test-Fix mit dem man unter Windows 7 tatsächlich eine korrekte VSS-Sicherung von SQL-Server-Datenbanken durchführen kann.

Als wir das Problem feststellten, konnten wir es zunächst gar nicht glauben, weil sogar mit dem guten alten NTBackup von XP eine korrekte Datensicherung von geöffneten SQL-Server-Datenbanken möglich war. Dabei spricht die Sicherungssoftware über das VSS-Framework und den SQL-Writer mit dem SQL-Server und teilt ihm mit, er möge bitte kurz den IO-Freezen, erstellt dann einen Snapshot und lässt den SQL-Server dann weiter machen.
Die Windows-7-Sicherung führt die Sicherung aber über den File-Provider durch, dabei wird der SQL-Server umgangen und einfach die geöffneten Dateien gesichert. Ursache ist, dass die Liste der VSS-Writer hart kodiert wurde und offenbar ein paar als unnötig betrachtet wurden.

Der für uns erstellte Hotfix KB2288055 ist mittlerweile public und wird wohl auch im kommenden SP1 für Windows 7 enthalten sein. Dann kann man die Liste der VSS-Writer über einen Registry-Key erweitern…

Offenbar waren wir nicht die einzigen, die das Problem entdeckten. Im Juli wurde dazu bei MS-Connect ein Wunsch eingetragen. Dass zeitgleich dazu der Fix erstellt wurde, wird dabei in den Kommentaren bis heute nicht erwähnt. Seltsam…

PS: Auf den Connect-Eintrag wurde ich heute über OPIs SQL Blog aufmerksam. Leider erlaubt er keine Kommentare, daher musste ich es mit einem eigenen Artikel und einem Trackback versuchen… Leider vergeblich. 😉

Update 20:30h: Mein Versuch eine Problemlösung bei MS-Connect einzutragen ist wohl eher blöd gelaufen. Dort kann man keine Verweise eintragen. Daher sieht mein Kommentar etwas bescheiden aus… Naja, wer weiß was ein VSS-Backup ist, der wird es wohl trotzdem lesen können. Außerdem kann ich sehen, dass es in Redmond jetzt 11:30h ist. 🙂

In Kategorie SQL Server | Kommentare deaktiviert für VSS-Sicherungen mit SQL Server unter Windows 7 | (Der Artikel wurde 29301 mal abgerufen)
13. September 2010 um 22:24

SQL-PASS Franken: Des Hackers Sicht auf den SQL-Server

Von Thomas

SQL-PASSNachdem ich im August bei unserem Sommerloch-Entspannungstreffen den Kopernikus-Biergarten (besser bekannt als Biergarten am Krakauer Haus) kennenlernte, geht es nun wieder mit einem Vortrag bei der SQL-PASS-Franken weiter. Diesmal geht es um das Spannungsfeld zwischen Cracker und Security:

In den letzten Monaten tritt das Thema Datenschutz und Datenmissbrauch immer stärker an die Öffentlichkeit. Maßnahmen zum Schutz der Sicherheit werden von Managern meist stillschweigend vorausgesetzt. Aber wie sehen Hacker den SQL-Server? Welche Angriffsflächen bieten sich welchen Angreifern? Der Vortrag geht auf gängige Bedrohungen ein: das Spektrum reicht von Portscans bis zu im SQL-Server eingebrachte Root-Kits. Daraus kann man ableiten wie der SQL-Server grundsätzlich abgesichert werden kann und welche Maßnahmen bei Design und Implementierung der Anwendungen beachtet werden müssen.
Wer einfache 10-Punkte-Pläne erwartet, der wird enttäuscht. Die Teilnehmer sollen vielmehr am Ende in der Lage sein eine auf Ihren Bedrohungsfall zugeschnittene Lösung zu finden.

Der Referent bin diesmal ich. Daher noch ein paar Worte zum Inhalt: Das Highlight für mich ist die Vorführung eines rudimentären SQL-Server-Root-Kits, das ins System einzuschleusen mir doch mehr Mühe machte als ich erwartet hatte. Microsoft hat zum Glück inzwischen doch schon einige Hürden aufgebaut. Der Einstieg ist die Frage was das überhaupt für Typen sind, die versuchen in unsere geschätzten Datenbanken einzudringen. Danach geht es mehr um das wie und um die Möglichkeiten die Hürden möglichst hoch zu legen. Der Schlüssel dazu sind vor allem die Anwendungen und deren Architektur.

Ich würde mich freuen, wenn recht viele kommen. Ich persönlich finde das Thema recht interessant. Es richtet sich nicht nur an Entwickler, sondern auch Administratoren und gerade auch an BIler, die nur nebenbei mit SQL Server arbeiten.

Diesmal ist der Ort neu, daher habe ich noch keine Idee, wie man da mit den Öffentlichen hin kommt. Offenbar ist Umsteigen Trumpf. Mal schauen:

Gastgeber ist die New Elements GmbH im neuem Büro (Thurn-und-Taxis-Straße 10, 90411 Nürnberg).

Der Termin ist am Dienstag, den 21.09.2010, ab 18:30 Uhr (und nicht etwa 18h, wie bei SQLPASS-Franken zu lesen).

Der Eintritt ist natürlich immer noch frei, auch Nicht-Mitglieder sind herzlich eingeladen. Bitte dennoch bei Michael Deinhard unter M.Deinhard(ät)newelements.de oder Klaus Oberdalhoff unter kob(ät)sqlpass.de anmelden, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Wenigstens drei mal musste ein Vortrag bereits wegen großen Ansturms andere Räume umziehen.

Mehr Infos hier.

In Kategorie SQL-Talk | 2 Kommentare | (Der Artikel wurde 29471 mal abgerufen)
12. September 2010 um 21:37

SQLdays 2010 in Rosenheim

Von Thomas

SQLdays 2010 in RosenheimWer am 19./20.10.2010 noch nichts vor hat, der sollte sich die Agenda der SQLDays 2010 in Rosenheim mal genau anschauen. Nicht zu verwechseln mit den zeitgleich stattfindenden PowerDays/Prio-Conference in Nürnberg.

Die SQLDays beschränken sich allerdings rein auf Themen rund um Microsoft SQL-Server, was mir persönlich entgegen kommt. Die Liste der Referenten hat mich sehr erfreut, weil ich einige bekannte Namen auftauchen:
Wilfried Färber, Steffen Krause, Klaus Aschenbrenner, Markus Raatz. Auch bei den Themen wird mein Geschmack getroffen, hier meine persönlichen Highlights:

  • SQL Server 2008 R2 – Was ist neu im Nicht-BI-Bereich?
  • SQL Server 2008 R2: CPUs, Cores und CPU-Gruppen verwalten
  • SQL Server 2008 R2 StreamInsight
  • Abfrageoptimierung und Ausführungsplananalyse mit SQL Server
  • Securing Analysis Services

Das Thema der Podiumsdiskussion hat mich auch schon beschäftigt: "Wo geht der SQL Server in Zukunft hin? Wie wird der SQL Server in 10 Jahren aussehen?". Microsoft würde sicher SQL Azure oder andere Schlagwörter nennen. Aber mich interessiert eher wo der SQL-Server in 10 Jahren wirklich steht. Gibt es dann nur noch In-Memory-Datenbanken? Ist BI dann mit OLTP verschmolzen, weil alles so schnell geht? Vielleicht haben die Diskussionsteilnehmer dazu gute Beiträge.

Ein Hinweis zur Agenda: Dort tauchen teilweise nur verstümmelte Session-Titel auf, die einige Fragezeichen aufwerfen. Wenn man die korrekten Titel in der Liste der Session sieht, dann ist es besser… Schade auch, dass es für die Sessions von Wilfried Färber keine Beschreibungen gibt. Wer ihn nicht kennt, sich aber für BI interessiert, der sollte ihn kennenlernen. Es lohnt sich garantiert.

Der Haken: Der Preis dürfte Überzeugungsarbeit beim Chef erfordern. Wer sich kurzfristig (bis zum 17.9.) anmeldet, kann noch 50 Euro sparen… 😉

In Kategorie SQL-Talk | Kommentare deaktiviert für SQLdays 2010 in Rosenheim | (Der Artikel wurde 28147 mal abgerufen)
8. September 2010 um 21:45

eBook: Introducing Windows Server 2008 R2

Von Thomas

Frisch aus dem Urlaub zurück habe ich mich noch kaum durch alle Mails gekämpft, aber dieses eBook zum Windows Server 2008 R2 will ich mir doch gleich mal merken: Free Windows Server 2008 R2 E-Book

Wie immer muss man sich dafür kostenlos registrieren…

Das PDF hat 11 MBytes, die XPS-Fassung 28 MBytes. Aus Nahe liegenden Gründen habe ich es noch nicht gelesen. Daher hier keine Bewertung des Inhalts.

In Kategorie Buch | Kommentare deaktiviert für eBook: Introducing Windows Server 2008 R2 | (Der Artikel wurde 24525 mal abgerufen)
29. August 2010 um 19:05

50 Minigames

Von Thomas

Wer ab und an gerne kleine Minigames macht, der findet bei der Liste der Computer-Bild Die beliebtesten Downloadspiele im Juli 2010 sicher den ein oder anderen Treffer. Um zur Liste zu kommen dort einfach auch die kleinen Vorschaubilder klicken. Etliche sind schon recht bekannt (z.B. Moorhuhn als Remake), anderev kannte ich noch nicht.

In Kategorie Entspannung | Kommentare deaktiviert für 50 Minigames | (Der Artikel wurde 40727 mal abgerufen)
25. August 2010 um 18:41

Database Source Control

Von Thomas

Seit 1995 gehört es zu meinen Aufgaben die Entwickler darin zu unterstützen, wie sie bei einem Versionswechsel die Änderungen an der Datenbank zum Kunden ausrollen können. Daher las ich den Artikel "When Database Source Control Goes Bad" von Mike Mooney mit besonderem Interesse. Und es stimmt alles was er sagt.

In Kategorie SQL-Talk | Kommentare deaktiviert für Database Source Control | (Der Artikel wurde 34548 mal abgerufen)
23. August 2010 um 18:38

Neuerscheinungen: Datenbankbücher

Von Thomas

Bei Amazon kann man sich einen ganz guten Überblick verschaffen welche Bücher zum Thema "Datenbanken" kürzlich erschienen oder demnächst erscheinen werden: Beliebte Neuveröffentlichungen in der Kategorie Datenbanken

In Kategorie Buch, SQL-Talk | Kommentare deaktiviert für Neuerscheinungen: Datenbankbücher | (Der Artikel wurde 37324 mal abgerufen)
21. August 2010 um 10:20

Datenpanne durch offenes Verzeichnis

Von Thomas

Offenbar wurden die Versicherungsanträge bei der Versicherung "Alte Leipziger" nicht in einer geschützten datenbank gespeichert, sondern im KLartext als Dateien in einem bestimmten Verzeichnis gespeichert. Das alleine ist ja schon mal schlecht, weil darin personenbezogene Daten stehen. Daher müssen solche Daten bei uns verschlüsselt sein oder geschützt in einer Datenbank gespeichert werden. Nun kam es wir es kommen musste: Das Verzeichnis wurde durch Unachtsamkeit nicht geschützt. Daher konnte man da schön drin rumschnüffeln. Das ist wohl auch passiert. Heise schreibt zum Umfang der Daten:

Die Anträge wurden über den Tarifrechner der Sparte Rechtsschutz-Union aufgenommen und enthielten vertrauliche Daten wie etwa Bankverbindung, Beruf, Fahrzeuge, eventuelle Vorschäden sowie den bisherigen Versicherer des Antragsstellers. Auch Geburtsdatum, Nationalität, Familienstand und Angaben zu den Kindern fanden sich in den Anträgen.

Das sind genug Infos, um sich eine Online-Identität zu erschleichen. Die Menschen tun mir leid. Die Lücke bestand seit Anfang des Jahres. Zu hoffen, dass kein Bösewicht diese Daten missbraucht, wäre schon sehr naiv. Immerhin:

Der Konzern will die betroffenen Kunden zeitnah informieren.

Das ist wenigstens mal ehrlich den Kunden gegenüber.

In Kategorie Datenpannen und -handel | Kommentare deaktiviert für Datenpanne durch offenes Verzeichnis | (Der Artikel wurde 47785 mal abgerufen)
20. August 2010 um 18:30

eßürG eleiV

Von Thomas

samohT
eßürG eleiV
.nies therdrev sawte nohcs nam ssum ,nennök uz nesel txeT neseid mu
,reseL ebeil ollaH

Wie? Na, so: auf "beides umdrehen" klicken.

In Kategorie OffTopic | Kommentare deaktiviert für eßürG eleiV | (Der Artikel wurde 45368 mal abgerufen)
19. August 2010 um 18:40

Performance von "Table Valued Parameters"

Von Thomas

Mein Kollege Robert macht mich auf den Artikel "SQL Server 2008 Table Valued Parameters Performance" von Scott Zurolo aufmerksam. Hier wird eine hausgemachte Lösung mittels XML als Übergabeparameter der Lösung mittels Table Valued Parameters gegenüber gestellt. Irgendwie klar, dass die TVPs besser sind. Man muss sich kostenlos registrieren, um den Artikel lesen zu können.

Früher nutzten wir immer ganz normale Tabellen in die wir die Menge an Sätzen reinschrieben, dabei wurde für alle zusammengehörigen Sätze eine gemeinsame Set-ID vergeben. Der Stored-Procedure wurde dann diese ID als Parameter mitgegeben. Bei weniger als hundert Datensätzen ist das schnell und elegant. Bei mehr als 6000 nicht mehr praktikabel, weil dann durch den Einfügevorgang die ganze Tabelle exklusiv gesperrt wird. Hier dürften die TVPs helfen.

Sehr schön ist auch die Aufstellung bei Microsoft "Table-Valued Parameters". Hier ist auch eine Gegenüberstellung zum BULK-INSERT.

Da ich selber noch nicht mit TVPs gearbeitet habe, kann ich nicht viel beisteuern. Ich könnte mir aber denken, dass es problematisch ist, dass man einen benutzerdefinierten Datentypen (UDT) anlegen muss. Wenn man den Typ beim CREATE-PROCEDURE wie beim DECLARE "on the fly" definieren könnte, dann wäre es sicher einfacher. So aber muss man bei einer Schnittstellenänderung der Prozedur gleich den UDT mit ändern.

In Kategorie SQL-Talk | 1 Kommentar | (Der Artikel wurde 34744 mal abgerufen)
18. August 2010 um 18:44

Buchbesprechung: SQL Server Deep Dives

Von Thomas

In der August-Ausgabe des SQLPASS-Newsletters findet man ganz hinten auf Seite 8 gut versteckt eine längliche Buchvorstellung von mir:
"SQL Server Deep Dives". Der Sammelband bietet 59 Artikel von 53 SQL-Server-MVPs.

Das Buch ist definitiv geeignet für verregnete Urlaubstage. Weil die Orga-Info aus unerfindlichen Gründen nicht mit abgedruckt wurde, liefere ich sie hier nach:
Das Buch ist 2010 im Manning Verlag erschienen, hat 804 Seiten (davon 40 Seiten Index).
Preise: eBook USD 34,99; Printausgabe (eBook inklusive) USD 59,99; bei Amazon.de derzeit € 51,99

In Kategorie Buch | Kommentare deaktiviert für Buchbesprechung: SQL Server Deep Dives | (Der Artikel wurde 35279 mal abgerufen)
« Vorherige Seite« ältere Beiträge | neuere Beiträge »Nächste Seite »

Glorf IT is powered by WordPress | Using Tiga theme with a bit of Ozh