Falha de segurança no PL/SQL Developer afeta Oracle

[ad#texto]
Todo bom DBA, AD ou mesmo qualquer analista de sistemas e/ou programador sabe que a senha dos usuários com privilégios máster de um determinado banco de dados deve ser muito bem guardada.

Porém notei um comportamento muito estranho no PL/SQL Developer, uma das ferramentas mais utilizadas para quem trabalha com Oracle.

Supondo que o DBA utilize o PL/SQL Developer para seus trabalhos, como logicamente ou ele terá a senha do SYSDBA ou pelo menos um usuário com mais privilégios ele irá utilizar este usuário no PL/SQL Developer, feito isso, dentro da pasta Preferences irá ser armazena seu perfil de uso, em um arquivo criptografado.

Os arquivos de devem ser copiados são: default.ini e user.prefs.

Qual o problema? Se o arquivo é criptografado quem tentar abri-lo não vai conseguir decifrar a senha.

Porém, eu posso copiar o perfil de uso utilizado pelo DBA e simplesmente copia-lo para dentro da pasta Preferences do meu PL/SQL Developer, assim eu poderei utilizar a senha do usuário do DBA e terei os mesmos privilégios.

Simples assim.

Creio eu que o pessoal que desenvolve o PL/SQL Developer poderia pelo menos colocar uma validação para ver se o usuário da pasta Preferences é o mesmo do usuário informado dentro do arquivo.

Embora a senha de alto privilégio continue indecifrável um usuário mal intencionado poderá conseguir acesso privilegiado ao banco de dados Oracle, efetuar o que ele quiser e a culpa ainda ficará com a pessoa que utiliza o usuário roubado.

 

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.