Falha de segurança no PL/SQL Developer afeta Oracle
[ad#texto]
Todo bom DBA, AD ou mesmo qualquer analista de sistemas e/ou programador sabe que a senha dos usuários com privilégios máster de um determinado banco de dados deve ser muito bem guardada.
Porém notei um comportamento muito estranho no PL/SQL Developer, uma das ferramentas mais utilizadas para quem trabalha com Oracle.
Supondo que o DBA utilize o PL/SQL Developer para seus trabalhos, como logicamente ou ele terá a senha do SYSDBA ou pelo menos um usuário com mais privilégios ele irá utilizar este usuário no PL/SQL Developer, feito isso, dentro da pasta Preferences irá ser armazena seu perfil de uso, em um arquivo criptografado.
Os arquivos de devem ser copiados são: default.ini e user.prefs.
Qual o problema? Se o arquivo é criptografado quem tentar abri-lo não vai conseguir decifrar a senha.
Porém, eu posso copiar o perfil de uso utilizado pelo DBA e simplesmente copia-lo para dentro da pasta Preferences do meu PL/SQL Developer, assim eu poderei utilizar a senha do usuário do DBA e terei os mesmos privilégios.
Simples assim.
Creio eu que o pessoal que desenvolve o PL/SQL Developer poderia pelo menos colocar uma validação para ver se o usuário da pasta Preferences é o mesmo do usuário informado dentro do arquivo.
Embora a senha de alto privilégio continue indecifrável um usuário mal intencionado poderá conseguir acesso privilegiado ao banco de dados Oracle, efetuar o que ele quiser e a culpa ainda ficará com a pessoa que utiliza o usuário roubado.