Segurança por Omissão em Sistemas de Gestão de Bases de Dados

E mais uma vez a propósito do SINO, ainda outro artigo em que estive envolvido (com Carlos Lourenço) apresentou um estudo experimental da segurança por omissão (ou "out-of-the-box") em sistemas de gestão de bases de dados (SGBDs). O estudo incidiu sobre os seguintes SGBDs: IBM DB2 (versões 8.2 e 9.1), Microsoft SQL Server (2000 e 2005), MySQL (4.1 e 5.0), Oracle (9i e 10g), PostgreSQL (7.4.14 e 8.2), Sybase (12.5 e 15).

Os resultados foram surpreendentes: comunicação em claro (em todos), vários SGBDs com contas de administrador sem password ou com password bem conhecida, informação sobre o sistema disponível em quantidades industriais...

E se ainda fosse preciso mais alguma motivação para esse estudo, veja-se este recente artigo:
"A survey by renowned database hacker David Litchfield has found a whopping 492,000 Microsoft SQL and Oracle database servers directly accessible to the Internet without firewall protection."
http://blogs.zdnet.com/security/?p=663&tag=nl.e589

Artigo completo: http://www.di.fc.ul.pt/~mpc/pubs/Lourenco-ConfiguracaoOmissaoSGBD-sino07.pdf