Segurança de arquivos e metadados do Firebird
Segurança de arquivos e metadados do Firebird
Segurança de arquivos e metadados do Firebird
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Segurança</strong> <strong>arquivos</strong> e <strong>metada<strong>do</strong>s</strong><br />
Optan<strong>do</strong> por Obscurida<strong>de</strong><br />
O problema com segurança por obscurida<strong>de</strong> é que ela precisa ser obscura. Se o <strong>Firebird</strong> implementasse algum<br />
tipo <strong>de</strong> encriptação em suas rotinas <strong>de</strong> leitura e escrita em disco, ela não seria obscura, pois este é um projeto Open<br />
Source. Não levaria mais que alguns minutos para recompilar o código fonte para <strong>de</strong>scobrir a senha utilizada<br />
e então, tu<strong>do</strong> está perdi<strong>do</strong>.<br />
Então, se você realmente precisa <strong>de</strong>ssa ferramenta, você teria que copiar o código fonte <strong>do</strong> <strong>Firebird</strong>, inserir suas<br />
próprias rotinas <strong>de</strong> obscurida<strong>de</strong> e compilar sua própria variação <strong>do</strong> servi<strong>do</strong>r <strong>Firebird</strong>. (O código fonte ainda po<strong>de</strong><br />
ser <strong>de</strong>scompila<strong>do</strong>, mas para isso seria necessário um avança<strong>do</strong> conhecimento <strong>de</strong> programação.)<br />
Antes <strong>de</strong> tentar fazer isso, verifique se realmente resolveria o problema se o usuário pu<strong>de</strong>sse obter uma cópia<br />
<strong>do</strong>s executáveis especiais compila<strong>do</strong>s junto com o banco <strong>de</strong> da<strong>do</strong>s. Ou se ainda seria possível ao usuário extrair<br />
os segre<strong>do</strong>s diretamente <strong>de</strong> seu servi<strong>do</strong>r.<br />
O Argumento Filosófico<br />
Há também a seguinte questão filosófica: Por que você escolheria um banco <strong>de</strong> da<strong>do</strong>s Open Source para construir<br />
um produto com banco <strong>de</strong> da<strong>do</strong>s proprietário. Muitas pessoas contribuiram com o projeto com a crença <strong>de</strong> que<br />
a melhor forma <strong>de</strong> se fazer software é Open Source.<br />
Mais particularmente, quan<strong>do</strong> se trata <strong>de</strong> armazenamento <strong>de</strong> informações <strong>do</strong> usuário, eu acredito que os usuários<br />
precisem ter a habilida<strong>de</strong> <strong>de</strong> acessar sua própria informação - o que normalmente inclui a necessida<strong>de</strong> <strong>de</strong> enten<strong>de</strong>r<br />
a estrutura e os processos que você construiu (<strong>metada<strong>do</strong>s</strong>). Se você sair <strong>do</strong> merca<strong>do</strong> ou ficar, <strong>de</strong> alguma forma,<br />
indisponível, será <strong>de</strong> crítica importancia que o usuário consiga ao menos extrair sua própria informação (em<br />
formatos apropria<strong>do</strong>s) <strong>de</strong> forma a conseguir migrar para sistemas alternativos.<br />
Você po<strong>de</strong> confiar em seus usuários para respeitarem sua proprieda<strong>de</strong> intelectual enquanto você ainda estiver<br />
no merca<strong>do</strong> e disponível? Disponibilize os serviços e facilida<strong>de</strong>s necessários e provavelmente, eles respeitarão.<br />
Caso contrário, então há uma gran<strong>de</strong> chance <strong>de</strong> que não há nada que você possa fazer.<br />
Conclusões<br />
O problema é que muitas pessoas não enten<strong>de</strong>m <strong>de</strong> segurança e como é difícil fazer bem feito. Lamentavelmente<br />
existem muitos softwares que estimulam esses <strong>de</strong>sentendi<strong>do</strong>s por implementar obscurida<strong>de</strong> no lugar <strong>de</strong> segurança<br />
<strong>de</strong> verda<strong>de</strong>. Observe o número <strong>de</strong> empresas que existem que oferecem serviços <strong>de</strong> “recuperação <strong>de</strong> informação”,<br />
que na verda<strong>de</strong>, nada mais é que quebrar a suposta segurança da informação protegida por obscurida<strong>de</strong>.<br />
Encriptação não é um milagre da segurança. Se você não tiver o controle sobre a estrutura (o hardware, o sistema<br />
operacional e to<strong>do</strong>s os softwares neste sistema), você não terá controle sobre a segurança - não importa que<br />
esquemas <strong>de</strong> encriptação você implemente no local. Essa é a situação que você tem quan<strong>do</strong> precisa distribuir<br />
seu banco <strong>de</strong> da<strong>do</strong>s para instalações externas.<br />
10