Oto rozwiązanie konkursu, dotyczące odbezpieczenia bazy nr 1 (zab_dane1.mdb), przysłane przez Adama Liberackiego


Trafiłem na te zabezpieczone bazy.
Ponieważ nie znalazłem odpowiedzi na access.vis.pl i p.c.b-d.a,
to pozwolę sobie opisać boje z bazą dla amatarów.
(Chociaż łatwość dostania do bazy poraziła mnie,
i myślę, że już ktoś wcześniej to zrobił,
tylko nie miałeś czasu o tym napisać.)
Krok po kroku:
1. Ściągnąć bazy z access.vis.pl :-)
2. Ściągnąć program Access Password wersja Pro (obecnie 1.5)
http://www.worddecryptor.com/accesspass.html
program jest taniutki 29$ ale można go też ściągnąć np. w wersji 1.0 tutaj:
http://flz.thebugs.ws/3620622/A/accesspasswordv1.0cracknitrous.zip
3. Za pomocą programu odczytać ID usera kk z zab_dane1.mdb
4. Utworzyć nowy plik grupy i dodać user kk z ID, oraz dodać go do
grupy Administratorzy (może być puste hasło).
5. Jeszcze tylko zmienić hasło Administratora, co by można wskoczyć
na konto kk.
6. Otworzyć Twoją bazę z userem kk i pustym hasłem.
(BTW: ^^^^^^^^^^k, choć nie wiem po co ono w bazie program.mde)
7.
 Identyfikator    Pole1
1                          Baza
2                          zabezpieczona
3                          standardowo
4                         na
5                         poziomie
6                         użytkownika

Tak jak napisałem wcześniej łatwość łamania zabezpieczeń Accessa poraża.
Nie wiem nawet czy łapię się na poziom script kiddies.[...]
Trochę się zawiodłem, bo wszystko zajęło mi 45 minut.
 (w tym 30 minut szukania, bo nie mam wprawy w warezach).
Do bazy dla speców chwilowo nie mogę się dobrać,
bo dziewczyna mi bręczy, że niedziela, spacer, ja ciągle przy kompie i takie tam :-)


Takie moje uwagi do zabezpieczeń, kiedyś o tym pisałem na p.c.b-d.a:
skoro użytkownik może skopiować plik bazy danych to dupa zbita.
W zaciszu domowym go złamie, choćby za 1 000 000 lat.
A ty o tym nawet nie będziesz wiedział. Ja wykombinowałem sobie coś takiego:
(Nie wdrożyłem, bo zainstalowałem MSDE.)
Otóż uniemożliwiłem userom dostęp do pliku bazy danych!!!
Jak? Na poziome NTFS. Ale jak user z tego korzysta?
Otóż bazę rozdzieliłem na frontend i backend.
Ten ostatni przeniosłem na ukryty udział sieciowy,
do którego dostęp mają tylko 'specjalni' użytkownicy.
Frontend łączył się z udziałem za pomocą swego
'specjalnego' usera i hasła, a zwykły user o tym nawet nie wiedział.
Oczywiście można skopiować frontend i w domu odczytać jakoś hasło,
choć z mde nie jest to trywialne (przynajmniej dla mnie).
Ale można się przed tym zabezpieczyć zmieniając je często
i wgrywając userowi nowy frontend przy logowaniu.
Należy jeszcze zapewnić aby user nie mógł wylistować udziałów i gotowe.
Można nawet ustawić audyt na udziale i będziesz widział,
kto korzysta z plików backendu, i kto ewentualnie próbuje dostać
się do ukrytego udziału.
Ten sposób jest bardzo elastyczny i skuteczny.
Np. każdy egzemplarz frontendu,
może mieć innego 'specjalnego' usera i hasło.
Może opis brzmi skomplikowanie, ale zapewniam,
że tak się da, i działa. Może nie jest to oczywiste:
w moim scenariuszu bazę należy także zabezpieczyć
na poziomie użytkownika.

Pozdrawiam
Adam Liberacki