Ile ryzyka dla bezpieczeństwa stanowią publikowane schematy koncepcyjne?

Do moich badań prosiłem o schematy koncepcyjne z systemu informacyjnego agencji rządowej. Moja prośba została odrzucona, ponieważ stanowi zagrożenie bezpieczeństwa.

Tak naprawdę nie mam bogatej bazy danych, więc nie mogę zweryfikować tego roszczenia. Czy ujawnienie schematu naprawdę stanowi tak duże zagrożenie bezpieczeństwa? Mam na myśli, że są dość abstrakcyjne i oddzielone od implementacji sprzętu i oprogramowania. Docenione zostanie wyjaśnienie, w jaki sposób atakujący może wykorzystać schematy koncepcyjne. Dzięki.

Zgadzam się z gbn (więc +1), ale myślę, że istnieją dwie inne możliwości:

1. Jest całkiem możliwe, że ich schemat pojęciowy w dużym stopniu pokrywa się ze schematem fizycznym. Znajomość nazw tabel zapewnia porządny start w planowaniu ataków typu SQL injection.

2. Jest bardzo prawdopodobne, że nie mają udokumentowanego schematu pojęciowego. Organizacje, które pozwalają programistom projektować własne bazy danych, często nie mają rygorystyczności w procesie projektowania baz danych, przechodząc od razu do fizycznej implementacji bez wstępnego projektu. Mogą nie chcieć się do tego przyznać lub mogą nie chcieć poświęcać czasu i problemów związanych z tworzeniem z powrotem dokumentu koncepcyjnego, który nigdy nie istniał.

Edycja: OP skomentował, że organizacja proszona o schemat koncepcyjny jest agencją rządową. To moim zdaniem dodaje kolejną prawdopodobną możliwość:

Urzędnicy państwowi nie są znani z zamiłowania do podejmowania ryzyka, dlatego funkcjonariusz średniego szczebla w departamencie rządowym raczej nie wystawi szyi i nie ujawni informacji na wypadek, gdyby mógł zwrócić uwagę lub irytację kogoś z dalszej hierarchii .

Nadal uważam, że # 2 jest najbardziej prawdopodobne.

Sugerowałbym, że jest to ryzyko związane z własnością intelektualną, ale nie chcieli tego powiedzieć

Całkowicie zgadzam się, że schemat koncepcyjny tajnych informacji również musi być utrzymywany w tajemnicy.

Jeśli szpiedzy zbierają małe informacje, które w jakiś sposób prześlizgują się przez szczeliny, nadal istnieje problem z umieszczeniem tych informacji w odpowiednim kontekście. Schemat pojęciowy zapewnia kontekst. Forma i zawartość zebranych ciekawostek może znacznie różnić się od formy i zawartości danych w bazie danych, ale schemat ciągły stanowi doskonały przewodnik do dekodowania.

Pracując nad odzyskiwaniem danych dla firm, zawsze uważałem wiarygodny schemat koncepcyjny za kopalnię złota. Oczywiście projekty te nie obejmowały szpiegostwa. Ale łatwo zobaczyć, jak przebiega ta sama analiza.

Wielu dostawców stara się trzymać schematy bazy danych blisko swoich skrzynek. Tak często, jak nie, chodzi o to, aby ukryć ich brudne, małe tajemnice, takie jak całkowity brak integralności danych lub oczywiście kiepski projekt bazy danych. Inne powody to:

• Wiele produktów ma źle zaprojektowane schematy baz danych.

• Chęć nie ponoszenia obciążeń związanych z obsługą.

• Próby zmuszenia klientów do zakupu usług doradczych w zakresie integracji systemów.

• Chęć maksymalizacji kosztów wyjścia, aby zniechęcić klientów do migracji do produktów konkurencji.

Niestety nie pracujesz dla klienta, ale gdybyś był, mógłbyś użyć argumentu w rodzaju pytania o to, jakie wady architektoniczne ma oprogramowanie, aby ujawnienie schematu bazy danych mogło stanowić zagrożenie bezpieczeństwa.