Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'IBM gaat database-beveiliger Guardium kopen'

IBM zou plannen hebben om voor 225 miljoen dollar het bedrijf Guardium over te nemen. Guardium ontwikkelt beveiligingssoftware voor databases van grote bedrijven. Naar verwachting zal de overname nog deze week worden aangekondigd.

Guardium

De overname zou deze week door IBM worden aangekondigd, zo meldt persbureau Reuters op basis van berichten in de Israelische zakenkrant TheMarker. IBM zou al sinds januari pogingen hebben ondernomen om de firma in te lijven, waardoor de prijs flink zou zijn opgedreven, schrijft Haaretz.

Het van oorsprong Israelische bedrijf Guardium werd in 2002 opgericht. In 2003 verhuisde de firma naar de Amerikaanse stad Boston. Guardium, dat momenteel zestig werknemers telt, ontwikkelt software die de toegang tot databases moet beveiligen. Het bedrijf ontving in de opstartfase 21 miljoen dollar van investeringsbedrijven als Ascent Venture Capitals, StageOne Ventures, Veritas en netwerkreus Cisco.

Door Dimitri Reijerman

Redacteur

30-11-2009 • 13:17

12 Linkedin Google+

Reacties (12)

Wijzig sortering
Dit is een slimme zet. In de wereld waarin we leven komt het steeds vaker voor dat complete databases in handen komen van kwaadwillenden. Vaak gaat het hier om privacygevoelige gegevens, die van grote waarde zijn voor het bedrijf. Zodra deze gegevens worden buitgemaakt wordt de betrouwbaarheid in grote mate aangetast, en is ze de goede naam snel verloren.

Op de site van IBM staat een interessant interview met Harriet Pearson, chief privacy officer:

http://www-03.ibm.com/inn...t_pearson_interview.shtml

Guardium is een toonaangevend en gezond bedrijf, die een vrij effectieve werkwijze heeft. Daarom snap ik wel dat IBM interesse heeft in de organisatie. Bovendien investeert Cisco in Guardium, een partnerbedrijf van IBM.

Guardium heeft technieken die SQL injectie voorkomen. Ze hebben allerhande applicaties om databases te monitoren en analyseren, zodat er tijdig kan worden ingegrepen, mocht er iets op het punt staan om fout te gaan. Ze hebben software die in wezen te werk gaat als een sniffer, en waarmee er met behulp van reguliere expressies patronen gevonden kunnen worden waar je een alarmmelding op zou kunnen triggeren. SQL guard is de applicatie waar ze om bekend staan.

Hier kun je wat meer lezen over de technieken die ze gebruiken:

www.corporateink.com/pdfs/guardium.pdf

Hier is een review te lezen van SQL guard:

http://www.networkcomputi...ew-guardium-sql-guard.php

Ik denk dat IBM hier verstandig aan doet, en dat ze Guardium een extra impuls kunnen geven om te groeien. Guardium heeft bewezen dat ze een goede partij zijn die een goed product levert, IBM heeft op zijn beurt veel kennis van de markt en kan dit product succesvoller maken als het goed loopt.
Guardium heeft technieken die SQL injectie voorkomen.
Vrijwel iedere database heeft dit, het is alleen jammer dat vele programmeurs weigeren om hier gebruik van te maken. Of zelfs niet (willen?) weten wat beveiliging is. Wanneer een gebruiker/bezoeker/hacker zelf SQL-statements kan aanmaken en voldoende rechten heeft om deze uit te voeren, ben je gewoon het haasje. Ik ken de producten van Guardium niet (moet ik eens tijd voor vrij maken), maar verwacht niet dat zij hier iets tegen kunnen doen.
Nou, wanneer je even e.e.a. doorleest, zie je al dat er nergens wordt gesteld dat SQL injection onmogelijk wordt. Wat ze doen, is zoeken naar patronen. Wanneer een statement teveel afwijkt van een patroon, dan wordt er actie ondernomen. Ga op je gemak de database leegtrekken met een normaal statement maar met jouw voorwaarden, dus niet id = x maar id = y, dan zal dit niet opvallen en kun je gewoon met de data aan de haal gaan.

Dit is niet zo gek, de database wordt zelden direct door een user benaderd, daar zal vrijwel altijd een applicatie (met connection pool) tussen zitten waardoor de database altijd dezelfde users op de database ziet. De database kan dus niet zien of Rob nu data opvraagt of dat Cario de data opvraagt. Mocht ik mijn id kunnen aanpassen en daar (ook) het id van Rob in kunnen zetten, dan haal ik mooi de data van Rob op. En dat noemen ze ook wel SQL injectie. En dus blijf je afhankelijk van de applicatie, die moet veilig zijn en correct met userinput omgaan.
Dat is weliswaar een veiligheids-lek, maar geen SQL-injection. Bij SQL-injection oefen je invloed uit op de SQL die wordt opgebouwd, niet op de waardes van de parameters die gebruikt worden (wat die id van jou typisch is bij 'goed' geprogrammeerde code).
Ook in een op SQL-Injection 'goed' gecodeerde site kunnen nog wel lekken zitten die het mogelijk maken om de session-state te corrumperen waardoor gegevens van een andere dan de aangelogde gebruiker getoond worden.
SQL-Injection is het proberen uit te laten voeren van door de gebruiker opgegeven SQL-statements.
Misschien een domme vraag, maar wat moet ik me voorstellen bij beveiligingssoftware voor databases van grote bedrijven? Mijn kennis is beperkt tot MySQL voor de website & wat gepruts in men jeugdjaren met MS Access maar ik zou er toch van uit gaan dat er in database software men al een zekere beveiliging heeft zitten en dat de overige beveiliging (in netwerken) gebeurd door andere apparatuur zoals firewalls etc. die zorgen voor een complete beveiliging van het netwerk (inclusief database servers, web servers, ...) ?

edit; even zelf op zoek gegaan, ze bieden eigenlijk niets nieuw aan maar een oplossing in zijn geheel. Een soort kant & klare oplossing voor je hele bedrijfsnetwerk waar alle servers al op voorhand op elkaar afgestemd zijn. (logging, firewall, monitoring, user-rights, data-security, ...). Ik kan me dus wel voorstellen dat je als bedrijf liever dit hebt dan dat je aan de slag moet met allemaal aparte tools... Uiteraard zal er ook wel de nodige service bijgeleverd zijn :)

[Reactie gewijzigd door KimG op 30 november 2009 13:47]

wellicht dingen zoals fine-grained toegang / permissie locking.

in Oracle kunnen die dingen wel, maar ik kan me zo snel niet herinneren of het in IBM's DB2 ook kan.
in Oracle kunnen die dingen wel, maar ik kan me zo snel niet herinneren of het in IBM's DB2 ook kan.
Ga er maar rustig van uit dat het kan in DB2. Voor Informix*) durf ik het niet te garanderen.


*) Iets minder dan 10 jaar geleden door IBM overgenomen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True