Apenas um terço dos bancos de dados PostgreSQL conectados à internet usam SSL para mensagens criptografadas, de acordo com um provedor de banco de dados em nuvem.
Bit.io, que oferece um banco de dados de arrastar e soltar como um serviço baseado em PostgreSQL, pesquisou no shodan.io para criar uma amostra de 820.000 servidores PostgreSQL conectados à Internet de 1 a 29 de setembro. Dessa amostra, mais de 523.000 servidores PostgreSQL não usavam SSL (64%).
A empresa disse que isso deixa em aberto a possibilidade de pessoas de fora bisbilhotarem os dados transmitidos de e para o servidor. Ele também observou que 41 servidores PostgreSQL on-line nem precisavam de senha.
“Quando você se conecta a um site através de seu navegador da Web, os dados que você envia e recebe provavelmente são criptografados”, bit.io CTO Jonathan Mortensen disse em um post no blog. “É incrível, então, que os dados enviados de e para servidores PostgreSQL conectados à Internet provavelmente não estejam criptografados. É um problema.”
A empresa também realizou uma pesquisa informal com 22 clientes SQL populares. Ele descobriu que apenas dois exigem conexões criptografadas por padrão, enquanto seis solicitarão criptografia, mas aceitarão silenciosamente uma conexão não criptografada. O restante não é criptografado por padrão e exige a aceitação do uso de SSL.
Também foi descoberto que mais de 43% daqueles com certificados SSL eram autoassinados. Isso significa que, embora sejam criptografados, os certificados geralmente não conferem confiança, pois podem não ser emitidos ou validados por uma autoridade de certificação, disse a empresa. Enquanto isso, 4% dos certificados expiraram.
EDB, consultoria especializada na construção e suporte de sistemas PostgreSQL, destacou que era a minoria dos bancos de dados PostgreSQL que estavam conectados à internet, e que o sistema de código aberto não aceita conexões da internet por padrão.
Marc Linster, EDB CTO, disse “Parece que alguns provedores de hospedagem de banco de dados estão prestando um desserviço a seus clientes ao não lhes dar a capacidade de fornecer uma lista de acesso à rede restrita.”
A abordagem recomendada era dar aos clientes a opção de uma lista de permissões para restringir acesso, ele disse.
Linster apontou que o PostgreSQL tem um tipo de firewall embutido chamado pg_hba.conf. Como as conexões externas não são permitidas por padrão, se os desenvolvedores precisarem abrir o PostgreSQL para a Internet, eles devem fazê-lo através de um servidor de aplicativos que fica dentro de um firewall corporativo.
Ele também disse que os bancos de dados de produção deveriam possuem certificados SSL válidos. O pg_hba.conf permite que você restrinja o tráfego apenas para conexões SSL simplesmente alterando host para hostssl, conforme mencionado no blog.
Os DBAs que gerenciam o PostgreSQL devem revisar as configurações do firewall para garantir que as conexões sejam restritas para servidores de aplicativos e que a conexão é hostssl, então apenas conexões SSL podem ser feitas, disse Linster.
Para banco de dados como serviço (DBaaS), DBAs e desenvolvedores (ou qualquer tomador de decisão ) deve garantir que o provedor de hospedagem permita que o cliente forneça uma lista de permissões e suporte Bring Your Own Certificates (BYOC).
