вадяда, но у десктопной - можно получить доступ ко всем формам
Форма это что? Экранная или форма отчетности?
В правильном приложении без дизассемблирования - нельзя. Доступ к экранным формам (и их частям), репортам и прочему - лежит в той же БД в такой прихотливой форме (ограничения на уровне БД, ограничения на уровне ролей/юзеров БД, ограничения на уровне ролей прикладной системы, причем все это дергается через хранимки), что даже с документацией поллитра нужна.
Не, если ваша система допускает вход по sa/sa, masterkey и у вас не удален Скотт Тигер - можно и левым приложением напрямую приконнектиться. Хотя правильная СУБД политиками может ограничить возможность коннекта с левых аппликух.

Petro123,
Не удавленный Скотт Тигер не самое страшное из того, что было.
Трехзвенка, где коннект к БД идет по sa/sa. Общепит, где к БД оставлен тот же дефолтный пароль.
Зарплата и кадры, где пара логин и пароль лежат в ини-файле.
КИС, где после коннекта юзеру грантуются админские права, юзер КИС есть юзер БД, соль пароля константа, хэш пароля сохраняется (и солится перед этим) при первом коннекте через клиента КИС - т.е. после создания юзера КИС в админке КИС у юзера админский доступ к СУБД.

maytonв современных Ораклах (11/12) господин Скотт не поставляется из коробки.
Не все, что эксплуатируется сейчас, написано на 11 версии. Одна из систем на моей практике написана на седьмой, выведена из эксплуатации на 11 версии оракла. Скотт это лишь пример. ADMIN/admin, созданный врукопашную, не менее опасен.
maytonНужен как минимум DBA
Вот видите, начались уточнения. Нужен ДБА, ДБА должен обладать нужной квалификацией, перед ДБА нужно поставить задачу, задачу нужно подкрепить админресурсом.
Открою маленький секрет: во многих организациях, где эксплуатируются ИС на Оракле, ДБА нет. Программистов тоже нет, а внедрял и сопровождает разработчик. Вот топикстартер разработчик. Он хоть задумался над темой. А сколько не задумались?
вадяесли есть доступ к компу - почему нельзя получить экзешник?
Зачем? Долго и дорого. Дефицит специалистов. Взломщик как лишнее звено. Социоинженерная атака на прокладку между креслом и клавиатурой быстрее, дешевле и даст информацию сразу в пригодном для обработке виде
вадявот один из вариантов защиты.
Про отключенные USB. Работал я как-то в такой фирме. Зато был неограниченный интернет. ЯДиск, ГуглДрайв, почта... Унести/принести данные было без проблем.
А основные убытки были от воровства на складе...
вадядля начала надо определить границы уровня защиты.
А вот это золотые слова

maytonЯ убежден на 99% что топик-стартер ломает открытую дверь
Скорее всего. Продуманной архитектуры системы нет, специалистов для решения специфической задачи нет, схема уязвимостей отсутствует, книжки читать некогда.
Показать, что есть - страшно, и в этом я топикстартера понимаю.
Ну вроде минимальный гигиенический аспект осветили, сумеет - сделает.
Кстати, самая страшная на моей памяти по ИБ система была по моей оценке самой лучшей с точки удовлетворения потребностей бизнеса и простоты сопровождения. Знали уязвимые места, думали в узком кругу, когда придумали - зарешали.

maytonЕсли вы поднимаете БД в Amazon RDS то ниже 10 там вам сборку скорее всего не предложат
А если я пришел в фирму, которая не выкладывает клиентские данные в облако и не планирует это делать? Сами, все сами.
maytonценность данных внутри обычно пропорциональна ответственности людей которые их создавали.
Увы, нет. Доказывать на примерах не буду. А еще вы упускаете разработчика: создатель данных (заказчик) осознает их ценность, но не способен оценить риски (доверяя экспертизе разработчика), а разработчик системы поставляет продукт AS IS и игнорирует риски заказчика.
maytonУчебная бд как правило не содержит внутри никаких бизнес-данных.
Учебная БД, которая не содержит данных, неинтересна. А вот разработчицкая БД, поднятая с дампа продуктива недельной давности и не обфусцированная... А есть еще прямой доступ к продуктиву...
вадяэто как вариант унести тот же экзешник
Да не надо экзешник таскать. Заплатите девочке, печатающей отчеты.