1. M´odulo 6. Seguridad de Bases de Datos
M´odulo 6. Seguridad de Bases de Datos
Disen˜o y Administraci´on de Bases de Datos
Francisco Medina López —
paco.medina@comunidad.unam.mx
http://aulavirtual.capacitacionentics.com
Facultad de Contadur´ıa y Administraci´on
Universidad Nacional Aut´onoma de M´exico
2015-1
2. M´odulo 6. Seguridad de Bases de Datos
Agenda
1 Seguridad
Introducci´on
Administraci´on de usuarios
Administraci´on de grupos
Administraci´on de roles
Administraci´on de usuarios
2 Respaldos
3 Desarrollo de planes de contingencia
3. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
1 Seguridad
Introducci´on
Administraci´on de usuarios
Administraci´on de grupos
Administraci´on de roles
Administraci´on de usuarios
2 Respaldos
3 Desarrollo de planes de contingencia
4. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
¿Qué es la seguridad en bases de datos?
Definici´on
Nivel en el cual los datos están completamente protegidos contra
intentos y/o accesos no autorizados
Comprende sistemas de informaci´on y conceptos de seguridad de la
informaci´on.
5. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
¿De quien nos queremos proteger? (Antes)
Wannabe lamer: “I wanna be a hacker but I can’t ‘hack’ it”
(9-8 an˜os/ Grupo / Usuario Final / Diversi´on)
Script-kiddie: The script kid (10-18 an˜os / Grupo /
Organizaciones con vulnerabilidad bien conocidas / Fama)
Cracker: The destroyer (17-35 an˜os / Solo / Empresas /
Fama, Reconocimiento)
Ethical hacker: The Hacker “par excellence” (15-50 an˜os /
Solo (rara vez en grupo)/ Organizaciones de gran taman˜o /
Curiosidad, Aprender, Mejorar habilidades)
Quiet: Highly specialized hacker, uncommunicative, extremely
paranoid (16-50 an˜os / Solo / Desconocido / Curiosidad,
Aprender, Egocentrismo)
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
6. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
¿De quien nos queremos proteger? (Ahora)
Gobiernos
Robo de propiedad intelectual (PI), datos y espionaje.
Motivaci´on: Pol´ıtica y nacionalismo.
M´etodos preferidos: Ataques dirigidos.
Crimen Organizado
Robo de propiedad intelectual (PI), datos.
Motivaci´on: Pol´ıtica y nacionalismo.
M´etodos preferidos: Ataques dirigidos y fraude.
Hacktivistas
Exposici´on de propiedad intelectual y poner en riesgo la
infraestructura.
Motivaci´on: Causas pol´ıticas, ideolog´ıay agendas personales.
M´etodos preferidos: Ataques dirigidos, ataques de negaci´on de
servicio.
7. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
¿De quien nos queremos proteger? (Ahora)
Cyber warrior: The mercenary (18-50 an˜os / Solo /
Organizaciones de prestigio / Lucro)
Industrial spy: The industrial spy (22-50 años / Solo /
Empresas multinacionales/ Lucro)
Government agent: The government agent (CIA, Mossad,
FBI, etc.) (25-45 an˜os / Solo o en Grupo / Terroristas,
pr´ofugos, industrias / Actividad profesional)
Military hacker: Recruited to fight “with a computer”(25-45
an˜os/ Solo o en Grupo (rara vez en grupo)/ Gobiernos e
Industria / Actividad profesional y por una causa)
Hacktivista: Idealistas (16-35 an˜os/ Grupo / Gobierno,
Figuras públicas / Desprestigio)
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
8. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Clasificaci´on de los Hackers
Black-hats: Muestran sus habilidades en inform´atica
rompiendo sistemas de seguridad de computadoras,
colapsando servidores, entrando a zonas restringidas,
infectando redes o apoder´andose de ellas, entre otras muchas
cosas utilizando sus destrezas en métodos hacking.
Grey-hats: Grupo de individuos que en ocasiones penetran
sistema sin permiso y otras con permiso.
White-hats: Se dedican a asegurar y proteger los sistemas de
Tecnolog´ıas de informaci´on y comunicaci´on. Suelen trabajar
para empresas de seguridad inform´atica.
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 47
9. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
¿Por que es importante la seguridad en base de datos?
http://www.elfinanciero.com.mx/empresas/
10. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
¿Por que es importante la seguridad en base de datos?
http://protecciondatos.mx/2013/10/
esmultas-sanciones-impuestas-por-el-ifai-enfines-sanctions-imposed-ifai/
11. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
8 of the Biggest Data Breaches Ever and How They
Happened
http://www.entrepreneur.com/article/237098
12. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
2014 Data Breach Investigations Report
http://www.verizonenterprise.com/DBIR/2014/
13. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Website defacement en M´exico
http://www.zone-h.org/archive
14. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Website defacement en M´exico
http://www.zone-h.org/archive
15. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Who is the biggest threat to your organization?
16. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Sistemas de Informaci´on
Decisiones inteligentes requieren:
informaci´on precisa y en tiempo
integridad en la informaci´on
Sistema de informaci´on: comprende todos los componentes
necesarios para producir y generar informaci´on precisa.
Clasificaci´on de acuerdo a su uso.
17. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Sistemas de Informaci´on (2)
18. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Componentes de los sistemas de informaci´on
Datos
Procedimientos
Hardware
Software
Red
Personas
19. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Arquitectura de Sistemas de Informaci´on
Cliente-Servidor
Basado en un modelo de negocio
Puede ser implementado por niveless: un nivel; dos niveles; n
niveles
Formado por tres capas (layer)
Capa: Plataforma fı́sica o lógica
Sistema manejador de bases de datos (DBMS): Conjunto de
programas que administran bases de datos
20. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Ejemplos de arquitectura cliente-servidor
21. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Administracio´n de Bases de Datos
Esencial para el ´exito de un sistema de informaci´on
Funcionalidad de un DBMS:
Organiza los datos
Almancena y recupera informaci´on de manera eficiente
Manipula datos (update y delete)
Cumple con integridad referencial y consistencia
Cumple e implementa pol´ıticas y procedimientos de seguridad
de datos
Respalda, recupera y restaura datos en caso de desastre
22. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Componentes de un DBMS
Datos
Procedimientos
Hardware
Software
Red
Personas
Servidores de bases
de datos
23. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Seguridad de la informaci´on
La informaci´on es uno de los activos m´as valioso de una
organizaci´on.
Seguridad de la informaci´on: Procedimientos y medidas
tomadas para proteger los componentes de un sistema de
informaci´on.
Tri´angulo C.I.A.: Confidencialidad, Integridad y Disponibilidad
Las pol´ıticas de seguridad deben estar balanceadas de acuerdo
al tri´angulo C.I.A.
24. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Tri´angulo C.I.A.
25. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Confidencialidad
Trata dos aspectos de la seguridad:
Prevenci´on de acceso no autorizado.
Revelaci´on de informaci´on con base a su clasificaci´on.
Clasificar la informaci´on de la empresa en niveles:
Cada nivel tiene sus propias medidas de seguridad
Generalmente basadas en el grado de confidencialidad
necesaria para proteger la informaci´on.
26. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Clasificaci´on de la informacio´n vs Confidencialidad
27. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Integridad
Consiste en validar los datos y procesarlos correctamente
logrando certeza en la informaci´on.
La informaci´on es integra si:
Es precisa.
No ha sido falsificada.
Lectura consistente: cada usuario ve solo sus cambios y
aquellos realizados (committed) por otros usuarios.
28. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Degradaciones en la integridad de datos
Datos inv´alidos
Datos redundantes
Datos inconsistentes
Datos an´omalos
Lectura de datos inconsistente
Datos no concurrentes
29. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Disponibilidad
El sistema debe estar disponible para los usuarios autorizados
El sistema determina que puede hacer un usuario con la
informaci´on
Razones por las cuales un sistema no esta disponible:
Ataques externos o falta de protecci´on del sistema
Falla de un sistema o no contar con un plan de recuperaci´on
de desastres
Pol´ıticas de seguridad demasiado estrictas
Mala implementaci´on de procesos de autenticaci´on
30. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Arquitectura de seguridad de la informaci´on
Protege la informaci´on producida por los datos
Modelo para proteger los activos f´ısicos y l´ogicos
Disen˜o global para la implementaci´on del tri´angulo C.I.A.
31. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Arquitectura de seguridad de la informaci´on
32. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Arquitectura de seguridad de la informaci´on
Protege la informaci´on producida por los datos
Modelo para proteger los activos f´ısicos y l´ogicos
Disen˜o global para la implementaci´on del tri´angulo C.I.A.
33. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Componentes de la Arquitectura de seguridad de la
informacion
Pol´ıticas y procedimientos
Seguridad del personal y administradores
Equipos de detecci´on de intrusos
Programas de seguridad
Equipo de monitoreo
Aplicaciones de monitoreo
Procedimientos y herramientas de auditoria
34. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Seguridad en Bases de Datos
Aplica la seguridad en todos los niveles de la base de datos
Asegurar los puntos de acceso: lugar donde la seguridad de
bases de datos debe proteger y aplicarse
Si los datos requieren un mayor nivel de protecci´on, los puntos
de acceso a los datos deben ser pocos y controlados
35. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Seguridad en Base de Datos
36. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Seguridad en Bases de Datos
Reducir los puntos de acceso reduce los riesgos de seguridad
Brechas de seguridad: puntos en los cuales se pierde la
seguridad
Vulnerabilidades: fallo en un sistema que puede convertirse en
amenaza
Amenaza: Riesgo que puede convertirse en una brecha de
seguridad
37. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Seguridad en Base de Datos
38. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Compromiso de la integridad de datos
39. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Niveles de Seguridad en Bases de Datos
1 Base de datos relacional: Conjunto de archivos de datos
relacionados
2 Archivo de datos: Conjunto de tablas relacionadas
3 Tablas: Conjunto de renglones relacionados (registros)
4 Renglones. Conjunto de columnas relacionadas (campos)
40. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Niveles de Seguridad en Bases de Datos
41. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Introducción
Anatom´ıa de un ataque de inyecci´on SQL
Fuente: Pentest Magazine, p. 49, Junio 2012
42. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Administraci´on de usuarios
1 Seguridad
Introducci´on
Administraci´on de usuarios
Administraci´on de grupos
Administraci´on de roles
Administraci´on de usuarios
2 Respaldos
3 Desarrollo de planes de contingencia
43. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Administraci´on de usuarios
Ciclo de vida en la administraci´on de usuarios
Fuente: Pentest Magazine, p. 82, Septiembre 2012
44. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Administraci´on de grupos
1 Seguridad
Introducci´on
Administraci´on de usuarios
Administraci´on de grupos
Administraci´on de roles
Administraci´on de usuarios
2 Respaldos
3 Desarrollo de planes de contingencia
45. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Administraci´on de roles
1 Seguridad
Introducci´on
Administraci´on de usuarios
Administraci´on de grupos
Administraci´on de roles
Administraci´on de usuarios
2 Respaldos
3 Desarrollo de planes de contingencia
46. M´odulo 6. Seguridad de Bases de Datos
Seguridad
Administraci´on de usuarios
1 Seguridad
Introducci´on
Administraci´on de usuarios
Administraci´on de grupos
Administraci´on de roles
Administraci´on de usuarios
2 Respaldos
3 Desarrollo de planes de contingencia
47. M´odulo 6. Seguridad de Bases de Datos
Referencias bibliogr´aficas
Referencias bibliogr´aficas I
C. Wilson.
Computer Attack and Cyberterrorism: Vulnerabilities and
Policy Issues for Congress.
CRS Report for Congress, 2005.
E. Spafford.
Seguridad Pr´actica en Unix e Internet.
W. Preston
Backup & Recovery.
O’Reilly, 2006.
Seguridad Pr´actica en Unix e Internet.
48. M´odulo 6. Seguridad de Bases de Datos
Referencias bibliogr´aficas
Referencias bibliogr´aficas II
K. O’Shea
Examining the RPC DCOM Vulnerability: Developing a
Vulnerability-Exploit Cycle.
SANS.
S Harris.
CISSP Certification All-in-One Exam Guide, Fourth Edition.
McGraw-Hill Osborne Media; 4 edition (November 9, 2007).