Este documento describe varios aspectos clave de la seguridad en bases de datos, incluyendo tipos de usuarios, medidas de seguridad, tipos de ataques, metodologías de prueba de penetración, servicios de seguridad, identificación y autenticación de usuarios, y mecanismos de autenticación como claves y tarjetas de identificación. El objetivo principal es proteger la base de datos de ataques internos y externos a través de medidas técnicas, de políticas y de control del factor humano.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Metodologías para el Diseño de Sistemas por Isidro González. Se otorga crédito a los respectivos autores dando referencias bibliográficas a ellos dentro del informe.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Metodologías para el Diseño de Sistemas por Isidro González. Se otorga crédito a los respectivos autores dando referencias bibliográficas a ellos dentro del informe.
En esta diapositva , podemos encontrar el concepto de la ciberseguirdad y la definiciones de los diferentes mallware y asi como lo ataques mas conocidos y de mayor impacto en la sociedad.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
1. SEGURIDAD EN BASE DE DATOS CONTENIDO: Introducción Tipos de usuarios Medidas de seguridad La seguridad (fiabilidad) del sistema Donde están los intrusos Diferentes tipos de ataques Metodología Servicios de seguridad Identificación y autentificación Mecanismos de autenticación Identificación física REFERENCIAS: http://www.hospedajeydominios.com/mambo/documentacion-manual_php-pagina-security_database.html http://www.hernanracciatti.com.ar/articles/HPP26_Seguridad_en_Base_de_Datos.pdf http://pdf.rincondelvago.com/seguridad-en-bases-de-datos.html http://www.als-es.com/home.php?location=recursos/articulos/seguridad-en-bases-de-datos SEGURIDAD EN BASE DE DATOS Introducción El objetivo principal es proteger la base de datos de ataques maliciosos, sean estos internos o externos. Gran parte de los errores en cuanto a la seguridad en base de datos aun con el avance tecnológico suele producirse por la falta de preocupación de los procedimientos sencillos que a la larga se convierten en graves inconvenientes que afecta en lo concerniente a la seguridad, todo tiene que quedar de acuerdo con lo planeado sin ninguna omisión por mas mínima que sea, así como en la instalación en el diseño o en el desarrollo, cualquier punto que se deje sin la preocupación debida que no pude afectar en nada puede ser la entrada para los atacantes. Otro punto que se tendrá que tomar en cuenta es la persona encargada del manejo del sistema ya que por mas elevado que sea un sistema de seguridad no podrá hacer nada ante los errores cometidos por el factor humano. Un ejemplo se pude dar en el caso de que un administrador de sistemas o redes no se preocupe por técnicas de seguridad porque asume que el desarrollador de la aplicación web ya se ha encargado de este proceso y a su vez el desarrollador piensa lo mismo por parte del administrador de sistemas. En cambio el administrador de base de datos estará más preocupado por el correcto funcionamiento del servicio de la base de datos. En conclusión este problema se produce principalmente por la falta de preocupación en primer lugar de la empresa, luego la ausencia de comunicación entre los encargados de cada proceso y por ultimo la falta de capacitación o conocimiento sobre la técnicas de seguridad. Tipos de usuarios DBA, son los encargados de establecer usuarios conceder permisos, puede crear borrar modificar objetos creados por ellos, según el caso que se presente, también puede dar permisos a otros usuarios sobre estos objetos creados. Medidas de seguridad Pueden ser: Físicas: Comprende el control de quienes acceden al equipo. Personal: Determinación del personal que tiene el acceso autorizado. SO: Técnicas que se establecen para proteger la seguridad del Sistema Operativo SGBD: Utilización de las herramientas que facilita el SGBD Subsistemas de Seguridad: Identificar y autorizar a los usuarios: Comprende los códigos de acceso y el uso de palabras claves. Autorización: Comprende los datos ya permitidos para el acceso. Uso de técnicas de cifrado: Utilizada en bases de datos distribuidas o con acceso a la red o Internet, para la protección de datos Diferentes tipos de cuentas Manejo de la tabla de usuario con código y contraseña: Para controlar el manejo de la información de cada una de las tablas y determinar el responsable facilitando así el control de auditorias. Un factor de importancia en la seguridad de base de datos es el control de la información, que suele perderse por distintos motivos ya sean errores de hardware, software o por fallas cometidas por los usuarios por lo que es recomendable tener un respaldo de toda la información. La seguridad (fiabilidad) del sistema Se lo puede medir en los siguientes aspectos: Es necesario proteger a los sistemas de los ataques externos. Controlar los fallos o caídas del software o equipo. Controlar el manejo del administrador frente a errores que se pueden cometer. Ya que todos los sistemas de base de datos están expuestos a múltiples ataques es necesario cumplir estos aspectos contemplados aquí a fin de poder reducir en grado de vulnerabilidad. También es necesario establecer los protocolos que se deben cumplir para su correcta aplicación. Donde están los intrusos Existen ataques externos que son detectados y controlados por el firewall, pero aquí no termina el problema, de igual forma existen ataques internos, donde se le permite al usuario acceder libremente a la base de datos sin ningún tipo de protección suponiendo que el usuario no actuara con malas intenciones sobre el contenido almacenado y de esta forma comienzan un laberinto de problemas. Diferentes tipos de ataques Se los pude clasificar como: Ataques que no requieren autenticación Ataques que requieren autenticación ATAQUES QUE NO REQUIEREN AUTENTICACION: Son los más comunes ya que no se necesita de ninguna contraseña o clave, aquí tenemos las explotaciones de buffer overflow como las más presentes. Otra técnica que se encuentra en este misma clasificación es la que se pretende obtener una clave de acceso al sistema adivinando y los ataques de fuerza fruta o diccionario. ATAQUES QUE REQUIEREN AUTENTICACION: Este tipo de ataques son lanzados por personas que tienes las claves de acceso obtenidas de formas generalmente ilícitas, este tipo de ataque suele tener un grado mayor de riesgo ya que se tiene mas acceso, un ejemplo de este tipo de ataques es el de la explotación de los buffer overflows en procedimientos almacenados. Metodología Puntos que se deben tomar en cuenta al momento que se requiere realizar un test de penetración a un servidor de base de datos: Adquisición Fingerprinting/Sondeo/Descubrimiento Obtención de acceso Estalación de privilegios Compromiso total del host Tareas que se deben tomar en cuenta al realizar una auditoria detallada: Seguridad física Políticas y procedimiento Seguridad a nivel de file system Seguridad de entorno Stored procedures Passwords Los servidores de base de datos ofrecen servicios de conexión los cuales deben ser controlados, pues son un punto de ataque. Los puertos en Oracle son 1521/tcp, Sql Server utiliza puertos 1433/tcp y 1434/udp. En el año 2003 fue detectado uno de los gusanos llamado Sapphire, este era uno de los virus infecciosos mas rapidos que atacaba a versiones no parchadas de Sql Server. Entre los factores que contribuyeron a la infección tenemos: los administradores no aplicaban parques correspondientes, cierta incapacidad por parte de Microsoft en servicios automáticos update y la falta de control en el port 1434/udp. El puerto 1434/udp viene habilitado por defecto en toda instalación Sql server 2000 que se lo utiliza para diferentes actividades, y simplemente el hecho de bloquearlo hubiera sido necesario para controlar un ataque infeccioso. Una de las causas es que se cree que al no estar habilitado este puerto no funcionara bien el servicio de Sql Server, relativamente esto es falso ya que se puede trabajar normalmente si se bloquea este tipo de puerto. Servicios de seguridad Autenticación: Abarca la información referente a la interfaz Security Support Provider Interface (SSPI) para acceder a los servicios de seguridad del sistema operativo. Ejemplo: el protocolo Kerberos en Windows 2000 para la autenticación de red. Sistema de archivos encriptado: (Encrypted File System − EFS) Permite la encriptación de archivos que luego serán almacenados en el disco. Seguridad IP: (Windows IP Securitry) se lo utiliza para la defensa y protección de las redes. Servicios de seguridad Windows 2000: Tiene como función examinar los procedimiento de gestión de cuentas, autenticación de red. Tarjetas inteligentes: Utilizadas para examinar los procesos de autenticación Tecnología de claves públicas: Consiste en revisar la infraestructura de la clave incluida en los sistemas operativos de Microsoft y además nos proporciona información concerniente a criptografía. Identificación y autentificación Aquí describiremos algunas de las formas de identificación y autentificación : Código y contraseña. Identificación por hardware. Características bioantropométricas. Conocimiento, aptitudes y hábitos del usuario. Información predefinida(Aficiones, cultura) Es necesario que se especifique las actividades que podrá realizar el usuario sobre la base de datos. Crear Modificar Eliminar Borrar Ejecutar procedimientos almacenados Mecanismos de autenticación Claves: Se utiliza este tipo de autentificación para elevar el nivel de seguridad, son fáciles de comprender y utilizar. Utiliza 7 caracteres en el que el propósito es crear una clave difícil de descifrar por parte de extraños difícilmente esto se aplica ya que los usuarios generalmente suelen utilizar claves de fácil acceso y esto es aprovechado por quienes desean accedes al sistema de manera ilícita. Identificación física En este tipo de autentificación se contemplan el uso de elementos físicos como tarjetas de identificación adicionalmente se acompañan de códigos. Existen otros tipos que añaden características humanas como el tono de voz, huella dactilar entre otros.