Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD FET
ING. SOFTWARE V SEMESTRE
1.Para los siguientes trminos tcnicos sobre seguridad en bases de datos, de una idea con sus
palabras describiendo el concepto que usted tiene y ha entendido sobre ellos:
Terminologa tcnica:
A) Autenticacin:
Autenticar es comprobar si una entidad es quien realmente pretende ser, basado en un conjunto
de credenciales. Si Fulanito intenta entrar en la pgina privado.php, el sistema de autenticacin
deber comprobar que realmente Fulanito es quien dice ser, y esto lo har a travs de unas
credenciales: el nombre de usuario + una contrasea(por ejemplo). La autorizacin se encarga de
decidir si se permite el acceso a la entidad y qu permisos tiene. En base a esos permisos
podremos hacer unas u otras tareas. No tendr los mismos permisos el administrador de un
foro(eliminar usuarios, crear nuevos subforos, etc.) que el que tiene un usuario comn(crear
nuevos temas, responder mensajes, etc.).
B. Confidencialidad:
Garantizar que la informacin es accesible solo a aquellos autorizados a tener acceso.
C. Amenaza Informtica:
Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que
exceden los requerimientos de su puesto de trabajo se crea un riesgo innecesario. Los mecanismos
de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.
Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legtimos de bases de
datos para fines no autorizados, por ejemplo, sustraer informacin confidencial. Una vez que los
registros de informacin alcanzan una mquina cliente, los datos se exponen a diversos escenarios
de violacin.
Inyeccin por SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningn tipo de
restriccin a una base de datos completa e incluso copiar o modificar la informacin.
Malware y spear phising. Se trata de una tcnica combinada que usan los cibercriminales,
hackerspatrocinados por estados o espas para penetrar en las organizaciones y robar sus datos
confidenciales.
Explotacin de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cmo
explotar estas vulnerabilidades para lanzar ataques contra las empresas.
Datos sensibles mal gestionados. Los datos sensibles en las bases de datos estarn expuestos a
amenazas si no se aplican los controles y permisos necesarios.
Denegacin de servicio (DoS). En este tipo de ataque se le niega el acceso a las aplicaciones de red
o datos a los usuarios previstos. Las motivaciones suelen ser fraudes de extorsin en el que un
atacante remoto repetidamente atacar los servidores hasta que la vctima cumpla con sus
exigencias.
D. Vulnerabilidad de la Informacin:
envo de informacin sin cifrar por parte del usuario. A simple vista no parece un problema, sin
embargo, se convierte en tal si el negociado previo entre ambos extremos se haba realizado
recurriendo a un cifrado. Se trata de un problema muy sera que puede provocar que los datos
sufran ataques, como por ejemplo, un Man in the Middle.
E. Injectin SQL:
Muchos desarrolladores web no son conscientes de cmo las consultas SQL pueden ser
manipuladas, y asumen que una consulta SQL es una orden fiable. Esto significa que las consultas
SQL son capaces de eludir controles de acceso, evitando as las comprobaciones de autenticacin y
autorizacin estndar, e incluso algunas veces, que las consultas SQL podran permitir el acceso a
comandos al nivel del sistema operativo del equipo anfitrin.
La inyeccin directa de comandos SQL es una tcnica donde un atacante crea o altera comandos
SQL existentes para exponer datos ocultos, sobrescribir los valiosos, o peor an, ejecutar
comandos peligrosos a nivel de sistema en el equipo que hospeda la base de datos. Esto se logra a
travs de la prctica de tomar la entrada del usuario y combinarla con parmetros estticos para
elaborar una consulta SQL. Los siguientes ejemplos estn basados en historias reales,
desafortunadamente.
F. Polticas de Seguridad:
Usuario responsable directo DBA, son los encargados de establecer usuarios conceder permisos,
puede crear borrar modificar objetos creados por ellos, segn el caso que se presente, tambin
puede dar permisos a otros usuarios sobre estos objetos creados.
Medidas de seguridad Generales Fsicas: Comprende el control de quienes acceden al equipo.
Personal: Determinacin del personal que tiene el acceso autorizado. SO: Tcnicas que se
establecen para proteger la seguridad del Sistema Operativo SGBD: Utilizacin de las herramientas
que facilita el SGBD.
La plataforma de este tipo de seguridad es que se les accede a explicar explcitamente, a los
usuarios individuales, o a los programas actuando en nombre de esos usuarios, los tipos de
accesos que otros usuarios tienen sobre informacin bajo su control. Las claves del control de
acceso discrecional son las identidades de usuarios y objetos.
K. Integridad:
Estrictamente hablando, para que un campo sea una clave fornea, ste necesita ser definido
como tal al momento de crear una tabla. Se pueden definir claves forneas en cualquier tipo de
tabla de MySQL, pero nicamente tienen sentido cuando se usan tablas del tipo InnoDB.
A partir de la versin 3.23.43b, se pueden definir restricciones de claves forneas con el uso de
tablas InnoDB. InnoDB es el primer tipo de tabla que permite definir estas restricciones para
garantizar la integridad de los datos.
InnoDB no crea de manera automtica ndices en las claves forneas o en las claves referenciadas,
as que debemos crearlos de manera explcita. Los ndices son necesarios para que la verificacin
de las claves forneas sea ms rpida.
L. Cifrado:
Muchas veces queremos guardar datos en una base de datos MySQL de forma cifrada. Una forma
muy eficiente es guardando el contenido con un hash tipo md5 o sha-1. Estos dos algoritmos
permiten guardar los datos de forma cifrada y muy difcil de recuperar.
Podemos utilizar esta codificacin de la siguiente manera (extraido del manual MySQL):
El problema que ocurre en este caso es que nosotros tampoco podemos recuperar la informacin.
Esto hace que sea un mtodo muy til para contraseas. as la que nos introduce el usuario es
cifrada y la podemos comparar con esta.
Recuperando datos cifrados
Puede ocurrir el caso en el que queramos mantener datos cifrados en la base de datos, pero, al
mismo tiempo poder recuperarlos. Para ello utilizamos otro tipo de funciones que utilizan una
clave externa para realizar la codificacin del contenido del campo. Una que nos puede resultar
muy til es AES_ENCRYPT. Esta funcin nos permite cirar un contenido juntamente con la clave y
posteriormente, con AES_DECRYPT y la clave recuperar el valor original.
Hemos de tener en cuenta que para utilizar este cifrado la columna la hemos de definir como
VARBINARY, y que normalmente con una longitud de 32 suele ser suficiente. En nuestro ejemplo la
columna definida como varbinary sera col2.
A. Servidor Proxy: tener un servidor con muy buena capacidad y que sea seguro y cionfiable para
que nuestra pagina no sufra demoras ni se caiga por servidores proxy malos.
B. Cortafuegos: configurar muy bien el cortafuegos o (firewall) para tener restricciones, cifraro
limitar a lo que puede entrar y mirar en nuestros servdores y pcs.
D. Firmas Digitales: documento electrnico que se emite a una persona o entidad, contiene datos
que acreditan la identidad del titular del certificado ante terceros, tiene asociado un par de llaves
(llave pblica y llave privada), posee un periodo de vigencia implcito, es emitido y firmado por una
Autoridad Certificadora reconocida como tal que garantiza que el titular del certificado es quien
dice ser.
E. Certificados Digitales: tener una buena persona de confianza que maneje los certificados
digitales, El certificado digital es vlido principalmente para autenticar a un usuario o sitio web en
internet por lo que es necesaria la colaboracin de un tercero que sea de confianza para
cualquiera de las partes que participe en la comunicacin.
F. Kerberos: usar solo pcs de confianza para un protocolo de autenticacin de redes de ordenador
creado por el MIT que permite a dos ordenadores en una red insegura demostrar su identidad
mutuamente de manera segura.
G. Secure Sockets Layer (SSL): SSL Definicin, Secure Sockets Layer es un protocolo diseado para
permitir que las aplicaciones para transmitir informacin de ida y de manera segura hacia atrs.
Las aplicaciones que utilizan el protocolo Secure Sockets Layer s sabe cmo dar y recibir claves de
cifrado con otras aplicaciones, as como la manera de cifrar y descifrar los datos enviados entre los
dos.
H. Secure HTTP (HTTPS): SSL significa "Secure Sockets Layer". SSL Definicin, Secure Sockets Layer
es un protocolo diseado para permitir que las aplicaciones para transmitir informacin de ida y
de manera segura hacia atrs. Las aplicaciones que utilizan el protocolo Secure Sockets Layer s
sabe cmo dar y recibir claves de cifrado con otras aplicaciones, as como la manera de cifrar y
descifrar los datos enviados entre los dos.
I. Secure Electronic Transactions (SET): Transaccin electrnica segura o SET (del ingls, Secure
Electronic Transaction) es un protocolo estndar para proporcionar seguridad a una transaccin
con tarjeta de Identificacin en redes de computadoras inseguras, en especial Internet.
En definitiva tener un proveedor de proxy, cortafuegos bien configurado, gente de confianza para
el envi y recibimiento de firmas y mensajes digitales usar los servicios de https.
4. No recopilar registros de auditora detallados puede llegar a representar un riesgo muy serio
para la organizacin en muchos niveles.
7. Explotacin de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cmo
explotar estas vulnerabilidades para lanzar ataques contra las empresas.
B. Asignacin / Gestin de privilegios: restringir ciertos privilegios a las bases de datos, ya que
podran modificar,robar y gestionar informacin importante para una compaa.
D. Ficheros de configuracin: hacer una copia del fichero de configuracin my.ini que tiene las
opciones de configuracin del servidor.
E. Directorio de datos: cambiar el sitio que guarde por defecto MYSQL y establecer otra ruta.
F. Archivos log: tener especial cuidado con los archivos .log ya que tienen toda la informacin que
tuene MYSQL por debajo.
G. Acceso remoto: tener una buena configuracin con los accesos remotos del MYSQL ya que
puede ser una ventana para mal intencionados puedan robar nuestra informacin.
CREATE USER jamesson IDENTIFIED BY '123456'; crea un usuario con una contrasea.
CREATE USER 'rootfet'@'localhost' IDENTIFIED BY '123456'; crea un usuario con una contrasea.
SET PASSWORD FOR 'rootfet'@'localhost' = PASSWORD ('n1e2i3v4a5'); asigna una contrasea para
una cuenta de usuario MySQL, especificada ya sea como un texto claro (sin cifrar) o valor cifrado.
GRANT SELECT, UPDATE ON sim_card * TO adminfet, rootfet; una sentencia para darle los
privilegios de actualizar a adminfet, rootfet.
GRANT ALL ON bibliofet TO adminfet WITH GRANT OPTION le da los privilegios Conceder seleccin
al usuario con opcin de subvencin
REVOKE SELECT, INSERT ON operador FROM jamesson CASCADE; revoca los privilegios en forma
de cascada.
REVOKE SELECT, INSERT ON venta FROM jamesson RESTRICT; revoca los privilegios con
restricciones