WINIFRED GALVIZ PASCUAS

ADMINISTRACIN SISTEMAS DE INFORMACIN

PARA GERMAN GIOVANNI

UNIVERSIDAD FET
ING. SOFTWARE V SEMESTRE
1.Para los siguientes trminos tcnicos sobre seguridad en bases de datos, de una idea con sus
palabras describiendo el concepto que usted tiene y ha entendido sobre ellos:

Terminologa tcnica:
A) Autenticacin:
Autenticar es comprobar si una entidad es quien realmente pretende ser, basado en un conjunto
de credenciales. Si Fulanito intenta entrar en la pgina privado.php, el sistema de autenticacin
deber comprobar que realmente Fulanito es quien dice ser, y esto lo har a travs de unas
credenciales: el nombre de usuario + una contrasea(por ejemplo). La autorizacin se encarga de
decidir si se permite el acceso a la entidad y qu permisos tiene. En base a esos permisos
podremos hacer unas u otras tareas. No tendr los mismos permisos el administrador de un
foro(eliminar usuarios, crear nuevos subforos, etc.) que el que tiene un usuario comn(crear
nuevos temas, responder mensajes, etc.).

Cdigo y contrasea Identificacin por hardware Conocimiento, aptitudes y hbitos del

usuario Informacin predefinida (Aficiones, cultura)

B. Confidencialidad:
Garantizar que la informacin es accesible solo a aquellos autorizados a tener acceso.

La confidencialidad se basa en la promesa de un manejo seguro de la informacin.

La Criptografa es usada para garantizar la confidencialidad de la informacin.

C. Amenaza Informtica:
Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que
exceden los requerimientos de su puesto de trabajo se crea un riesgo innecesario. Los mecanismos
de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.

Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legtimos de bases de
datos para fines no autorizados, por ejemplo, sustraer informacin confidencial. Una vez que los
registros de informacin alcanzan una mquina cliente, los datos se exponen a diversos escenarios
de violacin.

Inyeccin por SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningn tipo de
restriccin a una base de datos completa e incluso copiar o modificar la informacin.

Malware y spear phising. Se trata de una tcnica combinada que usan los cibercriminales,
hackerspatrocinados por estados o espas para penetrar en las organizaciones y robar sus datos
confidenciales.

Auditoras dbiles. No recopilar registros de auditora detallados puede llegar a representar un

riesgo muy serio para la organizacin en muchos niveles.
Exposicin de los medios de almacenamiento para backup. stos estn a menudo desprotegidos,
por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas.
Adems, el no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los
administradores sobre la informacin confidencial puede poner en riesgo los datos.

Explotacin de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cmo
explotar estas vulnerabilidades para lanzar ataques contra las empresas.

Datos sensibles mal gestionados. Los datos sensibles en las bases de datos estarn expuestos a
amenazas si no se aplican los controles y permisos necesarios.

Denegacin de servicio (DoS). En este tipo de ataque se le niega el acceso a las aplicaciones de red
o datos a los usuarios previstos. Las motivaciones suelen ser fraudes de extorsin en el que un
atacante remoto repetidamente atacar los servidores hasta que la vctima cumpla con sus
exigencias.

Limitado conocimiento y experiencia en seguridad y educacin. Muchas firmas estn mal

equipadas para lidiar con una brecha de seguridad por la falta de conocimientos tcnicos para
poner en prctica controles de seguridad, polticas y capacitacin.

D. Vulnerabilidad de la Informacin:
envo de informacin sin cifrar por parte del usuario. A simple vista no parece un problema, sin
embargo, se convierte en tal si el negociado previo entre ambos extremos se haba realizado
recurriendo a un cifrado. Se trata de un problema muy sera que puede provocar que los datos
sufran ataques, como por ejemplo, un Man in the Middle.

E. Injectin SQL:
Muchos desarrolladores web no son conscientes de cmo las consultas SQL pueden ser
manipuladas, y asumen que una consulta SQL es una orden fiable. Esto significa que las consultas
SQL son capaces de eludir controles de acceso, evitando as las comprobaciones de autenticacin y
autorizacin estndar, e incluso algunas veces, que las consultas SQL podran permitir el acceso a
comandos al nivel del sistema operativo del equipo anfitrin.

La inyeccin directa de comandos SQL es una tcnica donde un atacante crea o altera comandos
SQL existentes para exponer datos ocultos, sobrescribir los valiosos, o peor an, ejecutar
comandos peligrosos a nivel de sistema en el equipo que hospeda la base de datos. Esto se logra a
travs de la prctica de tomar la entrada del usuario y combinarla con parmetros estticos para
elaborar una consulta SQL. Los siguientes ejemplos estn basados en historias reales,
desafortunadamente.

F. Polticas de Seguridad:
Usuario responsable directo DBA, son los encargados de establecer usuarios conceder permisos,
puede crear borrar modificar objetos creados por ellos, segn el caso que se presente, tambin
puede dar permisos a otros usuarios sobre estos objetos creados.
Medidas de seguridad Generales Fsicas: Comprende el control de quienes acceden al equipo.
Personal: Determinacin del personal que tiene el acceso autorizado. SO: Tcnicas que se
establecen para proteger la seguridad del Sistema Operativo SGBD: Utilizacin de las herramientas
que facilita el SGBD.

Medidas de seguridad Generales Fsicas: Comprende el control de quienes acceden al equipo.

Personal: Determinacin del personal que tiene el acceso autorizado. SO: Tcnicas que se
establecen para proteger la seguridad del Sistema Operativo SGBD: Utilizacin de las herramientas
que facilita el SGBD.}

Servicios de seguridad Autenticacin Sistema de archivos encriptado Seguridad IP Servicios de

seguridad Windows Tarjetas inteligentes, Identificacin y autentificacin Cdigo y contrasea.
Identificacin por hardware. Conocimiento, aptitudes y hbitos del usuario. Informacin
predefinida(Aficiones, cultura).

G. Control de Acceso Discrecional:

DAC es un medio para restringir el acceso a entes, basado en la identidad de los sujetos y los
conjuntos a los que estos conciernen. Los controles son discrecionales en el sentido que un
usuario o un proceso que tiene permiso de acceso a informacin dado por mediosdiscrecionales es
capaz de pasar esa informacin a otro sujeto.

La plataforma de este tipo de seguridad es que se les accede a explicar explcitamente, a los
usuarios individuales, o a los programas actuando en nombre de esos usuarios, los tipos de
accesos que otros usuarios tienen sobre informacin bajo su control. Las claves del control de
acceso discrecional son las identidades de usuarios y objetos.

H. Control de Acceso Obligatorio:

Los mecanismos de control obligatorio, a veces llamados controles no discrecionales, limitan el
acceso basado en atributos sobre los cuales el que intenta acceder no tiene control. Los controles
discrecionales dependen de la informacin proporcionada por el usuario.

I. Seguridad a travs de las Vistas:

Puede permitrsele al usuario que vea cierta informacin atreves de las vistas o negarse a verlas
dependiendo de los permisos otorgados.
J. Copias de Seguridad:
El mtodo ms utilizado para crear copias de seguridad de MySQL se basa en el uso del comando
mysqldump. Este comando se incluye dentro de las utilidades del propio servidor MySQL, por lo
que ya se instal cuando instalaste MySQL. Para comprobar que dispones de mysqldump, abre
una consola de comandos.

K. Integridad:
Estrictamente hablando, para que un campo sea una clave fornea, ste necesita ser definido
como tal al momento de crear una tabla. Se pueden definir claves forneas en cualquier tipo de
tabla de MySQL, pero nicamente tienen sentido cuando se usan tablas del tipo InnoDB.

A partir de la versin 3.23.43b, se pueden definir restricciones de claves forneas con el uso de
tablas InnoDB. InnoDB es el primer tipo de tabla que permite definir estas restricciones para
garantizar la integridad de los datos.

Para trabajar con claves forneas, necesitamos hacer lo siguiente:

Crear ambas tablas del tipo InnoDB.

Usar la sintaxis FOREIGN KEY(campo_fk) REFERENCES nombre_tabla (nombre_campo)

Crear un ndice en el campo que ha sido declarado clave fornea.

InnoDB no crea de manera automtica ndices en las claves forneas o en las claves referenciadas,
as que debemos crearlos de manera explcita. Los ndices son necesarios para que la verificacin
de las claves forneas sea ms rpida.

L. Cifrado:
Muchas veces queremos guardar datos en una base de datos MySQL de forma cifrada. Una forma
muy eficiente es guardando el contenido con un hash tipo md5 o sha-1. Estos dos algoritmos
permiten guardar los datos de forma cifrada y muy difcil de recuperar.

Podemos utilizar esta codificacin de la siguiente manera (extraido del manual MySQL):

CREATE TABLE md5_tbl (md5_val CHAR(32), ...);

INSERT INTO md5_tbl (md5_val, ...) VALUES(MD5('abcdef'), ...);

El problema que ocurre en este caso es que nosotros tampoco podemos recuperar la informacin.
Esto hace que sea un mtodo muy til para contraseas. as la que nos introduce el usuario es
cifrada y la podemos comparar con esta.
Recuperando datos cifrados

Puede ocurrir el caso en el que queramos mantener datos cifrados en la base de datos, pero, al
mismo tiempo poder recuperarlos. Para ello utilizamos otro tipo de funciones que utilizan una
clave externa para realizar la codificacin del contenido del campo. Una que nos puede resultar
muy til es AES_ENCRYPT. Esta funcin nos permite cirar un contenido juntamente con la clave y
posteriormente, con AES_DECRYPT y la clave recuperar el valor original.

Un ejemplo puede ser el siguiente:

INSERT INTO t (col1, col2) VALUES (1, AES_ENCRYPT('valor original', 'clave'));

SELECT col1, EAS_DECRYPT(col2, 'clave');

Hemos de tener en cuenta que para utilizar este cifrado la columna la hemos de definir como
VARBINARY, y que normalmente con una longitud de 32 suele ser suficiente. En nuestro ejemplo la
columna definida como varbinary sera col2.

2. Defina o proyecte un contexto de seguridad de un SGSBB en un entorno Web, de

acuerdo a su tipo, as:

A. Servidor Proxy: tener un servidor con muy buena capacidad y que sea seguro y cionfiable para
que nuestra pagina no sufra demoras ni se caiga por servidores proxy malos.

B. Cortafuegos: configurar muy bien el cortafuegos o (firewall) para tener restricciones, cifraro
limitar a lo que puede entrar y mirar en nuestros servdores y pcs.

C. Algoritmos de Compendio de Mensajes: Los compendios de mensaje se generan pasndolo a

travs de una funcin criptogrfica unidireccional (aquella que no puede invertirse). Cuando el
compendio de un mensaje se cifra utilizando la clave privada del remitente y se anexa al mensaje
original, el resultado se conoce como firma digital del mensaje. El algoritmo utilizado por SET
genera compendios de 160 bits. La probabilidad de que dos mensajes tengan el mismo compendio
es de 1 entre 1.048.

El receptor de uno u otro mensaje puede comprobar su autenticidad generando el compendio en

su copia del mensaje, encadenndolo con el compendio del otro mensaje (suministrado por el
remitente) y computando el compendio del resultado. Si el compendio recin generado se
corresponde con la firma doble descifrada, el destinatario puede confiar en la autenticidad del
mensaje.

D. Firmas Digitales: documento electrnico que se emite a una persona o entidad, contiene datos
que acreditan la identidad del titular del certificado ante terceros, tiene asociado un par de llaves
(llave pblica y llave privada), posee un periodo de vigencia implcito, es emitido y firmado por una
Autoridad Certificadora reconocida como tal que garantiza que el titular del certificado es quien
dice ser.

E. Certificados Digitales: tener una buena persona de confianza que maneje los certificados
digitales, El certificado digital es vlido principalmente para autenticar a un usuario o sitio web en
internet por lo que es necesaria la colaboracin de un tercero que sea de confianza para
cualquiera de las partes que participe en la comunicacin.

F. Kerberos: usar solo pcs de confianza para un protocolo de autenticacin de redes de ordenador
creado por el MIT que permite a dos ordenadores en una red insegura demostrar su identidad
mutuamente de manera segura.

G. Secure Sockets Layer (SSL): SSL Definicin, Secure Sockets Layer es un protocolo diseado para
permitir que las aplicaciones para transmitir informacin de ida y de manera segura hacia atrs.
Las aplicaciones que utilizan el protocolo Secure Sockets Layer s sabe cmo dar y recibir claves de
cifrado con otras aplicaciones, as como la manera de cifrar y descifrar los datos enviados entre los
dos.

H. Secure HTTP (HTTPS): SSL significa "Secure Sockets Layer". SSL Definicin, Secure Sockets Layer
es un protocolo diseado para permitir que las aplicaciones para transmitir informacin de ida y
de manera segura hacia atrs. Las aplicaciones que utilizan el protocolo Secure Sockets Layer s
sabe cmo dar y recibir claves de cifrado con otras aplicaciones, as como la manera de cifrar y
descifrar los datos enviados entre los dos.

I. Secure Electronic Transactions (SET): Transaccin electrnica segura o SET (del ingls, Secure
Electronic Transaction) es un protocolo estndar para proporcionar seguridad a una transaccin
con tarjeta de Identificacin en redes de computadoras inseguras, en especial Internet.

En definitiva tener un proveedor de proxy, cortafuegos bien configurado, gente de confianza para
el envi y recibimiento de firmas y mensajes digitales usar los servicios de https.

3. En un contexto como Ingeniero de Software con responsabilidades de Administrador

de un Sistema de Informacin Multiusuario, establezca diez (10) recomendaciones que
garanticen la seguridad a las Bases de Datos que conforman el ecosistema digital de una
empresa de alto nivel de procesamiento de datos.
1. los privilegios de los usuarios, quien debe y quien no debe usar ciertos datos.

2. tener mtodos de seguridad para malwares y todo tipo de ataque.

3. hacer backup 3 veces al dia.

4. No recopilar registros de auditora detallados puede llegar a representar un riesgo muy serio
para la organizacin en muchos niveles.

5. un lugar adecuado para guardar los backups.

6. cambiar los nombres de los servidores de localhost a otros nombres y cambiar el privilegio
root por otro.

7. Explotacin de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cmo
explotar estas vulnerabilidades para lanzar ataques contra las empresas.

4. Que recomendaciones de seguridad informtica podran aplicarse a motores de Bases

de Daos MySQL bajo los siguientes esquemas:
A. Cuentas y autenticacin de usuario: establecer la autenticacion y administraion de usuarios, la
administracion de privilegios y funciones, la administracion de contraseas de usuario y el
establecimiento de limites de recursos de la base de datos proteccion del directorio de datos,
control de sesiones y horarios de trabajo.

B. Asignacin / Gestin de privilegios: restringir ciertos privilegios a las bases de datos, ya que
podran modificar,robar y gestionar informacin importante para una compaa.

C. Privilegios administrativos, en bases de datos y tablas: establecer los privilegios convenientes

para cada persona.

D. Ficheros de configuracin: hacer una copia del fichero de configuracin my.ini que tiene las
opciones de configuracin del servidor.

E. Directorio de datos: cambiar el sitio que guarde por defecto MYSQL y establecer otra ruta.

F. Archivos log: tener especial cuidado con los archivos .log ya que tienen toda la informacin que
tuene MYSQL por debajo.

G. Acceso remoto: tener una buena configuracin con los accesos remotos del MYSQL ya que
puede ser una ventana para mal intencionados puedan robar nuestra informacin.

5. Ejecute las siguientes sentencias SQL en un entorno de Base de Datos MySQL, e

interprete o describa los resultados obtenidos:

CREATE USER jamesson IDENTIFIED BY '123456'; crea un usuario con una contrasea.

CREATE USER 'rootfet'@'localhost' IDENTIFIED BY '123456'; crea un usuario con una contrasea.

SET PASSWORD FOR 'rootfet'@'localhost' = PASSWORD ('n1e2i3v4a5'); asigna una contrasea para
una cuenta de usuario MySQL, especificada ya sea como un texto claro (sin cifrar) o valor cifrado.

GRANT SELECT ON operador TO jamesson; una sentencia para conceder privilegios.

GRANT SELECT, UPDATE ON sim_card * TO adminfet, rootfet; una sentencia para darle los
privilegios de actualizar a adminfet, rootfet.

GRANT ALL ON bibliofet TO adminfet WITH GRANT OPTION le da los privilegios Conceder seleccin
al usuario con opcin de subvencin

REVOKE SELECT, INSERT ON operador.vendedor FROM jamesson; La REVOKE declaracin permite

a los administradores del sistema para revocar los privilegios de las cuentas MySQL.

REVOKE SELECT, INSERT ON operador FROM jamesson CASCADE; revoca los privilegios en forma
de cascada.

REVOKE SELECT, INSERT ON venta FROM jamesson RESTRICT; revoca los privilegios con
restricciones