Fase 5 - Presentar un informe final del proceso
realizado.
Duvan Esteban Urrego
Universidad Nacional Abierta y a Distancia
deuf19@gmail.com.com
Resumen— Existe una constante preocupación por la seguridad
de las bases de datos; muchas veces la seguridad se ve afectada
por la configuración de los procesos de conexión. En este artículo
se observan los diferentes problemas que pueden llegar afectar la
seguridad en las bases de datos de una organización como por
ejemplo, el abuso de privilegios, la falta de seguimiento de
auditoría, los privilegios excesivos y no utilizados, la exposición a
los medios de almacenamiento y la explotación de
vulnerabilidades y bases de datos mal configuradas, ayudándonos
a identificar por que se presentan dichos inconvenientes y así
poder tomar las medidas necesarias para la corrección de estos
problemas.
Palabras clave— Privilegios, Malware, SQLi, Auditorias,
Vulnerabilidades, Vulnerabilidad, BDA.
Abstract— There is a constant concern for the security of the
databases; Many times, security is affected by the configuration
of the connection processes. In this article, we can observe the
different problems that can affect security in the databases of an
organization, such as abuse of privileges, lack of audit trail,
excessive and unused privileges, exposure to media of storage and
exploitation of vulnerabilities and misconfigured databases,
helping us to identify why these drawbacks are presented and
thus be able to take the necessary measures to correct these
problems.
Keywords— Privileges, Malware, SQLi, Audits,
Vulnerabilities, Vulnerability, BDA.
I. INTRODUCCIÓN
Una gran mayoría de datos e información sensible del
mundo está almacenada en sistemas de bases de datos como
MySQL, Oracle, Microsoft SQL Server, Mongo entre otros.
Toda esa información es la que hace que los ciberdelicuentes
centren su esfuerzo en poder acceder a esa información por
medio de alguna de las muchas vulnerabilidades que nos
podemos encontrar referente a estos gestores, vulnerabilidades
que o bien pueden ser debidos a problemas de seguridad en el
software, en este caso es necesario tener siempre actualizada a
la última versión para corregir posibles problemas de
seguridad, y otras veces a la forma en la que está configurado
su acceso o bien problemas en la programación de la
aplicación, problemas que pueden causar el conocido ataque
SQL Injection, uno de los ataques más comunes cuando de
bases de datos se trata, conociendo los problemas de seguridad
de las bases de datos más comunes, podemos crear políticas de
seguridad y procesos que nos ayuden a reducir el espectro de
un posible ataque y mitigaremos las vulnerabilidades con las
que estamos expuestos día a día.
II. PROBLEMAS DE SEGURIDAD EN BASES DE
DATOS.
El desconocimiento tanto de las amenazas a la seguridad en
bases de datos como de estrategias para mitigarlas, llamada
como experiencia limitada en seguridad y falta de educación,
permite a atacantes tomar ventaja de los administradores de
estas y lograr obtener la información almacenada. En el
presente documento se tratarán los principales problemas de
seguridad encontradas en las búsquedas de referencias en
internet.
A. USO EXCESIVO DE PRIVILEGIOS INNECESARIOS
Hace referencia a usuarios con permisos más allá de los
necesarios para ejercer su trabajo, por ejemplo, un usuario
cuyos accesos deben ser para consulta y generación de
reportes contables, que tienen acceso a la creación de usuarios.
El origen de esta amenaza a la seguridad se da al momento de
realizar la creación de los usuarios por parte de los encargados
de la administración (administrador de bases de datos o DBA,
“DatabaseAdministrator” por sus siglas en inglés) al poseer
una política de control de accesos no definida o poco acorde a
la compañía.
Permite a usuarios con credenciales autorizadas conectarse a la
base de datos y consultar y/o modificar información no relativa
al rol desempeñado en la compañía. Se evitaría al utilizar el
“principio de privilegios mínimo” concediendo a cada usuario
los accesos requeridos a los objetos de la base de datos, tablas,
procedimientos, funciones, y a las operaciones que deba
realizar, consulta, actualización o creación de nuevos registros.
B. ABUSO DE PRIVILEGIOS
Esta amenaza es materializada cuando un usuario interno,
con credenciales autorizadas y permisos definidos para la
ejecución de sus labores en la compañía, hace uso de estos
para beneficio personal y/o de terceros ajenos a la empresa.
El abuso de privilegios para propósitos no autorizados Se
puede presentar de diferentes maneras:
- Abuso de privilegios (se otorga demasiado)
- Abuso de privilegios legítimos (cuenta con
autorización)
- Abuso de privilegios no utilizados (no son necesarios
otorgar)
En un estudio realizado por Verizon en 2014 muestra que el
abuzo de privilegios es uno de los principales problemas de
seguridad que se tienen en las compañías con el 80% de
ocurrencia como se muestra en la siguiente imagen:
C. INYECCIÓN SQL
Un ataque de inyección SQL consiste en la inserción o
"inyección" de una consulta SQL a través de los datos de
entrada del cliente a la aplicación. Un exploit de inyección
SQL exitoso puede leer datos confidenciales de la base de
datos, modificar datos de la base de datos (Insertar / Actualizar
/ Eliminar), ejecutar operaciones de administración en la base
de datos (como cerrar el DBMS), recuperar el contenido de un
archivo determinado presente en el archivo DBMS Sistema y
en algunos casos emitir comandos al sistema operativo. Los
ataques de inyección SQL son un tipo de ataque de inyección,
en el que los comandos SQL se inyectan en la entrada del
plano de datos para efectuar la ejecución de comandos SQL
predefinidos.
D. MALWARE
Son aplicaciones diseñadas con un fin particular, desde
mostrar un mensaje en el computador de un usuario hasta
tomar control de un sistema encargado de una instalación
SCADA, el caso de Stuxnet en el cual las instalaciones para
investigación y desarrollo de la energía nuclear de una nación,
Irán, fueron infectadas con este malware el cual fue
desarrollado con la capacidad de controlar las señales
eléctricas de un sistema tan complejo como delicado, las
centrifugadoras utilizadas en el proceso, para hacer que estas
trabajaran en condiciones límite y le mostraran al operador
humano señales de operación normal, consiguiendo de esta
manera sabotear las instalaciones nucleares Iraníes. El uso de
este tipo de herramientas se enmarca en ataques más
elaborados, ataques que pretenden tomar el control de los
equipos de manera silenciosa ante los administradores. Su
estrategia de propagación hace uso de métodos como mensajes
al correo electrónico, enlaces a sitios web, software pirata,
ingeniería social y memorias USB.
E. FALTA DE AUDITORÍA
Es una tarea de vital importancia, la cual no debe evitar
realizarse bajo pretextos de degradación de rendimiento y/o
desempeño del motor de bases de datos. Permite a los
administradores conocer las actividades realizadas por los
usuarios y las consultas ejecutadas en el motor de base de
datos, para así generar controles de seguridad eficaces y
confiables.
Muchas empresas han dejado de existir como producto de sus
falencias en el control interno de las bases de datos, y en la
falta de una auditoría que evalúe eficazmente la misma. La
falta de buenos controles internos (no meramente normativos,
sino aplicados) no sólo han dado lugar a estafas o
defraudaciones (sea esta por parte de ejecutivos, empleados o
clientes), sino también a graves errores en materia de
disponibilidad, integridad y confidencialidad.
F. EXPOSICIÓN DE LOS MEDIOS DE
ALMACENAMIENTO
La exposición de la información en los medios de copia de
seguridad o backup; la ejecución de esta tarea es relativamente
sencilla, escoger la hora indicada, el tipo de copia a realizar,
incremental, diferencial o completa acto seguido el lugar en
donde se almacenará y posteriormente decidir si será llevada a
un medio externo, una cinta o un disco DVD o almacenada en
la nube pero, ¿qué sucede si esta copia es hurtada?, ¿Está
protegida de manera que no permita una fácil lectura a quien la
hurta?, muchas empresas e ingenieros encargados en las bases
de datos no tienen buenas prácticas en el almacenamiento y
protección de las unidades o de las copias de seguridad, donde
dejan expuesto a que personal interno o externo a la compañía
puedan llegar a tener acceso y por ende, se convierta en un
problema generado robo de información.
G. EXPLOTACIÓN DE VULNERABILIDADES, BASES
DE DATOS NO CONFIGURADAS
Motores de bases de datos sin actualizar, sistemas
operativos sin actualizar, instalaciones de MS SQL Server
utilizando las cuentas del sistema operativo (Local System,
Network Service y Local Service), bases de datos de
producción restauradas en entornos para prueba sin medidas
de protección adecuadas, servidores web instalados en el
mismo equipo en el que se encuentra el servidor de bases de
datos, servidores de base de datos con acceso a y desde
internet, bases de datos cuyos usuarios poseen excesivos
privilegios. Este listado de vulnerabilidades, encontrados en el
desarrollo del presente documento, permitiría a atacantes,
internos o externos, tomar control de la base de datos
generando no solo pérdidas a la compañía si no también daño
en su normal operación.
H. INFORMACIÓN SENSIBLE SIN ADMINISTRAR
Como se debe conocer el tipo de información almacenado
en las tablas de las bases de datos, se hace necesario realizar y
mantener un inventario detallado de las mismas, tipos de datos,
nombres de las columnas, usuarios con acceso y nivel de
permisos. Inclusive a las bases de datos en pruebas. Para este
propósito las bases de datos cuentan con algunas vistas y
tablas del sistema que con el conocimiento y experticia pueden
ser usadas para conocer las bases de datos alojadas, los
permisos a las mismas y las tablas y tipos de datos de cada
columna.
I. EXPERIENCIA Y EDUCACIÓN LIMITADA EN
SEGURIDAD
El factor humano, los administradores de sistemas, los
trabajadores de la compañía, todos ellos deben ser conscientes
de la política de seguridad corporativa y comprender lo que
podría ocurrir a la información si esta es robada por terceros
mal intencionados. El factor humano, debe ser educado al
respecto, la compañía debe realizar el esfuerzo para generar
cultura organizacional y educar así a sus colaboradores en la
seguridad de la información.
J. NOMBRE DE USUARIO/PASSWORD EN BLANCO O
BIEN HACER USO DE UNO DÉBIL.
Hoy en día no es raro encontrarnos pares de datos
usuario/password del tipo admin/12345 o similar. Esta es la
primera línea de defensa de entrada a nuestra información y
debemos optar por el uso de algo más complejo que sea
complicado de conseguir por parte de cualquier usuario o
atacante, por medios de ataques de fuerza bruta o por
diccionario.
K. BASES DE DATOS SIN ACTUALIZAR
Como ocurre con cualquier tipo de aplicación que tengamos
instalada en nuestra máquina, es necesario ir actualizando la
versión de nuestra base de datos con las últimas versiones
lanzadas al mercado, ya que en ellas se solucionan aquellos
problemas de seguridad detectados, por lo que pondremos más
barreras a posibles problemas de seguridad.Para ello es muy
importante estar informados de todos las noticias relacionadas
con la base de datos que estemos utilizando para saber en todo
momento si algo nuevo ha sido lanzado al mercado que pueda
solucionar cualquier brecha de seguridad.
L. DATOS SENSIBLES SIN CIFRAR
Aunque pueda ser algo obvio, a la hora de la verdad no todo el
mundo cifra la información más importante que se almacena
en base de datos. Esto es una buena práctica para que, en caso
de hackeo sea complicado para el atacante poder recuperar esa
información.
Por poner un ejemplo, las contraseñas de acceso a un sitio por
parte de los usuarios podrían ser cifradas utilizando el
algoritmo MD5. De esta forma una contraseña del tipo
“YUghd73j%” en base de datos se almacenaría con el
siguiente valor “993e65b24451e0241617d6810849c824”.
Como podéis ver, se trata de un valor que poco o nada tiene
que ver con el original.
III. CONCLUSIONES
En las empresas sin duda los gestores y las bases de datos son
uno de los servicios más importantes dentro de su
infraestructura, ya que es donde se almacena la información
importante, entre la que se puede encontrar la parte contable,
financiera, de clientes entre otros. Por lo anterior estos
servicios se convierten en blanco de los ciberdelincuentes cuya
finalidad en hacerse del control del servidor o de la
información para utilizarla con fines delictivos y lograr un
lucro a partir de ella, con base a lo anterior es de suma
importancia conocer las vulnerabilidades y problemas de
seguridad que pueden surgir en las diferentes bases de datos,
con el fin de crear políticas de seguridad acorde que permita al
personal encargado la correcta toma de decisiones en la
configuración y administración de los servidores.
Se hace necesario definir en las políticas de seguridad
estrategias como cifrado de los datos, conexiones seguras por
SSL, seguimiento periódico de auditorías, revisar logs de las
conexiones de los usuarios, manejo de almacenamiento de las
copias de seguridad entre otras. Adicionalmente se deben
definir las pautas a seguir para una correcta configuración e
instalación de las bases de datos antes de colocarlas en
ambientes de producción, esto es cuentas de servicio, permisos
de acceso a los usuarios y configuraciones de instalación.
Finalmente, y no menos importante se debe considerar al
factor humano, este debe ser capacitado en temas de seguridad
para así lograr comprender los riesgos a los que se expone la
información.
IV. REFERENCIAS
[1] F. Solarte, E. Rosero and M. Benavides, "Metodología de análisis y
evaluación de riesgos aplicados a la seguridad informática y de
información bajo la norma ISO/IEC 27001", Rte.espol.edu.ec, 2015.
[Online]. Available:
http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/456.
[Accessed: 10- Jul- 2019].
[2] Y. Marrero Travieso, "La Criptografía como elemento de la seguridad
informática", Scielo.sld.cu, 2003. [Online]. Available:
http://scielo.sld.cu/scielo.php?pid=S1024-
94352003000600012&script=sci_arttext&tlng=pt. [Accessed: 10- Jul-
2019].
[3] J. Larico Mamani, "SQL INYECTION", Revistasbolivianas.org.bo, V. BIOGRAFÍA
2013. [Online]. Available:
http://www.revistasbolivianas.org.bo/scielo.php?pid=S1997-
40442010000200017&script=sci_arttext&tlng=es. [Accessed: 10- Jul- Duvan Esteban Urrego Fernandez es
2019]. Ingeniero de Sistemas egresado de la
[4] G. Bastidas and F. Olivio, "Vulnerabilidades SQL de bases de datos
relacionales que podrían reflejarse en bases de datos NoSQL - Archivo Universidad de Cundinamarca en el año
Digital UPM", Oa.upm.es, 2014. [Online]. Available: 2014. Se desempeña como Ingeniero de
http://oa.upm.es/43331/. [Accessed: 10- Jul- 2019]. Soporte en una empresa dedicada a
[5] Y. Azán-Basallo*, L. Bravo-García and W. Rosales-Romero, "Solución prestar soluciones de seguridad
basada en el Razonamiento Basado en Casos para el apoyo a las
auditorías informáticas a bases de datos", Scielo.sld.cu, 2014. [Online].
informática, en este momento cursa 1
Available: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227- semestre de la Especialización en
18992014000200004. [Accessed: 10- Jul- 2019]. Seguridad Informática de la UNAD.
[6] J. Murillo, "Vulnerabilidad de sistemas gestores de bases de datos",
Revistas.una.ac.cr, 2018. [Online]. Available:
https://revistas.una.ac.cr/index.php/uniciencia/article/view/3917.
[Accessed: 10- Jul- 2019].
[7] G. Cifuentes Garzón, "Análisis de seguridad en base de datos:
Aplicación Oracle versión 11G", Repositorio.espe.edu.ec, 2014.
[Online]. Available:
http://repositorio.espe.edu.ec/jspui/handle/21000/8373. [Accessed: 10-
Jul- 2019].
[8] M. Mendoza and L. Alajo, "LA ADMINISTRACIÓN DE LOS
SISTEMAS DE GESTOR DE BASE DE DATOS (SGBD’S) DE LOS
SISTEMAS DE INFORMACIÓN Y SU INCIDENCIA EN EL
CONTROL DE LAS SEGURIDADES DE LAS BASES DE DATOS",
uleam.edu.ec, 2018. [Online]. Available:
http://www.refcale.uleam.edu.ec/index.php/refcale/article/view/2110/14
45. [Accessed: 10- Jul- 2019].
[9] A. Obando Espinosa, "Guía virtual para la prevención y detección de
vulnerabilidades SQLInjection en sitios Web", Dspace.utpl.edu.ec,
2019. [Online]. Available:
http://dspace.utpl.edu.ec/handle/20.500.11962/24108. [Accessed: 10-
Jul- 2019].
[10] D. MARTÍNEZ and H. MORA, "CRIPTOGRAFÍA EN BASES DE
DATOS EN CLOUD COMPUTING", Revistas.udes.edu.co, 2014.
[Online]. Available: https://revistas.udes.edu.co/aibi/article/view/531.
[Accessed: 10- Jul- 2019].
[11] H. Pardo, "Prototipo para diagnosticar la asignación de roles privilegios
del sistema, perfiles y accesibilidad a la información en una instancia de
base de datos Oracle .", Repository.unilibre.edu.co, 2015. [Online].
Available: https://repository.unilibre.edu.co/handle/10901/8924.
[Accessed: 10- Jul- 2019].
[12] A. González, "LAS BASES DE DATOS EN LA INVESTIGACIÓN DE
LA SITUACIÓN FINANCIERA Y RESULTADOS DE LA
EMPRESA", jstor.org/, 2010. [Online]. Available:
https://www.jstor.org/stable/42782265?seq=1#page_scan_tab_contents.
[Accessed: 10- Jul- 2019].
[13] B. Guhanick, "SANS Institute: Reading Room - Application and
Database Security", Sans.org, 2019. [Online]. Available:
https://www.sans.org/reading-room/whitepapers/application/service-
account-vulnerabilities-5. [Accessed: 10- Jul- 2019].
[14] T. Guachi Aucapiña, "Norma de seguridad informatica ISO 27001 para
mejorar la confidencialidad, integridad y disponibilidad de los sistemas
de informacion y comunicacion en el Departamento de Sistemas de la
Cooperativa de Ahorro y Credito San Francisco. Ltda.",
Repositorio.uta.edu.ec, 2012. [Online]. Available:
http://repositorio.uta.edu.ec/handle/123456789/2361. [Accessed: 10-
Jul- 2019].
[15] R. Guagalango Vega and P. Moscoso Montalvo, "Evaluación técnica de
la seguridad informática del Data Center de la Escuela Politécnica del
Ejército", Repositorio.espe.edu.ec, 2011. [Online]. Available:
http://repositorio.espe.edu.ec/jspui/handle/21000/4279. [Accessed: 10-
Jul- 2019].
[16] R. Langner, "The definitive analysis of Stuxnet" Bruce Schneier",
Langner.com, 2013. [Online]. Available: https://www.langner.com/wp-
content/uploads/2017/03/to-kill-a-centrifuge.pdf. [Accessed: 10- Jul-
2019].