Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
APRENDIZAJE ESPERADO
APRENDIZAJE ESPERADO
Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A. No se permite copiar, reproducir, reeditar, descargar, publicar,
emitir, difundir, de forma total o parcial la presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier
medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorización previa y por escrito de Instituto Superior de Artes y Ciencias de la Comunicación
S.A. La infracción de dichos derechos puede constituir un delito contra la propiedad intelectual.
IACC 2022 2
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
ÍNDICE
APRENDIZAJE ESPERADO ..................................................................................................................................................... 2
INTRODUCCIÓN ................................................................................................................................................................... 4
RESUMEN ............................................................................................................................................................................ 5
PALABRAS CLAVE ................................................................................................................................................................. 5
PREGUNTAS GATILLANTES ................................................................................................................................................... 5
1. AUDITORIA DE BASES DE DATOS ...................................................................................................................................... 6
1.1 USOS ....................................................................................................................................................................................... 7
2. AUDITORIA DE APLICACIONES .......................................................................................................................................... 7
2.1 USOS ....................................................................................................................................................................................... 8
3. AUDITORIA DE SISTEMAS OPERATIVOS .......................................................................................................................... 14
3.1 USOS ..................................................................................................................................................................................... 14
REFERENCIAS ..................................................................................................................................................................... 20
IACC 2022 3
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
INTRODUCCIÓN
La auditoría, en las principales áreas de la informática, es importante aplicarla ya que abarca los elementos
tecnológicos que componen una red de datos y analiza los aspectos principales que debe tener en cuenta el auditor,
sin embargo, estos no los únicos, pues este campo es muy amplio.
En este caso, hay que considerar que la profundidad y alcance de cada componente siempre estarán regidos por el
objetivo que persiga el auditor, como se ha explicado con anterioridad, y se basarán en los requerimientos que sean
realizados por la organización que precisa de la auditoría o la naturaleza del componente auditado.
Por estas razones, se analizará qué auditar en una base de datos, aplicaciones y sistemas operativos, abarcando
aspectos como autentificación, cuentas, usuarios, roles, privilegios, contraseñas, etc.
Finalmente, se entregarán algunas herramientas de uso transversal en la evaluación de distintos componentes y las
consideraciones generales a tener en cuenta.
IACC 2022 4
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
RESUMEN
En la actualidad hay una creciente preocupación de la base de datos y la gestión de estos para la innovación de una
entidad, por ello es importante comprender sobre la seguridad de las bases de datos.
La auditoría de base de datos es importante ya que ayuda a una empresa a establecer controles que permitan
disminuir los riesgos inherentes existentes en los sistemas y las desviaciones que pueden producirse en los informes
de salida que son precisamente lo que de sebe descubrir y evitar.
La planificación y ejecución debe considerar los pasos necesarios para cubrir todo flanco que pueda convertirse en
un problema y sobre todo, que pueda resguardarse la información, su confidencialidad y todo su procesamiento
desde lo más básico incluyendo los accesos y sus niveles.
PALABRAS CLAVE
• Auditoría
• Base de Datos
• Sistemas Operativos
• HTML
• HTTP
• GET/POST
PREGUNTAS GATILLANTES
• ¿Qué es auditoría de base de datos?
• ¿Qué es la auditoría de aplicaciones?
• ¿Qué es la auditoría de sistemas operativos?
IACC 2022 5
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
La Base de Datos es una colección de datos organizada de tal manera que permita la consulta y
actualización de datos en el momento en que se requiera (Rouse, 2015).
La auditoría de bases de datos es importante ya que es el punto de inicio que permite realizar auditoría de las
aplicaciones que se utilizan en tecnología que tiene una entidad. Para realizar la auditoría de bases de datos de deben
seguir los siguientes pasos:
• Plantear objetivos y verificar tipo de gestión de datos.
• Recopilar información.
• Detectar incidencias irregulares.
• Consultar auditorías anteriores de las bases de datos.
• Realizar informe detallado.
IACC 2022 6
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
considerar las aplicaciones que pueden afectar la seguridad de la base de datos subyacente. Por ejemplo, muchas
aplicaciones crean nombres de usuario y contraseñas por defecto a nivel de la base de datos que un auditor debe
identificar para asegurar apropiadamente esta última.
1.1 USOS
El uso de la auditoría de base de datos se puede dividir en dos tipos, que son:
• Auditoría de actividades
• Auditoría de transacciones
2. AUDITORIA DE APLICACIONES
Una vez que se ha revisado la base de datos propiamente tal, se puede comenzar a mirar las instancias específicas
de las aplicaciones disponibles en la base de datos. Dependiendo del riesgo de la aplicación, esta auditoría puede
contener muchos detalles, pero por ahora, solo se mostrarán algunos de los fundamentos básicos a revisar.
A continuación, se abordará la aplicación más recurrente en implementaciones tecnológicas: las aplicaciones web.
Se revisarán algunos fundamentos y se entregará una introducción al HTML y HTTP necesaria para el trabajo de
campo de un auditor.
IACC 2022 7
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
2.1 USOS
FUNDAMENTOS HTML
La revisión de una aplicación web tiende a ser más fácil que la mayoría de las auditorías a otras aplicaciones, debido
al simple hecho de que casi todo lo que se necesita para hacer las pruebas es presentado por el web server como
texto. Es común que, al mirar la página web, puede parecer absolutamente compleja en términos de disposición y
diseño, pero fundamentalmente, hay muy pocos pedazos de la aplicación realmente importantes de revisar, y todo
lo que importa es texto.
La verdadera razón de esto es que HTML, el lenguaje usado para crear la mayoría de las páginas web, es simplemente
texto. No solo eso, el código fuente para cualquier página web está disponible con solamente algunos clics y se puede
ver para cualquier página web que el browser pueda mostrar.
Esencialmente, HTML (HyperText Markup Language) es un lenguaje que se utiliza para describir cómo una página se
debe ver. Es entonces el browser el encargado de interpretar el lenguaje para desplegar la página correctamente.
Esta es la razón por la que diversos web browsers pueden mostrar la misma página con algo diferente.
Ejemplo:
La página de búsqueda de Google. En la siguiente imagen, se puede ver la página de búsqueda para el browser
Firefox.
Se puede ver que en el medio de la página está una caja de texto, en la cual se puede incorporar términos de la
búsqueda y “un botón de búsqueda de Google”, entre otros elementos. Todo lo que se exhibe en esta página es el
resultado de dar formato a instrucciones escritas en HTML y transferido al browser por el web server de Google.
En la mayoría de los browsers, si se hace clic con el botón derecho, una de las opciones presentadas será “Ver código
fuente de la página”. A continuación, se muestra parte del resultado.
IACC 2022 8
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
Si se mira el contenido, se puede ver que hay marcas que describen cómo la página debe ser mostrada. Por ejemplo,
hay una marca del <title> que indica el título de la página, también se ve un <meta content que indica la ubicación
de una imagen.
HTTP
El HTML y el HTTP no son la misma cosa. El HTTP, o el protocolo de transferencia de hipertexto, es el mecanismo de
comunicación usado para transferir documentos de hipertexto. En la realidad el protocolo también se puede utilizar
para transferir todo lo demás (como las imágenes), pero su papel primario es permitir que los browsers hablen al
web server.
Cuando un web browser envía una petición a un web server, la petición del cliente usa HTTP.
IACC 2022 9
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
Cuando responde el servidor, las respuestas envían el HTML embebido en el header HTTP. Es decir, HTTP es el
mecanismo de transporte.
GET/POST
Dentro del HTTP hay diversos tipos de petición. De los muchos que existen, hay realmente solo dos que comúnmente
son usados dentro de las aplicaciones web y serán los que se revisarán a continuación.
GET y POST son los dos métodos que se utilizan para enviar datos a un web server y para recuperar datos de este.
Aunque sirven esencialmente para la misma función, operan de manera diferente.
GET toma todos los valores y los añade a la URL. GET es muy fácil de utilizar, pero tiene algunas limitaciones y
problemas de seguridad. El principal problema es que la URL va como texto legible, por lo tanto, si se incluyen
contraseñas o usuarios, estos pueden ser capturados en el trayecto de la comunicación, y como limitación, no puede
enviar más de 255 caracteres en la URL.
El POST esencialmente realiza la misma tarea que GET, pero con dos excepciones importantes.
La primera, es que no hay límite en cuántos datos se pueden enviar con un POST, y la segunda es que los valores
enviados no están incluidos en la URL, sino que se incluyen dentro del cuerpo de la petición.
SSL/TSL
SSL (Secure Sockets Layer), que ahora es llamado TSL (Transport Layer Security), es una capa de encriptación que
puede ser utilizada con nuestros web servers y browsers. Es extremadamente importante entender que esta capa
de encriptación es esencialmente como un túnel VPN. Es decir, los datos están cifrados solamente mientras están
en tránsito.
La razón de por qué esto es importante, es que a veces los diseñadores web sienten que pueden corregir los defectos
de la aplicación usando SSL, cuando en realidad todo lo que han hecho es cifrar los defectos, haciéndolos más difíciles
de detectar a un nivel de red.
Los datos reales enviados a través de la conexión SSL siguen siendo apenas HTTP y HTML, y en el extremo final, los
datos están en texto claro.
IACC 2022 10
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
WebScarab (Next Generation) está diseñada para actuar como un proxy local para el web browser. En un sentido
práctico, WebScarab actúa como “hombre en el medio”. Cuando viene una petición, WebScarab la remite hacia el
web server, y cuando el servidor web responde, la respuesta se envía a WebScarab, el cual pasa la respuesta al
cliente; de esta forma, se está en una posición para interceptar y modificar cualquier cosa que esté siendo enviada
del cliente al servidor. Por supuesto, se puede también modificar los valores enviados del servidor al cliente, pero
para los propósitos del auditor, esto tiene un valor muy pequeño.
DIRECTORY INDEXING
El primero en la lista es Directory Indexing. Todos los web server permiten que se configure una página por defecto
que se cargará cuando alguien envía una petición al sitio, pero no pide una página específica. Por ejemplo, hay que
considerar que lo que se escribe para ir al sitio web de IACC es:
http://online.iacc.cl/. Dado que no se especificó el nombre de la página que se quería visitar, el servidor web busca
automáticamente lo que se ha configurado como la página por defecto. En este caso, busca un archivo nombrado
“index.php” y muestra esta página.
¿Qué sucede si no existe el archivo “index.php”? Es aquí donde la indexación de directorio opera, ya que si no hay
un “index.php”, el servidor web muestra el contenido del directorio en su lugar.
IACC 2022 11
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
DIRECTORY TRAVERSALS
Otro problema común que aparece en los servidores y aplicaciones web es el concepto de directory traversals. La
idea básica es que, a través de un cierto error en la codificación web, el servidor en sí mismo o la aplicación web
puede cruzar la raíz del directorio (el directorio donde residen las páginas web) y mostrar elementos que no estaban
pensados ser accesibles públicamente.
IACC 2022 12
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
IACC 2022 13
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
3.1 USOS
A continuación, se expondrán los aspectos básicos para ambientes Unix y Windows que los auditores deben incluir
en las auditorías.
UNIX LOGGING
Antes de evaluar un sistema Unix y realizar acciones de auditoría, primero es necesario identificar las medidas de
auditoría existentes por defecto, revisar el contenido de cada una y dónde se pueden encontrar. A continuación, se
revisarán las características de logging (registros) de Unix.
Varios archivos de log del sistema operativo son proporcionados como “logs de auditoría”, por lo que la primera
tarea es verificar que todos los eventos importantes estén siendo registrados apropiadamente. La siguiente tabla
muestra una lista de los logs que son registrados en el directorio /var/log. La única excepción es el archivo utmp que
se ubica en el directorio /var/run.
Algunas consideraciones que se deben tener presentes es que los logs típicamente van rotando de manera
automática, y para que existan registros, los archivos deben existir; adicionalmente, estos archivos almacenan una
cantidad importante de información, por lo que deben ser filtrados y revisar lo concerniente al alcance y objetivo de
auditoría.
IACC 2022 14
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
ACLS EN UNIX
Los archivos o listas de control de acceso (ACL) permiten negar el acceso a todos los computadores que intenten
conectarse al sistema que se está auditando, y permitírselo solo a aquellos que efectivamente lo requieran.
Los archivos que permiten la funcionalidad descrita son los siguientes:
• /etc/hosts.deny Debe incluir ALL: ALL en su contenido para bloquear a cualquier host.
• /etc/hosts.allow Debe enumerar los hosts individualmente (los confiables) en base a los servicios
disponibles.
El auditor debe validar el contenido de ambos archivos para determinar si su configuración se ajusta a las políticas
de conexión definidas, por ejemplo, en la política corporativa de seguridad.
IACC 2022 15
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
El archivo “passwd” es la ubicación estándar de toda la información referente a las credenciales de los usuarios. Este
archivo se encuentra ubicado en /etc/ y posee una sintaxis como la siguiente:
• root:x:0:0:root:/root:/bin/bash
• bin:x:1:1:bin:/bin:/bin/sh
El primer campo es el nombre de usuario (login), el segundo es la contraseña, el tercero es un identificador único, el
cuarto es el identificador del grupo al que pertenece el usuario, el quinto es el nombre del usuario (descriptivo), el
sexto campo corresponde a la carpeta raíz del usuario, y el último es la shell que adquirirá.
Otro archivo relevante de revisar es “/etc/shadow”, el cual contiene información relativa a las contraseñas,
almacenándolas en forma encriptada mediante un hash MD5. Adicionalmente, incluye información respecto a la
política de contraseñas: la edad mínima de la contraseña, la edad máxima, advertencia de expiración y un registro
de cuántos días una cuenta ha sido deshabilitada.
WINDOWA LOGS
La herramienta primaria para auditar y realizar seguimiento a un sistema Windows es “Windows Event Viewer”.
Windows puede generar una extensiva y altamente detallada cantidad de logs y auditoría. Lo importante es saber
sobre qué generar log, cuánto log y cómo manejar e interpretar
la información recolectada. (IACC. Auditoría de Sistemas, 2016, p.27), actualmente se mantienen al menos tres
archivos de log:
• System log: que registra los eventos del sistema.
• Application log: que registra eventos relativos a las aplicaciones que se ejecutan sobre el sistema operativo.
• Security log: este archivo registra los eventos relativos a la seguridad del sistema.
IACC 2022 16
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
Algunos servidores, como Windows 2003 o superior, también llevan registros separados para monitorear DNS, Active
Directory y actividad de replicación, respectivamente, si estos servicios están instalados.
Otros servicios y aplicaciones en Windows pueden tener sus propios logs que son almacenados en diferentes
ubicaciones, por ejemplo, Internet Information Server mantiene sus propios sets de logs para registrar las conexiones
o intentos de conexión al servidor web.
Para que los logs sean útiles, deben estar configurados apropiadamente. (IACC, Auditoría de Sistemas, 2016, p.27),
los elementos a considerar en su configuración son:
• Ubicación: por defecto, los archivos de logs están ubicados en el directorio %systemroot%\system32\config
y su extensión es *.evt.
La ubicación puede ser modificada mediante la edición del registro de Windows.
• Tamaño de los archivos: es configurable y dependerá del espacio disponible.
• Opciones de sobreescritura: por defecto, los archivos son sobreescritos después de 7 días. Esta configuración
se recomienda modificarla para que no se sobrescriban y la rotación sea realizada manualmente, ya que para
un auditor es relevante manejar todos los registros disponibles.
CONTRASEÑAS EN BLANCO
A pesar de toda la información y educación respecto a la importancia de configurar una contraseña, cambiarla
periódicamente, usar contraseñas robustas, etc., es posible encontrar cuentas que no tengan contraseña y,
consecuentemente, tener una vulnerabilidad de seguridad.
IACC 2022 17
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
CONTRASEÑAS ROBUSTAS
Finalmente, las contraseñas siempre están expuestas a ser atacadas. Si un atacante puede adivinar una contraseña
o robar un archivo de contraseñas para desencriptarlas, podría tener acceso al sistema enmascarado como un
usuario legítimo; es por esto por lo que las contraseñas deben ser lo suficientemente robustas, para que resistan ser
adivinadas, ataques de diccionario o ataques de fuerza bruta.
IACC 2022 18
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
COMENTARIO FINAL
La auditoría de base de datos es una herramienta básica para el levantamiento de información que permite
identificar los posibles riesgos de las bases de datos.
Es importante conocer los lineamientos y conceptos básicos para entender las aplicaciones web y cómo sobrellevar
una auditoría sobre estas desde una visión técnica, que debe complementarse con las auditorías de los sistemas
operativos, que son la base sobre la cual se montan bases de datos y aplicaciones, desarrollando los elementos
críticos que se deben tener en cuenta al revisar los niveles de seguridad de cada sistema.
Aunque el tema es muy técnico, el auditor informático debe tratar, además, de explicar en su informe, todos los
aspectos y hallazgos encontrados en el desarrollo de la auditoría.
IACC 2022 19
Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
REFERENCIAS
Echenique, J. (2001). Auditoría en Informática (2da ed.). México: Interamericana McGraw-Hill.
IACC (2016). Principales áreas de la auditoría informática. Parte I. Auditoría Informática. Semana 7
López, A. (2013). Desarrollo de una metodología para el control de riesgos para auditoría a Bases de Datos. Pereira.
Villalobos, J. (2008). Auditando en las bases de datos. Facultad de Ciencias Exactas y Naturales, Escuela de
Informática, Universidad Nacional de Costa Rica.
IACC 2022 20