Post on 03-Jan-2015
• Amenazas o vulnerabilidades de procesos• Directivas de seguridad• Principio de Privilegios mínimos• Boletines de Seguridad
• Amenazas o vulnerabilidades de plataforma• Sistemas desactualizados• Vulnerabilidades en puertos de red• Configuración incorrecta en las cuentas de servicio• Área expuesta demasiado grande• Procedimientos almacenados innecesarios habilitados
• Amenazas o vulnerabilidades de autenticación• Contraseñas no seguras• Cuentas de usuario no auditadas
• Amenazas o vulnerabilidades de Programación• Inyección de Código SQL • Contraseñas incrustadas en cadenas de conexión
• Amenazas o vulnerabilidades de Acceso a los datos• Cifrado o certificados aplicados incorrectamente.• Datos sin cifrar
Problema: Elevación de Privilegios Resultado: Accesos no deseados/Ejecución de sentencias perjudiciales/Degradación del rendimiento, etc
Ejemplo: Vulnerabilidad en la reutilización de páginas de memoria (http://en.securitylab.ru/notification/355705.php)
Solución: Reducción del Área Expuesta (http://www.microsoft.com/technet/security/bulletin/ms08-040.mspx)
Ejemplo: Vulnerabilidad de inyección de SQL Ciega en http://www.hsoft.es/extranet.asp
Problema: Programación Pobre Resultado: Inyección de Código SQL/SQL Ciego
► Microsoft proporciona la herramienta SQL Server Best Practices Analyzer para detectar vulnerabilidades que identifica actualizaciones de seguridad faltantes, carpetas con permisos inadecuados, etc.
► Permite inventariar y auditar el servidor, comparando su estado con las buenas prácticas y vulnerabilidades conocidas
► Este proceso ayuda a mejorar las configuraciones y fortalecer la infraestructura
► Una vez descubiertas vulnerabilidades, la gestión de parches y actualizaciones ayudan a solucionar los problemas detectados
Amenazas o Vulnerabilidades de Plataforma
Amenazas o Vulnerabilidades de Plataforma
Amenazas o Vulnerabilidades de Plataforma
Amenazas o Vulnerabilidades de Plataforma
Amenazas o Vulnerabilidades de Plataforma
Amenazas o Vulnerabilidades de Plataforma
Amenazas o Vulnerabilidades de Plataforma
2º: Escribimos dentro de glogin.sql la sentencia para que se otorge el rol DBA a nuestro cutreusuario.
Amenazas o Vulnerabilidades de Plataforma
•Desde Oracle Database 7 a Oracle Database 10g1º- El algoritmo de encriptación DES para las password utilizado es conocido, realizando una concatenación de nombre de usuario y clave, pasándolo a mayúsculas previamente. (http://groups.google.com/group/comp.databases.oracle/msg/83ae557a977fb6ed).2º- Las contraseñas admiten hasta 30 caracteres de longitud.3º- El Hash se puede visualizar en la tabla DBA_USERS (Columna Password).
• En Oracle Database 11G1º- El algoritmo de encriptación es SHA-1.2º- Las contraseñas admiten hasta 50 caracteres de longitud.3º- El Hash NO se puede visualizar en la tabla DBA_USERS.
• Ubicaciones de las claves en Oracle:1º- Vista DBA_USERS y Tabla SYS.USER$.2º- Fichero de Claves de Oracle(PWD<%Oracle_Sid%>.ora.3º- Fichero de Datos del Tablespace SYSTEM (System01.dbf).4º- Ficheros de Exportación de Oracle (Dumpfiles, *.dmp).5º- Archivados (Archive Log Mode, *.arch).
Amenazas o Vulnerabilidades de Autenticación
Amenazas o Vulnerabilidades de Autenticación
Fuente: http://www.databasesecurity.com/dbsec/comparison.pdf