Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades.

Presentación del tema: "Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades."— Transcripción de la presentación:

1

2

3 Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades de plataforma Sistemas desactualizados Vulnerabilidades en puertos de red Configuración incorrecta en las cuentas de servicio Área expuesta demasiado grande Procedimientos almacenados innecesarios habilitados Amenazas o vulnerabilidades de autenticación Contraseñas no seguras Cuentas de usuario no auditadas Amenazas o vulnerabilidades de Programación Inyección de Código SQL Contraseñas incrustadas en cadenas de conexión Amenazas o vulnerabilidades de Acceso a los datos Cifrado o certificados aplicados incorrectamente. Datos sin cifrar

4

5

6 Problema: Elevación de Privilegios Resultado: Accesos no deseados/Ejecución de sentencias perjudiciales/Degradación del rendimiento, etc Ejemplo: Vulnerabilidad en la reutilización de páginas de memoria (http://en.securitylab.ru/notification/355705.php)http://en.securitylab.ru/notification/355705.php Solución: Reducción del Área Expuesta (http://www.microsoft.com/technet/security/bulletin/ms08-040.mspx)

7

8

9

10

11 Ejemplo: Vulnerabilidad de inyección de SQL Ciega en http://www.hsoft.es/extranet.asp Problema: Programación Pobre Resultado: Inyección de Código SQL/SQL Ciego

12

13

14

15 Microsoft proporciona la herramienta SQL Server Best Practices Analyzer para detectar vulnerabilidades que identifica actualizaciones de seguridad faltantes, carpetas con permisos inadecuados, etc. Permite inventariar y auditar el servidor, comparando su estado con las buenas prácticas y vulnerabilidades conocidas Este proceso ayuda a mejorar las configuraciones y fortalecer la infraestructura Una vez descubiertas vulnerabilidades, la gestión de parches y actualizaciones ayudan a solucionar los problemas detectados

16

17

18

19

20 Amenazas o Vulnerabilidades de Plataforma

21

22

23

24

25

26

27 2º: Escribimos dentro de glogin.sql la sentencia para que se otorge el rol DBA a nuestro cutreusuario. Amenazas o Vulnerabilidades de Plataforma

28

29 Desde Oracle Database 7 a Oracle Database 10g 1º- El algoritmo de encriptación DES para las password utilizado es conocido, realizando una concatenación de nombre de usuario y clave, pasándolo a mayúsculas previamente. (http://groups.google.com/group/comp.databases.oracle/msg/83ae557a977fb6ed).http://groups.google.com/group/comp.databases.oracle/msg/83ae557a977fb6ed 2º- Las contraseñas admiten hasta 30 caracteres de longitud. 3º- El Hash se puede visualizar en la tabla DBA_USERS (Columna Password). En Oracle Database 11G 1º- El algoritmo de encriptación es SHA-1. 2º- Las contraseñas admiten hasta 50 caracteres de longitud. 3º- El Hash NO se puede visualizar en la tabla DBA_USERS. Ubicaciones de las claves en Oracle: 1º- Vista DBA_USERS y Tabla SYS.USER$. 2º- Fichero de Claves de Oracle(PWD.ora. 3º- Fichero de Datos del Tablespace SYSTEM (System01.dbf). 4º- Ficheros de Exportación de Oracle (Dumpfiles, *.dmp). 5º- Archivados (Archive Log Mode, *.arch).

30 Amenazas o Vulnerabilidades de Autenticación

31

32

33

34

35

36

37 Fuente: http://www.databasesecurity.com/dbsec/comparison.pdfhttp://www.databasesecurity.com/dbsec/comparison.pdf