Protegiendo lo más importante: Nuestras Bases de Datos T21 Gestión de la seguridad en las organizaciones

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Protegiendo lo más importante: Nuestras Bases de Datos T21 Gestión de la seguridad en las organizaciones"

Manuel Sergio Hidalgo Martín
hace 8 años
Vistas:

1 Protegiendo lo más importante: Nuestras Bases de Datos T21 Gestión de la seguridad en las organizaciones Ulises Castillo, M.en C., CISSP, CISM, CISA Miembro del Consejo de Administración Ironwall

2 Preguntas para los asistentes Quién es desarrollador? Quién es DBA? Quién conoce bien de SQL? Alguien está protegiendo fuertemente sus bases de datos? Alguien se dedica a seguridad? Tenemos algún auditor de sistemas (o interno)? 2

Alguien está protegiendo fuertemente sus bases de datos?

3 Agenda Están protegidas las bases de datos? Amenazas y vulnerabilidades Modelo de protección integral Conclusiones Preguntas y Respuestas 3

4 Algunos avisos y lineamientos Cualquier parecido con la realidad es mera coincidencia. El expositor tiende a exagerar. Profundidad vs. Tiempo (el principio de la minifalda). Lo que veremos no son ideas para fastidiar al prójimo sino para protegernos mejor. La seguridad en las bases de datos es tema de un equipo de trabajo (especialidades). El enfoque de esta plática es metodológico (y un poco técnico) 4

Lo que veremos no son ideas para fastidiar al prójimo sino para protegernos mejor.

5 Están protegidas las Bases de Datos?

6 Robo de 40 millones de números n de tarjetas de crédito Un caso muy famoso 6

7 Y otro robo de millones de números de tarjetas de crédito 7

8 8

9 Escenario de ejemplo Escenario de un Hacker Maldoso INTERNET ATAQUE FIREWALL 7 IPS Pero el Firewall y el 2 IPS bloquean el ataque Un hacker intenta entrar Redes inalámbricas desprotegidas 1 en nuestra red El hacker sustrae Información valiosa Routers $ configurados sin importar la seguridad Y encuentra un Sistema Operativo y 4 DBMS Access sin Point configuraciones seguras (ENDURECIMIENTO) Desprotegido ( WEP?) ROUTER DEBILIDADES ACCESS POINT 5 Un router sin filtros de Seguridad (ACLs) SERVIDOR DE BASE DE DATOS 6 Y un servidor Windows con Oracle en configuraciones default (incluyendo contraseñas) 3 El hacker decide hacer War Driving 9

Operativo y 4 DBMS Access sin Point configuraciones seguras (ENDURECIMIENTO) Desprotegido ( WEP?

10 Por qué la seguridad perimetral no basta? De 2006 a mediados de 2008 las vulnerabilidades reveladas que afectan las aplicaciones Web significaron un 51% del total de vulnerabilidades reportadas(1) Las más m s comunes son XSS (Cross Site Scripting), SQL Injection, File include. SQL injection es la que se ha incrementado de manera más m significativa (1) Ya se han observado ataques masivos de SQL injection (1) (1)Reporte del Xforce Mid Year 2008 (ISS/IBM) 10

total de vulnerabilidades reportadas(1) Las más m s comunes son XSS (Cross Site Scripting), SQL Injection, File

11 Las nuevas tendencias en las estadísticas sticas El 40% de los ataques Web tienen como objetivo la obtención de datos personales (2) El 76% tienen como propósito la obtención n de beneficios económicos (2) SQL Injection destaca como la técnica t más m s utilizada con un 20% (2) (2)Reporte anual de 2007 de Web Application Security Consortium 11

obtención n de beneficios económicos (2) SQL Injection destaca como la técnica t más m

12 Revisión breve de amenazas y vulnerabilidades

13 Calculando nuestra posición de riesgo Amenazas Se administran con Controles Explotan Generan Riesgos Vulnerabilidades Probabilidad De Ocurrencia Impacto al Negocio Factor de Exposición n = Probabilidad de ocurrencia X impacto al negocio Buscar el mejor balance entre costo de los controles y el impacto o al negocio 13

Negocio Factor de Exposición n = Probabilidad de ocurrencia X impacto al

14 Algunas amenazas Adivinar passwords Passwords de fábrica Utilizando herramientas (p.ej. password crackers) Espiando la red (password en texto claro u ofuscados ) Aprovechar permisos o relaciones de confianza Ejecutar ataques específicos Contra algún elemento del manejador de base de datos (DBMS) utilizando algún exploit conocido (o herramientas que los agrupan y permiten modificarlos) incluyendo ataques de Buffer Overflow Otro tipo de herramientas (p.ej. Fuzzers) Inyección de SQL 14

Ejecutar ataques específicos Contra algún elemento del manejador de base de datos (DBMS) utilizando algún exploit

15 Lista (parcial) de passwords de fábrica de Oracle BRIO_ADMIN BRIO_ADMIN EB50644BE27DF70B BRUGERNAVN ADGANGSKODE 2F11631B6B4E0B6F BRUKERNAVN PASSWORD 652C49CDF955F83A BSC BSC EC481FD7DCE6366A BUG_REPORTS BUG_REPORTS E9473A88A4DD31F2 CALVIN HOBBES 34200F A3 CATALOG CATALOG E8DA CCT CCT C6AF8FCA0B51B32F CDEMO82 CDEMO A5E2A5A05820 CDEMO82 CDEMO83 67B891F114BE3AEB CDEMO82 UNKNOWN 73EAE7C39B42EA15 CDEMOCOR CDEMOCOR 3A34F0B26B951F3F CDEMORID CDEMORID E39CEFE64B73B308 CDEMOUCB CDEMOUCB CEAE780F25D556F8 CDOUGLAS CDOUGLAS C35109FE764ED61E CE CE E7FDFE26A524FE39 CENTRA CENTRA 63BF5FFE5E3EA16D CENTRAL CENTRAL A98B26E2F65CA4D3 CIDS CIDS AA71234EF06CE6B3 CIS CIS 7653EBAF048F0A10 CIS ZWERG AA EE84 CISINFO CISINFO 3AA26FC267C5F577 CISINFO ZWERG BEA52A368C31B86F CLARK CLOTH 7AAFE7D01511D73F CLKANA <UNKNOWN> CLKRT <UNKNOWN> CN CN 73F284637A54777D COMPANY COMPANY 402B659C15EAF6CB COMPIERE COMPIERE E3D0DCF4B4DBE626 15

CDEMO82 UNKNOWN 73EAE7C39B42EA15 CDEMOCOR CDEMOCOR 3A34F0B26B951F3F CDEMORID CDEMORID E39CEFE64B73B308 CDEMOUCB CDEMOUCB CEAE780F25D556F8 CDOUGLAS CDOUGLAS C35109FE764ED61E CE CE E7FDFE26A524FE39

16 16

17 17

18 18

19 Las 10 amenazas más importantes[*] 1.Abuso de privilegios excesivos 2. Abuso de privilegios legítimos 3. Elevación de privilegios 4. Vulnerabilidades en la plataforma de base de datos 5. Inyección de SQL 6. Pistas débiles de auditoría (Audit Trails) 7. Negación de Servicio 8. Vulnerabilidades en los protocolos de comunicación de bases de datos 9. Autenticación débil 10. Respaldos de los datos expuestos. [*] Del reporte Top Ten Database Security Threats de Imperva,

Pistas débiles de auditoría (Audit Trails) 7. Negación de Servicio 8.

20 Inyección de SQL

21 Un poco de SQL Claúsula SELECT Select <campo(s)> from <tabla(s)> where <condición(es)> Ejemplos Select nombre,direccion from antros where tipo= XXX and colonia= del valle 21

22 Que es Inyección de SQL? La posibilidad de inyectar comandos SQL dentro directo a una base de datos a través de una aplicación Web 22

23 Como trabaja la Inyección de SQL? Query común de entrada vulnerable SELECT * FROM tab usuarios WHERE usuarios = chanchis' AND clave = 2008' (Si regresa algo entonces puedes entrar ) Sintaxis de entrada en ASP/MS SQL Server var sql = "SELECT * FROM tab usuarios WHERE usuario= '" + nomusuario + "' AND clave = '" + claveusuario+ "'"; 23

24 Inyección de SQL var sql = "SELECT * FROM tab usuarios WHERE usuario= '" + nomusuario + "' AND clave = '" + claveusuario+ "'"; nomusuario= ' or 1=1 claveusuario= cualquier cosa El resultado es que el query cambia por: SELECT * FROM tab usuarios WHERE usuario = ' ' or 1=1 AND clave= cualquier cosa' 24

25 Elementos vulnerables Autenticación - Passwords Permisos - Autorizaciones Elementos de Configuración/Defaults: Usuarios y passwords Privilegios de ejecución Puertos de TCP/UDP donde se conecta Tablas, bases de datos Procedimientos almacenados y extendidos (stored procedures, extended procedures) Relaciones de confianza Procesos Interfaces de usuario Formas de interconexión con clientes (ODBC, isql*net, etc). EN CONCLUSIÓN: TODOS LOS ELEMENTOS DE UN DBMS SON VULNERABLES; POR TANTO HAY QUE CONOCERLOS. Y PROTEGERLOS 25

26 Contraseñas de fábrica (default) Passwords de fábrica para Oracle en Windows (se muestran sólo algunos) ADAMS/WOOD AQDEMO/AQDEMO AQUSER/AQUSER BLAKE/PAPER CATALOG/CATALOG.. CDEMO82/CDEMO82. COMPANY/COMPANY All Privileges CTXSYS/CTXSYS DBA EVENT/EVENT DBA Fuente: Finigan, Pete. Exploiting and Protecting Oracle. Pen Test Limited 26

27 Las mejores prácticas para una protección integral en Bases de Datos

28 Un Enfoque Integral Herramientas De ataque Y scanners De B.de D. Guías de Configuración segura Pruebas de Laboratorio Evaluación n de la Seguridad Endurecimiento Del Servidor De Base de Datos Elementos Adicionales de Protección n a B.de D. Revisión n de Cumplimiento Operación n Segura del ambiente (Control de cambios y configuraciones; Autorización n de accesos) Monitoreo de la Seguridad / Manejo de Incidentes Protección n de Aplicaciones Web Desarrollo Seguro 28

29 Herramientas automatizadas de evaluación Comerciales AppDetective ( NGS Squirrel ( databasesecurity/ngssquirrel-oracle.php AuditPro ( IPLocks ( Gratuitas CIS benchmark ( Scuba from Imperva ( RoraScanner ( OScanner ( Inguma ( 29

30 Elementos adicionales de Protección Seguridad en las Redes Firewalls, VPNs, IPSs (Intrusion Prevention Systems) Control de accesos a nivel puerto del switch (802.1x) Seguridad en el desarrollo de software Filtros en la entrada de datos (SQL-injection) Manejo de memoria (Buffer overflow) Seguridad en las aplicaciones Web Firewalls aplicativos (Imperva, NetConinuum, etc.) Firewalls de Bases de Datos Modo de aprendizaje/auditoría Modo de protección/bloqueo Ejemplos: Guardium, Imperva, Secerno Data Center SecureSphere Switch SecureSphere 30

31 Operación Segura del ambiente El objetivo no es hacer endurecimiento cada X tiempo sino mantener endurecidos los ambientes. Es fundamental la implementación de procesos de operación (ITIL): Control de configuraciones y cambios Incluyendo administración de parches y nuevas versiones Control de privilegios (todo el ciclo) Reforzar el principio de privilegio mínimo Reforzar el principio de segregación de tareas Están prohibidas las configuraciones de fábrica Roles, permisos, usuarios, contraseñas Es necesario mantener una evaluación (auditoría) permanente 31

32 Conclusiones La seguridad integral de las Bases de Datos contempla diversos aspectos tecnológicos, humanos y de procesos. Es un trabajo evolutivo (niveles de maduración) El valor de nuestra información y los riesgos asociadas nos dirán si vale la pena el esfuerzo Evaluación n de la Seguridad Endurecimiento Del Servidor De Base de Datos Elementos Adicionales de Protección n a B.de D. Revisión n de Cumplimiento Operación n Segura del ambiente (Control de cambios y configuraciones; Autorización n de accesos) Monitoreo de la Seguridad / Manejo de Incidentes 32

33 Muchas Gracias Ulises Castillo scitum.com.mx Bibliografía y sitios recomendados Pete Finigan. Oracle Security Step-by-Step. Version 2.0, SANS Press Ron Ben Natan. Implementing Database Security and Auditing. Elsevier (Oracle) (varios) (Oracle) (SQL Server) (DB2) (DB2) (Sybase) (scanner de b.de d. gratuito) 33

Documentos relacionados

Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros

Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros Marcos Polanco Velasco Director de Servicios Gestionados de Seguridad Mnemo evolution