La
seguridad informática consiste en asegurar que los recursos del sistema,
incluidas las bases de datos, de una organización sean utilizados de la manera en
que se decidió, y el acceso y la modificación de la información allí contenida
sea posible solo por las personas autorizadas hasta donde dicha autorización lo
permita.
Es
diseño y la implementación de aplicaciones requiere de ciertos elementos
vitales y primordiales para su correcto funcionamiento, entre estos elementos
uno de los más importantes son las bases de datos, las cuales brindan la
persistencia y permanencia en el tiempo de los datos que es requerida por los
sistemas de información.
Al
ser las bases de datos un elemento adicional de los sistemas, estas necesitan
de cuidados adicionales en cuanto a la seguridad, con el fin de mantener la
confidencialidad, integridad y disponibilidad de la información almacenada en
estas.
Existen
numerosas amenazas que afectan el funcionamiento y representan riesgos para las
bases de datos, comprometiendo las mismas. Para poder aplicar medidas efectivas
que permitan proteger las bases de datos de los riesgos que representan su
utilización, se debe primeramente conocer las diferentes amenazas que las
afectan.
Inyección
de SQL
La
mayoría de aplicaciones web desarrolladas hoy en día hacen uso de una base de
datos para ofrecer páginas dinámicas y almacenar información tanto de los
usuarios como de la propia herramienta. El uso de este tipo de arquitectura ha traído
consigo la aparición de numerosas vulnerabilidades.
Los
ataques de inyección SQL implican a un usuario que se aprovecha de
vulnerabilidades en aplicaciones web y procedimientos almacenados para proceder
a enviar consultas de bases de datos no autorizadas, a menudo con privilegios
elevados.
Para
determinar si una página es vulnerable a inyecciones SQL, se hace una búsqueda
en Google de la siguiente secuencia:
info_page.php?=
Saldrá
una lista de páginas posiblemente vulnerables, las cuales tienen una dirección
con el siguiente formato:
www.paginavulnerable.com/info.php?=3
Se
reemplaza el parámetro al final de la dirección por un apostrofe sencillo, '.
www.paginavulnerable.com/info.php?='
Si
responde la página con un error de sintaxis como el que se muestra a continuación,
la página probada es vulnerable a inyecciones SQL.
You have an error in your SQL
syntax...
Para
prevenir o mitigar las amenazas provenientes de la inyección SQL se debe
asignar privilegios mínimos a los usuarios que acceden a la base de datos desde
la aplicación, validar todas las entradas, especificando el tipo de dato de
entrada, se debe usar procedimientos almacenados y aceptar los datos de los
usuarios como parámetros en lugar de como parte de comandos SQL, usar comillas
dobles en las consultas en lugar de comillas simples.
Exposición
de los datos en almacenamiento y respaldos
El
robo de información y la filtración de datos confidenciales son noticias del día
a día, esta situación se debe a descuidos por parte de los administradores al
momento de asignar los permisos a los directorios en los cuales se almacenan
los archivos importantes para la organización.
Estos robos de información donde están
involucrados los datos almacenados en bases de datos por lo general involucran
un respaldo que se almacena en un directorio que no está protegido
adecuadamente para evitar su divulgación, es por ello que se deben tomar
algunas precauciones para evitar este tipo de incidentes.
Es
importante que todos los respaldos y todas las copias de seguridad que se hagan
de las bases de datos de la organización deben ser cifradas para mantener su
confidencialidad, además de promover el uso de estampado de tiempo en los archivos
de respaldo para detectar posibles modificaciones no autorizadas que se hagan y
garantizar la integridad de los datos almacenados en estos respaldos.
Algunos
proveedores de sistemas de gestión de bases de datos sugieren que en el futuro
solo se permita el respaldo cifrado de las bases de datos.
REFERENCIAS
Vulnerabilidades en seguridad de
bases de datos. Disponible en http://www.onasystems.net/vulnerabilidades-importantes-afectan-la-seguridad-bases-datos-las-empresas/
Ataques a bases de datos SQL
injection. Disponible en https://www.freelibros.org/programacion/ataques-a-bases-de-datos-sql-injection.html
Seguridad en bases de datos. Disponible en gplsi.dlsi.ua.es/bbdd/bd1/lib/exe/fetch.php?media=bd1:0910...seguridadbd.pdf
OWASP top ten 2017. Disponible en http://www.elladodelmal.com/2017/04/publicada-owasp-top-ten-2017-release.html
Principios Básicos de Seguridad en Bases de Datos. Disponible en https://www.researchgate.net/publication/279983428_Principios_Basicos_de_Seguridad_en_Bases_de_Datos
Seguridad en Bases de Datos 2/2
No hay comentarios.:
Publicar un comentario