GESTION Y SEGURIDAD INFORMATICA

CARLOS JAVIER JIMENEZ HINCAPIE

APRENDIZ

SERVICIO NACIONAL DE APRENDIZAJE SENA

2016

AMENAZA A LA BASE DE DATOS

Ranking Amenaza
1 Privilegios excesivos y privilegios no utilizados
2 Abuso de privilegios legtimos
3 Inyeccin SQL
4 Malware
5 Proceso de auditora dbil
6 Exposicin de los medios de almacenamiento
7 Explotacin de vulnerabilidades y bases de datos mal configuradas
8 Datos sensibles no administrados
9 Negacin o denegacin de servicios
10 Educacin y experiencia limitada en seguridad
MALWARE
Malware es un trmino que se utiliza para describir software
malintencionado, que se ha diseado para ocasionar daos o realizar
acciones no deseadas en un sistema informtico. Algunos ejemplos de
malware incluyen los siguientes:

Solucin ante las amenazas

Mantener los equipos actualizados y el uso de herramientas de
eliminacin de software malintencionado.
Realizar un anlisis completo del equipo con el fin de eliminar cdigos
maliciosos que pudieran ser encontrados.
Cambiar todas las contraseas de servicios como bancos, correo
electrnico, redes sociales, etc., con el fin de evitar que el
cibercriminal pueda ingresar a estos sitios en caso que el malware
haya robado dicha informacin.
Controles para disminuir los riesgos ocasionados por las posibles
amenazas
El punto esencial es adoptar un comportamiento seguro y precavido. Evite
descargar e instalar programas desconocidos, no siga enlaces provenientes
de correos y mensajes para acceder a servicios bancarios, dude de
cualquier email sospechoso.
Es importante, tambin, que mantenga protegido el sistema con soluciones
de seguridad como: cortafuegos, filtros antispam, etc. "En este sentido, es
muy importante mantener actualizado el sistema operativo y todos los
programas instalados

Inyeccin SQL
Es un mtodo de infiltracin de cdigo intruso que se vale de una
vulnerabilidad informtica presente en una aplicacin en el nivel de
validacin de las entradas para realizar operaciones sobre una base de
datos.
La inyeccin de cdigo SQL es un ataque en el cual se inserta cdigo
malicioso en las cadenas que posteriormente se pasan a una instancia de
SQL Server para su anlisis y ejecucin. Todos los procedimientos que
generan instrucciones SQL deben revisarse en busca de vulnerabilidades de
inyeccin de cdigo, ya que SQL Server ejecutar todas las consultas
recibidas que sean vlidas desde el punto de vista sintctico. Un atacante
cualificado y con determinacin puede manipular incluso os datos con
parmetros.
Un ataque de este tipo puede dar acceso a alguien y sin ningn tipo de
restriccin a una base de datos completa e incluso copiar o modificar la
informacin.
Solucin ante las amenazas
Podemos realizar un anlisis de nuestro cdigo con el uso de herramientas
que testen nuestras aplicaciones en busca de vulnerabilidades por inyeccin
SQL. Algunas de estas herramientas son:
a) SQLiHelper 2.7 SQL Injection: Se trata de una aplicacin cuyo
objetivo es facilitar la extraccin de informacin procedente de bases
de datos utilizando para ello tcnicas de inyeccin SQL. Una vez
indicada la url que queremos analizar, la aplicacin realizar
peticiones inyectando cdigo SQL con el fin de comprobar si es
realmente vulnerable.
b) Pangolin: Se trata de una herramienta de pago que ofrece ms
posibilidades que la vista en el punto anterior y que est destinada a
descubrir vulnerabilidades tanto del tipo inyeccin SQL como
inyeccin SQL ciego.
c) SQLMap: Se trata de una herramienta de pruebas de cdigo abierto
que automatiza el proceso de detectar y explorar los errores de
inyeccin SQL.
Controles para disminuir los riesgos ocasionados por las posibles
amenazas
A la hora de desarrollar una aplicacin, es muy complicado crear una
herramienta totalmente segura a las primeras de cambio. La falta de tiempo
y la intervencin de varios programadores para su desarrollo, son factores
que juegan en contra de la seguridad. A pesar de estos inconvenientes,
siempre se pueden tomar medidas de seguridad que nos ayuden a
desarrollar aplicaciones ms robustas, ajenas a este tipo de problemas.
Medidas para evitar sufrir el ataque por inyeccin de cdigo SQL:
Escapar los caracteres especiales utilizados en las consultas SQL

 Delimitar los valores de las consultas

Verificar siempre los datos que introduce el usuario
Asignar mnimos privilegios al usuario que conectar con la base de
datos
Programar bien