• Amenazas o vulnerabilidades de procesos• Directivas de seguridad• Principio de Privilegios mínimos• Boletines de Seguridad

• Amenazas o vulnerabilidades de plataforma• Sistemas desactualizados• Vulnerabilidades en puertos de red• Configuración incorrecta en las cuentas de servicio• Área expuesta demasiado grande• Procedimientos almacenados innecesarios habilitados

• Amenazas o vulnerabilidades de autenticación• Contraseñas no seguras• Cuentas de usuario no auditadas

• Amenazas o vulnerabilidades de Programación• Inyección de Código SQL • Contraseñas incrustadas en cadenas de conexión

• Amenazas o vulnerabilidades de Acceso a los datos• Cifrado o certificados aplicados incorrectamente.• Datos sin cifrar

Problema: Elevación de Privilegios Resultado: Accesos no deseados/Ejecución de sentencias perjudiciales/Degradación del rendimiento, etc

Ejemplo: Vulnerabilidad en la reutilización de páginas de memoria (http://en.securitylab.ru/notification/355705.php)

Solución: Reducción del Área Expuesta (http://www.microsoft.com/technet/security/bulletin/ms08-040.mspx)

Ejemplo: Vulnerabilidad de inyección de SQL Ciega en http://www.hsoft.es/extranet.asp

Problema: Programación Pobre Resultado: Inyección de Código SQL/SQL Ciego

► Microsoft proporciona la herramienta SQL Server Best Practices Analyzer para detectar vulnerabilidades que identifica actualizaciones de seguridad faltantes, carpetas con permisos inadecuados, etc.

► Permite inventariar y auditar el servidor, comparando su estado con las buenas prácticas y vulnerabilidades conocidas

► Este proceso ayuda a mejorar las configuraciones y fortalecer la infraestructura

► Una vez descubiertas vulnerabilidades, la gestión de parches y actualizaciones ayudan a solucionar los problemas detectados

Amenazas o Vulnerabilidades de Plataforma

Amenazas o Vulnerabilidades de Plataforma

Amenazas o Vulnerabilidades de Plataforma

Amenazas o Vulnerabilidades de Plataforma

Amenazas o Vulnerabilidades de Plataforma

Amenazas o Vulnerabilidades de Plataforma

Amenazas o Vulnerabilidades de Plataforma

2º: Escribimos dentro de glogin.sql la sentencia para que se otorge el rol DBA a nuestro cutreusuario.

Amenazas o Vulnerabilidades de Plataforma

•Desde Oracle Database 7 a Oracle Database 10g1º- El algoritmo de encriptación DES para las password utilizado es conocido, realizando una concatenación de nombre de usuario y clave, pasándolo a mayúsculas previamente. (http://groups.google.com/group/comp.databases.oracle/msg/83ae557a977fb6ed).2º- Las contraseñas admiten hasta 30 caracteres de longitud.3º- El Hash se puede visualizar en la tabla DBA_USERS (Columna Password).

• En Oracle Database 11G1º- El algoritmo de encriptación es SHA-1.2º- Las contraseñas admiten hasta 50 caracteres de longitud.3º- El Hash NO se puede visualizar en la tabla DBA_USERS.

• Ubicaciones de las claves en Oracle:1º- Vista DBA_USERS y Tabla SYS.USER$.2º- Fichero de Claves de Oracle(PWD<%Oracle_Sid%>.ora.3º- Fichero de Datos del Tablespace SYSTEM (System01.dbf).4º- Ficheros de Exportación de Oracle (Dumpfiles, *.dmp).5º- Archivados (Archive Log Mode, *.arch).

Amenazas o Vulnerabilidades de Autenticación

Amenazas o Vulnerabilidades de Autenticación

Fuente: http://www.databasesecurity.com/dbsec/comparison.pdf