Académique Documents
Professionnel Documents
Culture Documents
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
jodocha@upta.edu.ve
Universidad Politcnica Territorial del estado Aragua
datos,
I.INTRODUCCIN
Un problema comn de seguridad a todos los sistemas de
computo es el evitar que personas no autorizadas tengan
acceso al sistema, ya sea para obtener informacin, efectuar
cambios mal intencionados en la totalidad o una porcin o
totalidad de la base de datos.
La ciberdelincuencia se define como cualquier tipo de
actividad ilegal en la que se utilice Internet, una red privada o
pblica o un sistema informtico. Muchas formas de este tipo
de delito giran en torno a la obtencin de informacin sensible
para usos no autorizados, como la invasin de la intimidad del
mayor nmero posible de usuarios de computadores.
Entonces, la ciberdelincuencia comprende cualquier acto
criminal que utilice computadores y redes de comunicacin.
Adems, incluye delitos tradicionales realizados a travs de
Internet, como los delitos motivados por prejuicios, el
telemarketing1 y fraude de Internet, la suplantacin de
identidad y el robo de cuentas de tarjetas de crdito.
Las bases de datos no protegidas son el sueo de cualquier
cyber delincuente. Contienen los datos ms valiosos de la
organizacin, blanco fcil de un ataque y que estn
convenientemente organizados. No es de extraar que las
bases de datos sean el objetivo principal de los cyber ataques
ms sofisticados de los crackers 2 y de, cada vez ms, usuarios
1
El telemarketing (o telemercadotecnia) es una forma de mercadotecnia
directa en la que un asesor utiliza el telfono, la tableta, laptop o cualquier
otro medio de comunicacin para contactar clientes potenciales y
comercializar productos y servicios. Los clientes potenciales se identifican y
clasifican por varios medios como su historial de compras, encuestas previas,
participacin en concursos o solicitudes de empleo (todo, a travs de Internet).
2
El trmino cracker se refiere a las personas que rompen algn sistema de
seguridad. Los crackers pueden estar motivados por una multitud de razones,
incluyendo fines de lucro, protesta, o por el desafo.
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
II.
TCNICAS DE SEGURIDAD
3
Creacin de cuentas.
Concesin de privilegios.
Revocacin de privilegios.
2.
3.
4.
5.
Sistema operativo.
Red.
Fsico.
Humano.
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
Para conservar la seguridad en todos estos niveles para debe
afianzar la seguridad de la base de datos. La debilidad de los
niveles bajos de seguridad (fsico o humano) permite burlar las
medidas de seguridad estrictas de niveles superiores (base de
datos). La seguridad dentro del sistema operativo se aplica en
varios niveles, que van desde las contraseas para el acceso al
sistema hasta el aislamiento de los procesos concurrentes que
se ejecutan en l. El sistema de archivos tambin proporciona
algn nivel de proteccin.
III.
LOS USUARIOS7.
Una vista:
7
Segn la Real Academia Espaola, un usuario es aqul que usa algo o
que usa ordinariamente algo.
EL CIFRADO.
EL CONCEPTO DE VISTA.
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
A.
Cifrado AES y RSA
Cifrado (encriptacin) AES- 256
El estndar de cifrado (encriptacin) avanzado AES,
Advanced Encryption Standard (AES), es uno de los
algoritmos ms seguros y utilizados hoy en da - disponible
para uso pblico. Est clasificado por la Agencia de Seguridad
Nacional, National Security Agency (NSA), de los Estados
Unidos para la seguridad ms alta de informacin secreta Top
Secret. El algoritmo llamado "Rijndael", fue presentado
como el nuevo estndar de cifrado AES en el 2001 y se
transform en estndar efectivo en el 2002. El algoritmo se
basa en varias sustituciones, permutaciones y
transformaciones lineales, ejecutadas en bloques de datos de
16 bytes - por lo que se le llama blockcipher. Estas
operaciones se repiten varias veces, llamadas "rondas". En
cada ronda, un nico roundkey se calcula de la clave de
encriptacin, y es incorporado en los clculos. Basado en esta
estructura de bloque de AES, el cambio de un slo bit, ya sea
en la clave, o en los bloques de texto simple y claro, resulta en
un bloque de texto cifrado / encriptado completamente
diferente - una clara ventaja sobre cifrados de flujo
tradicionales. La diferencia entre AES-128, AES-192 y AES256, es la longitud de la clave: 128, 192 o 256 bits - todos
mejorados en comparacin con la clave DES de 56 bits.
Descifrar una clave de 128 bits AES con una sper
computadora estndar del momento, llevara ms tiempo que
la presunta edad del universo. Por lo tanto, sigue siendo el
estndar AES de cifrado preferido por los gobiernos, los
bancos y los sistemas de alta seguridad de todo el mundo.
VI.
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
Cerradas:
Solamente
los
accesos
autorizados explcitamente son permitidos.
Ver la figura siguiente.
B.
Control de Acceso Obligatorio
Entre las obligaciones del DBA est otorgar privilegios y
clasificar los usuarios, as como a los datos de acuerdo con la
poltica de la organizacin. Las rdenes privilegiadas del DBA
incluyen los siguientes tipos de acciones:
1.
Creacin de cuentas.
2.
Concesin de privilegios.
3.
Revocacin de privilegios.
4.
VII.
PRCTICAS DE SEGURIDAD
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
de identificacin, ya que estos datos y su correspondiente
ubicacin pueden estar en constante cambio debido a nuevas
aplicaciones o cambios producto de fusiones y adquisiciones.
Desarrolle o adquiera herramientas de identificacin,
asegurando stas contra el malware, colocado en su base de
datos el resultado de los ataques de inyeccin SQL; pues
aparte de exponer informacin confidencial debido a
vulnerabilidades, como la inyeccin SQL, tambin facilita a
los atacantes incorporar otros ataques en el interior de la base
de datos.
B.
Evaluacin de la vulnerabilidad y la configuracin
Evale la configuracin de bases de datos, para asegurarse
que no tiene huecos de seguridad.
Esto incluye la verificacin de la forma en que se instal la
base de datos y su sistema operativo (por ejemplo, la
comprobacin privilegios de grupos de archivo -lectura,
escritura y ejecucin- de base de datos y bitcoras de
transacciones).
Asimismo con archivos con parmetros de configuracin y
programas ejecutables.
Adems, es necesario verificar que no se est ejecutando la
base de datos con versiones que incluyen vulnerabilidades
conocidas; as como impedir consultas SQL desde las
aplicaciones o capa de usuarios. Para ello se pueden
considerar (como administrador):
C.
Endurecimiento
Como resultado de una evaluacin de la vulnerabilidad a
menudo se dan una serie de recomendaciones especficas. Este
es el primer paso en el endurecimiento de la base de datos.
Otros elementos de endurecimiento implican la eliminacin de
todas las funciones y opciones que se no utilicen. Aplique una
poltica estricta sobre que se puede y que no se puede hacer,
pero asegrese de desactivar lo que no necesita.
D.
Audite
Una vez creada la configuracin y controles de
endurecimiento, realice auto evaluaciones y seguimiento a las
su complejidad
Monitoreo.
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015
Universidad Politcnica Territorial del estado Aragua, Domnguez Chvez Jorge. Principios bsicos de seguridad...
problemas de rendimiento
H.
7.
8.
http://sox.sourceforge.net/
9.
Referencias
1.
2.
3.
4.
5.
6.
Jornada de Investigacin, Desarrollo Socio Productivo y Vinculacin Social del Departamento de Informtica, 2015