Scribd Logo
Importer

Bienvenue sur Scribd !

  • Ataquesql

    Transféré par

    Richard Perez
    15 vues5 pages
    descripcion de ataque a una base de datos sql

    Titre original

    ataquesql

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    descripcion de ataque a una base de datos sql

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    15 vues5 pages

    Ataquesql

    Transféré par

    Richard Perez
    descripcion de ataque a una base de datos sql

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

    ATAQUE DE SQL A LA BASE DE DATOS PUBLICADA

    EN UN HOSTING

    1) Ejemplificación de Implantación de Controles Ante


    incidentes - Escenario
    2) Ejemplificación de Implantación de Controles Ante
    incidentes – Qué ha pasado?
    3) ¿Qué puedes hacer?
    4) ¿Qué no debes hacer?
    5) Lecciones aprendidas

    ARSYS sancionada por el ataque que sufrió en 2007

    “El ataque hacker que comprometió los datos de casi 8000 clientes de
    Arsys se ha saldado con una multa de 6000 euros a esta entidad, por
    entender que no cumplía con todas las medidas de seguridad. La
    Resolución detalla el procedimiento seguido por el atacante (SQL injection)
    y se pone de manifiesto que en el momento del ataque Arsys tenía un total
    20 vulnerabilidades graves que permitían acceder a los datos de los
    clientes, como la existencia de contraseñas de administradores en el código
    fuente de algunas aplicaciones.
    El 11 de junio de 2007 apareció en diversos medios de comunicación que “unos
    hackers atacan una empresa de Internet y obtienen claves personales y bancarias
    de clientes“; en la noticia no se mencionaba la empresa, pero hecha pública la
    Resolución sancionadora recientemente, descubrimos que se trataba de Arsys,
    aunque es algo que ya se sabía en el mundillo.”

    La Resolución describe todo el procedimiento seguido por el atacante para


    vulnerar los sistemas de Arsys, y que para no extenderme resumo de la
    siguiente manera:
    1. El día 15 de febrero de 2007 el atacante se da de alta como cliente de Arsys,
    proporcionando un NIF y número de cuenta bancaria españoles válidos.
    2. El día 16 de febrero de 2007 un atacante accede al área de clientes.
    3. Después de recorrer e interactuar con varias aplicaciones descubre una
    vulnerabilidad SQL injection en el parámetro de la url de la aplicación
    servicios.asp.
    4. El día 17 de febrero de 2007 se reciben 2.136 peticiones a la aplicación
    servicios.asp que, mediante la vulnerabilidad SQL injection y aprovechando la
    capacidad de paginación de la aplicación listan los campos CDA_L0G1N y
    CDA_PASSWORD.Esto es, “se realizó un ataque de inyección SQL, mediante el
    cual el atacante pudo averiguar las claves de acceso de los usuarios a los
    servicios FTP”.
    5. Pudo averiguar las claves porque éstas se almacenaban en texto plano en la
    base de datos.
    6. Entre los días 13 y 1 de abril de 2007 (antes de terminar el recorrido por el
    panel de control) se realiza un ensayo contra los servidores FTP para discernir
    cuales de las contraseñas capturadas son válidas.
    7. Cuando se produce el ataque entre los días 21 y 22 de abril, el atacante no
    falla ninguna de las contraseñas que intenta.
    8. Durante del fin de semana del 21 y 22 de abril usuarios no identificados
    comprometieron la seguridad de unos 8.000 dominios, utilizando FTP para
    acceder con las credenciales de usuario y modificar las páginas HTML
    principales de los dominios.
    La modificación realizada en las páginas añade un iframe a un sitio web
    malicioso, con el objetivo de instalar un troyano en la máquina del cliente
    que visite el dominio comprometido.”

    QUE ES ARSYS?

    Arsys es una empresa española que proporciona hosting, cloud computing

    y soluciones de infraestructura TIC a empresas o profesionales. La cual

    figura entre las compañías lideres en tecnología e innovación en Europa.

    ERRORES COMETIDOS POR ARSYS Y ACCIONES IMPLEMENTADAS PARA

    SOLUCIONARLO.

    Los atacantes encontraron una vulnerabilidad en una aplicación web de

    un cliente de la empresa Arsys la cual no valida correctamente los


    parámetros de entrada, y de esta manera estos con unas herramientas de

    hacking pueden ingresar y validar el listado de usuarios y contraseñas( las

    cuales se encontraban en texto plano), ya con esos datos intentaron

    ingresar al servidor FTP y como los datos en un 90% eran correctos

    ingresaron fácilmente. Una vez adentro procedieron a descargar en los

    archivos index.php y index.asp de los archivos de los clientes un troyano el

    cual era un iframe con código de javascript, el cual se ejecutaba una vez

    un usuario visitaba una pagina web del cliente y a la vez este quedaba

    infectado con el troyano. En un principio Arsys intento ocultar este fallo

    creo una serie de script que viajaban entre sus bases de datos en busca de

    iframes maliciosos y borraban esas paginas de inicio infectadas, asi mismo,

    solicito a sus clientes que por políticas de seguridad deberían cambiar sus

    contraseñas pero esta medida no les sirvió de nada. Finalmente

    implemento un sistema de captchas lo cual impedia que cambio de

    contraseñas se hiciera automáticamente.

    ¿Qué puedes hacer?

    1. La encriptación de claves es muy importante para proteger de

    manera segura la información de usuarios, contraseñas e

    información sensible de la empresa.


    2. Implemetacion de auditorias que permitan encontrar las

    vulnerabilidades en el sistema y solucionarlas a tiempo.

    3. Contar con sistemas de validación de contraseñas que impidan que

    una misma contraseña sirva para ingresar a plataformas o paginas

    web distintas.

    4. Programar el sistema de ingreso a una plataforma para que una vez

    se ingresa por primera vez debe cambiarse la contraseña que se le

    da por defecto al cliente.

    5. Cuando se conoce o hay advertencia de que en un sitio o pagina

    web hay algún riesgo de virus o programas maliciosos no se debe

    ingresar ni por curiosidad así se tenga un excelente antivirus.

    4) ¿Qué no debes hacer?

    1. Repetir contraseñas en diferentes paginas web o plataformas, ya que si por

    alguna razón esta es conocida cualquier persona podrá ingresar

    a todas nuestras cuentas.

    2. No ingresar a sitios o paginas web que puedan contener virus,

    gusanos, troyanos o software malicioso por mas protección

    tenga el dispositivo con el cual se navegaba.

    3. Cuando se ingrese a un sitio que solicite un registro para su

    ingreso y su vez solicita la creación de usuario y una contraseña,


    una vez se ingresa se debe cambiar la contraseña que se dio por

    defecto o se ingresó para el registro.

    5) Lecciones aprendidas

    En cuanto a la base de datos se debe tener en cuenta la encriptación de la

    información confidencial es muy importante ya que esto blinda la

    información de poder ser robada, interceptada.

    La curiosidad de algún sitio inseguro solo trae inconvenientes, esto debido

    a que una vez la empresa Arsys supo del problema que tenia con el iframe

    infectando, quiso ingresar a esas paginas para conocer el problema y esto

    creo un problema mayor ya que ayudo a propagarlo.

    Vous aimerez peut-être aussi