2.

La seguridad de las bases de datos

La gran mayora de los datos sensibles del mundo estn almacenados en sistemas gestores de bases de datos comerciales tales como Oracle, Microsoft SQL Server, Sybase entre otros, y atacar una base de datos es uno de los objetivos favoritos para los criminales. Esto puede explicar por qu los ataques externos, tales como inyeccin de SQL, subieron 345% en 2009, Esta tendencia es prueba adicional de que los agresores tienen xito en hospedar pginas Web maliciosas, y de que las vulnerabilidades y explotacin en relacin a los navegadores Web estn conformando un beneficio importante para ellos[1] Para empeorar las cosas, segn un estudio publicado en febrero de 2009 The Independent Oracle Users Group (IOUG), casi la mitad de todos los usuarios de Oracle tienen al menos dos parches sin aplicar en sus manejadores de bases de datos [2]. Mientras que la atencin generalmente se ha centrado en asegurar los permetros de las redes por medio de, firewalls, IDS / IPS y antivirus, cada vez ms las organizaciones se estn enfocando en la seguridad de las bases de datos con datos crticos, protegindolos de intrusiones y cambios no autorizados.

Seguridad.
La seguridad de base de datos es especialmente crucial. Los estndares de seguridad deben ser claramente definidos y estrictamente aplicados. Los procedimientos de seguridad deben de disearse para que manejen una multitud de escenarios de seguridad para reducir al mnimo los problemas de seguridad. La mayora de los productos DBMS proporcionan nombre del usuario y contrasea de seguridad. Una vez que el usuario se registra, se puede limitar el acceso a ciertas formas, reportes, tablas e incluso a columnas de tablas. Esto es tan apropiado y til como se quiera. Sin embargo no ayuda a limitar los datos que los usuarios pueden ver. Algunas veces usted escuchara los trminos seguridad horizontal y seguridad vertical. Para entenderlos, piense en una tabla. La seguridad vertical limitar el acceso a ciertas columnas, pero se podran ver todos los renglones. La seguridad horizontal limitar el acceso a ciertos renglones, pero se podrn ver todas las columnas. Las aplicaciones que limitan a los usuarios a ciertas formas, reportes, tablas o columnas proporcionan seguridad vertical. Las que limitan a los usuarios a ciertos datos en formas, reportes, tablas o columnas proporcionan seguridad horizontal. Los nombres de usuarios y las contraseas se pueden usar con facilidad para proporcionar seguridad vertical. La

seguridad horizontal generalmente requiere que el programador escriba un cdigo de aplicacin [4].

Seguridad en Sybase
Sybase cuenta con los siguientes Gestores de Bases de Datos: Adaptive Server Enterprise (ASE). Es el sistema para gestin empresarial de datos crticos que responde a las necesidades crecientes de informacin. Adaptive Server Anywhere, una base de datos para computacin mvil y departamental. Sybase IQ, una base de datos para Inteligencia Empresarial y Almacenes de Datos.

Fig. X Diagrama de la arquitectura de Sybase ASE. El sistema de administracin de bases de datos empresariales crticas de ASE . Protege a 24 de los 25 principales bancos mundiales y 46 de los principales 50 bancos y firmas de valores de todo el mundo, es conocido por su fiabilidad slida como una roca, rendimiento superior y costo total de propiedad reducido [5]. Entre las funciones clave de ASE, se incluyen: cifrado de datos para brindar proteccin contra vulnerabilidades internas y externas, tecnologa de particin para brindar un mejor rendimiento y un mantenimiento ms sencillo, y capacidades de virtualizacin y de agrupacin en clsteres para brindar una capacidad continua y un uso eficiente de los recursos [5].

ASE ofrece un enfoque riguroso de los datos de seguridad, lo que permite proteger los datos a una capa muy fina de granularidad, incluida la seguridad de nivel de columna a travs de las opciones de concesin y revocacin, y la seguridad a nivel de fila a travs de vistas [6]. De igual manera Sybase IQ ofrece: Seguridad de Extremo a Extremo Seguridad validada por FIPS 140-2, certificacin Common Criteria, algoritmos de cifrado y protocolos estndar, que incluyen AES, ECC, RSA y SSL aseguran la seguridad de extremo a extremo. La tecnologa de encriptacin y anti-invasiones provee el ms alto nivel de seguridad actualmente disponible en el mercado. Columnas cifradas para mayor seguridad de los datos. Reduce an ms los costos de operaciones simplificando la administracin y mejorando los sistemas de seguridad, ofreciendo un administrador de bases de datos que permanece fcil de manejar mientras se est protegido contra las intrusiones.

Los siguientes puntos son algunos de los aspectos ms destacados de la funcin de cifrado de datos: Los administradores de bases de datos u oficiales de seguridad (sso_role) tienen la posibilidad de crear claves de cifrado en el nivel de base de datos utilizando el algoritmo Advanced Encryption Standard (AES) Se permiten claves de encriptacin mltiple dentro de una nica base de datos ASE. Los datos cifrados se almacenan en el disco o en la memoria como datos cifrados y texto no plano. No es necesaria programacin lgica externa para descifrar los datos cifrados [7].

Niveles de seguridad ASE Hay cinco niveles de segurirda: Sistema Operativo Servidor Base de Datos Acceso a objetos de base de datos Acceso sub-objeto

No se puede acceder a los archivos de datos ASE si usted no puede obtener acceso al sistema operativo del servidor. ASE maneja esto sin pasar por el sistema operativo, sino que escucha a un mango de funcionamiento del sistema, o puerto, o nodo. En Unix, esto significa que se define un puerto numerado, y el servidor escucha en ese puerto. Las consultas se transmiten desde el cliente a este puerto. Una vez que tenga acceso al sistema operativo, es necesario el acceso al servidor de base de datos; ASE concede acceder al servidor a travs de una combinacin tradicional usuario/contrasea. El acceso al servidor de base de datos no garantiza el acceso a la base de datos, es necesario conceder acceso explcito a la base de datos (s). Esto se realiza normalmente con el procedimiento sp_adduser, el cual agregar filas a la tabla sysusers de la base de datos a la cual el usuario garantizar su acceso. Una vez que tenga acceso explcito a la base de datos, que no necesariamente tienen acceso explcito a los datos de las tablas, para ejecutar procedimientos almacenados o para crear objetos. Los usuarios obtienen acceso a los objetos de base de datos a travs de sentencias GRANT y REVOKE.

Problemas de seguridad en SYBASE

Las versiones no actualizadas de la base de datos SYBASE contienen numerosas vulnerabilidades de seguridad que, entre otras cosas, permiten la ejecucin de cdigo arbitrario en el servidor. Algunas de las vulnerabilidades son: Desbordamiento de bfer al invocar la funcin "xp_freedll" al proporcionarle un parmetro de longitud excesiva. El desbordamiento permite la ejecucin de cdigo arbitrario (Esta vulnerabilidad afecta a la versin MS Windows de SYBASE).

Desbordamiento de bfer en la funcin "DBCC CHECKVERIFY", permitiendo la ejecucin de cdigo arbitrario en el servidor (esta vulnerabilidad afecta a todas las plataformas soportadas por SYBASE). Desbordamiento de bfer en la ejecucin de "DROP DATABASE", permitiendo la ejecucin de cdigo arbitrario en el servidor (esta vulnerabilidad afecta a todas las plataformas soportadas por SYBASE).

El fabricante ha publicado parches para estas vulnerabilidades. Los administradores de sistemas SYBASE pueden descargarlos desde su web [8].

Referencias
[1] El Reporte X-Force de IBM revela que el phishing y las amenazas relacionadas a documentos se incrementan [en]http://www.lawebdelprogramador.com/noticias/mostrar.php?id=2460 [2] ISO/IEC 27001:2005 Information technology -Security techniques [en]http://www.iso.org/iso/catalogue_detail?Csnumber=42103 [3] Rob, Peter, Coronel Carlos. Sistemas de Bases de Datos. Diseo, Implementacin y Administracin. 5 Ed. Thomas Editores, 2004, Mexico. [4] Kroenke, David M. Procesamiento de Base de Datos. Fundamentos, diseo e implementacin. 8. Ed. Pearson Educacion, 2003, Mexico. ISBN: 970-26-0325-0. [5] http://www.sybase.com/products/databasemanagement/adaptiveserverenterprise/asesecurity [6] Garbus, Jeffrey R. Administrator's guide to Sybase ASE 15. Wordware Publishing, Inc. 2006. ISBN: 978-1-55622-360-0. [7] Tylor, Brian. The official new features guide to Sybase ASE 15. Wordware Publishing, Inc. 2006. ISBN: 978-1-59822-004-9 [8] http://unaaldia.hispasec.com/2003/02/problemas-de-seguridad-en-sybase.html