Servidores de bases de datos: caramelos para hackers
Email
| 
¿Desea imprimir?
Regístrese ahora
Información sensible y mala gestión en seguridad los convierte en objetivos tentadores
Hoy los buenos hackers son hombres de negocios y averiguan si determinado objetivo cumple las condiciones para un ataque lucrativo. Actualmente quizá no haya blancos más visibles que las bases de datos de las empresas.
Las bases de datos albergan los datos confidenciales más fáciles de vender de una compañía: listas de clientes, la nómina y muchos otros inventarios estructurados que significan información sensible. Los administradores de las bases de datos no suelen ser duchos en prácticas de seguridad y las propias bases de datos están a menudo ligadas a aplicaciones web que han resultado fáciles de asaltar.
En su estudio anual sobre intrusiones, el equipo ‘forense’ de computación de Verizon Business informó que en 2008 las bases de datos constituyeron el 30% de las intrusiones. Peor aún, las intromisiones en las bases de datos son el 75% de todos los reportes que se notifican como penetrados. Debido a que la información sensible se suele encontrar en una sola base de datos, con una intromisión única se puede producir un perjuicio notable.
“Cuando la situación se examina de cerca se advierte que un porcentaje considerable de las amenazas a la seguridad tienen que ver con las bases de datos”, dice Rich Mogull, analista y fundador de Securosis, firma de consultoría en seguridad. La mayor parte de quienes manejan la seguridad de la información provienen del sector de redes de las IT y conocen poco de tecnología de bases de datos, añade Mogull. Y un estudio reciente de Forrester Research halló que los administradores de las bases de datos pasan menos del 5% de su tiempo manejando la seguridad de las bases de datos.
“Diría que de las llamadas que recibo sobre este tema, al menos dos tercios de las veces no son del personal de las bases de datos –afirma Jeffrey Wheatman, director de Seguridad y Privacidad de la Información, de Gartner–. Pienso que es un problema porque cuando se trata de monitorear o de dar seguridad a algo no todo el mundo entiende; se necesita llevar a un experto.”
Muchas vulnerabilidades de la seguridad de las bases de datos son causadas por simples descuidos en seguridad. En una encuesta de 2008, el Independent Oracle Users Group encontró que el 26% de las organizaciones tardan más de seis meses en instalar parches de seguridad en las bases de datos de Oracle; 11% nunca las han parchado. Las bases de datos de producción no suelen ser parchadas con la suficiente frecuencia porque son servidores de bases de datos siempre ocupados y la gente dice: ‘Si no está roto, no lo arregles’,” señala Adam Muntner, socio de QuietMove, firma de asesoramiento en vulnerabilidades.
Las compañías suelen cometer errores que vuelven vulnerables las bases de datos, como dejar las bases de datos de las pruebas en los servidores de producción, o ligando datos sensibles a aplicaciones que dan cara al web y son de fácil hackeo. “Pienso que la mayor amenaza a las bases de datos son las aplicaciones web y las vulnerabilidades a la lógica del negocio que comportan”, señala Muntner.
Una estrecha vinculación de las bases de datos con aplicaciones web las vuelve vulnerables a ataques de inyección a SQL [lenguaje de consulta estructurado], pues los atacantes introducen tiras de código SQL a los débiles campos de las aplicaciones web.
Entonces pueden atacar una base de datos vinculada a una aplicación web específica y también usar la liga entre la aplicación web y la base de datos para lanzar ataques más expansivos a todos los servidores de bases de datos. De acuerdo con la unidad de investigación de seguridad ISS X-Force, de IBM, los errores en inyección a SQL, el año pasado, fueron la vulnerabilidad de las aplicaciones web más comúnmente explotada, pues se incrementaron 134% respecto de 2007.
