PDF de programación - Ataques a Bases de Datos

Ataques a Bases de Datos

Webinar Gratuito

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux

Sitio Web: http://www.ReYDeS.com

e-mail: [email protected]



Jueves 2 de Abril del 2015

Presentación

Alonso Eduardo Caballero Quezada es Brainbench Certified Network
Security (Master), Computer Forensics (U.S.) & Linux Administration
(General), IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling y Miembro de Open Web
Application Security Project (OWASP).

Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y
Conferencista en PERUHACK 2014. Cuenta con más de doce años de
experiencia en el área y desde hace ocho años labora como Consultor e
Instructor Independiente en las áreas de Hacking Ético & Informática
Forense. Perteneció por muchos años al grupo internacional de Seguridad
RareGaZz e integra actualmente el Grupo Peruano de Seguridad
PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también
constantemente en exposiciones enfocadas a, Hacking Ético, Informática
Forense, GNU/Linux y Software Libre.

@Alonso_ReYDeS

www.facebook.com/alonsoreydes



pe.linkedin.com/in/alonsocaballeroquezada/



¿Qué es una Base de Datos?

Una Base de Datos es una colección organizada de datos. Los cuales son
típicamente organizados para modelar aspectos de realidad de forma tal
apoye los procesos requiriendo la información.

Los sistema gestores de bases de datos (DBMS) son aplicaciones los
cuales interactúan con el usuario, otras aplicaciones, y la base de datos
por si misma para capturar y analizar datos. Un DMBS de propósito
general está diseñado para permitir la definición, creación, consulta,
actualización y administración de bases de datos. Entre los DBMS más
conocidas se incluyen MySQL, PostreSQL, Microsoft SQL Server, Oracle,
etc.

Una Base de Datos generalmente no es portátil entre diferentes
plataformas, pero diferentes DBMS pueden interoperar utilizando
estándares como SQL y ODBC o JDBC para permitir a una única
aplicación trabajar con más de un DBMS.

* http://www.mysql.com/
* http://www.postgresql.org/
* http://www.microsoft.com/en-us/server-cloud/products/sql-server/
* http://en.wikipedia.org/wiki/Database



¿Porqué Atacar una Base de Datos?

Las Bases de Datos son el lugar donde residen generalmente los datos
más valiosos relacionados a la empresa, los clientes, las finanzas, etc.

Si la Base de Datos es comprometida de alguna manera, las perdidas
económicas pueden ser muy elevadas, con el consecuente daño también
a la imagen de la organización. Esto aunado al incumplimiento de
regulaciones o leyes sea el caso del país.

Las vulnerabilidades afectan a todos los proveedores de Bases de Datos.
Aunque algunos se ven más afectados en comparación a otros.

El punto de entrada más frecuentemente explotado en la actualidad hacia
las bases de datos son las aplicaciones web. Aunque no se deben
descartar las malas configuraciones, tener contraseñas débiles, o ser
vulnerable a vulnerabilidades conocidas o desconocidas.

* http://dev.mysql.com/doc/refman/5.7/en/security.html
* http://www.postgresql.org/support/security/
* https://msdn.microsoft.com/en-us/library/bb669074%28v=vs.110%29.aspx
* https://www.blackhat.com/presentations/bh-europe-07/Cerrudo/Whitepaper/bh-eu-07-cerrudo-WP-up.pdf



Ataques Contra las Bases de Datos

Adivinar o realizar ataques por fuerza bruta de contraseñas. Contraseñas
en blanco o fáciles de adivinar utilizando también técnicas de fuerza bruta

Humear contraseñas de datos y contraseñas atravesando la red. Si no se
utilizan conexiones cifradas los datos pueden ser fácilmente
interceptados.

Explotar malas configuraciones. Bases de Datos abiertas por defecto, con
diversas funcionalidades habilitadas e inseguramente configuradas.

Explotar vulnerabilidades conocidas o desconocidas. Desbordamientos de
Buffer, Inyecciones SQL, entre otros para apropiarse de la base de datos.



Curso Virtual de Hacking Ético

Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico

E-mail: [email protected] / Sitio Web: http://www.reydes.com



Cursos Virtuales

Todos los Cursos Virtuales dictados están disponibles en Video.

Curso Virtual de Hacking Ético

http://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Web

http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forense

http://www.reydes.com/d/?q=Curso_de_Informatica_Forense



Mas Contenidos

Videos de 25 Webinars Gratuitos sobre Hacking Ético, Hacking
Aplicaciones Web e Informática Forense.

http://www.reydes.com/d/?q=videos

Diapositivas utilizadas en los Webinars Gratuitos.

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Mi Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1



Demostraciones



Ataques a Bases de Datos

¡Muchas Gracias!

Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux

Sitio Web: http://www.ReYDeS.com

e-mail: [email protected]



Jueves 2 de Abril del 2015