Informe sobre fuga de información de base de datos

El 96% de los datos sustraídos durante 2012 provenían de bases de datos, según un informe de Verizon Data Breach [PDF]. Además, durante el año pasado, 242 millones de registros resultaron potencialmente comprometidos, indica la Open Security Foundation. Se trata de dos preocupantes datos que la compañía Imperva, especializada en seguridad, recuerda en un informe que ha elaborado sobre las diez principales amenazas que existen contra las bases de datos y en el que se pone de manifiesto que éstas son el objetivo prioritario para hackers e insiders maliciosos.

En el informe asevera que esto es así debido a que las bases de datos representan el corazón de cualquier organización, ya que almacenan registros de clientes y otros datos confidenciales del negocio. Y afirma además que esta vulnerabilidad de las bases de datos mejoraría si no hubiera la actual falta de inversión en soluciones de seguridad adecuadas para protegerlas. Y es que, como señala IDC, menos del 5% de los 27.000 millones de dólares invertidos en 2011 en productos de seguridad se destinaron a la salvaguarda de los centros de datos.

Éste es, según Imperva, el top 10 en amenazas en el entorno de bases de datos:

• Privilegios excesivos e inutilizados. Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo se crea un riesgo innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser bien definidos o mantenidos.
• Abuso de Privilegios. Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados, por ejemplo, sustraer información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.
• Inyección por SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningún tipo de restricción a una base de datos completa e incluso copiar o modificar la información.
• Malware y spear phising. Se trata de una técnica combinada que usan los cibercriminales, hackers patrocinados por estados o espías para penetrar en las organizaciones y robar sus datos confidenciales.
• Auditorías débiles. No recopilar registros de auditoría detallados puede llegar a representar un riesgo muy serio para la organización en muchos niveles.
• Exposición de los medios de almacenamiento para backup. Éstos están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Además, el no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.
• Explotación de vulnerabilidades y bases de datos mal configuradas. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.
• Datos sensibles mal gestionados. Los datos sensibles en las bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.
• Denegación de servicio (DoS). En este tipo de ataque se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.
• Limitado conocimiento y experiencia en seguridad y educación. Muchas firmas están mal equipadas para lidiar con una brecha de seguridad por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.
• Para la firma de seguridad, la clave para evitar estas amenazas es una defensa multicapa que permita localizar y evaluar dónde se ubican las vulnerabilidades en la base de datos y en qué sitio residen los datos críticos; gestionar los derechos de usuario para identificar derechos excesivos sobre los datos sensibles; hacer monitorización y bloqueo para proteger las bases de datos de ataques, pérdida de datos y robo; realizar auditorías y proteger los datos.

Fuente: Ticbeat

Contenido completo en www.segu-info.com.ar

MariaDB comienza a desplazar a MySQL

En los últimos años hemos sido testigos de caminos con difícil retorno de varios proyectos de código abierto que, por estar mal gestionados, han dado lugar a derivados que les han comido terreno, cuando no superado. Superado en calidad y número de usuarios.

Proyectos como Mandriva y OpenOffice prácticamente han desaparecido del mapa (más el primero que el segundo), en favor de sus derivados: Mageia y LibreOffice. Ahora es MySQL el que está en serio peligro, siendo desplazado de varias e importantes distribuciones, en favor de su fork MariaDB.

Un relevo que se está cocinando a fuego lento

Primero fueron Fedora y OpenSUSE las distribuciones GNU/Linux que anunciaron el cambio por defecto del gestor de base de datos a MariaDB. Después se han apuntado al carro otras como ArchLinux, Mageia y Slackware. Sin restar importancia a las tres últimas mencionadas, es significativo el cambio en Fedora y OpenSUSE.

Habrá quien piense, y no sin razón, que las distribuciones GNU/Linux las usamos cuatro amiguetes. Probablemente también, que la mayoría de usuarios necesitamos poco o nada un gestor de bases de datos tan potente como MySQL y MariaDB, y estará en lo cierto.

Ahí no radica la importancia del cambio. Lo realmente relevante es que detrás de Fedora y OpenSUSE están los servidores empresariales (RedHat Enterprise Linux y Suse Linux Enterprise Server). Esto ya cambia la perspectiva de la sustitución, porque en el mundo de los servidores, GNU/Linux sí tiene un peso importante.

Razones del cambio de MySQL por MariaDB y consecuencias

Las razones que subyacen tras esta elección están vinculadas el giro dado por Oracle a MySQL, que se ha vuelto más cerrada, no publicando ya información relevante sobre cuestiones de seguridad, pruebas, ni información de errores.

Oracle ha vuelto a equivocarse. En el mundo del software libre hay unas reglas, escritas o no, que cuando las saltas te quedas fuera. Por un lado, es una pena que proyectos tan importantes sufran estos cismas porque suponen trabajo duplicado en paralelo. Por otro pensar que, una vez pasado un tiempo, los derivados ofrecen tanta calidad, cuando no más, que el proyecto del que surgen.
MySQL es un buen producto con muchos años en el mercado y que tiene un peso relevante en el mundo de los servidores. Presencia que no se va a diluir a corto plazo porque en el entorno empresarial los cambios se suceden despacio.

No sé si todavía Oracle tiene margen de maniobra o no para rectificar, pero MariaDB cuenta con varios desarrolladores del proyecto original, es altamente compatible, goza de prestigio y, lo más importante, completamente libre. ¿Veremos a MySQL aterrizar en Apache o la FSF? El tiempo lo dirá.

Fuente: Genbeta

Contenido completo en www.segu-info.com.ar

Datos recopilados por empresas comienzan a adquirir valor comercial

La información que manejan las empresas y que generan los consumidores ha comenzado a ganar valor. De esta forma las tendencias en Big Data y Business Intelligence han ido convirtiéndose en un activo que podría ser comercializado, explicó la consultora Gartner hace unos días, citando como ejemplo aquella que se genera a través de las redes sociales.

Los analistas prevén que en 2016 el 30% de las empresas logren obtener beneficios de la información que han ido recopilando en sus sistemas. El comunicado de Gartner señala que, “muchas empresas están comenzando a apreciar el valor de mercado real de la información que han estado cosechando como parte de sus procesos”.

Así mismo, los expertos estiman que muy pronto comenzará a ganar importancia en las compañías la figura de los “brokers” e la información, quienes serán intermediarios especializados encargados de comprar información o generar asociaciones con empresas para revenderla.

Doug Laney, vicepresidente de investigación de Gartner señala que vender datos a terceros poco a poco se convertirá en una actividad que irá ganando peso en la industria. Laney puntualiza que, “los consumidores y las empresas deben reconocer que sus datos de actividad, localización, perfil, etc. son valores tangibles de mercado. Deberían protegerlos y asegurarse de recibir algo a cambio cuando los compartan”.

Si bien el escenario para este nuevo modelo de negocio parece atractivo, lo cierto es que deberá enfrentar algunas barreras, sobre todo en el ámbito legislativo. Vender la información podría acarrear problemas legales y normas más estrictas con el fin de disminuir los riesgos en materia de privacidad.

Los expertos de Gartner señalan que podría surgir un modelo de acceso a la información a través de suscripción, de forma que los interesados puedan acceder a una base de datos que las empresas almacenarán en la nube.

Frente a este nuevo escenario acciones simples como la compra de un producto en una tienda podría ser relevante en la medida que los datos de cientos de consumidores se reúnan eficazmente, así como también podría pasar con un comentario en Twitter o Facebook, en la medida que el valor de la información vaya creciendo de la mano de la figura de los “brokers” de la información.

Fuente: InfoWeek

Contenido completo en www.segu-info.com.ar

Asegurando PL/SQL

Pete Finnigan ha publicado una presentación sobre programación segura con PL/SQL (Oracle). Pete ha pasado mucho tiempo trabajando con PL/SQL en busca de errores, asegurando código y también es el autor del producto PFCLObfuscate, una herramienta para proteger la propiedad intelectual del código.

Desde su sitio web se puede descargar una serie de papers, herramientas gratuitas y la a presentación Securing PL/SQL Coding [PDF].

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Oracle anuncia 86 actualizaciones incluyendo 18 para MySQL

Oracle anunció en su sitio web que las actualizaciones de seguridad serán publicadas este martes. La compañía dijo que las 86 actualizaciones afectarán “cientos de productos de Oracle”. El agujero más serio con la más alta calificacion del CVSS (Common Vulnerability Scoring System) será cerrado en la base de datos Oracle Mobile/Lite Server, variante de servidor de base de datos móviles.

En la base de datos relacional libre, MySQL, Oracle abordará 18 puntos potenciales de ataque. Dos de éstos tienen una calificación CVSS de 9 y se dice que fueron explotados de forma remota sin autenticación. Con su actualización de seguridad, Oracle probablemente cerrará el agujero recientemente revelado como día cero en MySQL, al menos eso es lo que las últimas observaciones del informe Bugzilla de Red Hat sobre este tema parecen indicar. Las correcciones relevantes en el código fuente de MySQL se realizaron en las versiones 5.5.29 y 5.1.67.

Solamente una actualización para el módulo “Spatial”  será publicada para el servidor de base de datos Oracle 10/11, lo que significa que el agujero que se conoce desde hace tiempo en el TNS Listener seguirá sin actualizar. Oracle anunció que planea cerrar estos agujeros en la próxima versión 12 de la base de datos del servidor.

La compañía Critial Patch Update (CPU) también incluye algunas actualizaciones de Fusion de Oracle, Enterprise Manager Grid Control, E-Bussiness Suite, Supply Chain Products Suite, PeopleSoft, JD Edwards y productos Solaris. Todos los detalles serán anunciados cuando el CPU esté publicado el martes.

Fuente: UNAM

Contenido completo en www.segu-info.com.ar

Hackean de nuevo las bases de datos de Philips

Días después de que nombres, contraseñas y mensajes de email de sus bases de datos acabaran siendo publicadas en Internet, la compañía Philips ha vuelto a sufrir de nuevo un ataque igual. En esta ocasión, los cibercriminales postearon los archivos robados de Philips en páginas de almacenamiento de datos, blogs y redes sociales, utilizando los hashtags #Anonymous, #AntiSec y #LulzSecReborn para expandirlos.

En total, han sustraído con éxito más de 200.000 emails y se estima que al menos 1.000 de ellos ofrecen credenciales de usuarios de Philips que podrían utilizarse para fines maliciosos. Según ha trascendido, el ataque ha sido llevado a cabo por una facción del grupo de ciberactivistas Anonymous que trabaja en Suecia.

Estos hackers han señalado, que con esto quieren avisar simplemente sobre las carencias en materia de seguridad de las grandes compañías.

Fuente: Muy Seguridad

Contenido completo en www.segu-info.com.ar

Oracle corrige 87 vulnerabilidades en 13 productos

Oracle lanzó una serie de actualizaciones para corregir 87 vulnerabilidades encontradas en 13 distintos productos entre los que se destacan Middleware, Siebel y Solaris.

La firma informó que cinco vulnerabilidades afectaban sus bases de datos, cuatro permitían el control de las herramientas de manera remota, detallaron.

La compañía con base en Estados Unidos indicó que con las actualizaciones se corregirán 22 vulnerabilidades de Oracle Fusion Middleware, 7 en Siebel, 21 en Solaris y 9 más en PeopleSoft.

De acuerdo con Oracle, ninguna de las vulnerabilidades corregidas ponían en riesgo la seguridad de sus clientes, aunque señaló que es importante mantener actualizadas las versiones de sus productos para evitar cualquier incidente.

Cabe destacar que la cantidad de actualizaciones liberadas este martes constituyen una de las cifras más altas en la historia de la compañía.

Fuente: bSecure

Contenido completo en www.segu-info.com.ar

Interfaz gráfica para SQLMap

SQLMap es una de las herramientas más completa y funcional para realizar ataques de tipo ‘SQL Injection’ que hay disponibles actualmente.

Además es una herramienta OpenSource que se actualiza con muchísima frecuencia y evoluciona a un ritmo de vértigo.

El único y muy pequeño ‘pero’ que se le podía poner era la falta de una interfaz gráfica para la gente que prefiere no usar complejos comandos.

Parece que ya eso ha dejado de ser un handicap, dado que se ha publicado, por fin, una interfaz gráfica con una pinta estupenda.

El proyecto, llamado gui-for-sqlmap provee de la parte gráfica a SQLMap y está disponible tanto para Windows como para Linux

Fuente: Security by Default

Contenido completo en www.segu-info.com.ar

MySQL o cómo es posible dar por válida una contraseña incorrecta

En estos últimos días ha habido cierto revuelo con la vulnerabilidad en la autenticación de MySQL y MariaDB (el fork tras la adquisición de Sun por Oracle). El fallo permite, en algunas versiones, evadir el proceso de autenticación y obtener acceso a la base de datos.

En adelante nos referiremos a MySQL pero todo lo estudiado es totalmente válido para MariaDB.

El 9 de junio, Sergei Golubchik publicó en la lista de correo “Full Disclosure” los detalles de un error en algunas versiones de MySQL. Debido a un manejo incorrecto del valor devuelto por la función “memcmp” era posible que el sistema diera por correcta una contraseña diferente a la almacenada por el sistema.

Con esta simple prueba de concepto, era posible detectar un sistema vulnerable:

for i in `seq 1 512`; do echo 'select @@version;' | mysql -h 127.0.0.1 -u root mysql --password=X 2>/dev/null && break; done

Tal como apunta el propio Golubchik, la vulnerabilidad se producía dependiendo de la librería estándar que use MySQL en el sistema donde se ha instalado. Por ejemplo la implementación de “memcmp” en la libc de BSD no sería vulnerable, al igual que la implementación “inline” que usa el compilador “gcc”. Sin embargo “glibc”, la librería presente en la mayoría de los sistemas Linux, sí lo es.

Veamos cómo se produce la vulnerabilidad comenzando por el proceso de autenticación de MySQL. La contraseña nunca viaja en texto plano cuando se efectúa la autenticación con el servidor MySQL.

$ mysql --host=localhost --user=usuario --password=contraseña

En realidad cuando el cliente inicia la conexión con el servidor, este le envía una cadena aleatoria. El cliente la recibe y la usa como semilla para obtener un hash SHA1. Las operaciones que efectúa el cliente son las siguientes:

• Obtiene el SHA1 de la contraseña empleada por el usuario (en el parámetro –password).
• Obtiene el SHA1 del sha1 anterior.
• Obtiene el SHA1 del paso anterior pero usa como semilla el texto enviado por el servidor.
• Sobre este último valor se hace una operación XOR con el sha1 de la contraseña y el resultado se envía al servidor.

Visualmente en pseudocódigo quedaría así:

enviar(xor(sha1(contraseña), sha1(text_del_servidor, sha1(sha1(contraseña)))));

Sobre el valor recibido por el servidor se efectúan las operaciones en orden inverso, obteniéndose el hash de la contraseña empleada por el usuario. Este hash es comparado usando la función “memcmp” contra el hash de la contraseña almacenado en el servidor.

La vulnerabilidad tiene asignado el CVE-2012-2122 y se consideran vulnerables las versiones de MySQL/MariaDB hasta la 5.1.61, 5.2.11, 5.3.5, 5.5.22.

Más información:

• Security vulnerability in MySQL/MariaDB sql/password.c
  http://seclists.org/oss-sec/2012/q2/493
• HD Moore
  https://twitter.com/hdmoore/status/211991006630002688
• String/Array Comparison
  http://www.gnu.org/software/libc/manual/html_node/String_002fArray-Comparison.html
• ~mysql/mysql-server/5.1
  https://bazaar.launchpad.net/~mysql/mysql-server/5.1/view/3560.10.17/include/my_global.h#L1108

Fuente: Hispasec

Contenido completo en www.segu-info.com.ar

Vulnerabilidad crítica (de 4 años) y parche para Oracle

Oracle inicialmente se había negado a reconocer una vulnerabilidad crítica descubierta en su producto insignia, pero finalmente la empresa ha enviado a sus clientes la alerta identificada como CVE-2012-1675 con el anuncio de la vulnerabilidad y el parche para “TNS Listener Poison Attack” que afecta a la base de datos Oracle.

Oracle recomienda aplicar este parche de seguridad tan pronto como sea posible y argumenta haber solucionado el problema pero sin embargo el investigador de seguridad Joxean Koret dijo que la solución no cubre versiones anteriores del producto.

Joxean Koret publicó que prácticamente todas las versiones del servidor de base de datos Oracle lanzado en los últimos 13 años, contienen un error que permite a los atacantes realizar ataques Man-in-the-Middle y poder controlar todos los datos que pasan entre el servidor y los usuarios finales que están conectados a la base de datos.

La vulnerabilidad “TNS Listener Poison Attack” reside en el protocolo Transparent Network Substrate Listener, que permite la conexión entre los clientes y el servidor de base de datos. Koret dijo que Oracle sabe del error desde 2008 y que no tenía planes para solucionar las versiones actuales de los productos, debido que estaba preocupado por las “regresiones” en el código fuente.

“Se trata de una vulnerabilidad 0-day sin parche”, escribió Koret en un post publicado el jueves a la lista de seguridad Full-Disclosure. “Oracle se niega a arreglar la vulnerabilidad en la versiones existentes y se niega a dar detalles sobre qué versión tendrá el parche”. En un intercambio de correos publicado por Koret indican que Oracle decidió no parchar la falla en versiones ya existentes de su producto debido a que la solución podría causar problemas de desempeño para los usuarios.

Koret le dijo a Ars que le preocupa que la vulnerabilidad pueda ser objeto de ataques después de que él “inadvertidamente” dio a conocer detalles del bug y una PoC. Sólo después de Koret publicó sus detalles, se enteró de que el error no había sido eliminado de todas las versiones de Oracle.

TNS Listener es conocido desde por lo menos 1999, con la publicación de la versión 8i de Oracle. Mediante el envío de una simple consulta al servicio, un atacante puede secuestrar las conexiones que los usuarios legítimos hayan establecido con la base de datos, sin la necesidad de una contraseña o autenticación. A partir de entonces, los datos que viajan entre los usuarios legítimos y el servidor pasarán a través de la conexión creada por el atacante.

El atacante puede obtener todos los datos intercambiados entre el servidor de base de datos y los equipos cliente y puede utilizar la conexión para enviar comandos al servidor para agregar, eliminar o modificar datos. Los atacantes podrían explotar el fallo para instalar rootkits y controlar el servidor.

En los servidores que ejecutan Microsoft Windows, la base de datos de Oracle se ejecuta con permisos del sistema local, dando a un atacante el control significativo. Los sistemas basados ​​en Unix tienen un mayor control, pero los atacantes podrían explotar otras vulnerabilidades para elevar sus privilegios.

TNS Listener también se puede configurar para escuchar conexiones a través de Internet. Esto hace posible que la vulnerabilidad pueda ser aprovechada de forma remota a través de Internet. Afortunadamente, tales configuraciones son raras.

La falta de una solución se veía agravada por la divulgación involuntaria de Koret sobre las instrucciones detalladas para la explotación de la vulnerabilidad. El mensaje inicial de Koret incluye una lista de “posibles soluciones”.

En la tarde del lunes, Oracle lanzó su propia lista de medidas de mitigación e instó encarecidamente a los clientes para ponerlas en práctica de inmediato, pero en todo caso se recomienda parchear.

Fuente: ArsTechnica

Contenido completo en www.segu-info.com.ar