Claves para asegurar los datos almacenados en tu BB.DD.

A continuación se ofrece una lista de los pasos básicos que las empresas deberían dar para mejorar sus políticas de seguridad en la base de datos. Son pasos que además se pueden llevar a cabo en un solo día.

– Cambiar las contraseñas establecidas por defecto. Todas las bases de datos de Oracle han venido siempre con una serie de cuentas y contraseñas establecidas por defecto. Estos nombres de usuario y contraseñas son muy conocidos y están bien documentados.

“Las contraseñas dadas por defecto son un problema porque son una puerta abierta a la base de datos”, explica Julian. Existen actualmente más de 600 combinaciones de nombres de usuario y contraseñas establecidas por defecto y probablemente una docena de herramientas gratuitas pueden escanearlas, asegura Julian.

Existen también varios scripts y herramientas disponibles de forma gratuita:

• Checkpwd, de Red Database Security
• DPS (Default Password Scanner), de Oracle y escrito en SQL
• Oracle Security Probe, de Pete Finnigan (escrito por Marcel-Jan Krijgsman).

En cualquier caso, Oracle 11g incluye una vista DBA incorporada que muestra la lista de contraseñas por defecto (DBA_USERS_WITH_DEFPWD).

-Eliminar las contraseñas que pueden adivinarse fácilmente. Uno de los vectores más comunes de los atacantes en la actualidad es el acceso a través de contraseñas que se pueden adivinar fácilmente. Los atacantes saben que la gente utiliza contraseñas de sólo texto o el texto del nombre de usuario (incluso en la producción de bases de datos). Existen incluso diccionarios de contraseñas que ofrecen las contraseñas más comunes.

Muchos hackers se aprovechan de las listas de palabras. La función de estas listas es la de servir como fuente de contraseñas a los crackers que con ellas pueden acceder a los sistemas.

-Pedir contraseñas fuertes. El uso y la mejora de contraseñas fuertes puede mejorar significativamente la seguridad de la base de datos. Existen unas cuantas claves para el desarrollo de estas contraseñas:

1. Considerar la longitud: cuantos más caracteres, más segura será la contraseña. Las contraseñas deberían tener ocho o más caracteres; 14 caracteres o más es lo ideal. Una contraseña de 15 caracteres, compuesta sólo de letras y números aleatorios es unas 33.000 veces más segura que una de ocho caracteres que utiliza caracteres del teclado.
2. Hacerla más compleja. Combinar letras, números y símbolos que incrementen la variedad de caracteres utilizados en la contraseña. Muchos sistemas permiten también el uso de la barra espacio en las contraseñas, por lo que se puede crear una frase hecha con muchas palabras. Esta frase suele ser más sencilla de recordar que una sencilla contraseña, y además es más larga y difícil de adivinar. Evita las secuencias, los caracteres repetidos y las sustituciones similares.

Por otro lado, y en lo que se refiere a Oracle específicamente, las contraseñas deben empezar con una letra ASCII. A partir de aquí, las letras ASCII a-z, _, #, $ y los dígitos 0-9 pueden ser utilizados. La barra de espacio no puede utilizarse en estas contraseñas. Oracle 11g permite utilizar contraseñas “case-sensitive” (que distingue mayúscula de minúscula); otras versiones convierten cualquier contraseña a las mayúsculas.

-Variedad de uso. Utiliza más de una contraseña en tu entorno; cuantas más utilices, más difícil les será a los usuarios malintencionados adivinarlas.

Otros pasos que también conviene tener en cuenta:

• Establece una contraseña auditiva.
• Instala el último service pack.
• Consulta las cuentas que no están en uso.
• Revoca los permisos de Público que no se necesiten expresamente.

Implantar un sistema de seguridad para la base de datos requiere tiempo y esfuerzo, pero teniendo en cuenta estos consejos, las empresas podrán mejorar de forma palpable su política de seguridad y reducir las áreas de riesgo.