Durante años hemos hablado de seguridad, tanto en la capa de la base de datos, como en la capa intermedia. Pero que sabemos de esas puertas trazeras que tiene el software. Cómo nos pueden atacar dentro de la organización sin darnos cuenta? Como puede el DBA abusar de sus privilegios.?
Durante 30 años he trabajado como consultor en el área de DBA. He sido instructor en más de 200 cursos de Oracle Academy y he dado charlas en más de 12 países de LATAM. El tema de seguridad es una caja negra, requiere mucho tiempo de análisis y estudio y por supuesto de conocimiento. A lo largo de los años, he buscado esas exposiciones y vulnerabilidades que están poco documentadas o del todo no lo están. Mi idea es que exista conocimiento sobre ellas y como monitorear las mismas, para evitar el abuso de privilegios otorgados. Cómo lo digo en el texto de la charla: sabemos de esas puertas trazeras que tiene el motor de la base de datos?. Cómo los ataques pueden tener su origen dentro de la organización sin darnos cuenta? Como puede el DBA abusar de sus privilegios.?. Mi charla es una demo producto de las investigaciones y documentaciones realizadas sobre estos temas TABU en la seguridad de la base de datos.
Para la demo, utilizaré dos ambientes. Uno de Oracle en la infraestructura Oracle Always Free Cloud y otra en una VM con base de datos en donde demostraré como intentando querer tener control sobre gestión de contraseñas, como el vencimiento, uso histórico y otros, se abré una puerta trazera que puede ser utilizada por el DBA, para robar la idéntidad de un usuario, sin que este se de cuenta.