262
EL ARTE DE LA INTRUSIÓN
RAMA
Protección contra los ataques de inyección de MS SQL Robert eliminó deliberadamente las comprobaciones de validación de entrada de la aplicación basada en la Web, que habían sido diseñadas para evitar un ataque de inyección de SQL. Las siguientes medidas básicas podrían evitar que su organización sea víctima de algún ataque similar al que Robert utilizó: •
No implementar nunca un servidor Microsoft SQL en el ámbito del sistema. Piense en qué otro contexto de cuentas podría hacerlo.
•
Durante el desarrollo de un programa, escriba código que no genere consultas SQL dinámicas.
•
Utilice procedimientos predefinidos para ejecutar consultas SQL. Cree una cuenta exclusivamente para la ejecución de estos procedimientos y defina para ella sólo los permisos imprescindibles para llevar a cabo las tareas necesarias.
Uso de los Servicios VPN de Microsoft Microsoft VPN utiliza la Autentificación de Windows, de modo que para un atacante resulta más sencillo explotar contraseñas débiles para conseguir acceso a la VPN. En ciertos entornos, puede ser recomendable exigir autentificación mediante tarjeta inteligente para acceder a la VPN (esta forma de autentificación elevaría el listón de dificultad unas cuantas marcas frente a utilizar claves de acceso). Además, en algunos casos, puede resultar apropiado controlar el acceso a la VPN en función de la dirección IP del cliente. En el ataque que perpetró Robert, el administrador del sistema debería haber controlado que no hubiera ningún nuevo usuario en el grupo VPN. Otras medidas, que también hemos mencionado ya, incluyen eliminar del sistema cuentas inactivas, asegurar que hay en marcha un proceso para suprimir y desactivar cuentas de ex empleados y, cuando