La Comunidad DragonJAR » Oracle

Union Europea aprueba la compra de Sun

DragoN — Thu, 17 Dec 2009 01:53:47 +0000

Finalmente la Unión Europea ha dado el visto bueno a la compra de Sun por parte de Oracle, después que en un comunicado de prensa, Oracle se “comprometiera” a invertir en MySQL un mínimo de un 2,4% del valor de MySQL cada año durante los próximos años, lo que serian mas o menos 24 millones de dólares al año.

Michael “Monty” Widenius, creador de MySQL, ha comentado la noticia en su blog y nos cuenta que la campaña para salvar MySQL consiguió buenos resultados pero que no se puede bajar la guardia, ya que hay muchos puntos de la negociación con la Unión Europea son sensibles y no comprometen realmente a Oracle.

En su blog “Monty”, nos explica que Oracle solo ha dado promesas vacías a MySQL, ya que nada quedo propuesto formalmente y las promesas de Oracle solo se hicieron mediante un comunicado de prensa, aun si Oracle cumpliera las promesas realizadas estas solo cubrirían los próximos 5 años, después de este periodo de tiempo, la empresa podría hacer cualquier cosas con MySQL, incluso cerrar su código.

Les recomiendo que lean toda la entrada de Monty en su blog para entender claramente este acuerdo.

Mas Información:
Oracle’s ‘Sun’day
Oracle gives only empty promises for MySQL

También puede interesarte...

MySQL Podria Morir, !Colabora¡

DragoN — Sun, 13 Dec 2009 04:31:37 +0000

Michael “Monty” Widenius, creador de MySQL hace un llamado a la comunidad para evitar que este excelente proyecto muera, en su blog Monty says a escrito una entrada titulada Help saving MySQL donde explica qué es lo que esta pasando con MySQL y cómo, si Oracle obtiene los derechos sobre este proyecto, podría correr la misma suerte que InnoDB que tras ser comprado por esta compañia, prácticamente quedo abandonado, parte de su código se cerró y sacaron InnoDB+ una versión “mejorada” y de pago del InnoDB original.

La Comisión Europea ha presentado una “declaración de objeciones” sobre la compra de Sun por parte de Oracle, lo que ha retrasado el proceso, por su parte Oracle ha enviado un correo cientos de sus grandes clientes, iniciándoles a comunicarse con la Comisión Europea pidiendo la aceptación total e incondicionalmente la compra de Sun por parte de Oracle, por lo que se cree que la compra pueda ser aceptada por la Comisión Europea y concretada en poco tiempo.

Afortunadamente nosotros podemos utilizar la misma estrategia que Oracle enviando correos a la Comisión Europea pidiendo que no acepten la compra de Sun por Oracle, solo tenemos que enviar un correo a la dirección comp-merger-registry@ec.europa.eu con los siguientes datos:

Me he tomado el trabajo de traducir las instrucciones escritas por Michael “Monty” Widenius en su blog para que la comunidad de habla hispana también haga presencia en esta protesta ya que la muerte de MySQL afecta en gran medida a un gran numero de personas, desde desarrolladores independientes, pequeñas y medianas empresas, hasta bloggers etc…

Nombre:
Título:
Empresa:
Tamaño de la empresa:
¿Cuántas instalaciones de MySQL tiene?:
Cantidad total de datos almacenados en MySQL (megabyte):
¿Para qué tipo de aplicaciones utiliza MySQL utiliza?:
Este correo electrónico se mantendrá en secreto por la CE: Sí / No

Adjuntar ademas de la información anterior tu opinión de por que no se debería aceptar esta compra, si deseas utilizar los textos que Michael “Monty” Widenius ha publicado en su blog para este fin… aquí te los dejo en español:

No confió que Oracle lleve a buen termino a MySQL y creo que este se debería ceder a otra empresa o fundación que tenga mucho que ganar mediante el desarrollo y la promoción de MySQL. También creo que en el futuro se debería poder combinar MySQL con aplicaciones de código cerrado (ya sea por excepción, una licencia más permisiva o una licencia dual de MySQL en condiciones favorables)

También podrías enviar como comentario el siguiente mensaje:

Creo que Oracle podría ser un buen administrador de MySQL, pero debería comprometerse jurídicamente frente a la Comisión Europea a cumplir los siguientes términos:
MySQL seguirá siendo de Código Abierto y ningún modulo podría ser propietario
El desarrollo se llevará a cabo por comunidad de manera amistosa.
El manual debe ser liberado bajo una licencia permisiva
MySQL debe ser liberado bajo una licencia más permisiva para asegurar que los Fork o productos derivados puedan competir con Oracle.
Las licencias comerciales de MySQL deben permanecer con precios bajos y competitivos.

Todos directa o indirectamente hemos utilizado MySQL alguna vez, este post lo puedes ver gracias a MySQL, no dejes que se muera este excelente gestor de DB y comparte esta información con todas las personas que puedas, para que la Comisión Europea tome cartas en el asunto y pueda impedir que MySQL muera.

También puede interesarte...

¿Que Mirar Cuando Auditamos una Base de Datos Oracle?

D7n0s4ur70 — Fri, 13 Nov 2009 08:39:23 +0000

Cuando se realiza una auditoria, siempre es recomendable seguir una serie de pasos para no pasar por algo ningún detalle que pueda resultar crucial para nuestra investigación, a continuación les dejo un pequeño listado de las cosas a las que debemos echarle una ojeada cuando auditamos una base de datos oracle.

1). Determinar si en la BD esta activo el modo de operación en ARCHIVELOG o NONARCHIVELOG. Si este no esta activo, la evidencia de ataque o cambios serán sobrescritos por un nuevo redo.

Se puede determinar realizando una sentencia SQL a la BD:

SELECT VALUE V$PARAMETER WHERE FROM NAME=’archiv_log_start’;

2). Análisis de los Oracle Data Blocks, para determinar:

Registros eliminados
Localizar bloques asignados a tablas (OBJETOS DE INTERÉS)
Seguimiento de Objetos creados y eliminados
Localización de tablas eliminadas
Localización de Funciones eliminadas

3). Obtención del SID de la BD

4). Enumeración de usuarios

SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
SELECT USERID, COMMENT$TEXT FROM SYS.AUD$;

5). Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario

SQL> SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
SELECT NAME, LCOUNT FROM USER$ WHERE LCOUNT>0;
SELECT NAME, LTIME FROM USER$ WHERE ASTATUS = 4;

6). Consulta de Ataques de Fuerza Bruta a la cuenta SYS

7). Consulta de intentos del exploit AUTH_ALTER_SESSION

SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;

8). Consulta de intentos de iniciar una sesiÛn la base de datos a travÈs de XML (XDB)

SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
SELECT COMMENT$TEXT FROM SYS.AUD$ WHERE USERID = ‘DBSNMP’;
SELECT TERMINAL,SPARE1,TIMESTAMP# FROM SYS.AUD$ WHERE USERID=’DBSNMP’;

9). Consulta si la Auditoria esta habilitada

SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;
SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;

10). Consulta del archivo sqlnet.log,Agntsrvc.log, spfilesid.ora, o el init.ora todas las ubicaciones referentes a estos parámetros:

audit_file_dest ——-> Sistema de Auditoria (ORACLE_HOME/rdbms/audit)
background_dump_dest ——-> archivo alert.log y tracer de procesos ($ORACLE_HOME/admin/$ORACLE_SID/bdump)
core_dump_dest ——-> archivos Oracle core dump ($ORACLE_HOME/DBS/)
db_recovery_file_dest ——-> redo logs, flashback logs, y RMAN backups
user_dump_dest ——-> Archivos trace debuggin procesos/usuarios (/oracle/utrc)
utl_file_dir ——-> Especifica uno o m·s directorios que Oracle debe utilizar para PL/SQL archivos E/S.
control_files ——-> Especifica uno o varios nombres de archivos de control de Oracle
db_create_file_dest ——-> Especifica la ubicación predeterminada de archivos de datos administrados por Oracle.
db_create_online_log_dest_n—-> Especifica la ubicación de los redo logs y file control
log_archive_dest ——-> Es aplicable solo si la BD esta en modo de ARCHIVELOG
log_archive_dest_n ——-> Define hasta 10 archivos de registros logs.

11). Consulta de archivos Log Listener (ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dara la ubicación actual)

12). Revisión de los LOGS de sentencias(SQL $ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$ORACLE_HOME/SQLPlus/admin/glogin.sql)

13). Consultando informacion de los inicios de Sesion:

SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY

14). Consultar una lista de usuarios y roles, usuarios con función de DBA, para buscar inconsistencias,o usuarios creados por un atacante y la generación de contraseñas fuertes con la validación de los hash, cuentas bloqueadas, tiempos de password

SELECT USER#, NAME, ASTATUS, PASSWORD, CTIME, PTIME, LTIME FROM SYS.USER$ WHERE TYPE#=1;
SELECT U.NAME AS “GRANTEE”, U2.NAME AS “ROLE” FROM SYS.USER$ U,SYS.USER$ U2, SYS.SYSAUTH$ A WHERE U.USER# = A.GRANTEE# AND PRIVILEGE# = U2.USER#;

15). Consultar una lista de objetos y privilegios en el sistema

SELECT U.NAME AS “GRANTEE”, P.NAME AS “PRIVILEGE”, U2.NAME AS “OWNER”, O.NAME AS “OBJECT” FROM SYS.USER$ U, SYS.USER$ U2,SYS.TABLE_PRIVILEGE_MAP P, SYS.OBJ$ O, SYS.OBJAUTH$ A WHERE U.USER# =A.GRANTEE# AND A.OBJ# = O.OBJ# AND P.PRIVILEGE = A.PRIVILEGE# AND O.OWNER#=U2.USER#;
SQL> SELECT OBJ#, OWNER#, NAME, TYPE#, CTIME, MTIME, STIME FROM SYS.OBJ$ ORDER BY CTIME ASC;

16). Consulta de tablas eliminadas

SELECT U.NAME, R.ORIGINAL_NAME, R.OBJ#, R.DROPTIME, R.DROPSCN FROM SYS.RECYCLEBIN$ R, SYS.USER$ U WHERE R.OWNER#=U.USER#;

17). Consulta de Directorios, archivos datos, archivos externos, tablas externas, buscando elementos perdidos o ubicados en sitios diferentes por el atacante.

SELECT T.NAME AS “TABLESPACE”, D.NAME AS “FILNAME” FROM V$DATAFILE D, TS$ T WHERE T.TS#=D.TS#;
SELECT U.NAME AS “OWNER”, O.NAME AS “DIRECTORY”, D.OS_PATH AS “PATH” FROM SYS.OBJ$ O, SYS.USER$ U, SYS.DIR$ D WHERE U.USER#=O.OWNER# AND O.OBJ#=D.OBJ#;
SELECT O.NAME, D.DEFAULT_DIR FROM SYS.OBJ$ O, SYS.EXTERNAL_TAB$ D WHERE D.OBJ# = O.OBJ#;

18). El Monitor del Sistema (SMON) MON_MOD$ Table

SELECT U.NAME AS “OWNER”, O.NAME AS “OBJECT”, M.OBJ#, M.INSERTS,M.UPDATES, M.DELETES, M.TIMESTAMP FROM SYS.MON_MODS$ M, SYS.USER$ U,SYS.OBJ$ O WHERE O.OBJ#=M.OBJ# AND U.USER#=O.OWNER#;

19). Revision de Triggers al encendido, apagado, inicio y terminacion de sesion

SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME”,DECODE(T.TYPE#, 0, ‘BEFORE’,2, ‘AFTER’,'NOTSET’) AS “WHEN” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1;
SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,1) = 1;
SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,2) = 2;
SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,8) = 8;
SELECT U.NAME AS “OWNER”, O.NAME AS “ENABLED_TRIGGER_NAME” FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,16) = 16;

20). Consulta de librerias, que puedan estar ejecutando codigo arbitrario(malicioso)

SELECT U.NAME AS “OWNER”, O.NAME AS “LIBRARY”, L.FILESPEC AS “PATH” FROM SYS.LIBRARY$ L, SYS.USER$ U, SYS.OBJ$ O WHERE O.OBJ#=L.OBJ# AND O.OWNER#=U.USER#;

21). Consultas de FlashBack (nuevos privilegios, derechos asignados, nuevos objetos, objetos eliminados) entre la tabla actual y la anterior en un tiempo determinado.

SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ MINUS SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ AS OF TIMESTAMP(SYSDATE – INTERVAL ’3600′ MINUTE);
SELECT NAME FROM SYS.OBJ$ MINUS SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ’156′ MINUTE);
SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE – INTERVAL ’156′ MINUTE) MINUS SELECT NAME FROM SYS.OBJ$;

22). Consulta de las tablas RECYLEBIN$ y OBJ$

SQL> SELECT MTIME, NAME, OWNER#, OBJ# FROM SYS.OBJ$ WHERE NAME LIKE ‘BIN$%’;

23). Consultas la Administracion automatica Deshacer ( UNDOTBS01.DBF)

SELECT SEGMENT_NAME,HEADER_FILE,HEADER_BLOCK,EXTENTS,BLOCKS FROM DBA_SEGMENTS WHERE SEGMENT_NAME LIKE ‘_SYSSMU%$’;

24). Consulta de los logs del Apache (Oracle Application Server)

25). ¿faltó algo? háznoslo saber en los comentarios.

Actualizado:
El usuario coco, nos comparte una serie de scripts que utiliza en su trabajo para auditar su base de datos oracle, puedes basarte en ellos para auditar tu propia DB de oracle.

También puede interesarte...

Webcast sobre Análisis Forense en Bases de Datos

DragoN — Wed, 03 Dec 2008 05:30:58 +0000

El experto en Seguridad de Base de datos David Litchfield, hablará su nueva herramienta y paper con Jeff Moss, Fundador y Director de Black Hat. La herramienta, orablock, permite que a un investigador forense, para volcar los datos desde un archivo de datos Oracle – es decir, no hay necesidad de cargar el archivo de datos en la base de datos que causa modificaciones en el archivo de datos, se utiliza orablock para preserva las pruebas.

Orablock también puede utilizarse para localizar “stale” de datos – es decir, datos que se han eliminado o actualizado. También se puede utilizar para volcar SCNs de bloques de datos que pueden ser útiles durante el examen de un cuadro de Oracle en peligro. De hecho, este es el tema de la ponencia “Oracle Forensics Parte 7: Uso del Sistema de Cambio de Oracle Número de exámenes forenses”.

Pocas veces tenemos la posibilidad de asistir a charlas dictadas por eminencias en su área como lo son David Litchfield y Jeff Moss, asi que les recomiendo no perderse este Webcast que va a estar super interesante.

La cita es el Jueves 18 de Diciembre a las 4:00 pm ET/1:00 pm PT horario estadounidense.

Mas Información y Registro:
Database Forensics with David Litchfield

También puede interesarte...

Oracle envía gratuitamente distribución de Linux en DVD con su kit de soporte

DragoN — Wed, 04 Jun 2008 06:09:40 +0000

El uso de bases de datos con Oracle, garantiza que tendrá seguridad y otras características, pero cuando se combina con Linux, se habla de un rendimiento y estabilidad para tu trabajo.

Si deseas obtener un copia gratuita de Linux con soporte para Oracle, tan solo tienes que registrarte para que Oracle te envíe gratuitamente dos DVD con su kit de Oracle Unbreakable Linux, que cuenta con una gran cantidad de recursos y software que tiene el servicio de soporte técnico tipo empresarial que se tenía en la distribución de Red Hat por $100USD mensuales. Así que ahora podrás disfrutar de este soporte gratis, y con los DVD hasta la puerta de tu casa.