Este post contiene la primera parte de los tips de seguridad orientados a la protección de su base de datos Oracle:

Realizar una instalación apropiada del software de base de datos
Para asegurar una instalación apropiada del software de base de datos es necesario enfocarse en los siguientes aspectos:

• Verificar que el host que se haya escogido tenga una plataforma aprobada y certificada por Oracle, para esto, dirigirse a Metalink, escoger Certify & Availability y utilizar la opción Certifications.
• Verificar que la versión a instalar esté soportada por el proveedor, esto es, que reciba continuamente correcciones y actualizaciones de seguridad ante el descubrimiento de vulnerabilidades y errores, para esto, dirigirse a Metalink, escoger Certify & Availability y utilizar la opción Desupport Notices.
• Evaluar las opciones y productos asociados a la base de datos que serán utilizados en la organización, debido a que su instalación y no utilización genera un punto débil dentro de la arquitectura. El administrador de la base de datos debe monitorearla constantemente con la finalidad de remover objetos y componentes no requeridos, ya que si existen vulnerabilidades asociadas a los mismos se está poniendo en riesgo toda la base de datos.
• Posterior a la instalación se debe asegurar la aplicación del último parche que el proveedor haya liberado para el producto, para verificar esto, dirigirse a Metalink y escoger la opción Patches & Updates.
• Si se encuentra en un ambiente de producción desistir de instalar los esquemas de ejemplo que vienen con la base de datos o proceder a bloquear las cuentas asociadas a dichos esquemas.
• Posterior al proceso de instalación o después de la realización de actualizaciones al software de la base de datos, se debe realizar un respaldo completo del mismo. La realización de respaldos debe enfocarse también a la base de datos como tal, para lo cual es recomendable implementar una estrategia adecuada y documentarla.

Monitorear la modificación del software y/o objetos de la base de datos
El software de base de datos que se haya instalado debe ser monitoreado regularmente, esto, con la finalidad de evitar que código malicioso sea implementado en los ejecutables de la base de datos comprometiendo así la integridad de la misma.

Con la finalidad de hacer futuras comparaciones y evitar modificaciones no autorizadas se debe generar una línea base del sistema después del proceso de instalación, esto debe aplicarse también a los objetos creados para el manejo de las aplicaciones con la finalidad de evitar cambios no autorizados como recompilación o reconstrucción de dichos objetos.

Continuará …

Author: Paola Pullas

Este post es gracias a la colaboración de Carlos Correa Loyola, Director de TI en la Unidad de Proyectos y Sistemas Informáticos (UPSI) de la Universidad Técnica Particular de Loja.

La guía de instalación de Oracle Database 10g Release 1(10.1.0.3) en Mac OS X Server v10.4.3 Tiger pueden descargarla pinchando aquí, en ella encontrarán un procedimiento sencillo de instalación, corrigiendo algunos aspectos específicos para la versión Tiger de Mac OS X Server.

Author: Carlos Correa Loyola

SANS publicó el día de ayer el Top-20 2005 de las vulnerabilidades de seguridad más críticas. Este año, adicional a las categorías Windows y UNIX ya presentes en reportes de años anteriores, se ha incluído las categorías Cross-Platform Applications y Networking Products. Oracle también consta bajo Cross-Platform Applications en la sección Database Software.

La lista publicada no es acumulativa por lo que si usted no ha “parchado” sus sistemas por largo tiempo es recomendable primero verificar las vulnerabilidades citadas en el Top-2004.

Para mayor información pinche aquí.

Author: Paola Pullas

Hace poco más de un mes Carlos Cid de University of London’s Royal Holloway College y Joshua Wright un investigador de SANS publicaron un documento titulado: “An Assessment of the Oracle Password Hashing Algorithm”.

El documento examina el algoritmo utilizado para el hashing de las claves utilizado por Oracle, adicionalmente, pone a consideración los mecanismos que podrían ser utilizados por un intruso que posea las claves hash almacenadas en la base de datos para sacar provecho de las vulnerabilidades encontradas y obtener las claves (cleartext) de los usuarios.

A continuación se detallan las vulnerabilidades en las que se hace énfasis, las cuáles se las dejo en inglés para no perder el sabor informático:

1. Weak password salt selection
2. Lack of alphabetic case preservation
3. Weak hashing algorithm

Como la idea no es hacer un “copy and paste” del paper pueden descargarlo pinchando aquí.

Se darán cuenta a medida que lo lean que no era cuestión de genialidad descubrir lo que ahí dice. Muchos y por mucho tiempo nos habíamos preguntado el porque si dos usuarios tienen la misma clave su correspondiente hash era la misma, el porque las claves de los usuarios de la base de datos no son “case sensitive”, etc., cuando esto no debería pasar si seguimos algunas best practices de seguridad.

¿Qué dice Oracle al respecto?

Para los que dispongan de una clave de acceso a Metalink pueden buscar la Nota: 340240.1 Customer Update Regarding “An Assessment of the Oracle Password Hashing Algorithm” by Joshua Wright and Carlos Cid.

Para los que no tienen acceso, a continuación detallo un par de puntos que llamaron mi atención:

“What is not noted in the paper is that Oracle Database customers have authentication options available that avoid the potential hash algorithm issues described in this paper. Specifically, Oracle Database 10g includes the Enterprise User Security feature, in which passwords are validated using industry-standard password verifiers maintained in Oracle Internet Directory. When using this feature, passwords are fully case sensitive. Case sensitive passwords also dramatically reduce the probability of success of the attack described in the paper. In a future release of the Oracle Database, Oracle plans to support industry-standard password verifiers, and case sensitive passwords, for all database users.”

Enterprise User Security es una excelente solución a los problemas expuestos en el documento publicado pero es una característica de Oracle Database Enterprise Edition, por lo que, si no tiene la licencia, o decídase a comprarla, para lo cual puede contactarnos o mejor vaya buscando otro mecanismo de seguridad.

“What is also not noted in the paper is that Oracle Advanced Security allows customers to use more advanced forms of authentication such as PKI, smart cards, and biometrics. These forms of authentication eliminate many of the risks associated with password-based authentication, including those described in the paper. Oracle Advanced Security is an available option for all supported releases of the Oracle Database.”

Estoy de acuerdo en que Oracle Advanced Security es perfecta como complemento de seguridad, pero es una opción de base de datos que debe ser licenciada por separado, y para poder hacerlo, una condición es tener una licencia Enterprise.

Ahora, para los que todavía no tienen el presupuesto para la adquisición de licencias Enteprise o la compra de Oracle Advanced Security les invito a visitarnos esta semana ya que en los próximos posts vamos a revisar algunas prácticas de seguridad que le serán de utilidad y que les aconsejo empiecen a revisar puesto que muchas de nuestras bases de datos no cumplen en lo más mínimo con los estándares de seguridad.

Nota: La imagen para este post fue tomada del sitio: http://www.heise.de/security/ por lo que el copyright de la misma les pertenece.

Author: Paola Pullas

¿Por qué las empresas tecnológicas han entrado en un proceso que más bien pareciera una carrera por saber quien es el que más adquisiciones ha realizado?, ¿será que el proceso de innovación tecnológica es tan acelerado que a las empresas les resulta casi imposible mantenerse al día con los últimos avances?, o, ¿será que es más fácil comprar una empresa antes que competir con ella?

Los cuestionamientos pueden ser múltiples en cuanto al proceso de adquisiciones se refiere, pero desde mi punto de vista, el motor principal es la INNOVACIÓN, aunque no siempre se obtienen los resultados esperados, ya que algunas de estas “compras” o fusiones pueden ayudar a las organizaciones a incrementar sus beneficios mientras que otras pueden generar una contribución realmente nula.

Como podemos ver en el mercado, ha habido un repunte de los procesos de fusión y adquisición, pero finalmente, lo más interesante es seguir de cerca estos procesos y conocer cuántos y cuáles fueron exitosos, puesto que detrás de ellos hay mecanismos de integración complejos.

Leyendo varios artículos en Internet encontré un documento publicado por Saikat Chaudhuri en donde se manifiesta que la adquisición de innovaciones presenta cuatro retos a nivel de producto, organización y mercado:

• Complejidad de la integración debido a incompatibilidades tecnológicas
• Complejidad de la integración debido a la madurez de una empresa objetivo
• Imprevisibilidad de la trayectoria de resultados de un producto
• Imprevisibilidad del mercado del producto

Los ejemplos que dan claridad a los retos que se han mencionado anteriormente son muchos, así: Cuando Microsoft adquirió Hotmail, en el momento del acuerdo, éste último estaba basado en UNIX, por lo que los esfuerzos por lograr una integración perfecta debieron haber sido considerables, ejemplos como estos, nos ponen a pensar en que si bien una empresa después de un proceso de adquisición puede ganar nuevas funciones y capacidades tecnológicas, tambíen los procesos de integración asociados pueden resultar complejos por lo que se debe contar con una estrategia adecuada que esté orientada a minimizar los riesgos.

Ahora, los obstáculos que pueden presentarse no son solo a nivel tecnológico puesto que también existen retos muy grandes dependiendo de la madurez de la empresa objetivo, en este caso, se tendrá que trabajar por ejemplo, en la integración a nivel de: organización, planificación y ejecución que permitan lograr una sincronía después de la fusión o adquisición.

Pero los retos no son solo a ese nivel sino también hay retos asociados con la complejidad y la incertidumbre, esto es, antes de realizar una adquisición se debió haber realizado un análisis con la finalidad de obtener una aproximación asociada al futuro de la tecnología que se está adquiriendo y su posible penetración en el mercado, ya que no creo que sea agradable toparnos luego con la sorpresa de que lo adquirido nunca va a ser utilizado o vendido ya que el impacto financiero sería verdaderamente grande. Este tipo de problemas podrían estar asociados por ejemplo con la compra de tecnologías en fase de desarrollo que si bien es cierto pueden parecer prometedoras, pero sin un análisis adecuado pueden conducir a un verdadero fracaso en el proceso de adquisición como consecuencia de que esa “nueva tecnología” no llegue a un estado de maduración completo o simplemente no sea útil para el mercado.

Como puede notarse, los procesos de adquisición y fusión son verdaderamente complicados, sobre todo, porque no debe ser nada fácil saber que empresa comprar y más que nada saber como integrarla a nivel tecnológico y organizacional.

Ahora, independientemente de eso me queda la duda de que tan eficiente es el hoy Oracle – PeopleSoft, Oracle – Orbit, Oracle – OctetString, Oracle – Retek , Oracle – iFlex, etc.

¿Desde el punto de vista del usuario, las adquisiciones han dado resultado?, ¿los niveles de soporte han mejorado?, ¿el grado de innovación es superior?, o simplemente aplica la frase: “Si no puedes vencerlas cómpralas”.

Author: Paola Pullas

En la carrera de las adquisiciones Oracle Corporation anunció ayer su más reciente adquisición: Thor Technologies y OctetString cuyas soluciones serán integradas en el portafolio de productos de administración del acceso e identidad.

¿Cómo se incorporarán las nuevas soluciones?

Thor Xellerate hoy Oracle Xellerate Identity Provisioning permite la administración de los derechos y privilegios de los usuarios a través de un ciclo de provisionamiento a través de diversos ambientes: plataformas, sistemas, aplicaciones, dispositivos físicos.

OctetString Virtual Directory Engine hoy Oracle Virtual Directory permite que las organizaciones puedan conectar sus aplicaciones a múltiples fuentes que contienen la identidad de los usuarios de manera fácil y rápida.

Los dos productos estarían disponibles para finales de año.

Este post es de opinión personal y no refleja lo que la Comunidad de Usuarios Oracle en Ecuador piense al respecto, pero me pareció justo publicarlo y escuchar sus opiniones.

El día domingo 13 de Noviembre se publicó en la revista La Familia que circula con el diaro El Comercio el artículo “¿Windows o linux? Lo barato puede salir caro”. Ya en ocasiones anteriores, se habían publicado en ese medio artículos de tecnología que desde mi punto de vista no tenían un fundamento sólido, pero esta vez, y respetando la opinión del escritor, lo publicado no se ajusta a la realidad y temas como el tratado deben ser muy bien analizados antes de arriesgarnos a emitir aseveraciones de ese estilo.

La responsabilidad que tienen los medios de comunicación masivos es enorme y muchos editorialistas ecuatorianos se ve que no han asumido el rol que les corresponde, puesto que, desde mi punto de vista antes de publicar cualquier artículo de política, deporte, ciencia, tecnología, etc., debemos estar muy bien informados, ya que la idea es publicar pero permitir que el lector escoja la mejor opción evitando emitir opiniones sesgadas.

Si se trató de una opinión la respeto, pero se debió haber especificado tal como lo hago yo en este post “esta es una opinión personal usted decide si la toma o no”, porque, caso contrario lo único que logramos es confusión en las personas que finalmente creen que lo publicado en el diario que compro el día domingo es cierto y se perderán por ello la experiencia de trabajar con linux.

Los puntos a analizar y las imprecisiones de lo publicado son muchas, a continuación se mencionan algunas:

• “El común de los usuarios que ahora ya considera a Windows complejo, con linux se volverá loco”.
  ¿Por qué afirmar esto?, para un usuario estándar es lo mismo lo uno que lo otro incluso con la ventaja de no tener virus y no porque linux sea menos difundido.
• “A pesar de que cuenta con una interfase muy primitiva similar a Windows ni de lejos tiene las funcionalidades de aquel, más aún cuando de aplicaciones se trata, las que hay para Linux no se comparan ni en calidad ni cantidad con las conocidas”.
  Se debería especificar que aplicaciones no se comparan en calidad, en Linux, tenemos browsers, editores gráficos, herramientas colaborativas, bases de datos, aplicaciones pre-empaquetadas, la mayoría, de igual o mejor calidad que lo que tenemos en Windows, incluso, los mayores proveedores de software propietario tienen certificaciones de sus productos para Linux.
• “Y en cuanto a soporte y técnicos de mantenimiento, olvídese, si se arriesga por Linux, le tocará enfrentarse solo ante las adversidades”.
  ¿Por qué?, si hay distribuciones como Red Hat que brinda servicios de soporte en un esquema 24×7 y está catalogada dentro de las empresas que otorgan mayor valor a sus clientes, tal como lo publiqué en el post “Cómo trabajar efectivamente con nuestros proveedores de tecnología“.

A continuación les dejo algunas pantallas de escritorios de computadoras que corren Linux (gracias a Stalin y Christian por su colaboración), uno de ellos es mío. Les dejo mi opinión y espero sus comentarios.

Author: Paola Pullas

Hace algunos días me obsequiaron un libro muy interesante que hubiera querido poder comprar cuando desarrollaba mi proyecto de grado en la universidad, ¿por qué?, por la necesidad de conocer como llevar a cabo un proceso acertado de definición de las arquitecturas para el uso de la información en los procesos de negocio de las organizaciones, de manera independiente a la “marca” de hardware y software que estemos utilizando, es decir, es importante determinar QUE NECESITAMOS y CUANDO SERÁ IMPLEMENTADO, pero con una visión a largo plazo.

Pero, ¿qué necesitan las organizaciones en la actualidad para lograr el cumplimiento de sus objetivos?, la respuesta podría decirse que es genérica: accesibilidad, adaptabilidad, confiabilidad, poder de integración y costos razonables, en una sola palabra, se busca CALIDAD.

¿Cómo logralo?, utilizando una metodología de planeamiento orientada a la organización y no a la tecnología, ya que la idea de fondo no es reunir a nuestros ejecutivos y preguntarles que sistemas deseen que les implementemos, sino más bien, conocer que información es necesaria para llevar a cabo las operaciones en la organización, este tipo de concepción, evita que cometamos errores al momento de la toma de decisiones, puesto que la idea es concentrarnos en soportar las necesidades del negocio y no necesidades individuales ya que lo que puede ser crítico para un grupo hoy, puede no serlo dentro de un año y empezamos a perder el enfoque.

En Ecuador estamos acostumbrados a los enfoques tradicionales, aquellos de mayor rentabilidad para la organización en periodos cortos de tiempo, sacrificando en la mayoría de ocasiones proyectos de largo término que pueden significar un ahorro considerable. Empecemos entonces a generar cambios en base a metodologías probadas que pueden ser adaptadas a nuestra realidad, y que no son más que la muestra clara de lo obvio. A continuación se detallan los requerimientos para la implementación de una metodología:

1.¿Dónde empezar?
2.¿Dónde se encuentra actualmente la organización?
3.¿Dónde quiere la organización estar en el futuro?
4.¿Cómo conseguir lo propuesto?

Para responder estas interrogantes es necesario generar documentos de planeación, modelos del negocio, mapas de la infraestructura actual, modelos a nivel de datos, aplicaciones y tecnología, planes de implementación, etc.

¿Su organización cuenta con una metodología adecuada?, ¿Cuál?. Sería interesante que puedan compartir con nosotros sus comentarios al respecto.

Author: Paola Pullas

Para muchas organizaciones es complicado seleccionar al aliado tecnológico que les proporcione los mejores productos y servicios, sobre todo, cuando no se cuenta con un proceso estructurado de selección.

A continuación se mencionan algunos tips que le ayudarán a tomar la decisión mas acertada:

• Elaborar un documento de definición de los requerimientos del negocio clasificados por prioridad, esto es, ¿qué funcionalidad es mandatoria?, ¿qué funcionalidad es deseable?. Si no se elige los productos y servicios en base al documento elaborado se corre el riesgo de realizar una selección en base a atractivas características que pueden no estar dentro de las prioridades de la organización.
• Evaluar críticamente los productos y/o servicios seleccionados, para lo cual, se debe solicitar una copia de evaluación del producto e instalarlo “in house”, visitar la página web del proveedor, asistir a webcasts, demostraciones del producto y consultar reportes publicados por organizaciones independientes en donde se analice la confiabilidad y el valor que brinda el proveedor a la organización.
• Revisar referencias, conversar con otras organizaciones similares que estén utilizando el producto o servicio, preguntarles acerca del proceso de selección, de la fase de implementación, conocer que otros productos y servicios fueron evaluados, el número de personas que intervinieron en la implementación, solicitar información de la funcionalidad que haya sido implementada, los costos de mantenimiento, conocer cuál ha sido la curva de aprendizaje, etc.

A propósito de este tema, CIO Insight publicó un reporte en donde se analiza si los proveedores realmente proporcionan valor a sus clientes, este estudio fue realizado después de entrevistar a 1,050 ejecutivos del área de tecnología de información, ¿el resultado?, Red Hat recibió el valor más alto, seguido por Symantec y Dell en tercer lugar.

Este tipo de reportes nos permite conocer de cerca que opinan los actuales clientes y el mercado en general de los proveedores evaluados en el estudio y nos da una pauta inicial que definitivamente influirá en la toma de decisiones al interior de la organización.

Author: Paola Pullas

El día de ayer Christian Pazmiño de naitcorp nos abrió las puertas de su casa, ¿la razón?, el quería grabar su primer podcast y nos eligió a nosotros para una entrevista, ¿el resultado?, una conversación interesante la cual puedes obtener via podcasting pinchando aquí.

Se habló del Ecuador Oracle Users Group, las espectativas del proyecto, hacia donde vamos, entre otras cosas que te invito a escuchar y comentar.

Gracias a Christian por la entrevista, por las coronas y por el interés en el proyecto. Esperemos que no sea la primera vez que cubra de cerca los movimientos del ECUOUG.

Author: Paola Pullas