Desativação de Auditoria de Banco de Dados Oracle

Durante a Hactivity Conference deste ano, realizada em Budapeste, Hungria, o especialista em segurança László Tóth apresentou um método que é considerado permissivo para que atacantes desabilitem as funções de auditoria e recursos de autenticação, em todas as versões de bases de dados Oracle.

Para conseguir o intuito, o especialista em segurança usou o utilitário oradebug, que faz parte de cada instalação do Oracle. O recurso de auditoria é projetado para assegurar que as ações de banco de dados são documentadas de forma confiável, que permite que qualquer alteração seja traçada.

O utilitário oradebug tem comandos como poke, uma instrução que foi utilizado para alterar o conteúdo da memória em BASIC. Tóth disse que o comando pode ser usado para desativar a auditoria para os usuários do sistema, como SYSDBA e SYSOPER. O especialista explicou que o único pré-requisito é que o atacante deve ser capaz de executar oradebug - isto pode ser conseguido através do privilégio SYSDBA que, como Tóth também demonstrou em sua apresentação, podem ser facilmente obtido por qualquer administrador de banco de dados.

Para desativar o recurso de auditoria, um atacante pode usar uma instrução SQL simples, para recuperar o endereço de memória de uma variável do sistema interno da table X$KSMFSV. Este endereço é então colocado em zero:


SQL> oradebug poke 0×60031bb0 1 0
BEFORE: [060031BB0, 060031BB4) = 00000001
AFTER: [060031BB0, 060031BB4) = 00000000

Alexander Kornbrust, especialista em segurança da Oracle, pensa que produtos como o Oracle Audit Vault, que são baseados em funções de auditoria de banco de dados e, de acordo com a própria literatura da Oracle, mesmo os log das ações dos usuários privilegiados, são, portanto, "praticamente inúteis". Aparentemente, um usuário SYSDBA / SYSOPER pode temporariamente desativar o sistema de auditoria, realizar algumas operações, e então, reativar a função.

Mais informações em:

Hacktivity https://hacktivity.com/en/hacktivity-2011/

Lázló Tóth https://hacktivity.com/en/hacktivity-2011/speakers/laszlo-toth/ 

Método para Desabilitar Auditorias http://soonerorlater.hu/download/hacktivity_lt_2011_en.pdf 

Oracle Audit Vault http://www.oracle.com/technetwork/da...iew/index.html 

Créditos: Under Linux

Transformar eBook em Audiobook

Olá galera, vi esse artigo no VOL e achei muito interessante e resolvi postar aqui. Ele tá sendo muito útil para meu dia-a-dia espero que para vocês também.

esse scritp serve para aproveitar seu tempo no trânsito e "ler" alguma coisa enquanto você dirije. Este shellscript transforma livro em audio. Usa a "API" do Google Translate. Primeiramente é necessário obter o livro em formato TXT, portanto, se você possui um arquivo pdf, transforme-o. Nesse artigo foi utilizada esta ferramenta aqui http://www.convertpdftotext.net o tipo do arquivo recebido já está previsto no script, e as modificações necessárias já estão implementadas. O script leva em consideração que todas as linhas possuem menos de 100 caracteres.

----Script TTSBook----

#/bin/bash
#
# by Rafael Fini
#         v: 1.0
#

if [ -z $1 ]
then
  echo "Modo de uso ./TTSBook [livro.txt]"
  exit 0
else

# Escolhe a lingua que será falada: en, pt, fr...
lang=pt

# Duração dos arquivos em minutos
length=05

filename=`echo $1 | sed -e 's/^.*\///' | sed 's/\..*$//'`
cp $1 temp

# Transforma codificação do arquivo para utf-8
#cat temp | iconv -f iso8859-15 -t UTF-8 -o temp2
#mv temp2 temp

# Transforma arquivo para terminação de linha UNIX
tr -d '\r' < temp > temp2
mv temp2 temp

# Formata palavras com continuação na outra linha (Evita a palavra travessão no TTS)
sed 's/\ \([^ \t\n\r\f\v]*-$\)/\n\1/' temp | sed '/-$/ N ; s/-\n//' > temp2
mv temp2 temp

# Apaga as linhas em branco
sed '/^$/d' temp > temp2
mv temp2 temp

#---------------------------------------------------------------------------------

  nlinhas=`sed -n '$=' temp`
  touch $filename.mp3

  for it in `seq -w 1 $nlinhas`;
  do
      echo -ne "Convertendo: $it de $nlinhas linhas."\\r
      linha=`sed "$it !d" temp`
      wget -q -U Mozilla -O $it.mp3 "http://translate.google.com/translate_tts?ie=UTF-8&tl=$lang&q=$linha"
      cat $filename.mp3 $it.mp3 > tempfalado
      mv tempfalado $filename.mp3
      rm $it.mp3
  done

  rm temp
  mp3splt $filename.mp3 -Q -n -x -o @f-@m -t $length.00
  echo "Feito.                                              "
fi
exit 0

Download [TTSBook.sh]

Créditos: Rafael Fini 

http://www.vivaolinux.com.br/perfil/verPerfil.php?login=rainingblood

IBM: Combate ao Crime e Ameaças de Segurança com i2

A IBM começou o processo de aquisição da desenvolvedora britâncica de análises de inteligência para o crime e prevenção de fraudes, a i2, com o intuito de acelerar a análise de suas iniciativas de negócio e ajudar os clientes a se proteger contra fraudes e outras ameaças de segurança. Os termos financeiros dessa aquisição não foram divulgados. Possuindo mais de 4.500 clientes distribuídos em 150 países, i2 se expande à múltiplos setores mundialmente, como defesa, saúde, seguros, aplicação da lei, segurança nacional e de varejo.

As soluções i2 são utilizadas atualmente por 12 dos 20 maiores bancos de varejo global, e oito das 10 maiores empresas do mundo. As organizações em ambos os setores, tanto público quanto o setor privado, estão enfrentando nos dias atuais um aumento exponencial em relação ao volume de dados; isso inclui as informações e a inteligência provenientes de fontes diferentes e não-estruturadas tais como meios de comunicação social, biometria e banco de dados criminal. Quando torna-se acessível para as pessoas que precisam dele, esta informação pode ser utilizada para antecipar possíveis problemas, tomar as melhores e mais rápidas decisões, além de coordenar os recursos para prestar um serviço excepcional para os cidadãos e para os clientes. As ocorrências fraude e redução de ameaças de segurança são de importância estratégica em todas as indústrias nos dias de hoje.


Respostas Eficazes às Ameaças de Segurança
Para ter condições suficientes de responder a essas ameaças, as empresas e agências governamentais estão buscando capacitar agentes de segurança pública, analistas, gerentes, detetives e investigadores com soluções de análise de inteligência específicas da indústria e insight operacional. Uma boa exemplificação disso são as agências do governo, que hoje estão muito preocupadas com crescentes ameaças à segurança pública. levando à necessidade de partilha de informações de forma segura. Através da utilização em tempo real de soluções analíticas em combinação com as tecnologias de i2, órgãos públicos e empresas privadas estarão combatendo fraudes, além de ter agora a capacidade para melhor coletar, analisar e processar todos os dados relevantes à sua disposição. Há alguns anos, os dados muitas vezes levaram a sobrecarga de informações críticas ou oportunidades sendo perdidas. Agora organizações de natureza estadual e autoridades federais podem aproveitar uma nova solução de inteligência para detectar instantaneamente e responder às ameaças de segurança.


Rapidez nos Resultados das Investigações
Todo o processo de investigação agora pode ser identificado rapidamente, ajudando agências do governo a solucionar crimes de maneira mais rápida, e manter funcionários e comunidades mais seguras. Com essa integração da IBM e a i2, os clientes terão acesso a uma gama completa de visualização e análise multidimensional no que diz respeito ao sistema de inteligência, incluindo ameaças e análise de fraudes. Com tantos recursos poderosos, estas ferramentas vão ajudar os analistas a identificar rapidamente as conexões, padrões e tendências em conjuntos de dados complexos e facilmente os dados do modelo na maneira de pensar, tudo isso envolvido um único ambiente, produzindo resultados mais rápidos, além de relatórios estratégicos e boletins. O i2 será integrado ao IBM's Software Group, que caracteriza-se como um importante mecanismo de crescimento e de alta rentabilidade para a empresa. Robert Griffin, CEO da i2, declarou que essa junção das empresas será essencial para clientes que procuram alavancar a consciência situacional, fazendo conexões entre informações, aparentemente, sem nenhuma conexão de dados.

Mais informações em:

IBM Acquires i2 to Fight Crime and Security Threats

Créditos: Under Linux

Linux Completa 20 anos

Faz vinte anos que Linus Torvalds, publicamente, anunciou pela primeira vez que estava trabalhando no desenvolvimento de um sistema operacional. Na época, ele descreveu que o referido sistema, mais tarde conhecido como Linux , seria apenas um "hobby", acrescentando que ele não teria a grandiosidade e o grau de profissionalismo do GNU.

Mas ele estava enganado quanto a isso. Há muitos anos, Linus Torvalds vem trabalhando em tempo integral no Linux. O kernel do sistema operativo nunca parou de crescer e agora, pode ser executado em mais plataformas de hardware do que em qualquer outro sistema operacional, desde desktops, servidores e supercomputadores, até em smartphones, tablets e consoles de videogame.

Linus Torvalds é um membro e colaborador da Linux Foundation, que como muitos sabem, é uma organização sem fins lucrativos dedicada à tarefa de promover o crescimento do Linux em todo o mundo, sendo assim patrocinado por esta fundação.

Créditos: Under Linux

Microsoft: Desenvolvimento Conjunto com Empresa Chinesa Especialista em Linux

A Microsoft anunciou a assinatura de um acordo com a China Standard Software Co. Ltd. (CS2C), para o desenvolvimento conjunto e comercialização de soluções de computação em nuvem na China. No acordo, os termos específicos que são confidenciais, são classificados como um "benefício mútuo", que irá fornecer as fonte de soluções de nuvem pública e privada, baseadas na arquitetura em nuvem da Microsoft Hyper-V Open, e incluindo suporte para os produtos NeoKylin Linux Server da CS2C.

A Microsoft e CS2C, o líder fornecedor do sistema operacional Linux na China, também anunciaram que em conjunto, vão patrocinar um laboratório de tecnologia virtual em Pequim para desenvolver e testar soluções de cloud computing. Em particular, o laboratório irá trabalhar sobre a certificação do sistema CS2C NeoKylin Operating System rodando no Windows Server 2008 R2 com Hyper-V.

Créditos: Under Linux

Google compra a Motorola

 O Google anunciou que está adquirindo a Motorola Mobility, empresa de telefones celulares e "parceira dedicada do Android", pelo valor de 12,5 bilhões de dólares. O CEO do Google, Larry Page, afirmou que a aquisição vai permitir "a criação de novas e incríveis experiências para o usuário que vão dar um novo vigor ao ecossistema Android".

Além de toca a infraestrutura de design e produção de telefones celulares e outros dispositivos móveis, o Google também leva com a compra mais de 17.000 patentes relacionadas à tecnologia de comunicação sem fio, e aproximadamente 7.500 patentes pendentes, esperando aprovação no Escritório de Patentes de Marcas dos Estados Unidos. A Motorola vinha ameaçando, desde a semana passada, usar seu portfólio de patentes para garantir o faturamento da empresa através de licenciamento e cobrança de royalties de outras fabricantes de celulares, inclusive de outros fabricantes de telefones com Android. Agora, o Google será o proprietário desse portfólio e vai usá-lo para defender o Android. "O Google permanece fortemente comprometido com o Android como uma plataforma aberta e uma vibrante comunidade de código aberto," disse Andy Rubin, Vice-presidente sênior para Dispositivos Móveis, "continuaremos a trabalhar com nossos valiosos parceiros do Android.

O acordo está sujeito à aprovação de agências reguladores nos Estados Unidos, Europa e outros jurisdições, e espera-se que seja concluído entre o final de 2011 e o começo de 2012. Os acionistas da Motorola Mobility também terão que concordar com o acordo, que elevou o preço das ações da companhia em 63% desde a última sexta-feira.

Créditos: Linux Magazine

A Rede Social do Pinguim

Lançada há pouco mais de dois meses e já contando com a participação ativa de mais de 1.000 membros cadastrados, a LinuxSociALL é uma rede social cujo o objetivo é reunir os entusiastas do sistema operacional Linux e seus derivados para a troca de conhecimento e informações na área de informática e software livre. Seu criador, Elton Jamenix, afirma que o diferencial do LinuxSociALL é a forma como os assuntos são organizados. Diferentemente de outras redes sociais, onde informações sobre o mesmo assunto estão espalhadas em comunidades, aqui as coisas são organizadas em grupos, tornando a busca bem mais fácil. Outro grande diferencial foi a criação de uma rede que mistura interfaces similares às do Facebook e do Twitter.

A LinuxSociALL não é só para os usuários do Linux como o nome pode levar a crer. É uma rede livre, onde os usuários podem opinar e participar para torná-la melhor; é uma rede onde é possível encontrar informações sobre tecnologia, novos dispositivos (como tablets e smartphones, por exemplo) e sobre o mundo da informática. Além disso, o usuário pode postar mensagens que não sejam necessariamente sobre Linux, embora estas estejam limitadas a 5% de todas as postagens.

Créditos: Linux Magazine