Форум

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум » Новости в мире Хакинга » Директор по безопасности Oracle: прекратите искать уязвимости в нашем


Директор по безопасности Oracle: прекратите искать уязвимости в нашем

Сообщений 1 страница 2 из 2

1

ДИРЕКТОР ПО БЕЗОПАСНОСТИ ORACLE: ПРЕКРАТИТЕ ИСКАТЬ УЯЗВИМОСТИ В НАШЕМ КОДЕ!

https://xakep.ru/wp-content/uploads/2015/08/maryanndavidson-1000x750.jpg
В официальном блоге компании Oracle вчера появилось объемное письмо, написанное от лица диктора по безопасности Oracle Мэри Энн Дэвидсон (Mary Ann Davidson). Послание, озаглавленное «Нет, вам действительно нельзя» (No, You Really Can’t), было обращено ко всем исследователям в области информационной безопасности. Дэвидсон буквально потребовала от них оставить компанию в покое, прекратить реверсить код Oracle и искать в нем какие-то уязвимости. В сети сразу заговорили о том, что Дэвидсон или Oracle, должно быть, взломали. Но, как бы поразительно это ни звучало, данная информация не подтвердилась.

Письмо провисело в блоге компании несколько часов, после чего было удалено (что только подогрело слухи о взломе). Полную версию послания Дэвидсон можно прочитать либо в кэше Google, либо в конце этой заметки.

Послание начинается с жалоб Дэвидсон на то, что в последнее время ей приходится очень, очень много писать. Она рассказывает, что на досуге, вместе с сестрой, пишет детективы и это куда увлекательнее, нежели переписка с пользователями. А пользователям директор по безопасности, оказывается, пишет десятки писем в день, и все они построены по одному и тому же шаблону, то есть оканчиваются требованием: «пожалуйста, соблюдайте лицензионное соглашение и прекратите, наконец, заниматься реверс инжинирингом нашего кода». Далее Дэвидсон, по сути, требует от общественности оставить их систему в покое и тратить время на поиск багов в своих программах:

«Я понимаю, что в этом мире каждый день находят новую брешь в чьей-нибудь безопасности, и теряют бессчетные газиллионы данных из-за безымянных злоумышленников, которые могут работать на вражеские государства. Конечно, люди хотят приложить дополнительные усилия, чтобы точно обезопасить свои системы.
С другой стороны, можно подумать, что пользователи, прежде чем перейти к этим «дополнительным усилиям», убедятся, что выявили все свои критические системы, зашифровали все приватные данные, установили все последние патчи, работают на последних и актуальных версиях продуктов… Говоря проще, можно подумать, они проведут обычную гигиену безопасности, перед тем как пытаться искать 0day уязвимости в продуктах, которые используют».


Далее Дэвидсон пишет, что вместо поиска дырок, можно просто посмотреть на сертификаты Common Criteria и FIPS-140, которые сами по себе уже гарантируют качество и безопасность. Да и вообще, если пользователь найдет уязвимость, запатчить ее самостоятельно он все равно не сумеет, так что лучше вообще ничего не трогать.

Под свою точку зрения директор по безопасности подводит определенную платформу. По ее мнению, все, кто исследует код Oracle – нарушают лицензионное соглашение. В соглашении действительно есть строка, обязывающая пользователей «не заниматься реверс инжинирингом, дизассемблированием, декомпиляцией и другими действиями, которые могут привести к извлечению исходного кода продуктов компании».
Дэвидсон считает, что даже использование инструментов для статического анализа кода уже является нарушением. Всем пользователям, кто нарушает соглашение, Дэвидсон прочит кары от Oracle, мол, компания придет за вами и поквитается за то, что вы посмели разоблачить уязвимости в ее ПО.

«Когда мы проводим анализ и видим, что данные [которые нам прислали] можно было получить только при помощи реверс инжиниринга, мы пишем нагрешившему клиенту письмо и еще одно письмо нагрешившему консультанту-который-действует-от-лица-клиента. Мы напоминаем им, что лицензионное соглашение Oracle исключает использование реверс инжиниринга. Так что, Пожалуйста, Хватит Уже».

По мнению Дэвидсон, анализ кода и поиск уязвимостей, это прямая работа сотрудников компании, которую те исправно и хорошо выполняют. Пользователи не должны вмешиваться в данный процесс, отвлекая тем самым серьезных людей от работы. То же относится к сторонним консультантам по безопасности, которых пользователи часто привлекают для проверки своего бизнеса, — на них тоже распространяется буква лицензионного соглашения.
Тот факт, что другие компании предлагают пользователям денежные вознаграждения за баги, абсолютно не смущает Дэвидсон:

«Множество компаний буквально визжат и падают в обмороки, бросая свое нижнее белье в специалистов по безопасности, лишь бы в их коде нашли ошибки. Они настаивают, что это Единственно Верный Путь, Все Идите По Нему. Если у вас нет программы вознаграждений за уязвимости – ваш код небезопасен. Ох, ну ладно, подумаешь, что мы нашли 87% уязвимостей своими силами, специалисты по безопасности обнаружили всего 3%, а остальное сделали сами клиенты.
Я не хочу обижать программы вознаграждений, но на каком, строго экономическом, основании я должна выбрасывать большие деньги, решая 3% проблемы?»

Впрочем, к концу послания Дэвидсон немного сбавляет обороты и признает, что компания, конечно, выпускает патчи и для багов, найденных пользователями:

«Пользователи не могут и не должны заниматься реверс инжинирингом нашего кода. Однако, если была найдена настоящая уязвимость, мы ее исправим. Нам может не нравиться то, каким образом уязвимость была обнаружена, но мы не станем из-за этого игнорировать настоящую проблему – это было бы неуважением, по отношению к нашим клиентам.
Как бы то ни было, мы исправим проблему, чтобы защитить наших пользователей, то есть все получат патч одновременно. Но мы не дадим пользователю, сообщившему о проблеме (которую он обнаружил, используя реверс инжиниринг) специального, эксклюзивного патча для бреши.

Также мы не станем включать ничьих имен в информационный бюллетень, который, возможно, выпустим. Вы ведь не можете на полном серьезе ожидать от нас, что мы скажем вам спасибо за то, что вы нарушаете лицензионное соглашение?»

Как уже было сказано выше, письмо Дэвидсон вызвало в сети жаркие споры — в его реальность многие попросту не поверили. Изданию ZDNet удалось связаться с компанией Oracle и получить от руководства компании комментарий относительно происходящего. Нет, ни о каком взломе речи не идет, судя по всему, послание Дэвидсон было более чем настоящим:

«Безопасность наших продуктов и сервисов всегда была критически важна для Oracle. В Oracle существует сильная программа по контролю безопасности продуктов. Мы работаем совместно с пользователями и сторонними разработчиками, чтобы сообща убедиться, что программное обеспечение Oracle безопасно. Пост был удален, так как он не отражает наших истинных взглядов на отношения с пользователями», — заявил Эдвард Скривен (Edward Screven) вице-президент и главный архитектор Oracle.
https://html1-f.scribdassets.com/eel4h38jk4m6ucu/images/1-e1f111c445.png

0

2

Блин, но просто не мог удержатся написать комментарий:-Бабы есть бабы, им бы денег побольше а на остальное по барабану, жадность её погубит!

+1


Вы здесь » Форум » Новости в мире Хакинга » Директор по безопасности Oracle: прекратите искать уязвимости в нашем