Oracle: przestańcie szukać dziur w naszych programach Strona główna Aktualności11.08.2015 19:39 Udostępnij: O autorze Anna Rymsza @Xyrcon Szefowa do spraw bezpieczeństwa w firmie Oracle, Mary Ann Davidson, prawdopodobnie liczyła na to, że wszyscy hakerzy świata odpoczywają po Black Hat. Na jej blogu przez prawie dobę widoczny był wpis, w którym wyjaśniała klientom firmy Oracle, że nie mają prawa do szukania na własną rękę luk w oprogramowaniu, które kupili. Oryginalny wpis został usunięty, ale został zachowany na SecList. Davidson ma wyraźnie dość tego, że klienci przeprowadzają własne testy bezpieczeństwa na oprogramowaniu firmy Oracle w sposób łamiący licencję. Problem stanowi inżynieria wsteczna niezbędna do przeprowadzenia analizy statycznej kodu, ale niezgodna z zapisami umowy. Tym, którzy wciąż to robią, Mary Ann Davidson zagroziła poważnymi konsekwencjami. Wielu klientów firmy Oracle by sprawdzić, czy kupiony produkt naprawdę jest bezpieczny, zatrudnia zewnętrznych konsultantów i przeprowadza własne testy z wykorzystaniem różnych narzędzi. Jeśli oprogramowanie testujące zgłosiło lukę, na własną rękę konsultanci sprawdzali, czy w kodzie uzyskanym na drodze inżynierii wstecznej znalazło się zabezpieczenie, a niektórzy nawet próbowali produkować własne łatki. Zupełnie nie przeszkadzało im to, że wiele zgłoszeń nie miało żadnej wartości i kwalifikowało się jako false positive. Szefowa pionu bezpieczeństwa wyraziła głębokie niezadowolenie i podkreśliła absurd sytuacji. W końcu klienci mogą po prostu zgłosić fakt, że podczas testów wykryta została dana wada, dostarczyć odpowiednie logi i zwyczajnie porozmawiać z dostawcą oprogramowania. Podkreśliła także, że produkty Oracle'a spełniają rygorystyczne wymagania wielu norm i zyskały całą kolekcję certyfikatów, więc naprawdę nie trzeba podchodzić do nich z taką dozą nieufności. Tym bardziej nie należy przeprowadzać analizy statycznej, modyfikować ich na własną rękę i łamać umowy. To zadanie należy powierzyć producentowi. Nie można nie dopuścić możliwości, że niektórzy klienci nie wiedzieli, że łamią licencję i na ich polecenie przeprowadzana jest inżynieria wsteczna kodu. Jeśli zbadanie bezpieczeństwa oprogramowania zlecone jest zewnętrznemu wykonawcy, klient Oracle'a dostaje tylko raport. Ten raport jest następnie wysyłany do Oracle'a, prawdopodobnie z dołączonym listem pełnym pretensji. Należy jednak pamiętać, że taki raport jeszcze nie dowodzi istnienia luki, tym bardziej nic nie mówi o jej potencjalnych zastosowaniach do niecnych celów. Davidson zapowiedziała, że jeśli w otrzymanym raporcie znajdzie przesłanki mówiące o tym, że oprogramowanie Oracle'a zostało poddane inżynierii wstecznej (na przykład informację o statycznej analizie kodu programu), klient dostanie nieprzyjemny list, który przypomni mu o zapisach licencji. Podobny list, jeszcze mniej przyjemny, dostanie wykonawca analizy. Wyniki testów powinny zostać natychmiast bezpowrotnie zniszczone. Pod wieloma względami pani Davidson ma rację – w końcu poważnym przedsiębiorstwom nie wypada łamać umowy z jednym z partnerów. Jeśli jednak zagłębimy się w jej starsze wpisy, zobaczymy, że analitycy bezpieczeństwa i audytorzy są w jej oczach najgorszym, co mogło spotkać branżę IT, a może nawet ludzkość. Zainteresowanym polecam lekturę jej tekstu o luce Heartbleed w OpenSSL-u, a właściwie o tym, jak widzi jej odkrywców. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także VirtualBox 6.0 wydany! Wyeksportuje maszyny wirtualne do chmury Oracle Cloud 19 gru 2018 Piotr Urbaniak Oprogramowanie 59 Java 11 dla 12 mln programistów na osiem kolejnych lat. I tak naprawdę wcale nie musisz za to płacić 26 wrz 2018 Adam Golański Oprogramowanie 152 Luka w VirtualBoksie pozwala wyjść poza maszynę wirtualną i zaatakować hosta 7 lis 2018 Oskar Ziomek Oprogramowanie Bezpieczeństwo 45 IBM kupuje Red Hata. Ale po co? 29 paź 2018 Kamil J. Dudek Biznes 245
Udostępnij: O autorze Anna Rymsza @Xyrcon Szefowa do spraw bezpieczeństwa w firmie Oracle, Mary Ann Davidson, prawdopodobnie liczyła na to, że wszyscy hakerzy świata odpoczywają po Black Hat. Na jej blogu przez prawie dobę widoczny był wpis, w którym wyjaśniała klientom firmy Oracle, że nie mają prawa do szukania na własną rękę luk w oprogramowaniu, które kupili. Oryginalny wpis został usunięty, ale został zachowany na SecList. Davidson ma wyraźnie dość tego, że klienci przeprowadzają własne testy bezpieczeństwa na oprogramowaniu firmy Oracle w sposób łamiący licencję. Problem stanowi inżynieria wsteczna niezbędna do przeprowadzenia analizy statycznej kodu, ale niezgodna z zapisami umowy. Tym, którzy wciąż to robią, Mary Ann Davidson zagroziła poważnymi konsekwencjami. Wielu klientów firmy Oracle by sprawdzić, czy kupiony produkt naprawdę jest bezpieczny, zatrudnia zewnętrznych konsultantów i przeprowadza własne testy z wykorzystaniem różnych narzędzi. Jeśli oprogramowanie testujące zgłosiło lukę, na własną rękę konsultanci sprawdzali, czy w kodzie uzyskanym na drodze inżynierii wstecznej znalazło się zabezpieczenie, a niektórzy nawet próbowali produkować własne łatki. Zupełnie nie przeszkadzało im to, że wiele zgłoszeń nie miało żadnej wartości i kwalifikowało się jako false positive. Szefowa pionu bezpieczeństwa wyraziła głębokie niezadowolenie i podkreśliła absurd sytuacji. W końcu klienci mogą po prostu zgłosić fakt, że podczas testów wykryta została dana wada, dostarczyć odpowiednie logi i zwyczajnie porozmawiać z dostawcą oprogramowania. Podkreśliła także, że produkty Oracle'a spełniają rygorystyczne wymagania wielu norm i zyskały całą kolekcję certyfikatów, więc naprawdę nie trzeba podchodzić do nich z taką dozą nieufności. Tym bardziej nie należy przeprowadzać analizy statycznej, modyfikować ich na własną rękę i łamać umowy. To zadanie należy powierzyć producentowi. Nie można nie dopuścić możliwości, że niektórzy klienci nie wiedzieli, że łamią licencję i na ich polecenie przeprowadzana jest inżynieria wsteczna kodu. Jeśli zbadanie bezpieczeństwa oprogramowania zlecone jest zewnętrznemu wykonawcy, klient Oracle'a dostaje tylko raport. Ten raport jest następnie wysyłany do Oracle'a, prawdopodobnie z dołączonym listem pełnym pretensji. Należy jednak pamiętać, że taki raport jeszcze nie dowodzi istnienia luki, tym bardziej nic nie mówi o jej potencjalnych zastosowaniach do niecnych celów. Davidson zapowiedziała, że jeśli w otrzymanym raporcie znajdzie przesłanki mówiące o tym, że oprogramowanie Oracle'a zostało poddane inżynierii wstecznej (na przykład informację o statycznej analizie kodu programu), klient dostanie nieprzyjemny list, który przypomni mu o zapisach licencji. Podobny list, jeszcze mniej przyjemny, dostanie wykonawca analizy. Wyniki testów powinny zostać natychmiast bezpowrotnie zniszczone. Pod wieloma względami pani Davidson ma rację – w końcu poważnym przedsiębiorstwom nie wypada łamać umowy z jednym z partnerów. Jeśli jednak zagłębimy się w jej starsze wpisy, zobaczymy, że analitycy bezpieczeństwa i audytorzy są w jej oczach najgorszym, co mogło spotkać branżę IT, a może nawet ludzkość. Zainteresowanym polecam lekturę jej tekstu o luce Heartbleed w OpenSSL-u, a właściwie o tym, jak widzi jej odkrywców. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji