Oracle: przestańcie szukać dziur w naszych programach

Szefowa do spraw bezpieczeństwa w firmie Oracle, Mary Ann Davidson, prawdopodobnie liczyła na to, że wszyscy hakerzy świata odpoczywają po Black Hat. Na jej blogu przez prawie dobę widoczny był wpis, w którym wyjaśniała klientom firmy Oracle, że nie mają prawa do szukania na własną rękę luk w oprogramowaniu, które kupili. Oryginalny wpis został usunięty, ale został zachowany na SecList.

Davidson ma wyraźnie dość tego, że klienci przeprowadzają własne testy bezpieczeństwa na oprogramowaniu firmy Oracle w sposób łamiący licencję. Problem stanowi inżynieria wsteczna niezbędna do przeprowadzenia analizy statycznej kodu, ale niezgodna z zapisami umowy. Tym, którzy wciąż to robią, Mary Ann Davidson zagroziła poważnymi konsekwencjami.

Wielu klientów firmy Oracle by sprawdzić, czy kupiony produkt naprawdę jest bezpieczny, zatrudnia zewnętrznych konsultantów i przeprowadza własne testy z wykorzystaniem różnych narzędzi. Jeśli oprogramowanie testujące zgłosiło lukę, na własną rękę konsultanci sprawdzali, czy w kodzie uzyskanym na drodze inżynierii wstecznej znalazło się zabezpieczenie, a niektórzy nawet próbowali produkować własne łatki. Zupełnie nie przeszkadzało im to, że wiele zgłoszeń nie miało żadnej wartości i kwalifikowało się jako false positive.

Szefowa pionu bezpieczeństwa wyraziła głębokie niezadowolenie i podkreśliła absurd sytuacji. W końcu klienci mogą po prostu zgłosić fakt, że podczas testów wykryta została dana wada, dostarczyć odpowiednie logi i zwyczajnie porozmawiać z dostawcą oprogramowania. Podkreśliła także, że produkty Oracle'a spełniają rygorystyczne wymagania wielu norm i zyskały całą kolekcję certyfikatów, więc naprawdę nie trzeba podchodzić do nich z taką dozą nieufności. Tym bardziej nie należy przeprowadzać analizy statycznej, modyfikować ich na własną rękę i łamać umowy. To zadanie należy powierzyć producentowi.

Nie można nie dopuścić możliwości, że niektórzy klienci nie wiedzieli, że łamią licencję i na ich polecenie przeprowadzana jest inżynieria wsteczna kodu. Jeśli zbadanie bezpieczeństwa oprogramowania zlecone jest zewnętrznemu wykonawcy, klient Oracle'a dostaje tylko raport. Ten raport jest następnie wysyłany do Oracle'a, prawdopodobnie z dołączonym listem pełnym pretensji. Należy jednak pamiętać, że taki raport jeszcze nie dowodzi istnienia luki, tym bardziej nic nie mówi o jej potencjalnych zastosowaniach do niecnych celów.

Davidson zapowiedziała, że jeśli w otrzymanym raporcie znajdzie przesłanki mówiące o tym, że oprogramowanie Oracle'a zostało poddane inżynierii wstecznej (na przykład informację o statycznej analizie kodu programu), klient dostanie nieprzyjemny list, który przypomni mu o zapisach licencji. Podobny list, jeszcze mniej przyjemny, dostanie wykonawca analizy. Wyniki testów powinny zostać natychmiast bezpowrotnie zniszczone.

Pod wieloma względami pani Davidson ma rację – w końcu poważnym przedsiębiorstwom nie wypada łamać umowy z jednym z partnerów. Jeśli jednak zagłębimy się w jej starsze wpisy, zobaczymy, że analitycy bezpieczeństwa i audytorzy są w jej oczach najgorszym, co mogło spotkać branżę IT, a może nawet ludzkość. Zainteresowanym polecam lekturę jej tekstu o luce Heartbleed w OpenSSL-u, a właściwie o tym, jak widzi jej odkrywców.