CSO de Oracle para los clientes: déjenos las vulnerabilidades a nosotros

[Mary Ann Davidson], Director de seguridad de Oracle, ha tenido un mal martes. Internet ha estado en llamas estas últimas horas debido a una publicación de blog publicada y eliminada rápidamente de los servidores de Oracle. (archivo) No estamos 100% seguros de que todo el asunto no sea una especie de truco. Residencia en [Mary’s] Sin embargo, parece que se han leído escritos anteriores.

El TL; Una versión DR de la publicación de María es que está enferma y cansada de que los clientes inviertan el código de Oracle para tratar de encontrar vulnerabilidades de seguridad. Hacerlo es una clara violación de la licencia de Oracle. Además del mensaje, el tono del blog dice mucho. Este es el mismo tipo de política que vemos en el hardware de empresas como John Deere y Sony. A la gente le gusta [Cory Doctorow] y la FES está haciendo todo lo posible para combatirlo. Tenemos que decir que estamos de acuerdo [Mary] en un punto: los operadores deben asegurarse de que sus sistemas estén bloqueados con las últimas versiones de software, actualizaciones y parches antes de hacer cualquier otra cosa.

[Mary] afirma que "Bug Awards es la nueva banda de chicos" que simplemente no tienen sentido desde un punto de vista empresarial. Solo el 3% de las vulnerabilidades de Oracles provino de investigadores de seguridad. El resto proviene de pruebas internas de la empresa. El hecho de que Oracle no tenga un programa de corrección de errores puede estar relacionado con eso. [Mary] no te preocupes. Bug Bounty o no, puso su empresa directamente en la mira de muchos piratas informáticos, tanto de sombrero blanco como de negro.

  • Sancho dice:

    ¿Por qué a esta publicación le falta la etiqueta "falla de la semana"?

    • Dibujó D dice:

      gusto

    • Jake dice:

      estoy de acuerdo

  • James S. (@StripeyType) dice:

    Oracle ha sido sordo a los clientes durante quince años. El hecho de que su producto RDBMS tenga una adopción muy amplia no tiene absolutamente nada que ver con su idoneidad como almacén de datos y todo en relación con los programas de certificación rabiosos y fervientes que se vendieron mucho en los años 90.
    Es lento, caro, permite que las personas estúpidas hagan cosas estúpidas con más facilidad que las personas inteligentes que hacen cosas inteligentes.
    El hecho de que el producto RDBMS no vea muchos CVE se debe a que los administradores pacientes y experimentados bloquean los sistemas * alrededor * de la base de datos.

    • SavannahLeón dice:

      Ser propietario de MySQL no ayuda de ninguna manera.

      Después de que Oracle captó todo el tema repulsivo en los círculos gubernamentales hace algún tiempo, algunas agencias cambiaron silenciosamente a MySQL para agregar otra capa entre ellos y Oracle y también defenderse como parte del movimiento Open Source.

      El dinero sigue fluyendo hacia Oracle, Oracle sigue actuando como un idiota y los desarrolladores todavía no pueden crear una base de datos medio decente.

      • GZ dice:

        MariaDB entonces. Hice algunas pruebas de luz ... es hora de mirar realmente en movimiento.

  • Cierto dice:

    Así que el consejo es que nadie en el planeta debería buscar problemas, solo Oracle y Blackhats. Cualquier respeto por Oracle que pueda haber tenido en el pasado se está evaporando muy rápidamente en este momento mientras mi sangre hierve.

    • TheRegnirps dice:

      ¿Respeto por el oráculo? Seguro que fue un éxito comercial, pero siempre fue una promesa para la Luna, conseguir un contrato, ofrecer a los niños programas incompletos y mucho "estamos trabajando en ello". ¡Consiga grandes clientes tan profundos que no tengan otra opción y diríjase a las regatas! Si Ford lo usa, tiene que ser bueno. Si Prudentail lo usa, tiene que ser bueno. Muy similar a la computadora de MS e IBM en este sentido. "Nunca se ha despedido a nadie por comprarle a IBM".

  • Koen Blank dice:

    Oracle mantiene una excelente seguridad en sus productos, especialmente en Java. (No necesito / s, creo)
    Si buscar seguridad es una violación del acuerdo de licencia, eso incluso disminuirá la cantidad de errores conocidos.
    Tal vez no sea "la nueva banda de chicos", sino "una nueva realidad en un software muy complejo en un mundo muy conectado".

    • Cierto dice:

      Oracle (y Cisco) son particularmente hostiles cuando les presenta errores (amenazas legales apenas disimuladas). Estoy seguro de que la gente solo los está vendiendo en la red oscura en este momento.

  • reproducción dice:

    Bueno, lamento mirar debajo del capó para ver por qué / cómo / si algo funciona. Mis más sinceras disculpas, olvidé mi lugar. Olvidé que los clientes son un grupo tardío de monos que simplemente están haciendo cosas al azar con la maliciosa intención de molestar a nuestros Grandes y Benevolentes Gobernantes Corporativos (y salivar vigorosamente con los teclados). De ahora en adelante, ciertamente asumiré que no se envía incompetencia, y mucho menos malicia, al producto final que compro por una tonelada de dinero. Si la empresa dice que es perfecto, ¿a quién juzgo?

    • Walter Will dice:

      También agregaré que oralce es una empresa responsable de mantener la Ley de Aron.
      http://www.forbes.com/sites/thomasbrewster/2014/08/06/aarons-law-is-doomed-leaving-us-hacking-law-broken/

      • Roca dice:

        Jikes, eso es triste porque la Ley de Aron excluye la violación de los términos de servicio como la piratería o básicamente no un delito.

  • yuki.n dice:

    En su defensa, tiene un punto más justo: la mayoría de las vulnerabilidades que se encuentran, sin embargo, son falsos positivos. Es por eso que el reportero debe revisar el informe de vulnerabilidad, eliminar los falsos positivos, si es posible probar un concepto, etc.

    Dicho esto, si hubiera reformulado todo el artículo como "no nos envíes informes largos y locos por correo electrónico, no informes falsos positivos, hazlo bien si realmente has encontrado vulnerabilidad, la mayoría de las veces será un falso positivo de todos modos". ah y además no violes el contrato de licencia ”Sonaría mucho mejor.

    • GameboyRMH dice:

      Estuvo a punto de publicar casi lo mismo. Sin embargo, ese buen punto se mezcló con una página tras otra, para mostrar su sorprendentemente mala actitud sobre la seguridad y para reflexionar sobre cómo el EULA de Oracle es el dios de todos ahora.

      Parecía mucho más molesta por la gente que tiene la audacia de profanar el importante acuerdo de licencia de Oracle y someter el programa de Oracle a cualquier escrutinio que las personas que envían informes inútiles de vulnerabilidad.

      • nvivia dice:

        Así es. Y esta actitud de "no ponga nuestro software bajo ningún control, nosotros mismos somos muy inteligentes al respecto" suena un poco irónico cuando los clientes encuentran el 10% de sus vulnerabilidades de seguridad (87% de Oracle, 3% de investigadores de seguridad y “El resto” de clientes).

        • kapti22 dice:

          Ni siquiera sé por qué se incluyen los descubrimientos de Oracle. Si existe un sistema de recompensa interno por encontrar errores, la gente podría cooperar y ocultar un error, y pedirle a un conspirador que lo descubra.
          Además, ¿cómo definen la vulnerabilidad descubierta por Oracle? para evitar un error en la fase de proyecto ya cuenta?

          Es difícil definir qué es la vulnerabilidad descubierta por Oracle. ¿Cuentan las debilidades descubiertas en la pizarra? ¿Existe un sistema de recompensa interno que podría tener un incentivo perverso para colocar y descubrir vulnerabilidades (mediante la detección de conspiradores entre sí)? Solucionar la vulnerabilidad, luego reintroducirla accidentalmente y luego arreglarla, ¿contar como 1 o 2?

          Los únicos números que son objetivamente importantes desde el punto de vista de la señal económica son estos:
          * 3/13 vulnerabilidades reconocidas por Oracle encontradas por investigadores de seguridad NO PROPORCIONADAS POR LOS CLIENTES
          * 10/13 Vulnerabilidades reconocidas por Oracle encontradas por investigadores de seguridad ALOJADOS por los clientes.

          Haciendo caso omiso de las demandas de sus clientes de una mayor seguridad, claramente hace todo lo posible por permanecer en su puesto.

    • nathangray dice:

      Realmente, parece mayormente una mala redacción y un mal enfoque.
      Si alguna vez ha intentado detener un flujo de informes de errores erróneos con una causa similar, puede identificarse.
      ¿Debería centrarse en "no violar nuestro acuerdo, no investigar"? Probablemente no, pero si eso es inaceptable, existen alternativas a Oracle.

      Si provino de un punto "Mejor valor para su dinero de seguridad haciendo estas cosas primero" o "Cómo probar Oracle, paso 1: Asegure sus cosas", o incluso "Así es como NOSOTROS aseguramos nuestras cosas (es nuestra tarea por cierto) Probablemente se leería un poco mejor.

    • Jonathan Wilson dice:

      Quizás a Oracle le preocupa que la gente encuentre errores que no son realmente errores, sino puertas traseras ocultas agregadas para beneficiar a la NSA y otras agencias ...

  • Maxzillian dice:

    "Tome una página de piratas informáticos malintencionados, obedezca nuestra licencia".

    En otra nota: Deere, no Deer

  • Keith dice:

    Extraño cuando Sun era dueño de Java. Fueron al menos mucho más benevolentes y se preocuparon por el código abierto. Incluso crearon los procesadores Spark de código abierto.

  • Scott dice:

    Supongo que Oracle prefiere permanecer en la oscuridad sobre el 3% de las debilidades mencionadas anteriormente que les faltan. ¡Aquí está para darles lo que quieren!

  • bomba escocesa dice:

    Clientes de Oracle: "¿No quieren oír hablar de las debilidades que les falta a su propia gente? ¡Muy bien! Lo guardaremos para nosotros".

    • DainBramage dice:

      Mejor aún, dígaselo a todos los que quieran escucharlo.

  • Mella dice:

    Simplemente me parece que alguien tuvo un mal día y no pudo mantener la boca cerrada. Casi todo el mundo tuvo la culpa de esto en algún momento. NEEEXXXXXXXXXXTTTTTTT !!!!

    • chico rudo dice:

      ¿A nivel de OSC?

      • Mella dice:

        Ella es solo un ser humano, independientemente del título.

        • oodain dice:

          ser solo una persona rara vez es una excusa, no estoy diciendo que no pueda tener un mal día, pero si tu mal día tiene la posibilidad de afectar significativamente el rendimiento, entonces eso debe tenerse en cuenta durante el día.

  • russdill dice:

    Una de las frustraciones a las que se enfrenta es que hay asesores de seguridad falsos que realizan análisis de seguridad costosos en productos de Oracle en nombre de los clientes de Oracle. Luego le presentan a su cliente un enlace de problemas. Luego, el cliente presenta este costoso enlace a un oráculo donde un oráculo dice, "gracias, lo insertaré en la enorme pila de enlaces idénticos de la misma empresa de consultoría". ”.

    Por supuesto, luego ataca el problema completamente equivocado. ¿Alguna empresa cree realmente que alguna parte de su código es tan valiosa que alguien intentaría revertir el código fuente y usarlo como base para un producto competitivo? Odio tratar a las empresas que miran no solo su fuente, sino también su código compilado, como algo que otros quieren tener. Es basura. Tuve que aplicar ingeniería inversa a muchos controladores de hardware debido a esta actitud (mirándote a Eurotech).

  • Paulwallich dice:

    Si el 3% de sus hallazgos de vulnerabilidad provienen de investigadores externos, el reverso del sobre sugiere que el 1-2% de su presupuesto de seguridad podría gastarse de manera rentable en un premio premium. Y si el 1-2% de su presupuesto de seguridad no es suficiente para lanzar un programa premium, tienen otros problemas.

    • Zythen dice:

      Sorprendentemente no. Oracle es una de las empresas más rudas y caras, y tampoco les gusta que virtualices nada.

      Entonces, todos pagan por la nariz y luego se molestan cuando intenta no ingresar su nombre en el periódico debido a la pérdida de datos. Parece una empresa con la que me gustaría hacer negocios ... = P

      • Es Derrick (@GodOfFsck) dice:

        Supuestamente no le molestan en virtualizar sus estaciones de trabajo, ya que todavía albergan VirtualBox (Innotek -> Sun -> Oracle). La versión 5 se lanzó el mes pasado. Todavía no he jugado con la nueva versión, pero he usado VirtualBox mucho antes. Suele hacer el trabajo.

        • Austin dice:

          Debes leer la licencia de VirtualBox: es TERRIBLE.

          Alguien en el camino de "si usa este producto para ayudarlo a ganar dinero, ¿no cree que tiene que pagarnos?"

        • buklodorso128 dice:

          Debes leer la licencia de VirtualBox: es TERRIBLE.

          Alguien en el camino de "si usa este producto para ayudarlo a ganar dinero, ¿no cree que tiene que pagarnos?"

  • Bill Gates dice:

    ¡Deja de buscar vulnerabilidades! Si dejas de buscar, no se encontrarán, ¡así que no existen!

    Microsoft también debería dejar de buscar una licencia. Si dejas de buscar, no encontrarás piratas, y por eso no existen.

    Deje de buscar evasores de impuestos, si deja de buscar, no encontrará ninguno, por lo que no existen.

    También deje de verificar la seguridad del automóvil, si deja de buscar problemas de seguridad, no se encontrarán y, por lo tanto, no existen.

    • kapti22 dice:

      Sí, tiene que dejar de buscar informes de vulnerabilidad en su publicación, si simplemente deja de buscar, no encontrará informes y es por eso que no existen.

      También puede dejar de mirar sus tareas según su tiempo del día, si deja de buscar, no encontrará tareas y por lo tanto no existen.

      Si sigue por este camino, podría dejar de buscar su auto y las llaves de la casa, si deja de buscar, no las encontrará, y es por eso que su auto y su casa ya no existirán 🙂

      • siluxmedia dice:

        ¡Cierra los ojos para hacer desaparecer el mundo!

  • Fennec dice:

    Cory Doctorow es un pirata, en la misma conexión que Moby y su "ayuda" ambiental (leer; publicidad).

    • Leithoa dice:

      ¿Te importa hacer ejercicio?

  • Que no dice:

    Creo que se trata de fuentes externas que descubren puertas traseras intencionales en sus propuestas.

    Y, sinceramente, si observa la documentación de Oracle sobre la mitad de las actualizaciones que se agregan a Java, es mejor que trabaje con una versión anterior. Porque el soporte de DRM y los asuntos internos telefónicos, por ejemplo, no son del agrado de todos.

  • williamderieux dice:

    (87% de Oracle, 3% de investigadores de seguridad y “el resto” de clientes).

    Desglose porcentual:
    Oráculo - 87%
    Clientes - 10%
    Investigación - 3%
    Total - 87 + 10 + 3 = 100%

    Pregunta: ¿100% de qué?
    Me parece que María y el Oráculo están revelando estos números.
    Me gusta decir que al 50% de las personas les gusta algo (1 de cada 2 personas)

    Más,
    Si le dicen a la gente que no los busque ... entonces lo hacen
    reconoce abiertamente que tienen vulnerabilidades conocidas o son cosas en el
    código que no quieren que usted sepa, como espiar o recopilar datos, etc.

    En conclusión ... Tienen algo que esconder.

    • williamderieux dice:

      PD: y no creo que realmente se relacione con encontrar y / o revelar vulnerabilidades.

  • enl dice:

    Bug Awards es la nueva banda de chicos?

    ¿Nuevo?

    ¿Retrocedemos unos años ^ h ^ h ^ h ^ h ^ hdecades a los premios por _The_Art_Of + Computer_Programming_? Nada nuevo sobre los obsequios de insectos, y nada nuevo sobre la arrogancia de “nadie más es capaz de entender nuestro producto”.

    También tengo problemas con la tendencia reciente (desde la DMCA, pero especialmente durante los últimos cinco años) de interpretar los derechos de autor como equivalentes al secreto militar. Incluso la DMCA no secreta material protegido por derechos de autor. No me meteré en los problemas con la moderación previa de la evasión.

  • Mystick dice:

    Sugerencia: no deje el código fuera de la puerta llena de agujeros.

    • Que no dice:

      Puse agujeros en pequeños manuscritos que la gente pensaba que eran insuficientes y fáciles de verificar.
      En otras palabras, es casi imposible soltar algo 100% seguro y sin ningún agujero en ninguna parte. (Aunque a veces se necesitan décadas para encontrar el defecto).

      • Mystick dice:

        Desafortunadamente, en la doctrina actual de "presionar por la liberación de la participación de mercado - parchear más tarde (tal vez)", sucede cada vez con más frecuencia, con más y mayores consecuencias. Por supuesto, nada será 100% perfecto. Pero existe la diligencia y cuando amenaza a personas que le muestran fallas a través de procedimientos legales, eso no es diligencia. Eso es un borrón.

        • Que no dice:

          Bastante cierto.

          Y aquí está la constante adición de grandes porciones de funciones que quizás no sean tan necesarias. que de nuevo probablemente tendrá un nuevo conjunto de agujeros. Aunque es probable que Adobe se encargue de este comportamiento ...

  • Enrique dice:

    > Solo el 3% de las vulnerabilidades de Oracles provino de investigadores de seguridad. El resto proviene de pruebas internas de la empresa.

    Pero, ¿los probadores internos de la empresa tienen que revertir el código? o si simplemente se saltan el primer obstáculo en busca del código fuente. Eso es como decir "nuestras cookies seguras podemos abrir 10/10 cajas fuertes desbloqueadas"

  • W dice:

    Esta publicación sobre bugtraq (http://seclists.org/bugtraq/2005/Oct/56) indica la actitud de Oracle hacia la seguridad: La cadena de prueba de concepto SQL tenía un espacio en ella (no relacionada con la vulnerabilidad real), por lo que "arreglaron" el código ignorando los espacios en esa ubicación. La operación aún funcionó perfectamente después de un poco de recorte.

    No crea en sus negaciones acerca de que la publicación no representa a Oracle. Oracle está presionando ilegalmente para realizar ingeniería inversa.

    También mira #OracleFanFic en Twitter, p. Ej. @ Send9
    [+] Cuerda De Explotación De Construcción.
    [+] Ejecutando código shell ...
    [!] ¡La explotación falló debido a la violación del EULA!

  • Peter de Vroomen dice:

    La solucion es simple. Si está inundando informes de vulnerabilidad, coloque a más personas sobre ellos. Larry Ellison tiene suficiente dinero en el bolsillo para financiar personalmente a esas personas. O puede despedir a algunos gerentes senior y también dinero gratis. Todos sabemos que estos administradores llegaron allí gracias a sus contactos de todos modos. Es "agradable trabajar con ellos" para los demás altos directivos, y es por eso que están en su lugar. No por ser buenos gerentes.

  • araneoidulo dice:

    El primer nombre del Sr. Doctorow es Cory, no Corey. Adam, ¿existe la posibilidad de corregir esto y la publicación anterior sobre él?

  • Le_Bassiste dice:

    Los clientes son muy valorados.

  • Kris Linder dice:

    si no quieren que las personas miren el código, deben dejar de tenerlo disponible como código abierto

  • Que no dice:

    Por cierto, es un poco engañoso afirmar que “el 93% de los errores se encuentran dentro” porque obviamente mientras codifica encontrará un error y lo solucionará, por lo que TODAS las empresas y CUALQUIER organización con programadores tienen el 95% de todos los errores encontrados y corregidos. endome ..
    Entonces todo habla dos veces para engañar a la gente.

    E irónicamente, cuanto más inútiles son sus codificadores, más errores cometen que deben corregir antes del lanzamiento, por lo que mayor es el porcentaje 🙂

    • siluxmedia dice:

      Sí, pero ¿el 95% de qué? Para cualquier informe de error, podrían registrar 999 informes de errores internos y afirmar que corrigen el 99,9% de los errores internamente. No son necesarios para revelar el número de sus errores, o errores de error, por lo que pueden inflar estos números a voluntad y decir el porcentaje que les gusta.

      • williamderieux dice:

        Realmente ... ¿qué tal este 90% de errores significa 9 errores de un total o 10 ... es por eso que dije (en un comentario anterior) que probablemente falsifiquen (o usen matemáticas difusas) esas estadísticas?

  • espada dice:

    Esto, además de su arrogancia sobre la API de Java (su demanda contra Google / Android), es una de las razones por las que me alegro de escribir programas en C / C ++ y C #; no hay posibilidad de que me acusen de aplicar ingeniería inversa a sus programas en detrimento de los resultados de Oracle.

  • METRO dice:

    Un archivo de la publicación completa está aquí.
    http://seclists.org/isn/2015/Aug/4

    Creo que lo que intentó hacer, pero algo sin éxito y con arrogancia / frustración, es que los clientes / consultores de seguridad que administran las herramientas de seguridad de análisis simbólico probablemente no descubrirán nada nuevo que Oracle no haya descubierto internamente como parte de la integración continua activada. herramientas (utilizando herramientas idénticas, y más) y corregidas o marcadas como falsas.

    Además de las herramientas estándar de proveedores externos (cosas como Fortify, etc.) y las herramientas de seguridad de la comunidad, Oracle incorporó equipos estáticos y dinámicos de su rama de investigación en 2012; Verifique las publicaciones asociadas con este enlace y decida usted mismo si se está abordando la seguridad. en serio
    https://labs.oracle.com/pls/apex/f?p=labs:bio:0:21

  • steve dice:

    No soy un hacker de software, más el hardware, pero para mí su publicación de blog no suena nada mal. Puedo entender que no quiera molestarse con reposiciones inútiles. Tengo la sensación de que existe un mercado en el que se pueden realizar búsquedas de "consejos de seguridad" que dan miedo. Si mis recursos corporativos se desperdiciaran por algo así, yo también estaría enojado. Si imagino a alguien dividiendo mis dispositivos y hablándome sobre supuestos defectos en ellos sin poder entender correctamente el circuito ... No es una imagen bonita.

  • Demian dice:

    Sony? Creo que te refieres a Apple. Además, este artículo parece estar más lleno de odio que de información real.

Joel Carrasco
Joel Carrasco

Deja una respuesta

Tu dirección de correo electrónico no será publicada.