Oracle quiere que deje de enviar los insectos - esta es la razón de que es una locura
Oracle es en agua caliente durante esta semana un blog escrito por su jefe de seguridad, Mary Davidson. El mensaje, aunque cubre una gama de temas, es sobre todo acerca de la práctica de informar posibles vulnerabilidades de seguridad de Oracle. En concreto, ¿por qué no debería hacerlo.
“Recientemente, he visto un repunte grande-ish en los clientes de ingeniería inversa de nuestro código para tratar de encontrar vulnerabilidades de seguridad en el mismo.
el código fuente de Oracle no se hace público. Con ello se pretende que sea más difícil para los demás para robar su propiedad intelectual. Sin embargo, esto también significa que es muy difícil para los clientes para verificar que el código es seguro. Aquí es donde ‘descompilación` entra en juego. Básicamente, descompilación se traduce en la otra dirección, la conversión de archivos ejecutables de nuevo en código legible por humanos. Esto no entregar exactamente el código fuente original, pero sí ofrecer código que funciona de la misma manera - aunque a menudo es difícil de leer, debido a la pérdida de los comentarios y la estructura organizativa.
Esta es la “ingeniería inversa” que Davidson se refiere. Oracle es en contra de ella porque piensan que pone su propiedad intelectual en situación de riesgo. Esto es al menos un poco tonto, porque el uso de un acuerdo de licencia para prohibir el robo de propiedad intelectual es un poco como el uso de un felpudo con severidad redactado para evitar la invasión casa. El tipo de personas que van a tratar de clonar sus productos no se preocupan acuerdos de licencia, y, a menudo no están en jurisdicciones en las que se podía hacer cumplir esos acuerdos en todo caso.4 maneras de leer & Entender un contrato de licencia de usuario final (EULA) con más facilidad4 maneras de leer & Entender un contrato de licencia de usuario final (EULA) con más facilidadEULA, y contratos de licencia de usuario final, son uno de los males de la vida moderna. Se trata de acuerdos infinitamente prolijo, generalmente escritos en letra pequeña. Estas son las cosas que ciegamente desplazarse hacia abajo, en busca de ese maldito ...Lee mas
La política en realidad sólo afecta a los clientes legítimos. La situación es similar a la de DRM videojuego, pero de alguna manera aún más ineficaces.6 lugares para comprar los juegos libres de DRM [MUO juego]6 lugares para comprar los juegos libres de DRM [MUO juego]Desde que he decidido no comprar juegos de Steam, tengo que encontrar otras fuentes. Muchos de ellos son en realidad peor que el vapor en sí. tienda de Ubisoft es desconcertante y lleno de DRM molesto. Artes electrónicas...Lee mas
¿Por qué los clientes quieren descompilar estos ejecutable? Es todo acerca de la seguridad. Tener acceso al código fuente le permite abrir brecha en ella en busca de errores y problemas potenciales. A menudo, esto se realiza mediante el software que realiza un “análisis de código estático” - una lectura a través automatizada del código, que identifica errores conocidos y prácticas software peligroso que tienden a conducir a errores. Si bien existen herramientas que analizan el archivo ejecutable directamente, descompilación que permite un análisis más profundos en general. Este tipo de análisis estático es una herramienta estándar del comercio de la seguridad, y la mayoría de las empresas preocupadas por la seguridad utilizar dicho software internamente para producir código que es menos probable que contenga errores graves.
La política de Oracle en este tipo de análisis es simplemente “no lo hacen.” ¿Por qué? Voy a dejar Davidson explicar.
“Un cliente no puede analizar el código para ver si hay un control que evita el ataque de la herramienta de análisis está gritando sobre (que es más probable que un falso positivo) [...] Ahora, debo señalar que no nos limitamos a aceptar informes de análisis, como “prueba de que hay un ahí, ahí”, en parte porque si usted está hablando análisis estático o dinámico, un informe de análisis no es prueba de una vulnerabilidad real. [...] Ah, y requerimos que los clientes / consultores para destruir los resultados de dicha ingeniería inversa y confirmar que lo han hecho “.
Vídeo: Suspense: Community Property / Green-Eyed Monster / Win, Place and Murder
En otras palabras, la herramienta girando un resultado no es una prueba de un fallo real - y, dado que Oracle utiliza estas herramientas internamente, no tiene sentido en los clientes que ejecutan por su cuenta.
El gran problema con esto es que estas herramientas de análisis de código estático no existen sólo para llevar a errores de su atención. También se supone que deben servir como diana para la calidad y seguridad de código. Si vuelca base de código de Oracle en una herramienta de análisis estático estándar de la industria y se escupe cientos de páginas de temas, que es una muy mala señal.
La respuesta correcta, cuando una herramienta de análisis de código estático escupe un problema, no es mirar el problema y decir ‘oh, no, eso no causa un error debido a que tal y tal cosa.` La respuesta correcta es que entrar y solucionar el problema. Las cosas marcadas por las herramientas de análisis de código estático son generalmente malas prácticas en general, y su capacidad para determinar si es o no una determinada cuestión de hecho provoca un error es falible. Durante miles de problemas, vas a falta de la materia. Es mejor que no tener este tipo de cosas en su base de código en el primer lugar.
Aquí es Oculus CTO John Carmack cantar las alabanzas de estas herramientas de su tiempo en iD Software. (En serio, leer todo el ensayo, es cosas interesantes).
“Hemos tenido un período en el que uno de los proyectos accidentalmente tiene la opción de análisis estático desactivado durante unos meses, y cuando me di cuenta y volver a habilitar ella, había montones de nuevos errores que se habían introducido en el ínterin. [...] Estas fueron las manifestaciones que las operaciones normales de desarrollo estaban produciendo continuamente estas clases de errores, y [análisis de código estático] nos estaba protegiendo eficazmente de una gran cantidad de ellos “.
En resumen, es probable que muchos de los clientes de Oracle no eran necesariamente tratando de informar de los errores específicos - se preguntan por qué las prácticas de codificación de Oracle eran tan pobres que su base de código estaba plagado de miles y miles de temas tan básicos que pueden ser succionados hacia fuera por el software automatizado.
Por la seguridad Pegatinas
Entonces, ¿qué deben hacer los clientes de seguridad en cuestión, en lugar de utilizar herramientas de análisis estático? Afortunadamente, el blog de Davidson era extremadamente detallada sobre ese tema. Aparte de defender las prácticas generales de seguridad básicas, hace sugerencias concretas para aquellos preocupados por la seguridad del software que utilizan.
“[N] o hay una gran cantidad de cosas que un cliente puede hacer, como, Gosh, en realidad hablando con los proveedores acerca de sus programas de garantía o control certificaciones para productos para los que no son buenos sellos de limpieza para (o‘buen código’sellos) como Common Criteria certificaciones o FIPS-140 certificaciones. La mayoría de los vendedores - al menos, la mayor parte de los grandes-ish que conozco - Disponer de programas de garantía bastante robustos ahora (lo sabemos porque todos nos comparamos notas en conferencias) “.
Esto es un horripilante respuesta por parte de una organización tan grande como Oracle. La seguridad informática es un campo en rápida evolución. Las nuevas vulnerabilidades se encuentran en todo el tiempo, y la formalización de los requisitos de seguridad en una certificación que se actualiza cada pocos años es absurdo. La seguridad no es una pegatina. Si confía en que una pieza de software crucial es seguro sobre la base de un sello en el envase, que está siendo irresponsable estúpida.
Heck, herramientas de análisis estático se actualizan con más frecuencia que estas certificaciones hacen - en algunos casos, todos los días - y la eliminación de todas las cuestiones que giran hasta todavía No es suficiente tener mucha confianza en la seguridad de su código, porque la mayoría de las vulnerabilidades son demasiado complejos para ser detectados por este tipo de herramientas automatizadas.
La única manera de tener una confianza en su propia seguridad es exponer su código para el mundo, y pedir a los piratas informáticos para tratar de romperlo. Este es el funcionamiento de la mayoría de las principales compañías de software: si encuentra un problema con su código, no van a snark condescendencia a que viola su contrato de uso. Ellos te pagan dinero. Ellos quieren que la gente haciendo su mejor esfuerzo para romper su software todo el tiempo. Es la única manera en que pueden tener confianza de su código es en absoluto seguro.
Estos programas se llaman “programas de recompensas de errores”, y son lo mejor que puede pasar con seguridad a nivel de empresa en mucho tiempo. Son también, por casualidad, algo que Davidson tiene opiniones muy fuertes sobre.
“Recompensas de errores son la nueva banda de chicos (muy bien aliterativo, no?) Muchas compañías están gritando, desmayos, y tirar la ropa interior a los investigadores de seguridad [...] para encontrar problemas en su código e insistir en que este es el camino, andad por él: si usted no está haciendo recompensas de errores, el código no es segura.
Ah, bueno, nos encontramos con el 87% de nosotros mismos vulnerabilidades de seguridad, los investigadores de seguridad encuentran alrededor del 3% y el resto se encuentran por los clientes. [...] No estoy insultando recompensas de errores, simplemente observando que sobre una base estrictamente económica, ¿por qué debería lanzar una gran cantidad de dinero en el 3% del problema “.
Para empezar, basado en los resultados de los análisis de código estático, que podría llegar a ser mucho más de un 3% si se les pagó. Pero yo divago. El punto real es esta: insecto de recompensas no son para ti, son para nosotros. ¿Podría encontrar errores más eficiente si pasó el mismo dinero en expertos de seguridad interna? Bueno, probablemente no - pero vamos a lanzar un hueso de Oracle y asumamos que pudieran. Sin embargo, también podrían tomar el dinero, el Banco, y luego hacer absolutamente nada. Si la seguridad resultante es por debajo del par, los clientes sólo encontrar información sobre él años, cuando su número de seguridad social misteriosamente terminan en la web profunda.Cómo encontrar sitios activos de la cebolla & ¿Por qué es posible que deseeCómo encontrar sitios activos de la cebolla & ¿Por qué es posible que deseesitios de cebolla, llamados así porque terminan con ".cebolla", Están alojados como servicios ocultos de Tor - una forma totalmente anónima para alojar sitios web.Lee mas
recompensas de errores existen media porque son una manera realmente eficaz de identificación de errores, y la otra mitad, porque son una forma de seguridad no se puede fingir. Una prima de error creíble dice al mundo que cualquier error que quedan en el código son más caros de encontrar que la recompensa establecida.
no existen recompensas de errores para su conveniencia, Oracle, que existe porque no confiamos en ti.
Tampoco hay que! Un montón de grandes empresas permiten a la seguridad quedan en el camino, como el numerosos megabreaches mostrar con toda claridad. Usted es el segundo mayor fabricante de software del mundo. Es absurdo de pedir que acaba de tomar su palabra de que sus productos son seguros.Confirma objetivo hasta 40 millones de clientes de los EEUU Tarjetas de crédito hackeado PotencialmenteConfirma objetivo hasta 40 millones de clientes de los EEUU Tarjetas de crédito hackeado PotencialmenteObjetivo acaba de confirmar que un truco podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que han comprado en sus tiendas de Estados Unidos entre el 27 de noviembre y 15 de diciembre de 2013.Lee mas
Lo que va directo Davidson
Para ser justos con Davidson, hay elementos de este que sean razonables en el contexto. Probablemente, muchos de sus clientes no se embarcan en auditorías ambiciosa de código de Oracle, sin tomarse el tiempo para eliminar los problemas de seguridad más mundanos de sus sistemas.
“Las amenazas persistentes avanzadas” - las organizaciones de hackers expertos que intentan conseguir acceso a las organizaciones específicas para robar datos - sin duda son de miedo, pero por los números son mucho menos peligrosos que los millones de aficionados a los piratas informáticos oportunistas con herramientas automatizadas. Hacer este tipo de análisis estáticos de software comercial cuando no ha adoptado medidas de seguridad básicas se parece mucho a la instalación de un cuarto de pánico cuando todavía no tiene una cerradura en la puerta principal.
Del mismo modo, es probable que realmente es frustrante e inútil que se presentará con el mismo análisis automatizado y otra vez y otra vez.
Vídeo: Suspense: Drive-In / Strange Death of Gordon Fitzroy / House in Cypress Canyon
Sin embargo, tomado en su conjunto, el artículo revela algunas ideas anticuadas serio sobre la seguridad del sistema, y la relación entre los desarrolladores y clientes. Soy consciente de que el trabajo de Davidson es frustrante, pero los usuarios que salen de su manera de verificar la seguridad del software que utilizan no son el problema. Aquí es presidente de la conciencia de seguridad, toma de Ira Winkler en él:
“Oracle es una empresa muy grande y rica, con productos que se distribuyen ampliamente y se utilizan para aplicaciones críticas. Período. Ellos tienen la responsabilidad de hacer que su software tan fuerte como sea posible [...] Puede haber una gran cantidad de falsos positivos y los costos asociados, sino que es un factor de [su venta] una gran cantidad de software que tiene una gran cantidad de usuarios. Es un costo de hacer negocios. Estoy seguro de que todas las empresas de software tienen los mismos informes falsos positivos. No escucho Microsoft et al. quejumbroso."
Si Oracle no quiere seguir recibiendo miles de problemas encontrados por las herramientas de seguridad estáticas, tal vez deberían solucionar esos miles de problemas. Si están molestos por las personas se conviertan en los mismos no son errores una y otra vez, tal vez deberían tener un programa de recompensas de errores adecuado que tiene mecanismos para hacer frente a las presentaciones repetidas de los no temas. Los clientes de Oracle están exigiendo un mayor nivel de seguridad y avergonzarlos porque es notthe respuesta correcta.
A pesar de que Oracle ha tomado abajo y generalmente repudiado el puesto, que fue escrito en absoluto revela una cultura de seguridad profundamente equivocada dentro de Oracle. El enfoque de Oracle para la seguridad da prioridad a la protección de su propiedad intelectual sobre la seguridad y tranquilidad de sus clientes - y si usted confía software de Oracle con información crítica, que debe asustar a los bejeezus de ustedes.
¿Qué piensas? ¿Está preocupado por la filosofía de seguridad de Oracle? ¿Cree que Davidson está siendo tratado con demasiada dureza? Háganos saber en los comentarios!