Ber forskere ikke dele ut hackerkode

Ikke legg ut kode som beviser sikkerhetsshull, ber Oracle. For noen kunder kan ikke innføre feilrettinger.

Under en pressekonferanse på OracleWorld i Paris i dag gikk Oracles sikkerhetsdirektør Mary Ann Davidson ut med en oppfordring til hackere, IT-eksperter og forskere som finner sikkerhetshull i både Oracles produkter og programvare fra andre selskaper.

Lenge var mesteparten av søkelyset rettet mot Microsofts Internet Explorer og ulike versjoner av selskapets operativsystem Windows, men Oracles produkter har etter hvert også havnet i søkelyset etter at selskapet begynte å bruke slagordet "Unbreakable".

- Før vi tok i bruk Unbreakable hadde vi rundt 2000 portskanninger på våre Internett-servere. Uken etter hadde vi 30.000, forteller Davidson.

Hun mottar med jevne mellomrom henvendelser fra forskere og hackere som har funnet hull i Oracles produkter. Hvor ofte vil hun ikke kvantifisere, sannsynligvis i frykt for å fremstille Oracles produkter som feilbefengte.

Oracle tester påstandene, og dersom de holder vann får oppdageren en takk i feilfiksen. Men Davidson indikerer at mange er ute etter raskere anerkjennelse enn som så.

- Hackeren sier gjerne at de vil publisere feilen på Internett om to dager. Men vi forsøker å overtale dem fra det. For det tar tid å rette en feil. Det aller verste som kan skje er at feilrettingen innfører nye feil. Og vi skal ofte rette og teste patcher for 70-80 versjoner av våre produkter, vi skal dekke gamle versjoner og for flere ulike operativsystem, forteller sikkerhetsdirektøren.

Det verste som skjer er når folk publiserer kode som kan utnytte feilen.

- Det finnes ikke mange gode grunner til å gjøre dette. Faren for at koden blir brukt i en orm eller et hackervertøy er stor. Slammer-ormen ble laget med kode en forsker hadde lagt ut, poengterer hun.

Hun mener dessuten at det ikke holder å si at "nå har kundene hatt en uke på å rette feilen, nå kan de som ikke har gjort noe ha det så godt", slik mange hackere gjør.

- Du kan ikke patche en database eller applikasjon slik du patcher Windows. For alle kunder har gjort tilpasninger i våre produkter og en patch kan ikke ta vare på disse. Kundene må derfor bruke lang tid på å tilbakestille sine valg og teste applikasjonen igjen.

98 prosent av alle som oppdager hull følger Oracles oppfordring og ser dette problemet.

- Du kan ikke styre de siste to prosentene. Det du kan styre er din egen produktutvikling, sier Davidson.

Alle programvareselskap sliter med at det alltid dukker opp feil. I tillegg til alle vanlige kvalitetsfremmende rutiner, forteller Davidson blant annet at selskapet gjør utviklere personlig ansvarlige for sin kode. I tillegg har Oracle lagt store ressurser i å skaffe seg formelle sertifiseringer. For databasen 9i har Oracle hele 17 stykker.

Denne innsatsen ser ut til å ha fungert - det har ikke dukket opp noen hull i Oracles produkter de siste årene som har ført til datatap, understreker markedsdirektør Harald Løvvik i Oracle Norge overfor digi.no.

Til toppen