Det må ha vært hektisk hos Oracle etter at selskapets sikkerhetsdirektør publiserte et blogginnlegg som enten var mer åpenhjertet enn det selskapet satte pris på, eller var fullt av usannheter. (Bilde: D. Miller via Flickr (CC BY 2.0))

Programvaresikkerhet

Oracle-direktør: – Ikke snok i koden vår

Sender advarsler til kunder som varsler om potensielle sikkerhetshull.

Mens de fleste av de store, globale IT-selskapene oppmuntrer kunder og andre til å lete etter sikkerhetshull i selskapenes respektive løsninger – både for egen og andre sikkerhets, har Oracle tilsynelatende et helt annet syn på hvordan sikkerheten i selskapets produkter skal håndteres.

Google: Utlyser dusør for Android-sårbarheter 

Blogginnlegg

Dette går fram at et blogginnlegg som selskapet sikkerhetsdirektør, Mary Ann Davidson, publiserte i den offisielle Oracle-bloggen tidligere denne uken. Innlegget har senere blitt slettet, men er tilgjengelig både i Googles Webcache og hos Seclists.org.

I innlegget gjør Davidson det klart at selskapet anser det som et brudd på lisensavtalen dersom kunder for eksempel leier inn sikkerhetskonsulenter som utfører reverse engineering av programvaren for å lete etter sårbarheter ved hjelp av verktøy for statisk analyse.

Hun gjør det også klart at mange av rapportene Oracle får fra disse kundene dreier seg om falske positiver, og at disse henvendelsene stjeler tid fra Oracle. 

I Norge: Politiet fikk to måneders frist til å kvitte seg med gammel teknologi 

Brev

Derfor har Davidson sett seg nødt til å sende brev til en rekke kunder med beskjed om at de må slutte med dette.

Videre skriver Davidson at man skulle tro at kundene, før de begynner å lete etter ukjente sårbarheter i Oracles programvare, burde sørge for å sikkerheten til sine systemer på en rekke andre måter, inkludert å bruke oppdatert programvare, sikre konfigurasjoner og kryptering av sensitive data.

Selv om kundene, direkte eller indirekte, skulle finne en sårbarhet, vil Oracle likevel sende brev til alle involverte parter med påminnelse om at lisensbetingelsene ikke tillater reverse enginering. Deretter vil selskapet selvfølgelig fjerne sårbarheten, selv om Oracle egentlig ikke ville ha kundens hjelp til å finne den.

Har blitt bedre: Oracle lapper Java-nulldagshull, det første funnet på to år

Bortkastet tid

Davidson skriver at hun ikke kjefter på folk bare på grunn av lisensavtalen.

– Det er heller slik at jeg ikke behøver at du analyserer koden siden vi allerede gjør dette, det er vår jobb å gjøre detet, og vi er temmelig gode på det, vi kan – i motsetning til en tredjepart eller et verktøy – faktisk analysere koden for å avgjøre hva som skjer og uansett har de fleste av disse verktøyene en rate for falske positiver på nærmere 100 prosent, så vennligst ikke kast bort tiden vår på å varsle om små grønne menn i koden vår. Jeg løper ikkke fra vårt ansvar for kundene, men forsøker i stedet å unngå en smertefull, irriterende øvelse som er bortkastet tid for begge parter, skriver Davidson.

Respons

Innlegget har fått mange reaksjoner. Noe av dem er gjengitt nedenfor.

 

 

 

Det er oppsiktvekkende at Oracle har valgt å trekke et innlegg skrevet at selskapets øverste sikkerhetsansvarlige, når selskapet først har publisert det. Den offisielle begrunnelsen er angivelig gjengitt nedenfor.

Uavhengig av om Davidson forteller sannheten eller ikke, er det flere der ute som nå vedder på hvor langt tid det vil ta før stillingen som sikkerhetsdirektør hos Oracle blir ledig.

Leste du denne? Nå har enda flere biler har blitt hacket

Til toppen