Mens de fleste av de store, globale IT-selskapene oppmuntrer kunder og andre til å lete etter sikkerhetshull i selskapenes respektive løsninger – både for egen og andre sikkerhets, har Oracle tilsynelatende et helt annet syn på hvordan sikkerheten i selskapets produkter skal håndteres.
Google: Utlyser dusør for Android-sårbarheter
Blogginnlegg
Dette går fram at et blogginnlegg som selskapet sikkerhetsdirektør, Mary Ann Davidson, publiserte i den offisielle Oracle-bloggen tidligere denne uken. Innlegget har senere blitt slettet, men er tilgjengelig både i Googles Webcache og hos Seclists.org.
I innlegget gjør Davidson det klart at selskapet anser det som et brudd på lisensavtalen dersom kunder for eksempel leier inn sikkerhetskonsulenter som utfører reverse engineering av programvaren for å lete etter sårbarheter ved hjelp av verktøy for statisk analyse.
Hun gjør det også klart at mange av rapportene Oracle får fra disse kundene dreier seg om falske positiver, og at disse henvendelsene stjeler tid fra Oracle.
I Norge: Politiet fikk to måneders frist til å kvitte seg med gammel teknologi
Brev
Derfor har Davidson sett seg nødt til å sende brev til en rekke kunder med beskjed om at de må slutte med dette.
Videre skriver Davidson at man skulle tro at kundene, før de begynner å lete etter ukjente sårbarheter i Oracles programvare, burde sørge for å sikkerheten til sine systemer på en rekke andre måter, inkludert å bruke oppdatert programvare, sikre konfigurasjoner og kryptering av sensitive data.
Selv om kundene, direkte eller indirekte, skulle finne en sårbarhet, vil Oracle likevel sende brev til alle involverte parter med påminnelse om at lisensbetingelsene ikke tillater reverse enginering. Deretter vil selskapet selvfølgelig fjerne sårbarheten, selv om Oracle egentlig ikke ville ha kundens hjelp til å finne den.
Har blitt bedre: Oracle lapper Java-nulldagshull, det første funnet på to år
Bortkastet tid
Davidson skriver at hun ikke kjefter på folk bare på grunn av lisensavtalen.
– Det er heller slik at jeg ikke behøver at du analyserer koden siden vi allerede gjør dette, det er vår jobb å gjøre detet, og vi er temmelig gode på det, vi kan – i motsetning til en tredjepart eller et verktøy – faktisk analysere koden for å avgjøre hva som skjer og uansett har de fleste av disse verktøyene en rate for falske positiver på nærmere 100 prosent, så vennligst ikke kast bort tiden vår på å varsle om små grønne menn i koden vår. Jeg løper ikkke fra vårt ansvar for kundene, men forsøker i stedet å unngå en smertefull, irriterende øvelse som er bortkastet tid for begge parter, skriver Davidson.
Respons
Innlegget har fått mange reaksjoner. Noe av dem er gjengitt nedenfor.
BREAKING NEWS: APTs and cyber criminals announce they will no longer reverse engineer Oracle because it is a violation of the terms
— George V. Hulme (@georgevhulme) 11. august 2015
Every day I try to express gratitude for one thing. Today, that thing is that I do not work in PR for Oracle.
— Jennifer Leggio (@mediaphyter) 11. august 2015
Oracle undoes the problems created by their CSO's rant by deleting her blog post. Done.
PS: http://t.co/EyvsPngufQ pic.twitter.com/Tckm33b91H
— Mikko Hypponen (@mikko) 11. august 2015
Det er oppsiktvekkende at Oracle har valgt å trekke et innlegg skrevet at selskapets øverste sikkerhetsansvarlige, når selskapet først har publisert det. Den offisielle begrunnelsen er angivelig gjengitt nedenfor.
Hey, #infosec folks, I just got a response from @Oracle pic.twitter.com/rZd8W6bPSA
— Jose Pagliery (@Jose_Pagliery) 11. august 2015
Uavhengig av om Davidson forteller sannheten eller ikke, er det flere der ute som nå vedder på hvor langt tid det vil ta før stillingen som sikkerhetsdirektør hos Oracle blir ledig.
Leste du denne? Nå har enda flere biler har blitt hacket
