Неприкасаемый Oracle

    С 1995 г. в продуктах Oracle было найдено 3896 уязвимостей, и их количество продолжает расти. Исследовательский центр Digital Security занимается поиском проблем безопасности в системах Oracle уже почти 10 лет, найдя за это время массу всевозможных уязвимостей во всей линейке их продуктов, включая разнообразные опаснейшие архитектурные баги. Некоторые из них исправлялись вендором около 3 лет после нашего уведомления (!). Поэтому с Ораклом мы знакомы не понаслышке.

    Скандал, который разразился вчера в мире немедленно после публикации и последующего удаления – по словам вице-президента и главного архитектора Oracle Эдварда Скривена (Edward Screven), запись «не отражала истинных взглядов компании на взаимоотношения с пользователями», – этой записи в блоге CSO компании Oracle Мэри Энн Дэвидсон (Mary Ann Davidson), на самом деле достаточно поучителен. В нем прекрасно проявилась вся боль вендоров, все их реальное отношение к безопасности продуктов.

    Наилучшей иллюстрацией здесь мог бы быть фильм с Мэлом Гибсоном «Чего хотят женщины?» Исследователи безопасности и заказчики – внимательно прочтите, что же на самом деле думает об исследованиях главный безопасник Oracle и как на самом деле она относится к безопасности своих продуктов. При этом следует понимать, что она говорит то, что другие вендоры просто не решаются сказать. Они благодарят исследователей за найденные уязвимости, мило улыбаются заказчикам, а внутри себя тихо ненавидят и тех и других. «Не трогайте наши продукты!», «Согласно лицензии, вы не имеете право на реверс-инжиниринг!» – это дословно ее высказывания. «Отстаньте уже от нас со своей безопасностью, мы сами разберемся», – вот что на самом деле думают вендоры. И как они сами «разбираются», по три года закрывая опаснейшие архитектурные уязвимости (в частности, с аутентификацией на клиенте!), мы отлично знаем. Что интересно, особенно этим славится именно компания Oracle. И теперь неудивительно почему – при таком-то отношении ее главного безопасника. Однако все-таки дело не в Oracle – и это самое важное. Их CSO просто выразила мнение всех вендоров, сказала то, что не принято говорить открыто. Это наглядная демонстрация реального отношения всех вендоров к безопасности. Что бы кто угодно из них ни говорил, – думают они именно это.

    И это страшно.

    Поражает и то, что CSO Oracle не знает, что большинство уязвимостей находятся вовсе не реверсингом. Oracle может смело менять слоган со старого – «Несокрушимый» – на современный: «Неприкасаемый».

    Перевод заметки Мэри Энн Дэвидсон «Нет, вообще-то нельзя»


    В последнее время я много пишу. Кое-что – совместно с сестрой, детективные истории под псевдонимом Мэдди Дэвидсон. Мы сейчас работаем над рассказами и генерируем много новых интересных идей насчет управления людьми (в буквальном смысле, хотя иногда, когда кто-то пытается въехать моей машине в зад, я задумываюсь об их прикладном применении).

    Писать детективы гораздо веселее, чем мое второе занятие. Я наблюдаю ощутимый прирост количества пользователей, реверсящих наш код в попытках найти в нем уязвимости. <глубоко вздыхает> Из-за этого мне приходится писать множество сообщений, которые начинаются с «Привет, как дела, рада слышать», а вот заканчиваются так: «Пожалуйста, не нарушайте лицензионное соглашение и прекратите уже обратную разработку нашего кода».

    Я могу понять, что в мире, где безымянные злоумышленники, возможно, работающие на враждебное государство, почти каждый день кого-нибудь взламывают и уводят кавырнадцать хреналионов данных, хочется приложить максимум усилий к защите своих систем. В то же время, казалось бы, перед этим дополнительным рывком стоит определить наиболее критичные системы, зашифровать конфиденциальные данные, установить все необходимые патчи, использовать поддерживаемую версию продукта, применить инструменты защиты конфигураций – короче, обеспечить безопасность на гигиеническом уровне, – а потом уже искать в продукте уязвимости нулевого дня. Собственно говоря, многие утечки данных можно было бы предотвратить этими вот унылыми мерами, вместо того чтобы с придыханием вещать о большой и страшной APT-атаке, которая на вас якобы нацелена. Собственная у вас IT-инфраструктура или облачная, общепринятые рекомендации по ее защите есть, и им стоит следовать.

    Пусть вы хотите разумной уверенности в том, что поставщик подходит к разработке с разумной осторожностью (а обеспечение надежности далеко не ограничивается запуском сканера), – вы как пользователь можете сделать многое. Например, прикиньте, взять и поговорить с поставщиком о его программе надежности, попросить у него сертификаты на продукты, отмеченные знаком “Good Housekeeping”, в смысле «Хороший код»: сертификат Common Criteria, FIPS-140 и т. д. Большинство разработчиков – по крайней мере, большинство крупных вендоров, которых я знаю, – уже обзавелись весьма сильными программами надежности (а знаю я это потому, что мы сравниваем друг с другом свои записи на конференциях). Это все замечательно, это нормальная проверка добросовестности поставщика, которая рядом не стоит с идеей: «а пойду-ка я сделаю за разработчика его работу и сам(а) поищу в его исходном коде проблемы», несмотря на то что:

    • Пользователь не сможет найти в коде проверку, предотвращающую атаку, о которой вопит его сканер (а вопль его, скорее всего, ложноположительный);
    • Пользователь не сможет написать патч для уязвимости – только поставщик;
    • Пользователь почти наверняка нарушает лицензионное соглашение, запуская инструмент статического анализа (который работает с исходным кодом).

    Сразу скажу, что, по-моему, иногда пользователь, реверсящий продукт, сам об этом не знает, потому что всю работу делает консультант: запускает инструмент обратной разработки кода, получает здоровенную распечатку результатов, огорошивает ею клиента, а тот отправляет данные нам. Отмечу, что мы не принимаем просто отчеты о сканировании за «доказательство, что где-то там что-то есть», в том числе потому, что как в статическом, так и в динамическом анализе отчет о сканировании не доказывает существования реальной уязвимости. Часто такой отчет – просто кучка дымящегося… FUD (именно к этой мысли я подвожу читателя: FUD, «страх, неуверенность и сомнение»). Поэтому мы и требуем от пользователей заводить запрос в техподдержку по поводу каждой предполагаемой проблемы (а не просто присылать нам отчет) и предоставлять PoC, подтверждающий возможность атаки (некоторые инструменты умеют их генерировать).

    Если в ходе анализа мы определяем, что такие результаты сканирования могли получиться только благодаря реверсингу (как минимум в одном случае в отчете было прямо указано: «статический анализ Oracle XXXXXX», очень удобно), мы отправляем одно письмо согрешившему клиенту, а другое – консультанту, согрешившему от лица клиента, где напоминаем им, что условия лицензионного соглашения с Oracle запрещают обратную разработку, поэтому ПРЕКРАТИТЕ УЖЕ, ПОЖАЛУЙСТА (на канцелярите, конечно; лицензионное соглашение Oracle содержит такой пункт: «Пользователь не имеет права производить обратную разработку, дизассемблировать, декомпилировать и иными способами пытаться получить исходный код Программ…», который мы и цитируем в послании пользователю). Да, и еще мы требуем от пользователей и консультантов уничтожить результаты обратной разработки и предоставить подтверждение.

    Почему я об этом заговорила? В первую очередь потому, что, когда я вижу всплеск какой-то активности, я стремлюсь ее опередить. Я не хочу больше пререкаться с людьми: «Вы нарушили лицензионное соглашение», – «Нет, не нарушали», – «Нарушали», – «Нет». Я лучше потрачу свое время и время своей команды, помогая разработчикам улучшить наш код, чем споря с людьми о содержании лицензионного соглашения.

    Повторюсь: все это меня не устраивает не только по юридическим причинам. Скорее я хочу сказать: «Мне не нужно, чтобы вы анализировали наш код, потому что мы делаем это сами, это наша работа, мы умеем ее выполнять, мы можем – в отличие от сторонних исследователей или инструментов – провести настоящий анализ и обнаружить, что именно происходит, к тому же у большинства этих инструментов едва ли не 100 % результатов ложноположительные, поэтому, пожалуйста, не тратьте время на поиск зеленых человечков в нашем коде». Я не отказываюсь от своих обязанностей перед пользователями, а просто пытаюсь избежать мучительной и раздражающей взаимной траты времени.
    Digital Security
    314.47
    Безопасность как искусство
    Share post

    Similar posts

    Comments 60

      +9
      Всё правильно, это не open source, это другой мир с другим мировоззрением. Искать по своей инициативе баги в проприетарном продукте, где тебе не только не предоставляют исходники, а и всеми способами пытаются запретить любое нетрадиционное использование продукта, и после этого ещё надеяться на благодарность от вендора как-то действительно глупо.
        +12
        С одной стороны — да. С другой — не понятна реакция вендора: лучше уж дыру, да каким угодно путём, найдёт тот, кто готов о ней сообщить, нежели тот, кто станет её эксплуатировать. Злоумышленники как-то реже обращают внимание на условия лицензионного соглашения.
          +12
          Тут всё-таки вопрос в другом ключе. Можно предоставить вендору описание сценария, выявляющего уязвимость. А можно результаты статического анализа кода с предположением: «Вот тут у вас небезопасный код». Первое — правильно, второе неправильно. Тем более что на практике далеко не для всех таких случаев есть возможность создания эксплойта.
            +2
            Если PoC означает proof-of-concept, то они и на первое клали свою лицензию.
            Интересно, что за странная тяга сокращать все подряд в аббревиатуры и рядом же приводить расшифровку этого сокращения
            +3
            В институте на парах экономики нам рассказывали, что цель любого бизнеса — зарабатывать бабло. Создание хорошего продукта — не цель, а одно из средств. Видно дяди или тёти из Oracle сделали статистический анализ и решили, что вот такие багрепорты портят им репутацию больше, нежели реальные использования уязвимостей. Может была другая логика, в любом случае — со своим уставом в чужой монастырь не лезут.
              +2
              А что с реакцией вендора? Я просто внимательно прочитал пост этой дамы, и так понял, что главная ее претензия — то, что присылают не описания подтвержденных уязвимостей, а просто отчеты анализаторов кода, которые в подавляющем большинстве случаев не указывают на реальную проблему. И что поток таких отчетов только отвлекает ее команду от нормальной работы. Она же сама говорит, «Поэтому мы и требуем от пользователей заводить запрос в техподдержку по поводу каждой предполагаемой проблемы (а не просто присылать нам отчет) и предоставлять PoC, подтверждающий возможность атаки (некоторые инструменты умеют их генерировать).», то есть на реальную уязвимость они нормально среагируют. А вот чтобы сократить количество ложных сообщений об уязвимости, они и аппелируют к лицензионному соглашению.
                0
                Ну вы прочитайте и то, на что я отвечал. madkite же таких оговорок не делал. ;)
                  0
                  А по-моему дама была более категорична, запрещая reverse engineering и поиск уязвимостей at all.
                    0
                    Меня тоже немного удивило. Когда я прочитал новость в другом месте, она действительно выглядела иначе, как будто Оракл запрещает искать дыры в своем продукте по условиям лицензионного соглашения. Однако если смотреть по оригинальному письму то оказывается что безопасникам не нравится когда им просто тупо присылают логи анализаторов. На мой взгляд ей про это и надо было писать и не вмешивать в свой пост лицензионное соглашение.
                  +5
                  Большинство багов находится при простом использовании продукта, вроде как.
                    +12
                    Независимые краш-тесты автомобилей или тестирование лекарств тоже глупо?
                    Производитель сделает все, чтобы заработать, и подобные тесты извне просто необходимы, чтобы сохранить качество.
                      +1
                      Не путайте мир проприетарного ПО и автомобили/лекарства. Вы видели хоть один автомобиль, который запрещено разбирать? Если бы такой был, я б такой не купил (независимо от нелегальных в таким случае тестов). ИМХО, если люди ведутся на такие лицензии как у Oracle — сами виноваты. Если хочешь сделать мир лучше, нет смысла тратить время на нелегальные попытки сделать лучше какую-то херню вразрез мнению её создателей. Может пусть лучше она вымрет и уступит дорогу продуктам с нормальными лицензиями и своё время на развитие таких продуктов.
                      P.S. Напомнило: artreal.pp.ru/theme/sea/auto.html :)
                        +3
                        Сейчас прошивки электроники в автомобилях вычитать-то не всегда можно, например. А она отвечает за безопасность в том числе.
                          0
                          Да, нездоровая тенденция…
                            +1
                            Стрёмно ездить, когда inbound connection к магнитоле и она может управлять зажиганием. А если тебе ещё лицензией запрещают это проверить… Лучше такое не покупать. Других способов повлиять на производителей в условиях рыночной конкуренции то и нет.
                              +1
                              На самом деле даже и такого способа повлиять нет. Потому что производитель может взять и установить цены ниже, чем у конкурентов (за счёт экономии на тестировании и безопасности, к примеру). И как людям не доказывай, что это опасно — раскупят, да ещё и добавки попросят. Потому как дёшево же!
                              Например, принтеры со стоимостью картриджа в 70% от цены самого принтера раскупаются на ура, и даже вытесняют с рынка более дорогие модели, которые не пользуются спросом. Что люди купят охотнее — принтер за $25 или за $250? Никакие объяснения не помогают. Двум десяткам объясните, а двести тысяч пойдут и купят…
                                0
                                К слову о принтерах и картриджах — а зачем мне дорогой принтер, если я почти 10 лет назад купил себе HP LJ 1020 чуть дороже тыщи рублей, который верой и правдой прослужил мне 8 лет, и за время жизни которого я картридж менял максимум раза два?

                                Думается мне, я не один такой.
                                  0
                                  Тут речь о струйниках, у которых комплект картриджей страниц так на 200 (стартовый так и вовсе на 50-100), а стоит как полтора принтера.
                                    0
                                    К тому же практически любой копеечный принтер можно заправлять неоригинальными расходниками, которые стоят вполне вменяемых денег.
                              +1
                              Думаю, если бы исходники прошивок блока управления двигателем или курсовой стабилизации были в открытом доступе, количество автомобилей, которым вы доверяете, сократилось бы до моделей прошлого века с механическим управлением.
                              0
                              Если переформулировать мой предыдущий ответ, то независимые креш-тесты автомобилей — это не глупо (тем более если никто не запрещает их разбирать и разбивать), но глупо потом обижаться, что производитель не делает автомобиль прочнее. Просто опубликуй результаты и люди не будут его покупать, нет смысла уговаривать производителя сделать продукт лучше, если он этого не хочет. Но сравнение с автомобилями/лекарствами тут не очень уместно, т.к. эти вещи регулируются часто законодательно — не всё допускается к продаже. Производство лекарств — лицензируемый вид деятельности, автомобили должны проходить сертификацию. Программки же писать и продавать можно почти без ограничений. Есть, конечно, потуги ограничить, но они не такие жёсткие.

                              P.S. Я, кстати, не представляю как лекарства можно легально независимо протестировать в развитой стране. Их (кроме парацетамола и аспирина) просто не купишь без рецепта, и ни на людях, ни на кошечках никто проверить не даст. Я, конечно, попробую сходить в аптеку и попросить продать мне лекарство потому, что я хочу его протестировать, но уверен, что меня пошлют куда подальше.
                              +2
                              С другой стороны с Oracle Coherence иначе работать не возможно)
                              +4
                              «Отстаньте уже от нас со своей безопасностью, мы сами разберемся», – вот что на самом деле думают вендоры.

                              С обобщениями как то полегче надо… Вот пара картинок для размышлений:
                              1. Кол-во уязвимостей, обнаруженных в СУБД Oracle и Microsoft SQL Server по состоянию на 16 июля 2009. Рассматривались Microsoft SQL Server 2000, 2005, 2008 и Oracle 8i, 9i, 9iR2, 10g, 10gR2, 11g. Источник — Национальный институт стандартов и технологий США
                              Картинка
                              image

                              2. Ну и чуть постарше картинку можно глянуть здесь.
                              Это не холивара ради, а только в плане снижения уровня категоричности высказываний.
                                +5
                                Каждый раз, когда прикладываете статистику уязвимостей, каждый раз прикладывайте и статистику использования.

                                В более популярном продукте всегда находят больше багов, и больше людей эти баги ищут.

                                Кроме того, oracle — это enterpirise решение, от качества которого иногда зависят даже человеческие жизни, поэтому нет ничего удивительного в том, что данный продукт используют в таких условиях, в которых MSSQL даже в кандидаты не рассматривался.
                                  –3
                                  www.insideris.com/wp-content/uploads/2012/07/sqlibmoracle.png

                                  Oracle давно уступил MSSQL на рынке в том числе Enterprise solutions.
                                    +7
                                    Откуда данные? IDC? У них вон в 2009-м Windows Server на 73.9% серверах был, а Linux только на 21.2%. И вообще Windows дешевле, чем Linux. Нашли авторитетный и независимый источник. :)
                                    0
                                    Ок, чуть выше ссылались что аналитика не очень, вот от 2011 года от Gartner:
                                    Картинка
                                    image

                                    Как видите разница не на порядки, а всего в 3 раза. Кстати, по уже на следующий год ситуация начала изменяться, Oracle потерял 4% рынка и их заняла MS.
                                    –1
                                    Ну вот разве не ясна их логика запрета искать баги, глядя на эти картинки? У m$ вон давно запрещён reverse engineering и, по статистике, багов у них куда меньше, чем в linux. Но, как говорил лорд Дизраэли, если три вида лжи…
                                      +2
                                      Скорее всего имелся ввиду махровый энтерпрайз: Oracle, SAP, IBM и т.д.
                                      А в Microsoft уже много лет очень серьёзно относятся к безопасности и даже платят за найденные уязвимости.
                                      0
                                      Недавно знакомый трассировал вызовы Oracle 11g к ядру linux. Очень интересные результаты получил по использованию linux async io при вставках записей в партиционированные таблицы
                                        0
                                        О чем речь? Причем тут именно секционированные таблицы? Там же ничего отличного от обычной таблицы/индекса — одни и те же сисколлы.
                                        Да и Frits Hoogland кажется там настолько все по косточкам разобрал и для всех разжевал, что непонятно, что там еще интересного есть? Вообще многие пользуются dtrace и systemtap, и Оракл этому никак не препятствует, более того, на оракловых конференциях это спокойно показывается и обсуждается.
                                          0
                                          Я не DBA и поэтому всех деталей не вспомню. Однозначно использовался systemtap под linux для трассировки. Как увижу его и если слайды есть в открытом доступе, скину ссылку.
                                            +1
                                            Если бы были исходники, то жизнь была бы гораздо проще при анализе проблем с производительностью так и по исправлению ошибок, которые знают но не известно когда исправят
                                          +3
                                          Резюмируя: «Будьте хорошими мальчиками, не делайте шалостей!». Ага, конечно. Я ошибаюсь или на сегодняшний день хакеров на гос. службе различных государств больше чем энтузиастов-одиночек? И что они теперь бросят свою работу по взлому продуктов вендоров и пойдут на завод? Нет, государство само выделело эти рабочие места. Так что, имеем — что имеем. Ей бы сказать «спасибо», таким компаниям как DS, за то что помагают оставаться «вендором».
                                            –2
                                            Я сомневаюсь что хакеры на гос.службе будут писать баг репорты в Oracle. По моему они используют найденные уязвимости по прямому назначению.
                                              0
                                              Я ничего другого и не имел ввиду. Гос. хакеры и терористы ломают продукты, и они от этого не откажутся никогда — они представляют реальную угрозу для вендора. Исследовательские же компании — напротив, сдерживают эту угрозу.
                                              Тётенька же, видит все иначе
                                              image
                                                –2
                                                Это типо модно сейчас, когда тебя начинают тыкать в свое же гавно сваливать все на враждебные государства?

                                                Во многих государствах Oracle используется в качестве основной СУБД для внутренних и внешних сервисов, так что как раз многие правительства этих самых «враждебных» государств наоборот заинтересованы в повышении качества oracle.
                                                  0
                                                  Государства — структуры сложные и неоднородные. То, что нужно и выгодно структурам-пользователям продуктов, не нужно и не выгодно госхакерам.
                                            +11
                                            Другими словами, если нашли уязвимость в нашем продукте, не рассчитывайте на благодарность, мы не любим когда нам тыкают в наши ошибки. Вывод — лучше продайте ее тем, кто готов за нее заплатить. Печаль.

                                            Хотя по поводу возможных уязвимостей, найденных каким-либо автоматическим инструментом анализа, я ее понимаю. Наверное достают тысячи писем о том, что мы проанализировали ваш продукт инструментом Х и он сообщил, что вероятно в вашем продукте есть баги. Хотя бы потому, что не возможно угодить всем таким проверкам.
                                              0
                                              Ну почему же, они благодарят и указывают в Credits'ах в описаниях Critical patch update, жаль только, что не платят, но я был рад и указанию своего имени в Credits'aх в CPU по Oracle RDBMS :)
                                              +8
                                              Надеюсь, что рано или поздно Оракл порастеряет всех своих клиентов, даже самых лояльных. Закрыли ZFS (хотя кормили обещаниями), попытались закрыть OpenOffice (поматросили и бросили), теперь вот покусились на «право читать».

                                              I want to thank Oracle for their recent efforts to boost PostgreSQL adoption. Keep up the good work, guys! (из твиттера)
                                                0
                                                А можно ссылочку на «закрыли ZFS»?
                                                  0
                                                  Отвечу сам себе — имелось ввиду «закрыли код проекта», а не сам проект. Ну, надеюсь openzfs не загнется (хотя сайт у них лежит).
                                                    0
                                                    Да, имелся ввиду код, конечно: закрыть (в смысле уничтожить) ZFS как продукт и технологию им, к счастью, уже не удастся, спасибо Sun (хотя и, надо думать, очень хочется).

                                                    Апстримом ZFS пока все еще является illumos, хотя в будущем разработка и координация downstreams должны перейти под крыло OpenZFS (некоторые подробности можно найти в презентации Эндрю Росса с прошлогодней BSDCan).
                                                +13
                                                Не знаю, где комментаторы нашли заносчивое отношение. Я прочитал оригинал и между строк услышал стон нормальной тётки, которой каждый новый клиент со статическим анализатором зафигачивает мегабайты «warning»-ов. При этом тётка не огрызается, а ещё пытается отшучиваться.

                                                Блин, она ж практически прямым текстом пишет — мы весь свой код прогоняли через эти же инструменты, у нас это уже есть, ну не сабмитьте в стопицотый раз! А если вы требуете вотпрямщаз бросить всё и вам написать обстоятельный ответ на output вашего анализатора и объяснений человеческим языком не понимаете, что отвлекаете разрабов от написания патчей — мы вас спихнём юр.отделу.

                                                  +6
                                                  Интересно получается. Мы продаем вам далеко не дешевый продукт, ЗНАЯ, что в нем ЕСТЬ баги, но мы их исправим когда-нибуть потом, а вам знать о том что в нем есть баги — нельзя. Иначе — в тюрьму.
                                                    +10
                                                    Вы правда считаете, что КАЖДЫЙ warning, который выдаёт статический анализатор — баг?

                                                    Тётка же чёрным по белому пишет — ну не вываливайте на нас это всё скопом, ну пожалуйста, почитайте что оно там вам пишет, голову включите, если правда что-то стрёмное — заведите тикет. У тётки-то, небось, все доступные анализаторы куплены и установлены уже давно.

                                                    Я так думаю, что их заваливают писаниной как раз клиенты, которые в первый раз в жизни запустили анализатор, почувствовали, что открыли Америку и начали сразу писать паническое письмо КАПСОМ!!! ААА!!! МЫВСИУМРЁМ! Ваш продукт за миллионбаксоврешето!!!

                                                    Видимо, терпеливо объяснять сил уже не осталось, на особо беспокойных пациентов уже спускают юристов, чтобы охолонули.
                                                      +9
                                                      В любом продукте есть баги. Просто по определению. Вопрос того, насколько эти баги критичны.

                                                      Имхо, Мэри Энн как раз об этом и говорит, лишний раз напоминая о том, что для них важны PoC, а не просто вывод анализатора.
                                                        0
                                                        С одной стороны, как юзер, я понимаю вашу точку зрения. С другой, как разработчик, считаю так: вы же сам — тоже не слепой. Вы читаете статьи в инете и можете легко узнать, что в продукте есть баги, т.к. их описывают многие. Если вас не устраивает их наличие или уровень их серьёзности, то просто не покупайте продукт.
                                                        Насчёт того, как они сильно отбиваются от репортеров с действительно серьёзными находками, — тут я и сам удивляюсь.
                                                          +4
                                                          Не отбиваются. Она в блоге (той части, что переводчик решил опустить) прямо говорит: если действительно найдете дыру — мы ее пофиксим. Пусть нам не понравится, как именно вы ее нашли (в смысле, мы не в восторге, что люди реверсят наш продукт, нарушая лицензию), но дыру мы закроем.
                                                            +2
                                                            Ну хоть за это спасибо. Но вообще фраза At the risk of being repetitive, no, it doesn’t, just like you can’t break into a house because someone left a window or door unlocked — что это, как не желание «заткнуть рот»?

                                                            Тут уже говорилось про краш-тесты, но это не совсем корректная аналогия. Более-корректная — это испытания дверей, замков и прочих вещей. Так вот там, если кто-то «пролезет в дом потому что дверь или окно были не заперты», а сигнализация это не просекла — это вполне нормальный подход.

                                                            Конечно если кто-то начнёт проделывать то же самое «в реале» и залазить в дома к реальным людям — тут будет другой разговор. И даже если вы ничего не украдёте, то ваши рассказы про то, что вы «просто проверяли устойчивость замка к отмычкам» вряд ли обрадуют суд. Но если вы будете испытвать двери и окна по просьбе застройщика или живущего там — то тут, наоборот, скорее всего суд отнесётся к идеям производителя о том, что «железный лом к нашему окну применять нельзя по соглашению пользователя» с некоторым непониманием. Я понимаю ещё если бы эта дама выступала против людей, которые всякие сайты банков «испытывают на прочность» и потом в открытом доступе публикуют результаты — но тот-то речь не об этом!
                                                      +2
                                                      Прошу прощения за оффтопик, но у меня число вопросов о реверс-инжиниринге перевалило за критическую отметку.
                                                      Насколько я знаю, в России реверс-инжинирининг по умолчанию законен. Как и в США, как и в Европе. Что мне представляется вполне логичным: если у меня есть вещь (законно приобретенная), я могу разобрать ее и посмотреть, как она устроена внутри. Я не могу, однако, подделать эту вещь, потому что это уже нарушение патентов, авторских прав и вообще. Но посмотреть мне никто, по идее, не может запретить.
                                                      В то же время, (согласно Википедии) в США есть такая норма, что если в EULA указано, что реверс-инжиниринг данного продукта запрещен, то это требование имеет больший приоритет, чем соответствующий закон, который, опять же, по умолчанию разрешает реверс-инжиниринг. Это входит вразрез с моими (возможно, наивными и «кухонными») представлениями о порядке вещей, описанными выше.
                                                      Не мог бы кто-нибудь объяснить, почему такие требования о запрете реверс-инжиниринга вообще могут быть законными? Может, моя аналогия некорректна? Был бы рад, если бы меня ткнули носом в какой-нибудь источник.
                                                        +1
                                                        Могу ошибаться, но это из-за того, что в США действует прецедентное право. Видимо кто-то где-то принял решение, что если в EULA написано что низя, а ответчик это разобрал, то асисяй. Все, теперь все ссылаясь на этот прецедент в суде и получают то-же самое решение.
                                                          0
                                                          Причём тут прецедентное право? В России вроде как никакого прецедентного права нет, а принцип-то тот же самый: Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора делать то, сё, и так и этак если иное не предусмотрено договором с правообладателем. Разница только в том, что в США эта норма действует на основании прецедентного права, а в России — потому что она явно внесена в текст закона, но конечный результат-то одинаков.
                                                          +1
                                                          Не мог бы кто-нибудь объяснить, почему такие требования о запрете реверс-инжиниринга вообще могут быть законными?
                                                          Вы про США или про Россию? В США всё определяется прецедентами, потому всё сложно, в России же проще — требования на ограничения реверс-инжиниринга законны просто потому что так говорит закон.

                                                          Заметьте, что там есть два отдельных раздела. Первый говорит о том, что вы можете делать с вашей копией много разных вещей, но в нём же самом говорится о том, что все эти плюшки вы имеете только тогда, когда иное не предусмотрено договором с правообладателем. Второй же говорит о том, что если вам нужно заставить работать ваш честно купленный MS Office под Linux'ом, то тут уже договор с правообладателем роли не играет, реверс-инжиниринг можно делать и тогда, когда он явно запрещён — но только когда нет другого выхода (информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников, указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию и т.п.). Заметим, кстати, что сюда легко и просто попадает взлом фактически любых схем защит DRM, а вот поиск уязвимостей, описанных в статье — не попадает.
                                                          +8
                                                          Поражает и то, что CSO Oracle не знает, что большинство уязвимостей находятся вовсе не реверсингом.


                                                          Откуда вы сделали такой вывод? Она, по-моему, как раз и пишет, что большинство уязвимостей находяд совсем не так, зато количество ложноположительного флуда от любителей поискать баги реверс-инжинирингом — зашкаливает.
                                                            +2
                                                            Как правило, народ начинает заниматься реверс-инжинирнгом когда они сталкиваются с проблемой, которая никак не решается нормальными способами, и Oracle не способен помочь… как-то мне кажется странным, что куче народа просто нефиг делать и они реверс инжинирингом по-приколу занимаются…
                                                            0
                                                            0-day уязвимости продаются. Почему бы софтверным гигантам не покупать их ради фиксов? Хрен с ним, с реверсингом от пользователей, но вот вполне реальные хакеры находят вполне реальные уязвимости, и продают их. Служба безопасности крупной компании должна работать проактивно, а не реактивно, да ещё с задержками в год и более.

                                                            Но, в силу безграмотности клиентов, большинству как обычно…
                                                              +3
                                                              Продаются реально работающие эксплойты. Proof of concept продать сложно, а результаты статистического анализа так вообще. Можно только их показать, попытаться доказать, что это можно юзать, и надеется, что покупатель заплатит. Но покупатель всегда может сказать, что «это не баг» (что Oracle и делают), юзать это нельзя и ничего не платить. Даже реально работающий эксплойт стрёмно вендору показать — этого уже может хватить понять где искать дырку и как её залатать. Зачем ещё деньги платить? А вот с другими участниками «рынка» можно реально торговаться.
                                                              0
                                                              соглашусь с авторшей, что большая часть проблем идет от отсутствия\слабости унылых мер, а не от потенциальных уязвимостей в коде СУБД.
                                                              а претензия к ней высосана из пальца.

                                                              Only users with full accounts can post comments. Log in, please.