Как стать автором
Обновить

Комментарии 60

Всё правильно, это не open source, это другой мир с другим мировоззрением. Искать по своей инициативе баги в проприетарном продукте, где тебе не только не предоставляют исходники, а и всеми способами пытаются запретить любое нетрадиционное использование продукта, и после этого ещё надеяться на благодарность от вендора как-то действительно глупо.
С одной стороны — да. С другой — не понятна реакция вендора: лучше уж дыру, да каким угодно путём, найдёт тот, кто готов о ней сообщить, нежели тот, кто станет её эксплуатировать. Злоумышленники как-то реже обращают внимание на условия лицензионного соглашения.
Тут всё-таки вопрос в другом ключе. Можно предоставить вендору описание сценария, выявляющего уязвимость. А можно результаты статического анализа кода с предположением: «Вот тут у вас небезопасный код». Первое — правильно, второе неправильно. Тем более что на практике далеко не для всех таких случаев есть возможность создания эксплойта.
Если PoC означает proof-of-concept, то они и на первое клали свою лицензию.
Интересно, что за странная тяга сокращать все подряд в аббревиатуры и рядом же приводить расшифровку этого сокращения
В институте на парах экономики нам рассказывали, что цель любого бизнеса — зарабатывать бабло. Создание хорошего продукта — не цель, а одно из средств. Видно дяди или тёти из Oracle сделали статистический анализ и решили, что вот такие багрепорты портят им репутацию больше, нежели реальные использования уязвимостей. Может была другая логика, в любом случае — со своим уставом в чужой монастырь не лезут.
А что с реакцией вендора? Я просто внимательно прочитал пост этой дамы, и так понял, что главная ее претензия — то, что присылают не описания подтвержденных уязвимостей, а просто отчеты анализаторов кода, которые в подавляющем большинстве случаев не указывают на реальную проблему. И что поток таких отчетов только отвлекает ее команду от нормальной работы. Она же сама говорит, «Поэтому мы и требуем от пользователей заводить запрос в техподдержку по поводу каждой предполагаемой проблемы (а не просто присылать нам отчет) и предоставлять PoC, подтверждающий возможность атаки (некоторые инструменты умеют их генерировать).», то есть на реальную уязвимость они нормально среагируют. А вот чтобы сократить количество ложных сообщений об уязвимости, они и аппелируют к лицензионному соглашению.
Ну вы прочитайте и то, на что я отвечал. madkite же таких оговорок не делал. ;)
А по-моему дама была более категорична, запрещая reverse engineering и поиск уязвимостей at all.
Меня тоже немного удивило. Когда я прочитал новость в другом месте, она действительно выглядела иначе, как будто Оракл запрещает искать дыры в своем продукте по условиям лицензионного соглашения. Однако если смотреть по оригинальному письму то оказывается что безопасникам не нравится когда им просто тупо присылают логи анализаторов. На мой взгляд ей про это и надо было писать и не вмешивать в свой пост лицензионное соглашение.
Большинство багов находится при простом использовании продукта, вроде как.
Независимые краш-тесты автомобилей или тестирование лекарств тоже глупо?
Производитель сделает все, чтобы заработать, и подобные тесты извне просто необходимы, чтобы сохранить качество.
Не путайте мир проприетарного ПО и автомобили/лекарства. Вы видели хоть один автомобиль, который запрещено разбирать? Если бы такой был, я б такой не купил (независимо от нелегальных в таким случае тестов). ИМХО, если люди ведутся на такие лицензии как у Oracle — сами виноваты. Если хочешь сделать мир лучше, нет смысла тратить время на нелегальные попытки сделать лучше какую-то херню вразрез мнению её создателей. Может пусть лучше она вымрет и уступит дорогу продуктам с нормальными лицензиями и своё время на развитие таких продуктов.
P.S. Напомнило: artreal.pp.ru/theme/sea/auto.html :)
Сейчас прошивки электроники в автомобилях вычитать-то не всегда можно, например. А она отвечает за безопасность в том числе.
Да, нездоровая тенденция…
Стрёмно ездить, когда inbound connection к магнитоле и она может управлять зажиганием. А если тебе ещё лицензией запрещают это проверить… Лучше такое не покупать. Других способов повлиять на производителей в условиях рыночной конкуренции то и нет.
На самом деле даже и такого способа повлиять нет. Потому что производитель может взять и установить цены ниже, чем у конкурентов (за счёт экономии на тестировании и безопасности, к примеру). И как людям не доказывай, что это опасно — раскупят, да ещё и добавки попросят. Потому как дёшево же!
Например, принтеры со стоимостью картриджа в 70% от цены самого принтера раскупаются на ура, и даже вытесняют с рынка более дорогие модели, которые не пользуются спросом. Что люди купят охотнее — принтер за $25 или за $250? Никакие объяснения не помогают. Двум десяткам объясните, а двести тысяч пойдут и купят…
НЛО прилетело и опубликовало эту надпись здесь
Тут речь о струйниках, у которых комплект картриджей страниц так на 200 (стартовый так и вовсе на 50-100), а стоит как полтора принтера.
К тому же практически любой копеечный принтер можно заправлять неоригинальными расходниками, которые стоят вполне вменяемых денег.
Думаю, если бы исходники прошивок блока управления двигателем или курсовой стабилизации были в открытом доступе, количество автомобилей, которым вы доверяете, сократилось бы до моделей прошлого века с механическим управлением.
Если переформулировать мой предыдущий ответ, то независимые креш-тесты автомобилей — это не глупо (тем более если никто не запрещает их разбирать и разбивать), но глупо потом обижаться, что производитель не делает автомобиль прочнее. Просто опубликуй результаты и люди не будут его покупать, нет смысла уговаривать производителя сделать продукт лучше, если он этого не хочет. Но сравнение с автомобилями/лекарствами тут не очень уместно, т.к. эти вещи регулируются часто законодательно — не всё допускается к продаже. Производство лекарств — лицензируемый вид деятельности, автомобили должны проходить сертификацию. Программки же писать и продавать можно почти без ограничений. Есть, конечно, потуги ограничить, но они не такие жёсткие.

P.S. Я, кстати, не представляю как лекарства можно легально независимо протестировать в развитой стране. Их (кроме парацетамола и аспирина) просто не купишь без рецепта, и ни на людях, ни на кошечках никто проверить не даст. Я, конечно, попробую сходить в аптеку и попросить продать мне лекарство потому, что я хочу его протестировать, но уверен, что меня пошлют куда подальше.
С другой стороны с Oracle Coherence иначе работать не возможно)
«Отстаньте уже от нас со своей безопасностью, мы сами разберемся», – вот что на самом деле думают вендоры.

С обобщениями как то полегче надо… Вот пара картинок для размышлений:
1. Кол-во уязвимостей, обнаруженных в СУБД Oracle и Microsoft SQL Server по состоянию на 16 июля 2009. Рассматривались Microsoft SQL Server 2000, 2005, 2008 и Oracle 8i, 9i, 9iR2, 10g, 10gR2, 11g. Источник — Национальный институт стандартов и технологий США
Картинка
image

2. Ну и чуть постарше картинку можно глянуть здесь.
Это не холивара ради, а только в плане снижения уровня категоричности высказываний.
Каждый раз, когда прикладываете статистику уязвимостей, каждый раз прикладывайте и статистику использования.

В более популярном продукте всегда находят больше багов, и больше людей эти баги ищут.

Кроме того, oracle — это enterpirise решение, от качества которого иногда зависят даже человеческие жизни, поэтому нет ничего удивительного в том, что данный продукт используют в таких условиях, в которых MSSQL даже в кандидаты не рассматривался.
www.insideris.com/wp-content/uploads/2012/07/sqlibmoracle.png

Oracle давно уступил MSSQL на рынке в том числе Enterprise solutions.
Откуда данные? IDC? У них вон в 2009-м Windows Server на 73.9% серверах был, а Linux только на 21.2%. И вообще Windows дешевле, чем Linux. Нашли авторитетный и независимый источник. :)
Ок, чуть выше ссылались что аналитика не очень, вот от 2011 года от Gartner:
Картинка
image

Как видите разница не на порядки, а всего в 3 раза. Кстати, по уже на следующий год ситуация начала изменяться, Oracle потерял 4% рынка и их заняла MS.
Ну вот разве не ясна их логика запрета искать баги, глядя на эти картинки? У m$ вон давно запрещён reverse engineering и, по статистике, багов у них куда меньше, чем в linux. Но, как говорил лорд Дизраэли, если три вида лжи…
Скорее всего имелся ввиду махровый энтерпрайз: Oracle, SAP, IBM и т.д.
А в Microsoft уже много лет очень серьёзно относятся к безопасности и даже платят за найденные уязвимости.
Недавно знакомый трассировал вызовы Oracle 11g к ядру linux. Очень интересные результаты получил по использованию linux async io при вставках записей в партиционированные таблицы
О чем речь? Причем тут именно секционированные таблицы? Там же ничего отличного от обычной таблицы/индекса — одни и те же сисколлы.
Да и Frits Hoogland кажется там настолько все по косточкам разобрал и для всех разжевал, что непонятно, что там еще интересного есть? Вообще многие пользуются dtrace и systemtap, и Оракл этому никак не препятствует, более того, на оракловых конференциях это спокойно показывается и обсуждается.
Я не DBA и поэтому всех деталей не вспомню. Однозначно использовался systemtap под linux для трассировки. Как увижу его и если слайды есть в открытом доступе, скину ссылку.
Если бы были исходники, то жизнь была бы гораздо проще при анализе проблем с производительностью так и по исправлению ошибок, которые знают но не известно когда исправят
Резюмируя: «Будьте хорошими мальчиками, не делайте шалостей!». Ага, конечно. Я ошибаюсь или на сегодняшний день хакеров на гос. службе различных государств больше чем энтузиастов-одиночек? И что они теперь бросят свою работу по взлому продуктов вендоров и пойдут на завод? Нет, государство само выделело эти рабочие места. Так что, имеем — что имеем. Ей бы сказать «спасибо», таким компаниям как DS, за то что помагают оставаться «вендором».
Я сомневаюсь что хакеры на гос.службе будут писать баг репорты в Oracle. По моему они используют найденные уязвимости по прямому назначению.
Я ничего другого и не имел ввиду. Гос. хакеры и терористы ломают продукты, и они от этого не откажутся никогда — они представляют реальную угрозу для вендора. Исследовательские же компании — напротив, сдерживают эту угрозу.
Тётенька же, видит все иначе
image
Это типо модно сейчас, когда тебя начинают тыкать в свое же гавно сваливать все на враждебные государства?

Во многих государствах Oracle используется в качестве основной СУБД для внутренних и внешних сервисов, так что как раз многие правительства этих самых «враждебных» государств наоборот заинтересованы в повышении качества oracle.
Государства — структуры сложные и неоднородные. То, что нужно и выгодно структурам-пользователям продуктов, не нужно и не выгодно госхакерам.
Другими словами, если нашли уязвимость в нашем продукте, не рассчитывайте на благодарность, мы не любим когда нам тыкают в наши ошибки. Вывод — лучше продайте ее тем, кто готов за нее заплатить. Печаль.

Хотя по поводу возможных уязвимостей, найденных каким-либо автоматическим инструментом анализа, я ее понимаю. Наверное достают тысячи писем о том, что мы проанализировали ваш продукт инструментом Х и он сообщил, что вероятно в вашем продукте есть баги. Хотя бы потому, что не возможно угодить всем таким проверкам.
Ну почему же, они благодарят и указывают в Credits'ах в описаниях Critical patch update, жаль только, что не платят, но я был рад и указанию своего имени в Credits'aх в CPU по Oracle RDBMS :)
Надеюсь, что рано или поздно Оракл порастеряет всех своих клиентов, даже самых лояльных. Закрыли ZFS (хотя кормили обещаниями), попытались закрыть OpenOffice (поматросили и бросили), теперь вот покусились на «право читать».

I want to thank Oracle for their recent efforts to boost PostgreSQL adoption. Keep up the good work, guys! (из твиттера)
А можно ссылочку на «закрыли ZFS»?
Отвечу сам себе — имелось ввиду «закрыли код проекта», а не сам проект. Ну, надеюсь openzfs не загнется (хотя сайт у них лежит).
Да, имелся ввиду код, конечно: закрыть (в смысле уничтожить) ZFS как продукт и технологию им, к счастью, уже не удастся, спасибо Sun (хотя и, надо думать, очень хочется).

Апстримом ZFS пока все еще является illumos, хотя в будущем разработка и координация downstreams должны перейти под крыло OpenZFS (некоторые подробности можно найти в презентации Эндрю Росса с прошлогодней BSDCan).
Не знаю, где комментаторы нашли заносчивое отношение. Я прочитал оригинал и между строк услышал стон нормальной тётки, которой каждый новый клиент со статическим анализатором зафигачивает мегабайты «warning»-ов. При этом тётка не огрызается, а ещё пытается отшучиваться.

Блин, она ж практически прямым текстом пишет — мы весь свой код прогоняли через эти же инструменты, у нас это уже есть, ну не сабмитьте в стопицотый раз! А если вы требуете вотпрямщаз бросить всё и вам написать обстоятельный ответ на output вашего анализатора и объяснений человеческим языком не понимаете, что отвлекаете разрабов от написания патчей — мы вас спихнём юр.отделу.

Интересно получается. Мы продаем вам далеко не дешевый продукт, ЗНАЯ, что в нем ЕСТЬ баги, но мы их исправим когда-нибуть потом, а вам знать о том что в нем есть баги — нельзя. Иначе — в тюрьму.
Вы правда считаете, что КАЖДЫЙ warning, который выдаёт статический анализатор — баг?

Тётка же чёрным по белому пишет — ну не вываливайте на нас это всё скопом, ну пожалуйста, почитайте что оно там вам пишет, голову включите, если правда что-то стрёмное — заведите тикет. У тётки-то, небось, все доступные анализаторы куплены и установлены уже давно.

Я так думаю, что их заваливают писаниной как раз клиенты, которые в первый раз в жизни запустили анализатор, почувствовали, что открыли Америку и начали сразу писать паническое письмо КАПСОМ!!! ААА!!! МЫВСИУМРЁМ! Ваш продукт за миллионбаксоврешето!!!

Видимо, терпеливо объяснять сил уже не осталось, на особо беспокойных пациентов уже спускают юристов, чтобы охолонули.
В любом продукте есть баги. Просто по определению. Вопрос того, насколько эти баги критичны.

Имхо, Мэри Энн как раз об этом и говорит, лишний раз напоминая о том, что для них важны PoC, а не просто вывод анализатора.
С одной стороны, как юзер, я понимаю вашу точку зрения. С другой, как разработчик, считаю так: вы же сам — тоже не слепой. Вы читаете статьи в инете и можете легко узнать, что в продукте есть баги, т.к. их описывают многие. Если вас не устраивает их наличие или уровень их серьёзности, то просто не покупайте продукт.
Насчёт того, как они сильно отбиваются от репортеров с действительно серьёзными находками, — тут я и сам удивляюсь.
Не отбиваются. Она в блоге (той части, что переводчик решил опустить) прямо говорит: если действительно найдете дыру — мы ее пофиксим. Пусть нам не понравится, как именно вы ее нашли (в смысле, мы не в восторге, что люди реверсят наш продукт, нарушая лицензию), но дыру мы закроем.
Ну хоть за это спасибо. Но вообще фраза At the risk of being repetitive, no, it doesn’t, just like you can’t break into a house because someone left a window or door unlocked — что это, как не желание «заткнуть рот»?

Тут уже говорилось про краш-тесты, но это не совсем корректная аналогия. Более-корректная — это испытания дверей, замков и прочих вещей. Так вот там, если кто-то «пролезет в дом потому что дверь или окно были не заперты», а сигнализация это не просекла — это вполне нормальный подход.

Конечно если кто-то начнёт проделывать то же самое «в реале» и залазить в дома к реальным людям — тут будет другой разговор. И даже если вы ничего не украдёте, то ваши рассказы про то, что вы «просто проверяли устойчивость замка к отмычкам» вряд ли обрадуют суд. Но если вы будете испытвать двери и окна по просьбе застройщика или живущего там — то тут, наоборот, скорее всего суд отнесётся к идеям производителя о том, что «железный лом к нашему окну применять нельзя по соглашению пользователя» с некоторым непониманием. Я понимаю ещё если бы эта дама выступала против людей, которые всякие сайты банков «испытывают на прочность» и потом в открытом доступе публикуют результаты — но тот-то речь не об этом!
Прошу прощения за оффтопик, но у меня число вопросов о реверс-инжиниринге перевалило за критическую отметку.
Насколько я знаю, в России реверс-инжинирининг по умолчанию законен. Как и в США, как и в Европе. Что мне представляется вполне логичным: если у меня есть вещь (законно приобретенная), я могу разобрать ее и посмотреть, как она устроена внутри. Я не могу, однако, подделать эту вещь, потому что это уже нарушение патентов, авторских прав и вообще. Но посмотреть мне никто, по идее, не может запретить.
В то же время, (согласно Википедии) в США есть такая норма, что если в EULA указано, что реверс-инжиниринг данного продукта запрещен, то это требование имеет больший приоритет, чем соответствующий закон, который, опять же, по умолчанию разрешает реверс-инжиниринг. Это входит вразрез с моими (возможно, наивными и «кухонными») представлениями о порядке вещей, описанными выше.
Не мог бы кто-нибудь объяснить, почему такие требования о запрете реверс-инжиниринга вообще могут быть законными? Может, моя аналогия некорректна? Был бы рад, если бы меня ткнули носом в какой-нибудь источник.
Могу ошибаться, но это из-за того, что в США действует прецедентное право. Видимо кто-то где-то принял решение, что если в EULA написано что низя, а ответчик это разобрал, то асисяй. Все, теперь все ссылаясь на этот прецедент в суде и получают то-же самое решение.
Причём тут прецедентное право? В России вроде как никакого прецедентного права нет, а принцип-то тот же самый: Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора делать то, сё, и так и этак если иное не предусмотрено договором с правообладателем. Разница только в том, что в США эта норма действует на основании прецедентного права, а в России — потому что она явно внесена в текст закона, но конечный результат-то одинаков.
Не мог бы кто-нибудь объяснить, почему такие требования о запрете реверс-инжиниринга вообще могут быть законными?
Вы про США или про Россию? В США всё определяется прецедентами, потому всё сложно, в России же проще — требования на ограничения реверс-инжиниринга законны просто потому что так говорит закон.

Заметьте, что там есть два отдельных раздела. Первый говорит о том, что вы можете делать с вашей копией много разных вещей, но в нём же самом говорится о том, что все эти плюшки вы имеете только тогда, когда иное не предусмотрено договором с правообладателем. Второй же говорит о том, что если вам нужно заставить работать ваш честно купленный MS Office под Linux'ом, то тут уже договор с правообладателем роли не играет, реверс-инжиниринг можно делать и тогда, когда он явно запрещён — но только когда нет другого выхода (информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников, указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию и т.п.). Заметим, кстати, что сюда легко и просто попадает взлом фактически любых схем защит DRM, а вот поиск уязвимостей, описанных в статье — не попадает.
Поражает и то, что CSO Oracle не знает, что большинство уязвимостей находятся вовсе не реверсингом.


Откуда вы сделали такой вывод? Она, по-моему, как раз и пишет, что большинство уязвимостей находяд совсем не так, зато количество ложноположительного флуда от любителей поискать баги реверс-инжинирингом — зашкаливает.
Как правило, народ начинает заниматься реверс-инжинирнгом когда они сталкиваются с проблемой, которая никак не решается нормальными способами, и Oracle не способен помочь… как-то мне кажется странным, что куче народа просто нефиг делать и они реверс инжинирингом по-приколу занимаются…
0-day уязвимости продаются. Почему бы софтверным гигантам не покупать их ради фиксов? Хрен с ним, с реверсингом от пользователей, но вот вполне реальные хакеры находят вполне реальные уязвимости, и продают их. Служба безопасности крупной компании должна работать проактивно, а не реактивно, да ещё с задержками в год и более.

Но, в силу безграмотности клиентов, большинству как обычно…
Продаются реально работающие эксплойты. Proof of concept продать сложно, а результаты статистического анализа так вообще. Можно только их показать, попытаться доказать, что это можно юзать, и надеется, что покупатель заплатит. Но покупатель всегда может сказать, что «это не баг» (что Oracle и делают), юзать это нельзя и ничего не платить. Даже реально работающий эксплойт стрёмно вендору показать — этого уже может хватить понять где искать дырку и как её залатать. Зачем ещё деньги платить? А вот с другими участниками «рынка» можно реально торговаться.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий