SQL-инъекции и другие продвинутые угрозы набирают обороты, а исследователи жалуются, что усилия, которые Oracle тратит на другие приложения, отвлекают компанию от укрепления безопасности баз данных.

Слова Oracle о безопасности баз данных не подкреплены делом? Некоторые исследователи из сообщества, связанного с базами данных, считают именно так. Они жалуются, что с тех пор, как гигант еще больше разросся, начав приобретать другие компании (можно вспомнить колоссальную сделку с Sun), он перестал тратить то количество ресурсов, которое необходимо для безопасной разработки баз данных и для своевременного решения проблем с уязвимостями, которые обнаруживаю исследователи.

«Я бы сказал, что простые исправления создаются довольно быстро, от трех до шести месяцев, в отличие от чего-то более сложного, что требует внесения изменений в архитектуру и влияет на клиентов в том смысле, что им приходится вносить некоторые изменения в их продукты, в их ПО, которое использует базы данных», — сказал Алекс Ротакер, руководитель исследовательского подразделения Application Security Inc., TeamSHATTER. «Мы выявили уязвимость, которая позволяет нам посредством брутфорса получить пароли любого пользователя. Мы доложили о ней еще 2 года назад, но никаких мер Oracle так и не предпринял».

Это жалобы, которые поступают от многих исследователей, которые говорят, что хотя Oracle и утверждают в прессе, что хочет сотрудничать с исследовательским сообществом в деле решения проблем баз данных, реальных действий компания не предпринимает. Oracle ничего не сказал в свою защиту по этому пункту и не ответил на вопросы.

Но цифры показывают, что за последние несколько лет количество ежеквартальных критических обновлений продуктов Oracle, связанных с базами данных, значительно сократилось.

Хотя некоторые могут прийти к выводу, что меньшее количество обновлений – это показатель повысившейся защищенности продуктов компании, исследователи говорят, что все дело в увеличившемся окне между обнаружением уязвимости и выпуском патча.

«Они отвечают моментально и говорят: «Огромное спасибо за информацию» и т.д., но на деле может пройти год, прежде чем они выпустят патч», — отметил Славик Маркович, вице-президент и технический директор MacAfee. «У меня такое чувство, что они недостаточно вкладывают, или у них недостаточно людей, чтобы вовремя выпустить патч». Между тем новые продукты, некоторые из которых связаны с безопасностью, выпускаются с теми же уязвимостями, о которых исследователи твердят годами.

«Что еще хуже, уязвимости, которые мы находим, и от которых они избавляются, по-прежнему встречаются в свежем ПО, включая ПО для обеспечения безопасности (например, Database Vault и Enterprise Vault)», — сказал Джош Шоул, технический директор AppSec. «Сложно поверить, что они относятся к проблеме серьезно, видя как они продолжают выпускать уязвимое ПО и закрывать глаза на уязвимости о которых мы предупреждали их давным-давно». Конечно, для человека со стороны сложно разобраться в стычке между Oracle и исследовательским сообществом. Даже аналитикам сложно понять, что там на самом деле происходит.

«Очевидно, что в последнее время выпускается меньше патчей для безопасности баз данных в рамках ежеквартальных критических обновлений, в этом нет сомнения», — сказал Эдриен Лэйн, аналитик Securosis. «Действительно ли они медлят с исправлением того, о чем их уведомляют? Я не знаю, у меня нет доступа к тому, о чем именно исследователи уведомляют Oracle до того, как они уже все исправят».

Исследователи обычно не разглашают подробности обнаруженных уязвимостей до того, как к ним уже выпущены патчи, а Oracle крайне редко выходит из-за спины своего PR-отдела, чтобы высказаться в свою защиту. Многих исследователей такой сценарий расстраивает. А гуру безопасности Дэвид Литчфилд пошел в обход, выпустив где-то в 2010 году подробности уязвимости нулевого дня, направленной на повышение привилегий.

«Согласно некоторым исследователям, недостаток реакции на проблемы со стороны Oracle – это скорее не вопрос процесса, а вопрос ресурсов. После того, как компания расширила свое влияние далеко за пределы баз данных, на которых она и сделала себе имя десятилетия назад, ее ресурсы, возможно, становятся все скуднее и скуднее», — объяснил Амихай Шульман, технический директор Imperva.

«Проблема заключается не в процессе, а в ресурсах и внимании. Они представили многочисленные новые продукты, не увеличив ресурсы в значительной мере и не рассчитав пропорции ресурсов таким образом, чтобы разработке патчей уделялось прежнее внимание».

Но согласно Шульману, проблема заключается даже не в том времени, которое проходит до момента выпуска патча. Проблема в том, что компания держит все в секрете, выпуская, наконец, обновления, которые причиняют неприятности пользователям.

«Еще одна проблема с процессом Oracle заключается в том, что компания не предоставляет достаточно подробностей об уязвимостях. Это значит, что профессионалы остаются в неведении относительно того, нужно ли им исправлять проблемы или нет», — сказал Шульман. «В Oracle утверждают, что они не распространяются об уязвимостях, чтобы не предоставлять хакерам дополнительную информацию о том, что надо взламывать. Но проблема в том, что хакеры-то как раз знают, что взламывать. Производителям всегда следует предоставлять столько информации, сколько возможно, чтобы пользователям было понятно, что нужно исправить в первую очередь».

Учитывая то, как много организаций в том или ином случае не справляются с патчами для баз данных (Международная Группа Пользователей Oracle доложила, что 63% организаций утверждают, что они отстают как минимум на один цикл обновления, применяя патчи), подробности об этих патчах смогли бы значительно облегчить задачу их командам по обеспечению безопасности и вендорам в деле установки мер защиты еще до того, как патч вступит в действие.

«Если бы Oracle более тесно работал с производителями систем безопасности в раскрытии деталей уязвимостей, то производители могли бы обеспечить виртуальные патчи за пределами баз данных до того, как организации завершат цикл обновления баз данных», — сказал Шульман.

В защиту Oracle говорит тот факт, что у клиентов уходит много времени на применение патчей и это указывает на те трудности, с которыми сталкивается разработчик баз данных когда дело доходит до исправлений уязвимостей, требующих внесения изменений в архитектуру платформ. Многие клиенты зависят от Oracle, ведь им приходится сохранять критически важные базы данных всегда в рабочем состоянии, и когда патч нарушает работу баз данных, это выливается в огромную проблему для всех вовлеченных сторон. Согласно Марковичу, Oracle, на самом деле, показал улучшения на этом фронте.

«Я думаю, что патчи Oracle стали более качественными. Год или два назад они втюхивали кучу патчей, которые вообще не имели отношения к безопасности и которые сложно было заставить работать», — прокомментировал Маркович. «Сейчас это безопасность в чистом виде».

Компания так же купила производителя файрволов для баз данных, чтобы разобраться с непропатченными уязвимостями. Но, по словам Лейна из Securosis, компания лишь разбазаривает возможности помочь клиентам на этом фронте.

«Мы знаем, что это сложно. Oracle купил Secerno, чтобы предоставить нам возможность не устанавливать патчи, т.е. для того, чтобы дать нам некое облегчение. Но и в этом плане от компании ничего не слышно. Мы не видим новых правил для файрвола, мы не слышим о каких-либо обновлениях для этого продукта и платформы, и мы не слышим об интеграции с какими-либо программами по управлению политиками. Это и есть моя жалоба».



Оставить мнение