В официальном блоге компании Oracle вчера появилось объемное письмо, написанное от лица директора по безопасности Oracle Мэри Энн Дэвидсон (Mary Ann Davidson). Послание, озаглавленное «Нет, вам действительно нельзя» (No, You Really Can't), было обращено ко всем исследователям в области информационной безопасности. Дэвидсон буквально потребовала от них оставить компанию в покое, прекратить реверсить код Oracle и искать в нем какие-то уязвимости. В сети сразу заговорили о том, что Дэвидсон или Oracle, должно быть, взломали. Но, как бы поразительно это ни звучало, данная информация не подтвердилась.
Письмо провисело в блоге компании несколько часов, после чего было удалено (что только подогрело слухи о взломе). Полную версию послания Дэвидсон можно прочитать либо в кэше Google, либо в конце этой заметки.
Послание начинается с жалоб Дэвидсон на то, что в последнее время ей приходится очень, очень много писать. Она рассказывает, что на досуге, вместе с сестрой, пишет детективы и это куда увлекательнее, нежели переписка с пользователями. А пользователям директор по безопасности, оказывается, пишет десятки писем в день, и все они построены по одному и тому же шаблону, то есть оканчиваются требованием: «пожалуйста, соблюдайте лицензионное соглашение и прекратите, наконец, заниматься реверс инжинирингом нашего кода». Далее Дэвидсон, по сути, требует от общественности оставить их систему в покое и тратить время на поиск багов в своих программах:
С другой стороны, можно подумать, что пользователи, прежде чем перейти к этим «дополнительным усилиям», убедятся, что выявили все свои критические системы, зашифровали все приватные данные, установили все последние патчи, работают на последних и актуальных версиях продуктов... Говоря проще, можно подумать, они проведут обычную гигиену безопасности, перед тем как пытаться искать 0day уязвимости в продуктах, которые используют».
Далее Дэвидсон пишет, что вместо поиска дырок, можно просто посмотреть на сертификаты Common Criteria и FIPS-140, которые сами по себе уже гарантируют качество и безопасность. Да и вообще, если пользователь найдет уязвимость, запатчить ее самостоятельно он все равно не сумеет, так что лучше вообще ничего не трогать.
Под свою точку зрения директор по безопасности подводит определенную платформу. По ее мнению, все, кто исследует код Oracle – нарушают лицензионное соглашение. В соглашении действительно есть строка, обязывающая пользователей «не заниматься реверс инжинирингом, дизассемблированием, декомпиляцией и другими действиями, которые могут привести к извлечению исходного кода продуктов компании».
Дэвидсон считает, что даже использование инструментов для статического анализа кода уже является нарушением. Всем пользователям, кто нарушает соглашение, Дэвидсон прочит кары от Oracle, мол, компания придет за вами и поквитается за то, что вы посмели разоблачить уязвимости в ее ПО.
По мнению Дэвидсон, анализ кода и поиск уязвимостей, это прямая работа сотрудников компании, которую те исправно и хорошо выполняют. Пользователи не должны вмешиваться в данный процесс, отвлекая тем самым серьезных людей от работы. То же относится к сторонним консультантам по безопасности, которых пользователи часто привлекают для проверки своего бизнеса, — на них тоже распространяется буква лицензионного соглашения.
Тот факт, что другие компании предлагают пользователям денежные вознаграждения за баги, абсолютно не смущает Дэвидсон:
Я не хочу обижать программы вознаграждений, но на каком, строго экономическом, основании я должна выбрасывать большие деньги, решая 3% проблемы?»
Впрочем, к концу послания Дэвидсон немного сбавляет обороты и признает, что компания, конечно, выпускает патчи и для багов, найденных пользователями:
Как бы то ни было, мы исправим проблему, чтобы защитить наших пользователей, то есть все получат патч одновременно. Но мы не дадим пользователю, сообщившему о проблеме (которую он обнаружил, используя реверс инжиниринг) специального, эксклюзивного патча для бреши.
Также мы не станем включать ничьих имен в информационный бюллетень, который, возможно, выпустим. Вы ведь не можете на полном серьезе ожидать от нас, что мы скажем вам спасибо за то, что вы нарушаете лицензионное соглашение?»
Как уже было сказано выше, письмо Дэвидсон вызвало в сети жаркие споры — в его реальность многие попросту не поверили. Изданию ZDNet удалось связаться с компанией Oracle и получить от руководства компании комментарий относительно происходящего. Нет, ни о каком взломе речи не идет, судя по всему, послание Дэвидсон было более чем настоящим:
«Безопасность наших продуктов и сервисов всегда была критически важна для Oracle. В Oracle существует сильная программа по контролю безопасности продуктов. Мы работаем совместно с пользователями и сторонними разработчиками, чтобы сообща убедиться, что программное обеспечение Oracle безопасно. Пост был удален, так как он не отражает наших истинных взглядов на отношения с пользователями», — заявил Эдвард Скривен (Edward Screven) вице-президент и главный архитектор Oracle.
Фото: Oracle