В официальном блоге компании Oracle вчера появилось объемное письмо, написанное от лица директора по безопасности Oracle Мэри Энн Дэвидсон (Mary Ann Davidson). Послание, озаглавленное «Нет, вам действительно нельзя» (No, You Really Can’t), было обращено ко всем исследователям в области информационной безопасности. Дэвидсон буквально потребовала от них оставить компанию в покое, прекратить реверсить код Oracle и искать в нем какие-то уязвимости. В сети сразу заговорили о том, что Дэвидсон или Oracle, должно быть, взломали. Но, как бы поразительно это ни звучало, данная информация не подтвердилась.

Письмо провисело в блоге компании несколько часов, после чего было удалено (что только подогрело слухи о взломе). Полную версию послания Дэвидсон можно прочитать либо в кэше Google, либо в конце этой заметки.

Послание начинается с жалоб Дэвидсон на то, что в последнее время ей приходится очень, очень много писать. Она рассказывает, что на досуге, вместе с сестрой, пишет детективы и это куда увлекательнее, нежели переписка с пользователями. А пользователям директор по безопасности, оказывается, пишет десятки писем в день, и все они построены по одному и тому же шаблону, то есть оканчиваются требованием: «пожалуйста, соблюдайте лицензионное соглашение и прекратите, наконец, заниматься реверс инжинирингом нашего кода». Далее Дэвидсон, по сути, требует от общественности оставить их систему в покое и тратить время на поиск багов в своих программах:

«Я понимаю, что в этом мире каждый день находят новую брешь в чьей-нибудь безопасности, и теряют бессчетные газиллионы данных из-за безымянных злоумышленников, которые могут работать на вражеские государства. Конечно, люди хотят приложить дополнительные усилия, чтобы точно обезопасить свои системы.

С другой стороны, можно подумать, что пользователи, прежде чем перейти к этим «дополнительным усилиям», убедятся, что выявили все свои критические системы, зашифровали все приватные данные, установили все последние патчи, работают на последних и актуальных версиях продуктов… Говоря проще, можно подумать, они проведут обычную гигиену безопасности, перед тем как пытаться искать 0day уязвимости в продуктах, которые используют».

Далее Дэвидсон пишет, что вместо поиска дырок, можно просто посмотреть на сертификаты Common Criteria и FIPS-140, которые сами по себе уже гарантируют качество и безопасность. Да и вообще, если пользователь найдет уязвимость, запатчить ее самостоятельно он все равно не сумеет, так что лучше вообще ничего не трогать.

Под свою точку зрения директор по безопасности подводит определенную платформу. По ее мнению, все, кто исследует код Oracle – нарушают лицензионное соглашение. В соглашении действительно есть строка, обязывающая пользователей «не заниматься реверс инжинирингом, дизассемблированием, декомпиляцией и другими действиями, которые могут привести к извлечению исходного кода продуктов компании».
Дэвидсон считает, что даже использование инструментов для статического анализа кода уже является нарушением. Всем пользователям, кто нарушает соглашение, Дэвидсон прочит кары от Oracle, мол, компания придет за вами и поквитается за то, что вы посмели разоблачить уязвимости в ее ПО.

«Когда мы проводим анализ и видим, что данные [которые нам прислали] можно было получить только при помощи реверс инжиниринга, мы пишем нагрешившему клиенту письмо и еще одно письмо нагрешившему консультанту-который-действует-от-лица-клиента. Мы напоминаем им, что лицензионное соглашение Oracle исключает использование реверс инжиниринга. Так что, Пожалуйста, Хватит Уже».

По мнению Дэвидсон, анализ кода и поиск уязвимостей, это прямая работа сотрудников компании, которую те исправно и хорошо выполняют. Пользователи не должны вмешиваться в данный процесс, отвлекая тем самым серьезных людей от работы. То же относится к сторонним консультантам по безопасности, которых пользователи часто привлекают для проверки своего бизнеса, — на них тоже распространяется буква лицензионного соглашения.
Тот факт, что другие компании предлагают пользователям денежные вознаграждения за баги, абсолютно не смущает Дэвидсон:

«Множество компаний буквально визжат и падают в обмороки, бросая свое нижнее белье в специалистов по безопасности, лишь бы в их коде нашли ошибки. Они настаивают, что это Единственно Верный Путь, Все Идите По Нему. Если у вас нет программы вознаграждений за уязвимости – ваш код небезопасен. Ох, ну ладно, подумаешь, что мы нашли 87% уязвимостей своими силами, специалисты по безопасности обнаружили всего 3%, а остальное сделали сами клиенты.

Я не хочу обижать программы вознаграждений, но на каком, строго экономическом, основании я должна выбрасывать большие деньги, решая 3% проблемы?»

Впрочем, к концу послания Дэвидсон немного сбавляет обороты и признает, что компания, конечно, выпускает патчи и для багов, найденных пользователями:

«Пользователи не могут и не должны заниматься реверс инжинирингом нашего кода. Однако, если была найдена настоящая уязвимость, мы ее исправим. Нам может не нравиться то, каким образом уязвимость была обнаружена, но мы не станем из-за этого игнорировать настоящую проблему – это было бы неуважением, по отношению к нашим клиентам.

Как бы то ни было, мы исправим проблему, чтобы защитить наших пользователей, то есть все получат патч одновременно. Но мы не дадим пользователю, сообщившему о проблеме (которую он обнаружил, используя реверс инжиниринг) специального, эксклюзивного патча для бреши.

Также мы не станем включать ничьих имен в информационный бюллетень, который, возможно, выпустим. Вы ведь не можете на полном серьезе ожидать от нас, что мы скажем вам спасибо за то, что вы нарушаете лицензионное соглашение?»

Как уже было сказано выше, письмо Дэвидсон вызвало в сети жаркие споры — в его реальность многие попросту не поверили. Изданию ZDNet удалось связаться с компанией Oracle и получить от руководства компании комментарий относительно происходящего. Нет, ни о каком взломе речи не идет, судя по всему, послание Дэвидсон было более чем настоящим:

«Безопасность наших продуктов и сервисов всегда была критически важна для Oracle. В Oracle существует сильная программа по контролю безопасности продуктов. Мы работаем совместно с пользователями и сторонними разработчиками, чтобы сообща убедиться, что программное обеспечение Oracle безопасно. Пост был удален, так как он не отражает наших истинных взглядов на отношения с пользователями», — заявил Эдвард Скривен (Edward Screven) вице-президент и главный архитектор Oracle.

Фото: Oracle



14 комментария

  1. k0t1k

    12.08.2015 at 09:58

    Всё правильно тётка написала, только заклюют её щас защитники гей-парадов и борцы за права женщин, тьфу, то есть мировое айти сообщество…

    • Ufanext

      12.08.2015 at 15:25

      За что заклюют?

      • Shad0w

        13.08.2015 at 14:13

        Например за то что вместо «спасибо» и bug-bounty пользователям написавшим отчет у нее бомбанул пукан.

        • k0t1k

          13.08.2015 at 14:22

          Пукан бомбанул как раз у любителей халявы — мол, я поковырялся тут в вашем коде, и нашёл ошибки — давайте, отвалите мне баблоса пару лопат! Ага, щас. Хочешь плюшек за такую работу — иди устраивайся в Oracle или составляй с ними договор о возмездном оказании услуг.

    • Shad0w

      13.08.2015 at 14:15

      Что правильного? Ну кроме нарушения заведомо и целенаправленно составленной лицензии.

      • k0t1k

        13.08.2015 at 14:20

        Ну почему же кроме? Составляя вопрос таким образом, вы просто исключаете причину. Есть лицензия, не нравится соблюдать её правила — не используй их продукт, вот и всё.

  2. k0t1k

    12.08.2015 at 10:00

    Кстати! Редакция Хакера! А почему я не получаю уведомления о том, что на мой комментарий кто-то ответил? Даёшь холивары!

  3. divided

    12.08.2015 at 15:40

    Тётка некомпетентна на своём посту, если такое написала. Должна спасибо сказать!

  4. nimdamsk

    12.08.2015 at 16:28

    Если она прилюдно не извинится и не перестанет нести подобную околесицу — её надо, безусловно, уволить, т.к. она наносит сильный ущерб репутации Oracle. Уже нанесла.

    • k0t1k

      13.08.2015 at 09:08

      Да-да-да, вы такие!

      • xumitu

        13.08.2015 at 16:20

        Судя по вашим комментариям, вы именно то что у вас на аватарке. Как детский сад, закрыл глаза ладошкой, значит меня нет!!!!
        Вот когда с вашего счёта (карты) угонят пару тройку десятков тысяч из за дыр в продуктах компании оракл, тогда вы поймёте.
        За такое письмо, эту тётку надо пинком под зад из компании гнать. Полностью поддерживаю nimdamsk, а вам k0t1k , необразованному человеку, порекомендую, хотя бы, основы ИБ, изучить.

        • k0t1k

          14.08.2015 at 21:33

          Спасибо за совет, а что посоветуете изучить в первую очередь? Хочу стать таким же образованным хакиром как вы, чтобы зарабатывать сотни тысяч долларов!!!

  5. k0t1k

    14.08.2015 at 21:32

    Спасибо за совет, а что посоветуете изучить в первую очередь? Хочу стать таким же образованным хакиром как вы, чтобы зарабатывать сотни тысяч долларов!!!

Оставить мнение