Oracle veut que vous arrêter de les envoyer des bugs - voilà pourquoi c`est fou
Oracle est dans l`eau chaude cette semaine sur un billet de blog écrit par leur chef de la sécurité, Mary Davidson. Le poste, bien qu`il couvre une gamme de sujets, est la plupart du temps sur la pratique des rapports des failles de sécurité possibles pour Oracle. Plus précisément, pourquoi vous ne devriez pas.
Contenu
« Récemment, je l`ai vu une légère hausse à grande ish dans les clients reverse-engineering notre code pour tenter de trouver des failles de sécurité en elle.
Le code source d`Oracle n`est pas publique. Le but est de rendre plus difficile pour les autres de voler leur propriété intellectuelle. Cependant, cela signifie aussi qu`il est très difficile pour les clients de vérifier que le code est sécurisé. C`est là « décompilation » entre en jeu. En fait, la décompilation se traduit dans l`autre sens, la conversion des fichiers exécutables retour en code lisible par l`homme. Cela ne code source fournit pas l`original exactement, mais il ne fonctionne livrer le code qui de la même manière - mais il est souvent difficile de lire, en raison de la perte des commentaires et de la structure organisationnelle.
Ceci est le « reverse engineering » que Davidson fait référence. Oracle est contre parce qu`ils pensent qu`il met en danger leur propriété intellectuelle. Ceci est au moins un peu stupide, parce que l`utilisation d`un contrat de licence pour interdire le vol de la propriété intellectuelle est un peu comme utiliser un paillasson formulé pour empêcher un ton sévère invasion de domicile. Les sortes de gens qui vont essayer de cloner vos produits ne se soucient pas de accords de licence, et ne sont souvent pas dans les juridictions où l`on pouvait appliquer ces accords dans tous les cas.4 façons de lire & Comprendre un contrat de licence utilisateur final (CLUF) Plus facilement4 façons de lire & Comprendre un contrat de licence utilisateur final (CLUF) Plus facilementCLUF, ou accords de licence utilisateur final, sont l`un des maux de la vie moderne. Ce sont sans cesse des accords verbeux, généralement écrits en caractères minuscules. Ce sont les choses que vous faites défiler vers le bas à l`aveuglette, la recherche de cette sacrément ...Lire la suite
La politique affecte vraiment que les clients légitimes. La situation est semblable à celui des jeux vidéos DRM, mais de toute façon encore plus inefficace.6 Places Pour acheter des jeux sans DRM [MUO Gaming]6 Places Pour acheter des jeux sans DRM [MUO Gaming]Depuis que je l`ai décidé de ne pas acheter des jeux de Steam, je dois trouver d`autres sources. Beaucoup d`entre eux sont en fait pire que lui-même vapeur. Le magasin d`Ubisoft est déroutante et pleine de DRM ennuyeux. Arts électroniques...Lire la suite
Pourquoi les clients veulent décompiler ces exécutables? Il est tout au sujet de la sécurité. Avoir accès au code source vous permet de creuser à travers elle la recherche de bugs et des problèmes potentiels. Souvent, cela se fait en utilisant un logiciel qui effectue une « analyse de code statique » - une lecture automatisée par le biais du code, qui identifie les bogues connus et les pratiques de logiciels dangereux qui ont tendance à conduire à des bugs. Bien qu`il existe des outils qui analysent le fichier exécutable directement, la décompilation, il permet des analyses plus profondes en général. Ce type d`analyse statique est un outil standard du commerce dans la sécurité, et la plupart des entreprises soucieux de la sécurité utilisent ce logiciel en interne pour produire un code qui est moins susceptible de contenir des bugs graves.
La politique d`Oracle sur ce genre d`analyse est tout simplement « ne pas ». Pourquoi? Je vais laisser Davidson expliquer.
« Un client ne peut pas analyser le code pour voir s`il y a un contrôle qui empêche l`attaque de l`outil de balayage est hurlait au sujet (ce qui est très probablement un faux positif) [...] Maintenant, je dois souligner que nous ne contentons pas d`accepter analyser les rapports comme « la preuve qu`il ya un là, là, » en partie parce que vous parlez analyse statique ou dynamique, un rapport d`analyse ne sont pas la preuve d`une vulnérabilité réelle. [...] Oh, et nous avons besoin de clients / consultants pour détruire les résultats de cette ingénierie inverse et de confirmer qu`ils ont fait. »
En d`autres termes, l`outil tournant un résultat n`est pas la preuve d`un vrai bug - et, depuis Oracle utilise ces outils en interne, il n`y a aucun point clients de les exécuter eux-mêmes.
Le gros problème est que ces outils d`analyse de code statique n`existent pas seulement d`apporter des bugs à votre attention. Ils sont également censés servir de cible pour la qualité et la sécurité du code. Si vous videz code de base d`Oracle dans un outil d`analyse statique standard de l`industrie et il recrache des centaines de pages de questions, qui est un signe vraiment mauvais.
La réponse correcte, lorsqu`un outil d`analyse de code statique recrache un problème, est de ne pas examiner la question et dire « oh, non, cela ne cause pas un bug parce que tel ou tel. » La bonne réponse est d`aller et résoudre le problème. Les choses signalées par des outils d`analyse de code statique sont généralement mauvaises pratiques en général, et votre capacité à déterminer si oui ou non une question donnée provoque effectivement un bug est faillible. Au cours des milliers de problèmes, vous allez manquer des choses. Vous êtes mieux de ne pas avoir de telles choses dans votre base de code en premier lieu.
Voici Oculus CTO John Carmack chantant les louanges de ces outils de son temps à iD Software. (Sérieusement, lisez l`essai tout, il est des choses intéressantes).
Video: Le but le plus honteux de fifa 2017 ! EA faudrait arrêter votre délire
« Nous avons eu une période où l`un des projets a obtenu accidentellement l`option d`analyse statique désactivée pendant quelques mois, et quand j`ai remarqué et réactivées, il y avait des tas de nouvelles erreurs qui avaient été introduites dans l`intervalle. [...] Ce sont des manifestations que les opérations normales de développement ont été la production en continu ces classes d`erreurs, et [analyse de code statique] nous a efficacement blindage d`un grand nombre d`entre eux « .
En bref, il est probable que beaucoup de clients d`Oracle ne cherchaient pas nécessairement de signaler des bugs spécifiques - ils demandaient pourquoi les pratiques de codage d`Oracle étaient si pauvres que leur base de code a été criblé avec des milliers et des milliers de questions si fondamentales qu`elles pourraient être choisi par un logiciel automatisé.
Sécurité Par Autocollants
Alors, que les clients devraient-concernés sécurité faire, au lieu d`utiliser des outils d`analyse statique? Heureusement, le blog de Davidson a été extrêmement détaillée sur ce sujet. En plus de préconiser des pratiques de sécurité de base générale, elle fait des suggestions concrètes pour les personnes concernées de la sécurité du logiciel qu`ils utilisent.
« [T] voici beaucoup de choses un client peut faire comme, ça alors, en train de parler aux fournisseurs au sujet de leurs programmes d`assurance ou de contrôle des certifications pour les produits pour lesquels il existe de bons joints d`entretien ménager pour (ou « joints bon code ») comme critères communs certifications ou FIPS 140 certifications. La plupart des fournisseurs - au moins, la plupart des grandes ish ceux que je connais - ont des programmes d`assurance assez robustes maintenant (nous le savons parce que nous avons tous comparer des notes à des conférences) « .
C`est un effroyable réponse d`une organisation aussi importante que Oracle. La sécurité informatique est un domaine qui évolue rapidement. De nouvelles vulnérabilités se trouvent tout le temps, et l`officialisation des exigences de sécurité dans une certification qui est mise à jour toutes les quelques années est absurde. La sécurité est pas un autocollant. Si vous faites confiance qu`un logiciel essentiel est sécurisé sur la base d`un sceau sur l`emballage, vous être stupide de manière irresponsable.
Heck, outils d`analyse statique sont mis à jour beaucoup plus fréquemment que ces certifications font - dans certains cas, tous les jours - et l`élimination de toutes les questions qu`ils se présentent encore ne suffit pas d`avoir une grande confiance dans la sécurité de votre code, car la plupart des vulnérabilités sont trop complexes pour être détectés par ces sortes d`outils automatisés.
La seule façon d`avoir une confiance dans votre propre sécurité est d`exposer votre code au monde, et demander à des pirates d`essayer de le casser. Voici comment la plupart des entreprises de logiciels majeurs fonctionnent: si vous trouvez un problème avec leur code, ils ne seront pas condescendante Snark à vous pour avoir violé votre contrat d`utilisation. Ils vous verser de l`argent. Ils veulent des gens qui essaient de leur mieux pour briser leur logiciel tout le temps. Il est la seule façon qu`ils peuvent avoir confiance leur code est tout sécurisé.
Video: MON VOISIN ME TRAQUE... (Hello Neighbor #2)
Ces programmes sont appelés programmes « bug bounty », et ils sont la meilleure chose qui puisse arriver à la sécurité au niveau de l`entreprise depuis longtemps. Ils sont aussi, comme par hasard, quelque chose que Davidson a des opinions très fortes sur.
« Primes de bugs sont le nouveau groupe de garçon (bien allitératif, non?) Beaucoup d`entreprises hurlent, des évanouissements, et jetant des sous-vêtements aux chercheurs de sécurité [...] pour trouver des problèmes dans leur code et insistant sur le fait que c`est le chemin, marchez: si vous ne faites pas bontés de bugs, votre code est pas sécurisé.
Ah, eh bien, on trouve 87% des failles de sécurité nous-mêmes, les chercheurs en sécurité trouvent environ 3% et le reste sont trouvés par les clients. [...] Je ne suis pas dissing bontés de bugs, tout en notant que sur une base strictement économique, pourquoi devrais-je jeter beaucoup d`argent à 3% du problème « .
Pour commencer, sur la base des résultats de ces analyses code statique, il pourrait se révéler beaucoup plus de 3% si vous les avez payés. Mais je digresse. Le vrai problème est ceci: bug générosités ne sont pas pour vous, ils sont pour nous. Pourriez-vous trouver des bugs plus efficacement si vous avez dépensé le même argent à des experts de la sécurité intérieure? Eh bien, probablement pas - mais nous allons jeter un os d`Oracle et de supposer qu`ils pouvaient. Cependant, ils pourraient aussi prendre l`argent, la banque, puis faire absolument rien. Si la sécurité résultante est inférieure à la moyenne, les clients ne le découvrent ans, quand leurs numéros de sécurité sociale vent mystérieusement sur le web profond.Comment trouver des sites actifs Onion & Pourquoi vous pourriez vouloirComment trouver des sites actifs Onion & Pourquoi vous pourriez vouloirles sites d`oignon, ainsi nommés parce qu`ils se terminent par ".oignon", Sont hébergés des services cachés Tor - d`une manière complètement anonyme pour héberger des sites Web.Lire la suite
primes de bugs existent moitié parce qu`ils sont un moyen vraiment efficace d`identifier les bugs, et la moitié parce qu`ils sont une forme de sécurité, vous ne pouvez pas faux. Un bug bounty dit crédible au monde que tous les bugs restant dans le code sont plus chers à trouver que la générosité déclaré.
primes de bugs n`existent pas pour votre commodité, Oracle, ils existent parce que nous ne vous faisons confiance.
devrions-nous pas non plus! Beaucoup de grandes entreprises permettent la sécurité de tomber le long du chemin, comme de nombreux megabreaches montrer trop clairement. Vous êtes le deuxième plus grand fabricant de logiciels dans le monde. Il est absurde de nous demander de simplement prendre votre parole que vos produits sont sécurisés.Cible Confirme Jusqu`à 40 millions de clients aux États-Unis Cartes de crédit potentiellement hackéCible Confirme Jusqu`à 40 millions de clients aux États-Unis Cartes de crédit potentiellement hackéTarget vient de confirmer qu`un piratage aurait pu compromettre les informations de carte de crédit pour un maximum de 40 millions de clients qui ont magasiné dans ses magasins aux États-Unis entre le 27 Novembre et le 15 Décembre 2013.Lire la suite
Qu`est-ce que Davidson obtient le droit
En toute justice pour Davidson, il y a des éléments de ce qui sont raisonnables dans le contexte. Probablement, beaucoup de leurs clients ne se lancent dans des audits ambitieux du code d`Oracle, sans prendre le temps pour éliminer les problèmes de sécurité les plus banales de leurs systèmes.
Video: Le beug//clash roillale
« menaces persistantes avancées » - organisations de pirates informatiques qualifiés qui tentent d`avoir accès à des organisations spécifiques pour voler des données - sont certainement effrayant, mais les chiffres qu`ils sont beaucoup moins dangereux que les millions de pirates amateurs opportunistes avec des outils automatisés. Faire ce genre d`analyses statiques de logiciels commerciaux lorsque vous n`avez pas adopté des mesures de sécurité de base est un peu comme l`installation d`une salle de panique lorsque vous n`avez pas encore un verrou sur la porte d`entrée.
De même, il est probablement très frustrant et peu utile à présenter de nouveau le même analyse automatisée et encore et encore.
Cependant, dans son ensemble, l`article révèle quelques idées sérieusement dépassées sur la sécurité du système, et la relation entre les développeurs et les clients. Je comprends que le travail de Davidson est frustrant, mais les utilisateurs qui sortent de leur façon de vérifier la sécurité du logiciel qu`ils utilisent ne sont pas le problème. Voici président de sensibilisation à la sécurité, la prise de Ira Winkler sur elle:
« Oracle est une très grande entreprise et riche, avec des produits qui sont largement distribués et utilisés pour des applications critiques. Période. Ils ont la responsabilité de rendre leurs logiciels aussi fort que possible [...] Il pourrait y avoir beaucoup de faux positifs et les coûts associés, mais qui est un facteur de [leur vente] beaucoup de logiciels qui a beaucoup d`utilisateurs. Il est un coût de faire des affaires. Je suis sûr que toutes les entreprises de logiciels ont les mêmes rapports faux positifs. Je n`entends pas Microsoft et al. se plaindre « .
Si Oracle ne veut pas continuer à recevoir des milliers de problèmes rencontrés par les outils de sécurité statique, peut-être qu`ils devraient fixer ces milliers de questions. S`ils sont gênés par les gens tournent dans les mêmes non-bugs encore et encore, ils devraient peut-être avoir un programme de primes bug approprié qui a des mécanismes pour faire face aux demandes répétées des non-questions. Les clients d`Oracle réclament un meilleur niveau de sécurité, et de les faire honte car il est notthe bonne réponse.
Même si Oracle a pris vers le bas et généralement désavoué le poste, qu`il a été écrit tout révèle une culture de sécurité au sein profondément erronée Oracle. L`approche d`Oracle à la sécurité accorde la priorité à la protection de leur propriété intellectuelle sur la sécurité et la tranquillité d`esprit de leurs clients - et si vous confiez le logiciel Oracle avec des informations critiques, qui devrait effrayer les bejeezus de vous.
Qu`est-ce que tu penses? Êtes-vous préoccupé par la philosophie d`Oracle de la sécurité? Pensez-vous que Davidson est traitée trop durement? Faites le nous savoir dans les commentaires!