The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Oracle против использования обратного инжиниринга для выявления уязвимостей

11.08.2015 22:04

Мэри Дэвидсон, руководитель службы безопасности компании Oracle, опубликовала в корпоративном блоге заметку, в которой упомянула о запрете проведения обратного инжиниринга продуктов Oracle с целью анализа наличия в них уязвимостей.

В ответ на попытки некоторых пользователей привлечь внимание Oracle к наличию неисправленных уязвимостей, им отправляются письма с указанием на недопустимость проведения изучения внутренностей продуктов, так как обратный инжиниринг запрещён в лицензионном соглашении. Проблемы устраняются, но выявившие их исследователи вместо поощрения получают предупреждение в нарушении лицензии. В заметке также указано на то, что компания и сама прекрасно справляется с поиском уязвимостей и не нуждается в помощи посторонних. В подтверждение представлена статистика, что 87% всех уязвимостей в продуктах компании выявляются сотрудниками Oracle, 3% - исследователями безопасности и 10% - клиентами.

Дополнение: Вскоре заметка была удалена, а вице-президент Oracle прокомментировал удаление тем, что указанная в нём информация не отражает убеждения компании и отношение к клиентам.

  1. Главная ссылка к новости (http://www.zdnet.com/article/o...)
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/42768-oracle
Ключевые слова: oracle
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Sluggard (ok), 22:06, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/

    Лицемерненько. )

     
     
  • 2.19, Анончег (?), 01:08, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Что значит "лицемерненько"?

    Правильно Оракл делает! Теперь хайкеры оракловские продукты не будут ревёрсить, а займутся конкурентами, ибо те не были против.

    Такую тонкую игру понимать надо, это же передний край борьбы с уязвимостями!

     
     
  • 3.21, Аноним (-), 03:14, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Размечтался то. Теперь хакеры будут сливать дыры на черный рынок, срубая в 10 раз больше денег чем жлобье из оракля может дать даже чисто теоретически. Ну а пользователи оракла окажутся между молотом и наковальней.
     
     
  • 4.46, kakojto chel (?), 09:26, 14/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    сарказм анонимом был не оценён
     
     
  • 5.50, Аноним (-), 01:13, 16/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Извини, по моей статистике - Анончег слишком уж примитивный чтобы так саркастировать.
     

  • 1.2, Аноним (-), 22:09, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    87% уязвимостей это артворк редхета?
     
     
  • 2.27, Ещё один аноним. (?), 08:31, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты сделал мой день :)
     
  • 2.32, anonimous (?), 09:47, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    RH разрабатывает Oracle DB?
     

  • 1.3, Аноним (-), 22:14, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Люди говорят нам что мы плохо работаем. Отвратительно!
     
  • 1.4, ананим.orig (?), 22:17, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > руководитель службы безопасности ... опубликовала ... запрета проведения обратного инжиниринга продуктов Oracle с целью анализа наличия в них уязвимостей.

    ЦРУ-шник бывшим не бывает.

     
     
  • 2.17, правдоруб (?), 00:59, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +9 +/
    >ЦРУ-шник бывшим не бывает.

    А ещё их учат вертеть Конституцию на вертикали власти...

     
     
  • 3.34, ананим.orig (?), 10:37, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не конституцию, а конституции. Цру-шник по определению работает вне рамок законов, любых, включая основной.
    Можете спросить у фиолетовой дыры например http://www.kaliningradka.ru/site_pc/region/index.php?ELEMENT_ID=71613
     
  • 2.26, 10й Брейтовский переулок (?), 08:17, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    что ЦРУ, что КГБ - одних хрен.
     

  • 1.5, Аноним (-), 22:19, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Oracle не приветствует выявление уязвимостей через обратный инжиниринг

    А они уверены, что злоумышленников это остановит?

     
     
  • 2.38, Аноним (-), 12:15, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А они уверены, что злоумышленников это остановит?

    Они точно уверены, что это остановит законопослушных пользователей от попыток разобраться во внутренностях из продуктов, т.е. им, законопослушным-то, остается только верить маркетоидному бреду Оракля, а посмотреть, как оно там на самом деле устроено - низзя, Оракле не велит. А даже если и посмотрел - молчи в тряпочку, даже если ошибку/уязвимость высмотрел, иначе Оракле лицензию отозвет.
    Естественно, тех, кто плевал с высокой колокольни на все эти лицензии, такой запрет остановить не может.

     

  • 1.6, A.Stahl (ok), 22:22, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >В подтверждение представлена статистика, что

    Неудивительно. С таким-то отношением к пользователям.
    Скорее всего Оракл весьма масштабно ковыряется в пользовательских данных и было бы нехорошо если такое поведение всплывёт. Вы, базисты, лучше бы растиражировали эту "заметку". Что бы Оракл не говорил, но мнение "руководителя службы безопасности компании" не может сильно отличаться от настоящего (а не официального) мнения компании -- иначе руководитель просто не смог бы выполнять свои обязанности.

     
     
  • 2.8, ананим.orig (?), 22:28, 11/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А вы что, не видели бывших фсб-шников на таких должностях?
    Думаете у них по-другому? Пока вьедет, пока честь перестанет отдавать,..
     
     
  • 3.18, правдоруб (?), 01:02, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >бывших фсб-шников

    Литвиненко не встречал, про других не слышал.

     
  • 2.23, Аноним (-), 03:25, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Скорее всего Оракл весьма масштабно ковыряется в пользовательских данных

    Да тут даже у депутатов приступ адеквата наконец начался - до жирафов наконец дошло что микрософт оказывается [их] данные сливает, а маздай в куче госучреждений.

     
     
  • 3.30, АнонимХ (??), 09:23, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да не смешите, адекватный депутат - это аксюморон. Система принимает людей только определенного склада ума, других же - либо деформирует под себя, либо отталкивает и не впускает.
     
     
  • 4.51, Аноним (-), 01:15, 16/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Да не смешите, адекватный депутат - это аксюморон.

    Ну, понимаешь, когда пи...ц приобретает вопиющий масштаб - может доползти даже до жирафа.

    > определенного склада ума, других же - либо деформирует под себя, либо
    > отталкивает и не впускает.

    Однако кража данных АНБшниками - оказалась достаточно понятной перспективой даже для депутатов.

     
  • 3.41, Аноним (-), 14:35, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это не приступ адеквата, это продолжение беснования "кругом враги". Просто в этот раз они умудрились наступить на собственные яйца, что не может не доставлять. Ждем продолжения банкета. Интересно, у мелкомягких хватит смелости затроллить этот паноптикум, или жадность все же победит?
     
     
  • 4.44, Коля (?), 16:32, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, у мелкомягких хватит смелости затроллить этот паноптикум, или жадность все же победит?

    Они надеятся на продолжение повсеместного стихийного юзанья виндоуз пользователями РФ несмотря ни на что, и они чертовски правы.

     
     
  • 5.53, Аноним (-), 01:25, 16/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Они надеятся на продолжение повсеместного стихийного юзанья виндоуз пользователями РФ
    > несмотря ни на что, и они чертовски правы.

    Ну так местные аборигены будут воинственно гравировать на ифонах угрозы в адрес США, но кирпич контролируемый из США на 100% ни за что не выкинут. Чудная у папуасов логика :)

     
  • 4.45, анином (?), 16:36, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Деньги не пахнут, бро
     
  • 4.52, Аноним (-), 01:23, 16/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не приступ адеквата, это продолжение беснования "кругом враги".

    Я как-то затрудняюсь записать АНБ в друзья. А зачем им меня защищать? Они американцев то защищают сильно некоторых, в ущерб всем остальным. А уж на жителей остальных стран они и вовсе в самом лучшем случае плевать хотели. Остальные варианты еще хуже.

    Ну или для каких благих целей может потребоваться столь масштабная кража информации с компьютера пользователя? Это в любом случае потенциальная подстава.

    > затроллить этот паноптикум, или жадность все же победит?

    Не знаю. Я в этом вижу "одни м...ки клещатся с другими м...ками". Даже и не знаю кто из них мне менее симпатичен. Я бы предпочел развидеть и тех и других.

     
  • 2.35, GrammarNarziss (?), 10:43, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "Что бы Оракл ни говорил"
     

  • 1.7, ананим.orig (?), 22:25, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > 3% - исследователями безопасности и 10% - клиентами.

    Возможные комментарии:
    * Вот на эти три процЭнта и живём
    * угу, а могли бы и не сказать
    * у-у-у — а сколько не сказали
    * вот теперь и эта инфа стала достоянием абчественности, молодец безопасник.

     
  • 1.9, Аноним (-), 22:30, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну-ну, рано или поздно ситуация изменится и тогда Oracle не будет чем лицемерить.
    Хоть БД у них хорошая, но высокая цена лицензии и закрытая архитектура играет не в их пользу.
    Про историю с Java и OpenOffice я вообще умолчу.
     
     
  • 2.10, A.Stahl (ok), 22:36, 11/08/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >    Про историю с Java и OpenOffice я вообще умолчу.

    Ну с ОпенОфисом всё уже ясно, но Ява пока чувствует себя отлично.
    Или это какая-то интересная история про "Java и OpenOffice"? Тогда рассказывай...

     
     
  • 3.12, Ан (??), 23:00, 11/08/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну с Java полностью потерять ситуацию не успели, но уже сейчас двойственная ситуация из-за OpenJDK.
     
     
  • 4.24, Аноним (-), 04:48, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так OpenJDK они же сами и разрабатывают. OpenJDK и Oracle JDK соотносятся так же, как Chromium и Chrome.
     
     
  • 5.29, Аноним (-), 09:20, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще-то, JAVA - это ключевой момент в корпоративном ПО Оракла, так что ява в хороших руках. OO - это просто профита некому там некому было, а так бы уже у всех была бы интеграция через StartOffice
     
     
  • 6.42, Аноним (-), 14:57, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > OO - это просто профита некому там некому было, а так бы уже у всех была бы интеграция через StartOffice

    Дело не в этом, если бы Oracle не пожлобился и отдал ОО в опенсорс, то вместо LibreOffice дальше бы пилили ОО, но уже как свободный проект. Вместо того пришлось развиваться под другим названием. А когда уже года как два не выходило ни одного обновления ОО, тогда Оракл спихнул ОО Apache.

     

  • 1.11, username (??), 22:42, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хе хе хе, да вы что? Ну ок, расскажите это вирмейкерам, а мы то конечно можем положить на это дело, дольше исправлять будете
     
  • 1.13, asavah (ok), 23:16, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Ещё один довод чтоб держаться подальше от продукции оракл.
     
  • 1.16, Аноним (-), 23:37, 11/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Значит 100% всех уязвимостей вносятся сотрудниками Oracle, но они выявляют только 87%. А клиенты выявляют 10% уязвимостей, но не вносят не одной таковой.
    Теперь понятно почему в мире OpenSource такого не бывает - там клиентам говорят спасибо, когда они уязвимости выявляют и даже разрешают клиентам самим вносить новые))
     
  • 1.20, Аноним (-), 02:27, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Во-первых, уязвимости не считают в процентах - любая из них может привести к катастрофе для клиента и должна быть обнаружена. Во-вторых, такой подход приведёт к одному - вместо того чтобы сдавать уязвимости ораклу, их будут продавать на чёрном рынке. Впрочем проблемы оракла - благо для человечества.
     
  • 1.22, КЭП (?), 03:16, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мнение Oracle наплевать!
     
  • 1.25, antixrict (?), 06:37, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    походу oracle не хочет судьбы adobe. может они хотят клиентов на деньги поставить в очередной раз? мол если у клиента платный oracle и он занимаеться реверс инженеренгом и трахает суппорт. в целом не понятно кому и зачем это заявление.
     
  • 1.28, Аноним (-), 08:34, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да что не понятного?
    Девочка "спорола глупость".
    Главный начальник поправил, предворительно проведя с девочкой разъяснительную работу, о том какие глупости можно говорить и когда. :-)
     
     
  • 2.36, Аноним (-), 10:50, 12/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я думаю, девочка нечаянно сказала правду, но ее быстренько замяли.
     

  • 1.31, Читама (?), 09:38, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну во первых это все же не официальная позиция компании, раз извинились. Во вторых, законы в разных странах разные, если где-то реверс-инжинеринг запрещен лицензией, то в других странах на него клали и поэтому Oracle следует принять его, как данность - проводить то всёравно будут. А в "развитых" странах будут использовать разделение реверс-инжинеринга между участниками, как всегда.

    Вызывает удивление такая глупость сотрудника. Руководству стоит подумать о его увольнении или понижении.

     
     
  • 2.48, XoRe (ok), 15:06, 14/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну во первых это все же не официальная позиция компании, раз извинились.

    Это написала Chief Security Officer, директор по безопасности.
    Когда директор по безопасности пишет "нам насрать на безопасность", мало что может переплюнуть такой вброс по эпичности.

     

  • 1.39, Аноним (-), 12:46, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > упомянула о запрете проведения обратного инжиниринга продуктов Oracle

    Вот так взяли и послушали ее! Что хочу, то и ковыряю. А информацию об уязвимостях можно анонимно предавать огласке.

     
  • 1.40, Какаянахренразница (ok), 13:15, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В ответ на попытки некоторых пользователей привлечь внимание Oracle
    > к наличию неисправленных уязвимостей, им отправляются письма с указанием
    > на недопустимость проведения изучения внутренностей продуктов.

    "А у вас негров линчуют!"

     
  • 1.43, Аноним (-), 16:08, 12/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оракл - копирасты-либерасты!

    Добавлю, что они исправно берут деньги с наших компаний за техпотдержку, а когда надо что-то сделать отказываются мотивируя санкциями.

     
     
  • 2.54, Аноним (-), 01:28, 16/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Оракл - копирасты-либерасты!
    > Добавлю, что они исправно берут деньги с наших компаний за техпотдержку, а
    > когда надо что-то сделать отказываются мотивируя санкциями.

    Экое негодование папуаса на белолицых хренов с ружьями. Так это, у тоталитаристов, монархиств и прочих коммунистов было не меньше времени и ресурсов чтобы базы себе сделать. А они вот как-то попали в зависимость от упырей от оракла, не взяв планку сами. И потому вынужденно занося денег тем кто так может, в отличие от.

     

  • 1.47, XoRe (ok), 15:03, 14/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще это просто "крик души" у CSO оракла.
    У женщины накипело и она выплеснула эмоции.
    И тут оказалось, что у неё не все в порядке с пониманием своей должности (а так же с ответственностью и, возможно, с головой).

    Это не показатель того, как вся oracle относится к дыркам.
    Это показатель того, что совет директоров выбрал на должность CSO не самую подходящую (не самую ответственную) (да и не самую умную)  кандидатуру.
    Им нужно просто уволить CSO (и может быть и половину штата безопасников) и найти человека, который будет более адекватно подходить к этой работе.

    А в остальном да, это показатель, что даже самые крупные поставщики корпоративного ПО могут ложить наиогромнейший болт на проблемы безопасности своих клиентов.
    И ещё и иметь наглость затыкать рот, ссылаясь на лизензионное соглашение, когда им явно указывают на дыру.

     
     
  • 2.55, Аноним (-), 01:31, 16/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, вот извините Когда это говорит CSO компании Oracle - это таки показатель о... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру