Bezpečnostní rizika a chyby v software jsou velmi citlivé téma pro každou softwarovou společnost i open-source komunitu. Z firmy Oracle se díky několika posledním akvizicím stal opravdový softwarový gigant, resp. svou silnou pozici si ještě více zajistil. Někteří odborníci však poukazují na to, že co se bezpečnosti týče, měl by Oracle ještě hodně zapracovat.
Oracle roste
Společnost Oracle roste a několika posledními nákupy se z firmy stal opravdový softwarový gigant, který začíná být z jistého pohledu srovnatelný s Microsoftem. Před časem koupil Oracle firmu PeopleSoft a Retek za více než 11 miliard dolarů, událost posledních dnů je pak koupě společnosti Siebel za 5.88 miliardy dolarů. Oracle se zkrátka rozrůstá.
Někteří bezpečnostní odborníci však poukazují na velmi špatný stav produktů Oracle právě co se zabezpečení týče. I v této oblasti pak přirovnávají firmu k Microsoftu v dřívějších dobách a varují před tím, aby Oracle nezapomínala na bezpečnost.
Odborníci varují
Podle analytiků jsou zde jisté znepokojivé náznaky, které hovoří o tom, že se Oracle řítí do bezpečnostní krize. Za poslední rok si Oracle poněkud pošramotil svou pověst několika šlápnutími vedle, zejména pak vydáním několika vadných záplat pro svůj software a také kritikou nezávislých bezpečnostních specialistů, kteří začali poukazovat na laxnější přístup Oraclu k bezpečnostním otázkám.
V červenci musela společnost opravit již vydanou záplatu, neboť odborník na bezpečnost David Litchfield objevil chybu v záplatě, která byla vydána v dubnu, ale ve skutečnosti problém neřešila a po instalaci byly postižené systémy nadále nezabezpečené. V srpnu pak Litchfiled znovu na Oracle zaútočil, když zpochybnil jejich utilitu OPatch, která podle jeho slov dává zákazníkům falešný pocit bezpečí, že jejich servery jsou dostatečně zabezpečeny, ačkoliv tomu tak v mnohých případech není.
Chybná komunikace
Problém se záplatami má někdy každá firma a čím větší je, tím větší jsou i následky. Oracle je však kritizován ještě kvůli další záležitosti a tou je velmi pomalá odezva na bezpečností díry, objevené právě nezávislými bezpečnostními odborníky.
Příkladem budiž případ ze srpna, kdy Alexander Kornbrust z německé firmy Red-Database-Security zveřejnil rady, jak "zalátat" šest bezpečnostních děr včetně jedné s vysokým stupněm nebezpečnosti, která byla stará neuvěřitelné dva roky a mohla být využita ke vzdálenému útoku s možností přepsat soubory na aplikačním serveru Oracle pouze s využitím speciálních URL.
Právě zoufale pomalá odezva Oraclu přiměla Kornbrusta k zveřejnění těchto rad. Podle něj firma nedobře komunikuje s odborníky z vnějšku a není příliš ochotná brát zodpovědnost za díry ve svých produktech. Odešlete e-mail, tentýž den dostanete sice zprávu (pravděpodobně automatickou), že na problému se pracuje, ale ve skutečnosti se pak nic nestane. Tak popisuje svou zkušenost Kornbrust. Podle jeho informací existují nevyřešené kritické "bugy" staré více než dva nebo tři roky.
Jeho zkušenost potvrzuje další bezpečnostní specialista Cesar Cerrudo z Argentiny, který je ředitelem Argeniss Information Security a jeho odborníci prý odhalili řadu chyb - obvyklé přetečení bufferu či SQL injection ve funkcích v databázi Oraclu, přičemž tyto funkce jsou dostupné všem uživatelům. Navíc je řada útoků proveditelná i vzdáleně a mohou způsobit pád serveru. Podle jeho slov je ke všemu řada chyb velmi snadno k nalezení a vůbec nechápe, proč je ještě Oracle neodstranil.
Co je ještě pozoruhodnější a z bezpečnostního hlediska velmi znepokojivé je to, že výzkumníci z Argeniss nacházejí známé chyby nejen ve starších verzích databází, ale stejné díry jsou i ve verzi poslední.
Co na to Oracle?
Oracle se samozřejmě brání. Zástupkyně firmy Mary Ann Davidson přiznává, že má firma seznam dosud nezáplatovaných chyb, ale zdaleka jich prý není tolik jak tvrdí zmiňovaní odborníci. Firma přechází na čtvrtletní vydávání kritických záplat (Critical Patch Update), takže bude přesně ve stanovenou dobu vydán vždy větší balík záplat naráz podobným způsobem, jako to dělá například Microsoft, i když s jiným intervalem. Díky tomuto přechodu, který byl záměrně pomalý a opatrný, tak mohlo údajně dojít k situaci, že množství nezáplatovaných chyb rostlo.
Od října má dojít ke značnému nárůstu počtu vydaných záplat každé čtvrtletí, přičemž budou vyřešeny i díry staršího data. Názory výše zmíněných bezpečnostních specialistů Oracle odmítá jako zveličování celé situace. I když s některou kritikou souhlasí, zároveň se snaží zdůraznit, že 75 procent všech bezpečnostních ohrožení je nalezeno a odstraněno přímo interně v Oracle. Nezávislí odborníci si údajně neuvědomují, jak obtížné je vyrobit záplaty pro tolik odlišných verzí a platforem, které Oracle podporuje. Nevím, jestli právě toto má být vhodná omluva.
Problém je v systému
I přes toto uklidňování ze strany Oracle mají nezávislí odborníci starost o budoucnost. Microsoft, který bývá často za bezpečnostní díry kritizován, má vybudován solidní vnitrofiremní systém a procesy pro zlepšení bezpečnosti produktů. Po této stránce je Microsoft napřed. Oraclu tato systematičnost, zapojení do interních procesů a celkové architektury chybí.
Jedním z důvodů tohoto náskoku je také to, že rozličné autentizační technologie, Active Directory apod. jsou přímo dílem Microsoftu a jsou konzistentně zapojeny do celé bezpečnostní architektury. Oracle naproti tomu často střídá technologie pro správu přístupu a uživatelů.
Dalším významným rozdílem je to, že produkty Oracle testují sami vývojáři. Někdy je obtížné vidět vlastní dílo cizíma očima, často je pak také nejasné, zda to či ono považovat za bezpečnostní chybu. Microsoft má však pro podobné účely zvláštní oddělenou jednotku, která má na starost bezpečnostní otázky a funguje jako konzultační skupina pro celou firmu. Často také pořádá bezpečnostní konference, na kterých vystupuje i řada hackerů. Přístup je zkrátka více systémový.
Bezpečnostní otázky jsou v každém případě čím dál ožehavějším tématem a i když běžný uživatel spíše zaznamenává problémy týkající se operačního systému nebo prohlížeče, v korporátní sféře je rovněž kladen klíčový důraz na databázové systémy. Pokud je Oracle právě v oblasti databází tím, čím je Microsoft ve světě operačních systémů (i když samozřejmě i Microsoft či IBM mají v segmentu databází mocné slovo), měl by podle odborníků zlepšit své interní procesy a více se zaměřit na bezpečnost a standardizaci svých postupů. Jinak si zadělává na problémy.
Zdroje: Oracle, eWeek
