Oracle’s CSO heeft ophef veroorzaakt in de security-wereld, maar de it-firma draait nu vlot een andere kant op. Security is belangrijk en samenwerking wordt wél gewaardeerd.
‘De security van onze producten en diensten is altijd al van kritiek belang geweest voor Oracle’z, stelt de softwareleverancier in een persverklaring van deze week. De mededeling die op naam staat van chief corporate architect Edward Screven vervolgt dat Oracle samenwerkt met third-party security-onderzoekers en met klanten om er samen voor te zorgen dat applicaties gebouwd op Oracle-technologie veilig zijn.
‘Mag echt niet’
Bovenstaande officiële mededeling komt over als het intrappen van een open deur. Een enorme open deur. Toch is dat niet het geval. De verklaring van Screven is in reactie op de verontwaardiging over een blogpost van Oracle’s chief security officer (cso). Die topfunctionaris van het bedrijf heeft namelijk in een lijvige post veel security-experts en klanten tegen de haren in gestreken.
Cso Mary Ann Davidson zet in drieduizend woorden uiteen dat het reverse engineeren van Oracle’s software niet nodig is én niet mag. Let wel: het gaat hier niet om het uitvogelen van de softwarewerking om een afgeleid product te maken. Het gaat om reverse engineeren om op eigen houtje eventuele kwetsbaarheden te vinden. Davidson uit in de blogpost haar ergernis over deze aanpak.
Securitystappen
Ze stelt te begrijpen dat klanten een extra inspanning willen leveren voor de security van hun systemen. Zeker gezien het feit dat er tegenwoordig haast elke dag een grote datalekkage is, waarbij onbekende indringers tig ‘gazillion’ bestanden hebben buitgemaakt, wellicht in opdracht van een vijandige overheid. De cso van Oracle wijst erop dat er securitystappen zijn die gebruikers eerst moeten nemen. Zoals het in kaart brengen van hun kritieke systemen, het versleutelen van gevoelige data, het toepassen van alle relevante patches, het bijblijven met ondersteunde productreleases, en het gebruik van tools die configuratie-instellingen vergrendelen.
‘Kortom, de gebruikelijke security-hygiëne.’ Oracle-veteraan Davidson merkt terecht op dat veel datadiefstallen voorkomen kunnen worden door bovenstaande maatregelen te nemen. ‘Hoe unsexy het ook is, in plaats van te hyperventileren dat de ; Grote Slechte Advanced Persistent Threat’ een zero-day gebruikt om mij te pakken te nemen!’
Arrogant, ondermaats, zinloos
De boodschap van Oracle’s cso is echter verkeerd geland, doordat ze software-analysewerk door derden afdoet als arrogant, ondermaats, zinloos en verboden. Het eerste punt uit Davidson met de opmerking dat klanten die aan reverse engineering doen daarmee op de stoel van de leverancier gaan zitten. ‘Hey, ik denk dat ik de taak van de leverancier voor hem/haar ga doen’, blogt ze de door haar vermoedde gedachtengang.
Volgens Davidson kunnen klanten code echter niet goed analyseren op problemen of kwetsbaarheden, omdat er wellicht een ingebouwde control is die misbruik van een vermeende 0-day voorkomt. Scanningtools kunnen immers false positives opleveren en doen dat volgens haar ook vaak. Bovendien is dergelijk scanwerk door derden zinloos: ‘Een klant kan niet een patch voor het probleem produceren. Alleen de leverancier kan dat.’ In de praktijk is laatstgenoemde technisch gezien niet correct, maar wat betreft ondersteunde software moet een patch natuurlijk wel afkomstig zijn van de officiële softwareleverancier.
Eula
Ongeacht de gedachtengang, de kwaliteit en het nut is er nog het punt van permissie. De cso van Oracle stipt aan dat het analyseren van source code bijna zeker een schending van de licentie-overeenkomst inhoudt. Klanten die scans uitvoeren en vermeende kwetsbaarheden melden bij Oracle begaan daarmee een zonde, blogt Davidsons. Zulke zondigende klanten kunnen dan ook een strenge juridische brief verwachten. Daarin worden zij – en eventuele consultants die het daadwerkelijke scanwerk hebben gedaan – gewezen op de voorwaarden van Oracle’s end-user license agreement (Eula) waarin reverse engineering en decompilatie expliciet zijn verboden.
De cso zit echter niet zozeer met de licentieschending in haar maag, maar stelt dat code-analyse door externe partijen helemaal niet nodig is. Derden hoeven de code niet te analyseren aangezien Oracle dat al doet, schrijft Davidson. ‘Het is onze job om dat te doen, we zijn er behoorlijk goed in en we kunnen – in tegenstelling tot een derde partij of een tool – de code echt compleet analyseren om te bepalen wat er gebeurt.’
False positives indammen
Na deze lange aanhef zet Davidson in een faq uiteen hoe Oracle omgaat met aangemelde kwetsbaarheden. Zij wil graag meldingen van false positives indammen en daarmee tijdverspilling (door Oracle én aanmelders) voorkomen. Daarbij benadrukt ze nogmaals dat reverse engineering niet is toegestaan en niet door de beugel kan. ‘Net zoals je niet in een huis kunt inbreken omdat iemand een raam of deur niet op slot heeft gedaan.’
Tot slot uit Davidson haar scepsis over de trend van bug bounties, waarbij ontdekkers van kwetsbaarheden premiegeld kunnen krijgen voor het melden van hun vondsten. ‘Bug bounties zijn de nieuwe boy bands. Veel bedrijven gillen, vallen flauw en gooien ondergoed naar security-onderzoekers.’ De cso van Oracle zegt bug bounties niet af te kraken, maar wijst erop dat dergelijke premies economisch gezien weinig nut hebben.
Niet nodig en niet gewenst
‘Wij vinden 87 procent van de securitykwetsbaarheden zelf, security-researchers vinden ongeveer 3 procent en de rest wordt gevonden door klanten.’ Ze merkt nog op dat een recent gemelde reeks security-issues tot haar vreugde al was gevonden door haar eigen team en dat er al gewerkt werd aan fixes waarvan sommige zelfs al gereed waren.
Ondanks de door haar geschatte 13 procent aan extern gevonden kwetsbaarheden, spreekt Davidson zich duidelijk uit tegen reverse engineering van Oracle-code. Dergelijke software-analyse is volgens haar niet nodig en niet gewenst. ‘En als laatste, maar eigenlijk als eerste: de Oracle licentie-overeenkomst verbiedt het.’ Waag het alsjeblieft niet, sluit ze haar boodschap af.
Offline en disclaimers
De bewuste blogpost is kort na het oplaaien van de ophef offline gehaald. De tekst was echter nog enige tijd te vinden in de broncode van de webpagina en op diverse plekken al gecached, geïndexeerd en ge-upload. ‘We hebben de post offline gehaald omdat het niet onze meningen of onze relatie met onze klanten weergeeft’, stelt de officiële verklaring van Oracle-topman Screven. Dit ondanks de disclaimer onderaan Davidsons blog: ‘De meningen geuit op dit blog zijn die van de auteur en geven niet per definitie de meningen van Oracle weer’.
Dus 10% van de kwetsbaarheden wordt gevonden door klanten. Gegeven het feit dat de meeste klanten ofwel de kennis niet hebben ofwel ervan uitgaan dat de code goed (genoeg) is is dat nog een behoorlijk hoge score.
Uiteraard zullen ze zelf de meeste zaken zelf vinden en oplossen. Ik vind de 3% van security researchers eigenlijk nog laag, zeker omdat dat toch ook professionals zijn in het vakgebied.
Valt nog mee dat Davidson niet de hackers verbied om Oracle produkten te hacken. Denk niet dat ze nu erg populair is bij de security community:
http://www.databreachtoday.com/blogs/oracles-security-absurdity-p-1915