Rolle rückwärts, aber zu spät

Oracles Chief Security Officer brüskiert Bug Hunter

Michael Thomas

© Shutterstock.com/wk1003mike

Vor allem im Internet gilt bekanntermaßen: Ist die Büchse der Pandora erstmal geöffnet, kriegt man sie so leicht nicht mehr zu. Diesen Umstand erlebt Mary Ann Davidson, Chief Security Officer bei Oracle, gerade am eigenen Leib. In einem rund 3000 Zeichen umfassenden Rant hatte sie klar gemacht, dass sie die Nase voll davon habe, dass Kunden und Security Researcher eigene Sicherheitstests mit Oracle-Software durchführen.

Oracles Chief Security Officer hat sich einen klassischen Anfängerfehler geleistet: Einen Rant ins Netz gestellt und offenbar erwartet, dass dieser keinen Shitstorm entfacht. Der Post wurde von Oracle zwar in Windeseile gelöscht, aber wie das nunmal so ist: Das Internet vergisst nicht.

Im Verlauf ihres Textes bezichtigt Davidson alle, die eigene Sicherheitsanalysen durchführen – sowohl direkt wie indirekt – des Reverse Engineering und des Verstoßes gegen Oracles Lizenzbestimmungen:

Most vendors […] have fairly robust assurance programs now […]. That’s all well and good, is appropriate customer due diligence and stops well short of ‚hey, I think I will do the vendor’s job for him/her/it and look for problems in source code myself‘, even though: A customer can’t analyze the code to see whether there is a control that prevents the attack the scanning tool is screaming about (which is most likely a false positive); A customer can’t produce a patch for the problem—only the vendor can do that; A customer is almost certainly violating the license agreement by using a tool that does static analysis (which operates against source code).

Manchen Kunden, so Davidson weiter, sei nicht bewusst, dass sie gegen Lizenzbestimmungen verstoßen, da die eigentliche Arbeit von externen Fachberatern durchgeführt werde, die dem Code per Reverse Engineering zu Leibe rücken und riesige Ausdrucke erstellen. Davidson wischt derartige Reports generell vom Tisch:

We don’t just accept scan reports as ‚proof that there is a there, there,‘ in part because whether you are talking static or dynamic analysis, a scan report is not proof of an actual vulnerability. Often, they are not much more than a pile of steaming … FUD. […] This is why we require customers to log a service request for each alleged issue (not just hand us a report) and provide a proof of concept (which some tools can generate).

If we determine as part of our analysis that scan results could only have come from reverse engineering (in at least one case, because the report said, cleverly enough, “static analysis of Oracle XXXXXX”), we send a letter to the sinning customer, and a different letter to the sinning consultant-acting-on-customer’s behalf – reminding them of the terms of the Oracle license agreement that preclude reverse engineering, So Please Stop It Already.

Des Weiteren lässt Davidson vernehmen, dass Oracle besser als jeder Security Researcher darin sei, Bugs zu entdecken, und dass diese zahlreiche falsche Positive melden würden.

Ah, well, we find 87% of security vulnerabilities ourselves, security researchers find about 3% and the rest are found by customers. (Small digression: I was busting my buttons today when I found out that a well-known security researcher in a particular area of technology reported a bunch of alleged security issues to us except – we had already found all of them and we were already working on or had fixes. Woo hoo!)

Ihre Forderung:

so please do not waste our time on reporting little green men in our code.

Zwar würde Oracle „echte“ Probleme nicht ignorieren, egal auf welche Art sie gefunden wurden, allerdings solle derjenige, der sie gefunden hat, keine Dankbarkeit (oder gar Belohnung, wie sie bei anderen Unternehmen gang und gäbe sind) erwarten:

We will also not provide credit in any advisories we might issue. You can’t really expect us to say “thank you for breaking the license agreement“

Davidsons wenig positive Haltung gegenüber externen Security Researchern entbehrt nicht einer gewissen Ironie, wenn man bedenkt, dass in den vergangenen Jahren zahlreiche schwerwiegende Bugs nur dank diesen gefunden wurden. Des Weiteren widerspricht sie mit ihren Aussagen zur Nichtnennung von Bugjägern der offiziellen Reporting-Seite von Oracle. Dort ist zu lesen:

Oracle’s policy is to credit all researchers in the Critical Patch Update Advisory document when a fix for the reported security bug is issued.

Wenig verwunderlich also, dass Davidsons Blogpost bereits bald wieder aus dem Netz verschwand (dabei natürlich jedoch nach wie vor auffindbar ist) und Edward Screven, Oracles Executive Vice President und Chief Corporate Architect, mit einem entsprechenden Statement an die Öffentlichkeit trat:

The security of our products and services has always been critically important to Oracle. Oracle has a robust program of product security assurance and works with third party researchers and customers to jointly ensure that applications built with Oracle technology are secure. We removed the post as it does not reflect our beliefs or our relationship with our customers.

Doch, wie das im Internet nun einmal so ist: Der Versuch, die Wogen zu glätten, muss gegen einen bereits losgebrochenen Shitstorm ankämpfen. Neben „gewöhnlichen“ Usern, die sich in den Kommentarspalten diverser Plattformen Luft machen („Typical Oracle customer-hostile attitude“), melden sich per Twitter auch einige der gescholtenen Sicherheitsexperten selbst zu Wort:

 

 

Es ist nicht das erste mal, das Davidson sich u. a. negativ über Security Researcher – in einem ihrer Artikel von ihr als „Security weenies“ bezeichnet – und deren Arbeit auslässt. Derart viel Resonanz – und eine derart schnelle und rigide Reaktion von Seiten Oracles – provozierte bislang allerdings keine ihrer Tiraden. Interessant sind die Aussagen für den Chief Security Officer eines der weltweit umsatzstärksten Softwareunternehmen allemal.

Aufmacherbild: A penetrated security lock with a hole on computer circuit board background von Shutterstock / Urheberrecht: wk1003mike

Verwandte Themen:

Geschrieben von
Michael Thomas
Michael Thomas
Michael Thomas studierte Erziehungswissenschaft an der Johannes Gutenberg-Universität Mainz und arbeitet seit 2013 als Freelance-Autor bei JAXenter.de. Kontakt: mthomas[at]sandsmedia.com
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: