Mark Lucas
0 
1881
401
Oracle bu hafta güvenlik şefi Mary Davidson tarafından yazılmış bir blog yazısı üzerinden sıcak su içindeydi. Gönderi, bir dizi konuyu kapsamasına rağmen, çoğunlukla Oracle'a olası güvenlik açıklarını bildirme pratiği ile ilgili. Özellikle, neden olmasın.
“Son zamanlarda, müşterilerimizde, güvenlik açıklarını bulmaya çalışmak için kodumuzu tersine çeviren büyük bir uptick gördüm. Bu nedenle, müşterilere çok fazla mektup yazıyorum. “merhaba, naber, aloha” ama ile bit “Lütfen lisans sözleşmenize uyun ve kodumuzu tersine çevirmeyi bırakın.”
Davidson, güvenlik açıkları (ya da onlar için bunu yapmak için danışmanları işe almak) isteyen tersine mühendislik yapan, tersine mühendislik uygulayan, giderek artan sayıda güvenlik bilincine sahip müşterinin olduğunu açıklamaktadır. Davidson, bu müşterilerini lisans sözleşmelerini ihlal etmek, sıradan güvenlik önlemleri almamak, Oracle'ın kendileri için iş yapmaya çalışmak ve genellikle Kötü İnsan olmakla suçlamaktadır. Müşteri gerçek bir güvenlik açığı bulmuşsa, Oracle düzeltecektir..
“Bu soruyu cevaplamaktan neredeyse nefret ediyorum çünkü müşterilerin kodumuzu tersine çevirmemeleri gerektiğini söylemeliyim. […] Bu sorunu (tersine mühendislikle buldukları) bildiren bir müşteriye sorun için özel bir kereye mahsus yama vermeyeceğiz. Ayrıca yayınlayabileceğimiz herhangi bir tavsiye için kredi sağlamayacağız. Gerçekten söylememizi bekleyemezsiniz. “lisans sözleşmesini ihlal ettiğiniz için teşekkür ederiz.””
Bu yaptı değil Güvenlik topluluğunda iyice dolaşın ve görev hızlı bir şekilde düşürüldü, ancak yeni bir hashtag oluşturmadan önce, Hashtag Aktivizmi: # güçlü ya da # puansız? Hashtag Aktivizmi: # güçlü ya da # puansız? #BringBackOurGirls, #ICantBreathe ve #BlackLivesMatter, geçen yıl geniş çapta uluslararası kapsama alanı buldu - ancak hashtaglerin etkin bir aktivizm aracı olduğu? .
Alan Turing, "İlk önce Enigma'nın EULA'sını kontrol et." Dedi. #oraclefanfic
- Thorsten Hasta (@ThorstenSick) 11 Ağustos 2015
Ancak, güvenlik dünyasına aşina değilseniz, orijinal gönderinin neden bu kadar yanlış yönlendirildiği açık olmayabilir. Öyleyse, bugün, Oracle’ın güvenlik felsefesinin ana akımdan nereye ayrıldığı ve neden bir sorun olduğu hakkında konuşacağız..
Tartışmayı Açıklamak
Öyleyse, tam tersi bir mühendislik nedir ve Davidson neden bu konuda endişe duyuyor? Temel olarak, Oracle bir yazılım parçası yayınladığında, bunlar “derlemek” iç kaynak kodlarını çalıştırılabilir dosyalara dönüştürür ve ardından bu dosyaları müşterilere sunar. Derleme, insan tarafından okunabilir bir kod çeviren bir işlemdir (C ++ 3 Dilleri gibi Dilleri Öğrenmeye Başlamak İçin Web Siteleri C ++ Programlama Dili 3 Dilleri Öğrenmeye Başlamak İçin Web Siteleri C ++ Programlama Dilleri Programlamayı öğrenmek, nispeten kolay programlama dilleriyle bile, çoğu için zor olabilir (Java, MakeUseOf for Java'nın yanı sıra… burada sayısız makalemizin bulunduğu) bir bilgisayar işlemcisine doğrudan beslenebilen daha yoğun bir ikili diline başlamak için daha kolay.
Oracle'ın kaynak kodu genel değil. Bu, başkalarının fikri mülkiyet haklarını çalmalarını zorlaştırmak için tasarlanmıştır. Ancak, müşterilerin kodun güvenli olduğunu doğrulaması çok zor olduğu anlamına da gelir. 'Ayrıştırma' devreye giriyor. Temel olarak, derleme işlemi diğer yönde çevrilebilir, yürütülebilir dosyaları tekrar insan tarafından okunabilir koda dönüştürür. Bu tam olarak orijinal kaynak kodunu sağlamaz, ancak aynı şekilde çalışan kodları da sunar - yorumların kaybı ve organizasyon yapısından dolayı okunması genellikle zordur..
Bu “tersine mühendislik” Davidson'un kastettiği şey. Oracle, fikri mülkiyetlerini riske attığını düşündüğü için buna karşı çıkıyor. Bu, en azından biraz aptalca çünkü IP hırsızlığını yasaklamak için bir lisans sözleşmesi kullanmak, ev işgalini önlemek için sertçe kullanılan bir paspas kullanmak gibi bir şey. Ürünlerinizi klonlamaya çalışacak kişiler, lisans sözleşmeleriyle ilgilenmezler. 4 Bir Son Kullanıcı Lisans Sözleşmesini Okuma ve Anlama Yolları (EULA) Daha Kolayca Bir Son Kullanıcı Lisans Sözleşmesini Okuma ve Anlama Yolları (EULA) Daha Kolayca EULA'lar veya Son Kullanıcı Lisans Sözleşmeleri, modern yaşamın kötülüklerinden biridir. Bunlar genellikle küçük baskılarla yazılmış, hiç bitmeyen endişe anlaşmalarıdır. Bunlar, gözü kapalı bir şekilde aşağı kaydırdığınız, aradığınız lanet olası şeylerdir ... ve çoğu zaman bu anlaşmaları her durumda uygulayabileceğiniz yargı alanlarında değiller..
İnsanlık mahkumdur… #oraclefanfic #justoraclethings pic.twitter.com/e6MOZzkkvq
- CyberAnarchist (@ Cyb3rOps) 12 Ağustos 2015
Politika gerçekten sadece meşru müşterileri etkiler. Durum, video oyunu ile benzer. DRM 6 DRM-Free Oyunlar Satın Alma Yerleri [MUO Oyun] 6 DRM-Free Oyunlar Satın Alma Yerleri [MUO Oyun] Steam'den oyun almaya karar verdiğimden beri, başka bulmam gerekiyor kaynaklar. Birçoğu aslında Steam'in kendisinden daha kötü. Ubisoft'un mağazası şaşırtıcı ve can sıkıcı DRM ile dolu. Elektronik Sanat…… ama bir şekilde daha da etkisiz.
Müşteriler neden bu yürütülebilir dosyaları derlemek ister? Her şey güvenlikle ilgili. Kaynak koduna erişebilmek, hataları ve olası sorunları araştırmanızı sağlar. Genellikle, bu bir performans sergileyen bir yazılım kullanılarak yapılır. “statik kod analizi” - bilinen hataları ve hatalara yol açan tehlikeli yazılım uygulamalarını tanımlayan otomatik bir kod okuma. Yürütülebilir dosyayı doğrudan analiz eden araçlar varken, kod çözme işlemi genellikle daha derin analizlere olanak sağlar. Bu tür bir statik analiz, güvenlikteki ticaretin standart bir aracıdır ve güvenlik konusunda bilinçli şirketlerin çoğu, bu tür yazılımları dahili olarak ciddi hata içerme olasılığı daha düşük olan kod üretmek için kullanır.
Oracle'ın bu tür bir analiz konusundaki politikası çok basit. “yapamaz.” Niye ya? Davidson'un açıklamasına izin vereceğim.
“Bir müşteri, tarama aracının çığlık attığı saldırıyı önleyen bir kontrolün olup olmadığını görmek için kodu analiz edemez (büyük olasılıkla yanlış bir pozitif) […] Şimdi, sadece taramayı kabul etmediğimizi not etmeliyim. olarak raporlar “orada olduğunu ispatla,” Kısmen statik mi yoksa dinamik analiz mi konuşuyorsanız, bir tarama raporu gerçek bir güvenlik açığının kanıtı değildir. […] Oh, ve biz müşterilerimizden / danışmanlarımızdan bu ters mühendislik sonuçlarının imhasını aldıklarını ve yaptıklarını doğrulamaları gerekiyor.”
Başka bir deyişle, sonucu açan araç gerçek bir hatanın kanıtı değildir - ve Oracle bu araçları dahili olarak kullandığından, müşterilerin bunları kendi başına çalıştırmasının bir anlamı yoktur..
Bununla ilgili büyük sorun, bu statik kod analiz araçlarının sadece hataları dikkatinize çekmek için mevcut olmamasıdır. Ayrıca kod kalitesi ve güvenliği için bir hedef görevi görmeleri gerekiyordu. Oracle'ın kod tabanını endüstri standardı bir statik analiz aracına yerleştirirseniz ve yüzlerce sayfa sorun çıkarıyorsa, bu gerçekten kötü bir işaret.
Statik bir kod analiz aracı bir sorunu çözdüğü zaman doğru cevap, konuya bakmak ve 'ah, hayır, çünkü böyle bir hataya neden olmaz' demek değildir. Doğru cevap içeri girip sorunu düzeltmektir. Statik kod analiz araçları tarafından işaretlenen şeyler genellikle genel olarak kötü uygulamalardır ve verilen bir sorunun gerçekten hataya neden olup olmadığını belirleme beceriniz. Binlerce konuda, bir şeyleri özleyeceksin. İlk başta kod üssünüzde böyle şeyler olmamasından daha iyi olursunuz..
İşte Oculus CTO John Carmack, iD Software'deki zamanından bu araçların övgülerini söylüyor. (Cidden, bütün makaleyi oku, ilginç şeyler).
“Projelerden birinin yanlışlıkla birkaç ay boyunca statik analiz seçeneğinin kapatıldığı ve fark edip yeniden etkinleştirdiğimde, aralarında ortaya konan yeni hata yığınları olduğu bir dönem geçirdik. […] Bunlar normal gelişim operasyonlarının sürekli olarak bu hata sınıflarını ürettiğini ve [statik kod analizi] bizi birçoğundan etkili bir şekilde koruduğunu gösteriyordu..”
Kısacası, çoğu Oracle müşterisinin belirli hataları bildirmeye çalışmasının gerekmediği muhtemeldir - Oracle'ın kodlama uygulamalarının neden bu kadar zayıf olduğunu soruyorlardı. otomatik yazılımla.
Sun'ın gittiğinden dolayı hala üzgünüm. Ve onları Oracle'a satan deha kimdi? Darth Vader'in çocuklarına bakıcılık yapmasına izin vermek gibi bir şey..
- Brad Neuberg (@bradneuberg) 15 Ağustos 2015
Çıkartmalarla Güvenlik
Peki, güvenlikle ilgili müşteriler statik analiz araçları kullanmak yerine ne yapmalı? Neyse ki, Davidson'un blog yazısı bu konuda son derece ayrıntılıydı. Genel temel güvenlik uygulamalarını savunmanın yanı sıra, kullandıkları yazılımın güvenliği konusunda endişeli olanlar için somut önerilerde bulunuyor..
“[T] burada bir müşterinin yapabileceği pek çok şey var, aman Tanrım, aslında tedarikçileriyle güvence programları hakkında konuşuyorlar veya iyi temizlik mühürleri bulunan ürünler için sertifikaları kontrol ediyorlar (veya “iyi kod” mühürler) Ortak Kriterler sertifikaları veya FIPS-140 sertifikaları gibi. Çoğu satıcı - en azından bildiğim büyük işlerin çoğu - şu anda oldukça sağlam bir güvence programına sahipler (bunu biliyoruz çünkü hepimiz konferanslardaki notları karşılaştırıyoruz).”
Bu bir korkunç Oracle kadar büyük bir kuruluştan gelen yanıt. Bilgisayar güvenliği hızla gelişen bir alandır. Her zaman yeni güvenlik açıkları bulunur ve güvenlik gereksinimlerini birkaç yılda bir güncellenen bir sertifikaya dönüştürmek saçmadır. Güvenlik bir çıkartma değildir. Paket üzerindeki bir mühüre dayanarak çok önemli bir yazılımın güvende olduğuna güveniyorsanız, sorumsuzca aptal oluyorsunuz.
Heck, statik analiz araçları bu sertifikalardan daha sık güncellenmektedir - bazı durumlarda günlük olarak - ve ortaya çıktıkları tüm sorunları ortadan kaldırmaktadır yine Kodunuzun güvenliğine çok fazla güvenmeniz yeterli değildir, çünkü çoğu güvenlik açığı bu tür otomatik araçlar tarafından algılanamayacak kadar karmaşıktır..
Kendi güvenliğinize güvenmenin tek yolu, kodunuzu dünyaya göstermek ve bilgisayar korsanlarından kırmaya çalışmasını istemek. Çoğu büyük yazılım şirketi bu şekilde işler: kodlarıyla ilgili bir sorun bulursanız, kullanım sözleşmenizi ihlal ettiğiniz için küçümseyip istila etmezler. Sana para ödeyecekler. İnsanların her zaman yazılımlarını kırmak için ellerinden gelenin en iyisini yapmalarını ister. Kodlarının güvende olduğundan emin olmalarının tek yolu bu..
Bu programlar denir “böcek ödülü” programlar ve uzun süre kurumsal düzeyde güvenliğin başına gelebilecek en iyi şey onlar. Aynı zamanda tesadüfen, Davidson'un oldukça kuvvetli görüşleri olduğu bir şey..
“Bug bounties, yeni çocuk grubu (güzel aliteratiftir, hayır mı?) Pek çok şirket, güvenlik araştırmacılarına […] kendi kodlarında problemler bulmak ve Bu Yolun İçinde Yürüme Yolunda Yürümek: ısrar etmek için çığlık atıyor, bayılıyor ve atıyor hata ödülleri yapmıyorsanız, kodunuz güvenli değil.
Ah, peki, güvenlik açıklarının% 87'sini kendimiz buluyoruz, güvenlik araştırmacıları yaklaşık% 3'ünü buluyor, gerisi müşteriler tarafından bulunuyor. […] Böylesine kesin bir ekonomik temelde, neden problemin% 3'üne çok fazla para atacağımı belirterek, böcek ödüllerini almıyorum.”
Yeni başlayanlar için, bu statik kod analizlerinin sonuçlarına dayanarak, eğer ödediyseniz,% 3'ten çok fazla olabilir. Ama ben dalıyorum. Asıl mesele şudur: böcek böcekleri senin için değil, onlar bizim için. Aynı parayı iç güvenlik uzmanlarına harcadıysanız, hataları daha verimli bulabilir misiniz? Muhtemelen hayır - ama Oracle'a bir kemik atıp onların yapabileceğini varsayalım. Ancak, parayı da alabilir, banka edebilir ve kesinlikle hiçbir şey yapamazlar. Sonuçta ortaya çıkan güvenlik alt-par ise, müşteriler yalnızca bundan sonraki yıllar hakkında, sosyal güvenlik numaralarının gizemli bir şekilde derin ağlara gizlendiği zamanları anlayacaktır. Aktif Bulma Active .Onion Dark Web Sitelerini Bulun (Ve Neden İstesin Neden) Dark Web, kısmen Tor ağında barındırılan .onion sitelerinden oluşur. Onları nasıl ve nereye gideceksin? Beni takip et… .
“Güvenlik açığı yok. EULA öyle diyor.” #oraclefanfic pic.twitter.com/cUfafDCWbv
- Schuyler St. Leger (@DocProfSky) 11 Ağustos 2015
Böcek ödüllerinin yarısı var çünkü böcekleri tanımlamanın gerçekten etkili bir yolu, yarısı ise sahte olamayacağınız bir güvenlik şekli. Bir hata ödülü, dünyaya, kodda bırakılan herhangi bir hatanın, belirtilen ödülden daha bulmak için daha pahalı olduğunu söyler..
Hata ödülleri sizin rahatınız için mevcut değil, Oracle, var çünkü size güvenmiyoruz.
Yapmamalı mıyız? Çok sayıda büyük şirket, güvenliğin ön plana çıkmasına izin veriyor, zira çok sayıda megafon Hedef 40 Milyona Kadar ABD Müşterilerine Onay Veriyor Kredi Kartları Potansiyel Olarak Kesilen Hedef 40 Milyona Kadar ABD Müşterilerine Onay Veriyor ABD mağazalarında 27 Kasım - 15 Aralık 2013 tarihleri arasında alışveriş yapan 40 milyon müşteriye ait kredi kartı bilgileri. Dünyadaki en büyük ikinci yazılım üreticisisin. Ürünlerinizin güvende olduğu sözünüzü almamızı istemek saçmadır..
Davidson ne hak ediyor?
Davidson'a adalet olarak, bağlamında makul olan unsurları vardır. Muhtemelen, müşterilerinin birçoğu, sistemlerinden daha fazla güvenlik sorununu ortadan kaldırmak için zaman ayırmadan, Oracle kodunun iddialı denetimlerine giriyor.
“Gelişmiş Kalıcı Tehditler” - Verileri çalmak için belirli kuruluşlara erişmeye çalışan yetenekli hacker organizasyonları - kesinlikle korkutucu, ancak rakamlara göre, otomatik araçlara sahip milyonlarca fırsatçı amatör bilgisayar korsanından çok daha az tehlikelidirler. Temel güvenlik önlemlerini almadığınızda, ticari yazılımın bu tür statik analizlerini yapmak, henüz ön kapıya kilitlenmemiş olduğunuzda panik odası kurmak gibi bir şey..
Aynı şekilde, muhtemelen aynı otomatik analiz ile tekrar tekrar sunulması gerçekten sinir bozucu ve yararsızdır..
Bununla birlikte, bir bütün olarak ele alındığında, makale, sistem güvenliği ve geliştiriciler ile müşteriler arasındaki ilişki hakkında ciddi modası geçmiş bazı fikirleri ortaya koymaktadır. Davidson'un işinin sinir bozucu olduğunu takdir ediyorum, ancak kullanıcılar kullandıkları yazılımın güvenliğini doğrulamak için kendi yollarına gitmiyorlar. İşte Güvenlik Farkındalığı Başkanı, Ira Winkler'ın görevi:
“Oracle, yaygın olarak dağıtılan ve kritik uygulamalar için kullanılan ürünlerle çok büyük ve zengin bir şirkettir. Dönemi. Yazılımlarını mümkün olduğu kadar güçlü hale getirme sorumlulukları vardır […] Çok fazla yanlış pozitif olabilir ve bununla ilgili maliyetler olabilir, ancak bu, çok fazla kullanıcısı olan bir çok yazılım satma faktörüdür. İş yapmanın maliyeti. Eminim tüm yazılım şirketleri aynı yanlış pozitif raporlara sahiptir. Microsoft ve ark. şikayetçi.”
Oracle, statik güvenlik araçları tarafından bulunan binlerce sorunu almaya devam etmek istemiyorsa, belki de bu binlerce sorunu çöz. Eğer aynı böcekleri tekrar tekrar çeviren insanlar tarafından rahatsız edilirlerse, belki de sorunları olmayanların tekrar gönderimleriyle başa çıkma mekanizmaları olan uygun bir hata ödül programına sahip olmalıdırlar. Oracle'ın müşterileri daha yüksek bir güvenlik standardı için çarpıyorlar ve onları bunun için utandırıyorlardoğru cevap.
Oracle, görevi devralmış ve genel olarak reddetmiş olsa da, yazdığı, Oracle içinde derinden yanlış yönlendirilmiş bir güvenlik kültürü ortaya çıkarmaktadır. Oracle'ın güvenlik yaklaşımı, kendi fikri mülkiyet haklarını müşterilerinin güvenliği ve gönül rahatlığı üzerine korumayı öncelikli kılar - ve eğer Oracle yazılımını kritik bilgilerle emanet ediyorsanız, bu durum sizi korkutmalı.
Ne düşünüyorsun? Oracle'ın güvenlik felsefesiyle ilgileniyor musunuz? Sence Davidson çok sert davranılıyor mu? Yorumlarda bize bildirin!