Claudio Tamburrino

Oracle e il reverse engineering che divide

La responsabile della sicurezza attacca duramente consulenti e clienti che scandagliano il codice proprietario: una questione di efficienza. Ma soprattutto di proprietÓ intellettuale. Poi, la rettifica

Roma - Il 10 agosto con un post dal titolo "No, You Really Can't" apparso (prima di essere tempestivamente rimosso) sul blog aziendale, Oracle ha attaccato duramente la pratica del reverse engineering a fini di sicurezza informatica.

A firmare l'intervento la chief security officer Mary Ann Davidson, che se la prende con quei clienti che direttamente o affidandosi a consulenti di sicurezza terzi scandagliano i software proprietari offerti da Oracle alla ricerca di bug o vulnerabilità: un'operazione che Davidson definisce non solo superflua, ma anche proibita dalla licenza d'uso con cui il software è distribuito.

Ad infastidire il CSO di Oracle sono un crescente numero di analisi, studi e statistiche che prendono di mira i sorgenti dei prodotti di Oracle alla ricerca di eventuali vulnerabilità e che arrivano all'azienda sotto forma di segnalazione da parte dei suoi clienti: secondo Davidson - che parla di reverse engineering - si tratta di test "raramente necessari che spesso puntano il dito contro difetti che non esistono" e di conseguenza fanno perdere tempo a lei ed al suo team.
D'altra parte, le prove fornite dagli autori delle segnalazioni si limitano spesso a parti di codice scansionati e riportati graficamente, e ciò, che derivi da un'analisi statica o dinamica, non sarebbe mai un'effettiva prova di una reale vulnerabilità. "Molto spesso non è altro che spazzatura", conclude Davidson.

"Si tratta praticamente per molti dei nostri prodotti - continua - del 100 per cento di falsi positivi, quindi per favore smettetela di farci sprecare tempo notificando piccoli omini verdi nel nostro codice", costringendola così a scrivere lettere in cui chiede "di rispettare il nostro accordo di licenza che proibisce il reverse engineering" sul codice.

In definitiva, Davidson sembra farne più una questione di rispetto della proprietà intellettuale del software che di orgoglio per dare pochi effettivi spunti ai ricercatori di sicurezza.

Nonostante il post sia stato rimosso in meno di un giorno e il vicepresidente esecutivo Edward Screven ne abbia preso le distanze con una dichiarazione in cui ribadisce l'importanza che la sua azienda dà a tutte le questioni di sicurezza ed al lavoro dei professionisti che se ne occupano, non si tratta della prima volta che Oracle attacca i consulenti terzi e chi effettua ricerca tramite reverse enginering.

Nonostante le dichiarazioni di facciata, insomma, la posizione sembra chiara e non è d'altra parte l'unica azienda ad assumerla: da ultimo - a seguito della scoperta da parte di due ricercatori di alcune vulnerabilità sul software dei modelli nordamericani di Jeep Cherokee - anche FCA ha sottolineato la sua contrarietà alla ricerca da parte di terzi sui software proprietari, una pratica che ritiene foriera di minacce e non utile a garantire la sicurezza dei suoi clienti.

Claudio Tamburrino
Notizie collegate
3 Commenti alla Notizia Oracle e il reverse engineering che divide
Ordina
  • ha sottolineato la sua contrarietà alla ricerca da parte di terzi sui software

    La domanda sorge spontanea: Altrimenti ?
    non+autenticato
  • Altrimenti vengono fuori le violazioni alle licenze free/open e ci portano in tribunale!
    non+autenticato
  • il povero CSO *formalmente* ha ragione sul reversing (da qualche parte in piccolo nell'EULA tutti chiedono non sia fatto), ma dal pdv PRATICO e' ridicolo (impossibilita' di enforcing. specie dai criminali che l'EULA la usano in bagno) e SPECIE se detto da Oracle (tons di vuln negli ultimi anni) E SPECIE se un ricercatore che ne ha beccate parecchie[*] ti risponde cosi :

    Revesing?
    Well, for most of the vulnerabilities we identified there is no need for any reverse engineering at all.
    This is how security research works. Some company hires us for pentesting. We carry out a test and find a series of critical issues, by simply checking if software properly responds to our actions or by checking if some parameters are configured in a secure way. Do we need to reverse-engineer a system if there is a user with default password or if we identified webservice which can provide unauthorized access to OS without authentication? And there are dozens of those examples, just look at the Alexey's <Oracle Peoplesoft Applications are under Attack>.



    [*] I want to comment on this situation as a researcher who helped Oracle to close 30+ vulnerabilities in their products, was in charge of independent Oracle security Research since 2007, acknowledged by Oracle 16 times, wrote a book about Oracle Database security and have published very critical vulnerability in Oracle PeopleSoft recently
    non+autenticato