Топ-менеджер Oracle: «Прекратите искать уязвимости в наших продуктах»

Безопасность Администратору
мобильная версия
, Текст: Сергей Попсулин
Директор Oracle по безопасности Мэри Энн Девидсон опубликовала в блоге корпорации гневную заметку с просьбой прекратить присылать Oracle сообщения о найденных уязвимостях в ее продуктах. Потому что Oraclе разбирается в уязвимостях лучше, а те, кто выполняют обратный инжиниринг кода, нарушают лицензию на продукт.

Разъяренная глава Oracle по безопасности

Глава Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала противоречивую заметку в официальном блоге компании, в которой потребовала от исследователей прекратить проводить обратный инжиниринг кода продуктов Oracle с целью нахождения в них уязвимостей. Обратный инжиниринг — исследование продукта с целью понять, как он работает.

Девидсон напомнила, что обратный инжиниринг является нарушением лицензионного соглашение с Oracle на использование продукта. Таким образом, компания не может «быть благодарна за нарушение лицензии», даже если эксперт нашел уязвимость, говорит Дэвидсон.

Масса писем, на которые приходится отвечать

По словам Девидсон, она получает массу писем от клиентов и независимых исследователей об обнаружении уязвимостей в продуктах Oracle. Однако она вовсе не рада таким письмам. «Я вынуждена начинать ответы с доброжелательных слов приветствия, но заканчивать исключительно фразой с требованием прекратить выполнять обратный инжиниринг нашего года», — пожаловалась глава Oracle по безопасности в длинной заметке, содержащей около 3 тыс. слов.

«Если вы пытаетесь увидеть код под другим ракурсом, то есть не в том виде, в котором вы его получили от нас, скорее всего, вы пытаетесь провести обратный инжиниринг. Не надо. Просто не делайте этого», — попросила Девидсон.

Зеленые человечки

Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. «Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде», — заявила она в своем открытом обращении. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры.


Глава Oracle по безопасности Мэри Энн Девидсон: «Прекратите искать уязвимости в наших продуктах»

Реакция сообщества

Заметка Девидсон вызвала жаркие дебаты в сообществе специалистов по информационной безопасности. Дело в том, что уведомление об уязвимостях, как правило, всего поддерживается всеми сторонами. Более того, является стандартной практикой вознаградить человека или компанию, нашедшую уязвимость и сообщившей о ней вендору, подчеркивает Wired.

Такую практику ведут почти все крупные компании и не только из мира ИТ — от Google до Microsoft, от United Airlines до Tesla. Например, Microsoft предлагает за нахождение уязвимостей денежные вознаграждения в сумме от $500 до $100 тыс. Все компании, как правило, стремятся первыми узнать об уязвимости, чтобы у их разработчиков было время их исправить, пока их не обнаружили злоумышленники.

Пользователи в Twitter, комментируя заметку, указали, что как бы Oracle ни пыталась запретить обратный инжиниринг, правительству США и криминальным структурам — а именно они представляют собой главную угрозу безопасности Oracle, считают пользователи, — нет дело до соблюдения этих предписаний.

Причина удаления заметки

Вскоре после публикации заметки Мэри Энн Девидсон запись была удалена (хотя ее по-прежнему можно прочитать в кэше Google). «Безопасность продуктов и услуг Oracle всегда была важным приоритетом в нашей работе. Oracle предпринимает комплекс мер для обеспечения высокого уровня защиты и сотрудничает с независимыми исследователями и клиентами над тем, чтобы ее приложения были безопасными, — пояснил Wired вице-президент Oracle Эдвард Скревен (Edward Screven). — Мы удалили запись, так как она не отражает наших ожиданий от сотрудничества с нашими клиентами».

Отношение Девидсон к ИБ-специалистам

Девидсон известна своим пренебрежительным отношением к независимым экспертам по безопасности. Несмотря на удаление последней записи, блог Oracle все еще содержит несколько других язвительных заметок ее авторства. Девидсон считает всех экспертов «младенцами», для которых более высокое значение имеет пиар, а не конкрертная работа. Именно по этому, считает она, в последнее время стало модно давать уязвимостям громкие обозначения, такие как Heartbleed и Shellshock, а также создавать целые кампании в социальных сетях с хэштегами и другими атрибутами, позволяющими привлечь к проблеме и автору находки как можно большее внимание.