Ежеквартальные Critical Patch Updates (CPUs) корпорации типично сопровождаются сообщениями о закрытии всех проблем, но на самом деле не все так, как это преподносится. Калифорнийский вендор портальных решений Redwood Shores (Oracle Receives Regulatory Clearance for Acquisition of Portal Software), приобретенный Oracle в начале 2006г., так же был обвинён в существовании уязвимых мест, которым уже больше года, и в существующей документации по устранению неисправностей, которую безнадёжно трудно расшифровать.
John Heimann, директор Управления программы безопасности Oracle, и Darius Wiles, главный менеджер по системам безопасности, недавно давали интервью на SearchSecurity относительно критики Oracle.
В этом интервью они обсудили множество возможностей исходного кода программ, с помощью которого можно исправить некоторые ошибки, но они согласны не со всеми результатами независимых исследований, которые были опубликованы.
- Исследователи Безопасности, такие, например, как David Litchfield (руководящий директор великобританского Next Generation Security Software Ltd.) регулярно критикуют Oracle за выпуск ежеквартального CPU, который полностью не исправляет всех ошибок. Оправдана ли эта критика?
Darius Wiles: «Некоторые из проблем преувеличены, но было время, когда появлялась уязвимость, которой просто нельзя увидеть. В процессе тестирования системы видимые ошибки иногда отсутствуют. Устранённые нами неполадки на наших системах могут не давать о себе знать, но когда приложение находиться в окружающей среде клиента, проблема может появиться из ниоткуда, и мы, к сожалению, не можем это отследить.
Мы работаем примерно со 150 системами, и иногда проблема состоит в том, что исправление функционирует на большинстве систем, но не на всех».
John Heimann: «Поддерживать такое количество систем – это вызов нам. В своей работе нам приходится с этим считаться. К тому же, мы работаем с очень сложным кодом – более сложным, чем программа запуска космического челнока Shuttle. Это больше искусство, чем наука».
- Что необходимо предпринять для улучшения процесса тестирования?
Darius Wiles: «Мы работаем, чтобы проводить тестирование приложений на оборудовании схожем с окружающей средой клиента. Мы также переходим к использованию технологии Fortify Software, чтобы далее автоматизировать процесс анализа нашего исходного кода на уязвимость. Мы действительно надеемся на то, что Fortify поможет нам исправить неполадки при внесении исправлений среди различных платформ».
John Heimann: «Мы так же сосредоточились на многих стандартах, тренируясь и согласовывая, чтобы гарантировать большую безопасность с самого начала процесса написания кода. Мы сильно озабочены тем, чтобы пользователи больше знали о безопасности, которую они ежедневно используют. И естественно пытаемся донести эту информацию до разработчиков».
Darius Wiles: «В некоторых наших командах, даже были люди пытающиеся взломать программы коллег чтобы найти слабые места».
- Многое из этого обеспечено только в более новых разработках, и исследователи похвалили вас за это. Но они похожи на тех клиентов, что используют более новые приложения Oracle. Как вы это прокомментируете?
Darius Wiles: «Есть жизненный цикл исправления ошибок, которому мы следуем повседневно: разработчики работают с основной линией кода – код который выпускается в новых версиях, этот метод действительно оправдывает себя. Когда обнаруживается дефект, мы изначально устраняем его в основной линии кода. Это самый быстрый и наиболее эффективный способ устранять недостатки в новых версиях, а затем разработчики автоматически устраняют эти ошибки в других разработках. Не хочется изобретать полностью новые процессы, а потом иметь дело со старыми ошибками. В CPU, как предполагается, сначала идет решение проблемы с самым высоким приоритетом, но для устранения неполадок может потребоваться намного больше времени, и само исправление у клиентов сможет появиться только в более новых версиях приложений».
- В апрельском CPU 2006, некоторые проблемы были исправлены, в то время как другие были отсрочены. Почему проблемы устраняют только частично?
Darius Wiles: «Когда есть обновление, которое все еще нуждается в устранении проблем, мы должны взвесить все потребности клиентов. Если CPU выходит и известная проблема исправлена, но не на всех системах, мы выпускаем то, что готово. И для клиентов, использующих разработку, для которой обновление не готово, мы можем, по крайней мере, сообщить, что кое-что обновиться и будет исправлено через три недели. Так что они могут спланировать свою работу».
- Вы думаете, было бы меньше критики о CPU, если бы документация была бы легче, чтобы ей следовать? Несколько экспертов из DBA сказали, что документация запутанная и очень мало деталей описано о той или иной неисправности.
Darius Wiles: «Схема CPU оправдала себя и в дальнейшем будет ещё более усовершенствована. Продолжаются обсуждения относительно количества деталей, которые нужно описать. Цель состоит в том, чтобы раскрыть детали, но не так много, потому что это может быть вредно. Добавление большего количества деталей в будущем – это сегодняшние разработки. Суть в том, что наши клиенты, это разные пользователи. Среди них есть технические люди подобно DBA, которые хотят знать больше, и менее технические - подобно CSOS, которым это просто не нужно. Между ними может произойти некий конфликт, которого мы пытаемся избежать. Можно сделать документацию лучше - для всех, но моё беспокойство в том, что, помещая в документацию больше слов, мы сделаем ее слишком раздутой».
- Вы представляете себе документацию Oracle, в котором, как и в Microsoft, будут понятно описаны все детали каждой неполадки, и как она может быть исправлена?
John Heimann: «Я никогда не смогу представить нашу документацию подобно Microsoft. Я в этом плане отдаю флаг в руки Microsoft. Наша цель состоит в том, чтобы дать пользователям достаточно информации, чтобы оценивать и понимать риски, а не развлекать их. Также требуется намного больше времени и планирования для создания обновления Oracle, так как выпуск большего количества деталей может подвергнуть клиентов большему риску непонимания сути».
- Вы говорите, что некоторые из опубликованных исследователями проблем преувеличены. Что вы имеете в виду?
Darius Wiles: «То общение, которые происходит по способам взлома программ, по сути чрезвычайно полезно. Мысли, которые высказал David Litchfield, были нам очень необходимы. Но некоторые из опубликованных исследователями проблем просто преувеличены. Однажды, кто - то сообщил о 12 проблемах безопасности, и другой человек сообщил о той же самой проблеме. Для исследователей, ищущих гласность, каждый недостаток критический».
- Одна из критикующих тем Oracle - о недостатках, которым больше года. Alexander Kornbrust (исследователь безопасности базы данных и деловой директор в германской фирме Red-Database-Security GmbH), к примеру, считает дыры в системе безопасности Oracle на его участке сети, и насчитывает их количество равным 45. Самый старый недостаток был раскрыт в начале 2003 года, и многие были уведомлены в прошлом году, сказал нам недавно Alexander Kornbrust. Является ли это частью преувеличений? Если нет, то долго ли ещё будут жить клиенты с открытыми уязвимостями?
Darius Wiles: «Да, есть то, что мы не исправляем сразу. Есть приоритет, которому мы следуем. Рассматривая проблему, мы классифицируем ее как действительно уязвимость или как не критически важную проблему для безопасности. Некоторые из них - это проблемы конфигурации. Так что приложение в целом может быть безопасно, но может существовать и основная проблема, которая открывает злоумышленнику доступ к чему-то. Иногда это проблема, которую пользователь может устранить самостоятельно. Когда это так, мы даем ему все рекомендации по исправлению».
SearchSecurity
Перевод и адаптация ERPNEWS©
© Oracle CIS, 2006
© Издание 12NEWS (ИП Маринин А.Л.), 2006