|
分析:甲骨文是否重蹈微软覆辙 成漏洞温床 |
2009-05-05 |
|
|
2005-9-20 13:49:00 文/戴寻严 编译 出处:天极网 今年,甲骨文公司花费110多亿美元购并了仁科和Retek,还准备用58.5亿美元买下CRM厂商Siebel。甲骨文正在将自己“升级”成企业软件巨擎。然而,随着有关大量积累的软件漏洞和补丁程序出现问题的报道出笼,甲骨文的发展之路出现了危险的信号。这使得人们怀疑,这个数据库巨头是否正在走向一场软件安全的危机。
在过去一年中,甲骨文陷入一连串的失误和错误中。其中,漏洞补丁中居然出现问题,屡屡遭到独立信息安全公司的炮轰(这些公司认为甲骨文严重缺乏安全意识)。虽然甲骨文负责产品安全的官员表示目前正在采取一系列措施来提高软件安全性,但业界专家认为甲骨文的产品体系缺乏一个统一的安全架构。
漏洞补丁竟不测试
7月份,英国安全软件公司NGS的专家里奇菲尔德(David Litchfield)发现,甲骨文在4月份已发布的一个数据库补丁不能够在发生问题的机器上成功安装。随后,甲骨文被迫紧急修改这个业已“发布”过的补丁。
8月份,里奇菲尔德的宣布再次震惊了甲骨文。他经过分析发现,该公司的安全工具OPatch会向用户误报系统安全状况。在数据库漏洞补丁没有打全的时候,OPatch却会让用户以为系统已经没有漏洞。
甲骨文首席安全官安妮(Mary Ann Davidson)在接受《eWeek》杂志采访的时候,承认在其“季度关键补丁更新”(CPU)系统中发布的100个补丁中,可能就有一个出现问题。她承认,公司没有没有事先测试补丁程序是否可在出现问题的机器上正确安装。目前,甲骨文已经动手解决这个问题。所有补丁在发布之前,都必须在安妮的部门经过测试。未来,甲骨文还将规定标准的流程来评估补丁程序是否万无一失。
对于安全报告反应迟钝
此外,外界对甲骨文提出的另外一项批评,是对于安全公司提出的漏洞报告反应迟钝。
7月份,德国“红数据库安全”公司首席执行官亚历山大(Alexander Kornbrust)公开了在Oracle数据库的表单和报告功能所存在的6个漏洞。其中,有一个“高风险”漏洞已经存在了两年时间,可被远程袭击者用来重写Oracle应用服务器上的文件,而所需的袭击手段仅仅是一个普通的网址。亚历山大表示,他是因为对于甲骨文的反应迟缓不满,才公开了这些漏洞信息。
在亚历山大的眼中,甲骨文是一个缺乏和外界沟通并不愿意对产品问题承担责任的公司。他说:“你发邮件给甲骨文,当天,你就得到一个回复,称他们正在研究所报告的漏洞,不过,后来什么也没有发生。” 亚历山大透露,他手里还掌握了大量在2、3年前就存在的“关键”漏洞。
同样的故事发生在阿根廷的信息安全公司Argeniss身上。该公司首席执行官塞鲁达(Cesar Cerruda)表示,他的研究人员在甲骨文的产品中发现了许多漏洞。其中有暴露给所有用户的Oracle数据库函数中存在的缓冲区溢出和“SQL 注入”漏洞,有的漏洞可以让远程攻击者无需登陆即搞瘫数据库服务器。塞鲁达说:“其中的一些漏洞非常容易发现,我们不明白甲骨文公司为什么不给它们打补丁。”
更糟糕的是,在从8i到最新的10g版的Oracle数据库中 ,Argeniss公司的研究人员还在不断发现新的漏洞,这些漏洞同样没有补丁问世。
从10月起清理漏洞清单
安妮承认甲骨文公司积累了很多悬而未决的产品漏洞,但她不同意这些安全公司报出的数字。此外,她还认为漏洞日积月累的原因是甲骨文新采用的“季度软件更新”(CPU)机制。在CPU下,甲骨文每个季度会在预先确定的日期发布大量的补丁。
据安妮称,甲骨文在确定列入CPU中的补丁时,态度比较保守,响应也比较慢,致使尚无补丁的漏洞数量急剧增加。不过,安妮说,从10月份起,甲骨文将“大幅度”增加CPU中的漏洞数,以尽快“清空”漏洞清单。
不过,作为甲骨文的首席安全官,安妮对于里奇菲尔德和亚历山大这样的独立安全人士却持有“异议”。她说这些公司和专家故意夸大了安全问题的数量和严重性,从而引起业界的注目,此外,肆意公开漏洞还将甲骨文大量的“无辜”客户置于危险境地。
对于里奇菲尔德对于OPatch的批评,安妮的反应是:“好消息无法吸引注意(耸人听闻的报道更有市场)。”
安妮承认,里奇菲尔德等人公开的一部分漏洞信息是有效的。不过,大约75%的软件漏洞是在甲骨文公司内部发现并得到解决,这些消息并不为外界所知。此外,安妮认为外界低估了甲骨文向各种版本和各种平台的软件产品推出补丁的难度。
据甲骨文公司的内部统计,在今年4月和7月的CPU期间,公司花在补丁上的时间和开销几乎下降了60%到80%。此外,在CPU发布后,软件用户打来的支持电话也明显减少。
产品太多忙不过来
安全人士大多认为甲骨文并未象微软那样“全心全意”地来处理安全问题。和甲骨文形成鲜明对比的是,微软目前已经有了遍布公司的流程和机制来提高产品安全性。美国马萨诸塞州“企业战略集团”的高级分析师奥尔特辛克(Jon Oltsik)指出:“从安全架构的角度看,微软(在安全领域)已经领先。甲骨文在处理产品安全问题上表现不错,但他们不清楚产品安全如何嵌入公司内部流程和组织架构中。”
奥尔特辛克说,尽管在产品安全上有着“病入膏肓”的“臭名”,微软把软件安全列为工作重点。从用户认证和访问权限控制的技术、到研发补丁和发布的机制都形成了统一。据悉,在微软的产品体系中,诸如活动目录和Kerberos网络认证协议等安全组件统一贯穿其中,而在甲骨文的产品体系中,不同的产品在访问权限和用户管理上却采用完全不同的技术。亚历山大表示:“根据我的观察,甲骨文在产品安全上没有足够的人力,他们的产品太多了。”
据安妮介绍,在漏洞发生后,甲骨文安全部门的处理人员会直接同程序员联系,而程序员一般承担了编写补丁的大部分工作。但据亚历山大指出,完全依靠程序员将产生问题,因为他们缺乏安全经验。亚历山大此言并非空谈,他称自己曾在甲骨文在德国和瑞士的公司里工作。他说:“他们只是普通的程序员,自己测试自己做的东西显然不会理想。”
安全专家也指出,在确定软件中是否存在安全风险时,程序员的自由度太大,无法得出客观准确的结论。
微软:不写代码先知隐患
据微软公司的高级安全产品经理霍华德(Michael Howard)介绍,微软建立了一个独立的“安全技术和业务”部门,类似一个服务全公司的安全咨询机构。此外,不同的产品部门都预先规定了安全报告流程和联系人,确保所有的安全问题和反应都落实到个人。
此外,微软还采取各种途经提高产品开发人员的安全经验。比如几个月前举行的“蓝帽”大会上,公司邀请的黑客当着微软程序员的面演示如何攻击他们开发的产品,这使开发人员大开眼界并大 为震惊。
霍华德说,微软公司还依赖大量的扫描工具来发现代码中存在的漏洞。“威胁模型”技术则可以让开发人员在编写代码之前就评估程序中存在的安全隐患。例如,微软曾计划为下一代Vista操作系统的“Windows更新”组件添加一个功能,但“威胁模型”指出这个功能有可能带来风险,于是微软放弃了这个功能。
霍华德说:“5年前,这个功能可能就开发了,发布两周之后,就会有众多用户报告有问题,这无疑将浪费用于研发、文档和发布的近1万个工时。现在,这种浪费可以避免。”
安全必须在甲骨文成为标准
安妮表示自己不是甲骨文的“制度狂”,但她的安全部门必须确保软件安全规范在所有的产品部门中都得到贯彻,并尽力提高开发人员的安全意识。安妮的下属采用了“每周一次黑客攻击”演示和强制性在线安全培训来提高开发人员的安全技能。
对于自动工具,安妮认为可能会有帮助,但有关软件产品安全的责任应该由产品经理和开发人员来承担,“自动工具无法治愈薄弱的安全意识。”
纽约“应用安全公司”的副总裁朱里亚(Ted Julian)表示:“在公司演进的道路上,甲骨文还没有走到微软的那一步。微软自上至下重视安全问题,这是一种全新的层次。” 他认为,微软这种作风的部分原因,是因为Windows操作系统和IE浏览器长久以来成为“菜鸟”就能攻击的目标。而Oracle数据库系统数量少,技术复杂,对于黑客的技术要求较高。因此攻击的频率较低。
奥尔特辛克认为,要使所有的产品都集中到一个安全架构下,甲骨文还有几年的时间要走。“他们必须加倍在安全上的努力,并使安全要求在所有的产品中和新购并的公司里成为标准。”
朱里亚称,和微软一样,甲骨文需要制定和外界沟通的机制和流程,并找到把关键补丁迅速送到客户手中的办法,而不是象现在这样,坐等每季度一次的CPU。“甲骨文最应该避免的是软件不安全的恶名和在安全问题上刚愎自用的形象。”朱里亚说。
同时,朱里亚也认为,甲骨文所面对的挑战也是IBM和微软等数据库厂商所共同面临的问题,“我认为整个数据库行业现在都意识到数据库安全是大问题。他们清楚该下功夫,但却不知道该在哪里以及如何下手。”
|
|
|
| |
|
|
