Nieuws

Oracle: klanten mogen onze software niet controleren

dinsdag 11 augustus 2015, 14:04 door Redactie, 13 reacties

Laatst bijgewerkt: 12-08-2015, 09:37

Bedrijven die de software van Oracle gebruiken en via reverse engineering willen controleren of er geen beveiligingsproblemen aanwezig zijn moeten hiermee stoppen, aangezien ze in dit geval de licentieovereenkomst overtreden. Dat stelt Mary Ann Davidson, Chief Security Officer van Oracle.

In een uitgebreide blogposting haalt Davidson uit naar het reverse engineeren van Oracle-producten via scanners, tools of consultants. Klanten beschikken niet over de broncode van Oracle, maar via reverse engineering kan de werking van de code toch worden achterhaald. Vervolgens kunnen op deze manier beveiligingsproblemen worden gevonden. Volgens de CSO voert Oracle zelf dit soort controles van de code uit.

Het softwarebedrijf zit dan ook niet te wachten op de scanrapporten van klanten die soortgelijke tools hebben uitgevoerd of consultants inschakelen om de code te analyseren. Als het bedrijf dit soort rapporten ontvangt en als blijkt dat de scanresultaten via reverse engineering zijn verkregen, dan stuurt Oracle een brief dat de klant in overtreding is en hiermee moet stoppen. In tegenstelling tot het zelf controleren zouden klanten naar certificeringen en controleprogramma's moeten kijken of de softwareleverancier wel de zaakjes op orde heeft, aldus Davidson.

Beloning

De CSO gaat ook in op het betalen van onderzoekers voor bugmeldingen. Steeds meer bedrijven voeren zogeheten "bug bounty" programma's in. Onderzoekers die kwetsbaarheden vinden en dit vervolgens melden worden hiervoor beloond. Volgens Davidson vindt Oracle 87% van de beveiligingslekken zelf, terwijl 3% door beveiligingsonderzoekers wordt ontdekt. De resterende 10% wordt door klanten gevonden.

"Waarom zou ik dan ook veel geld aan 3% van het probleem uitgeven, als ik dat geld veel beter voor preventie kan gebruiken, of een nieuwe werknemer kan inhuren om een goede tool te ontwikkelen", stelt Davidson. Ze hoopt met de blogposting dan ook discussies met klanten dat ze de licentieovereenkomst hebben overtreden te voorkomen. "Ik besteed mijn tijd en die van mijn team liever aan het verbeteren van onze code, dan met mensen over de licentieovereenkomst te discussiëren." De uitspraken van Davidson hebben inmiddels voor felle reacties op Reddit gezorgd.

Update 15:36

Davidson heeft haar blogpost inmiddels verwijderd. Een gearchiveerde versie is nog wel online te vinden.

Update 12/8

Oracle laat in een reactie aan Security.NL weten dat het de blogposting van de CSO heeft verwijderd omdat die niet met de ideeën van het bedrijf overeenkomt of de relatie met klanten weergeeft.

Firefox-gebruikers mogelijk al sinds 29 juli via lek aangevallen

Groot spambotnet plotseling van radar verdwenen

Reacties (13)

11-08-2015, 14:18 door [Account Verwijderd]

404 not found (blog).

LOL.

11-08-2015, 14:19 door Anoniem

Het blog is inmiddels verwijderd. Cached versie hier: http://webcache.googleusercontent.com/search?q=cache:ntXM0RlghUUJ:https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t+

11-08-2015, 14:37 door Ar0xA

lang leve het web: https://archive.is/iz4H2

11-08-2015, 15:07 door Anoniem

Fijne instelling. Wanneer ik software gebruik en daar zit een lek in, waardoor ik data verlies, zal ik in de VS toch ook moeten dokken. Het lijkt me, dat ik dan ook wil controleren of het veilig is. Of betaald Oracle me dan de geleden schade terug????

11-08-2015, 16:16 door Anoniem

RIP Oracle.....

11-08-2015, 16:18 door Anoniem

Is dit in Europa überhaupt wel wettelijk toegestaan? Het zou me niets verbazen als zo'n bepaling van rechtswege ongeldig was.

11-08-2015, 16:39 door Anoniem

Maar 1 opmerking: https://onzetaal.nl/taaladvies/advies/zoals-de-waard-is-vertrouwt-hij-zijn-gasten
Dus Oracle de deur uit!

TheYOSH

11-08-2015, 17:38 door Anoniem

Door Anoniem: Is dit in Europa überhaupt wel wettelijk toegestaan? Het zou me niets verbazen als zo'n bepaling van rechtswege ongeldig was.

Er is alleen een uitzondering voor het reverse engineeren van software om koppelingen mogelijk te maken.
Er is geen uitzondering voor het doen van security onderzoek. Dat mag een leverancier dus verbieden. En dan
mag je uiteraard besluiten de spullen van die leverancier niet te kopen of te gebruiken.

11-08-2015, 17:52 door Anoniem

Regelmatig staat deze zin in Oracle vulnerabilities: "was being reported as actively exploited in the wild". Ik denk dat men in de statistieken en berekeningen de zwarte hoedjes is vergeten.

Tha dan maar verkopen in the underground als je bugs hebt gevonden. Daar doet men niet moeilijk over licenties EN je krijgt betaald voor je research EN je zit Oracle dwars. Triple win :-)

11-08-2015, 20:14 door karma4

Door Anoniem:

Door Anoniem: Is dit in Europa überhaupt wel wettelijk toegestaan? Het zou me niets verbazen als zo'n bepaling van rechtswege ongeldig was.

Bestaat wettelijk (auteursrecht) en als Europese richtlijn; http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32009L0024&from=EN

Artikel 5 Uitzonderingen voor handelingen waarvoor toestemming nodig is
1 ... voor het beoogde doel, onder meer om fouten te verbeteren.
2 Het maken van een reservekopie door een rechtmatige gebruiker van het programma kan niet bij overeenkomst worden
verhinderd indien die kopie voor bovenbedoeld gebruik nodig is.
3. De rechtmatige gebruiker van een kopie van een programma is gemachtigd om zonder toestemming van de rechthebbende de werking van het programma te observeren, te bestuderen en uit te testen, ten einde vast te stellen welke ideeën en beginselen aan een element van het programma ten grondslag liggen, indien hij dit doet bij het rechtmatig laden of in beeld brengen, de uitvoering, transmissie of opslag van het programma.

Artikel 6 Decompilatie
1 om de interoperabiliteit
van een onafhankelijk gecreëerd computerprogramma met andere programma's tot stand te brengen, op
voorwaarde dat:
a/ deze handelingen worden verricht door de licentiehouder of ...
b/ ...nog niet eerder snel en gemakkelijk beschikbaar zijn gesteld voor de onder a) bedoelde personen,.... en ...
c/ ...beperkt blijven tot die onderdelen ...

Dat gaat heel ver. Onder 5 no 2 zie ik ook het testen en ontwikkelen van een cold DR aanpak. De infra interoperabiliteit is de DTA van het infrastrcutuur team die iets werkends moet zien te maken. Dat is want anders dan een POC.
Als daar de bewijsvoering bij zit dat het een omgeving is die veilig is wat security betreft is reverse engineering noodzakelijk is.

De decompliatie komt er nog bij als de benodigde gegevens niet door de leverancier verstrekt wordt. Hoe wou je anders een security interface of anderzins kunnen valideren.

Een slager die zijn eigen vlees keurt. Allee het idee om zoiets als policy uit te dragen is een flater van je welste.

12-08-2015, 00:33 door Anoniem

We kunnen hier wel schande spreken over Oracle, maar waarom doen we dat dan niet over Microsoft, Adobe, Autodesk, Exact enz enz enz? Ze hebben allemaal in hun voorwaarden staan dat je de software niet mag onderzoeken. We hebben boter op ons hoofd als we nu over Oracle die er open over is, terwijl de rest door hun stilte geen kritiek ontvangen. Ik heb liever een leverancier die helder is over hun voorwaarden dan bedrijven die hun mond niet opentrekken en ondertussen soortgelijke voorwaarden hanteren.

12-08-2015, 11:45 door Anoniem

dat doen we ook. Allemaal leveranciers die ik nooit zal kiezen en ook nooit aan zal raden. Maar Oracle maakt het hier wel heel bont. Ik zal blij zijn wanneer ze zichzelf en alles dat ze maken en verkopen de grond in hebben geboord.

15-08-2015, 22:32 door Anoniem

De backdoors die Oracle standaard in hun software inbouwt om mee te kijken in de servers van hun klanten zijn helemaal geen bugs. Het zijn ingebouwde gaten die door hackers gevonden worden en dan heb je weer een zoveelste "zero day exploit".
Als klant kan je niet echt vertrouwen hebben in dit soort software maar het is uniek in zijn soort en zijn alternatieven schaars.
Voor Microsoft, Apple, Google, virusscanners, facebook en Adobe geldt m.i. eigenlijk hetzelfde, ze willen allemaal meekijken.
Die CEO heeft een punt als er geen hackers en virussen zouden zijn, dan hoef je ook nergens bang voor te zijn......behalve als de software door de leverancier wordt misbruikt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer