image

Oracle: klanten mogen onze software niet controleren

dinsdag 11 augustus 2015, 14:04 door Redactie, 13 reacties
Laatst bijgewerkt: 12-08-2015, 09:37

Bedrijven die de software van Oracle gebruiken en via reverse engineering willen controleren of er geen beveiligingsproblemen aanwezig zijn moeten hiermee stoppen, aangezien ze in dit geval de licentieovereenkomst overtreden. Dat stelt Mary Ann Davidson, Chief Security Officer van Oracle.

In een uitgebreide blogposting haalt Davidson uit naar het reverse engineeren van Oracle-producten via scanners, tools of consultants. Klanten beschikken niet over de broncode van Oracle, maar via reverse engineering kan de werking van de code toch worden achterhaald. Vervolgens kunnen op deze manier beveiligingsproblemen worden gevonden. Volgens de CSO voert Oracle zelf dit soort controles van de code uit.

Het softwarebedrijf zit dan ook niet te wachten op de scanrapporten van klanten die soortgelijke tools hebben uitgevoerd of consultants inschakelen om de code te analyseren. Als het bedrijf dit soort rapporten ontvangt en als blijkt dat de scanresultaten via reverse engineering zijn verkregen, dan stuurt Oracle een brief dat de klant in overtreding is en hiermee moet stoppen. In tegenstelling tot het zelf controleren zouden klanten naar certificeringen en controleprogramma's moeten kijken of de softwareleverancier wel de zaakjes op orde heeft, aldus Davidson.

Beloning

De CSO gaat ook in op het betalen van onderzoekers voor bugmeldingen. Steeds meer bedrijven voeren zogeheten "bug bounty" programma's in. Onderzoekers die kwetsbaarheden vinden en dit vervolgens melden worden hiervoor beloond. Volgens Davidson vindt Oracle 87% van de beveiligingslekken zelf, terwijl 3% door beveiligingsonderzoekers wordt ontdekt. De resterende 10% wordt door klanten gevonden.

"Waarom zou ik dan ook veel geld aan 3% van het probleem uitgeven, als ik dat geld veel beter voor preventie kan gebruiken, of een nieuwe werknemer kan inhuren om een goede tool te ontwikkelen", stelt Davidson. Ze hoopt met de blogposting dan ook discussies met klanten dat ze de licentieovereenkomst hebben overtreden te voorkomen. "Ik besteed mijn tijd en die van mijn team liever aan het verbeteren van onze code, dan met mensen over de licentieovereenkomst te discussiëren." De uitspraken van Davidson hebben inmiddels voor felle reacties op Reddit gezorgd.

Update 15:36

Davidson heeft haar blogpost inmiddels verwijderd. Een gearchiveerde versie is nog wel online te vinden.

Update 12/8

Oracle laat in een reactie aan Security.NL weten dat het de blogposting van de CSO heeft verwijderd omdat die niet met de ideeën van het bedrijf overeenkomt of de relatie met klanten weergeeft.

Reacties (13)
11-08-2015, 14:18 door [Account Verwijderd]
404 not found (blog).

LOL.
11-08-2015, 14:19 door Anoniem
Het blog is inmiddels verwijderd. Cached versie hier: http://webcache.googleusercontent.com/search?q=cache:ntXM0RlghUUJ:https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t+
11-08-2015, 14:37 door Ar0xA
lang leve het web: https://archive.is/iz4H2
11-08-2015, 15:07 door Anoniem
Fijne instelling. Wanneer ik software gebruik en daar zit een lek in, waardoor ik data verlies, zal ik in de VS toch ook moeten dokken. Het lijkt me, dat ik dan ook wil controleren of het veilig is. Of betaald Oracle me dan de geleden schade terug????
11-08-2015, 16:16 door Anoniem
RIP Oracle.....
11-08-2015, 16:18 door Anoniem
Is dit in Europa überhaupt wel wettelijk toegestaan? Het zou me niets verbazen als zo'n bepaling van rechtswege ongeldig was.
11-08-2015, 16:39 door Anoniem
Maar 1 opmerking: https://onzetaal.nl/taaladvies/advies/zoals-de-waard-is-vertrouwt-hij-zijn-gasten
Dus Oracle de deur uit!

TheYOSH
11-08-2015, 17:38 door Anoniem
Door Anoniem: Is dit in Europa überhaupt wel wettelijk toegestaan? Het zou me niets verbazen als zo'n bepaling van rechtswege ongeldig was.
Er is alleen een uitzondering voor het reverse engineeren van software om koppelingen mogelijk te maken.
Er is geen uitzondering voor het doen van security onderzoek. Dat mag een leverancier dus verbieden. En dan
mag je uiteraard besluiten de spullen van die leverancier niet te kopen of te gebruiken.
11-08-2015, 17:52 door Anoniem
Regelmatig staat deze zin in Oracle vulnerabilities: "was being reported as actively exploited in the wild". Ik denk dat men in de statistieken en berekeningen de zwarte hoedjes is vergeten.

Tha dan maar verkopen in the underground als je bugs hebt gevonden. Daar doet men niet moeilijk over licenties EN je krijgt betaald voor je research EN je zit Oracle dwars. Triple win :-)
11-08-2015, 20:14 door karma4
Door Anoniem:
Door Anoniem: Is dit in Europa überhaupt wel wettelijk toegestaan? Het zou me niets verbazen als zo'n bepaling van rechtswege ongeldig was.
Er is alleen een uitzondering voor het reverse engineeren van software om koppelingen mogelijk te maken.
Er is geen uitzondering voor het doen van security onderzoek. Dat mag een leverancier dus verbieden. En dan
mag je uiteraard besluiten de spullen van die leverancier niet te kopen of te gebruiken.

Bestaat wettelijk (auteursrecht) en als Europese richtlijn; http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32009L0024&from=EN

Artikel 5 Uitzonderingen voor handelingen waarvoor toestemming nodig is
1 ... voor het beoogde doel, onder meer om fouten te verbeteren.
2 Het maken van een reservekopie door een rechtmatige gebruiker van het programma kan niet bij overeenkomst worden
verhinderd indien die kopie voor bovenbedoeld gebruik nodig is.
3. De rechtmatige gebruiker van een kopie van een programma is gemachtigd om zonder toestemming van de rechthebbende de werking van het programma te observeren, te bestuderen en uit te testen, ten einde vast te stellen welke ideeën en beginselen aan een element van het programma ten grondslag liggen, indien hij dit doet bij het rechtmatig laden of in beeld brengen, de uitvoering, transmissie of opslag van het programma.

Artikel 6 Decompilatie
1 om de interoperabiliteit
van een onafhankelijk gecreëerd computerprogramma met andere programma's tot stand te brengen, op
voorwaarde dat:
a/ deze handelingen worden verricht door de licentiehouder of ...
b/ ...nog niet eerder snel en gemakkelijk beschikbaar zijn gesteld voor de onder a) bedoelde personen,.... en ...
c/ ...beperkt blijven tot die onderdelen ...

Dat gaat heel ver. Onder 5 no 2 zie ik ook het testen en ontwikkelen van een cold DR aanpak. De infra interoperabiliteit is de DTA van het infrastrcutuur team die iets werkends moet zien te maken. Dat is want anders dan een POC.
Als daar de bewijsvoering bij zit dat het een omgeving is die veilig is wat security betreft is reverse engineering noodzakelijk is.

De decompliatie komt er nog bij als de benodigde gegevens niet door de leverancier verstrekt wordt. Hoe wou je anders een security interface of anderzins kunnen valideren.

Een slager die zijn eigen vlees keurt. Allee het idee om zoiets als policy uit te dragen is een flater van je welste.
12-08-2015, 00:33 door Anoniem
We kunnen hier wel schande spreken over Oracle, maar waarom doen we dat dan niet over Microsoft, Adobe, Autodesk, Exact enz enz enz? Ze hebben allemaal in hun voorwaarden staan dat je de software niet mag onderzoeken. We hebben boter op ons hoofd als we nu over Oracle die er open over is, terwijl de rest door hun stilte geen kritiek ontvangen. Ik heb liever een leverancier die helder is over hun voorwaarden dan bedrijven die hun mond niet opentrekken en ondertussen soortgelijke voorwaarden hanteren.
12-08-2015, 11:45 door Anoniem
dat doen we ook. Allemaal leveranciers die ik nooit zal kiezen en ook nooit aan zal raden. Maar Oracle maakt het hier wel heel bont. Ik zal blij zijn wanneer ze zichzelf en alles dat ze maken en verkopen de grond in hebben geboord.
15-08-2015, 22:32 door Anoniem
De backdoors die Oracle standaard in hun software inbouwt om mee te kijken in de servers van hun klanten zijn helemaal geen bugs. Het zijn ingebouwde gaten die door hackers gevonden worden en dan heb je weer een zoveelste "zero day exploit".
Als klant kan je niet echt vertrouwen hebben in dit soort software maar het is uniek in zijn soort en zijn alternatieven schaars.
Voor Microsoft, Apple, Google, virusscanners, facebook en Adobe geldt m.i. eigenlijk hetzelfde, ze willen allemaal meekijken.
Die CEO heeft een punt als er geen hackers en virussen zouden zijn, dan hoef je ook nergens bang voor te zijn......behalve als de software door de leverancier wordt misbruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.