Oracle: klanten mogen onze software niet controleren
Bedrijven die de software van Oracle gebruiken en via reverse engineering willen controleren of er geen beveiligingsproblemen aanwezig zijn moeten hiermee stoppen, aangezien ze in dit geval de licentieovereenkomst overtreden. Dat stelt Mary Ann Davidson, Chief Security Officer van Oracle.
In een uitgebreide blogposting haalt Davidson uit naar het reverse engineeren van Oracle-producten via scanners, tools of consultants. Klanten beschikken niet over de broncode van Oracle, maar via reverse engineering kan de werking van de code toch worden achterhaald. Vervolgens kunnen op deze manier beveiligingsproblemen worden gevonden. Volgens de CSO voert Oracle zelf dit soort controles van de code uit.
Het softwarebedrijf zit dan ook niet te wachten op de scanrapporten van klanten die soortgelijke tools hebben uitgevoerd of consultants inschakelen om de code te analyseren. Als het bedrijf dit soort rapporten ontvangt en als blijkt dat de scanresultaten via reverse engineering zijn verkregen, dan stuurt Oracle een brief dat de klant in overtreding is en hiermee moet stoppen. In tegenstelling tot het zelf controleren zouden klanten naar certificeringen en controleprogramma's moeten kijken of de softwareleverancier wel de zaakjes op orde heeft, aldus Davidson.
Beloning
De CSO gaat ook in op het betalen van onderzoekers voor bugmeldingen. Steeds meer bedrijven voeren zogeheten "bug bounty" programma's in. Onderzoekers die kwetsbaarheden vinden en dit vervolgens melden worden hiervoor beloond. Volgens Davidson vindt Oracle 87% van de beveiligingslekken zelf, terwijl 3% door beveiligingsonderzoekers wordt ontdekt. De resterende 10% wordt door klanten gevonden.
"Waarom zou ik dan ook veel geld aan 3% van het probleem uitgeven, als ik dat geld veel beter voor preventie kan gebruiken, of een nieuwe werknemer kan inhuren om een goede tool te ontwikkelen", stelt Davidson. Ze hoopt met de blogposting dan ook discussies met klanten dat ze de licentieovereenkomst hebben overtreden te voorkomen. "Ik besteed mijn tijd en die van mijn team liever aan het verbeteren van onze code, dan met mensen over de licentieovereenkomst te discussiëren." De uitspraken van Davidson hebben inmiddels voor felle reacties op Reddit gezorgd.
Update 15:36
Davidson heeft haar blogpost inmiddels verwijderd. Een gearchiveerde versie is nog wel online te vinden.
Update 12/8
Oracle laat in een reactie aan Security.NL weten dat het de blogposting van de CSO heeft verwijderd omdat die niet met de ideeën van het bedrijf overeenkomt of de relatie met klanten weergeeft.
Dus Oracle de deur uit!
TheYOSH
Er is geen uitzondering voor het doen van security onderzoek. Dat mag een leverancier dus verbieden. En dan
mag je uiteraard besluiten de spullen van die leverancier niet te kopen of te gebruiken.
Tha dan maar verkopen in the underground als je bugs hebt gevonden. Daar doet men niet moeilijk over licenties EN je krijgt betaald voor je research EN je zit Oracle dwars. Triple win :-)
Er is geen uitzondering voor het doen van security onderzoek. Dat mag een leverancier dus verbieden. En dan
mag je uiteraard besluiten de spullen van die leverancier niet te kopen of te gebruiken.
Bestaat wettelijk (auteursrecht) en als Europese richtlijn; http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32009L0024&from=EN
Artikel 5 Uitzonderingen voor handelingen waarvoor toestemming nodig is
1 ... voor het beoogde doel, onder meer om fouten te verbeteren.
2 Het maken van een reservekopie door een rechtmatige gebruiker van het programma kan niet bij overeenkomst worden
verhinderd indien die kopie voor bovenbedoeld gebruik nodig is.
3. De rechtmatige gebruiker van een kopie van een programma is gemachtigd om zonder toestemming van de rechthebbende de werking van het programma te observeren, te bestuderen en uit te testen, ten einde vast te stellen welke ideeën en beginselen aan een element van het programma ten grondslag liggen, indien hij dit doet bij het rechtmatig laden of in beeld brengen, de uitvoering, transmissie of opslag van het programma.
Artikel 6 Decompilatie
1 om de interoperabiliteit
van een onafhankelijk gecreëerd computerprogramma met andere programma's tot stand te brengen, op
voorwaarde dat:
a/ deze handelingen worden verricht door de licentiehouder of ...
b/ ...nog niet eerder snel en gemakkelijk beschikbaar zijn gesteld voor de onder a) bedoelde personen,.... en ...
c/ ...beperkt blijven tot die onderdelen ...
Dat gaat heel ver. Onder 5 no 2 zie ik ook het testen en ontwikkelen van een cold DR aanpak. De infra interoperabiliteit is de DTA van het infrastrcutuur team die iets werkends moet zien te maken. Dat is want anders dan een POC.
Als daar de bewijsvoering bij zit dat het een omgeving is die veilig is wat security betreft is reverse engineering noodzakelijk is.
De decompliatie komt er nog bij als de benodigde gegevens niet door de leverancier verstrekt wordt. Hoe wou je anders een security interface of anderzins kunnen valideren.
Een slager die zijn eigen vlees keurt. Allee het idee om zoiets als policy uit te dragen is een flater van je welste.
Als klant kan je niet echt vertrouwen hebben in dit soort software maar het is uniek in zijn soort en zijn alternatieven schaars.
Voor Microsoft, Apple, Google, virusscanners, facebook en Adobe geldt m.i. eigenlijk hetzelfde, ze willen allemaal meekijken.
Die CEO heeft een punt als er geen hackers en virussen zouden zijn, dan hoef je ook nergens bang voor te zijn......behalve als de software door de leverancier wordt misbruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
