1

Oracle critica consultores de seguridad para terceros

Oracle publicó, aunque después eliminó, un blog criticando a los consultores de seguridad de terceros y a los clientes que los utilizan.

El artículo, escrito por la jefe de seguridad de Oracle, Mary Ann Davidson, ataca y critica fuertemente a los clientes empresariales que utilizan la ingeniería inversa, o la contratación de consultores para realizar ingeniería inversa; un software propiedad de la compañía, creado con el objetivo de encontrar las vulnerabilidades de seguridad aún no fijadas.

El escrito, titulado “No, realmente no se puede”, fue publicado el lunes en el blog corporativo de Davidson , que luego retiró un par de horas después, sin embargo el archivo de Internet capturó una copia del mensaje.

“Hemos eliminado el cargo, ya que no refleja nuestras creencias o nuestra relación con nuestros clientes”, escribió Edward Screven, vicepresidente ejecutivo y jefe de arquitectura corporativa de Oracle, en un comunicado de prensa enviado por correo electrónico.

El artículo responde a un creciente número de informes de análisis de clientes de Oracle que no han recibido respuesta. El análisis es el proceso de inspección de código objeto o código fuente, de un programa para encontrar vulnerabilidades. Las organizaciones pueden contratar a un consultor de seguridad de terceros o un programa, de la talla de Veracode o Coverity, para escanear el software de la empresa.

Davidson escribió que tales pruebas son rara vez necesarias, y, a menudo apuntan a fallas que no existen. “La mayoría de estas herramientas tienen cerca de 100% de falsos positivos, por lo que no se debe perder el tiempo en informar sobre pequeños hombres verdes en nuestro código. Los clientes estarían mejor manteniendo su software parcheado, que buscando oscuras vulnerabilidades de día cero”.

Recordó a sus clientes que tales exploraciones para inspeccionar el código objeto del programa real, violan los términos de los acuerdos de licencia de Oracle, porque constituyen la ingeniería inversa, que es el proceso de desmontaje de una tecnología para entender cómo funciona.

Davidson también tomó un dato del programa de recompensas de errores, en el que empresas ofrecen efectivo a personas para descubrir errores  o defectos en el software que venden empresas de tecnología como Microsoft o Google. “Tal programa no sería de mucho valor a Oracle, ya que la empresa misma ​​encuentra la mayoría de sus errores a través de pruebas internas. No sorprende entonces que que muchas empresas de seguridad no estuviesen contentas con lo escrito en el blog.

“Desalentar a los clientes con la presentación de informes de vulnerabilidades, o diciéndoles que están violando los acuerdos de licencia con el código de ingeniería inversa, es un intento de hacer retroceder el progreso realizado para mejorar la seguridad del software “, escribió Chris Wysopal, director de tecnología Veracode y director de seguridad de la información, en un comunicado por correo electrónico.

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.