Компания Oracle, никогда особенно не благоволившая ИБ-исследователям, подняла эту нелюбовь на следующий уровень, опубликовав блог директора по безопасности Мэри Энн Дэвидсон (Mary Ann Davidson), в котором она обрушилась с критикой на обратный инжиниринг кода и заявила, что Oracle не нужны охотники за багами, так как, по словам Дэвидсон, «поиск уязвимостей — это забота Oracle, и мы хорошо справляемся».

Запись, которую уже убрали из блога, все еще доступна в кэше Google и представляет собой пространное мнение Дэвидсон насчет обратного инжиниринга кода Oracle клиентами и ИБ-исследователями. Дэвидсон, проработавшая в Oracle более 25 лет, написала в блоге, что применение обратного инжиниринга нарушает положения лицензионного соглашения Oracle, о чем компания регулярно уведомляет официальным письмом уличенных в этом клиентов и консультантов. Кроме того, Дэвидсон сказала, что при попытке какого-либо исследователя доложить об обнаруженной им уязвимости в продукте Oracle компания часто расследует сам факт обнаружения бага и никогда не ссылается на исследователя в бюллетене.

«Мне уже почти надоело отвечать на этот вопрос, но я хочу еще раз повторить это для наших клиентов: вы НЕ ДОЛЖНЫ проводить обратный инжиниринг нашего кода. Однако, если в нем действительно содержится уязвимость, мы ее закроем. Может, нам и не нравится способ, с помощью которого ее обнаружили, но мы не станем  игнорировать реальную проблему, так как это может повредить нашим клиентам. При этом мы предоставим патч одновременно для всех, чтобы защитить всех заказчиков, — пишет Дэвидсон. — Однако мы не станем давать клиенту, нашедшему изъян при помощи обратного инжиниринга, никакого специального единовременного патча. Мы не станем ссылаться на стороннего исследователя в наших бюллетенях. Не стоит ждать от нас благодарности за то, что вы нарушили лицензионное соглашение».

Известно, что ИБ-исследователям невероятно трудно взаимодействовать с Oracle, можно даже сказать, что компания настроена против них довольно враждебно. Дэвидсон уже говорила о том, что исследователи не приносят компании никакой пользы, и в удаленном блог-посте она заявила, что практически все уязвимости в продуктах Oracle были найдены собственными силами компании, так что награждение сторонних исследователей не имеет смысла.

«Программы Bug Bounties в наши дни — это будто бойз-бенд. Компании буквально визжат, падают без чувств, почти выпрыгивают из штанов при виде исследователей, которым они хотят поручить поиск уязвимостей в коде. Они настаивают, что это единственный путь и что, если у вас нет программы Bug Bounty, ваш код небезопасен. Ну что ж, мы находим 87% багов сами, 3% приходится на охотников за багами, а с остальными справляются сами клиенты», — говорит Дэвидсон.

В официальном заявлении пресс-служба Oracle PR заявила, что пост был удален из-за несоответствия политике взаимоотношений с клиентами.

«Безопасность наших продуктов и сервисов всегда являлась для Oracle делом первостепенной важности. У Oracle существует программа гарантии безопасности продуктов, и мы работаем со сторонними исследователями и клиентами, чтобы совместными усилиями обеспечить наивысшую степень безопасности приложений Oracle. Мы удалили пост, так как он противоречит нашему видению взаимоотношений с клиентами», — сказал Эдвард Скривен (Edward Screven), исполнительный вице-президент и главный директор по корпоративному планированию в Oracle.

Реакция на пост Дэвидсон со стороны ИБ-сообщества и на факт его последующего удаления была быстрой и едкой. Исследователи, уже имеющие за плечами горький опыт взаимодействия с Oracle, признали, что нисколько не удивлены постом. Другие отметили, что это была попытка вернуться к тем временам, когда компании были открыто враждебны по отношению к охотникам за багами и не принимали сторонние исследования ни в каком виде.

«Безопасность приложений — это большая проблема как для организаций, так и для вендоров, так как всем приходится полагаться на ПО, предоставленное другими. Производителям необходимо принимать во внимание справедливые замечания со стороны как клиентов, так и исследователей, которые просто работают над тем, чтобы сделать программное обеспечение лучше», — считает Крис Вайсопал (Chris Wysopal), главный технический директор и директор по безопасности в Veracode.

«Признанные лидеры отрасли: Google, Apple, Microsoft, Adobe — все они приветствуют независимые исследования кода и организуют программы Bug Bounty, являющиеся неотъемлемой частью их процессов обеспечения безопасности. Запрет на поиск уязвимостей или претензии к соблюдению правил лицензионного соглашения — это попытка свести на нет все результаты, которых удалось добиться в отношении безопасности ПО в последние годы», — продолжает он.

Вайсопал сказал в интервью, что взгляды Дэвидсон совершенно противоположны долгосрочным тенденциям развития ИБ-отрасли.

«Сообщество активно развивает программы поиска багов, и сейчас происходит масса интересных вещей — возьмите, к примеру, Tesla и United. Дэвидсон просто пытается плыть против течения, — заверил он. — Мы хотели бы общаться с компанией относительно процесса поиска багов — например, узнавать, есть ли факторы, предотвращающие возможную эксплуатацию бага. Но она совершенно не хочет участвовать в процессе — просто говорит: «Нет, нет и еще раз нет, у нас все под контролем». Наши клиенты в такие утверждения не верят, как и большая часть сообщества».

Однако у истории может быть счастливый финал.

«Oracle не может быть единственной компанией, оставшейся в стороне и не желающей взаимодействовать с сообществом. Мне остается только надеяться, что инцидент заставит компанию пересмотреть взгляды», — сказал Вайсопал.

Категории: Уязвимости, Хакеры