オラクル・エドワード・スクリベンの副社長兼チーフアーキテクト(エドワード・スクリーベン)によると、 このブログ投稿会社CSOは、公開とその後の削除の直後に昨日世界で勃発したスキャンダルを記録しました。 Oracle Mary Ann Davidsonは、実に非常に有益です。 ベンダーのすべての痛み、製品安全に対する彼らの真の態度を完全に示していました。
ここでの最良の例は、Mel Gibsonの「女性は何を望んでいるのか」という映画です。セキュリティ研究者と顧客-オラクルの主任警備員が研究について本当に考えていることと、それが製品の安全性とどう関係しているかを注意深く読んでください。 彼女は他のベンダーが単にあえて言わないことを言っていることを理解すべきです。 彼らは発見された脆弱性について研究者に感謝し、顧客に優しく微笑み、そして彼らは静かにそれらの両方を嫌っている。 「当社の製品に触れないでください!」、「ライセンスによれば、リバースエンジニアリングの権利はありません!」-これは文字通り彼女の声明です。 「私たちの安全を私たちに任せてください、私たちは自分でそれを理解します」-これはベンダーが本当に考えていることです。 そして、彼ら自身がどのように「理解」し、最も危険なアーキテクチャ上の脆弱性をカバーするか(特に、クライアントでの認証を使用して!)3年間、私たちはよく知っています。 興味深いことに、Oracleはこれで特に有名です。 そして今、それは驚くことではありません-彼女のメインガードのそのような態度で。 ただし、それはまだOracleに関するものではありません。これが最も重要なことです。 彼らのCSOは、すべてのベンダーの意見を単に表明し、率直に話すことは慣習的ではないと述べた。 これは、セキュリティに対するすべてのベンダーの真の態度を明確に示しています。 それらのいずれかが何であれ、彼らはそれを正確に考えます。
そしてこれは怖いです。
CSO Oracleが、ほとんどの脆弱性がまったく元に戻らないことを知らないことは驚くべきことです。 オラクルは、スローガンを古い「不滅」から最新の「タッチ不可」に安全に変更できます。
メアリー・アン・デビッドソンのメモ「いいえ、実際にはない」の翻訳
私は最近たくさん書いています。 彼女の妹と一緒の何か、仮名マディ・ダビッドソンの下の探偵小説。 私たちは現在、ストーリーに取り組んでおり、人々の管理に関する多くの新しい興味深いアイデアを生み出しています(文字通り、誰かがロバで私の車を運転しようとするとき、私は彼らのアプリケーションについて考えます)。
探偵を書くことは、私の2番目のレッスンよりもはるかに楽しいです。 コード内の脆弱性を発見するために、コードをリバースするユーザーの数が著しく増加していることがわかります。 <深くため息>このため、「こんにちは、ご機嫌いかがですか」で始まるが、「ライセンス契約に違反してコードのリバース開発を停止しないでください」で終わるメッセージをたくさん書く必要があります。
敵対的な状態で働いている可能性のある無名のサイバー犯罪者がほぼ毎日誰かをクラックし、14のデータストアを奪う世界では、システムを保護するためにあらゆる努力をしたいと考えています。 同時に、この追加のブレークスルーの前に、最も重要なシステムを識別し、機密データを暗号化し、必要なすべてのパッチをインストールし、サポートされているバージョンの製品を使用し、構成保護ツールを適用します-要するに、衛生レベルで安全性を確保する-そして見るゼロデイ脆弱性製品。 実際のところ、多くのデータ漏洩は、おそらくあなたを狙った大きく恐ろしいAPT攻撃について息をgasむのではなく、これらの鈍い手段によって防ぐことができます。 独自のITインフラストラクチャまたはクラウド。その保護に関して一般的に受け入れられている推奨事項があり、それらに従う必要があります。
ベンダーが合理的な注意を払って開発に取り組むことを合理的に保証したい(そして、信頼性の確保がスキャナーの実行に限定されることからほど遠い)ことを望みます。 たとえば、信頼できるプログラムについてサプライヤに連絡し、サプライヤと話し、「グッドコード」の意味で「Good Housekeeping」のマークが付いた製品の証明書を求めます。CommonCriteria証明書、FIPS-140など。少なくとも私が知っている主要ベンダーのほとんどは、すでに非常に強力な信頼性プログラムを取得しています(そして、会議でのメモを互いに比較しているので、これを知っています)。 これはすばらしく、これはサプライヤの整合性の通常のチェックです。これは、「開発者と自分のために仕事に行きます(a)ソースコードの問題を探します」という事実にもかかわらず、
- ユーザーは、スキャナーで叫ぶ攻撃を防ぐチェックをコードで見つけることができません(そして、彼の叫びはおそらく偽陽性です)。
- ユーザーは、脆弱性に対するパッチを作成できません-プロバイダーのみ。
- ユーザーは、ほぼ確実に(ソースコードで動作する)静的分析ツールを実行することにより、ライセンス契約に違反します。
私の意見では、コンサルタントがすべての作業を行っているため、製品をリバースしているユーザーはそれを知らないことがあるとすぐに言わなければなりません。彼はリバースコード開発ツールを起動し、結果の膨大な印刷物を受け取り、クライアントを魅了し、データを送信します。 静的および動的な分析の両方で、スキャンレポートが実際の脆弱性の存在を証明しないため、「どこかに何かがあることの証拠」としてスキャンレポートを単純に受け入れないことに注意してください。 多くの場合、そのようなレポートはただの大量の... FUD(FUD(「恐怖、不確実性、疑い」)を読者に持ってきたのはこの考えです)。 そのため、ユーザーは、報告された問題ごとにテクニカルサポートリクエストを行い(レポートを送信するだけでなく)、攻撃の可能性を確認するPoCを提供する必要があります(一部のツールはそれらを生成できます)。
分析中に、そのようなスキャン結果が反転によってのみ取得できると判断した場合(少なくとも1つのケースでは、レポートが明示的に「Oracle XXXXXXの静的分析」、非常に便利であると述べた場合)、罪を犯したクライアントに1通、コンサルタントにもう1通を送信しますクライアントに代わって罪を犯し、Oracleとのライセンス契約の条件がリバース開発を禁止していることを思い出させるので、停止してください(もちろん、オフィスで、Oracleライセンス契約には次の条項が含まれています: つまり、私たちがユーザーにメッセージで引用右リバースエンジニア、逆アセンブルし、逆コンパイルまたはその他のプログラムのソースコードを導出しようと...」、)。 はい。また、リバースエンジニアリングの結果を破棄し、確認を提供することをユーザーとコンサルタントに要求します。
なぜこれについて話しているのですか? まず第一に、私はいくつかの活動が急増しているのを見ると、それを先取りしようと努力するからです。 「ライセンス契約に違反しました」、「いいえ、違反しませんでした」、「違反した」、「いいえ」など、他の人と議論したくありません。 ライセンス契約の内容について人々と議論するよりも、開発者がコードを改善するのにチームを費やしたいです。
繰り返しますが、法的な理由だけでなく、これはすべて私には合いません。 むしろ、言いたいのです。「コードを分析する必要はありません。自分でやるからです。これは私たちの仕事であり、私たちができることです。サードパーティの研究者やツールとは異なり、実際の分析を行い、まさにそれが起こっていることです。さらに、これらのツールのほとんどはほぼ100%の誤検出結果を持っているので、コードで環境に優しい人を探す時間を無駄にしないでください。 ユーザーへの責任を放棄するのではなく、耐え難い厄介な時間の浪費を避けようとします。