• Tweet

Oracle, el fabricante de sofware de negocios, que ha publicitado sus productos como irompibles, afronta críticas crecientes sobre sus prácticas de seguridad.

Un parche de actualización trimestral enviado por la empresa la semana pasada, contenía correcciones para varias fallas que afectan a la mayor parte de su línea de productos. Pero esto excluyó algunas vulnerabilidades que el prominente investigador de seguridad David Litchfield esperaba que se abordaran - lo que lo llevó a hacer un llamado para un reacondicionamiento de la seguridad en Oracle, incluyendo la renuncia de su principal oficial de seguridad.

Fue la gota que derramo el vaso, dijo Litchfield, un investigador de seguridad y co-fundador de Next Generation Security Software, compañía con sede en Inglaterra. Estaba muy disgustado y transtornado y pienso que sus clientes deben quedar resentidos también. Oracle necesita retomar su filosofía de seguridad, su comprensión de qué es y qué significa seguridad.

Litchfield no es el único en sus críticas hacia el gigante de base de datos, otros investigadores de seguridad están de acuerdo con él en acusar que Oracle tapa sus huecos demasiado tarde y liberan actualizaciones de baja calidad que necesitan sus propias actualizaciones y de no actualizar las reparaciones de vulnerabilidades, sino simplemente aplicar un curita para bloquear el código de ataque de ejemplo proporcionado por los investigadores.

Oracle está algunos años atrás de Microsoft y de otras compañías en seguridad, dijo Cesar Cerrudo, CEO en la compañía de servicios de seguridad de la información Argeniss en Argentina. "pienso que Oracle es un principiante cuando viene la hora de seguridad".

Oracle no quizo hacer comentarios

Con Microsoft, una vez el objeto de quejas relacionadas con gusanos, ahora ganando prestiguio de investigadores y de analistas por sus esfuerzos de seguridad, las cosas se están enfocando en otro sentido. Oracle es una blanco probable. El portafolio de software empresarial de la compañía de The Redwood Shores, California, ha crecido rápidamente en años recientes pues ha comprado a rivales en una adquisición facil.

A pesar de que Oracle se ha estado moviendo lejos del término "irrompible" que usa en su comercialización, la compañía todavía se da el gusto de jactarse de la seguridad de sus productos. En una reunión con los reporteros de Oracle Open World en San Francisco el mes pasado, el CEO Larry Ellison indicó audazmente que su software no tiene defectos. Él reconoció, sin embargo, que se presentan los problemas -- pero solamente cuando la gente modifica los productos, dijo.

Algunos buscadores de defectos profesionales no están convencidos, como ejemplo, Litchfield refirió al lanzamiento de seguridad de agosto de 2004 de Oracle, cuyos parches incluidos para las ediciones él los había reportado a la compañía ocho meses antes. Las reparaciones realmente no funcionaron, dijó. Con una modificación leve, el ataque de muestra que él había enviado funcionó otra vez. "Parece que procuraron parar la explotación, pero no el hueco". dijo.

Litchfield, que ha estado examinado a fondo la seguridad de Oracle por algún tiempo, estaba esperando que Oracle finalmente pusiera correcta la edición en su boletín de la semana pasada, pero no. Los huecos podrían ser explotados por un usuario con privilegios de bajo nivel para tener acceso completo a una base de datos de Oracle, dijo.

Lo que no está claro es si los huecos han dado lugar a algún robo o corrupción de los datos. Las grandes compañías -- los principales clientes base de Oracle -- raramente discuten tales temas en público.

Respuesta oportuna.

Cuánto tiempo deben pasar entre la identificación de una vulnerabilidad y la disponibilidad de un parche, ha sido un largo tema de discusión entre los investigadores y los fabricantes de software. Depende de muchos factores, incluyendo si los detalles de la falla son públicos y la calidad y complejidad del código implicado.

En general, los investigadores que encuentran gusanos de software divulgan éstos al vendedor, siguiendo las pautas del "deslinde responsable" favorecidas por la industria del software. Entonces mantienen los detalles de la vulnerabilidad privados hasta que se proporciona un arreglo esperan un crédito en la noticia de la seguridad del fabricante. A menudo los investigadores impulsan a fabricantes de software a publicar un arreglo pronto, discutiendo que si pueden encontrar el hueco, los hackers criminales también podrían empezar a crear un gusano u otra amenaza.

Lo ideal es no tener que ocuparse de un retraso de tiempo o de ninguna vulnerabilidad, dijo Ed Amoroso, Jefe de seguridad de la información en AT&T. Los "fabricante deben vender software sin huecos", dijó. Si hay fallas, deben ser reparadas enseguida, agregó.