오라클 – ‘죄인’고객 : 리버스 엔지니어링은 죄이며 우리는 가장 잘 알고 있습니다.

[업데이트 된 18.15GMT : Oracle 명세서로 업데이트]

이게 진짜 야?

오라클의 수석 보안 담당자 인 Mary Ann Davidson이 처음 온라인 설교를 읽었을 때 나는 소프트웨어 공급 업체의 홍보에 핑핑하여 블로그 게시물이 합법적인지 여부를 묻습니다. 아직 응답을 얻지는 못했지만 CSO의 명백한 논평은 눈썹을 높이는 읽기를 만듭니다.

소셜 미디어를 자세히 살펴보면 오늘 오후에는 지혜의 말을 흡수하는 유일한 사람으로 보이지 않고 많은 양의 눈 뜨고 분노와 웃음 사이를 전환합니다.

어제 Davidson은 오라클 기업 블로그를 방문하여 보안에 대한 생각을 표현했습니다. 에세이 [편집자 : 오라클이 게시물을 게시하지 않았지만 전문은 아래에서 볼 수 있습니다. ] – 또는 아마도 와인을 먹는듯한 산책로로 해석 될 수있는 오라클의 전투는 오라클의 전투에서 덜 설득력을 발휘합니다. 오라클은 괜찮은 보안을 유지하고 역효과를 더 강하게 만들기 위해 노력하는 사악한 고객과 대립합니다. -공학.

그 간섭하는 아이들.

우선 Davidson은 오라클 소프트웨어 코드를 리버스 엔지니어링하여 취약점을 찾아 내야한다고 주장하는 고객을 대상으로 살인 추리 소설을 작성하려고했지만 CSO의 업무는 절대로 이루어지지 않을 것이라고 애도합니다. 데이비슨 씁니다

최근에 나는 고객의 코드를 리버스 엔지니어링하여 보안 취약점을 찾아내는 데 큰 도움을 얻었습니다. <커다란 한숨을 여기에 삽입하십시오. > 이것이 내가 “hi, howzit, aloha”로 시작하는 고객에게 편지를 많이 쓰긴했지만 “라이센스 계약을 준수하고 코드를 리버스 엔지니어링하는 것을 중지하십시오”라고 끝냅니다.

즉, 오라클 제품의 전반적인 품질을 떨어 뜨릴뿐만 아니라 잠재적으로 해당 제품의 사용과 관련하여 소유하고있는 모든 데이터의 안전성을 저하시킬뿐만 아니라 오라클 전문가가이를 처리하도록하는 보안 허점을 찾으려고하지 마십시오. . 사실 데이비슨이 아래에서 말했듯이, 우리 시스템을 혼자두고 자신의 프로그램을 확보하는데 집중할 시간을 사용합니다. 이는 자신의 프로그램과 동등하지 않을 수도 있습니다.

나는 거의 매일 다른 사람이 데이터 유출 사건을 겪었고 적대적인 국민 국가의 명령으로 일하고있는 무명 침입자에게 엄청난 양의 기록을 잃어버린 것처럼 보일 수 있다는 것을 이해할 수있다. 그들의 시스템을 보호하십시오.

즉, 고객은 이미 여분의 시스템을 가동하기 전에 중요한 시스템을 식별하고 민감한 데이터를 암호화하며 모든 관련 패치를 적용하고 지원되는 제품 릴리스에 있어야하며 구성을 보장하는 도구를 사용해야한다고 생각할 것입니다 즉, 그들이 사용하는 제품에서 제로 데이 취약점을 찾기 전에 일반적인 보안 위생에 잠겨 있습니다.

Davidson은이 논증을 계속하여 리버스 엔지니어링을 통해 구멍을 뚫기보다는 사용중인 소프트웨어가 안전한지 확인하려는 경우 “This is quality!”라고 말합니다. Common Criteria 인증 또는 FIPS-140 인증과 같은 인감 하나를 발견하면 스스로 취약점을 패치 할 수 없으므로 단순히 혼자만 남겨 두십시오.

스타 트렉 : 긍정적 인 미래주의와 과감한 사회적 논평 50 년, 마이크로 소프트의 표면 올인원 PC가 10 월 하드웨어 출시를 표명한다고 발표했다. 아이폰 7, 새로운 애플 워치, 에어 포드와 손을 잡고 구글은 아 피기를 6 억 2500 만 달러에 사들였다.

뿐만 아니라 오라클 코드를 탐색하면 라이센스 계약과 관련하여 더운 물에 빠질 수 있습니다. 정적 분석 도구를 사용하여 고객이 라이센스 계약을 “거의 확실하게”위반하고있는 경우 소프트웨어 벤더에 대한 취약점을 밝혀야 오라클이 고객으로 떠오를 것입니다.

데이비슨에 따르면 고객이 오라클에 넘겨주는 대부분의 보안 보고서 또는 스캔 보고서는 종종 “김을 내뿜는 더미가 아닌 FUD”라고합니다. 오라클의 라이센스 계약에는 고객이 “프로그램의 소스 코드를 리버스 엔지니어링, 디스 어셈블, 디 컴파일 또는 파생 시도를 할 수 없다는 조항이 포함되어 있기 때문에 보안 책임자는

경영진은 행복하지 않습니다. 취약성 보고서를보고 버그 나 쟁점을 공개 할 때 라이선스 계약을 위반 한 고객이 보안 팀의 시간을 낭비하고있는 상황에서 쫓고 있으며 Davidson은 결함보고 고객에게 약간의 지쳐 있습니다.

글쎄요, 보안 연구원은 암시장에서 제로 데이 취약점을 판매하거나 온라인으로 공개 할 수 있습니다. 오라클 직원이 제 3 자에 대한 강력한 서신을 작성하는 대신 더 나은 대안이 될 수 있습니까?

익명으로 Wi-Fi에 접근하는 방법, 시스템 패스워드없이 루트 액세스를 통해 Apple OS X 제로 데이 결함 발생, 실제 이동 : 이동 중에 RFID 액세스 키를 복제하는 10 달러 장치, 아마존은 드론 전용 공역을 꿈꾸며 스트라이크 출처 : RIAA는 해적판 컨텐츠를 차단하는 BitTorrent 프로토콜을 목표로하며 해커로부터 연결된 자동차를 안전하게 지키는 세 가지 팁

온라인에서 안전하게 인터넷을 즐기는 5 가지 보안 관행 : 전문가로부터 모든 책꽂이에 속하는 사이버 보안, iOS, Android 생산성 앱, 필자가 모르는 Safari 브라우저 확장

“우리가 이미 그렇게 했으므로 코드를 분석 할 필요가 없습니다. 코드를 분석하는 것이 우리의 일이며, 우리는이를 능숙하게 수행 할 수 있습니다. 제 3 자 또는 도구와 달리 실제로 코드를 분석 할 수 있습니다 어떤 일이 일어나고 있는지를 판단하기 위해 이러한 툴의 대부분은 100 % 가양 성율에 가깝습니다. 코드에 녹색 초소 남성보고에 시간을 낭비하지 마십시오. 고객에 대한 책임을 회피하지 않고 단순히 고통스럽고, 성가 시며, 서로 시간을 낭비하는 운동을 피하기 위해 “라고 CSO는 썼다.

분명히. 결국 공시는 시간 낭비입니다. 감히 보안 컨설턴트를 고용하여 비즈니스를 살펴보면 오라클 협약에 묶여 있습니다. 또한 지옥 (글쎄, 편지)도 보고서 제출시 비가 내릴 것입니다.

어쨌든 이것이 사실이 아니라면 – Davidson의 말로 : “Nanny, nanny boo boo, 큰 나쁜 컨설턴트는 고객이 할 수 없더라도 X를 할 수 있습니다!”

보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 중요한 보안 구멍을 고치기 위해 사용자를 업데이트 할 것을 촉구하고 보안, 백악관은 첫 번째 연방 정보 보안 책임자 (COO)를 임명하고 보안, 펜타곤은 사이버 정부 감시원의 비상 사태 대응

오라클 보안 책임자는 “소년 밴드”버그 현상금 시스템의 팬도 아니다. CSO는 계속됩니다.

많은 기업들이 보안 연구원에게 속삭임을 내리고 졸도하고 속옷을 던져 코드에 문제를 찾아 내고있다.이 길을 걸어 라. 당신이 버그 현상금을 내지 않으면 코드가 안전하지 않다. 아, 우리는 보안 취약성의 87 %를 스스로 발견하고 보안 연구원은 약 3 %를 발견하고 나머지는 고객이 발견합니다.

나는 엄밀히 말하면 경제적 기반에서 지적한 것만 큼, 문제의 3 %에서 많은 돈을 버는 이유는 무엇인가?

이 메모에서 경영진에 따르면 취약성의 10 %가 고객에 의해 발견됩니다. 필자는 오라클이 1 일 열 번째 제로 데이 취약점 발견으로는 충분하지 않다고 생각한다. 그러나 잘 수행 된 오라클, 87 %는 당신의 외로운 것에 그렇게 나쁘지 않습니다. 우리는 거기에 휴식을 남겨 두어야합니다, 안돼요?

그러나이 모든 후, 진정한 보안 문제가 있다면 오라클은 언젠가 마지 못해이를 고칠 것입니다. 데이비슨 씁니다

고객은 코드를 리버스 엔지니어링하지 않아야합니다. 그러나 실제 보안 취약점이있는 경우이를 수정합니다. 우리는 그것이 발견 된 방법을 좋아하지 않을 수도 있지만 실제 문제는 무시하지 않을 것입니다. 그것은 고객에게 불만이 될 것입니다.

그러나 우리는 모든 고객을 보호하기 위해이 문제를 해결할 것이며 이는 모두가 동시에 문제를 해결할 수 있음을 의미합니다. 그러나 고객에게 리버스 엔지니어링을 통해 발견 한 문제에 대해 문제에 대한 특별한 (일회성) 패치를 제공하지 않습니다.

우리는 또한 우리가 발행 할 수있는 권고에 신용을 제공하지 않을 것입니다. 라이센스 계약 위반으로 인해 감사드립니다.

에세이는 계속해서 오만함과 거룩한 태도로 템포를 높이고 있습니다. 그러나 오라클은 회사가 가장 잘 알고있는 것을 분명히하고 싶어합니다. 고용주가 보안 도움말을 사용했는지, 연구원의 3 %, 유효한 보안 문제를 제출하는 고객 중 10 %가 가장 적합한 지 분명하게 알기를 원합니다. 당신은 리버스 엔지니어링을 중지하고 소스 코드를 파고들 수 있습니다. 오라클이 가장 잘 알고 있습니다.

오라클의 강력한 글자가 Davidson의 스타일로 쓰여 있다면 오락 가치를 아주 좋아할 것입니다.

업데이트 : Edward Screven, 수석 부사장 겸 최고 건축가 웹 사이트

게시물 전문

읽기 : 탑픽

사진 속

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판