|
Гуру безопасности критикует систему патчирования Oracle
(Security guru blasts Oracle's patching policies)
Источник:
http://searchoracle.techtarget.com/originalContent/0,289142,sid41_gci1255866,00.html
Марк Брунелли (Mark Brunelli), Редактор новостей
22 мая 2007 г.
Oracle реализует много и много новых механизмов безопасности, когда немного позже в этом году будет объявлена Oracle Database 11g. Но это не изменит проблемы патчирования (patching - внесение исправлений) в том, что вопромы обеспечения безопасности Oracle будут полностью решены. Таково мнение автора " Oracle Security Handbook" (Руководства по Безопасности Oracle" Аарона Ньюмана.
А.Ньюман, соучредитель и главный технолог компании Application Security Inc.
(Безопасность Приложений), тратит все свое время, помогая клиентам защитить их базы данных, чтобы не были украдены жизнено важные данные клиентов. Он говорит, что новые опции безопасности, конечно, хороши, но появление прорех в безопасности происходит быстро и обратная портация фиксаций (закупорки этих дырок) к предыдущим версиям Oracle Database должна иметь высший приоритет для Oracle.
В беседе с SearchOracle.com А.Ньюман говорит о том, что, по его мнению, Oracle может сделать для улучшения своей практики патчировния (внесения исправлений). Он также хотел дать некий совет тем администраторам базы данных (DBA), кто хотят предупредить хакерство, а также тем DBA, кто уже подвергся хакерским атакам и имеют надобность детективного прикрытия.
Ниже приводятся некоторые выдержки из интервью, данного Аароном Ньюманом (Aaron Newman) Марку Брунелли (Mark Brunelli), редактору новостей сайта SearchOracle.com:
Что Вы можете сказать о новых опциях безопасности в Oracle Database 11g, выпуск которой ожидается в скором будущем?
Аарон Ньюман: То, что представляет для нас реальный интерес вовсе не обязательно, что это новые опции безопасности, потому что реальный путь, по которому люди врываются в базу данных или атакуют ее, как правило практически не связан с новыми опциями безопасности Oracle. В Oracle имеется много новых опций безопасности [например,
Oracle Audit Vault], виртуальные частные базы данных и другие возможности подобного типа. Однако, я не думаю, что они действительно решают проблемы безопасности. В реальности, самые большие проблемы, которые нам приходилось видеть, - это уязвимости в выходных данных. Вы же по-прежнему видите переполнение буферов и другие бреши в защите. Так что мы действительно не слишком зацикливаемся на новых опциях безопасности, потому что все они – это не совсем то, что может препятствовать событиям типа тех, что произошли в сети магазинов TJX. Мы больше сосредотачиваемся на таких связанных со всем этим процессах безопасности, как внесение исправлений.
Процесс внесения исправлений Oracle действительно продолжает борьбу, но включение новых опций безопасности не помогает полностью исправить ситуацию.
Вы думаете, что политика Oracle в области патчирования неэффективна?
Ньюман: Я думаю, что имеет место некоторая реальная неэффективность. Взгляните на происходящее следующим образом: для установки исправления обычно требуется от трех до шести месяцев, если вы хотите установить его на всем вашем предприятии. Так что, если сегодня я получаю информацию о появлении исправления, то сегодня же и компания хакеров и исследователей безопасности получают информацию об этой уязвимости, и я немедленно становлюсь уязвимым. Затем у меня имеется три месяца, чтобы исправить эту уязвимость. Скажем, на третьем месяце я исправил ее, но немедленно было выпущено другое [критичное обновление исправления], и я снова стал уязвимым для нового набора атак. Так что, на самом деле, абсолютно не важно, насколько прилежно я занимаюсь применением исправлений – я всегда буду пребывать в состоянии, которое можно назвать “нахождение под угрозой уязвимости”. До сих пор все еще не очень эффективно, и по-прежнему нет достаточного количества информации от Oracle о том, что именно следует установить, и как именно это следует устанавливать. Они совершенно определенно становятся лучше, но по-прежнему ощущается нехватка информации.
В последнем критическом обновлении исправлений Oracle исправлены проблемы, относящиеся к 2002 году. Всегда ли Oracle требуется так много времени на выпуск исправлений?
Ньюман: Процесс внесения исправлений действительно слишком медленный. Когда кто-то сообщает о чем-то [в Oracle] то, чтобы исправить это, иногда требуются годы. Конечно, на это имеется много причин. Дело вовсе не в том, что они не способны. Но в Oracle имеется так много программного обеспечения, и Oracle не выделяет достаточно много ресурсов, чтобы можно было сказать: “Мы должны просто исправить вот это. Забудьте о новых опциях безопасности. Давайте не инвестировать наше время в улучшение аудита Oracle. Давайте инвестировать наше время в то, чтобы все исправления работали должным образом для всех платформ, и к тому же это происходило своевременно”. Я думаю, что самая большая проблема состоит в том, что опции безопасности Oracle Database 11g – это вовсе не то, что действительно является критичным для обеспечения безопасности баз данных. Именно поэтому процесс внесения исправлений занимает два или три, а иногда даже четыре года, чтобы можно было кое-что исправить.
Если бы Вы завтра стали полновластным хозяином в Oracle, как бы вы все там изменили?
Ньюман: Вы реально должны перенацелить направление основных усилий с новых опций безопасности на то, как следует находить и улаживать все эти бреши, с которыми мы уживались в течение многих и многих лет, и портировать их в Oracle 8i или Oracle 9i, или на некоторые другие платформы, которые не являются столь критичными. Их проблема состоит в следующем: они могут быстро исправить проблемы на 10g под Linux, но затем у них уходит очень много времени на обратное портирование этих изменений в Oracle 8i на платформе AIX и других платформах подобного типа. Вы должны поддерживать [работающих на подобных платформах] людей, и это, действительно, самая важная вещь, на которую, как мне кажется, они и в самом деле должны обратить внимание, вместо того, чтобы выяснять, как сделать лучше систему аудита. [Аудит] хорош для соответствия, чтобы поставить еще одну галочку в контрольном списке соответствия, но он совершенно не важен для того, чтобы выгнать хакеров из моей базы данных и не позволить им захватить кредитные карточки и личную информацию.
Вы часто говорите на конференциях о самых последних методах, используемых людьми для атак на системы Oracle. Как АБД могут избежать того, чтобы стать жертвой этих атакующих?
Ньюман: Атаки постоянно развиваются. Таким образом, самое главное для АБД – это разобраться с атаками, которые случаются каждый квартал, и постоянно оставаться “на уровне”, то есть совершенствоваться. Я провожу одно и то же совещание каждый год, но их материалы полностью отличаются друг от друга. Я думаю, очень важно скорректировать свое мышление – перестать быть только АБД и стать детективом. В каждом квартале вы должны потратить половину рабочего времени на исследование того, какими были последние атаки, и как они продолжаются, а затем посмотреть на вашу собственную систему и спросить: “А как я предотвращаю их?”Но даже если вы сделаете так в одном квартале, то уже в следующем может появиться новый набор атак. Вы либо должны оставаться “на уровне”, либо все закончится тем, что вы отстанете от времен и станете легкой мишенью.
Что вы можете посоветовать в области сбора “улик” после того, как произошла атака?
Ньюман: Это та позиция, в которой вам не хотелось бы находиться, но в которую вы иногда попадаете. С точки зрения экспертизы, самая большая проблема состоит в том, чтобы [соединить] много данных из различных источников. Вы оказываетесь перед необходимостью исследовать ваши журналы Oracle, которые содержатся в пяти отдельных файлах, объединить их, возможно, с лог-файлами вашего сервера Apache или с журналами [вашего Web-сервера], а затем объединить все это с какими-то журналами межсетевых экранов. Экспертизой называется наука о том, как обнаружить иголку в стоге сена – найти корреляцию всего со всем, а затем представить все это в виде общей картинки – и именно здесь следует искать, как происходит атака.
|
