¿Es realmente Oracle tan inseguro como nos cuentan?

Las voces que se alzaron recientemente contra Oracle empiezan a tambalearse. Y si no, véase lo que le ha pasado a Argeniss, que muy recientemente anunció una iniciativa a bombo y platillo, en la que planeaban imitar el Month of Browser Bugs y el Month of Kernel Bugs.

Finalmente, rebajaron sus pretensiones mensuales para plantear la semana de los bugs de Oracle (se ve que el mes les venía grande). Pues al final, ni eso: No habrá The Week of Oracle Database Bugs. Lo más gracioso es leer en su texto original:

Why not the Month of Oracle Database Bugs?

We could do the Year of Oracle Database Bugs but we think a week is enough to show how flawed Oracle software is, also we don’t want to give away all our 0days:), anyways if you want to contribute send your Oracle 0days so this can be extended for another week or more.

Yo no sé vosotros, pero al leer eso creo que la razón para que se cancele la semana de Oracle no es otra que la incapacidad para generar ni un sólo 0day para Oracle. Y es que abrir la boca es fácil, pero mantenerla abierta, cuesta más trabajo. Quizás otros investigadores sí sean capaces de hacerlo, pero éstos han pinchando en su primera tentativa.

Sobre las críticas a Oracle que se están viendo últimamente, y me refiero especialmente al informe de David Litchfield, yo tengo mi punto de vista al respecto, y ayer lo dejaba entrever en los comentarios que intercambiaba con Sergio de los Santos, donde comento que medir la seguridad de un producto exclusivamente por el número de vulnerabilidades es muchas veces irreal, especialmente cuando el producto analizado requiere de un deployment medianamente serio, más allá de una instalación rápida como la que podemos hacer para cualquier aplicación doméstica.

Admito que el número de vulnerabilidades es un rasero adecuado si pretendemos comparar la seguridad de dos aplicativos que están listos para ser usados tal y como los entrega el fabricante. Ese estado de entrega es el estado de arranque para la seguridad, ya que usaremos el producto nada más abrir la caja e instalarlo.

Pero ese razonamiento hace aguas cuando el producto requiere un proceso de implementación multivariable, en el que se transforman las cualidades del producto que sale de la caja, ya que la personalización mitiga muchas veces riesgos y vulnerabilidades. Es el caso de Oracle, es el caso de SQL Server, es el caso de Sybase, es el caso de DB2, y en general, es el caso de los motores que están pensados para ser desplegados tras un proceso consultivo y de adecuación a las necesidades del despliegue.

Os pongo un ejemplo. Según el estudio de Litchfield, Oracle es menos seguro porque sufre más vulnerabilidades que SQL Server. La pregunta que me hago yo es muy sencilla. ¿Qué pasa si ese Oracle no está expuesto a tráfico remoto? ¿Qué pasa si ese Oracle está encapsulado en una red aislada de producción que en ningún caso tiene trato directo ni con el exterior, ni tan siquiera con los usuarios de esa red interna? ¿Qué pasa si tengo una versión de Oracle con 200 vulnerabilidades pero NINGUNA puede ser explotada porque los únicos usuarios que pueden tocar la BBDD son operadores y administradores sujetos a normativa de seguridad corporativa y/o a directiva de auditoría del propio motor de la BBDD? El ejemplo me vale para cualquier gestor profesional de los que he citado antes, incluído SQL Server. No hay distinciones.

En definitiva, soy de los que opina que ese informe está sesgado y que no representa ni tan siquiera la realidad, ya que se está dando por supuesto que Oracle está siempre expuesto a la explotación de vulnerabilidades, y eso no siempre es así. Como tampoco está siempre expuesto SQL Server. Para mí, en un SQL Server sin parchear 5 años, que no tiene trato con usuarios (un agregador de información, una interfase de un aplicativo corporativo, etc.) y que no es manipulable ni por sus inputs ni sus outputs, no es prioritaria la política de parcheado, y sin embargo sí lo es la política de funcionalidad. Yo consideraré ese SQL Server como seguro frente a explotación de vulnerabilidades, y centraré mis esfuerzos en verificar que no cumplir con la política de parcheado no está generado problemas de funcionalidad colaterales.

Oracle no hace las cosas a la perfección. Su ciclo de parches podría ser más rápido, pero no menos cierto es que parchear Oracle tiene su miga, y que muchas veces ni en un trimestre entero se puede gestionar, repito, gestionar la seguridad de un motor de BBDD del que pende un negocio. Y es que gestionar y planificar la seguridad no significa lo mismo que parchear.

También podemos ciriticar a Oracle, y en general a la mayoría de fabricantes, por otras causas, ya que sus esfuerzos en investigación proactiva de seguridad podrían ser más concienzudos, y no dar lugar a la aparición de tantos problemas de seguridad que sí pueden ser críticos en ciertos despliegues. Pero tenemos que huír de la crítica sesgada, porque esa ni es constructiva, ni aporta nada.

A NGSS hay que entenderlos, ya que venden productos de seguridad para SQL Server, y venden productos de seguridad para Oracle. Para ellos la seguridad sólo va a girar en torno a la seguridad desde el punto de vista técnico, y no van a mirar mucho más allá. Sobre el hecho de que entre sus clientes destacados esté Microsoft y no esté Oracle no comentaré nada, pero no ayuda mucho a valorar como plenamente neutral el informe de Litchfield.

Hay un ejemplo muy espartano que ilustra claramente que la seguridad no depende de un sólo parámetro. Volvo es, según dicen muchos expertos, uno de los fabricantes de vehículos más seguros que hay. ¿Es más seguro un Volvo que un Seat Panda? Mal haríamos en decir rápidamente que sí, porque la seguridad de un vehículo no depende sólamente de las propiedades de ese vehículo tal y como sale de la cadena de montaje. ¿O es que siempre es más seguro un Volvo con las ruedas desgastadas sin líquido de frenos, con las pastillas cristalizadas y en mal estado de amortiguación que un Seat Panda en perfecto estado de mantenimiento? ¿Es más seguro ese Volvo con las cerraduras abiertas aparcado en un descampado que el Panda aparcado en un garage, con las cerraduras cerradas?

Moralejas:

  • Gestionar la seguridad no equivale a parchear.
  • De lo anterior se deduce que evaluar la seguridad no equivale a evaluar el estado de explotación de vulnerabilidades.
  • En productos complejos, la seguridad es una cualidad que depende de muchas variables y no sólo de la cantidad de vulnerabilidades conocidas.
  • Los productos que requieren personalización no presentan las mismas cualidades de seguridad que el producto que nos facilita el fabricante. Existe una transformación.
  • Durante el funcionamiento y la progresiva parametrización de un gestor de base de datos, se transforman muchas de las cualidades y comportamientos del mismo, modificándose su seguridad.
  • Es un error considerar a la seguridad como la única cualidad determinante para optar por una solución u otra.
  • Las comparativas en rara ocasión recogen todas las casuísticas posibles, y por tanto, en rara ocasión son aconsejables para evaluar la seguridad de un producto.
  • De lo anterior se deduce que las únicas comparativas válidas son aquellas en las que se comparan dos o más productos operando en las mismas condiciones y en el mismo ámbito. Comparar productos complejos en distintos ámbitos, o lo que es peor, sin estar en operación, es algo total y absolutamente carente de utilidad.
  • Si te vas a comprar un coche, no hagas ningún caso a mi ejemplo del Volvo y el Panda :)

Un saludo :)

Opera Mini 3.0 ya disponible para tu PDA o teléfono móvil

Ya podemos descargar Opera Mini versión 3.0 para nuestros móviles.

opera

El navegador viene cargado de novedades, como la mejora en el sistema para compartir fotos, la novedosa presencia de un siempre útil lector RSS, una herramienta para gestión segura de claves bancarias y de comercio, y además, permite ordenar contenidos por carpetas. Por que he podido verificar (mi Nokia 6600 usa Opera Mini, pero una versión más antigua) es un producto interesante para tener en el móvil o en tu PDA.

Opera es un buen producto, al que no sólamente le avala su larga tradición en el mercado, sino que es el navegador que últimamente está dando menos problemas de seguridad, posicionándose ventajosamente frente a Internet Explorer o Mozilla Firefox.

Espero que esta noticia satisfaga a mi buen amigo de los Santos, usuario de Opera desde tiempos inmemoriales, y al que recientemente «he disgustado» (nótese la ironía, por favor :P) con mis declaraciones sobre la guía de seguridad de Vista. Va por tí, tocayo :)

Descarga: Opera Mini 3.0

Nota: Para descargar de una manera más sencilla el navegador directamente al móvil o PDA, basta con tenerlo enchufado al PC (estando éste conectado a Internet, claro) y visitar http://www.operamini.com. Esto requiere que tengas un producto en tu dispositivo que te permita navegar por Internet, ya que de lo contrario, debes bajarlo e instalarlo siguiendo las instrucciones.

Saludos ;)