miércoles, 12 de agosto de 2015

Oracle a sus clientes: “Dejad de buscar vulnerabilidades en nuestro código”

Comunicado de oracle

Mary Ann Davidson, jefa de seguridad de Oracle, no se cortó en mostrar su frustración por el hecho de que los clientes realicen pruebas de seguridad sobre el software de su compañía, publicando una entrada en el blog corporativo del gigante de las bases de datos con el contundente título de “No, realmente no puedes”.
 
En la entrada la empleada de Oracle ha dicho literalmente lo siguiente: “He estado escribiendo muchas cartas a los clientes que empiezan con ‘hi, howzit, aloha’, pero que acaban con un ‘por favor, cumple con tu acuerdo de licencia y para de hacer ingeniería inversa a nuestro código, ya”. 

Mary Ann Davidson no se cortó a la hora de acusar a los clientes de intentar realizar el trabajo de los vendedores cuando deciden comprobar el código por ellos mismos, recalcando que el cliente no puede analizar el código para ver si hay un control que previene el ataque cuando la herramienta de escaneo está dando un aviso. Encima ha añadido que el cliente no puede crear un parche para el problema y que esta es competencia del vendedor, para terminar recalcando que el cliente viola la licencia.

Tampoco se ha cortado a la hora de hablar de los informes sobre vulnerabilidades que reciben, argumentando que un informe de un escaneo no es una prueba de una vulnerabilidad actual, diciendo que a menudo no son más que un montón de vapor, y que por eso piden a cada cliente una prueba de concepto.

La entrada del blog no tenía desperdicio, y además de todo lo comentado, Mary Ann Davidson ha dicho en nombre de la empresa que requieren que “clientes y consultores destruyan los resultados de la ingeniería inversa y confirmen que lo han hecho”. La entrada fue borrada al día siguiente debido al revuelo causado en Internet, aunque todavía se puede leer desde Seclist.org. A Oracle ha tenido que rectificar diciendo que “trabaja con investigadores terceros y clientes para asegurar conjuntamente que las aplicaciones construidas con la tecnología de Oracle son seguras”.

VÍA | ArsTechnica