Kisebbfajta botrányt kavart Owen Williams, a The Next Web újságírója, aki az Oracle biztonsági főnökének szólt be keményen. Mary Ann Davidson (a fenti képen), a szoftvervállalat CSO-ja (Chief Security Officer) ugyanis a vállalat hivatalos blogjában közölt egy bejegyzést arról, hogyan harcolnak azon felhasználóik ellen, akik tiltott eszközökkel, jelen esetben a reverse engineering módszerével fedeznek fel kritikus hibákat valamelyik Oracle-termékben.

Williams elsősorban azon akadt ki, hogy Davidson nehezményezte: némely ügyfelük nem átall felbérelni biztonsági tanácsadókat, hogy azok különböző eszközöket bevetve keressenek biztonsági réseket. Az újságíró szerint amellett, hogy Davidson posztjából süt a "mi tudjunk a legjobban" korporét arrogancia, a CSO-nak mintha fogalma sem lenne arról, hogyan működik ez a piac.

A kioktatás nem veszi ki jól magát

Davidson valóban elég kategorikus. Kissé kioktató stílusban azt javasolja az ügyfeleknek, hogy inkább a saját házuk táján söprögessenek: azonosítsák a kritikus rendszereiket, titkosítsák a szenzitív adataikat, telepítsék a friss patcheket stb., azaz fordítsanak kellő figyelmet a biztonsági higiéniára, mielőtt a más szállítóktól vásárolt szoftverekben keresnének nulladik napi sérülékenységeket.

Az újságíró azonban ezen még csak nevet, azon viszont már kiakad, amit Davidson arról ír, hogy miként is reagálnak arra, ha valaki jelez az Oracle-nek egy sérülékenységet. Először is megvizsgálják, hogy az adott hibát csak reverse engineeringgel lehetett felderíteni, és ha erről megbizonyosodnak, akkor levelet írnak az a "vétkes" ügyfélnek, amelyben figyelmeztetik a licencmegállapodások megsértésére, a hibát felfedező biztonsági tanácsadókat pedig felszólítják, hogy fejezzék be az ilyen irányú tevékenységüket.

És Davidson még a fokozhatatlant is képes fokozni. Mint írja, nincs szükségük arra, hogy külső kutatók elemezzék az Oracle-kódokat, mert egyrészt ezt ők maguk is elvégzik, és elég jók ebben, másrészt a külső kutatókkal ellentétben ők valóban a teljes kódot tudják vizsgálni minden belső összefüggésével egyetemben.

És egyébként is: ne várjak tőlük senki, hogy azt mondják: "köszönjük, hogy megszegitek a licencszerződésünket".

Itt valami nagyon félre lett értve

Williams elmagyarázza: az információbiztonság egyik alapvetése, hogy külső partnerek is vizsgálhatják a termékeket, de úgy tűnik, az Oracle ezen felülállónak gondolja magát. Amikor valaki egy sérülékenységről értesíti a termék fejlesztőjét, jellemzően azt is dokumentálja, hogy az adott hiba hogyan használható ki. Azaz nem licencet akar lopni, hanem épp hogy segítő szándékkal dolgozik valamin, ami természetesen az ő érdekét (jelen esetben: a biztonságát) szolgálja. Ehhez csupán annyit lehet hozzátenni, hogy az Oracle bizonyára a hackereknek is küld levelet, amelyben felhívja figyelmet a licencszerződésük fontosabb kitételeire.

Hogy a bejegyzés tartalmával nem volt minden rendben, valószínűleg az Oracle-nél is érezhették. A posztot ugyanis Owen Williams irásának megjelenése után rövid úton törölték. Az internet azonban nem felejt. Akit érdekelnek Mary Ann Davidson sajátos nézetei, és az, hogy hogyan lehet közelíteni a biztonsági kérdésekhez a licencpolitika felől, a teljes posztot megtalálja a Scribd.com-on.