著名的襲蟲獵人Litchfield為自己賦予的使命就是告訴全世界數據庫軟件並不安全——特別是Oracle的數據庫Litchfield曾經公開批評Oracle甚至要求Oracle首席安全官Mary Ann Davidson下台
Litchfield認為長期以來Oracle及其用戶在安全領域裡一直象鴕鳥一樣把頭插在沙子中 Oracle采用了錯誤的方式來解決安全問題
英國下一代安全軟件的合作創辦人Litchfield正在進行一場聖戰今年一月他出版了一本Oracle黑客手冊手冊的封面上說為讀者提供了完整的訪問和防護Oracle系統的方法
在批判Oracle的同時Litchfield卻對微軟極力推崇他曾經公開聲稱微軟最新的數據庫軟件SQL Server 是安全的這種聲明一定嚴重的傷害到了微軟的主要競爭對手OracleOracle已經眼看著一大塊數據庫市場劃歸了華盛頓Redmond的軟件巨人
在上周召開的Black Hat DC大會上Litchfield討論到了一種新的襲擊技術使Oracle數據軟件的漏洞問題更加嚴重他向ZDNet澳洲的姐妹網站CNET 解釋了揭露漏洞的必要性
問為什麼您對數據庫安全如此關注?還有其他那麼多軟件
Litchfield: 數據庫安全對於任何組織機構來說就象是王冠上的珠寶這個星球上的每家機構都有數據庫而這組織機構存在的活力之源沒有什麼比從源頭進行把握更有效的安全措施我們能夠在周邊進行安全工作但是如果軟件本身帶有SQL injection這樣的漏洞那麼安全措施就前功盡棄了
我與Oracle的關系已經有所緩和
盡管有防火牆盡管網絡服務器已經被鎖定但是網絡應用中的SQL injection缺陷就能讓我們一路暢通的進入數據庫服務器的後端如果這個數據庫沒有采用最低權限或者沒有完全打好補丁那麼我們就能對數據庫進行充分的訪問並攫取全部數據
數據庫必須是安全的問題是在最近以前沒有人真正的處理過數據庫服務器的後端也就是說過去人們采取的都不過是外圍安全措施
最近您對Oracle的數據庫相當關注是有什麼特別的原因讓您對Oracle傾注更多嗎?
Litchfield: 是的SQL Server 是安全的因為微軟解決了問題Oracle正在解決問題對於IBM我研究過DB和Informix並為他們指出了從緩存溢出到權限增加等大約個bugIBM安全部門的反應是成熟的
最近Oracle安全部門的反應就沒那麼成熟他們氣勢洶洶的與這個家伙在讓我們的產品更安全的想法完全相反不過他們的態度現在有所好轉Oracle正在開始理解我和他們站在同一條戰線上只是彼此的看法不同
當Oracle這樣的廠家態度強硬時您就會變得更加強硬?
Litchfield: 是的很遺憾我正是這樣行事的但是如果你不得不保護自己那麼就保護自己吧我更願意去工作就象我對微軟和IBM那樣與他們的安全響應團隊一起工作我們與微軟和IBM擁有良好的關系有什麼比良好的關系好的成事方法呢?我可不想站在渾水中互相指責
我與Oracle的關系有所緩解他們理解這並不是一場意志上的對決我努力使他們了解他們數據庫所存在的問題因為這些問題對我造成了直接的對影響如果有人闖入數據庫服務器然後竊取了我的信息付出代價的是我而不是Oracle/
有人可能會認為這有點象敲詐
Litchfield: 我可從來沒有向Oracle索要過財物如果人們這麼想那麼他們得到的信息可能有誤
那麼微軟也沒有雇用你來說SQL Server 是安全的?
Litchfield: 我說微軟的產品是安全的但是沒有從微軟那裡得到什麼報酬如果任何人在SQL Server 中找到bug那個人最好是我如果別人找到什麼bug它會破壞我將來判斷產品是否安全的能力因此如果在SQL Server 中的確存在bug我希望是我首先發現我很期待
微軟過去和現在是否是NGS軟件的客戶?
Litchfield: NGS的確在微軟工作但我們並不是受雇來說他們是安全的——我們被雇來使他們的產品更安全對於微軟和NGS來說現在以及將來的獨立性都很重要否則我們工作的正確性以及微軟為使產品更安全所進行的努力就會遭到懷疑這就是NGS 依然在為微軟的產品提出安全建議的原因
我聽說您曾經擔任SQL Server 的安全審計工作是這樣嗎?
Litchfield: 我不能說具體的說到我們所做的項目這樣如果有人對SQL Server是否比Oracle安全的問題存在疑問他所要做的就是想想包括那麼多頂級研究人員在內的很多人都曾經研究過兩個產品尋找過安全漏洞而SQL Server已經很長時間沒有被發現問題了我再重復一遍如果有人在SQL Server 中發現嚴重的漏洞那麼我希望那個人是我
Oracle是否曾經是NGS軟件的客戶?
Litchfield: 是的過去我們與Oracle合作過幾個項目
NGS軟件的主要業務是什麼?
Litchfield:我們的業務分三個方面我們銷售評估安全狀況和是否遵從薩班斯 奧克斯利法案的工具我們為一些組織機構提供顧問服務而且我們還進行漏洞調研並銷售調研報告
你們一般調研對象是什麼樣的機構?
Litchfield: 負責和保護關鍵性國家基礎設施的政府機構我們試著對他們的安全問題提出事前警告我們能夠告訴他們某個產品存在缺陷並且提供消除問題的策略甚至沒有廠家提供的補丁系統也能得到保護
靠無知來保證安全是行不通的因為某個人的無知就是別人的生財之道
NGS過去幾年發展順利這些需求來自哪裡?
Litchfield:主要是顧問工作說起來慚愧我最初要成立一家軟件企業但現在卻更象一家顧問公司盡管我沒有放棄但也算是我個人的一次失敗我們到某個階段還會成為一家軟件公司
顧問一般怎麼工作?
Litchfield: 他可能會做滲透測試審查代碼或者模仿入侵我們所做的不是安裝防火牆那樣的工作我們所從事的是高端工作
是什麼每天推動您進行工作?
Litchfield: 是因為我對次很擅長如果你很擅長某件事情您的動力就會更足如果我是優秀的畫家我就會畫很多作品如果我對此一竅不通我當然就不會費心勞力的去畫畫我很享受我的工作
是不是特別享受發現bug的工作?
Litchfield: 是的這是一個關於分析的問題如果我嘗試推翻某個系統我該怎麼做呢?另一個原因是它會影響每個人的生活現在不是在拿死馬當活馬醫我知道明天數據庫服務器將會更加安全打個比方說到那一天更多的信用卡用戶會更安全
如果Oracle的人說你暴露缺陷的的行為實際上傷害了安全你會怎麼說?
Litchfield: 在他們假設的情況下這樣做的確會提高了風險等級好的這的確是這類工作最主要的問題不過在風險度提高以後人們會更傾向於保護自己的系統
舉例來說我剛剛披露了一種能使沒有特殊權限的入侵者利用只有具有更高權限用戶才能使用的漏洞進行襲擊的方法現在我們知道這種擔心是不對的因為人們沒道理知道這個缺陷以後不打補丁
有人在我貼出新方法後的零時間內利用我的方法修改入侵手段並進行公布於是任何人都可以使用這種手段所以這的確增加了風險
回頭看年月我發布的一些代碼被用做SQL Slammer病毒的基礎這屬於最初的風險增加但是短痛之後打過補丁的SQL Servers數量增加了短期風險成為了長期的受益這是我對此的看法
有人可能會說我們不想知道都有什麼安全隱患也就不會有人進行利用你認為這有道理嗎?
Litchfield: 我不這麼認為世界上總有壞人如果沒有好人來幫助廠家彌補這些漏洞那麼我們會自以為我們是安全的但實際上我們並不安全對安全問題視而不見是起不了作用的因為一個人的無知就是另外一個人的生財之道
什麼使您覺得最煩惱?
Litchfield: 當人們說我增加了風險或者我的行為出於自私目的時實際上並不是那樣不過我不會總那麼受歡迎我只是希望誹謗能夠少一些
您最近出版了Oracle黑客手冊您的目的是什麼?
Litchfield: Oracle的安全世界裡充斥著自鳴得意我希望能夠揭掉他們自我蒙蔽的毯子外面有太多人認為Oracle的產品是安全的他們無需采取任何措施這是不負責任的而我對此很在意
你希望人們怎麼看待你?
Litchfield: 我希望能夠成為幫助人們認識到數據庫安全的重要性的人我希望能夠通過我的工作以及我對行業的了解來改造Oracle 和微軟這樣的企業處理安全問題的方式
From:http://tw.wingwit.com/Article/program/Oracle/201311/17974.html