Categories: SeguridadVirus

Cancelada la semana de los fallos en Oracle

Cesar Cerrudo ha anunciado la cancelación de la semana se fallos en Oracle, que hubiese comenzado la primera semana de diciembre. Su

suspensión ha levantado todo tipo de sospechas, y Cerrudo ha reconocido finalmente haber cometido errores.

Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, y LMH en noviembre con la iniciativa “mes de los errores

en el núcleo” Cesar Cerrudo anunció “la semana de fallos en Oracle”. La WoODB se iba a centrar en la publicación de una vulnerabilidad o error por día durante una semana, caracterizadas por no tener solución oficial

y ser desconocidas hasta el momento. El hecho de que la iniciativa fuese más corta que las anteriores no quería decir que no existan errores

suficientes. Su creador indicaba que bien podrían hacer “el año de los fallos en Oracle” sin ningún problema.

Pero pocos días después se anunció su suspensión por motivos no precisados. La primera reacción de la comunidad ha sido acusar a Cerrudo de valerse del anuncio (en el que pedía vulnerabilidades a los investigadores para ser publicadas durante la semana) para apoderarse de estos fallos (0 day). Cerrudo se excusa y pide perdón por los problemas

causados, pero niega que esa fuera su intención. Para los que especulasen con la posibilidad de que Oracle le hubiese presionado,

Cerrudo afirma que no se han puesto en contacto con él para nada, que lo esperaba, que como es habitual, no les importa la seguridad en absoluto.

El motivo que dio más tarde es que uno de sus clientes se vería indirectamente afectado por la revelación de estos fallos y podría causarle problemas: “no que sus bases de datos fuesen hackeadas, sino serios problemas de negocio”.

Cerrudo sigue afirmando que efectivamente tiene esos fallos en su poder.

Teniendo en cuenta el historial de Oracle y del propio Cerrudo no hay muchos motivos para dudar de ello. Cesar Cerrudo y David Litchfield,

ambos expertos en seguridad en bases de datos, coinciden el que la seguridad de Oracle es un completo desastre.

En relación a esta campaña abortada, los fallos de Cesar han sido

varios. Quizás no debía haber anunciado el proyecto con tanta antelación

y sin total seguridad de poder llevarlo a cabo. Además, como director de

una empresa, debió tener en cuenta que este tipo de iniciativas podrían

chocar directamente con ciertos intereses, como ha ocurrido. Quizás sea

más interesante, como ha pasado anteriormente, realizar estos

experimentos desde el anonimato.

Por último, otro error probablemente haya sido el centrarse en un solo producto. “La semana de los fallos en servidores de bases de datos”,

por ejemplo, hubiese permitido pensar al menos en un principio, en un reparto más o menos proporcionado entre distintos servidores y no un acuse directo a un producto de una compañía concreta. Aunque, quizás en la práctica, una iniciativa genérica tampoco hubiese cambiado mucho la intención del anuncio. Abundan mucho más los fallos en Oracle, descubiertos y por descubrir que en otras base de datos. Ya lo destacaba

Litchfield hace poco en un informe, en el que comparaba Microsoft SQL Server (ningún fallo de seguridad en su año y pico de vida) con una

desastrosa marca para Oracle.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Sergio López Chicheri, nuevo Country Manager de Commvault para España y Portugal

Hasta ahora ejercía como director de Grandes Cuentas. En el pasado trabajó para Veritas, Symantec…

6 horas ago

Commvault aporta recuperación rápida de datos masivos en Amazon S3

Con Clumio Backtrack permite revertir objetos almacenados en Amazon S3 a una versión específica en…

7 horas ago

El número de operadores en un mercado no es indicador de la disponibilidad de 5G

Según Ookla, los mercados móviles de la Unión Europea con tres jugadores tienen velocidades de…

7 horas ago

Philips introduce tres monitores con funciones de ahorro energético

Los modelos 27B2G5500, 24B2G5200 y 27B2G5200 cuentan con tecnología PowerSensor que activa el modo ahorro…

8 horas ago

Estas son las novedades de Red Hat OpenShift 4.17

Red Hat ha anunciado una versión preliminar de Red Hat OpenShift Lightspeed que permite aprovechar…

9 horas ago

Workday consigue incrementar sus ingresos trimestrales cerca de un 16 %

Acumuló 2.160 millones de dólares durante el tercer trimestre de su ejercicio 2025, de los…

9 horas ago