Cesar Cerrudo ha anunciado la cancelación de la semana se fallos en Oracle, que hubiese comenzado la primera semana de diciembre. Su
suspensión ha levantado todo tipo de sospechas, y Cerrudo ha reconocido finalmente haber cometido errores.
Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, y LMH en noviembre con la iniciativa “mes de los errores
en el núcleo” Cesar Cerrudo anunció “la semana de fallos en Oracle”. La WoODB se iba a centrar en la publicación de una vulnerabilidad o error por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa fuese más corta que las anteriores no quería decir que no existan errores
suficientes. Su creador indicaba que bien podrían hacer “el año de los fallos en Oracle” sin ningún problema.
Pero pocos días después se anunció su suspensión por motivos no precisados. La primera reacción de la comunidad ha sido acusar a Cerrudo de valerse del anuncio (en el que pedía vulnerabilidades a los investigadores para ser publicadas durante la semana) para apoderarse de estos fallos (0 day). Cerrudo se excusa y pide perdón por los problemas
causados, pero niega que esa fuera su intención. Para los que especulasen con la posibilidad de que Oracle le hubiese presionado,
Cerrudo afirma que no se han puesto en contacto con él para nada, que lo esperaba, que como es habitual, no les importa la seguridad en absoluto.
El motivo que dio más tarde es que uno de sus clientes se vería indirectamente afectado por la revelación de estos fallos y podría causarle problemas: “no que sus bases de datos fuesen hackeadas, sino serios problemas de negocio”.
Cerrudo sigue afirmando que efectivamente tiene esos fallos en su poder.
Teniendo en cuenta el historial de Oracle y del propio Cerrudo no hay muchos motivos para dudar de ello. Cesar Cerrudo y David Litchfield,
ambos expertos en seguridad en bases de datos, coinciden el que la seguridad de Oracle es un completo desastre.
En relación a esta campaña abortada, los fallos de Cesar han sido
varios. Quizás no debía haber anunciado el proyecto con tanta antelación
y sin total seguridad de poder llevarlo a cabo. Además, como director de
una empresa, debió tener en cuenta que este tipo de iniciativas podrían
chocar directamente con ciertos intereses, como ha ocurrido. Quizás sea
más interesante, como ha pasado anteriormente, realizar estos
experimentos desde el anonimato.
Por último, otro error probablemente haya sido el centrarse en un solo producto. “La semana de los fallos en servidores de bases de datos”,
por ejemplo, hubiese permitido pensar al menos en un principio, en un reparto más o menos proporcionado entre distintos servidores y no un acuse directo a un producto de una compañía concreta. Aunque, quizás en la práctica, una iniciativa genérica tampoco hubiese cambiado mucho la intención del anuncio. Abundan mucho más los fallos en Oracle, descubiertos y por descubrir que en otras base de datos. Ya lo destacaba
Litchfield hace poco en un informe, en el que comparaba Microsoft SQL Server (ningún fallo de seguridad en su año y pico de vida) con una
desastrosa marca para Oracle.
Hasta ahora ejercía como director de Grandes Cuentas. En el pasado trabajó para Veritas, Symantec…
Con Clumio Backtrack permite revertir objetos almacenados en Amazon S3 a una versión específica en…
Según Ookla, los mercados móviles de la Unión Europea con tres jugadores tienen velocidades de…
Los modelos 27B2G5500, 24B2G5200 y 27B2G5200 cuentan con tecnología PowerSensor que activa el modo ahorro…
Red Hat ha anunciado una versión preliminar de Red Hat OpenShift Lightspeed que permite aprovechar…
Acumuló 2.160 millones de dólares durante el tercer trimestre de su ejercicio 2025, de los…