La semana de los fallos en Oracle
Siguiendo la estela del “mes de los fallos en navegadores” y del “mes de los errores en el núcleo”, Cesar Cerrudo emprende una nueva campaña centrada en un solo producto: La semana de los bugs en Oracle (Week of Oracle Database Bugs) ha sido anunciada para principios de diciembre.
Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, y LMH ahora en noviembre con la iniciativa “mes de los errores en el núcleo” llega “la semana de fallos en Oracle” de la mano de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases de datos.
La WoODB se centrará en la publicación de una vulnerabilidad o error por día durante una semana, caracterizadas por no tener solución oficial y ser desconocidas hasta el momento. El hecho de que la iniciativa sea más corta que las anteriores no quiere decir que no existan errores suficientes. Su creador indica que bien podrían hacer “el año de los fallos en Oracle” sin ningún problema. Una semana, sin embargo, les ha parecido suficiente para llamar la atención sobre el problema de seguridad de Oracle, que no distribuye productos seguros ni sus actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su posición en el mercado, aunque aclara que la semana podría haber sido dedicada a cualquier otro producto, porque asegura tener “0 days” para otros sistemas de bases de datos. Aunque no lo mencione, parece obvio que una de sus motivaciones añadidas es dar a conocer su empresa.
El proyecto ha recibido críticas negativas de Alexander Kornbrust, experto de Red-Database-Security que piensa que no contribuirá a mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo trimestral de actualizaciones y por tanto no habrá nuevos parches hasta enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado la seguridad durante 2006.
Es cierto que Oracle ha mejorado su sistema de notificación de alertas de seguridad, pero es más cuestionable que haya mejorado la seguridad en sí. En su último paquete de actualizaciones, añadió más información a la descripción de las vulnerabilidades respondiendo a una aclamada demanda por parte de administradores de sus bases de datos, y reconociendo que la forma en la que venía describiendo sus problemas de seguridad resultaba manifiestamente mejorable. Ha rediseñado su sistema de boletines ayudándose de CVSS (Common Vulnerability Scoring System), un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas.
Pero sin ir más lejos David Litchfield demostraba a través de un informe hace unos días que Oracle sufre demasiados problemas de seguridad, que van en aumento, y que tiene otros tantos que les queda por corregir. La semana de fallos en Oracle será una pequeña muestra.