甲骨文安全長發文說:不准抓我們的產品漏洞!
甲骨文(Oracle)安全長Mary Ann Davidson本周二(8/11)於官方部落格
以長篇大論表達她對甲骨文產品安全性的看法(以上連結為archive.org存
檔,原文已被刪),要求客戶或第三方研究人員不該以逆向工程尋找甲骨文
產品的漏洞,也不推崇科技產業時興的抓漏獎勵。此文一出,讓外界議論紛
紛,甲骨文則迅速在當天移除該篇文章。
Davidson認為,客戶以逆向工程找出甲骨文產品的漏洞已經違反甲骨文的授
權協議(EULA)。她說,甲骨文釋出的產品都是執行格式,由於牽涉到智慧
財產權的議題,與客戶的授權協議禁止客戶或客戶所聘請的顧問團隊針對甲
骨文產品的執行程式進行逆向工程、反編譯、反組合,或是任何其他把執行
程式轉成原始程式碼的手段。
這是因為有許多客戶會自行或委託顧問公司分析所使用產品的安全性,
Davidson表示,當客戶發現安全漏洞並提出服務請求時,若甲骨文發現該漏
洞只有透過逆向工程才會曝光,甲骨文就會同時發信給客戶及其顧問公司,
提醒他們此一行為已侵犯彼此的授權協議,迄今她已寫了很多信件要求客戶
不要再針對甲骨文的程式進行逆向工程。
Davidson還強調,甲骨文有能力分析該公司的產品程式碼,這是他們的工
作,也是他們的強項,不需要外界來分析,同時也不想浪費時間來研究第三
方所提報的程式怪異之處。
就算客戶找到的是真正的安全漏洞,也不能合法化他們使用逆向工程的侵權
事實。Davidson形容,這就像是人們不應因為房子的門窗未鎖就擅闖一樣。
雖然甲骨文仍會修補此一臭蟲,但並不會因此歸功於客戶,因為甲骨文無法
感謝客戶違反授權協議。
Davidson對科技產業時興的抓漏獎勵(Bug Bounty)計畫也不以為然,指出
此一趨勢只是在向外界昭告業者的程式並不安全。以甲骨文為例,他們自己
找到了87%的安全漏洞,來自第三方安全研究人員的只佔了3%,其他則是客
戶發現的。 Davidson說,她並非瞧不起抓漏獎勵計畫,而是認為花大把的
鈔票只為了解決3%的漏洞是不划算的,不如聘請一個負責開發抓漏工具的員
工。
這篇文章引來許多的嘲諷,F-Secure資安研究長Mykko Hypponen在Twitter
上轉貼這篇文章,聲稱看來甲骨文真的很討厭逆向工程與抓漏獎勵。有分析
師質疑,甲骨文如何能把矛頭指向客戶,有研究人員懷疑這篇文章的真實
性,還有媒體評論Davidson簡直就是在挑釁駭客。
至於甲骨文則在此篇文章下架後另外對外表示,產品及服務的安全性一直是
該公司最重視的環節,除了提供產品安全保證計畫之外,甲骨文亦與第三方
研究人員及客戶合作以確保甲骨文產品的安全性,文章被移除是因它並不符
合甲骨文的想法或是甲骨文與客戶之間的關係。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/98059
心得
駭客:大夥進攻囉