Oracle får kritikk for dårlig sikkerhet

Dårlige oppdateringer og arrogant holdning
Bakgrunnen for kritikken er ikke bare den mangelfulle oppdateringen av Oracles programvare. Også det faktum at en representant for selskapet skal ha sagt at programvaren ikke hadde feil eller mangler setter sinnene i kok.

Det er først og fremst sikkerhetseksperter som nå reagerer på det de karakteriserer som arrogant oppførsel fra Oracles hold.

David Litchfield, ansatt i det britiske sikkerhetsselskapet Next Generation Security Software har følgende å si om Oracles måte å håndtere dette på: - Oracle må ta dette inn over seg, de må se over sin sikkerhetsfilosofi og tenke nøye gjennom hva sikkerhet er og hva dette innebærer.

- Ikke bare har de utelatt viktige sårbarheter i den siste oppdateringen, men hele deres holdning er kritikkverdig, tilføyer Litchfield.

Han er ikke alene om denne kritikken, som etterhvert har blitt en kjent sak i sikkerhetsmiljøer. Noe av kritikken går på dårlige oppdateringer og sen reaksjon på sårbarheter, mens en annen faktor er den responsen Oracle gir tilbake til miljøet.

Microsoft bedre
- Oracle ligger år bak Microsoft og andre selskaper når det gjelder sikkerhet, sier Cesar Cerrudo, administrerende direktør i Argeniss, et sikkerhetsselskap i Argentina.

Microsoft var en gang favoritten når det gjaldt å lete etter og rapportere om svakheter. I den senere tid har de blitt bedre og bedre, og får nå ros av mange for sitt arbeid med å gjøre programvaren sikrere. Dette gjør at fokuset endres, og Oracle er en av de selskapene som nå får gjennomgå.

Rapporteringsproblem
Et problem i denne sammenhengen er at det ofte ikke blir kjent hvilke sårbarheter som finnes, eller om disse har hatt konkrete konsekvenser for brukere av Oracles produkter. Store Oracle-kunder rapporterer sjelden om konsekvenser til andre enn Oracle selv. Sistnevnte er også klare på at de foretrekker å få vite om sårbarheter direkte, og at disse ikke blir offentliggjort.

Sikkerhetsseksperter er kritiske til denne måten å gjøre ting på, særlig siden det tar lang tid før sårbarhetene blir ordnet. En del sikkerhetseksperter er også villige til å legge press på programvareprodusenter for at de skal komme med oppdateringer.

eEye Digital Security er et slikt selskap, som rapporterer om sårbarheter, feil eller mangler på programvare. - Vi ser på en oppdatering som "utgått" dersom den ikke kommer innen 60 dager etter at man har oppdaget sårbarheten, sier Steve Manzuik i eEye.

- I de verste tilfellene har det tatt opptil 600 dager før en sårbarhet er blitt fikset, legger Manzuik til.

Sikkerhetsekspertene er trusselen
Oracles sikkerhetssjef, Mary Ann Davidson, svarer sikkerhetsekspertene på følgende måte: - Vi gjør, som de fleste andre, vårt beste i å ordne opp i sårbarheter. Vi trenger ikke trusler fra sikkerhetsekspertene på toppen av dette.

Pete Lindstrom, direktør i Spire Security, velger å snu helt om på bildet: - Det er ikke Oracle som burde være i fokus her, men de som leter etter og rapporterer om sårbarheter. Jeg stiller spørsmålstegn ved deres motiver. Og det er sluttbrukerne som må lide som en følge av denne konflikten.

- Sikkerhetseksperter vil ha bort hver eneste lille feil og sårbarhet. For oss andre holder det at programvaren er sikker nok. I stedet for å være en ressurs som hjelper til med å gjøre ting sikrere, blir ekspertene en byrde. Kanskje de snille skulle slutte å lete opp feil og sårbarheter for de slemme, avslutter Lindstrom.

(Kilde: Cnet.News.com)

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen