David Litchfield, reputado investigador de seguridad (especializado
en bases de datos) demuestra, aportando su extensa experiencia,
que la base de datos Microsoft SQL Server es mucho más segura que
Oracle. Ha publicado un informe que según él, no deja lugar a dudas.
El documento estudia la seguridad de Microsoft SQL Server y Oracle
basándose en fallos (sólo en su cantidad, no en su gravedad) reportados
por investigadores externos y solucionados por el fabricante. Sólo se
han incluido problemas que afectan a la propia base de datos. Por
ejemplo no se han incluido vulnerabilidades de Application Server o
Intelligent Agent de Oracle ni MDAC (que se considera parte de Windows,
no del servidor) de Microsoft.
El documento ofrece unas gráficas muy claras, que comparan los productos
bandera de Oracle (Database 8, 9 y 10) contra Microsoft SQL Server 7,
2000 y 2005 durante los últimos años. Si bien la versión 7 de Microsoft
sufrió numerosos problemas de seguridad, desde entonces han disminuido
drásticamente hasta la versión 2005, que no sufre ninguno. Mientras, los
problemas de seguridad en Oracle han crecido de forma desproporcionada.
Litchfield achaca estos resultados de forma determinante al «Security
Development Lifecycle» que desarrolla Microsoft para su producto, de
forma que «aprende de sus errores» mientras que Oracle parece no tener
nada de esto, tropezando una y otra vez en la misma piedra, y lo que es
peor, ni siquiera parecen entender los problemas que están intentando
resolver.
El autor, consciente de que a pesar de lo objetivo de los números las
pruebas pueden levantar suspicacias, se adelanta a las posibles
controversias que surgirán a partir de su informe y responde por
adelantado algunas cuestiones.
* No, Oracle no «parece tan malo» por ser multiplataforma. Esto no
distorsiona los datos. Casi todos sus problemas de seguridad afectan
a todas las plataformas.
* Sí, hay varios investigadores intentando encontrar fallos en el
servidor SQL 2005 de Microsoft. Y su código es más seguro. Es tan simple
como que no los encuentran.
Litchfield además, muestra en las gráficas sólo fallos públicos y
solucionados, y adelanta que a Oracle todavía le quedan al menos 49 por
corregir y no están incluidos en las estadísticas del informe. Como
experto y descubridor de la mayoría de los fallos de Oracle que se
muestran, se siente con la autoridad suficiente como para que sus
resultados no sean refutados. Para él, si se busca seguridad, la
elección está clara.
En Microsoft, obviamente, ya notaron su ventaja con respecto a la
seguridad y realizaron su propio estudio. En una entrada en un blog
oficial titulado «1 Year And Not Yet Counting…», comparan las
vulnerabilidades listadas en CVE (Common vulnerabilities and Exposures)
de Oracle, MySql e IBM Database contra SQL Server 2005. Sus resultados
son también esclarecedores. Oracle, seguido de MySql e IBM, sufren todos
más vulnerabilidades que el producto de Microsoft (versión 2005). De
hecho, todavía no se le ha encontrado ninguna desde que fue lanzado hace
más de un año.
Se agradecen este tipo de informes que abordan la seguridad desde un
punto de vista fuera de misticismos y prejuicios. Litchfield no tiene
relación con Microsoft, de hecho ha encontrado muchas vulnerabilidades
en casi todos sus productos (aunque bastantes más en Oracle, donde se
siente especialmente «cómodo»). Por tanto, no es sólo una típica
comparación sobre quién es «menos inseguro» en una discusión basada en
opiniones y gustos, sino que avala la robustez en un producto bien
conseguido (además de una importante deficiencia en Oracle ya apuntada
en otros boletines) que bien merece ser mencionada.
ssantos@hispasec.com
Más información:
Which database is more secure? Oracle vs. Microsoft
http://www.databasesecurity.com/dbsec/comparison.pdf
SQL Server 2005 – 1 Year And Not Yet Counting…
http://blogs.technet.com/security/archive/2006/11/07/sql-server-2005-1-year-and-not-yet-counting.aspx
David Litchfield
http://en.wikipedia.org/wiki/David_Litchfield
Deja una respuesta