Cesar Cerrudo ha anunciado la cancelación de la semana se fallos en
Oracle, que hubiese comenzado la primera semana de diciembre. Su
suspensión ha levantado todo tipo de sospechas, y Cerrudo ha reconocido
finalmente haber cometido errores.
Como ya hiciera HD Moore en julio con su «mes de los fallos en los
navegadores», y LMH en noviembre con la iniciativa «mes de los errores
en el núcleo» Cesar Cerrudo anunció «la semana de fallos en Oracle». La
WoODB se iba a centrar en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa fuese
más corta que las anteriores no quería decir que no existan errores
suficientes. Su creador indicaba que bien podrían hacer «el año de los
fallos en Oracle» sin ningún problema.
Pero pocos días después se anunció su suspensión por motivos no
precisados. La primera reacción de la comunidad ha sido acusar a Cerrudo
de valerse del anuncio (en el que pedía vulnerabilidades a los
investigadores para ser publicadas durante la semana) para apoderarse de
estos fallos (0 day). Cerrudo se excusa y pide perdón por los problemas
causados, pero niega que esa fuera su intención. Para los que
especulasen con la posibilidad de que Oracle le hubiese presionado,
Cerrudo afirma que no se han puesto en contacto con él para nada, que lo
esperaba, que como es habitual, no les importa la seguridad en absoluto.
El motivo que dio más tarde es que uno de sus clientes se vería
indirectamente afectado por la revelación de estos fallos y podría
causarle problemas: «no que sus bases de datos fuesen hackeadas, sino
serios problemas de negocio».
Cerrudo sigue afirmando que efectivamente tiene esos fallos en su poder.
Teniendo en cuenta el historial de Oracle y del propio Cerrudo no hay
muchos motivos para dudar de ello. Cesar Cerrudo y David Litchfield,
ambos expertos en seguridad en bases de datos, coinciden el que la
seguridad de Oracle es un completo desastre.
En relación a esta campaña abortada, los fallos de Cesar han sido
varios. Quizás no debía haber anunciado el proyecto con tanta antelación
y sin total seguridad de poder llevarlo a cabo. Además, como director de
una empresa, debió tener en cuenta que este tipo de iniciativas podrían
chocar directamente con ciertos intereses, como ha ocurrido. Quizás sea
más interesante, como ha pasado anteriormente, realizar estos
experimentos desde el anonimato.
Por último, otro error probablemente haya sido el centrarse en un solo
producto. «La semana de los fallos en servidores de bases de datos»,
por ejemplo, hubiese permitido pensar al menos en un principio, en un
reparto más o menos proporcionado entre distintos servidores y no un
acuse directo a un producto de una compañía concreta. Aunque, quizás
en la práctica, una iniciativa genérica tampoco hubiese cambiado mucho
la intención del anuncio. Abundan mucho más los fallos en Oracle,
descubiertos y por descubrir que en otras base de datos. Ya lo destacaba
Litchfield hace poco en un informe, en el que comparaba Microsoft SQL
Server (ningún fallo de seguridad en su año y pico de vida) con una
desastrosa marca para Oracle.
ssantos@hispasec.com
Más información:
The Dailydave Archives:
http://lists.immunitysec.com/pipermail/dailydave/
Deja un comentario