Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
IKKE "UNBREAKABLE": Oracles sikkerhedsdirektør har et blødt punkt: Sikker kode. Trods afsløringer af flere sårbarheder
i koden er hun forsat overbevist om, at ingen gør det bedre. Alt for mange sjusker, hævder Mary Ann Davidson.
Nettet strammes om Oracle. Softwarekoncernen, der engang stak næsen kraftigt frem ved at hævde, at dens database var "unbreakable", altså fuldstændig sikker, er endt i et væld af overskrifter om usikkerhed.
Paradoksalt nok er softwarekoncernen dermed endt i selskab med Microsoft, som den bramfrie Oracle-stifter Larry Ellison ofte tidligere har klandret for et elendigt sikkerhedsniveau.
Senest har Oracle lidt den tort, at verdens mest respekterede sikkerhedsorganisation Cert måtte udsende en advarsel om alvorlige sårbarheder i flere Oracle-produkter. Kort tid forinden hævdede en britisk sikkerhedskonsulent at have fundet 34 sårbarheder i Oracles produkter.
I den anledning kontaktede vi Oracles øverste sikkerhedsansvarlige, Mary Ann Davidson, der bærer titlen CSO - Chief Security Officer. Hun er en markant person i sikkerhedsbilledet. Prisbelønnet med store tillidsposter. Bredt citeret i medier, hvad enten det er Wall Street Journal eller sikkerhedstidsskrifter.
Ifølge Mary Ann Davidson er der tale om langt færre sårbarheder, end briten David Litchfield påstår (læs side 17). Hun hævder ikke, at databasen er 100 procent skudsikker, men at sikkerhedsniveauet er meget højt.
- Vi har 17 formelle sikkerhedsvurderinger af vores database, og de sker op mod forskellige internationale vurderingskriterier. Vores to største konkurrenter ligger stadig på henholdsvis nul og en, skriver Mary Ann Davidson. Interviewet foregår via e-mail.
Hun påpeger, at Oracle har investeret millioner. Ikke alene i, hvad hun kalder it-industriens ledende sikkerhedsniveau, men også i at få sikkerheden valideret af andre.
- Helt ærligt så taber vi aldrig ordrer til konkurrenterne på grund af sikkerhedsaspekter, skriver hun.
Sikkerhedsdirektøren tilføjer, at den tid, hvor sikkerheden kun var et afgørende aspekt hos storkunden, det amerikanske forsvarsministerium, for længst er forbi. I dag er det en afgørende faktor for store dele af erhvervslivet.
Mary Ann Davidson påpeger også, at Oracle selv er gået ind på sikkerhedsområdet. Selskabet har udviklet et system til at håndhæve regler for, hvem der har adgang til hvilke systemer - til identitetsstyring.
Branchen koder dårligt
Sikkerhedsdirektøren er kendt for at have en kæphest: Sikker kodning. Hun har i mange år svunget den nihalede pisk over konkurrenter og udviklere - skammet dem ud.
- Vi får måske aldrig helt sikker kode, men jeg tror, at store dele af it-industrien har glemt, at selv om perfektion er vanskelig, må man ikke opgive sin stræben efter at skrive bedre kode.
Da hun for nylig var ude at flyve, sad hun ved siden af en mand, hvis firma udvikler software, som indlejres i systemer, der bruges om bord på fly.
- Det er jo overflødigt at påpege, at disse systemer ikke må gå ned. Der er ingen chancer for, at man kan "reboote" undervejs. Og som min sidemand påpegede, så hører man ikke om fly, der styrter ned, fordi softwaren går ned, skriver hun.
Sidemandens virksomhed havde netop opnået det allerhøjeste niveau af modenhedsklassifikation for softwareudvikling, CMM niveau 5 (Capability Maturity Model).
- Det store spørgsmål er, hvorfor kommercielle softwarefirmaer ikke lever op til det niveau, når det gælder pålideligt soft-
ware. Vi har ikke to slags broer: Den slags, som falder ned hver 30. dag og ellers er under konstant reparation, kontra den slags, der står gennem tre århundreder og aldrig fejler. Hvorfor så tolerere usikker kommerciel software? Vi ved, at der kan bygges pålidelig, sikker software.
Men selv de allerdygtigste, mest påpasselige udviklere kan indimellem forårsage fejl, der kan koste dyrt, påpeger hun.
- Hvis vi nogensinde skal få udslettet de fejl, der kan undgås og forhindres - de fejl, der leder til sikkerhedshuller, som er store nok til, at Queen Elizabeth II kan sejle durk igennem - så skal vi anvende automatiseret kodescanning.
- Hackerne har automatiserede hacking-værktøjer. Softwareleverandørerne har behov for automatiserede værktøjer for at bidrage til, at deres produkter bliver sikret mod hackere. Der er nogle få værktøjer på markedet, som virkelig duer, men der er flere meget lovende nye på vej, skriver hun.
Boks:
Varslerne om sårbarheder i Oracles database har også i Danmark givet nogen uro, fortæller Mogens Nørgaard, teknisk direktør i Miracle, der er et af landets tungeste konsulenthuse, når det gælder databaser. Nørgaard er blevet kontaktet af adskillige Oracle-kunder.
- Pludselig er det jo ikke længere bare "almindelige" patches, som man kan vente med at smide på sit system, til samspillet med applikationerne er godt testet. Nu kan det være nødvendigt pludselig at patche et system, der ellers har været stabilt over længere tid, siger Mogens Nørgaard.
Han skønner imidlertid, at de "gamle" databaser som Oracles samt IBM's DB2 er relativt sikre. For sikkerheden tæller også, at hackerne især går efter Microsoft-produkter grundet disses store udbredelse. toft
Boks:
Oracles onde ånd hedder David Litchfield - en såkaldt bughunter. Han jager fejl i software.
For nylig benyttede Litchfield en stor sikkerhedskonference som platform for sit "budskab". Han hævdede, at der er 34 fejl i Oracle-produkter, heraf hovedparten i Oracle 10g-databasen.
Tidligere var han Microsofts onde ånd. David Litchfield gik så langt som til at skrive et stykke kode, der skulle bevise, at en sårbarhed kunne udnyttes. Han gik faktisk endnu længere. Han offentliggjorde koden for to år siden, og hackerne tog den straks til sig. Ifølge IDG News Service kan vi "takke" Lichtfield for Slammer-ormen, der har hærget bredt og kostet meget dyrt.
David Litchfield, der har eget sikkerhedsfirma, har let ved at komme i pressens spalter ligesom andre bughuntere, der også typisk har eget sikkerhedsfirma.
På spørgsmålet om, hvad Oracles sikkerhedsdirektør Mary Ann Davidson mener om symbiosen mellem bughunters og medierne, svarer hun, at publiceringen kan hjælpe fejljagerne med at få konsulentopgaver og dermed indtægt.
Ifølge fejljagerne sker offentliggørelsen i slutkundernes interesse, idet leverandørerne er presset til at få udbedret sårbarhederne hurtigt, men Mary Ann Davidson ser situationen med andre øjne.
- Fejlsøgerne ser normalt ikke alle de ting, som leverandøren arbejder på - nogle gange kun en lille procentdel af det samlede billede. Derfor kan der opstå en suboptimering. Presser de leverandøren til at fixe deres sårbarhed, kan det skubbe andre, måske mere kritiske sårbarheder længere ned i køen. Kunder kan derfor ende med at stå med en større sikkerhedsrisiko på grund af bughunter-effekten. toft
