Cancelada la semana de los fallos en Oracle

SeguridadVirus

Tenía que haberse celebrado la primera semana de diciembre y sususpensión ha levantado todo tipo de sospechas.

Cesar Cerrudo ha anunciado la cancelación de la semana se fallos en Oracle, que hubiese comenzado la primera semana de diciembre. Su

suspensión ha levantado todo tipo de sospechas, y Cerrudo ha reconocido finalmente haber cometido errores.

Como ya hiciera HD Moore en julio con su “mes de los fallos en los navegadores”, y LMH en noviembre con la iniciativa “mes de los errores

en el núcleo” Cesar Cerrudo anunció “la semana de fallos en Oracle”. La WoODB se iba a centrar en la publicación de una vulnerabilidad o error por día durante una semana, caracterizadas por no tener solución oficial

y ser desconocidas hasta el momento. El hecho de que la iniciativa fuese más corta que las anteriores no quería decir que no existan errores

suficientes. Su creador indicaba que bien podrían hacer “el año de los fallos en Oracle” sin ningún problema.

Pero pocos días después se anunció su suspensión por motivos no precisados. La primera reacción de la comunidad ha sido acusar a Cerrudo de valerse del anuncio (en el que pedía vulnerabilidades a los investigadores para ser publicadas durante la semana) para apoderarse de estos fallos (0 day). Cerrudo se excusa y pide perdón por los problemas

causados, pero niega que esa fuera su intención. Para los que especulasen con la posibilidad de que Oracle le hubiese presionado,

Cerrudo afirma que no se han puesto en contacto con él para nada, que lo esperaba, que como es habitual, no les importa la seguridad en absoluto.

El motivo que dio más tarde es que uno de sus clientes se vería indirectamente afectado por la revelación de estos fallos y podría causarle problemas: “no que sus bases de datos fuesen hackeadas, sino serios problemas de negocio”.

Cerrudo sigue afirmando que efectivamente tiene esos fallos en su poder.

Teniendo en cuenta el historial de Oracle y del propio Cerrudo no hay muchos motivos para dudar de ello. Cesar Cerrudo y David Litchfield,

ambos expertos en seguridad en bases de datos, coinciden el que la seguridad de Oracle es un completo desastre.

En relación a esta campaña abortada, los fallos de Cesar han sido

varios. Quizás no debía haber anunciado el proyecto con tanta antelación

y sin total seguridad de poder llevarlo a cabo. Además, como director de

una empresa, debió tener en cuenta que este tipo de iniciativas podrían

chocar directamente con ciertos intereses, como ha ocurrido. Quizás sea

más interesante, como ha pasado anteriormente, realizar estos

experimentos desde el anonimato.

Por último, otro error probablemente haya sido el centrarse en un solo producto. “La semana de los fallos en servidores de bases de datos”,

por ejemplo, hubiese permitido pensar al menos en un principio, en un reparto más o menos proporcionado entre distintos servidores y no un acuse directo a un producto de una compañía concreta. Aunque, quizás en la práctica, una iniciativa genérica tampoco hubiese cambiado mucho la intención del anuncio. Abundan mucho más los fallos en Oracle, descubiertos y por descubrir que en otras base de datos. Ya lo destacaba

Litchfield hace poco en un informe, en el que comparaba Microsoft SQL Server (ningún fallo de seguridad en su año y pico de vida) con una

desastrosa marca para Oracle.