Categories: SeguridadVirus

Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro

Acabando con las dudas

David Litchfield, reputado investigador de seguridad (especializado en bases de datos) demuestra, aportando su extensa experiencia, que la base de datos Microsoft SQL Server es mucho más segura que Oracle. Ha publicado un informe que según él, no deja lugar a dudas.

El documento estudia la seguridad de Microsoft SQL Server y Oracle basándose en fallos (sólo en su cantidad, no en su gravedad) reportados por investigadores externos y solucionados por el fabricante. Sólo se han incluido problemas que afectan a la propia base de datos. Por ejemplo no se han incluido vulnerabilidades de Application Server o Intelligent Agent de Oracle ni MDAC (que se considera parte de Windows, no del servidor) de Microsoft.

El documento ofrece unas gráficas muy claras, que comparan los productos bandera de Oracle (Database 8, 9 y 10) contra Microsoft SQL Server 7, 2000 y 2005 durante los últimos años. Si bien la versión 7 de Microsoft sufrió numerosos problemas de seguridad, desde entonces han disminuido drásticamente hasta la versión 2005, que no sufre ninguno. Mientras, los problemas de seguridad en Oracle han crecido de forma desproporcionada.

Litchfield achaca estos resultados de forma determinante al “Security Development Lifecycle” que desarrolla Microsoft para su producto, de forma que “aprende de sus errores” mientras que Oracle parece no tener nada de esto, tropezando una y otra vez en la misma piedra, y lo que es peor, ni siquiera parecen entender los problemas que están intentando resolver.

Controversias posibles

El autor, consciente de que a pesar de lo objetivo de los números las pruebas pueden levantar suspicacias, se adelanta a las posibles controversias que surgirán a partir de su informe y responde por adelantado algunas cuestiones.

– No, Oracle no “parece tan malo” por ser multiplataforma. Esto no distorsiona los datos. Casi todos sus problemas de seguridad afectan a todas las plataformas.

– Sí, hay varios investigadores intentando encontrar fallos en el servidor SQL 2005 de Microsoft. Y su código es más seguro. Es tan simple como que no los encuentran.

Litchfield además, muestra en las gráficas sólo fallos públicos y solucionados, y adelanta que a Oracle todavía le quedan al menos 49 por corregir y no están incluidos en las estadísticas del informe. Como experto y descubridor de la mayoría de los fallos de Oracle que se muestran, se siente con la autoridad suficiente como para que sus resultados no sean refutados. Para él, si se busca seguridad, la elección está clara.

En Microsoft, obviamente, ya notaron su ventaja con respecto a la seguridad y realizaron su propio estudio. En una entrada en un blog oficial titulado “1 Year And Not Yet Counting…”, comparan las vulnerabilidades listadas en CVE (Common vulnerabilities and Exposures) de Oracle, MySql e IBM Database contra SQL Server 2005.

Sus resultados son también esclarecedores. Oracle, seguido de MySql e IBM, sufren todos más vulnerabilidades que el producto de Microsoft (versión 2005). De hecho, todavía no se le ha encontrado ninguna desde que fue lanzado hace más de un año.

Se agradecen este tipo de informes que abordan la seguridad desde un punto de vista fuera de misticismos y prejuicios. Litchfield no tiene relación con Microsoft, de hecho ha encontrado muchas vulnerabilidades en casi todos sus productos (aunque bastantes más en Oracle, donde se siente especialmente “cómodo”). Por tanto, no es sólo una típica comparación sobre quién es “menos inseguro” en una discusión basada en opiniones y gustos, sino que avala la robustez en un producto bien conseguido (además de una importante deficiencia en Oracle ya apuntada en otros boletines) que bien merece ser mencionada.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago