知识大全 著名安全专家Litchfield对Oracle开火

Posted 数据库

篇首语:有山必有路,有水必有渡。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 著名安全专家Litchfield对Oracle开火相关的知识,希望对你有一定的参考价值。

著名安全专家Litchfield对Oracle开火  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!

  著名的袭虫猎人Litchfield为自己赋予的使命就是告诉全世界数据库软件并不安全——特别是Oracle的数据库 Litchfield曾经公开批评Oracle 甚至要求Oracle首席安全官Mary Ann Davidson下台     Litchfield认为 长期以来 Oracle及其用户在安全领域里一直象鸵鸟一样把头插在沙子中 Oracle采用了错误的方式来解决安全问题

  英国下一代安全软件的合作创办人Litchfield正在进行一场圣战 今年一月 他出版了一本Oracle黑客手册 手册的封面上说为读者提供了完整的访问和防护Oracle系统的方法     在批判Oracle的同时 Litchfield却对微软极力推崇 他曾经公开声称微软最新的数据库软件SQL Server 是安全的 这种声明一定严重的伤害到了微软的主要竞争对手Oracle Oracle已经眼看着一大块数据库市场划归了华盛顿Redmond的软件巨人

  在上周召开的Black Hat DC大会上 Litchfield讨论到了一种新的袭击技术使Oracle数据软件的漏洞问题更加严重 他向ZDNet澳洲的姐妹网站CNET 解释了揭露漏洞的必要性 问 为什么您对数据库安全如此关注?还有其他那么多软件 Litchfield: 数据库安全对于任何组织机构来说就象是王冠上的珠宝 这个星球上的每家机构都有数据库 而这组织机构存在的活力之源 没有什么比从源头进行把握更有效的安全措施 我们能够在周边进行安全工作 但是如果软件本身带有SQL injection这样的漏洞 那么安全措施就前功尽弃了     我与Oracle的关系已经有所缓和     尽管有防火墙 尽管网络服务器已经被锁定 但是网络应用中的SQL injection缺陷就能让我们一路畅通的进入数据库服务器的后端 如果这个数据库没有采用最低权限 或者没有完全打好补丁 那么我们就能对数据库进行充分的访问并攫取全部数据

  数据库必须是安全的 问题是在最近以前 没有人真正的处理过数据库服务器的后端 也就是说过去人们采取的都不过是外围安全措施 最近您对Oracle的数据库相当关注 是有什么特别的原因让您对Oracle倾注更多吗? Litchfield: 是的 SQL Server 是安全的 因为微软解决了问题 Oracle正在解决问题 对于IBM 我研究过DB 和Informix 并为他们指出了从缓存溢出到权限增加等大约 个bug IBM安全部门的反应是成熟的

  最近 Oracle安全部门的反应就没那么成熟 他们气势汹汹的 与 这个家伙在让我们的产品更安全 的想法完全相反 不过他们的态度现在有所好转 Oracle正在开始理解我和他们站在同一条战线上 只是彼此的看法不同

  当Oracle这样的厂家态度强硬时 您就会变得更加强硬? Litchfield: 是的 很遗憾我正是这样行事的 但是如果你不得不保护自己 那么就保护自己吧 我更愿意去工作 就象我对微软和IBM那样 与他们的安全响应团队一起工作 我们与微软和IBM拥有良好的关系 有什么比良好的关系好的成事方法呢?我可不想站在浑水中互相指责     我与Oracle的关系有所缓解 他们理解这并不是一场意志上的对决 我努力使他们了解他们数据库所存在的问题 因为这些问题对我造成了直接的对影响 如果有人闯入数据库服务器然后窃取了我的信息 付出代价的是我 而不是Oracle/    有人可能会认为这有点象敲诈 Litchfield: 我可从来没有向Oracle索要过财物 如果人们这么想 那么他们得到的信息可能有误

  那么微软也没有雇用你来说SQL Server 是安全的?     Litchfield: 我说微软的产品是安全的但是没有从微软那里得到什么报酬 如果任何人在SQL Server 中找到bug 那个人最好是我 如果别人找到什么bug 它会破坏我将来判断产品是否安全的能力 因此 如果在SQL Server 中的确存在bug 我希望是我首先发现 我很期待

  微软过去和现在是否是NGS软件的客户?Litchfield: NGS的确在微软工作 但我们并不是受雇来说他们是安全的——我们被雇来使他们的产品更安全 对于微软和NGS来说 现在以及将来的独立性都很重要 否则我们工作的正确性以及微软为使产品更安全所进行的努力就会遭到怀疑 这就是NGS 依然在为微软的产品提出安全建议的原因 我听说您曾经担任SQL Server 的安全审计工作 是这样吗?Litchfield: 我不能说具体的说到我们所做的项目 这样 如果有人对SQL Server是否比Oracle安全的问题存在疑问 他所要做的就是想想包括那么多顶级研究人员在内的很多人都曾经研究过两个产品 寻找过安全漏洞 而SQL Server已经很长时间没有被发现问题了 我再重复一遍 如果有人在SQL Server 中发现严重的漏洞 那么我希望那个人是我     Oracle是否曾经是NGS软件的客户?Litchfield: 是的 过去我们与Oracle合作过几个项目 NGS软件的主要业务是什么? Litchfield:我们的业务分三个方面 我们销售评估安全状况和是否遵从萨班斯 奥克斯利法案的工具 我们为一些组织机构提供顾问服务 而且我们还进行漏洞调研并销售调研报告

  你们一般调研对象是什么样的机构? Litchfield: 负责和保护关键性国家基础设施的政府机构 我们试着对他们的安全问题提出事前警告 我们能够告诉他们某个产品存在缺陷 并且提供消除问题的策略 甚至没有厂家提供的补丁 系统也能得到保护     靠无知来保证安全是行不通的 因为某个人的无知就是别人的生财之道

cha138/Article/program/Oracle/201311/17974

相关参考

知识大全 用 VC 开 发 Oracle 数 据 库 应 用 程 序

用VC开发Oracle数据库应用程序  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  ____Or

知识大全 Oracle 认证的专家之见

Oracle认证的专家之见  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  如今在IT行业认证是个

知识大全 Oracle专家调优秘密

Oracle专家调优秘密  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  在过去的十年中Oracl

知识大全 Oracle数据库的安全策略

Oracle数据库的安全策略  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  Oracle是关系型

知识大全 深入分析Oracle数据库的安全策略

深入分析Oracle数据库的安全策略  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  Oracle

知识大全 Oracle数据库安全措施

Oracle数据库安全措施  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  说明以下措施只是加强o

知识大全 专家解答充分认识和利用Oracle11g

专家解答充分认识和利用Oracle11g  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  在这篇访

知识大全 Oracle数据安全面面观

Oracle数据安全面面观  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  随着计算机的普及以及网

知识大全 ORACLE入门之数据库安全策略

ORACLE入门之数据库安全策略  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  数据库安全性问题

知识大全 Oracle的安全性承诺

坚不可摧:Oracle的安全性承诺  以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!  为什么坚不可摧