Radbrekker Oracles sikkerhet

Radbrekker Oracles sikkerhet

"Unbreakable"? Neppe, mener Gartners analytikere. Det var rettelser til 82 hull i Oracles siste sikkerhetsoppdatering.

Mange husker nok Orackles annonsekampanje for noen år siden der selskapet hevdet at deres databaser var umulige å bryte seg inn i, eller "unbreakable" som det het i reklamen .

Analyseselskapet Gartner mener nå at Oracles databaser slett ikke lever opp til sitt renommé for solid sikkerhet lenger. Systemadministratorer rådes til å gjøre mer for å beskytte sine systemer.

- Oracle kan ikke lenger betraktes som en sikkerhetsbastion, sier analytiker Rich Mogull i en uttalelse fra Gartner som ble offentliggjort mandag.

Uttalelsen kommer få dager etter at Oracle publiserte en mengde rettelser for alvorlige sikkerhetsproblemer. Rettelsene dekker hele 82 sårbarheter i ulike Oracle-produkter, 37 av dem i selve flaggskipet, databasen.

Flere av sikkerhetshullene muliggjorde adgang til databasen fra utsiden, skriver Techworld.com.

- Omfanget av og alvorsgraden i sårbarhetene i denne oppdateringen gir oss god grunn til bekymring. Oracle har ennå ikke opplevd noen omfattende utnyttelse av sikkerhetshull, men det utelukker ikke at noe slik kan skje, sier Gartner-analytikeren ifølge IDG News.

Rettes ikke

Ifølge Mogull lar adminstratorer ofte være å rette opp Oracle-progamvare jevnlig, på grunn av selskapets historisk sett solide sikkerhet, og fordi applikasjoner og databaser fra Oracle ofte ikke er eksponert mot utenforstående.

Dessuten er det ofte ikke mulig å legge inn rettelser på grunn av bånd til eldre versjoner som Oracle ikke lenger støtter, poengterer Mogull.

Men brister i Oracles sikkerhet blir oppdaget stadig oftere, og det har den siste tiden dukket opp mer verktøy og kode skrevet for å angripe Oracle-databser, mener Gartner. Analyseselskapet kritiserer også Oracle både for å gå ut med mindre informasjon om programfeil enn det som er vanlig i bransjen, og for å publisere rettelser som er vanskelige å installere.

Gartner anbefaler it-adminstratorer å beskytte sine systemer med brannmurer og innbruddsvern, å installere rettelser så fort som mulig samt å bruke systemer for sikkerhetsovervåking og andre sikkerhetsverktøy. Dessuten bør Oracle-kunder legge press på selskapet for å få dem til å endre sine sikkerhetsrutiner, mener Rich Mogull.

- Lett å angripe

Selskapet har fått gjentatt kritikk i det siste for at rettelsene har vært for dårlige. I noen tilfeller har det vært nødvendig å publisere rettelser til rettelsene.

En skarp kritiker, Alexander Kornbrust i Red Database Security, publiserte i fjor vår en såkalt rootkit for å påvise svakheter i Oracle-databaser. Kornbust har nå varslet at han vil slippe versjon 2.0 av rootkit-koden på denne vårens Black Hat Conference.

Ifølge Kornbrust vil denne koden gjøre det mulig for angripere å skjule sine angrep uten å endre databaseoversikter, og i tillegg slette alle spor av angrepet når databasen omstartes.

- Til kundens beste

Ifølge Oracle selv er selskapets sikkerhetsrutiner motivert av kundenes interesser. Duncan Harris, seniordirektør for sikkerhet, sier til Computerworld.com at selskapets beslutning om å gå over til kvartalsvise oppdateringer var basert på ønsker fra databaseadministratorer om lengre oppphold mellom hver oppdatering.

- Våre varsler og råd er til fordel for våre kunder, og ikke beregnet på sikkerhetsmiljøene. sier Harris.

Han mener at den hyppigere og mer åpne publiseringen av sikkerhetsvarsler som for eksempel Microsoft nå praktiserer, vil skade kundene snarere enn å gavne dem. Ifølge Harris har også Oracle intensivert arbeidet med å utvikle, teste, porte og distribuere sikkerhetsoppdateringer de siste årene.