Web Analytics
Conecta con nosotros

Noticias

Oracle a sus clientes: «Dejad de buscar vulnerabilidades en nuestro código»

Publicado el
Oracle a sus clientes: Dejad de buscar vulnerabilidades en nuestro código

Mary Ann Davidson, jefa de seguridad de Oracle, no se cortó en mostrar su frustración por el hecho de que los clientes realicen pruebas de seguridad sobre el software de su compañía, publicando una entrada en el blog corporativo del gigante de las bases de datos con el contundente título de “No, realmente no puedes”.

Oracle a sus clientes: "Dejad de buscar vulnerabilidades en nuestro código"

En la entrada la empleada de Oracle ha dicho literalmente lo siguiente: “He estado escribiendo muchas cartas a los clientes que empiezan con ‘hi, howzit, aloha’, pero que acaban con un ‘por favor, cumple con tu acuerdo de licencia y para de hacer ingeniería inversa a nuestro código, ya”.

Mary Ann Davidson no se cortó a la hora de acusar a los clientes de intentar realizar el trabajo de los vendedores cuando deciden comprobar el código por ellos mismos, recalcando que el cliente no puede analizar el código para ver si hay un control que previene el ataque cuando la herramienta de escaneo está dando un aviso. Encima ha añadido que el cliente no puede crear un parche para el problema y que esta es competencia del vendedor, para terminar recalcando que el cliente viola la licencia.

Tampoco se ha cortado a la hora de hablar de los informes sobre vulnerabilidades que reciben, argumentando que un informe de un escaneo no es una prueba de una vulnerabilidad actual, diciendo que a menudo no son más que un montón de vapor, y que por eso piden a cada cliente una prueba de concepto.

La entrada del blog no tenía desperdicio, y además de todo lo comentado, Mary Ann Davidson ha dicho en nombre de la empresa que requieren que “clientes y consultores destruyan los resultados de la ingeniería inversa y confirmen que lo han hecho”. La entrada fue borrada al día siguiente debido al revuelo causado en Internet, aunque todavía se puede leer desde Seclist.org. A Oracle ha tenido que rectificar diciendo que «trabaja con investigadores terceros y clientes para asegurar conjuntamente que las aplicaciones construidas con la tecnología de Oracle son seguras».

Fuente | ArsTechnica

Apasionado del software en general y de Linux en particular. El Open Source, la multiplataforma y la seguridad son mis especialidades.

34 comentarios
  • Abdelilah El Aissaoui

    O sea, ¿se quejan de que les ayuden a mejorar su software? ¿Qué lógica tiene eso? o.O

  • JAJAJAJ menudos personajes.. o sea te clavan un hostión por su software y luego no puedes hacer con el lo que te salga de la narices, vaya tela…

  • Por favor, que alguien le baje el sueldo a esa mujer. No, no por ser mujer. Sino por ser una desinformada en un cargo tan alto. Y ya ni hablemos de la bolsa y la reputacion (tanto de Oracle como de Mary Ann).

  • Tengo entendido que Microsoft te paga si encuentras vulnerabilidades, esto demuestra la decrepitud de Oracle.

  • Lo peor de todo, es que se supone que Oracle trabaja con software Open Source, si no me equivoco no? Que tela.

  • roader

    Oracle es el mal . Hasta los talibanux lo saben .

  • Hahahahahahahahahaha que risa me da y a la vez no tiene sentido porque si no encuentran vulnerabilidades en su codigo entonces como carrizo van a mejorar su codigo ahi dios mio con esta gente :/

  • Julio Antonio García

    Eso! Que nadie haga pruebas y nadie les informe! Así cuando los productos de Oracle sean los mas hackeados y vulnerables y nadie los quiera, tal vez pase que abran su software o que desaparezcan del mapa.
    Creo que sería hasta bueno para la informática que una empresa con la actitud de oracle se fuera a pique, hasta MS le está viendo las orejas al lobo.

  • Julian

    El sistema operativo que comercializan, es una copia de Cent OS comercializada y desactualizada sin valor agregado. Increible que alguien pague por lo mismo que pueden obtener de manera libre y gratuita

  • Imagino que se pagara soporte técnico personalizado+alguna herramienta o servicio que Oracle facilite.

  • Halios

    Oracle se enfada con quien intenta ayudar….. epic! supongo que es como cuando hacer una cosa mal y te enfadas con quien te dice como se hace bien XD

  • Xeross

    Veo que en los comentarios que no se tiene en cuenta la diferencia de las aplicaciones de oracle empresariales, a las que se refieren en el correo, a las de uso normal como las de usuario domestico .

    Estas aplicaciones se las encargan empresas, normalmente medianas o grandes, a oracle bajo ciertos acuerdos que firman ambas, en las que se encuentra la parte de no revisar el código, puesto que es cerrado y solo lo puede manipular y ver oracle en si, por lo cual se suele pagar mas.

    Normalmente oracle no solía ni entregar el código fuente de sus aplicaciones pero supongo que con algunas de sus aplicaciones nuevas, orientadas a web, esto solo se puede realizar hasta cierto punto.

  • Blastery

    Siento que en Oracle alguien está por perder su empleo.

  • No todo, su base de datos(SGBD) es de las mejores y no es código abierto. (y vale un ojo de la cara)

  • una putada, porque lo cierto es que Oracle corta mucho bacalao en todos los sistemas y yo misma mente tengo una cantidad de software de ellos importante…

  • roader

    Al menos tenemos openjdk y MariaDb.

  • Erbmon Sodillepa

    Es que estamos en las mismas de siempre, no te están vendiendo software, te están vendiendo una serie de permisos y limitaciones sobre el uso del software, en ningún momento eres propietario del software, lo único que puedes hacer con el es lo que se permite en el acuerdo de licencia del usuario final (EULA para los amantes de las siglas en ingles), y entre las clausulas siempre hay alguna que impide realizar cualquier tipo de ingeniería inversa y/o modificación sobre el software que te ceden.

    Traducido a este caso: es ilegal buscar vulnerabilidades mediante ingenieria inversa y aplicar parches por cuenta propia. Si quieres hacer alguna de las dos cosas anteriores utiliza software libre, sino, apechuga con la licencia que has aceptado, y si el programa tiene algún tipo de vulnerabilidad, te toca esperar hasta que la empresa lo solucione, si es que quiere solucionarlo.

    ¡Saludos!

  • Ds23yTube

    MariaDB está muy bien, no noto la diferencia con respecto a Mysql

  • Warheart

    Es plaga. Si supieras la cantidad de feminas inutiles en altos cargos que tengo que tolerar.

  • isorfe

    Pues lo normal. Si su licencia impide la ingeniería inversa, pues es normal que no quiera que la usen sus clientes. Otra cosa es que realmente tenga lógica aplicar ese tipo de licencias y que te ahogues solo en tus problemas por no dejar que otros los solucionen. Y más en este mundo donde día a día se camina más hacia el Open Source. Y es un hecho. Salvo Windows 10, los últimos lanzamientos de Microsoft relevantes han sido Open Source. Y salvo con otras gallinas de oro como Office, todo pinta que van a seguir en esa dirección. Y es solo un ejemplo.

  • David Mendoza

    Ahora vayan a preguntarle a Donald Trump por que esta mujer se expreso asi

  • kornival

    Muy bien explicado.
    Al igual mucha gente cree que las monedas o billetes que llevan en el bolsillo son propiedad de ellos y nada mas lejos de la realidad. Lo único de ellos es «el valor» de el billete, la parte física, o sea, el papel o el metal es propiedad del gobierno que los emite.
    Esto es un caso similar y encima, si la gente se molestara en leer el contrato de licencia ya estarían sobre aviso. No es el único software que prohíbe la ingeniería inversa, de hecho estoy casi seguro que mas del 90% del software privativo incluye alguna clausula que lo prohíba en su contrato.

  • kornival

    Si señor, Microsoft y alguna que otra mas hacen conferencias en las cuales se premian los bugs o vulnerabilidades halladas en su software. Una excelente forma de mejorar el mismo.

  • ciberboy

    Oracle, no seas tan boludo y malagradecido, si no fueras por nosotros que detectamos vulnerabilidades, sobre todo en tu cochino Java, no estarias lanzando actualizaciones, por eso navegadores como Firefox lo desactiva por defecto, por ser peligrosos, asi que deje de decir estupideces y mejoran tus productos

  • ciberboy

    es porque son feminazis y creen saberselas todas

  • ciberboy

    le sale carta de despido? :v

  • Mary estaba menstruando ese día.

  • Es así, en Oracle Linux se paga por el servicio.

  • Te imaginas la ingeniería inversa sobre el servidor de búsquedas de Google? Arde troya xD

  • kornival

    Quizás nos enteraríamos de a quién cojones les venden nuestros datos y de como nos los roban sin avisar. Al menos Microsoft avisa, estos basurillas lo niegan.

  • Total, como nadie se lee los acuerdos de los contratos, igual la gente traga igual xD

  • kornival

    Ya, es como el que va buscando trabajo, le hacen un contrato que firma sin leerlo y al mes, a la hora de cobrar le dan 10 euros y se caga en los muertos del contratante sin haber leído en el contrato que se ofrecía para servicios voluntarios y solo pagan la gasolina o el transporte XD. Tontos los hay de todos los colores.

  • Gil Paulino King

    Buena discusión… Alguien me puede listar algunas de las vulnerabilidades encontradas?…

  • David Mendoza

    Por que andaba en sus días, justo como dijo de la reportera

Lo más leído