Один из руководителей Oracle требует от независимых специалистов прекратить поиск уязвимостей

12 августа 2015 14:44


Мэри Энн Девидсон, директор по безопасности компании Oracle, разместила сообщение на официальном блоге компании, в котором попросила не присылать ей сообщения об обнаруженных уязвимостях. Такая странная просьба обоснована уверенностью в том, что Oracle разбирается в безопасности своих продуктов лучше, а те, кто в поисках уязвимостей выполняют обратный инжиринг кода, тем самым нарушают лицензию. Сама по себе процедура обратного инжиринга, то есть исследования кода продукта, что определить алгоритм его работы действительно запрещена лицензией продуктов Oracle (впрочем, так же поступают и другие производители ПО).

 

Как написала Девидсон, она не может нормально воспринимать многочисленные сообщения от независимых экспертов и пользователей продуктов Oracle, которые получает ежедневно. Дело том что каждое на каждое такое письмо с сообщением об обнаруженной уязвимости топ-менеджер Oracle вынуждена начинать с вежливого вступления и заканчивать требованием прекратить обратный инжиринг кода. В длинной заметке, Девидсон написал, что если исследователи пытаются взглянуть на код по-другому, то вероятнее всего для этого он применяют обратный инжиринг. Руководитель компании по безопасности попросила этого не делать.

 

Директор Oracle по безопасности Мэри Энн Девидсон 

 

Также Девидсон считает большинство сообщений ложными и уверена, что сотрудники Oracle лучше справляются с устранением уязвимостей, чем сторонние специалисты. Как Девидсон написала в своем сообщении, вместо того чтобы тратить свое время на поиск «маленьких зеленых человечков» в коде Oracle, людям было бы разумнее заняться вопросами безопасности собственной информационной инфраструктуры. Такое заявление идет вразрез с общепринятой практикой, так как все крупные компании поощряют поиск уязвимостей в своих продуктах и регулярно выплачивают вознаграждение экспертам сообщившим о проблеме. Например, Microsoft предлагает вознаграждения в сумме от 500 до ста тысяч долларов за найденные в ее программах и сервисах уязвимости. Каждая компания предпочитает узнать о пробеле в безопасности первой, чтобы устранить ее до того, как эту же уязвимость найдут и воспользуются ей злоумышленники.

 

Вскоре после публикации, сообщение Девидсон было удалено с блога компании. А вице-президент Oracle в комментарии прессе пояснил, что мнение директора по безопасности не совпадает с ожиданиями компании от сотрудничества со своими клиентами. Впрочем, данный инцидент не удивителен, Девидсон известна своим пренебрежительным отношением к специалистам по безопасности, которых обвиняет в поисках уязвимостей ради самопиара.





Обсудить материал (0)


Предыдущая статья

Клиентов сбербанка атакует вирус, из спам-рассылки о кредитах
Следующая статья

Часть торрент-трекеров запретила вход на свои сайты пользователям Windows 10



Новая утечка в АНБ, психически больной похитил 50 Тб

С США произошла новая кража данных, собранных и используемых спецслужбами. Агентство национальной безопасности обвинило внештатного сотрудника в краже 50 Тб секретной информации. Это похищение правительственных данных считается самым крупным в истории. Обвиняемый – Гарольд Мартин, работник агентства «Booz, Allen, Hamilton». Данная организация сотрудничает с АНБ и другими спецслужбами США, предоставляя им услуг на миллиарды долларов ежегодно. В этой же компании работал и Эдвард Сноуден, похитивший и опубликовавший огромное количество секретной информации АНБ. 

 

Читать далее...

Против Apple подали коллективный иск и требования прекратить продажи iPhone

Группа людей, среди которых есть пострадавших в различных происшествиях, подали иск в суд против Apple и требуют запретить продажи смартфонов компании на территории Калифорнии. Основная претензия к Apple — отсутствие ограничений коммуникационных возможностей iPhone. В результате водители, злоупотребляющие смартфоном за рулем, создают опасные ситуации на дороге и становятся виновниками ДТП. Этот коллективный иск подан в окружной суд Лос-Анжелеса юридической компанией MLG Automotive Law. 

 

Читать далее...

Foxconn намерена максимально избавиться от работников-людей

Крупнейший контрактный производитель Hon Hai Precision Industry, обеспечивающий выпуск разнообразных гаджетов на заказ для многих знаменитых брендов, намерен снизить зависимость от ручного труда живых работников. Известная своим сотрудничеством с Apple, компания Foxconn приняло решение заменить большую часть человеческого персонала на своих заводах роботами. Руководитель подразделения компании, занимающегося автоматизацией и робототехникой, описал три этапа внедрения роботов на производстве. 

 

Читать далее...

Evernote изменила правила, теперь личная информация пользователей доступна сотрудникам

Многие пользователи популярного сервиса заметок Evernote возмущены изменениями правил использования программы, а именно, новой политики конфиденциальности, которая позволяет сотрудникам компании читать заметки пользователей. На фоне нарастающего сражения между защитниками приватности и компаниями, которые хотят знать о своих клиентах все и даже больше, особенно странно выглядит подход Evernote к доступу к пользовательской информации, для хранения которой программа и была создана.

 

Читать далее...

Почти любой ПК с подключенными наушниками позволяет следить за пользователем

В широко распространенном аудио кодеке компании Realtek есть функция позволяющая превратить подключенные к компьютеру наушники в микрофон. Это стандартная функция мало известна, присутствует на большом количестве компьютеров и не может быть отключена. Данный факт выяснили и подтвердили ученые из лаборатории кибербезопасности университета Бен-Гуриона в Израиле. Они создали образец вредоносной программы, способной подключиться к наушникам и снимать через них звуки, а также сжимать аудиоинформацию и передавать на удаленный сервер. Подобный инструмент могли создать для своих целей хакеры. От такой прослушки не защищены даже те пользователи, которые заклеивают камеры или отключают микрофон.

 

Читать далее...

Вирусы-шифровальщики научились общаться через Telegram

«Лаборатория Касперского» сообщила о новом представителе программ-шифровальщиков, отличие этого образца вредоносного ПО в том, что использует протоколы мессенджера Telegram для передачи информации на управляющий сервер и получения инструкций. Эта программа нацелена на пользователей из РФ, после шифрования изображений и текстовых файлов требуется выкуп в размере 5000 рублей. Таким образом, это первый вирус, шифрующий файлы и, одновременно, являющийся ботом telegram.

 

Читать далее...

DDoS-атака на DNS-сервера компании Dyn

Жители почти трети территории США (а по населению это половина) оказались лишены возможностью пользоваться многими популярными сайтами из-за мощнейшей DDoS-атаке, обрушившейся на регистратора доменов и провайдера услуг DNS, компанию Dyn. 21 сентября группа хакеров начала сетевую атаку на DNS-сервера Dyn. В итоге пользователи интернета в восточной части США не смогли открывать в браузерах такие сайты, как Twitter, SaneBox, Github, Spotify, Reddit, PlayStation Store, Airbnb, Weebly, Zoho, Wix, Squarespace, CPAN, Twilio, NPM, Basecamp, The Verge.

Читать далее...

Китайский консорциум приобрел компанию Lexmark

Один из «патриархов» мира принтеров и уважаемый производитель корпоративного софта, различных принтеров, МФУ и других устройств, американская компания Lexmark продана консорциуму китайских покупателей за 3,6 миллиарда долларов США.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов