Один из руководителей Oracle требует от независимых специалистов прекратить поиск уязвимостей

12 августа 2015 14:44


Мэри Энн Девидсон, директор по безопасности компании Oracle, разместила сообщение на официальном блоге компании, в котором попросила не присылать ей сообщения об обнаруженных уязвимостях. Такая странная просьба обоснована уверенностью в том, что Oracle разбирается в безопасности своих продуктов лучше, а те, кто в поисках уязвимостей выполняют обратный инжиринг кода, тем самым нарушают лицензию. Сама по себе процедура обратного инжиринга, то есть исследования кода продукта, что определить алгоритм его работы действительно запрещена лицензией продуктов Oracle (впрочем, так же поступают и другие производители ПО).

 

Как написала Девидсон, она не может нормально воспринимать многочисленные сообщения от независимых экспертов и пользователей продуктов Oracle, которые получает ежедневно. Дело том что каждое на каждое такое письмо с сообщением об обнаруженной уязвимости топ-менеджер Oracle вынуждена начинать с вежливого вступления и заканчивать требованием прекратить обратный инжиринг кода. В длинной заметке, Девидсон написал, что если исследователи пытаются взглянуть на код по-другому, то вероятнее всего для этого он применяют обратный инжиринг. Руководитель компании по безопасности попросила этого не делать.

 

Директор Oracle по безопасности Мэри Энн Девидсон 

 

Также Девидсон считает большинство сообщений ложными и уверена, что сотрудники Oracle лучше справляются с устранением уязвимостей, чем сторонние специалисты. Как Девидсон написала в своем сообщении, вместо того чтобы тратить свое время на поиск «маленьких зеленых человечков» в коде Oracle, людям было бы разумнее заняться вопросами безопасности собственной информационной инфраструктуры. Такое заявление идет вразрез с общепринятой практикой, так как все крупные компании поощряют поиск уязвимостей в своих продуктах и регулярно выплачивают вознаграждение экспертам сообщившим о проблеме. Например, Microsoft предлагает вознаграждения в сумме от 500 до ста тысяч долларов за найденные в ее программах и сервисах уязвимости. Каждая компания предпочитает узнать о пробеле в безопасности первой, чтобы устранить ее до того, как эту же уязвимость найдут и воспользуются ей злоумышленники.

 

Вскоре после публикации, сообщение Девидсон было удалено с блога компании. А вице-президент Oracle в комментарии прессе пояснил, что мнение директора по безопасности не совпадает с ожиданиями компании от сотрудничества со своими клиентами. Впрочем, данный инцидент не удивителен, Девидсон известна своим пренебрежительным отношением к специалистам по безопасности, которых обвиняет в поисках уязвимостей ради самопиара.





Обсудить материал (0)


Предыдущая статья

Клиентов сбербанка атакует вирус, из спам-рассылки о кредитах
Следующая статья

Часть торрент-трекеров запретила вход на свои сайты пользователям Windows 10



Новые аппаратные уязвимости в современных процессорах

Ставшими широко известными в январе уязвимости спекулятивных вычислений Meltdown и Spectre оказались не единственной серьезной проблемой процессоров крупнейших производителей Intel и AMD. Совместное исследование ученых из Принстонского университета и компании NVIDIA выявило новые способы атак на основании предсказания ветвления кода и доступа к защищенной памяти. Эти атаки можно применять почти ко всем современным процессорам.

 

Читать далее...

Google сохранил много возможностей отслеживания пользователей Android

В настройках безопасности аккаунта в Google у пользователя Android есть опция «История местоположения». По умолчанию она отключена, но если пользователь ее активирует (например, чтобы подробно сохранить историю своего путешествия), то Google будет получать огромный объем информации, не зависимо от подключения смартфона к мобильной сети. В прошлом году уже появлялась информация об отслеживании пользователей Android по вышкам мобильной связи. Теперь журналисты и интернет-издания Quartz решили поставить эксперимент с целью определить, какие данные о пользователе передаются при включенной истории местоположений.

Читать далее...

Немецкие исследователи нашли уязвимость в секретных чатах WhatsApp и Signal

На проходящей в Швейцарии конференции Real World Crypto специалисты Рурского университета сообщили об уязвимостях в механизмах работы групповых чатов WhatsApp и Signal. Недостатки протоколов позволяют посторонним добавиться и читать такие чаты. При этом наличие сквозного шифрования уже никак не защищает от компрометации мессенджеров. Более серьезная проблема у WhatsApp, но и в Threema и любимом Сноуденом мессенджере Signal также есть уязвимости.

Читать далее...

В США разрабатывают компьютер, который нельзя взломать

Университет штата Мичиган получил грант более трех с половиной миллионов долларов на разработку компьютера, защищенного от атак хакеров на уровне аппаратуры. Заказчиком выступает DARPA (Агентство перспективных исследовательских проектов минобороны США). Цель работ — создать новую архитектуру, которую в принципе взломать будет невозможно.

Читать далее...

Instagam будет защищать права животных

Instagram — популярная социальная сеть, основной контент которой состоит из фотографий. Люди делаться в инстаграме всем забавным, в том числе и смешными фотоснимками животных. Теперь Instagram присоединился к сторонникам гуманного обращения с животными и запретил публиковать фотографии, на которых изображено жестокое обращение с птицами или зверями. Администрация социалки призывает своих пользователей не делать снимки, показывающие зверей страдающими в непривычных условиях. К сожалению, ради смешных кадров люди игнорируют издевательства над представителями фауны в зоопарках и в цирке.

Читать далее...

Первый удачный опыт использования имплантатов для человеческого мозга

Профессор Донг Сонг, работающий в Университете Южной Калифорнии, представил новую модель мозгового имплантата, улучшающего работу мыслительного органа человека. Этот образец электроники совершенствующий биологическую природу был продемонстрирован в Вашингтоне, на встрече Общества нейронауки. Основная функция — компенсация последствий болезни Альцгеймера и аналогичных заболеваний. Кроме этого, впервые удалось реализовать то, что было многократно описано в художественных произведениях и фильмах в стиле киберпанка — улучшение памяти с помощью вживленных в мозг чипов.

 

Читать далее...

Возможно, скоро будет завершена сделка Fujitsu и Lenovo по объединению ПК-бизнеса

Необычно долго происходит процесс согласования сделки по слиянию между Fujitsu и Lenovo. Еще в 2016 году компании договорились подписать договор о слиянии бизнеса по производству компьютеров в марте этого года. Но по состоянию на октябрь 2017 сделка еще была не заключена. Теперь, судя по высказыванию руководителей Fujitsu, до 23 ноября договор должен подписан. Это следует из заявления на корпоративной конференции, которым директора японской компании намеревались успокоить акционеров. Руководители компании сказали, что все проблемы будут решены до Дня благодарения труду (национальный праздник Японии).

 

 

Читать далее...

«Лаборатория Касперского» расширяет сотрудничество с Интерполом

Известный разработчик антивирусного ПО и решений в сфере ИТ-безопасности, компания «Лаборатория Касперского» объявила о расширении существующего соглашения о сотрудничестве с Интерполом. Специалисты «Лаборатории Касперского» помогают подразделению Интерпола IGCI (INTERPOL Global Complex for Innovation), которое занимается расследованием преступлений в сфере высоких технологий. Цель этого исследования — повышение эффективности борьбы с кибер-преступлениями с помощью знанеий и опыта экспертов «Лаборатории Касперского».

 

 

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов