Il 10 agosto con un post dal titolo “No, You Really Can’t” apparso (prima di essere tempestivamente rimosso) sul blog aziendale, Oracle ha attaccato duramente la pratica del reverse engineering a fini di sicurezza informatica.
A firmare l’intervento la chief security officer Mary Ann Davidson, che se la prende con quei clienti che direttamente o affidandosi a consulenti di sicurezza terzi scandagliano i software proprietari offerti da Oracle alla ricerca di bug o vulnerabilità: un’operazione che Davidson definisce non solo superflua, ma anche proibita dalla licenza d’uso con cui il software è distribuito.
Ad infastidire il CSO di Oracle sono un crescente numero di analisi, studi e statistiche che prendono di mira i sorgenti dei prodotti di Oracle alla ricerca di eventuali vulnerabilità e che arrivano all’azienda sotto forma di segnalazione da parte dei suoi clienti: secondo Davidson – che parla di reverse engineering – si tratta di test “raramente necessari che spesso puntano il dito contro difetti che non esistono” e di conseguenza fanno perdere tempo a lei ed al suo team.
D’altra parte, le prove fornite dagli autori delle segnalazioni si limitano spesso a parti di codice scansionati e riportati graficamente, e ciò, che derivi da un’analisi statica o dinamica, non sarebbe mai un’effettiva prova di una reale vulnerabilità. “Molto spesso non è altro che spazzatura”, conclude Davidson.
“Si tratta praticamente per molti dei nostri prodotti – continua – del 100 per cento di falsi positivi, quindi per favore smettetela di farci sprecare tempo notificando piccoli omini verdi nel nostro codice”, costringendola così a scrivere lettere in cui chiede “di rispettare il nostro accordo di licenza che proibisce il reverse engineering” sul codice.
In definitiva, Davidson sembra farne più una questione di rispetto della proprietà intellettuale del software che di orgoglio per dare pochi effettivi spunti ai ricercatori di sicurezza.
Nonostante il post sia stato rimosso in meno di un giorno e il vicepresidente esecutivo Edward Screven ne abbia preso le distanze con una dichiarazione in cui ribadisce l’importanza che la sua azienda dà a tutte le questioni di sicurezza ed al lavoro dei professionisti che se ne occupano, non si tratta della prima volta che Oracle attacca i consulenti terzi e chi effettua ricerca tramite reverse enginering.
Nonostante le dichiarazioni di facciata, insomma, la posizione sembra chiara e non è d’altra parte l’unica azienda ad assumerla: da ultimo – a seguito della scoperta da parte di due ricercatori di alcune vulnerabilità sul software dei modelli nordamericani di Jeep Cherokee – anche FCA ha sottolineato la sua contrarietà alla ricerca da parte di terzi sui software proprietari, una pratica che ritiene foriera di minacce e non utile a garantire la sicurezza dei suoi clienti.
Claudio Tamburrino
Ti potrebbe interessare
18 ago 2015