安全专家对开火

著名的袭虫猎人Litchfield为自己赋予的使命就是告诉全世界数据库软件并不安全——特别是Oracle的数据库。Litchfield曾经公开批评Oracle，甚至要求Oracle首席安全官Mary Ann Davidson下台。

Litchfield认为，长期以来，Oracle及其用户在安全领域里一直象鸵鸟一样把头插在沙子中。 Oracle采用了错误的方式来解决安全问题。

那我们就可以请买家们帮我们做宣传咯 英国下一代安全软件的合作创办人Litchfield正在进行一场圣战。今年一月，他出版了一本Oracle黑客手册。手册的封面上说为读者提供了完整的访问和防护Oracle系统的方法。

在批判Oracle的同时，Litchfield却对微软极力推崇。他曾经公开声称微软最新的数据库软件SQL Server 2005是安全的。这种声明一定严重的伤害到了微软的主要竞争对手Oracle。Oracle已经眼看着一大块数据库市场划归了华盛顿Redmond的软件巨人。

在上周召开的Black Hat DC大会上，Litchfield讨论到了一种新的袭击技术使Oracle数据软件的漏洞问题更加严重。他向ZDNet澳洲的姐妹站CNET 解释了揭露漏洞的必要性。

问：为什么您对数据库安全如此关注？还有其他那么多软件。

Litchfield: 数据库安全对于任何组织机构来说就象是王冠上的珠宝。这个星球上的每家机构都有数据库，而这组织机构存在的活力之源。没有什么比从源头进行把握更有效的安全措施。我们能够在周边进行安全工作，但是如果软件本身带有SQL injection这样的漏洞，那么安全措施就前功尽弃了。

我与Oracle的关系已经有所缓和。

尽管有防火墙，尽管络服务器已经被锁定，但是络应用中的SQL injection缺陷就能让我们一路畅通的进入数据库服务器的后端。如果这个数据库没有采用最低权限，或者没有完全打好补丁，那么我们就能对数据库进行充分的访问并攫取全部数据。数据库必须是安全的。问题是在最近以前，没有人真正的处理过数据库服务器的后端。也就是说过去人们采取的都不过是外围安全措施。

最近您对Oracle的数据库相当关注。是有什么特别的原因让您对Oracle倾注更多吗?

Litchfield: 是的。SQL Server 2005是安全的。因为微软解决了问题。Oracle正在解决问题。对于IBM，我研究过DB2和Informix，并为他们指出了从缓存溢出到权限增加等大约50个bug，IBM安全部门的反应是成熟的。最近，Oracle安全部门的反应就没那么成熟。他们气势汹汹的，与“这个家伙在让我们的产品更安全”的想法完全相反。不过他们的态度现在有所好转。Oracle正在开始理解我和他们站在同一条战线上，只是彼此的看法不同。