安全专家对开火的

高平历史网 2021-10-29 05:51:15

著名的袭虫猎人Litchfield为自己赋予的使命就是告诉全世界数据库软件并不安全——特别是Oracle的数据库。Litchfield曾经公开批评Oracle，甚至要求Oracle首席安全官Mary Ann Davidson下台。

Litchfield认为，长期以来，Oracle及其用户在安全领域里一直象鸵鸟一样把头插在沙子中。 Oracle采用了错误的方式来解决安全问题。

英国下一代安全软件的合作创办人Litchfield正在进行一场圣战。今年一月，他出版了一本Oracle黑客手册。手册的封面上说为读者提供了完整的访问和防护Oracle系统的方法。

在批判Oracle的同时，Litchfield却对微软极力推崇。他曾经公开声称微软最新的数据库软件SQL Server 2005是安全的。这种声明一定严重的伤害到了微软的主要竞争对手Oracle。Oracle已经眼看着一大块数据库市场划归了华盛顿Redmond的软件巨人。

部分当事人通过恶意诉讼的形式获取非法利益在上周召开的Black Hat DC大会上，Litchfield讨论到了一种新的袭击技术使Oracle数据软件的漏洞问题更加严重。他向ZDNet澳洲的姐妹站CNET 解释了揭露漏洞的必要性。

问：为什么您对数据库安全如此关注？还有其他那么多软件。

Litchfield: 数据库安全对于任何组织机构来说就象是王冠上的珠宝。这个星球上的每家机构都有数据库，而这组织机构存在的活力之源。没有什么比从源头进行把握更有效的安全措施。我们能够在周边进行安全工作，但是如果软件本身带有SQL injection这样的漏洞，那么安全措施就前功尽弃了。

我与Oracle的关系已经有所缓和。

尽管有防火墙，尽管络服务器已经被锁定，但是络应用中的SQL injection缺陷就能让我们一路畅通的进入数据库服务器的后端。如果这个数据库没有采用最低权限，或者没有完全打好补丁，那么我们就能对数据库进行充分的访问并攫取全部数据。

数据库必须是安全的。问题是在最近以前，没有人真正的处理过数据库服务器的后端。也就是说过去人们采取的都不过是外围安全措施。

最近您对Oracle的数据库相当关注。是有什么特别的原因让您对Oracle倾注更多吗?

Litchfield: 是的。SQL Server 2005是安全的。因为微软解决了问题。Oracle正在解决问题。对于IBM，我研究过DB2和Informix，并为他们指出了从缓存溢出到权限增加等大约50个bug，IBM安全部门的反应是成熟的。

最近，Oracle安全部门的反应就没那么成熟。他们气势汹汹的，与“这个家伙在让我们的产品更安全”的想法完全相反。不过他们的态度现在有所好转。Oracle正在开始理解我和他们站在同一条战线上，只是彼此的看法不同。

当Oracle这样的厂家态度强硬时，您就会变得更加强硬？

Litchfield: 是的。很遗憾我正是这样行事的。但是如果你不得不保护自己，那么就保护自己吧。我更愿意去工作，就象我对微软和IBM那样，与他们的安全响应团队一起工作。我们与微软和IBM拥有良好的关系。有什么比良好的关系好的成事方法呢？我可不想站在浑水中互相指责。

我与Oracle的关系有所缓解，他们理解这并不是一场意志上的对决。我努力使他们了解他们数据库所存在的问题，因为这些问题对我造成了直接的对影响。如果有人闯入数据库服务器然后窃取了我的信息，付出代价的是我，而不是Oracle/

有人可能会认为这有点象敲诈。

Litchfield: 我可从来没有向Oracle索要过财物。如果人们这么想，那么他们得到的信息可能有误。