着名的袭虫猎人Litchfield为自己赋予的使命就是告诉全世界数据库软件并不安全——特别是Oracle的数据库Litchfield曾经公开批评Oracle甚至要求Oracle首席安全官Mary Ann Davidson下台
Litchfield认为长期以来Oracle及其用户在安全领域里一直象鸵鸟一样把头插在沙子中 Oracle采用了错误的方式来解决安全问题
英国下一代安全软件的合作创办人Litchfield正在进行一场圣战今年一月他出版了一本Oracle黑客手册手册的封面上说为读者提供了完整的访问和防护Oracle系统的方法
在批判Oracle的同时Litchfield却对微软极力推崇他曾经公开声称微软最新的数据库软件SQL Server 是安全的这种声明一定严重的伤害到了微软的主要竞争对手OracleOracle已经眼看着一大块数据库市场划归了华盛顿Redmond的软件巨人
在上周召开的Black Hat DC大会上Litchfield讨论到了一种新的袭击技术使Oracle数据软件的漏洞问题更加严重他向ZDNet澳洲的姐妹网站CNET 解释了揭露漏洞的必要性
问为什么您对数据库安全如此关注?还有其他那么多软件
Litchfield: 数据库安全对于任何组织机构来说就象是王冠上的珠宝这个星球上的每家机构都有数据库而这组织机构存在的活力之源没有什么比从源头进行把握更有效的安全措施我们能够在周边进行安全工作但是如果软件本身带有SQL injection这样的漏洞那么安全措施就前功尽弃了
我与Oracle的关系已经有所缓和
尽管有防火墙尽管网络服务器已经被锁定但是网络应用中的SQL injection缺陷就能让我们一路畅通的进入数据库服务器的后端如果这个数据库没有采用最低权限或者没有完全打好补丁那么我们就能对数据库进行充分的访问并攫取全部数据
数据库必须是安全的问题是在最近以前没有人真正的处理过数据库服务器的后端也就是说过去人们采取的都不过是外围安全措施
最近您对Oracle的数据库相当关注是有什么特别的原因让您对Oracle倾注更多吗?
Litchfield: 是的SQL Server 是安全的因为微软解决了问题Oracle正在解决问题对于IBM我研究过DB和Informix并为他们指出了从缓存溢出到权限增加等大约个bugIBM安全部门的反应是成熟的
最近Oracle安全部门的反应就没那么成熟他们气势汹汹的与这个家伙在让我们的产品更安全的想法完全相反不过他们的态度现在有所好转Oracle正在开始理解我和他们站在同一条战线上只是彼此的看法不同
当Oracle这样的厂家态度强硬时您就会变得更加强硬?
Litchfield: 是的很遗憾我正是这样行事的但是如果你不得不保护自己那么就保护自己吧我更愿意去工作就象我对微软和IBM那样与他们的安全响应团队一起工作我们与微软和IBM拥有良好的关系有什么比良好的关系好的成事方法呢?我可不想站在浑水中互相指责
我与Oracle的关系有所缓解他们理解这并不是一场意志上的对决我努力使他们了解他们数据库所存在的问题因为这些问题对我造成了直接的对影响如果有人闯入数据库服务器然后窃取了我的信息付出代价的是我而不是Oracle/
有人可能会认为这有点象敲诈
Litchfield: 我可从来没有向Oracle索要过财物如果人们这么想那么他们得到的信息可能有误
那么微软也没有雇用你来说SQL Server 是安全的? Litchfield:
我说微软的产品是安全的但是没有从微软那里得到什么报酬如果任何人在SQL Server 中找到bug那个人最好是我如果别人找到什么bug它会破坏我将来判断产品是否安全的能力因此如果在SQL Server 中的确存在bug我希望是我首先发现我很期待
微软过去和现在是否是NGS软件的客户?
Litchfield: NGS的确在微软工作但我们并不是受雇来说他们是安全的——我们被雇来使他们的产品更安全对于微软和NGS来说现在以及将来的独立性都很重要否则我们工作的正确性以及微软为使产品更安全所进行的努力就会遭到怀疑这就是NGS 依然在为微软的产品提出安全建议的原因
我听说您曾经担任SQL Server 的安全审计工作是这样吗?
Litchfield: 我不能说具体的说到我们所做的项目这样如果有人对SQL Server是否比Oracle安全的问题存在疑问他所要做的就是想想包括那么多顶级研究人员在内的很多人都曾经研究过两个产品寻找过安全漏洞而SQL Server已经很长时间没有被发现问题了我再重复一遍如果有人在SQL Server 中发现严重的漏洞那么我希望那个人是我
Oracle是否曾经是NGS软件的客户?
Litchfield: 是的过去我们与Oracle合作过几个项目
NGS软件的主要业务是什么?
Litchfield:我们的业务分三个方面我们销售评估安全状况和是否遵从萨班斯 奥克斯利法案的工具我们为一些组织机构提供顾问服务而且我们还进行漏洞调研并销售调研报告
你们一般调研对象是什么样的机构?
Litchfield: 负责和保护关键性国家基础设施的政府机构我们试着对他们的安全问题提出事前警告我们能够告诉他们某个产品存在缺陷并且提供消除问题的策略甚至没有厂家提供的补丁系统也能得到保护
靠无知来保证安全是行不通的因为某个人的无知就是别人的生财之道
NGS过去几年发展顺利这些需求来自哪里?
Litchfield:主要是顾问工作说起来惭愧我最初要成立一家软件企业但现在却更象一家顾问公司尽管我没有放弃但也算是我个人的一次失败我们到某个阶段还会成为一家软件公司
顾问一般怎么工作?
Litchfield: 他可能会做渗透测试审查代码或者模仿入侵我们所做的不是安装防火墙那样的工作我们所从事的是高端工作
是什么每天推动您进行工作?
Litchfield: 是因为我对次很擅长如果你很擅长某件事情您的动力就会更足如果我是优秀的画家我就会画很多作品如果我对此一窍不通我当然就不会费心劳力的去画画我很享受我的工作
是不是特别享受发现bug的工作?
Litchfield: 是的这是一个关于分析的问题如果我尝试推翻某个系统我该怎么做呢?另一个原因是它会影响每个人的生活现在不是在拿死马当活马医我知道明天数据库服务器将会更加安全打个比方说到那一天更多的信用卡用户会更安全
如果Oracle的人说你暴露缺陷的的行为实际上伤害了安全你会怎么说?
Litchfield: 在他们假设的情况下这样做的确会提高了风险等级好的这的确是这类工作最主要的问题不过在风险度提高以后人们会更倾向于保护自己的系统
举例来说我刚刚披露了一种能使没有特殊权限的入侵者利用只有具有更高权限用户才能使用的漏洞进行袭击的方法现在我们知道这种担心是不对的因为人们没道理知道这个缺陷以后不打补丁
有人在我贴出新方法后的零时间内利用我的方法修改入侵手段并进行公布于是任何人都可以使用这种手段所以这的确增加了风险
回头看年月我发布的一些代码被用做SQL Slammer病毒的基础这属于最初的风险增加但是短痛之后打过补丁的SQL Servers数量增加了短期风险成为了长期的受益这是我对此的看法
有人可能会说我们不想知道都有什么安全隐患也就不会有人进行利用你认为这有道理吗?
Litchfield: 我不这么认为世界上总有坏人如果没有好人来帮助厂家弥补这些漏洞那么我们会自以为我们是安全的但实际上我们并不安全对安全问题视而不见是起不了作用的因为一个人的无知就是另外一个人的生财之道
什么使您觉得最烦恼?
Litchfield: 当人们说我增加了风险或者我的行为出于自私目的时实际上并不是那样不过我不会总那么受欢迎我只是希望诽谤能够少一些
您最近出版了Oracle黑客手册您的目的是什么?
Litchfield: Oracle的安全世界里充斥着自鸣得意我希望能够揭掉他们自我蒙蔽的毯子外面有太多人认为Oracle的产品是安全的他们无需采取任何措施这是不负责任的而我对此很在意
你希望人们怎么看待你?
Litchfield: 我希望能够成为帮助人们认识到数据库安全的重要性的人我希望能够通过我的工作以及我对行业的了解来改造Oracle 和微软这样的企业处理安全问题的方式
