著名安全專家Litchfield對Oracle開火

著名的襲蟲獵人Litchfield為自己賦予的使命就是告訴全世界資料庫軟體並不安全——特別是Oracle的資料庫。Litchfield曾經公開批評Oracle，甚至要求Oracle首席安全官Mary Ann Davidson下臺。

   Litchfield認為，長期以來，Oracle及其使用者在安全領域裡一直象鴕鳥一樣把頭插在沙子中。 Oracle採用了錯誤的方式來解決安全問題。

   英國下一代安全軟體的合作創辦人Litchfield正在進行一場聖戰。今年一月，他出版了一本Oracle黑客手冊。手冊的封面上說為讀者提供了完整的訪問和防護Oracle系統的方法。

   在批判Oracle的同時，Litchfield卻對微軟極力推崇。他曾經公開聲稱微軟最新的資料庫軟體SQL Server 2005是安全的。這種宣告一定嚴重的傷害到了微軟的主要競爭對手Oracle。Oracle已經眼看著一大塊資料庫市場劃歸了華盛頓Redmond的軟體巨人。

   在上週召開的Black Hat DC大會上，Litchfield討論到了一種新的襲擊技術使Oracle資料軟體的漏洞問題更加嚴重。他向ZDNet澳洲的姐妹網站CNET News.com解釋了揭露漏洞的必要性。

   問：為什麼您對資料庫安全如此關注？還有其他那麼多軟體。 
   Litchfield: 資料庫安全對於任何組織機構來說就象是王冠上的珠寶。這個星球上的每家機構都有資料庫，而這組織機構存在的活力之源。沒有什麼比從源頭進行把握更有效的安全措施。我們能夠在周邊進行安全工作，但是如果軟體本身帶有SQL injection這樣的漏洞，那麼安全措施就前功盡棄了。

   我與Oracle的關係已經有所緩和。

   儘管有防火牆，儘管網路伺服器已經被鎖定，但是網路應用中的SQL injection缺陷就能讓我們一路暢通的進入資料庫伺服器的後端。如果這個資料庫沒有采用最低許可權，或者沒有完全打好補丁，那麼我們就能對資料庫進行充分的訪問並攫取全部資料。

   資料庫必須是安全的。問題是在最近以前，沒有人真正的處理過資料庫伺服器的後端。也就是說過去人們採取的都不過是外圍安全措施。

   最近您對Oracle的資料庫相當關注。是有什麼特別的原因讓您對Oracle傾注更多嗎? 
   Litchfield: 是的。SQL Server 2005是安全的。因為微軟解決了問題。Oracle正在解決問題。對於IBM，我研究過DB2和Informix，併為他們指出了從快取溢位到許可權增加等大約50個bug，IBM安全部門的反應是成熟的。

   最近，Oracle安全部門的反應就沒那麼成熟。他們氣勢洶洶的，與“這個傢伙在讓我們的產品更安全”的想法完全相反。不過他們的態度現在有所好轉。Oracle正在開始理解我和他們站在同一條戰線上，只是彼此的看法不同。

   當Oracle這樣的廠家態度強硬時，您就會變得更加強硬？ 
   Litchfield: 是的。很遺憾我正是這樣行事的。但是如果你不得不保護自己，那麼就保護自己吧。我更願意去工作，就象我對微軟和IBM那樣，與他們的安全響應團隊一起工作。我們與微軟和IBM擁有良好的關係。有什麼比良好的關係好的成事方法呢？我可不想站在渾水中互相指責。

   我與Oracle的關係有所緩解，他們理解這並不是一場意志上的對決。我努力使他們瞭解他們資料庫所存在的問題，因為這些問題對我造成了直接的對影響。如果有人闖入資料庫伺服器然後竊取了我的資訊，付出代價的是我，而不是Oracle

   有人可能會認為這有點象敲詐。 
   Litchfield: 我可從來沒有向Oracle索要過財物。如果人們這麼想，那麼他們得到的資訊可能有誤。

   那麼微軟也沒有僱用你來說SQL Server 2005是安全的？ 
Litchfield: 我說微軟的產品是安全的但是沒有從微軟那裡得到什麼報酬，如果任何人在SQL Server 2005中找到bug，那個人最好是我。如果別人找到什麼bug,它會破壞我將來判斷產品是否安全的能力。因此，如果在SQL Server 2005中的確存在bug，我希望是我首先發現。我很期待。

   微軟過去和現在是否是NGS軟體的客戶？
   Litchfield: NGS的確在微軟工作，但我們並不是受僱來說他們是安全的——我們被僱來使他們的產品更安全。對於微軟和NGS來說，現在以及將來的獨立性都很重要。否則我們工作的正確性以及微軟為使產品更安全所進行的努力就會遭到懷疑。這就是NGS 依然在為微軟的產品提出安全建議的原因。

   我聽說您曾經擔任SQL Server 2005的安全審計工作，是這樣嗎？
   Litchfield: 我不能說具體的說到我們所做的專案。這樣，如果有人對SQL Server是否比Oracle安全的問題存在疑問，他所要做的就是想想包括那麼多頂級研究人員在內的很多人都曾經研究過兩個產品，尋找過安全漏洞。而SQL Server已經很長時間沒有被發現問題了。我再重複一遍，如果有人在SQL Server 2005中發現嚴重的漏洞，那麼我希望那個人是我。

Oracle是否曾經是NGS軟體的客戶？
   Litchfield: 是的，過去我們與Oracle合作過幾個專案。

   NGS軟體的主要業務是什麼? 
   Litchfield:我們的業務分三個方面。我們銷售評估安全狀況和是否遵從薩班斯 - 奧克斯利法案的工具；我們為一些組織機構提供顧問服務；而且我們還進行漏洞調研並銷售調研報告。

   你們一般調研物件是什麼樣的機構？ 
   Litchfield: 負責和保護關鍵性國家基礎設施的政府機構。我們試著對他們的安全問題提出事前警告。我們能夠告訴他們某個產品存在缺陷，並且提供消除問題的策略。甚至沒有廠家提供的補丁，系統也能得到保護。

靠無知來保證安全是行不通的，因為某個人的無知就是別人的生財之道。

   NGS過去幾年發展順利，這些需求來自哪裡？ 
   Litchfield:主要是顧問工作。說起來慚愧，我最初要成立一家軟體企業，但現在卻更象一家顧問公司。儘管我沒有放棄，但也算是我個人的一次失敗。我們到某個階段還會成為一家軟體公司。 
   顧問一般怎麼工作？ 
   Litchfield: 他可能會做滲透測試，審查程式碼或者模仿入侵。我們所做的不是安裝防火牆那樣的工作，我們所從事的是高階工作。

   是什麼每天推動您進行工作？ 
   Litchfield: 是因為我對次很擅長。如果你很擅長某件事情，您的動力就會更足。如果我是優秀的畫家，我就會畫很多作品。如果我對此一竅不通，我當然就不會費心勞力的去畫畫。我很享受我的工作。

   是不是特別享受發現bug的工作？ 
   Litchfield: 是的。這是一個關於分析的問題。如果我嘗試推翻某個系統，我該怎麼做呢？另一個原因是它會影響每個人的生活。現在，不是在拿死馬當活馬醫。我知道明天資料庫伺服器將會更加安全。打個比方說，到那一天，更多的信用卡使用者會更安全。

   如果Oracle的人說你暴露缺陷的的行為實際上傷害了安全，你會怎麼說？ 
   Litchfield: 在他們假設的情況下這樣做的確會提高了風險等級。好的，這的確是這類工作最主要的問題。不過，在風險度提高以後，人們會更傾向於保護自己的系統。
舉例來說，我剛剛披露了一種能使沒有特殊許可權的入侵者利用只有具有更高許可權使用者才能使用的漏洞進行襲擊的方法。現在我們知道這種擔心是不對的，因為人們沒道理知道這個缺陷以後不打補丁。

有人在我貼出新方法後的零時間內利用我的方法修改入侵手段，並進行公佈。於是任何人都可以使用這種手段，所以這的確增加了風險。

回頭看2002年8月，我釋出的一些程式碼被用做SQL Slammer病毒的基礎。這屬於最初的風險增加，但是短痛之後，打過補丁的SQL Servers數量增加了。短期風險成為了長期的受益。這是我對此的看法。

   有人可能會說我們不想知道都有什麼安全隱患，也就不會有人進行利用。你認為這有道理嗎？ 
   Litchfield: 我不這麼認為。世界上總有壞人。如果沒有好人來幫助廠家彌補這些漏洞，那麼我們會自以為我們是安全的，但實際上我們並不安全。對安全問題視而不見是起不了作用的，因為一個人的無知就是另外一個人的生財之道。

   什麼使您覺得最煩惱？ 
   Litchfield: 當人們說我增加了風險或者我的行為出於自私目的時，實際上並不是那樣。不過我不會總那麼受歡迎，我只是希望誹謗能夠少一些。

   您最近出版了Oracle黑客手冊。您的目的是什麼？ 
   Litchfield: Oracle的安全世界裡充斥著自鳴得意。我希望能夠揭掉他們自我矇蔽的毯子。外面有太多人認為Oracle的產品是安全的，他們無需採取任何措施。這是不負責任的，而我對此很在意。

   你希望人們怎麼看待你？ 
   Litchfield: 我希望能夠成為幫助人們認識到資料庫安全的重要性的人。我希望能夠通過我的工作，以及我對行業的瞭解來改造Oracle 和微軟這樣的企業處理安全問題的方式。