Publicado originalmente en Virus Attack!
 http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=154

Oracle, una de las compañías de informática más grandes del mundo, inició una campaña publicitaria diciendo que sus productos eran inquebrantables, pero un investigador independiente demostró que eso estaba muy lejos de ser verdad.

En noviembre del año pasado, Larry Ellison, CEO de Oracle había dicho que su software era tan seguro que los hackers jamás podrían ingresar en el sitio de Internet de su empresa. Estos dichos dieron el puntapié inicial para la nueva campaña publicitaria de Oracle, "Unbreakable" (Inquebrantable).

En ella, se afirma que el software desarrollado por Oracle cumple con altos estándares de seguridad informática, y eso lo hace "inquebrantable" frente a los ataques externos o internos que atenten contra su seguridad.

Pero, David Litchfield, un investigador independiente, publicó un informe en el que hace públicas diversas vulnerabilidades encontradas en los productos de esta empresa, y que tiran por tierra la supuesta "invulnerabilidad" de estos.

El informe comienza diciendo "Contrariamente a lo que dice el CEO de Oracle Corp., Larry Ellison, Oracle 9 es quebrantable", y luego de unos comentarios respecto de la campaña publicitaria antes mencionada, y de una introducción a la arquitectura de los productos de la compañía, detalla en forma clara y precisa, diversos agujeros de seguridad que encontró.

Desde búfers no chequeados que pueden ser aprovechados por un desbordamiento hasta vulnerabilidades que pueden causar una denegación de servicios, el documento está lleno de información respecto de problemas en diversos componentes de Oracle 9, que pueden causar que la seguridad del sistema sea comprometida.

Pese a esto, Litchfield asegura que el producto de Oracle, lejos de ser inquebrantable, es el más seguro del mercado y que la empresa se toma muy en serio la seguridad. Todo esto, mientras que sigue desmenuzando delicadamente la gran cantidad de vulnerabilidades que encontró en éste.

El documento consta de 28 páginas, se encuentra disponible en formato PDF y contiene los detalles de vulnerabilidades encontradas en distintos componentes/funcionalidades de Oracle: PL/SQL, decodificadores de datos, JSP, XSQL, etc.

Pero, además de mostrar los problemas, Litchfield brinda importante información de como estos pueden ser controlados y evitados por los administradores de un equipo que utilice Oracle 9. Por ello, la lectura de este documento por estos, es más que indispensable, sino quieren encontrarse en problemas en el futuro. Igualmente, hasta el momento, no se han reportado ataques que aprovechen las vulnerabilidades nombradas en el informe antes mencionado.

A Ellison le duró poco la inquebrantabilidad de su producto estrella, quizás sea porque nunca antes había escuchado el refrán "Quien ríe último, ríe mejor". Esperemos que su empresa, en lugar de preocuparse por tener la mejor campaña publicitaria, intentara lograr realmente lo que en ella publicita. 

Más información

The Register - How to hack unbreakable Oracle servers
http://www.theregister.co.uk/content/4/23979.html

David Litchfield - Hackproofing Oracle Application Server
http://www.nextgenss.com/papers/hpoas.pdf

Virus Attack! - Oracle afirma que los hackers nunca podrán entrar en su sitio
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=117


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com