Безопасность в MS SQL и Oracle. Мифы и реальность.

Безопасность в MS SQL и Oracle. Мифы и реальность.

  • Comments 1
  • Likes

Попалась на глаза интересная статья, анализирующая, что есть реальность, а что мифы, когда речь идет о надежности SQL Server vs. Oracle.

 Автор Cesar Cerrudo:

 консультант по софтверной безопасности, софтверный архитектор. Владелец собственной компании « Аргенис» (Argeniss). В области защиты информационных систем он работает уже болеее 5 лет.

Цезар ставит под сомнение основные утверждения последнего времени:

- MS SQL сервер очень ненадежен с точки зрения безопасности,

- Oracle очень безопасен ( защищен)

- Oracle защищеннее, чем MS SQL Server.

Естественно, чтобы никто ничего не подумал, он подчеркивает, что все результаты исследований являются исключительно либо его персональным опытом, либо добыты «из первых рук». К слову сказать, анализируя безопасность обоих систем, он находился в контакте и Microsoft и с Oracle.

Но ни одна компания денег на ислледования не дала J

 

Предыстория вопроса:

Как мы все помним, в 2000-2001 годах тема безопасности баз данных набирает обороты.

Далее, 2001-2002:

-Voyager Alpha Force, он же  Cblade, он же dnsservice.exe Worm

- Первый «червяк» под  MS SQL.

- Затем эксплоит для пустого пароля под sa.

Обе компании запускают программы, нацеленные на улучшение защищености серверов. Oracle стартует программу Unbreakble”, Microsft - Trustworthy Computing Initiative.

Проблемы Microsoft  привлекают все больше внимания прессы и общественности, сотбственно это-то и подтолкнуло автора анализа посмотреть на MS SQL попристальней.

Прситальное тестирование в течение полу-года вылилось в 140 найденных дыр у MS SQL Server 2000 (SP4)

Результаты сподвигли к желанию сравнительного анализа с Oracle 10g. Только один месяц не сильно глубоких исследований дал 160 серьезных дыр в продукт ( 20 Цезар нашел сам + 140 его коллега).

 

Возник вопрос, а чем же Oracle лучше?

Естественно, что обе системы имеют сильные и слабые стороны.  Насколько же они сопоставимы?

Были рассмотрены серверы, которые уже «жили» в сети

Слабые сторны Microsoft SQL Server:

·         Достаточно «слаба» установка «по-умолчанию»

§  Существенно улучшено после SP3

·         Серверыв Интернете:

§  Достаточно пслабый «deplyment»

-          Сервреы не пропатчены

-          Куча систем с «пустыми паролями»

·         3 крупнейших промаха за год

§  Как результат огромная потеря денег компаниями, пользующимися MS SQL

§  Растет недовери к SQL Server

·         Огромный PR в газетах, и т.д.

 

Что же с Oracle по сравнению с MS, где их слабина?

·         - Как и в случае с MS, достаточна слабая, ненадежная настройка «по-умолчанию». Никаких улучшений в 10g

·         -  Большое количество дыр

§  Достаточно большое число из них дает возможность долезть до сервера удаленно

§  Серверы не пропатчены

·         - Security патчи выпускались аж на год позже, после того как о них появилась инофрмация в сети.

·         - Установка патчей очень тяжела.

·         - Естественно, никаких QA и инструкций.

·         - Патчи не доступны публично

·         - Нудовлетворительная работа Security Response Center

§  Качество работы на прояжении нескольких лет не улучшилось

§  Иногда ответа на запрос можно дожидаться месяцами или не получить ответа вообще

§  Несмотря на то, что Oracle является членом Organization for Internet Safety, они никогда сами не следуют требованиям и регламету своей же организации.

§  Неудовлетворительная связь с экспертами, занимающимися исследователями в области безопасности

§  Уровень дыр неизменился за последние несколько лет

§  Инструментов для проверки уровней настрйки безопасности систем – нет

 

Что же говорит «ЗА» компании?

Microsoft:

·         Уровень количества дыр серьезно упал

·         Инструменты для проверки настройки конфигурации безопасности.

·         Отличные специалисты привлечены к работе над безопасностью.

 

Oracle:

·         Практически нет серверов размещенных в Интернете

·         Нет «червей» под Oracle.

·         Нет обостренного внимания медиа-компаний

·         14 Сертификатов (!!!) безопасности (откуда и как они их получили, учитывая количество дыр?)

·         Отличные специалисты в области маркетинга компании.

 

Вот, собственно, теперь и думайте...

Для желающих ознакомиться с полным исследованием привожу ссылки на оригинальные материалы:

 

http://www.databasesecurity.com/dbsec/comparison.pdf

 

http://www.microsoft.com/presspass/itanalyst/docs/ESGNov2006SQLServerSecurity.pdf

 

http://www.argeniss.com/research/SQL-Oracle.zip

 

 

 

 

 

 

 

 

Comments
  • чего-то как-то посыпалось на Oracle.. Наверно, это объясняется просто. Как только начинают к чему-нибудь пристально присматриваться (особенно если раньше делали это только сквозь пальцы) сразу находится много нового :) Вот и ещё дырок нашли

    http://www.eweek.com/article2/0,1895,2064956,00.asp

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment