Безопасность в MS SQL и Oracle. Мифы и реальность.
Попалась на глаза интересная статья, анализирующая, что есть реальность, а что мифы, когда речь идет о надежности SQL Server vs. Oracle.
Автор Cesar Cerrudo:
консультант по софтверной безопасности, софтверный архитектор. Владелец собственной компании « Аргенис» (Argeniss). В области защиты информационных систем он работает уже болеее 5 лет.
Цезар ставит под сомнение основные утверждения последнего времени:
- MS SQL сервер очень ненадежен с точки зрения безопасности,
- Oracle очень безопасен ( защищен)
- Oracle защищеннее, чем MS SQL Server.
Естественно, чтобы никто ничего не подумал, он подчеркивает, что все результаты исследований являются исключительно либо его персональным опытом, либо добыты «из первых рук». К слову сказать, анализируя безопасность обоих систем, он находился в контакте и Microsoft и с Oracle.
Но ни одна компания денег на ислледования не дала J
Предыстория вопроса:
Как мы все помним, в 2000-2001 годах тема безопасности баз данных набирает обороты.
Далее, 2001-2002:
-Voyager Alpha Force, он же Cblade, он же dnsservice.exe Worm
- Первый «червяк» под MS SQL.
- Затем эксплоит для пустого пароля под sa.
Обе компании запускают программы, нацеленные на улучшение защищености серверов. Oracle стартует программу “Unbreakble”, Microsft - Trustworthy Computing Initiative.
Проблемы Microsoft привлекают все больше внимания прессы и общественности, сотбственно это-то и подтолкнуло автора анализа посмотреть на MS SQL попристальней.
Прситальное тестирование в течение полу-года вылилось в 140 найденных дыр у MS SQL Server 2000 (SP4)
Результаты сподвигли к желанию сравнительного анализа с Oracle 10g. Только один месяц не сильно глубоких исследований дал 160 серьезных дыр в продукт ( 20 Цезар нашел сам + 140 его коллега).
Возник вопрос, а чем же Oracle лучше?
Естественно, что обе системы имеют сильные и слабые стороны. Насколько же они сопоставимы?
Были рассмотрены серверы, которые уже «жили» в сети
Слабые сторны Microsoft SQL Server:
· Достаточно «слаба» установка «по-умолчанию»
§ Существенно улучшено после SP3
· Серверыв Интернете:
§ Достаточно пслабый «deplyment»
- Сервреы не пропатчены
- Куча систем с «пустыми паролями»
· 3 крупнейших промаха за год
§ Как результат огромная потеря денег компаниями, пользующимися MS SQL
§ Растет недовери к SQL Server
· Огромный PR в газетах, и т.д.
Что же с Oracle по сравнению с MS, где их слабина?
· - Как и в случае с MS, достаточна слабая, ненадежная настройка «по-умолчанию». Никаких улучшений в 10g
· - Большое количество дыр
§ Достаточно большое число из них дает возможность долезть до сервера удаленно
§ Серверы не пропатчены
· - Security патчи выпускались аж на год позже, после того как о них появилась инофрмация в сети.
· - Установка патчей очень тяжела.
· - Естественно, никаких QA и инструкций.
· - Патчи не доступны публично
· - Нудовлетворительная работа Security Response Center
§ Качество работы на прояжении нескольких лет не улучшилось
§ Иногда ответа на запрос можно дожидаться месяцами или не получить ответа вообще
§ Несмотря на то, что Oracle является членом Organization for Internet Safety, они никогда сами не следуют требованиям и регламету своей же организации.
§ Неудовлетворительная связь с экспертами, занимающимися исследователями в области безопасности
§ Уровень дыр неизменился за последние несколько лет
§ Инструментов для проверки уровней настрйки безопасности систем – нет
Что же говорит «ЗА» компании?
Microsoft:
· Уровень количества дыр серьезно упал
· Инструменты для проверки настройки конфигурации безопасности.
· Отличные специалисты привлечены к работе над безопасностью.
Oracle:
· Практически нет серверов размещенных в Интернете
· Нет «червей» под Oracle.
· Нет обостренного внимания медиа-компаний
· 14 Сертификатов (!!!) безопасности (откуда и как они их получили, учитывая количество дыр?)
· Отличные специалисты в области маркетинга компании.
Вот, собственно, теперь и думайте...
Для желающих ознакомиться с полным исследованием привожу ссылки на оригинальные материалы:
http://www.databasesecurity.com/dbsec/comparison.pdf
http://www.microsoft.com/presspass/itanalyst/docs/ESGNov2006SQLServerSecurity.pdf
http://www.argeniss.com/research/SQL-Oracle.zip
