miércoles, noviembre 22, 2006

Bases de Datos de Seguridad o
Seguridad de Bases de Datos

Bases de Datos de Seguridad o
Seguridad de Bases de Datos

Da gusto, cuando te levantas por la mañana y entre tanto tecnico-less te llega un mensaje del Brujo, de Txipi, de Anelkaos, Silverhack, Bodescu, Duende, o alguno de estos payos que rondan por el tema técnico de la comunidad y la seguridad informática. Hay algunos que me llegan todos los días, como son las noticias de Hispasec. Desde hace mucho, mucho tiempo estoy suscrito a su boletín de noticias. Con tiempo conseguí, tras colarme de gañote en una comida conocerlos y fue una experiencia que hemos repetido varias veces. Muchas mañanas el ca*%$%$ de Sergio me da la mañana, con su impecable estilo ortográfico me despierta con alguna sorpresita (especialmente las de navegadores, pq el ca*%$%$ de tanto navegar por porno (u otras cosas) se ha hecho un experto). Yo creo que en el fondo es que me echa de menos y quiere que le llame por teléfono para saludarle. Otras veces Bernardo me cuenta cosas, como lo del MVP del Messenger Plus o como hoy, me avisa de la publicación del último estudio de David Litchfield. Gracias!

D. Litchfield es aquel payo que montó la marimorena en las Black Hat Federal Conferences de Enero de 2006 con la sesión Oracle Breakable y que ha publicado bastantes pruebas de concepto y bugs en todo tipo de bases de datos…bueno, sí, le tiene especial cariño a Oracle.

Ayer, hizo público un estudio que compara la seguridad de SQL Server (7,2000 y 2005) con Oracle en base a fallos de seguridad hechos públicos y gestionados por las bases de datos de expedientes de seguridad. Los gráficos dejan al “pobre” Oráculo en un lugar que rima con su nombre en castellano. Parece que Litchfield le ha cogido especial cariño después de la monumental peta que tuvo con la compañía del barquito. Lo mejor la conclusión que cita en el documento:


Conclusions
Despite what the numbers clearly show these results will be contested by many; it is hoped that, since the author is responsible for finding many of these issues and thus speaks with some authority on such matters, there won’t be too many though.
The conclusion is clear – if security robustness and a high degree of assurance are concerns when looking to purchase database server software – given these results one should not be looking at Oracle as a serious contender.


Ahora vas y lo cascas.

9 comentarios:

  1. Confiaba en que mañana te llevarías una sorpresa... una pena, porque sabía que te iba a hacer ilu... en fin. Mañana lees mis conclusiones... ya verás qué contento te pones. :-)

    ResponderEliminar
  2. Por qué será que no me fio de ti y que sé por donde vas a ir??????

    ResponderEliminar
  3. Hombre de poca fe... la fuerza del lado oscura es poderosa a veces.

    ResponderEliminar
  4. Así empezo Anakinen y ya ves como termino todo.

    ResponderEliminar
  5. Aquí se puede ver bastante bien. Lo acabo de ver esta mañana en el blog de Dani Matey.. :)

    Gráfico

    ResponderEliminar
  6. pos yo sigo prefiriendo currar contra oracle, pero pa gustos los colores :p

    ResponderEliminar
  7. Estoy contigo Ander. Creo que la seguridad no es el único factor a tener en cuenta. Es uno, y a veces ni tan siquiera el mejor.

    La mejor herramienta no es la más segura sino la que se adapta mejor a tus necesidades. Eso lo dijo un payo en una conferencia y me gustó.

    ResponderEliminar