安全专家对Oracle开火

微软过去和现在是否是NGS软件的客户？
Litchfield: NGS的确在微软工作，但我们并不是受雇来说他们是安全的——我们被雇来使他们的产品更安全。对于微软和NGS来说，现在以及将来的独立性都很重要。否则我们工作的正确性以及微软为使产品更安全所进行的努力就会遭到怀疑。这就是NGS 依然在为微软的产品提出安全建议的原因。

我听说您曾经担任SQL Server 2005的安全审计工作，是这样吗？
Litchfield: 我不能说具体的说到我们所做的项目。这样，如果有人对SQL Server是否比Oracle安全的问题存在疑问，他所要做的就是想想包括那么多顶级研究人员在内的很多人都曾经研究过两个产品，寻找过安全漏洞。而SQL Server已经很长时间没有被发现问题了。我再重复一遍，如果有人在SQL Server 2005中发现严重的漏洞，那么我希望那个人是我。

Oracle是否曾经是NGS软件的客户？
Litchfield: 是的，过去我们与Oracle合作过几个项目。

NGS软件的主要业务是什么?
Litchfield:我们的业务分三个方面。我们销售评估安全状况和是否遵从萨班斯 - 奥克斯利法案的工具；我们为一些组织机构提供顾问服务；而且我们还进行漏洞调研并销售调研报告。

你们一般调研对象是什么样的机构？
Litchfield: 负责和保护关键性国家基础设施的政府机构。我们试着对他们的安全问题提出事前警告。我们能够告诉他们某个产品存在缺陷，并且提供消除问题的策略。甚至没有厂家提供的补丁，系统也能得到保护。

靠无知来保证安全是行不通的，因为某个人的无知就是别人的生财之道。

NGS过去几年发展顺利，这些需求来自哪里？
Litchfield:主要是顾问工作。说起来惭愧，我最初要成立一家软件企业，但现在却更象一家顾问公司。尽管我没有放弃，但也算是我个人的一次失败。我们到某个阶段还会成为一家软件公司。
顾问一般怎么工作？
Litchfield: 他可能会做渗透测试，审查代码或者模仿入侵。我们所做的不是安装防火墙那样的工作，我们所从事的是高端工作。

是什么每天推动您进行工作？
Litchfield: 是因为我对次很擅长。如果你很擅长某件事情，您的动力就会更足。如果我是优秀的画家，我就会画很多作品。如果我对此一窍不通，我当然就不会费心劳力的去画画。我很享受我的工作。

是不是特别享受发现bug的工作？
Litchfield: 是的。这是一个关于分析的问题。如果我尝试推翻某个系统，我该怎么做呢？另一个原因是它会影响每个人的生活。现在，不是在拿死马当活马医。我知道明天数据库服务器将会更加安全。打个比方说，到那一天，更多的信用卡用户会更安全。

如果Oracle的人说你暴露缺陷的的行为实际上伤害了安全，你会怎么说？
Litchfield: 在他们假设的情况下这样做的确会提高了风险等级。好的，这的确是这类工作最主要的问题。不过，在风险度提高以后，人们会更倾向于保护自己的系统。
举例来说，我刚刚披露了一种能使没有特殊权限的入侵者利用只有具有更高权限用户才能使用的漏洞进行袭击的方法。现在我们知道这种担心是不对的，因为人们没道理知道这个缺陷以后不打补丁。

有人在我贴出新方法后的零时间内利用我的方法修改入侵手段，并进行公布。于是任何人都可以使用这种手段，所以这的确增加了风险。

回头看2002年8月，我发布的一些代码被用做SQL Slammer病毒的基础。这属于最初的风险增加，但是短痛之后，打过补丁的SQL Servers数量增加了。短期风险成为了长期的受益。这是我对此的看法。

有人可能会说我们不想知道都有什么安全隐患，也就不会有人进行利用。你认为这有道理吗？
Litchfield: 我不这么认为。世界上总有坏人。如果没有好人来帮助厂家弥补这些漏洞，那么我们会自以为我们是安全的，但实际上我们并不安全。对安全问题视而不见是起不了作用的，因为一个人的无知就是另外一个人的生财之道。

什么使您觉得最烦恼？
Litchfield: 当人们说我增加了风险或者我的行为出于自私目的时，实际上并不是那样。不过我不会总那么受欢迎，我只是希望诽谤能够少一些。

您最近出版了Oracle黑客手册。您的目的是什么？
Litchfield: Oracle的安全世界里充斥着自鸣得意。我希望能够揭掉他们自我蒙蔽的毯子。外面有太多人认为Oracle的产品是安全的，他们无需采取任何措施。这是不负责任的，而我对此很在意。

你希望人们怎么看待你？
Litchfield: 我希望能够成为帮助人们认识到数据库安全的重要性的人。我希望能够通过我的工作，以及我对行业的了解来改造Oracle 和微软这样的企业处理安全问题的方式。