David Litchfield, un experto en seguridad informática, parece hacer descubierto que 9 de cada 10 bases de datos de Oracle son vulnerables a ataques que darían al hacker control y acceso a la información que contienen (incluyendo la de empresas y entidades gubernamentales) sin necesidad de nombres de usuario o contraseñas.
Litchfield trabaja en el sector de investigación en NGSSoftware Ltd. (Reino Unido), y advirtió a Oracle sobre esta vulnerabilidad en noviembre del año pasado. Sin embargo, varios meses después y ante la falta de una solución por parte de los responsables del software de base de datos (el último patch de Oracle salió en enero), decidió hacer público su descubrimiento.
Lo importante de esta vulnerabilidad es que permite al atacante tomar el control de la base de datos sin usuario ni contraseña, y no hay cortafuegos que sirva. Aunque el exploit puede ser prevenido cambiando la configuración por defecto del programa, Litchfield cree que 9 de cada 10 bases de datos no están listas para afrontar un atque de este estilo, y tampoco hay forma de saber si ya fue aprovechado por alguien.
Lo que no termino de entender (y aquí ustedes, queridos lectores, son más que bienvenidos a dar su visión en los comentarios) es cuál es la necesidad de hacer públicas estas fallas cuando el responsable no las pudo solucionar aún (me recuerda al caso de Windows de hace algunas semanas). ¿No es atraer demasiada atención sobre algo que puede perjudicar a muchos usuarios? Uno puede argumentar que así se le pone presión al responsable para que lo solucione, ¿pero es realmente el beneficio superior al riesgo?
Mientras tanto, Oracle no hace declaraciones al respecto.
No hay comentarios:
Publicar un comentario
Haga su comentario aqui...