Which is more secure? Oracle vs. Microsoft
Forum: SecurePoint – BUGTRAQ Archive
Date: Nov 21, 11:52
From: David Litchfield
Hey all,
What started out as a fun project for me turned out some serious results – «Which is more secure? Oracle vs Microsoft» is a paper I put together looking at the number of security flaws in the Oracle and MS database offerings. For those that are interested, you can grab a copy of the results here: http://www.databasesecurity.com/dbsec/comparison.pdf
Cheers,
David
A pesar de que el documento, presenta un aspecto informal hay motivos suficientes para tenerlo muy en cuenta: Litchfield es un reputado experto en seguridad especializado en encontrar bugs en gestores de bases de datos, cofundador de NGSSoftware y entre cuyos «honores» parece encontrarse la publicación del código que fue usado como base para crear el SQL Slammer, uno de los peores gusanos informáticos que hemos conocido y sufrido. Suficiente ¿no es cierto? Eso si: en el mundo de los blogs parece llevar poco tiempo y no tomárselo demasiado en serio :-).
Los chicos de Hispasec, siempre al pie del cañón, le dedicaron casi inmediatamente uno de sus boletines diarios avalando y aclarando este trabajo que nadie en la posterior discusión abierta en Bugtraq ha rebatido de forma adecuada. Quod erat demonstrandum. Para mí al menos.
¿Qué es lo único que yo añadiría? Pues que se trata de un análisis cuantitativo (número de errores) y no cualitativo (criticidad de los mismos): Oracle jamás ha sufrido un ataque como el que supuso el Slammer. Pero a pesar de estas consideraciones lo que si está claro es que hace ya más de un año que no se conocen problemas de seguridad para SQL Server 2005, la última versión del gestor de bases de datos de Microsoft y todos podemos imaginarnos que se estarán buscando y mucho. Al menos hay un equipo de trabajo que está haciendo las cosas bien en Redmon.