L'attività illegale sarebbe stata perpetrata dalla società TomorrowNow, azienda texana di proprietà SAP, e avrebbe comportato la copia di migliaia di prodotti Oracle e altro materiale confidenziale utilizzando i dati di accesso di utenti Oracle con supporto scaduto o prossimo alla scadenza.
Secondo la citazione, Sap, utilizzando le credenziali di un cliente, ha scaricato da un sito Oracle ,che permette l'accesso ai clienti che hanno già acquistato le licenze, più di 10.000 file, a volte con una media di 1800 file al giorno per 4 giorni, laddove normalmente un utente scarica in media 20 file al mese. Questi accessi provenivano da un indirizzo Ip in Texas che corrisponde alla sede di TomorrowNow.
L'attività di copia, iniziata nel novembre 2006, è andata avanti fino a febbraio 2007.
La citazione afferma che la maggior parte del materiale scaricato non era coperto dalle licenze acquistate dai clienti che vi hanno avuto accesso: questo, naturalmente, fa nascere qualche perplessità sulle procedure di determinazione dei diritti di accesso degli utenti che possono scaricare materiale dal sito di supporto di Oracle.
Normalmente il materiale per i propri clienti (che si tratti di software, manuali, presentazioni, documenti di supporto ecc.) risiede su un sito ftp accessibile con username e password. Spesso, però, la modalità di distribuzione non prevede che ogni utente abbia accesso a una sua cartella contenente i file che ha diritto di scaricare sulla base della licenza che ha pagato, ma invece a una cartella comune contenente tutta la libreria di materiale.
Si configura in questo caso un problema di procedura di autorizzazione alle informazioni: le prassi consolidate prevedono un'accesso sulla base della necessità di conoscenza o utilizzo di un materiale; un accesso indiscriminato a tutta la libreria, quindi, è una configurazione da evitare. Se Oracle ha adottato questo metodo è, per sua sfortuna in questo determinato caso, incolpabile di superficialità.
L'altra questione che mi pongo è la seguente: nonostante SAP abbia scaricato il software Oracle, credo che abbia avuto la necessità di una licenza per farlo girare. Quindi, dove è andata SAP a prendere queste licenze? Oppure lo ha scaricato senza mai farlo girare?
Ne dubito, anche perchè come risultato di questa attività, sempre secondo la causa, alcune aziende non hanno rinnovato il contratto di supporto con Oracle per accenderne invece uno con SAP: Honeywell, Merck, SPX, Metro Machine, sono solo alcuni degli esempi.
Che cosa possiamo imparare da tutto questo?
- che sono necessarie procedure di controllo atte a segnalare comportamenti anomali sui propri siti di distribuzione di materiale;
- che le procedure di controllo degli accessi e di autenticazione devono essere più sofisticate di quelle attuali di Oracle e che, quindi, devono prevedere:
- un'accesso al materiale sulla base dei diritti di licenza acquistati
- la scadenza dell'autorizzazione per l'utente non appena scade il contratto di licenza.
Nessun commento:
Posta un commento