Oracles PR-Gau: Interview mit dem „Unruhestifter“

ZDNet hat sich mit Litchfield über seine Motivation unterhalten, die Lücken an die Öffentlichkeit zu bringen, obwohl einige der Beobachter ihn als „Unruhestifter“ sehen.

ZDNet: Beobachten Sie die Sicherheitsprobleme von Oracle schon seit einiger Zeit?

Litchfield: Es gab einige Presseberichte, in denen behauptet wurde, ich hätte erst mit dem Start ihrer „Unbreakable“-Kampagne angefangen, auf Sicherheitslücken hinzuweisen. Aber das ist nicht wahr. Ich habe schon vorher nach Sicherheitslücken in Oracle-Produkten gesucht, nicht nur in Produkten von Oracle, sondern auch von IBM, Microsoft und anderen. Wenn sie sich die Oracle-Security-Alerts ansehen, werden Sie meinen Namen schon vorher in Zusammenhang mit der Aufdeckung verschiedener Lücken finden. Die meisten wurden erst während der Oracle-Unbreakable-Kampagne darauf aufmerksam, einfach deswegen, weil diese großes Medieninteresse auf sich gezogen hat.

ZDNet: Was ist der Hintergrund Ihrer neuesten Rede, die alle diese Diskussionen ausgelöst hat?

Litchfield: Letztes Jahr um diese Zeit wollte ich auf der Black Hat-Konferenz ein Papier über einige Sicherheitslücken herausgeben. Oracle hat versprochen, dass die Patches vor meiner Rede bereitstehen würden. Fünf Minuten bevor ich weitermachen wollte, sagten sie mir, dass die Patches nicht bereitstehen würden. Ich musste also meine Notizen wegwerfen und mir eine Rede aus dem Ärmel schütteln. Glücklicherweise hatte ich genügend Material, um über etwas anderes zu sprechen. Ich habe mich so entschieden, weil ich durch die Bekanntgabe der Sicherheitslücken Kunden einem Risiko ausgesetzt hätte. Ich habe nicht darüber gesprochen, was der richtige und verantwortungsbewusste Weg war.