Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro

Acabando con las dudas

David Litchfield, reputado investigador de seguridad (especializado en bases de datos) demuestra, aportando su extensa experiencia, que la base de datos Microsoft SQL Server es mucho más segura que Oracle. Ha publicado un informe que según él, no deja lugar a dudas.

El documento estudia la seguridad de Microsoft SQL Server y Oracle basándose en fallos (sólo en su cantidad, no en su gravedad) reportados por investigadores externos y solucionados por el fabricante. Sólo se han incluido problemas que afectan a la propia base de datos. Por ejemplo no se han incluido vulnerabilidades de Application Server o Intelligent Agent de Oracle ni MDAC (que se considera parte de Windows, no del servidor) de Microsoft.

El documento ofrece unas gráficas muy claras, que comparan los productos bandera de Oracle (Database 8, 9 y 10) contra Microsoft SQL Server 7, 2000 y 2005 durante los últimos años. Si bien la versión 7 de Microsoft sufrió numerosos problemas de seguridad, desde entonces han disminuido drásticamente hasta la versión 2005, que no sufre ninguno. Mientras, los problemas de seguridad en Oracle han crecido de forma desproporcionada.

Litchfield achaca estos resultados de forma determinante al “Security Development Lifecycle” que desarrolla Microsoft para su producto, de forma que “aprende de sus errores” mientras que Oracle parece no tener nada de esto, tropezando una y otra vez en la misma piedra, y lo que es peor, ni siquiera parecen entender los problemas que están intentando resolver.

Controversias posibles

El autor, consciente de que a pesar de lo objetivo de los números las pruebas pueden levantar suspicacias, se adelanta a las posibles controversias que surgirán a partir de su informe y responde por adelantado algunas cuestiones.

– No, Oracle no “parece tan malo” por ser multiplataforma. Esto no distorsiona los datos. Casi todos sus problemas de seguridad afectan a todas las plataformas.

– Sí, hay varios investigadores intentando encontrar fallos en el servidor SQL 2005 de Microsoft. Y su código es más seguro. Es tan simple como que no los encuentran.

Litchfield además, muestra en las gráficas sólo fallos públicos y solucionados, y adelanta que a Oracle todavía le quedan al menos 49 por corregir y no están incluidos en las estadísticas del informe. Como experto y descubridor de la mayoría de los fallos de Oracle que se muestran, se siente con la autoridad suficiente como para que sus resultados no sean refutados. Para él, si se busca seguridad, la elección está clara.

En Microsoft, obviamente, ya notaron su ventaja con respecto a la seguridad y realizaron su propio estudio. En una entrada en un blog oficial titulado “1 Year And Not Yet Counting…”, comparan las vulnerabilidades listadas en CVE (Common vulnerabilities and Exposures) de Oracle, MySql e IBM Database contra SQL Server 2005.

Sus resultados son también esclarecedores. Oracle, seguido de MySql e IBM, sufren todos más vulnerabilidades que el producto de Microsoft (versión 2005). De hecho, todavía no se le ha encontrado ninguna desde que fue lanzado hace más de un año.

Se agradecen este tipo de informes que abordan la seguridad desde un punto de vista fuera de misticismos y prejuicios. Litchfield no tiene relación con Microsoft, de hecho ha encontrado muchas vulnerabilidades en casi todos sus productos (aunque bastantes más en Oracle, donde se siente especialmente “cómodo”). Por tanto, no es sólo una típica comparación sobre quién es “menos inseguro” en una discusión basada en opiniones y gustos, sino que avala la robustez en un producto bien conseguido (además de una importante deficiencia en Oracle ya apuntada en otros boletines) que bien merece ser mencionada.