Büyük bir şirket güvenlik açıkları bırakan çaylak hatalarını nasıl yapar? [kapalı]

15

Sony, yakın zamanda bir SQL enjeksiyonuyla saldırıya uğradı ve kullanıcılarının şifreleri düz metin olarak saklandı. Bunlar çaylak hataları. Böyle büyük bir şirkette, bu KG'yi nasıl geçer? Bundan daha iyi bilmekten daha iyi takımları nasıl olmaz?

Saldırıya uğrayan şirketin büyüklüğü onu farklı kılıyor. Hepimizi etkiler, çünkü hepimiz bir gün kendimizi böyle bir şeyden sorumlu bir ekipte bulabiliriz ve sonra baltayı alırız. Peki buna yol açan faktörler nelerdir ve bunları nasıl önleriz?

security  qa  mistakes 
richard
kaynak
Bu soru, gerçeklere ve referanslara dayalı yapıcı cevapları davet etmedi: bir şirketin Sony'nin ne kadar berbat olduğuna dair çeşitli spekülasyonların bir listesi. SQL enjeksiyonları, KG ve güvenlikle ilgili adımlar hakkında birkaç soru için ilgili soru kenar çubuğuna bakın. (Yakın oy sayısını temizlemek için özür dilerim: Yanlış bir nedenle yanlışlıkla kapattığımda 3 "yapıcı olmayan" yakın oy vardı)
Yorum yapanlar : yorumlar uzun tartışmalar için değil, açıklama istemek içindir. Bu soruyu başkalarıyla tartışmak isterseniz, lütfen sohbeti kullanın . Daha fazla bilgi için SSS bölümüne bakın .
4
@Mark Odd, muhtemelen işarete çok yakın olan çılgınca yapıcı cevaplar aldı. Bununla birlikte, daha iyi bir soru, “neden bu kadar büyük bir şirkette bu kadar pervasız bir davranışı cezalandıracak bir mevzuat yok?”
Konrad Rudolph
3
Bu sorunun tekrar kapatılması oldukça garip. Gaddar. Tekrar.
richard

Yanıtlar:

24

Akla gelen ilk şey, çünkü birkaç kat bürokrasi yetiştirecek kadar büyükler. Bu, diğer şeylerin yanı sıra, işe alma sürecinden sorumlu gerçekten akıllı kodlayıcılara sahip olmadığınız anlamına gelir, bu da potansiyel programcıları ve yetersiz olan KG çalışanlarını ayıklama yeteneklerini kaybettikleri anlamına gelir. Bu da kötü kodun yazılmasına ve üretime girmesine neden olur ve hepimiz bundan sonra ne olacağını biliyoruz ...

Mason Wheeler
kaynak
3
Sanırım bürokrasiyle kafasına çiviyi vurdun, ancak bundan kaynaklanan başka problemler de var. Önemli bir sorunu fark eden akıllı bir geliştiriciniz varsa, bir düzeltme üzerinde çalışmak için onay almak, test ettirmek ve üretime taşımak Tanrı'nın bir eylemini gerektirir. Tek gereken, bürokrasideki bir kişinin değişikliği yapma riskinin (diğer projelerde gecikmeler, üretim hataları, vb.) Değişikliği yapmama riskinden ağır bastığını düşünmektir (bir şirketi bu kadar büyük hackleyebilir?).
Mayo
18

Çünkü programcılara bunu test etmeleri söylenmedi ve ezici şirket kültürü, mesleki etik anlayışlarını harekete geçirecek ve güvenlik açıklarını test etmek için birkaç hafta daha talep edecek kadar boş yer vermedi. Ya da en başından beri güvende olmaları için ısrar etmek.

Çünkü patron, güvenlik meselelerini test etmek için birkaç hafta daha harcamak istemedi. Yıl sonunda ekstra bonus. Johnson'ı bir sonraki bölümden göstermek. Övünme hakları. Şirketin görevi. Tembellik. Underling'in tavsiyesine güvensizlik.

Çünkü büyük patron daha fazla kar istedi ve Johnson'u Bob üzerinden tanıttı çünkü sayıları daha iyi bir ürün talep etmenin aksine daha iyi görünüyordu. Çünkü kalite ve güvenlik bir e-tabloda gösterilmesi zor değerlerdir. Çünkü şirketler para kazanmak için var.

Bunun gibi şeyler sistematik bir sorundur. "Çünkü onlar aptallar" diye kaynar.

Edit Programmers, bir eksiklik fark ettikten sonra sorunu patronlarına getirerek kurban keçi olmaktan kaçınabilir. Ya doğru olanı yapar ve düzeltmek için bir plan yapar ya da görmezden gelmeni söyler. Düzeltmezse, resmi hale getirin, e-posta ile sorun. Bu durumda, "güvenlik açığı", "enjeksiyon", "güvenlik ihlali" gibi sorunla ilgili anahtar kelimeler kullanın. Bir e-posta aramasının alacağı şeyler.

Bu parayı geçiyor. Artık patronların sorumluluğu. Eğer önemliyse, insanlar bu şey başarısız olduğunda ölecek gibi, başının üzerine çık ve meseleyi patronuna getir. Sadece parayı geçtiği için kovulabilirsin ve onu geçse bile kovulabilirsin, ama yapılması gereken doğru şey. Aslında sorunu çözmek kadar doğru değil, ama yakın.

Philip
kaynak
3
Şirketin CEO'su olarak sizin için oyum !!!
Wajih
3
@Cheshire İlk yapıldığı zaman "sağduyu" değildi. İnsanlar doğası gereği güvenlik fikirli değildir; öğrenmek ve sürekli olarak sadece verilerinizi almak için var olan kötü gerizekalı olduğunu hatırlatmak zorundalar.
Michael Todd
3
@Michael Todd: Ama bu artık 1996 değil. Bu ise artık sağduyu ve bunun için hiçbir bahane yoktur.
richard
1
@Cheshire Kabul etti. Ve güvenlik göz önünde bulundurularak geliştirme, daha sonra test etmekten çok daha iyidir.
Philip
1
@Richard DesLonde: Sağduysa, bence daha az insanın bunu doğru yaptığını söylerdim.
David Thornley
12

Şirket ne kadar büyük olursa, karar vericiler o kadar uzakta gerçek hayattan sorumludurlar.

Şirketlerin nasıl çalıştığını bilerek, site tasarımı muhtemelen geliştirici başına en düşük fiyata göre seçilen bazı danışmanlık şirketlerine dış kaynaklardan sağlanmıştır. Bu şirket de benzer kriterler halinde rastgele bir grup insan kiralayacak ve ortalama bir kişi başka bir şeye dönmeden önce 3 aydan fazla bir süre projede kalmayacaktı.

vartec
kaynak
4
Dış kaynak için +1. Bunu düşünmemiştim. Açık denizde olduğunuzda, geliştiriciler tam olarak belirttiğiniz şeyi geliştirir , soru sormazlar, bu yüzden güvenlik spesifikasyonda değildi.
richard
1
@Richard DesLonde: İyimser olduğunu görüyorum.
David Thornley
@David Thornley: Hayır, sadece tecrübeli. :-)
richard
2
@Richard DesLonde: Ve tüm offshored projeleriniz spesifikasyonların söylediği her şeyi yapmaya geldi mi? Fena değil.
David Thornley
1
@David Thornley: LOL Kesinlikle hayır. Vurguladığım kısım bu değildi. Kesinlikle haklısın, bu biraz fazla iyimserdi. :-)
richard
4

Nasıl hata yapar? Tembellik, bilgi eksikliği, uzmanlık eksikliği, amaca uygunluk, süreç eksikliği vb. Yoluyla Hataları nasıl önleyebiliriz? Çalışkanlık, deneyim, güvenceler, vb. Yoluyla. Bu durum, kategorik olarak her programcı tarafından yapılan binlerce küçük hatadan farklı değildir; sadece ölçekte farklı.

Bundan ne öğrenebiliriz? Fazla değil.

Rein Henrichs
kaynak
Farklı olduğunu düşünüyorum. Sony milyarlarca dolar kazanıyor ancak bu temel şeyleri doğru yapamıyorlar mı? Bunda ciddi bir yanlışlık var. Ve bu sadece Sony değil. Son zamanlarda birçok büyük şirket SQL enjeksiyonu ile saldırıya uğradı.
richard
1
Hayır, gerçekten farklı değil. Kararlar şirketler tarafından değil insanlar tarafından verilir.
Rein Henrichs
@Richard: Her zaman kötü bir güvenlik kaydına sahiplerdi. Bu, Sony rootkit'i icat eden aynı şirket, hatırlıyor musunuz?
Mason Wheeler
2

Olası açıklamalardan biri, çarpık bir öncelik listesidir. Çalıştığım birçok şirket, ürettikleri ürünün / kodun kalitesinden ziyade, bir ürünü pazara sunmaya daha fazla önem verdi. Bu etki iki katına çıkar, çünkü sadece programcılar tamamlanmak için acele etmiyor, aynı zamanda KG departmanı da (eğer varsa). Ayrıca bu tutumun, daha önce tamamlanmadan önce bir sonraki ürüne geçerek, sorunu daha da ileriye götürdüğünü fark ettim.

Bu şirketlerin her birinde ortak payda teknik olmayan yönetim olmuştur. Proje Yöneticileri, BT Yöneticileri ve Ürün Yöneticileri, temel olarak geliştirme ekibinin üzerinde çalıştığı konusunda söz sahibi olan herkes teknik değildir ve yüksek kaliteli, güvenli, kod üretmenin önemini anlamamaktadır. Bu, şimdi şirketlerle görüştüğümde aradığım bir şey. Sığınmacılara, mahkmatmlara veya doktorlara hakim olan kimdir?

Derin bir bürokrasinin bir araya geldiği benzer bir şeyin Sony ve diğer şirketin güvenlik konularında etkenler yaratması şaşırtıcı olmazdı.

Jack M.
kaynak
0

İnsanlar büyük şirketlerde çalışırlar ve insanlar cehalet, tembellik, kötü prosedürler, kötü belgeler vb. Dışında hatalar yaparlar.

Marcelo
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.