Cosa fare quando trovi un buco nella sicurezza nel sito della tua azienda

13

Ho trovato un grave buco nella sicurezza in uno dei siti pubblici della mia azienda. Questo è il nostro primo sito pubblico che è stato convertito da un sito Intranet. Ho portato questo problema al mio capo e in sostanza lo hanno scrollato di dosso, dicendo che ci sarebbe voluto un sacco di lavoro per ridisegnare il sito per renderlo sicuro.

Questo mi ha davvero infastidito e ho pensato di sfruttare il buco per mostrare gli effetti che ciò potrebbe accadere se un vero hacker ci riuscisse. Questa probabilmente non è la migliore idea in quanto gli effetti potrebbero costarmi il mio lavoro se non qualcosa di peggio.

Quali sono alcune cose che posso fare per mostrare l'entità della situazione al management?

security  ethics 
Jim
fonte
8
Assicurati di avere tutto per iscritto. Compresa la tua menzione della falla di sicurezza e il loro licenziamento.
FrustratedWithFormsDesigner

Risposte:

13

La responsabilità di un manager è di gestire il rischio.

Quando è stato scoperto un buco nella sicurezza del cross-scripting in Gmail, ciò ha rappresentato un rischio molto critico che il team ha rapidamente lavorato per risolvere. Poiché ci sono milioni di utenti di Gmail, se avessi scritto un'applicazione Web che sfruttasse questo difetto, ci sarebbero buone probabilità che gli utenti della mia applicazione Web possano usare Gmail e che possano averlo aperto in un'altra scheda. Pertanto, come phisher, per me può valere la pena creare un'applicazione di questo tipo per ottenere l'accesso ai dati dell'utente.

La domanda che il tuo manager potrebbe porsi è questa: quanto è rischiosa questa falla nella sicurezza? Qual è la probabilità che esista un'applicazione Web là fuori che si rivolge a questa particolare falla di sicurezza su questo particolare sito? Qual è il rischio che anche i dipendenti che visitano il nostro sito Web utilizzino questo sito Web di terze parti?

Nella mia esperienza, se il tuo sito non sta ricevendo un sacco di traffico, allora non c'è un sacco di rischi.

Il tuo capo potrebbe pensare che il costo opportunità di non risolvere questo particolare buco di sicurezza che può o meno essere un problema, è che lui o lei può invece concentrare le risorse su attività che aiuteranno a far crescere il business e generare entrate.

Detto questo, c'era un problema molto simile a quello in cui Github è stato violato, e c'è una domanda su Project Management SE che tratta questo argomento dal punto di vista della gestione del progetto. L'utente che ha violato Github si trovava in una situazione simile alla tua e i suoi privilegi di Github sono stati sospesi per un periodo di tempo.

La mia domanda per te è questa: cosa succede alla tua azienda se il sito non funziona? Qual è la probabilità che tu possa vedere sfruttato questo buco di sicurezza?

Se scegli di perseguire questo obiettivo, dovrai obiettivamente ottenere prove che questa è una minaccia molto reale e imminente per la redditività dell'azienda.

Ecco alcuni suggerimenti per ottenere prove del fatto che questo è un problema reale:

  • Esegui ricerche su Google alla ricerca di articoli di notizie, blog o altre esperienze di aziende che hanno riscontrato problemi importanti a causa di un simile buco di sicurezza correlato. Dimostrare che questo è davvero un rischio che vale la pena affrontare al posto di altre opportunità commerciali.

  • Discutere con altro personale tecnico del team e ottenere informazioni dettagliate. Se il problema è molto grave, dovresti essere in grado di trovare anche altri in grado di eseguire il backup. In caso contrario, le tue preoccupazioni non sono giustificate o hai grossi problemi di sicurezza nella cultura della tua azienda.

  • Discutere con il reparto IT di altre opzioni per correggere il buco che coinvolge soluzioni a soluzione più rapida che, sebbene non ideali, possono mitigare il rischio e darti un po 'di tranquillità senza rompere il salvadanaio aziendale. A volte una piccola quantità di lavoro può aiutare a eliminare parte del rischio, se non del tutto.

Se i punti di cui sopra non funzionano, quindi penso di lasciar perdere, e so che questi problemi saranno solo una parte normale della gestione del rischio aziendale.

jmort253
fonte
2
Sento che questa risposta non copre abbastanza l'argomento. La natura della falla di sicurezza non è stata menzionata nel PO; per quanto ne sappiamo, potrebbe consentire agli aggressori di recuperare le informazioni relative alla carta di credito dal loro database, il che può essere disastroso, per non parlare del fatto che potrebbe avere conseguenze legali se ignorato.
Daenyth,
+1: alla fine della giornata a) si tratta di costi vs. benefici e le persone con diritti di decisione prenderanno le decisioni eb) la natura della falla di sicurezza non è stata menzionata, ma scommetto che la direzione ne sa molto più di qualcuno di noi in questo consiglio. Quindi sì, OP ha sollevato il problema e ora siamo tornati a "la responsabilità del manager è di gestire il rischio"
DXM
@Daenyth - Hai assolutamente ragione. Grazie! Ho aggiunto alcuni suggerimenti come punti elenco per affrontare il problema, nel caso in cui l'operatore decidesse di perseguire. Dopotutto, potrebbe davvero essere un problema grave e paralizzante che potrebbe non solo influire sull'azienda ma anche sulla sicurezza di milioni di utenti.
jmort253,
@ jmort253: l'aggiornamento è molto meglio - +1 da parte mia!
Daenyth,
1
Jim, non so quanto tu abbia esperienza o quanti altri lavori di sviluppo hai avuto, ma penso che ti imbatterai in questo quando andrai in altri posti. Lo scopo di qualsiasi azienda è quello di realizzare un profitto, e penso che a volte gli sviluppatori che sono divorziati dal lato operativo e finanziario dell'azienda dimenticano che lo scopo di un'azienda è quello di realizzare un profitto. Inoltre, considera questo: la tua area non è l'unica area in cui esistono rischi. Forse il tuo manager vede un rischio ancora maggiore nel non concentrarsi sulla costruzione del team di vendita o sul rilascio di un prodotto sensibile al tempo o di un piano di marketing.
jmort253,
10

Se disponi di equità, spingi per pianificare una riunione settimanale o mensile per esaminare i problemi di sicurezza e questo può essere solo un punto di quell'agenda. Spostare l'attenzione dal problema specifico all'area generale è spesso una tecnica efficace.

Se non si dispone di equità, andare avanti.
Hai sollevato il problema alla direzione e sono passati. Puoi riprovare se è importante per te. E ancora se è davvero importante. Se è davvero molto importante, trova un altro lavoro e spiega perché ai potenziali datori di lavoro. Quelli che apprezzano di più l'etica probabilmente la apprezzeranno.

Inoltre, tieni presente che se hai sollevato il problema e ottenuto un no, ora sei di fronte a cambiare idea delle persone, il che è molto difficile. Vorrei seguire la strada per convincerli a concordare con te e darti sì. ad es. "entrambi vogliamo che l'azienda abbia successo". Sì. "So che ci preoccupiamo entrambi della sicurezza". Sì. "Sappiamo di avere un budget molto limitato per affrontare tali articoli". Sì. Prendi alcuni di questi, quindi inizia a orientarti verso un programma per apportare le correzioni di sicurezza.

Un altro approccio "più morbido" è concordare sul fatto che non hai il tempo / le risorse per farlo ora. Ma puoi spingere per un accordo in una data in cui verrà affrontato. Può essere tra una settimana, un mese o 6 mesi. Di solito il tempo vola e poi ci sei.

Michael Durrant
fonte
Mi assicurerei di mettere il mio avvertimento per iscritto e di conservarne una copia, ma se hai informato le persone giuste, hai fatto la cosa giusta. Quello che scelgono di farci, questo è il loro problema.
Zaccaria K,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.