Dovresti mai rilasciare qualcosa che tu stesso potresti hackerare?


12

Essendo il creatore di un programma, probabilmente sei in una posizione migliore rispetto a chiunque di essere consapevole delle vulnerabilità di sicurezza e dei potenziali hack. Se sei a conoscenza di una vulnerabilità in un sistema che hai scritto, è necessario aggiungere un segno di maggiore sicurezza prima del rilascio o dovrebbe essere valutato caso per caso per determinare la gravità del gap di sicurezza?


7
Certo, la NSA lo fa sempre :)
Jaap

3
@Jaap: la NSA ne è sempre accusata . Nel primo caso sono a conoscenza di dove le persone hanno scoperto ciò che è realmente accaduto, che essendo lo standard di crittografia DES, risulta che le modifiche della NSA hanno effettivamente reso la crittografia più forte , non più debole, rendendo meno probabile che venga hackerato da una tecnica che nessuno tranne l'NSA aveva ancora scoperto, perché sapevano che qualcun altro alla fine lo avrebbe scoperto.
Mason Wheeler,

6
@MasonWheeler Penso che eventi recenti abbiano reso obsoleto il tuo commento, qui dal 2012.
aceinthehole,

Risposte:


6

Direi che dovrebbe essere fatto caso per caso. Sei l'autore, conosci molti dei buchi. Alcune vulnerabilità potrebbero essere note solo a te. Ovviamente ciò significa che se qualcuno di loro viene sfruttato, potresti avere alcune domande difficili a cui rispondere, quindi potrebbe essere una buona idea ridurre queste vulnerabilità, se possibile. Più importante è se qualcuno può facilmente hackerarlo come un sistema blackbox.


3
Vorrei solo conoscere tutti i buchi nel software che ho scritto. Quindi potrei sfruttarlo per trovare tutti i bug, e sarebbe molto più facile far scrivere correttamente le cose.
David Thornley,

1
@David: Ok, molti ...
FrustratedWithFormsDesigner

31

Ho avuto la sfortunata esperienza di trovarmi due volte nella situazione. In entrambi i casi, l'azienda stava producendo prodotti con gravi problemi di sicurezza con dati molto sensibili.

In entrambi i casi, l'impresa non sembrava curarsene, nonostante i miei migliori sforzi per renderli consapevoli dei rischi che stavano assumendo.

L'unica cosa che puoi fare è protestare il più forte * (e professionalmente) possibile, essere il più chiaro possibile sulle potenziali conseguenze e mentre stai facendo quel documento tutto . Stampa le tue e-mail rilevanti in PDF e mantieni quei file a casa, o ccc il tuo indirizzo e-mail personale, o comunque lo fai. Questa è l'unica soluzione per quando inevitabilmente succede qualcosa di brutto.

Speri che la direzione ti rispetti per i tuoi consigli tecnici e ne tenga conto, ma sfortunatamente devi rispettare chiunque sia il decisore alla fine della giornata. Le decisioni economiche sbagliate vengono prese ogni giorno.

Modifica: jasonk ha menzionato "Per favore stai molto attento a scrivere il tuo indirizzo di casa", e sono molto d'accordo. Si prega di non violare la politica aziendale e rischiare di rendere la vulnerabilità di sicurezza più aperta di quanto non lo sia già.


21
+1 per TUTTO IL DOCUMENTO !!! Quando si verifica un grave disastro e il lavoro del manager è in linea, lui / lei farà di tutto per spostare la colpa in QUALSIASI modo possibile. Se documenti problemi, e-mail, notifiche, memo e altra documentazione relativa alla decisione, ti stai proteggendo da una brutta situazione.
maple_shaft

11
Af cking-men. Chiunque sia abbastanza squallido da spedire consapevolmente un prodotto gravemente difettoso può, e farà, qualsiasi cosa * per evitare l'eventuale proiettile.
Peter Rowell,

Si prega di fare molta attenzione a inserire l'indirizzo di casa.
Jasonk,

2
@jasonk: Perché dici così? BCC significa che gli altri destinatari non possono vederlo ...
Mason Wheeler

3
@Mason: i destinatari non possono, ma l'IT può farlo e, se stai inviando informazioni sensibili (quali sono sicuramente le vulnerabilità di sicurezza) fuori sede, è probabile che ti facciano male.
Eclipse,

12

Direi il contrario: essendo il creatore, spesso sei troppo vicino al codice per vedere le vulnerabilità.

Se conosci o ti viene detto delle vulnerabilità, sono come qualsiasi altro bug: valuta, assegna le priorità, quindi correggi.


+1: Sai come dovrebbe funzionare il mio programma e in una certa misura pensi solo a usarlo in quel modo. Avere qualcuno che non conosce il modo "corretto" di utilizzare il programma è uno dei migliori test che puoi fare.
unholysampler

Come persona relativamente nuova al QA, mi sono messa al lavoro aspettandomi che i bug di "difetto di sicurezza" venissero incontrati con estrema gravità. Ma ho scoperto che l'etichetta "sicurezza" non costituisce sempre la necessità di una risposta a tolleranza zero. Alcune aziende sono perfettamente felici di correre rischi per la sicurezza se la vulnerabilità non sembra mettere in pericolo la reputazione del marchio o offre agli hacker poco da guadagnare e le versioni future includeranno comunque una correzione (o una modifica delle funzionalità).
Greg Gauthier,

4

Penso che la risposta dipenda dal grado di danno che potrebbe verificarsi se il sistema venisse compromesso da un hacker malintenzionato. Ovviamente un ingegnere civile non ha potuto approvare la progettazione di un ponte non sicuro in buona coscienza. La costruzione di un tale ponte potrebbe provocare lesioni o morte. Sarebbe anche illegale che l'ingegnere lo facesse consapevolmente, ma il fatto che gli ingegneri del software (almeno negli Stati Uniti) non siano legalmente vincolati allo stesso modo non li assolve dal dovere professionale di prendere posizione contro i sistemi difettosi. Sfortunatamente, la tua azienda potrebbe non aver bisogno della tua firma per rilasciare il software.

Non specifichi l'esatta natura del sistema su cui stai lavorando. Se è correlato a cartelle cliniche, attività bancarie, controllo del traffico aereo o qualche altra infrastruttura davvero critica, direi che sarebbe giustificato insistere sul massimo livello di sicurezza possibile prima del rilascio.


+1 Per il contesto, aggiungerei che qualsiasi dato che includa numeri di previdenza sociale, numeri di identificazione o numeri di carta di credito dovrebbe avere anche attenzione alla sicurezza. I sistemi che non memorizzano nessuna di queste informazioni e che non sono sistemi critici hanno dati a basso rischio e non dovresti preoccuparti tanto della sicurezza.
maple_shaft

3

Sì, DOVREBBE correggerlo prima che l'uscita venga rilasciata. Non sottovalutare mai l'ingegnosità di un hacker. Andresti in vacanza per una settimana con la porta sul retro spalancata? La tua scusa sarebbe

"Oh, è sul retro e non si affaccia direttamente sulla strada. Nessuno la vedrebbe spalancata .."

Probabilmente no.

Ma capisco in questi giorni con il primo ministro all'oscuro come la data di rilascio più sacra sia più importante di un potenziale problema di responsabilità con la sicurezza. Se questo è il tuo caso, suggerisco di richiamarlo all'attenzione, registrare il problema, assicurarsi che sia ben documentato, ben noto e che i rischi siano chiaramente spiegati e lasciare che il PM decida cosa fare.

Se il PM prende una decisione sbagliata e decide di ignorarlo e di procedere con il rilascio nei termini previsti, si è assolti dalla responsabilità dal momento che ha emesso il fischio.

Altrimenti se lo trovi e tienilo per te e succede qualcosa, allora puoi essere personalmente ritenuto responsabile delle conseguenze.

La scelta è tua.


4
Negli Stati Uniti, almeno, non si tratta di un potenziale problema di responsabilità enorme, poiché praticamente nessun software viene fornito con alcun tipo di garanzia. Il software per dispositivi medici è un'eccezione e probabilmente ce ne sono altri, ma la maggior parte dei software e dei servizi basati su software sono essenzialmente "senza garanzie".
David Thornley,

1
Nessuna garanzia? Perché non lo dite a milioni di clienti Sony che hanno avuto i loro numeri di previdenza sociale e altri dati sensibili rubati a causa di ESATAMENTE tali buchi di sicurezza che l'OP sta suggerendo.
maple_shaft

2
Mentre David ha ragione, la mancanza di responsabilità civile esecutiva può essere un freddo conforto quando la reputazione della tua azienda viene rovinata, o la tua piccola impresa viene semplicemente contestata dall'esistenza di una più grande.
PeterAllenWebb,

@maple_shaft: e quale responsabilità ha Sony? Hanno offerto un anno di servizi di protezione del credito, ma non credo che abbiano alcuna responsabilità legale. È un successo per la loro reputazione, ma sono sopravvissuti prima.
David Thornley,

1
@Rory: diamo un'occhiata tra due anni. Mi piacerebbe pensare che il rootkit fiasco, la rimozione arbitraria di OtherOS e questa perdita renderebbero la Sony meno popolare nel lungo periodo, ma non ne sono affatto sicuro.
David Thornley,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.