In che modo una grande azienda commette errori da principiante che lasciano buchi alla sicurezza? [chiuso]


15

Sony è stata recentemente violata con un'iniezione SQL e le password dei loro utenti sono state memorizzate in testo semplice. Questi sono errori da principianti. In un'azienda così grande, come passa il QA? Come possono non avere squadre migliori di sapere meglio di così?

La vastità dell'azienda che è stata hackerata rende questo diverso. Colpisce tutti noi perché un giorno potremmo trovarci in una squadra che è responsabile di qualcosa del genere, e quindi prendiamo l'ascia. Quindi quali sono i fattori che portano a questo e come possiamo prevenirli?


Questa domanda non ha invitato risposte costruttive basate su fatti e riferimenti: è un elenco di varie speculazioni su quanto sia scadente un'azienda Sony. Vedere la barra laterale delle domande correlate per diverse domande sui passaggi per gestire iniezioni di SQL, QA e sicurezza. (Mi

Commentatori: i commenti hanno lo scopo di cercare chiarimenti, non di discussioni estese. Se desideri discutere questa domanda con altri, utilizza la chat . Vedi le FAQ per maggiori informazioni.

4
@Mark Odd, ha raccolto alcune risposte selvaggiamente costruttive, che sono probabilmente molto vicine al segno. Detto questo, una domanda migliore sarebbe: "perché non esiste una legislazione per punire un comportamento così sconsiderato in una società così grande?"
Konrad Rudolph,

3
È piuttosto strano che questa domanda sia stata chiusa di nuovo. Draconian. Ancora.
Richard

Risposte:


24

La prima cosa che viene in mente è, perché sono abbastanza grandi da far crescere alcuni strati di burocrazia. Ciò significa, tra le altre cose, che non hai più programmatori veramente intelligenti incaricati del processo di assunzione, il che significa che perdono la loro capacità di estirpare potenziali programmatori e addetti al QA che sono incompetenti. Il che porta alla scrittura di codice errato e alla sua produzione, e sappiamo tutti cosa succede dopo ...


3
Penso che tu abbia colpito l'unghia alla testa con la burocrazia, ma ci sono anche altri problemi che ne derivano. Se hai uno sviluppatore intelligente che rileva un problema significativo, è necessario un atto di Dio per ottenere l'approvazione per lavorare su una correzione, farla testare e spostarla in produzione. Tutto ciò che serve è che una persona della burocrazia pensi che il rischio di apportare il cambiamento (ritardi in altri progetti, errori di produzione, ecc.) Superi il rischio di non apportare il cambiamento (chi potrebbe hackerare un'azienda così grande?).
Mayo,

18

Perché ai programmatori non è stato detto di provarlo e la schiacciante cultura aziendale non ha dato loro un margine di manovra sufficiente per far entrare il loro senso di etica professionale e richiedere un altro paio di settimane per testare le vulnerabilità della sicurezza. O insistere sul fatto che siano sicuri fin dall'inizio.

Perché il capo non voleva passare un paio di settimane extra a testare problemi di sicurezza per ... qualunque sia la ragione. Un bonus extra alla fine dell'anno. Presentare Johnson dal prossimo dipartimento. Vantarsi dei diritti. Dovere verso l'azienda. Pigrizia. Diffidenza del consiglio di underling.

Perché il grande capo ha richiesto maggiori profitti e ha promosso Johnson su Bob perché i suoi numeri sembravano migliori invece di chiedere un prodotto migliore. Perché qualità e sicurezza sono valori difficili da visualizzare su un foglio di calcolo. Perché le società esistono per fare soldi.

Cose come questa sono un problema sistematico. Si riduce a "perché sono sciocchi".

Modifica I programmatori possono evitare di essere la capra sacrificale, dopo aver notato una carenza, portare il problema al proprio capo. O farà la cosa giusta e farà un piano per risolverlo, o ti dirà di ignorarlo. Se non lo risolve, rendilo ufficiale, chiedilo via e-mail. In questo caso utilizzare parole chiave correlate al problema, come "vulnerabilità", "iniezione", "violazione della sicurezza". Roba che una ricerca e-mail avrebbe raccolto.

Questo sta passando il dollaro. Ora è responsabilità dei tuoi capi. Se è importante, come se le persone morissero quando questa cosa fallisce, vai oltre la sua testa e porta la questione al suo capo. Puoi essere licenziato semplicemente per aver passato il dollaro, e puoi ancora essere licenziato anche se lo passi, ma è la cosa giusta da fare. Non proprio come risolvere il problema, ma vicino.


3
Il mio voto per te come CEO dell'azienda !!!
Wajih,

3
@Cheshire Non era "buon senso" quando è stato fatto per la prima volta. Le persone non sono intrinsecamente orientate alla sicurezza; devono imparare e ricordare costantemente che ci sono cretini cattivi là fuori che esistono solo per afferrare i tuoi dati.
Michael Todd,

3
@Michael Todd: Ma questo non è più il 1996. Questo è buon senso ora, e non ci sono scuse per questo.
Richard

1
@Cheshire concordato. E lo sviluppo con la sicurezza in mente è molto meglio quindi testarlo in seguito.
Philip

1
@Richard DesLonde: Se fosse buon senso, penso che vedrei meno persone che dicono di farlo bene.
David Thornley,

12

Più grande è la società, più lontani sono i responsabili delle decisioni da qualsiasi responsabilità nella vita reale.

Sapendo come funzionano le aziende, la progettazione del sito è stata probabilmente affidata in outsourcing ad alcune società di consulenza scelte in base al prezzo più basso per sviluppatore. A sua volta, quella società avrebbe assunto un gruppo di persone a caso secondo criteri simili, con una persona media che rimaneva sul progetto per non più di 3 mesi prima di essere ruotata su qualcos'altro.


4
+1 per outsourcing. Non ci avevo pensato. Quando sei in mare aperto, gli sviluppatori sviluppano esattamente ciò che hai specificato, senza fare domande, quindi forse la sicurezza non era nelle specifiche.
Richard

1
@Richard DesLonde: vedo che sei un ottimista.
David Thornley,

@ David Thornley: No, ho appena vissuto. :-)
richard

2
@Richard DesLonde: E tutti i tuoi progetti offshored sono entrati facendo tutto quello che dicevano le specifiche? Non male.
David Thornley,

1
@ David Thornley: LOL Assolutamente no. Non era la parte che stavo sottolineando. Hai decisamente ragione, era un po 'troppo ottimista. :-)
richard

4

Come si commettono errori? Attraverso la pigrizia, la mancanza di conoscenza, la mancanza di competenza, la convenienza, la mancanza di processo, ecc. Come possiamo prevenire gli errori? Attraverso diligenza, esperienza, garanzie, ecc. Questa situazione non è diversa categoricamente dalle migliaia di piccoli errori commessi da ogni programmatore; è solo diverso in scala.

Cosa possiamo imparare da questo? Non tanto.


Penso che sia diverso. La Sony guadagna miliardi di dollari e tuttavia non riescono a ottenere queste cose di base, giusto? C'è qualcosa di gravemente sbagliato in questo. E non è solo Sony. Molte grandi aziende sono state recentemente violate dall'iniezione SQL.
richard,

1
No, non è davvero diverso. Le decisioni vengono prese dalle persone, non dalle aziende.
Rein Henrichs,

@Richard: hanno sempre avuto un pessimo record di sicurezza. Questa è la stessa azienda che ha inventato il rootkit di Sony, ricordi?
Mason Wheeler,

2

Una possibile spiegazione è un elenco di priorità distorto. Molte aziende con cui ho lavorato hanno dato maggiore importanza alla commercializzazione di un prodotto, piuttosto che alla qualità del prodotto / codice che stavano producendo. Questo effetto è raddoppiato perché non solo i programmatori si affrettano al completamento, ma lo è anche il dipartimento QA (se ne ha anche uno). Ho anche notato che questo atteggiamento coincide con il passaggio al prodotto successivo prima che il precedente fosse completato, aggravando ulteriormente il problema.

Un denominatore comune in ciascuna di queste società è stato la gestione non tecnica. Project Manager, IT Manager e Product Manager, praticamente tutti quelli che hanno voce in capitolo su ciò su cui lavora il team di sviluppo, sono tutti non tecnici e non comprendono l'importanza di produrre codice di alta qualità, sicuro. Questo è qualcosa che cerco quando intervisto con le aziende ora. Chi detiene il regno del manicomio, dei detenuti o dei dottori?

Non sarei sorpreso se qualcosa di simile, aggravato dalla profonda burocrazia, stesse contribuendo a fattori di sicurezza di Sony e di altre società.


0

Le persone lavorano in grandi aziende e le persone commettono errori, per ignoranza, pigrizia, cattive procedure, cattiva documentazione, ecc. Le dimensioni dell'azienda influiranno solo sugli errori in quanto possono esserci più fonti di errori o errori.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.