Làm thế nào để một công ty lớn mắc lỗi tân binh để lại lỗ hổng bảo mật? [đóng cửa]

15

Vì hiện tại, câu hỏi này không phù hợp với định dạng Hỏi & Đáp của chúng tôi. Chúng tôi hy vọng câu trả lời sẽ được hỗ trợ bởi các sự kiện, tài liệu tham khảo hoặc chuyên môn, nhưng câu hỏi này có thể sẽ thu hút tranh luận, tranh luận, bỏ phiếu hoặc thảo luận mở rộng. Nếu bạn cảm thấy rằng câu hỏi này có thể được cải thiện và có thể mở lại, hãy truy cập trung tâm trợ giúp để được hướng dẫn.

Đóng cửa 8 năm trước .

Sony gần đây đã bị hack bằng cách tiêm SQL và mật khẩu của người dùng của họ được lưu trữ dưới dạng văn bản thuần túy. Đây là những sai lầm của tân binh. Trong một công ty lớn như vậy, làm thế nào để vượt qua QA? Làm thế nào để họ không có đội tốt hơn để biết tốt hơn thế này?

Quy mô tuyệt vời của công ty đã bị hack làm cho điều này trở nên khác biệt. Nó ảnh hưởng đến tất cả chúng ta bởi vì tất cả chúng ta một ngày nào đó có thể thấy mình trong một nhóm chịu trách nhiệm cho một cái gì đó như thế này, và sau đó chúng ta có được chiếc rìu. Vậy đâu là những yếu tố dẫn đến điều này, và làm thế nào để chúng ta ngăn chặn chúng?

security qa mistakes

— nhà giàu
nguồn

Câu hỏi này đã không mời các câu trả lời mang tính xây dựng dựa trên các sự kiện và tài liệu tham khảo: đó là một danh sách các suy đoán khác nhau về mức độ tồi tệ của một công ty Sony. Xem thanh bên câu hỏi liên quan để biết một số câu hỏi về các bước để đối phó với việc tiêm SQL, QA và bảo mật. (Xin lỗi vì đã xóa số phiếu gần: có 3 phiếu đóng "không mang tính xây dựng" khi tôi vô tình đóng nó vì lý do sai)

Bình luận viên : ý kiến có nghĩa là để tìm kiếm làm rõ, không phải để thảo luận mở rộng. Nếu bạn muốn thảo luận câu hỏi này với người khác, vui lòng sử dụng trò chuyện . Xem FAQ để biết thêm thông tin.

4

@Mark Odd, nó đã thu được một số câu trả lời mang tính xây dựng, có lẽ rất gần với nhãn hiệu này. Điều đó nói rằng, một câu hỏi tốt hơn sẽ là, “tại sao lại không có pháp luật tại chỗ để trừng phạt một hành vi liều lĩnh như vậy trong một tập đoàn lớn như vậy?”

— Konrad Rudolph

3

Thật kỳ lạ khi câu hỏi này lại bị đóng lại. Draconia. Lần nữa.

— Richard

24

Điều đầu tiên xuất hiện trong đầu là bởi vì chúng đủ lớn để phát triển một vài tầng lớp quan liêu. Điều này có nghĩa, trong số những điều khác, bạn không còn có những lập trình viên thực sự thông minh phụ trách quá trình tuyển dụng, điều đó có nghĩa là họ mất khả năng loại trừ các lập trình viên tiềm năng và những người QA không đủ năng lực. Điều này dẫn đến mã xấu được viết và đưa nó vào sản xuất, và tất cả chúng ta đều biết điều gì xảy ra tiếp theo ...

— Bánh xe Mason
nguồn

3

Tôi nghĩ rằng bạn đánh vào đầu với sự quan liêu, nhưng cũng có những vấn đề khác xuất phát từ nó. Nếu bạn có một nhà phát triển thông minh phát hiện ra một vấn đề quan trọng, cần có một hành động của Chúa để được chấp thuận để khắc phục, thử nghiệm và chuyển nó sang sản xuất. Tất cả chỉ cần một người trong bộ máy quan liêu nghĩ rằng rủi ro tạo ra sự thay đổi (sự chậm trễ trong các dự án khác, lỗi sản xuất, v.v.) lớn hơn nguy cơ không thực hiện thay đổi (ai có thể hack một công ty lớn như vậy?).

— Mayo

18

Bởi vì các lập trình viên không được yêu cầu kiểm tra điều đó và văn hóa doanh nghiệp nghiền nát đã không cho họ đủ thời gian để có ý thức về đạo đức nghề nghiệp và yêu cầu một vài tuần nữa để kiểm tra các lỗ hổng bảo mật. Hoặc để nhấn mạnh rằng họ được an toàn ngay từ đầu.

Bởi vì ông chủ không muốn mất thêm vài tuần để thử nghiệm các vấn đề bảo mật vì ... bất cứ lý do gì. Một phần thưởng thêm vào cuối năm. Hiển thị Johnson từ bộ phận tiếp theo. Quyền khoe khoang. Bổn phận cho công ty. Lười biếng. Không tin tưởng vào lời khuyên của thuộc hạ.

Bởi vì ông chủ lớn đòi hỏi nhiều lợi nhuận hơn và thúc đẩy Johnson hơn Bob vì những con số của ông trông tốt hơn so với yêu cầu một sản phẩm tốt hơn. Bởi vì chất lượng và bảo mật là những giá trị khó hiển thị trên bảng tính. Bởi vì các tập đoàn tồn tại để kiếm tiền.

Những thứ như thế này là một vấn đề có hệ thống. Nó sôi sùng sục xuống "bởi vì họ là những kẻ ngốc".

Chỉnh sửa Lập trình viên có thể tránh làm con dê hy sinh bằng cách, khi nhận thấy sự thiếu hụt, đưa ra vấn đề cho ông chủ của họ. Anh ta sẽ làm điều đúng đắn và lên kế hoạch sửa chữa nó, hoặc bảo bạn bỏ qua nó. Nếu anh ta không sửa nó, hãy làm cho nó chính thức, hỏi về nó trong e-mail. Sử dụng các từ khóa liên quan đến vấn đề, như "lỗ hổng", "tiêm", "vi phạm bảo mật" trong trường hợp này. Thứ mà một tìm kiếm email sẽ nhận.

Đây là vượt qua buck. Bây giờ là trách nhiệm của ông chủ của bạn. Nếu nó quan trọng, giống như mọi người sẽ chết khi điều này thất bại, hãy qua đầu anh ta và đưa vấn đề cho ông chủ của anh ta. Bạn có thể bị đuổi việc chỉ vì vượt qua vòng lao lý, và bạn vẫn có thể bị đuổi việc ngay cả khi bạn vượt qua nó, nhưng đó là điều đúng đắn. Không hoàn toàn đúng như thực sự khắc phục vấn đề, nhưng đóng.

— Philip
nguồn

3

Phiếu bầu của tôi cho bạn là Giám đốc điều hành của công ty !!!

— Wajih

3

@Cheshire Đó không phải là "lẽ thường" khi nó được thực hiện lần đầu tiên. Mọi người vốn không phải là người có đầu óc bảo mật; họ phải học hỏi và liên tục được nhắc nhở rằng có những kẻ xấu xa ngoài kia chỉ tồn tại để lấy dữ liệu của bạn.

— Michael Todd

3

@Michael Todd: Nhưng đây không phải là năm 1996 nữa. Điều này là thông thường bây giờ, và không có lý do cho nó.

— Richard

1

@Cheshire Đồng ý. Và phát triển với sự an toàn trong tâm trí là tốt hơn rất nhiều sau đó thử nghiệm cho nó sau đó.

— Philip

1

@Richard DesLonde: Nếu đó là lẽ thường, tôi nghĩ tôi sẽ thấy ít người nói làm điều đó đúng.

— David Thornley

12

Tập đoàn càng lớn, càng xa các nhà ra quyết định từ bất kỳ trách nhiệm thực tế nào.

Biết cách các công ty làm việc, thiết kế trang web có thể được gia công cho một số công ty tư vấn được lựa chọn dựa trên giá thấp nhất cho mỗi nhà phát triển. Công ty đó sẽ lần lượt thuê một nhóm người ngẫu nhiên theo các tiêu chí tương tự, với một người trung bình ở lại dự án không quá 3 tháng trước khi được chuyển sang một thứ khác.

— vartec
nguồn

4

+1 cho thuê ngoài. Tôi đã không nghĩ về điều đó. Khi bạn ra nước ngoài, các nhà phát triển phát triển chính xác những gì bạn nêu ra, không có câu hỏi nào, vì vậy có lẽ bảo mật không nằm trong thông số kỹ thuật.

— Richard

1

@Richard DesLonde: Tôi thấy bạn là một người lạc quan.

— David Thornley

@David Thornley: Không, chỉ cần có kinh nghiệm. :-)

— richard

2

@Richard DesLonde: Và tất cả các dự án thiếu sót của bạn đã làm mọi thứ mà thông số kỹ thuật nói? Không tệ.

— David Thornley

1

@David Thornley: LOL Hoàn toàn không. Đó không phải là phần tôi đang nhấn mạnh. Bạn chắc chắn đúng, đó là một chút quá lạc quan. :-)

— richard

4

Làm thế nào để ai mắc lỗi? Thông qua sự lười biếng, thiếu kiến thức, thiếu chuyên môn, kinh nghiệm, thiếu quy trình, v.v ... Làm thế nào để chúng ta ngăn ngừa sai lầm? Thông qua sự siêng năng, kinh nghiệm, biện pháp bảo vệ, v.v ... Tình huống này không khác biệt gì so với hàng ngàn lỗi nhỏ do mọi lập trình viên mắc phải; nó chỉ khác nhau về quy mô.

Những gì chúng ta có thể học hỏi từ này? Không nhiều.

— Hen Hen
nguồn

Tôi nghĩ nó khác Sony kiếm được hàng tỷ đô la nhưng họ không thể có được những điều cơ bản này phải không? Có điều gì đó sai nghiêm trọng với điều đó. Và đó không chỉ là Sony. Gần đây, nhiều công ty lớn đã bị hack bởi SQL tiêm.

— Richard

1

Không, nó thực sự không khác biệt. Quyết định được thực hiện bởi mọi người, không phải bởi các công ty.

— Rein Henrichs

@Richard: Họ luôn có một hồ sơ bảo mật tồi. Đây là cùng một công ty đã phát minh ra rootkit Sony, nhớ không?

— Mason Wheeler

2

Một lời giải thích có thể là một danh sách ưu tiên sai lệch. Nhiều công ty mà tôi đã làm việc đã đặt tầm quan trọng hơn trong việc đưa sản phẩm ra thị trường, thay vì chất lượng của sản phẩm / mã mà họ đang sản xuất. Hiệu ứng này được nhân đôi vì không chỉ các lập trình viên vội vàng hoàn thành, mà bộ phận QA cũng vậy (nếu họ thậm chí còn có một). Tôi cũng nhận thấy rằng thái độ này trùng hợp với việc đẩy mạnh sản phẩm tiếp theo trước khi hoàn thành trước đó, gây ra vấn đề thậm chí xa hơn.

Một mẫu số chung trong mỗi công ty này là quản lý phi kỹ thuật. Người quản lý dự án, Người quản lý CNTT và Người quản lý sản phẩm, về cơ bản mọi người đều nói về những gì nhóm phát triển làm việc, đều phi kỹ thuật và không hiểu tầm quan trọng của việc sản xuất mã chất lượng cao, an toàn, bảo mật. Đây là điều mà tôi tìm kiếm khi tôi phỏng vấn với các công ty bây giờ. Ai giữ triều đại tị nạn, tù nhân hay bác sĩ?

Tôi sẽ không ngạc nhiên nếu một cái gì đó tương tự, được kết hợp bởi sự quan liêu sâu sắc, là yếu tố góp phần trong các vấn đề bảo mật của Sony và các công ty khác.

— Jack M
nguồn

0

Mọi người làm việc trong các công ty lớn, và mọi người sẽ phạm sai lầm, vì sự thiếu hiểu biết, lười biếng, thủ tục xấu, tài liệu xấu, v.v. Quy mô của công ty sẽ chỉ ảnh hưởng đến những sai lầm trong đó có thể có nhiều nguồn sai sót hoặc sai lầm hơn.

— Marcelo
nguồn