O que fazer quando você encontrar uma falha de segurança no site da sua empresa

13

Encontrei uma grande falha de segurança em um site público da minha empresa. Este é o nosso primeiro site público que foi convertido de um site da intranet. Eu trouxe esse problema para o meu chefe e eles basicamente o ignoraram, dizendo que seria preciso muito trabalho para re-arquitetar o site para torná-lo seguro.

Isso realmente me incomodou e pensei em explorar o buraco para mostrar os efeitos que isso poderia acontecer se um hacker de verdade conseguisse. Provavelmente, essa não é a melhor idéia, pois os efeitos podem me custar meu trabalho, se não algo pior.

Quais são algumas das ações que posso fazer para mostrar a magnitude da situação para a gerência?

Jim
fonte
8
Verifique se você tem tudo por escrito. Incluindo sua menção à brecha na segurança e sua dispensa.
FrustratedWithFormsDesigner

Respostas:

13

A responsabilidade de um gerente é gerenciar riscos.

Quando uma falha de segurança entre scripts foi descoberta no Gmail, isso representava um risco muito crítico que a equipe rapidamente trabalhou para resolver. Como existem milhões de usuários do Gmail, se eu escrevesse um aplicativo da Web que explorasse essa falha, haveria uma boa chance de os usuários do meu aplicativo da Web estarem usando o Gmail e abri-lo em outra guia. Assim, como phisher, pode valer a pena construir um aplicativo para obter acesso aos dados do usuário.

A pergunta que seu gerente pode estar se perguntando é: Qual é o risco dessa brecha na segurança? Qual é a probabilidade de que exista um aplicativo da Web direcionado a essa falha de segurança específica nesse site? Qual o risco de os funcionários que estão visitando nosso site também usarem esse site de terceiros?

Na minha experiência, se o seu site não está recebendo muito tráfego, não há muito risco.

Seu chefe pode estar pensando que o custo de oportunidade de não consertar essa falha de segurança específica, que pode ou não ser um problema, é que ele ou ela pode concentrar os recursos em atividades que ajudarão a expandir os negócios e gerar receita.

Dito isso, houve um problema muito semelhante ao do Github em que foi hackeado e há uma pergunta no Project Management SE que aborda esse tópico da perspectiva do gerenciamento de projetos. O usuário que invadiu o Github estava em uma situação semelhante à sua e seus privilégios no Github foram suspensos por um período de tempo.

Minha pergunta para você é esta: O que acontece com sua empresa se o site for desativado? Qual é a probabilidade de você ver essa brecha de segurança explorada?

Se você optar por prosseguir com isso, precisará obter objetivamente evidências de que essa é uma ameaça iminente e muito real à viabilidade dos negócios.

Aqui estão algumas sugestões para obter evidências de que este é um problema real:

  • Realize pesquisas no Google procurando artigos de notícias, blogs ou outras experiências de empresas que enfrentaram grandes problemas como resultado de uma falha de segurança relacionada relacionada. Demonstre que esse é realmente um risco que vale a pena abordar, em vez de outras oportunidades de negócios.

  • Discuta com outro pessoal técnico da equipe e obtenha suas idéias. Se o problema for realmente grave, você poderá encontrar outras pessoas que possam fazer o backup também. Caso contrário, suas preocupações não são garantidas ou você tem grandes problemas de segurança na cultura da sua empresa.

  • Discuta outras opções com seu departamento de TI para corrigir as falhas que envolvem soluções de correção mais rápida que - embora não sejam ideais - podem atenuar o risco e proporcionar tranqüilidade sem quebrar o cofrinho corporativo. Às vezes, uma pequena quantidade de trabalho pode ajudar a eliminar alguns dos riscos, se não todos.

Se os pontos acima não funcionarem, considere deixar isso para lá e saiba que esses problemas serão uma parte normal do gerenciamento de riscos de negócios.

jmort253
fonte
2
Eu sinto que esta resposta não cobre o suficiente do tópico. A natureza da brecha na segurança não foi mencionada no OP; pelo que sabemos, isso poderia permitir que invasores recuperassem informações de cartão de crédito de seus bancos de dados, o que pode ser desastroso, sem mencionar que poderia ter implicações legais se ignorada.
Daenyth
+1: no final do dia a) trata-se de custos versus benefícios e as pessoas com direitos de decisão tomam as decisões eb) a natureza da brecha na segurança não foi mencionada, mas aposto que a gerência sabe muito mais sobre isso do que qualquer um de nós neste fórum. Então, sim, OP trouxe a questão e agora estamos de volta a "responsabilidade do gerente é administrar o risco"
DXM
@ Daenyth - Você está absolutamente certo. Obrigado! Eu adicionei algumas sugestões como pontos para resolver o problema, caso a operação decida prosseguir. Afinal, realmente pode ser um problema grave e incapacitante que pode não apenas afetar a empresa, mas também a segurança de milhões de usuários.
Jmort253 # 9/12
@ jmort253: Atualização é muito melhor - +1 de mim!
Daenyth
1
Jim, não sei qual é a sua experiência ou quantos outros trabalhos de desenvolvedor já teve, mas acho que você encontrará isso quando for a outros lugares. O objetivo de qualquer empresa é obter lucro, e acho que, às vezes, desenvolvedores que são divorciados do lado operacional e financeiro da empresa esquecem que a finalidade de uma empresa é obter lucro. Além disso, considere o seguinte: Sua área não é a única área em que existem riscos. Talvez seu gerente veja um risco ainda maior de não se concentrar na criação da equipe de vendas ou na liberação de um produto ou plano de marketing que considere muito tempo.
Jmort253
10

Se você tiver patrimônio, pressione para agendar uma reunião semanal ou mensal para analisar as preocupações de segurança e isso pode ser apenas um item dessa agenda. Mover o foco da questão específica para a área geral geralmente é uma técnica eficaz.

Se você não tem patrimônio, siga em frente.
Você levantou o problema para a gerência e eles foram aprovados. Você pode tentar novamente se for importante para você. E novamente, se é realmente importante. Se é realmente realmente muito importante, arrume outro emprego e diga por que os empregadores em potencial. Os que mais valorizam a ética provavelmente a apreciarão.

Lembre-se também de que, se você levantou a questão e recebeu um não, agora está mudando a mente das pessoas, o que é muito difícil. Eu seguiria o caminho de fazê-los concordar com você e dar-lhe sim. por exemplo, "nós dois queremos que a empresa tenha sucesso". Sim. "Eu sei que nós dois nos importamos com segurança". Sim. "Sabemos que temos um orçamento muito limitado para tratar desses itens". Sim. Obtenha algumas delas e comece a seguir um cronograma para fazer as correções de segurança.

Outra abordagem 'mais suave' é concordar que você não tem tempo / recursos para fazer isso agora. Mas você pode pressionar por um acordo em uma data em que ele será tratado. Pode ocorrer em uma semana, mês ou 6 meses. Normalmente o tempo voa e você está lá.

Michael Durrant
fonte
Eu me certificaria de colocar meu aviso por escrito e manter uma cópia, mas se você tiver informado as pessoas corretas, fará a coisa certa. O que eles escolhem fazer com isso, bem, esse é o problema deles.
Zachary K