Como uma grande empresa comete erros de novato que deixam falhas na segurança? [fechadas]

15

A Sony foi recentemente hackeada com uma injeção de SQL e as senhas dos usuários foram armazenadas em texto simples. Estes são erros novatos. Em uma empresa tão grande, como isso passa no controle de qualidade? Como eles não têm equipes melhores do que saber melhor que isso?

O tamanho da empresa que foi invadida torna isso diferente. Isso afeta a todos nós, porque todos nós podemos um dia nos encontrar em uma equipe que é responsável por algo assim, e então pegamos o machado. Então, quais são os fatores que levam a isso e como os impedimos?

security qa mistakes Richard
fonte
Esta pergunta não convidou respostas construtivas baseadas em fatos e referências: é uma lista de várias especulações sobre como a Sony é uma porcaria. Consulte a barra lateral da pergunta relacionada para obter várias perguntas sobre as etapas para lidar com injeções de SQL, controle de qualidade e segurança. (Desculpas para limpar a contagem votação apertada: houve 3 "não construtivas" votos Fechar quando eu acidentalmente fechou-a pelo motivo errado)
Comentaristas : os comentários destinam-se a esclarecer, não a discussões prolongadas. Se você quiser discutir esta questão com outras pessoas, use o bate-papo . Veja o FAQ para mais informações.
4
@ Mark Odd, obteve algumas respostas extremamente construtivas, que provavelmente estão muito próximas da marca. Dito isto, uma pergunta melhor seria: “por que não há legislação em vigor para punir tal comportamento imprudente em uma grande corporação como?”
Konrad Rudolph
3
É bastante estranho que essa questão tenha sido encerrada novamente. Draconiano. Novamente.
Richard

Respostas:

24

A primeira coisa que vem à mente é, porque eles são grandes o suficiente para cultivar algumas camadas de burocracia. Isso significa, entre outras coisas, que você não tem mais codificadores realmente inteligentes encarregados do processo de contratação, o que significa que eles perdem a capacidade de eliminar potenciais programadores e pessoas de controle de qualidade que são incompetentes. O que leva à codificação incorreta e à produção do código, e todos sabemos o que acontece a seguir ...

Mason Wheeler
fonte
3
Eu acho que você acertou na cabeça com burocracia, mas também existem outros problemas. Se você tem um desenvolvedor inteligente que identifica um problema significativo, é necessário um ato de Deus para obter aprovação para trabalhar em uma correção, testá-la e movê-la para a produção. Basta que uma pessoa na burocracia pense que o risco de fazer a mudança (atrasos em outros projetos, erros de produção etc.) supera o risco de não fazer a mudança (quem poderia invadir uma empresa tão grande?).
Mayo
18

Como os programadores não foram instruídos a testar isso e a esmagadora cultura corporativa não lhes deu margem de manobra suficiente para que seu senso de ética profissional se manifestasse e exigisse mais algumas semanas para testar vulnerabilidades de segurança. Ou insistir para que estejam seguros desde o início.

Porque o chefe não queria passar algumas semanas extras testando problemas de segurança por ... por qualquer motivo. Um bônus extra no final do ano. Aparecendo Johnson do próximo departamento. Direito de se gabar. Dever para com a empresa. Preguiça. Desconfie dos conselhos de underling.

Porque o grande chefe exigiu mais lucro e promoveu Johnson sobre Bob, porque seus números pareciam melhores, em vez de exigir um produto melhor. Porque qualidade e segurança são valores difíceis de serem exibidos em uma planilha. Porque existem empresas para ganhar dinheiro.

Coisas como esta são um problema sistemático. Tudo se resume a "porque eles são tolos".

Editores Os programadores podem evitar ser a cabra sacrificial, ao perceber uma deficiência, apresentar o problema ao seu chefe. Ele fará a coisa certa e fará um plano para consertá-la ou pedir para que você a ignore. Se ele não consertar, oficialize, pergunte por e-mail. Use palavras-chave pertinentes ao problema, como "vulnerabilidade", "injeção", "violação de segurança" neste caso. Coisas que uma pesquisa por e-mail captaria.

Isso está passando a bola. Agora é responsabilidade do seu chefe. Se é importante, como se as pessoas morressem quando isso falhar, repassasse a cabeça dele e levasse a questão ao seu chefe. Você pode ser demitido por simplesmente passar a bola e ainda pode ser demitido, mesmo que o repasse, mas é a coisa certa a fazer. Não é tão certo quanto consertar o problema, mas perto.

Philip
fonte
3
Meu voto para você como CEO da empresa !!!
Wajih
3
@Cheshire Não era "senso comum" quando foi feito. As pessoas não são inerentemente preocupadas com a segurança; eles precisam aprender e ser constantemente lembrados de que existem idiotas por aí que existem apenas para capturar seus dados.
Michael Todd
3
@ Michael Todd: Mas isso não é mais 1996. Isso é senso comum agora, e não há desculpa para isso.
Richard
1
@Cheshire concordou. E desenvolver com a segurança em mente é muito melhor do que testá-la posteriormente.
Philip
1
@ Richard DesLonde: Se fosse senso comum, acho que estaria vendo menos pessoas dizendo para fazer o certo.
precisa
12

Quanto maior a corporação, mais distantes os tomadores de decisão são de qualquer responsabilidade da vida real.

Sabendo como as empresas funcionam, o design do site provavelmente foi terceirizado para alguma empresa de consultoria escolhida com base no menor preço por desenvolvedor. Essa empresa, por sua vez, contrataria várias pessoas aleatórias com critérios semelhantes, com pessoas comuns permanecendo no projeto por não mais de três meses antes de serem transferidas para outra coisa.

vartec
fonte
4
+1 para terceirizados. Eu não tinha pensado nisso. Quando você viaja para o exterior, os desenvolvedores desenvolvem exatamente o que você especifica, sem perguntas, por isso talvez a segurança não estivesse na especificação.
Richard
1
@ Richard DesLonde: Vejo que você é otimista.
precisa
@ David Thornley: Não, apenas experiente. :-)
richard
2
@ Richard DesLonde: E todos os seus projetos externos vieram fazendo tudo o que as especificações diziam? Não é ruim.
David Thornley
1
@ David Thornley: LOL Absolutamente não. Essa não era a parte que eu estava enfatizando. Você está definitivamente certo, isso foi um pouco otimista demais. :-)
richard
4

Como alguém comete erros? Por preguiça, falta de conhecimento, falta de conhecimento, conveniência, falta de processo, etc. Como podemos evitar erros? Através de diligência, experiência, salvaguardas, etc. Essa situação não é diferente categoricamente dos milhares de pequenos erros cometidos por todo programador; é apenas diferente em escala.

O que podemos aprender com isso? Não muito.

Rein Henrichs
fonte
Eu acho que é diferente. A Sony ganha bilhões de dólares e, no entanto, não consegue acertar essas coisas básicas? Há algo seriamente errado nisso. E não é apenas a Sony. Muitas grandes empresas foram invadidas por injeção de SQL recentemente.
Richard
1
Não, não é realmente diferente. As decisões são tomadas por pessoas, não por empresas.
Rein Henrichs
@ Richard: Eles sempre tiveram um histórico ruim de segurança. Esta é a mesma empresa que inventou o rootkit da Sony, lembra?
Mason Wheeler
2

Uma explicação possível é uma lista de prioridades inclinada. Muitas empresas com as quais trabalhei deram mais importância ao lançamento de um produto no mercado do que à qualidade do produto / código que estavam produzindo. Esse efeito é dobrado, porque não apenas os programadores estão prontos para a conclusão, mas também o departamento de controle de qualidade (se é que eles têm um). Também notei que essa atitude coincide com a introdução do próximo produto antes da conclusão do anterior, agravando ainda mais o problema.

Um denominador comum em cada uma dessas empresas é o gerenciamento não técnico. Os gerentes de projeto, gerentes de TI e gerentes de produto, basicamente todos com uma opinião sobre o trabalho da equipe de desenvolvimento, são todos não técnicos e não entendem a importância de produzir código seguro e de alta qualidade. Isso é algo que procuro quando entrevisto empresas agora. Quem detém os reinados no asilo, nos reclusos ou nos médicos?

Eu não ficaria surpreso se algo semelhante, agravado por uma profunda burocracia, contribuísse com fatores para a Sony e outras questões de segurança da empresa.

Jack M.
fonte
0

As pessoas trabalham em grandes empresas, e as pessoas cometem erros, por ignorância, preguiça, maus procedimentos, documentação ruim etc. O tamanho da empresa afeta apenas os erros, pois pode haver mais fontes de erros ou erros.

Marcelo
fonte