एक बड़ी कंपनी धोखेबाज़ गलतियों को कैसे करती है जो सुरक्षा छेद छोड़ देती है? [बन्द है]


15

सोनी को हाल ही में एक SQL इंजेक्शन के साथ हैक किया गया था और उनके उपयोगकर्ता के पासवर्ड को सादे पाठ में संग्रहीत किया गया था। ये धोखेबाज़ गलतियाँ हैं। इतनी बड़ी कंपनी में, यह QA कैसे पास करता है? इससे बेहतर जानने के लिए उनके पास बेहतर टीम कैसे नहीं है?

जिस कंपनी को हैक किया गया था, उसका विशाल आकार इसे अलग बनाता है। यह हम सभी को प्रभावित करता है क्योंकि हम सभी एक दिन खुद को एक ऐसी टीम के लिए खोज सकते हैं जो इस तरह से कुछ के लिए जिम्मेदार है, और फिर हमें कुल्हाड़ी मिलती है। तो ऐसे कौन से कारक हैं जो इसे आगे बढ़ाते हैं, और हम उन्हें कैसे रोकते हैं?


इस सवाल ने तथ्यों और संदर्भों के आधार पर रचनात्मक उत्तरों को आमंत्रित नहीं किया है: यह सोनी के लिए कितना भद्दा है, इस बारे में विभिन्न अटकलों की एक सूची है। SQL इंजेक्शन, QA और सुरक्षा से निपटने के चरणों के बारे में कई प्रश्नों के लिए संबंधित प्रश्न साइडबार देखें। (क्लोज वोट काउंट क्लियर करने के लिए माफ़ी: जब गलती से मैंने इसे गलत कारण से बंद कर दिया तो 3 "

टिप्पणीकार: टिप्पणियाँ स्पष्टीकरण मांगने के लिए होती हैं, न कि विस्तारित चर्चा के लिए। यदि आप इस प्रश्न पर दूसरों से चर्चा करना चाहते हैं, तो कृपया चैट का उपयोग करें । अधिक जानकारी के लिए FAQ देखें ।

4
@ मर्क ऑड, इसने कुछ बेतहाशा रचनात्मक उत्तर दिए हैं, जो संभवतः निशान के बहुत करीब हैं। उस ने कहा, "एक बड़ा निगम में इस तरह के लापरवाह व्यवहार को दंडित करने के लिए कोई कानून क्यों नहीं है?"
कोनराड रूडोल्फ

3
बल्कि यह अजीब है कि यह सवाल फिर से बंद हो गया। कठोर। फिर।
रिचर्ड

जवाबों:


24

पहली बात जो दिमाग में आती है, क्योंकि वे नौकरशाही की कुछ परतों को विकसित करने के लिए पर्याप्त हैं। इसका मतलब है, अन्य बातों के अलावा, कि आपके पास काम पर रखने की प्रक्रिया के प्रभारी के पास वास्तव में स्मार्ट कोडर्स नहीं हैं, जिसका अर्थ है कि वे संभावित प्रोग्रामर और क्यूए लोगों से बाहर निकलने की क्षमता खो देते हैं जो अक्षम हैं। जिसके कारण खराब कोड लिखा जा रहा है और इसे उत्पादन में बदल रहा है, और हम सभी जानते हैं कि आगे क्या होता है ...


3
मुझे लगता है कि आपने नौकरशाही के साथ सिर पर कील ठोक दी, लेकिन इससे उपजी अन्य समस्याएं भी हैं। यदि आपके पास एक स्मार्ट डेवलपर है, जो एक महत्वपूर्ण समस्या को हल करता है, तो यह तय करने के लिए अनुमोदन प्राप्त करने, परीक्षण करने और उत्पादन के लिए स्थानांतरित करने के लिए भगवान का एक कार्य करता है। नौकरशाही में एक व्यक्ति को लगता है कि परिवर्तन करने का जोखिम (अन्य परियोजनाओं, उत्पादन त्रुटियों, आदि में देरी) को बदलने का जोखिम नहीं है (जो इस कंपनी को बड़ी हैक कर सकता है?)।
मेयो

18

क्योंकि प्रोग्रामर को इसके लिए परीक्षण करने के लिए नहीं कहा गया था और कुचल कॉर्पोरेट संस्कृति ने उन्हें व्यावसायिक नैतिकता की अपनी भावना रखने और सुरक्षा कमजोरियों का परीक्षण करने के लिए कुछ हफ़्ते की मांग करने के लिए पर्याप्त लेवे नहीं दिया था। या जोर देकर कहें कि वे शुरू से ही सुरक्षित हैं।

क्योंकि बॉस सुरक्षा मुद्दों के लिए अतिरिक्त सप्ताह परीक्षण के एक जोड़े खर्च नहीं करना चाहता था ... जो भी कारण। वर्ष के अंत में एक अतिरिक्त बोनस। अगले विभाग से जॉनसन को दिखा रहा है। डींग मारने का अधिकार। कंपनी की ड्यूटी। आलस्य। अंडरलिंग की सलाह का भाग्य।

क्योंकि बिग बॉस ने अधिक लाभ की मांग की और जॉन को बॉब के ऊपर पदोन्नत किया क्योंकि उनकी संख्या बेहतर उत्पाद की मांग के विपरीत बेहतर थी। क्योंकि स्प्रेडशीट पर प्रदर्शित करने के लिए गुणवत्ता और सुरक्षा मुश्किल मूल्य हैं। क्योंकि पैसा बनाने के लिए निगम मौजूद हैं।

इस तरह की चीजें एक व्यवस्थित समस्या है। यह "क्योंकि वे मूर्ख हैं" उबलते हैं।

प्रोग्रामर को संपादित करें , कमी को ध्यान में रखते हुए, बकरी को बलि देने से बच सकते हैं, इस मुद्दे को उनके मालिक तक पहुंचा सकते हैं। वह या तो सही काम करेगा और इसे ठीक करने के लिए एक योजना बनाएगा, या आपको इसे अनदेखा करने के लिए कहेगा। यदि वह इसे ठीक नहीं करता है, तो इसे आधिकारिक करें, इसके बारे में ई-मेल में पूछें। समस्या के लिए प्रासंगिक कीवर्ड का उपयोग करें, जैसे "भेद्यता", "इंजेक्शन", "सुरक्षा भंग"। सामान है कि एक ईमेल खोज ले जाएगा।

यह हिरन गुजर रहा है। अब यह आपके मालिकों की जिम्मेदारी है। यदि यह महत्वपूर्ण है, जैसे कि यह बात विफल होने पर लोग मरने जा रहे हैं, तो उसके सिर पर जाएं और इस मुद्दे को अपने मालिक तक पहुंचाएं। आप केवल हिरन को पारित करने के लिए निकाल दिए जा सकते हैं, और आप इसे पास करने पर भी निकाल सकते हैं, लेकिन यह सही काम है। वास्तव में समस्या को ठीक करने के रूप में बिल्कुल सही नहीं है, लेकिन करीब।


3
कंपनी के सीईओ के रूप में आपके लिए मेरा वोट !!!
वजीह

3
जब यह पहली बार किया गया था तो @ शायर यह "सामान्य ज्ञान" नहीं था। लोग स्वाभाविक रूप से सुरक्षा-दिमाग वाले नहीं हैं; उन्हें सीखना होगा और लगातार याद दिलाना होगा कि वहाँ बुराई झटके हैं जो केवल आपके डेटा को हथियाने के लिए मौजूद हैं।
माइकल टॉड

3
@ मिचेल टॉड: लेकिन यह 1996 नहीं है। यह है सामान्य ज्ञान अब, और इसके लिए कोई बहाना नहीं है।
रिचर्ड

1
@ शायर एग्री। और सुरक्षा को ध्यान में रखते हुए विकसित करना काफी हद तक बेहतर होता है और उसके बाद परीक्षण करना।
फिलिप

1
@ रीचर्ड डेसॉन्डे: यदि यह सामान्य ज्ञान था, तो मुझे लगता है कि मैं कम लोगों को इसे सही करने के लिए कह रहा हूं।
डेविड थॉर्नले

12

बड़े निगम, निर्णय निर्माताओं को दूर किसी भी वास्तविक जीवन की जिम्मेदारी से हैं।

यह जानने के बाद कि निगम कैसे काम करते हैं, साइट का डिज़ाइन संभवतः प्रति डेवलपर सबसे कम कीमत के आधार पर चुनी गई कुछ परामर्श कंपनी को आउटसोर्स किया गया था। वह कंपनी बदले में यादृच्छिक लोगों के झुंड को समान मानदंड पर रखती है, जिसमें औसत व्यक्ति किसी और चीज के लिए घुमाए जाने से पहले 3 महीने से अधिक समय तक परियोजना पर नहीं रहता है।


4
आउटसोर्स के लिए +1। मैंने ऐसा नहीं सोचा था। जब आप अपतटीय करते हैं, तो डेवलपर्स बिल्कुल वही विकसित करते हैं जो आप कल्पना करते हैं, कोई प्रश्न नहीं पूछा जाता है, इसलिए शायद सुरक्षा कल्पना में नहीं थी।
ऋचा

1
@ रिचर्ड डेलांडे: मैं देख रहा हूँ कि आप एक आशावादी व्यक्ति हैं।
डेविड थॉर्नले

@ डेविड थॉर्नले: नहीं, बस अनुभवी। :-)
रीचर्ड

2
@ रीचर्ड डेसॉन्डे: और आपके सभी ऑफशोर प्रोजेक्ट्स में वह सबकुछ है जो कल्पना ने कहा था? बुरा नहीं।
डेविड थॉर्नले

1
@ डेविड थॉर्नले: बिल्कुल नहीं। यह वह हिस्सा नहीं था जिस पर मैं जोर दे रहा था। आप निश्चित रूप से सही हैं, यह थोड़ा बहुत आशावादी था। :-)
रिचार्ड

4

कोई कैसे गलतियाँ करता है? आलस्य के माध्यम से, ज्ञान की कमी, विशेषज्ञता की कमी, शीघ्रता, प्रक्रिया की कमी आदि हम गलतियों को कैसे रोक सकते हैं? परिश्रम, अनुभव, सुरक्षा उपायों आदि के माध्यम से, यह स्थिति हर प्रोग्रामर द्वारा की गई हजारों छोटी गलतियों से अलग नहीं है। यह केवल पैमाने में अलग है।

क्या हम इससे सीख सकते हैं? बहुत ज्यादा नहीं।


मुझे लगता है कि यह अलग है। सोनी अरबों डॉलर बनाती है और फिर भी उन्हें ये बुनियादी चीजें सही नहीं मिल सकती हैं? वहाँ कुछ गंभीर रूप से गलत है। और यह सिर्फ सोनी का नहीं है। कई बड़ी कंपनियों को हाल ही में SQL इंजेक्शन द्वारा हैक किया गया है।
रिछार्ड

1
नहीं, यह वास्तव में अलग नहीं है। निर्णय लोगों द्वारा किए जाते हैं, कंपनियों द्वारा नहीं।
रीन हेनरिच्स

@ रिचर्ड: उन्होंने हमेशा एक खराब सुरक्षा रिकॉर्ड बनाया है। यह वही कंपनी है जिसने सोनी रूटकिट का आविष्कार किया था, याद है?
मेसन व्हीलर

2

एक संभावित स्पष्टीकरण एक तिरछी प्राथमिकता सूची है। मैंने जिन कंपनियों के साथ काम किया है, कई कंपनियों ने अपने उत्पाद / कोड की गुणवत्ता के बजाय बाजार में उत्पाद प्राप्त करने पर अधिक महत्व दिया है। यह प्रभाव दोगुना हो जाता है क्योंकि न केवल प्रोग्रामर को पूरा करने के लिए रवाना किया जाता है, बल्कि क्यूए विभाग (यदि उनके पास एक भी है) है। मैंने यह भी देखा है कि यह रवैया अगले उत्पाद को आगे बढ़ने से पहले धकेलने के साथ मेल खाता है, समस्या को और भी दूर करते हुए।

इन कंपनियों में से प्रत्येक में एक आम भाजक गैर-तकनीकी प्रबंधन है। परियोजना प्रबंधक, आईटी प्रबंधक, और उत्पाद प्रबंधक, मूल रूप से विकास टीम जिस पर काम करती है, उसमें सभी कहते हैं कि सभी गैर-तकनीकी हैं और उच्च गुणवत्ता, सुरक्षित, कोड के उत्पादन के महत्व को नहीं समझते हैं। यह कुछ ऐसा है जिसे मैं तब देखता हूं जब मैं अब कंपनियों के साथ साक्षात्कार करता हूं। शरण, कैदियों या डॉक्टरों के लिए शासन कौन रखता है?

मुझे आश्चर्य नहीं होगा यदि गहरी नौकरशाही द्वारा संयोजित कुछ समान, सोनी और अन्य कंपनी के सुरक्षा मुद्दों में योगदान कर रहे थे।


0

लोग बड़ी कंपनियों में काम करते हैं, और लोग गलतियाँ करेंगे, यह अज्ञानता, आलस्य, बुरी प्रक्रियाओं, बुरे दस्तावेज़ीकरण आदि से बाहर होगा। कंपनी का आकार केवल गलतियों को प्रभावित करेगा कि त्रुटियों या गलतियों के अधिक स्रोत हो सकते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.