Wie macht ein großes Unternehmen Anfängerfehler, die Sicherheitslücken hinterlassen? [geschlossen]

15

Sony wurde kürzlich mit einer SQL-Injection gehackt und die Passwörter der Benutzer wurden im Klartext gespeichert. Das sind Anfängerfehler. Wie wird in einem so großen Unternehmen die Qualitätssicherung bestanden? Wie können sie keine besseren Teams haben, als es besser zu wissen?

Die schiere Größe des Unternehmens, das gehackt wurde, macht dies anders. Es betrifft uns alle, weil wir uns eines Tages alle in einem Team befinden, das für so etwas verantwortlich ist, und dann bekommen wir die Axt. Also, was sind die Faktoren, die dazu führen, und wie verhindern wir sie?

security qa mistakes Richard
quelle
Diese Frage hat keine konstruktiven Antworten auf der Grundlage von Fakten und Referenzen gefordert: Es ist eine Liste verschiedener Spekulationen darüber, wie beschissen ein Unternehmen von Sony ist. In der zugehörigen Fragenleiste finden Sie mehrere Fragen zu Schritten zum Umgang mit SQL-Injektionen, zur Qualitätssicherung und zur Sicherheit. (Entschuldigung für das Löschen der Stimmenanzahl: Es gab 3 "nicht konstruktive" Stimmen, als ich sie versehentlich aus dem falschen Grund geschlossen habe)
Kommentatoren : Kommentare dienen der Klarstellung und nicht der ausführlichen Diskussion. Wenn Sie diese Frage mit anderen diskutieren möchten, verwenden Sie bitte den Chat . Weitere Informationen finden Sie in den FAQ .
4
@Mark Odd, es hat einige äußerst konstruktive Antworten erhalten, die wahrscheinlich sehr nah an der Marke liegen. Das heißt, eine bessere Frage wäre: "Warum gibt es keine Gesetzgebung, um ein so rücksichtsloses Verhalten in einem so großen Unternehmen zu bestrafen?"
Konrad Rudolph,
3
Es ist ziemlich seltsam, dass diese Frage wieder geschlossen wurde. Drakonisch. Nochmal.
Richard

Antworten:

24

Das erste, was mir einfällt, ist, dass sie groß genug sind, um ein paar Schichten Bürokratie aufzubauen. Dies bedeutet unter anderem, dass Sie keine wirklich intelligenten Programmierer mehr haben, die für den Einstellungsprozess zuständig sind, was bedeutet, dass sie nicht mehr in der Lage sind, potenzielle Programmierer und QS-Mitarbeiter auszusondern, die nicht kompetent sind. Was dazu führt, dass schlechter Code geschrieben und in die Produktion aufgenommen wird und wir alle wissen, was als nächstes passiert ...

Mason Wheeler
quelle
3
Ich denke, Sie haben mit Bürokratie den Nagel auf den Kopf getroffen, aber es gibt auch andere Probleme, die sich daraus ergeben. Wenn Sie einen intelligenten Entwickler haben, der ein schwerwiegendes Problem entdeckt, ist es eine Handlung von Gott, um die Genehmigung zu erhalten, an einem Fix zu arbeiten, ihn testen zu lassen und ihn in die Produktion zu überführen. Es reicht aus, wenn eine Person in der Bürokratie denkt, dass das Risiko einer Änderung (Verzögerungen bei anderen Projekten, Produktionsfehler usw.) das Risiko überwiegt, dass die Änderung nicht vorgenommen wird (wer könnte ein so großes Unternehmen hacken?).
Mayo
18

Weil den Programmierern nicht befohlen wurde, dies zu testen, und ihnen die zermürbende Unternehmenskultur nicht genügend Spielraum gab, um ihren Sinn für Berufsethik einzubringen und ein paar Wochen Zeit zu beanspruchen, um nach Sicherheitslücken zu suchen. Oder darauf zu bestehen, dass sie von Anfang an sicher sind.

Weil der Chef aus irgendeinem Grund nicht ein paar zusätzliche Wochen damit verbringen wollte, nach Sicherheitsproblemen zu suchen. Ein zusätzlicher Bonus zum Jahresende. Es taucht Johnson aus der nächsten Abteilung auf. Prahlende Rechte. Pflicht gegenüber der Firma. Faulheit. Misstrauen gegenüber dem Rat des Untergebenen.

Weil der große Chef mehr Profit forderte und Johnson über Bob beförderte, weil seine Zahlen besser aussahen, als ein besseres Produkt zu fordern. Weil es schwierig ist, Qualität und Sicherheit in einer Tabelle anzuzeigen. Weil Unternehmen existieren, um Geld zu verdienen.

Solche Dinge sind ein systematisches Problem. Es läuft darauf hinaus, "weil sie Narren sind".

Edit Programmierer können es vermeiden, die Opferziege zu sein, indem sie, wenn sie einen Mangel bemerken, die Angelegenheit ihrem Chef vortragen. Er wird entweder das Richtige tun und einen Plan erstellen, um das Problem zu beheben, oder Sie auffordern, ihn zu ignorieren. Wenn er es nicht repariert, machen Sie es offiziell, fragen Sie per E-Mail danach. Verwenden Sie für das Problem relevante Schlüsselwörter wie "Sicherheitslücke", "Injektion" und "Sicherheitsverletzung". Sachen, die eine E-Mail-Suche aufgreifen würde.

Dies ist das A und O. Es ist jetzt die Verantwortung Ihres Chefs. Wenn es wichtig ist, dass Menschen sterben, wenn diese Sache fehlschlägt, gehen Sie über den Kopf und bringen Sie das Problem zu seinem Chef. Sie können gefeuert werden, weil Sie nur den Bock übergeben haben, und Sie können immer noch gefeuert werden, auch wenn Sie ihn weitergeben, aber es ist das Richtige. Nicht ganz so richtig wie das eigentliche Beheben des Problems, aber nah dran.

Philip
quelle
3
Meine Stimme für Sie als CEO des Unternehmens !!!
Wajih
3
@Cheshire Es war kein "gesunder Menschenverstand", als es zum ersten Mal gemacht wurde. Die Menschen sind nicht von Natur aus sicherheitsbewusst. Sie müssen lernen und ständig daran erinnert werden, dass es böse Idioten gibt, die nur existieren, um Ihre Daten zu erfassen.
Michael Todd
3
@Michael Todd: Aber das ist nicht mehr 1996. Das ist jetzt gesunder Menschenverstand und es gibt keine Entschuldigung dafür.
Richard
1
@Cheshire Einverstanden. Und das Entwickeln mit Blick auf die Sicherheit ist weitaus besser als das anschließende Testen.
Philip
1
@Richard DesLonde: Wenn es der gesunde Menschenverstand wäre, würde ich wahrscheinlich weniger Leute sehen, die sagen, dass sie es richtig machen sollen.
David Thornley
12

Je größer das Unternehmen ist, desto weiter sind die Entscheidungsträger von der eigentlichen Verantwortung entfernt.

Das Website-Design wusste, wie Unternehmen arbeiten, und wurde wahrscheinlich an ein Beratungsunternehmen vergeben, das auf der Grundlage des niedrigsten Preises pro Entwickler ausgewählt wurde. Dieses Unternehmen stellte wiederum eine Reihe von zufälligen Personen nach ähnlichen Kriterien ein, wobei die durchschnittliche Person nicht länger als drei Monate im Projekt blieb, bevor sie zu etwas anderem gewechselt wurde.

vartec
quelle
4
+1 für ausgelagert. Daran hatte ich nicht gedacht. Wenn Sie auf See sind, entwickeln die Entwickler genau das , was Sie spezifizieren, ohne dass Fragen gestellt werden. Vielleicht war also die Sicherheit nicht in der Spezifikation enthalten.
Richard
1
@ Richard DesLonde: Ich sehe, Sie sind ein Optimist.
David Thornley
@ David Thornley: Nein, nur erlebt. :-)
Richard
2
@Richard DesLonde: Und all Ihre Offshored-Projekte haben alles getan, was in der Spezifikation steht? Nicht schlecht.
David Thornley
1
@ David Thornley: LOL Auf keinen Fall. Das war nicht der Teil, den ich betonte. Sie haben definitiv recht, das war ein bisschen zu optimistisch. :-)
Richard
4

Wie macht jemand Fehler? Durch Faulheit, mangelndes Wissen, mangelnde Sachkenntnis, Zweckmäßigkeit, mangelnde Prozesse usw. Wie verhindern wir Fehler? Durch Fleiß, Erfahrung, Schutzmaßnahmen usw. Diese Situation unterscheidet sich nicht wesentlich von den Tausenden kleiner Fehler, die jeder Programmierer begangen hat. es ist nur in der Skala unterschiedlich.

Was können wir daraus lernen? Nicht viel.

Rein Henrichs
quelle
Ich denke es ist anders. Sony macht Milliarden von Dollar und doch können sie diese grundlegenden Dinge nicht richtig machen? Daran stimmt etwas nicht. Und es ist nicht nur Sony. In letzter Zeit wurden viele große Unternehmen durch SQL-Injection gehackt.
Richard
1
Nein, das ist wirklich nicht anders. Entscheidungen werden von Menschen getroffen, nicht von Unternehmen.
Rein Henrichs
@ Richard: Sie hatten schon immer eine schlechte Sicherheitsbilanz. Dies ist die gleiche Firma, die das Sony-Rootkit erfunden hat, erinnerst du dich?
Mason Wheeler
2

Eine mögliche Erklärung ist eine verzerrte Prioritätsliste. Viele Unternehmen, mit denen ich zusammengearbeitet habe, haben mehr Wert darauf gelegt, ein Produkt auf den Markt zu bringen, als auf die Qualität des von ihnen produzierten Produkts / Codes. Dieser Effekt wird verdoppelt, da nicht nur die Programmierer zum Abschluss gebracht werden, sondern auch die QA-Abteilung (falls sie überhaupt eine haben). Mir ist auch aufgefallen, dass diese Einstellung mit dem Weiterschieben zum nächsten Produkt zusammenfällt, bevor der vorherige abgeschlossen wurde, was das Problem noch weiter verschärft.

Ein gemeinsamer Nenner in jedem dieser Unternehmen war das nichttechnische Management. Projektmanager, IT-Manager und Produktmanager, im Grunde genommen alle, die mitbestimmen, woran das Entwicklungsteam arbeitet, sind alle nicht technisch und verstehen nicht, wie wichtig es ist, qualitativ hochwertigen, sicheren Code zu erstellen. Dies ist etwas, wonach ich suche, wenn ich jetzt mit Unternehmen interviewe. Wer regiert das Asyl, die Insassen oder die Ärzte?

Es würde mich nicht wundern, wenn etwas Ähnliches, das von einer tiefen Bürokratie verstärkt wird, zu den Sicherheitsproblemen von Sony und anderen Unternehmen beiträgt.

Jack M.
quelle
0

Die Mitarbeiter arbeiten in großen Unternehmen, und die Mitarbeiter machen Fehler, weil sie nicht Bescheid wissen, faul sind, schlechte Verfahren anwenden, schlechte Unterlagen vorlegen usw. Die Größe des Unternehmens wirkt sich nur auf Fehler aus, da es weitere Fehlerquellen geben kann.

Marcelo
quelle