자신이 해킹 할 수있는 것을 해제해야합니까?


12

프로그램을 만든 사람은 아마도 보안 취약점과 잠재적 인 해킹을 알고있는 사람보다 나은 위치에있을 것입니다. 작성한 시스템의 취약점을 알고 있다면 출시 전에 보안을 강화한 표시를 추가해야합니까, 아니면 보안 격차의 심각성을 판단하기 위해 경우에 따라 평가해야합니까?


7
물론, NSA는 항상 이것을한다 :)
Jaap

3
@ Jaap : NSA 항상 이것에 대해 비난을받습니다 . 사람들이 실제로 무슨 일이 일어 났는지, DES 암호화 표준이라는 사실을 알고있는 한 가지 경우에, NSA의 수정이 실제로 암호화를 약하게하지 않고 강하게 만들었으므로 기술에 의해 해킹 당할 가능성이 적습니다. NSA 외에는 아무도 다른 사람이 결국 알아낼 수 있다는 것을 알았 기 때문에 아직 발견하지 못했습니다.
메이슨 휠러

6
@MasonWheeler 최근 이벤트로 인해 2012 년부터 귀하의 의견이 구식이라고 생각합니다.
aceinthehole 12

답변:


6

나는 그것이 사례별로 수행되어야한다고 말하고 싶습니다. 당신은 저자이며 많은 구멍 을 알고 있습니다. 일부 취약점은 사용자에게만 알려질 수 있습니다. 물론 이는 악용 될 경우 답변하기 어려운 질문이있을 수 있으므로 가능한 경우 이러한 취약점을 줄이는 것이 좋습니다. 누군가가 블랙 박스 시스템으로 쉽게 해킹 할 수 있다면 더 중요합니다.


3
필자가 작성한 소프트웨어의 모든 구멍을 알고 있었으면 좋겠다. 그런 다음 그 버그를 활용하여 모든 버그를 찾을 수 있으며, 내용을 올바르게 작성하는 것이 훨씬 쉬울 것입니다.
David Thornley

1
@David : 좋아, 많은 ...
FrustratedWithFormsDesigner

31

나는 상황에 두 번 불행한 경험을했습니다. 두 경우 모두 비즈니스는 매우 민감한 데이터 로 심각한 보안 문제가있는 제품을 출시했습니다 .

두 가지 경우 모두 비즈니스가 위험을 인식하도록 최선을 다했지만 최선을 다하고 있었지만

당신이 할 수있는 유일한 일은 가능한 한 큰 소리로 * (그리고 전문적으로) 항의하는 입니다. 관련 이메일을 PDF로 인쇄하여 파일을 집에 보관하거나 개인 이메일 주소를 숨기십시오. 이것은 불가피하게 나쁜 일이 발생할 때 유일한 해결책입니다.

경영진이 기술적 인 조언에 대해 당신을 존중하고, 그 점을 고려하지만 불행히도 의사 결정자가 하루를 끝낸 사람을 존중해야합니다. 잘못된 비즈니스 결정은 매일 이루어집니다.

편집 : jasonk는 "집 주소를 매우 조심하십시오"라고 언급했으며 매우 동의합니다. 회사 정책을 위반하지 말고 보안 취약점을 기존보다 더 많이 공개 할 위험이 있습니다.


21
모든 문서에 +1! 중대한 재난이 발생하고 관리자의 직무가 온라인 상태가되면 가능한 모든 방법으로 책임을 바꿉니다. 결정과 관련된 문제, 이메일, 알림, 메모 및 기타 문서를 문서화하면 나쁜 상황으로부터 자신을 보호하는 것입니다.
maple_shaft

11
농담 . 고의로 결함이있는 제품을 고의로 배송 할만큼 충분히 유쾌한 사람 은 최종 총알을 피할 수있는 모든 일할 수 있으며, 할 것 입니다.
피터 로웰

집 주소를 숨기고 조심하십시오.
jasonk

2
@ Jasonk : 왜 그렇게 말합니까? 숨은 참조는 다른 수신자가 볼 수 없음을 의미합니다 ...
Mason Wheeler

3
@Mason :받는 사람은 할 수 없지만 IT는 할 수 없으며 민감한 정보 (가장 확실한 보안 취약점)를 오프 사이트로 보내면 상처를 입을 수 있습니다.
Eclipse

12

나는 그 반대의 주장을 펼쳤습니다. 제작자라면 종종 코드에 너무 가까워 취약점을 볼 수 없습니다.

취약점에 대해 알고 있거나 알고 있다면 다른 버그와 비슷합니다. 평가하고 우선 순위를 정한 다음 수정하십시오.


+1 : 내 프로그램의 작동 방식을 알고 있으며 그 정도만 사용하는 것에 대해서만 생각합니다. 프로그램을 사용하는 "올바른"방법을 모르는 사람이있는 것이 가장 좋은 시험 중 하나입니다.
unholysampler

QA를 처음 접하는 사람으로서 나는 "보안 결함"버그가 극도로 중력에 부딪 칠 것을 기대하면서 작업에 들어갔다. 그러나 "security"라는 레이블이 항상 공차 제로 응답의 필요성을 구성하는 것은 아닙니다. 일부 회사는이 취약점이 브랜드 평판을 위협하지 않는 것으로 보이거나 해커에게 거의 이익을 제공하지 못하고 향후 릴리스에 수정 (또는 기능 변경)이 포함될 가능성이있는 경우 보안 위험을 감수하기를 좋아합니다.
Greg Gauthier

4

그 해답은 악의적 인 해커가 시스템을 손상 시켰을 때 발생할 수있는 피해 정도에 달려 있다고 생각합니다. 분명히 토목 기사는 선의의 양심에서 안전하지 않은 다리의 설계를 승인 할 수 없었습니다. 이러한 다리의 건설은 부상이나 사망을 초래할 수 있습니다. 엔지니어가 의도적으로이 작업을 수행하는 것도 불법이지만 소프트웨어 엔지니어 (적어도 미국에서는)가 동일한 방식으로 법적 구속력이 없다는 사실은 결함이있는 시스템에 맞서야하는 전문적인 의무를 배제하지 않습니다. 불행히도 회사에서 소프트웨어를 출시하기 위해 서명이 필요하지 않을 수 있습니다.

작업중인 시스템의 정확한 특성을 지정하지 않았습니다. 의료 기록, 은행 업무, 항공 교통 관제 또는 기타 중요한 인프라와 관련이 있다면 릴리스 전에 가능한 최고 수준의 보안을 주장하는 것이 정당하다고 말하고 싶습니다.


+1 상황에 따라 사회 보장 번호, 식별 번호 또는 신용 카드 번호가 포함 된 모든 데이터에도 보안에주의를 기울여야한다고 덧붙입니다. 이 정보를 저장하지 않고 중요 시스템이 아닌 시스템은 위험도가 낮으며 보안에 대해 걱정할 필요가 없습니다.
maple_shaft

3

예, 릴리스가 끝나기 전에 수정해야합니다. 해커의 독창성을 과소 평가하지 마십시오. 뒷문이 활짝 열려있는 상태에서 일주일 동안 휴가를 하시겠습니까? 당신의 변명은

"오 뒷면에 있고 거리를 직접 향하지 않습니다.

아마 아닙니다.

그러나 요즘은 보안 문제와 관련하여 잠재적으로 큰 책임 문제보다 가장 신성한 출시 날짜가 얼마나 중요한지에 대한 실마리없는 PM으로 이해합니다. 이 경우에주의를 기울여 문제를 기록하고 문제가 잘 문서화되고 잘 알려져 있는지 확인하고 위험을 명확하게 설명하고 PM이 무엇을해야할지 결정하도록하십시오.

PM이 잘못된 결정을 내리고이를 무시하고 일정에 따라 석방하기로 결정한 경우, 호루라기를 날려서 책임을지게됩니다.

그렇지 않으면 이것을 찾아서 스스로 지키고 어떤 일이 발생하면 결과에 대해 개인적으로 책임을 질 수 있습니다.

선택은 당신입니다.


4
미국에서는 최소한 어떤 소프트웨어도 보증 할 수 없기 때문에 잠재적으로 큰 책임 문제는 아닙니다. 의료 기기 소프트웨어는 예외이며 다른 소프트웨어도있을 수 있지만 대부분의 소프트웨어 및 소프트웨어 기반 서비스는 본질적으로 "보증 없음"을 기준으로합니다.
David Thornley

1
보장하지 않습니까? OP가 제안한 것과 같은 보안 허점으로 인해 소셜 시큐리티 번호와 기타 민감한 데이터를 도난당한 수백만 명의 소니 고객에게이를 알려주십시오.
maple_shaft

2
David는 옳지 만, 회사의 평판이 망가 졌거나 소규모 회사가 단순히 더 큰 회사에 의해 소송을 제기 할 때 시행 가능한 민사 책임의 부재는 냉담한 것일 수 있습니다.
PeterAllenWebb

@maple_shaft : 소니의 책임은 무엇입니까? 그들은 1 년의 신용 보호 서비스를 제공했지만 법적 책임은 없다고 생각합니다. 그것은 그들의 명성에 타격을 주었지만, 그들은 전에도 살아 남았습니다.
David Thornley

1
@Rory : 2 년 후부터 살펴 보겠습니다. 루트킷 FIASCO, OtherOS의 임의 제거 및 이러한 유출로 인해 장기적으로 Sony의 인기가 떨어질 것이라고 생각하고 싶지만 전혀 확신하지 못합니다.
David Thornley 2016 년
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.