আপনি নিজেই হ্যাক করতে পারে এমন কি কখনও প্রকাশ করা উচিত?

12

কোনও প্রোগ্রামের স্রষ্টা হওয়ায় সুরক্ষা দুর্বলতা এবং সম্ভাব্য হ্যাক সম্পর্কে সচেতন হওয়ার চেয়ে আপনি সম্ভবত আরও ভাল অবস্থানে রয়েছেন। আপনি লিখেছেন এমন কোনও সিস্টেমে দুর্বলতার কথা যদি আপনি জানেন তবে এটি কি এমন একটি চিহ্ন যা মুক্তির আগে সুরক্ষা বাড়িয়ে তুলতে হবে, বা সুরক্ষার ব্যবধানের তীব্রতা নির্ধারণের জন্য কেস ভিত্তিতে এই ক্ষেত্রে মূল্যায়ন করা উচিত?

security release

— মরগান হের্লোকার
সূত্র

7

অবশ্যই, এনএসএ সর্বদা এটি করে :)

— জাপ

3

@ যাপ: এনএসএ সর্বদা এর জন্য অভিযুক্ত হয়ে যায় । এক্ষেত্রে আমি সচেতন হয়েছি যেখানে লোকেরা আসলে কী ঘটেছে তা জানতে পেরেছিলেন যে, ডিইএস এনক্রিপশন মান হওয়ায় এনএসএর পরিবর্তনগুলি প্রকৃতপক্ষে এনক্রিপশনকে আরও শক্তিশালী করে তোলে , দুর্বল নয়, এটি কোনও কৌশল দ্বারা হ্যাক হওয়ার সম্ভাবনা কম করে তোলে যে এনএসএ ছাড়া অন্য কেউ এখনও আবিষ্কার করতে পারেনি, কারণ তারা জানত যে শেষ পর্যন্ত অন্য কেউ এটি আবিষ্কার করবে।

— ম্যাসন হুইলার

6

@ ম্যাসনওহিলার আমি মনে করি সাম্প্রতিক ইভেন্টগুলি আপনার মন্তব্যটি এখানে 2012 সালের থেকে পুরানো হয়ে গেছে।

— অ্যাসিঞ্জিহোলে

6

আমি বলব এটি কেস-কেস-কেস ভিত্তিতে করা উচিত। আপনি লেখক, আপনি গর্ত অনেক জানেন । কিছু দুর্বলতা কেবল আপনার জানা থাকতে পারে। অবশ্যই এর অর্থ এই যে এর মধ্যে যদি কোনওরকম ব্যবহার করা হয় তবে আপনার উত্তর দেওয়ার জন্য কিছু কঠিন প্রশ্ন থাকতে পারে তাই সম্ভব হলে এই দুর্বলতাগুলি হ্রাস করা ভাল ধারণা হতে পারে। আরও গুরুত্বপূর্ণ হ'ল যদি কেউ সহজেই এটি ব্ল্যাকবক্স সিস্টেম হিসাবে হ্যাক করতে পারে।

— FrustratedWithFormsDesigner
সূত্র

3

আমি কেবল ইচ্ছুক যে আমি লিখেছি সফ্টওয়্যার সমস্ত গর্ত জানতে। তারপরে আমি সমস্ত বাগগুলি খুঁজে পেতে এটিকে কাজে লাগাতে পারি এবং স্টাফগুলি সঠিকভাবে লেখা পাওয়া সহজ হবে।

— ডেভিড থর্নলি

1

@ ডেভিড: ঠিক আছে, অনেক ...

— হতাশ

31

দু'বার পরিস্থিতিতে থাকার দুর্ভাগ্যজনক অভিজ্ঞতা পেয়েছি। উভয় ক্ষেত্রেই ব্যবসায় অত্যন্ত সংবেদনশীল ডেটা সহ গুরুতর সুরক্ষা সমস্যাযুক্ত পণ্যগুলি রাখছিল।

উভয় ক্ষেত্রেই তারা বিবেচনা করছে যে ঝুঁকিগুলি নিয়ে তাদের সচেতন করার সর্বাত্মক প্রচেষ্টা সত্ত্বেও ব্যবসায়ের যত্ন নেওয়ার কথা মনে হয়নি।

আপনি কেবলমাত্র যা করতে পারেন তা হ'ল উচ্চস্বরে * (এবং পেশাদারভাবে) প্রতিবাদ করা, সম্ভাব্য পরিণতি সম্পর্কে যতটা সম্ভব পরিষ্কার হওয়া এবং আপনি যখন এই নথিটি সব করছেন তখন । আপনার প্রাসঙ্গিক ইমেলগুলি পিডিএফ-তে মুদ্রণ করুন এবং সেই ফাইলগুলি বাড়িতে রাখুন, বা আপনার ব্যক্তিগত ইমেল ঠিকানাটি সিসি, বা আপনি এটি করেন তবে। অনিবার্যভাবে যখন খারাপ কিছু ঘটে তখন এর একমাত্র সমাধান।

আপনি আশা করবেন যে পরিচালনা আপনার প্রযুক্তিগত পরামর্শের জন্য সম্মান করবে, এবং এটি বিবেচনায় নেবে কিন্তু দুর্ভাগ্যক্রমে, সিদ্ধান্ত গ্রহণকারী দিন শেষে যাকেই সম্মান করতে হবে। প্রতিদিন খারাপ ব্যবসায়ের সিদ্ধান্ত নেওয়া হয়।

সম্পাদনা: জেসনক উল্লেখ করেছেন "দয়া করে আপনার বাড়ির ঠিকানা বিসিসি করা খুব সাবধানতা অবলম্বন করুন", এবং আমি খুব সম্মত হই। দয়া করে সংস্থার নীতি লঙ্ঘন করবেন না এবং সুরক্ষা দুর্বলতাটিকে ইতিমধ্যে প্রকাশের চেয়ে বেশি উন্মুক্ত করার ঝুঁকি দিন।

— aceinthehole
সূত্র

21

ডকুমেন্ট সব কিছুর জন্য +1 !!! যখন কোনও বড় বিপর্যয় দেখা দেয় এবং পরিচালকের কাজ লাইনে থাকে, সে যেভাবে পারে সেভাবে দোষ বদলানোর জন্য সে কিছুই করবে। যদি আপনি সিদ্ধান্ত সম্পর্কিত ইস্যু, ইমেল, বিজ্ঞপ্তি, মেমো এবং অন্যান্য ডকুমেন্টেশন নথিভুক্ত করেন তবে আপনি নিজেকে একটি খারাপ পরিস্থিতি থেকে রক্ষা করছেন।

— maple_shaft

11

আফ্রিকান মেকিং-ম্যান। গুরুতরভাবে ত্রুটিযুক্ত পণ্য জাহাজে পাঠানোর জন্য পর্যাপ্ত অলস যে কেউ, শেষের বুলেটটি ডজ করার জন্য এবং করতে পারে * will

— পিটার রুওয়েল

আপনার বাড়ির ঠিকানা বিসিসি করার জন্য দয়া করে খুব যত্নবান হন।

— জেসনক

2

@ জেসনক: আপনি কেন বলেন? বিসিসি এর অর্থ অন্য প্রাপকরা এটি দেখতে পাচ্ছেন না ...

— ম্যাসন হুইলার

3

@ মেসন: প্রাপকরা এটি করতে পারবেন না, তবে আইটি পারেন, এবং আপনি যদি সংবেদনশীল তথ্য (যা সুরক্ষা দুর্বলতাগুলি অবশ্যই স্পষ্টভাবে হয়) অফসাইটে প্রেরণ করছেন তবে আপনি আঘাতের জগতে পৌঁছতে পারবেন।

— অন্ধকার

12

আমি বিপরীতভাবে তর্ক করব - স্রষ্টা হওয়ায় আপনি দুর্বলতাগুলি দেখার জন্য কোডের ঘন ঘন ঘনিষ্ঠ হন।

যদি আপনি দুর্বলতা সম্পর্কে জানেন বা বলা হয় তবে সেগুলি অন্য কোনও বাগের মতো're মূল্যায়ন, অগ্রাধিকার, তারপরে ঠিক করুন।

— DaveE
সূত্র

+1: আপনি জানেন যে আমার প্রোগ্রামটি কীভাবে কাজ করা উচিত এবং কিছুটা হলেও কেবল এটির মতো ব্যবহার সম্পর্কে চিন্তাভাবনা করে। প্রোগ্রামটি ব্যবহারের "সঠিক" উপায় জানেন না এমন কাউকে থাকা আপনার পক্ষে করা সেরা পরীক্ষাগুলির মধ্যে একটি।

— আনহোলিস্যাম্প্লার

কিউএ-তে অপেক্ষাকৃত নতুন হিসাবে আমি "সুরক্ষা ত্রুটি" বাগটি চূড়ান্ত অভিকর্ষের সাথে মিলিত হবে আশা করে এই কাজে আসি। তবে আমি খুঁজে পেয়েছি যে "সুরক্ষা" লেবেলটি সর্বদা শূন্য-সহনশীলতার প্রতিক্রিয়ার প্রয়োজন হয় না। কিছু সংস্থাগুলি সুরক্ষা ঝুঁকি নিতে পুরোপুরি খুশি, যদি দুর্বলতা ব্র্যান্ডের খ্যাতি হুমকিতে না দেখায় বা হ্যাকারদের লাভের জন্য সামান্য প্রস্তাব দেয় এবং ভবিষ্যতে প্রকাশনাগুলি যাইহোক কোনও সমাধান (বা বৈশিষ্ট্য পরিবর্তন) অন্তর্ভুক্ত করতে পারে।

— গ্রেগ গৌথিয়ার

4

আমি মনে করি যে উত্তরটি কোনও ক্ষতিকারক হ্যাকার দ্বারা সিস্টেমকে আপস করা থাকলে সেই পরিমাণ ক্ষতি হতে পারে depends স্পষ্টতই একজন সিভিল ইঞ্জিনিয়ার ভাল বিবেকের ক্ষেত্রে একটি অনিরাপদ সেতুর নকশা অনুমোদন করতে পারেনি। এ জাতীয় সেতু নির্মাণের ফলে আহত বা মৃত্যু হতে পারে। ইঞ্জিনিয়ারদের জেনেশুনে এটি করা অবৈধ হবে, তবে সফ্টওয়্যার ইঞ্জিনিয়াররা (কমপক্ষে মার্কিন যুক্তরাষ্ট্রে) একইভাবে আইনত বাধ্যবাধকতাযুক্ত নয় ত্রুটিযুক্ত সিস্টেমগুলির বিরুদ্ধে অবস্থান নেওয়ার জন্য পেশাদার দায়িত্ব থেকে তাদের বঞ্চিত করেন না। দুর্ভাগ্যক্রমে, আপনার সংস্থাকে সফ্টওয়্যারটি প্রকাশের জন্য আপনার স্বাক্ষরের প্রয়োজন হতে পারে না।

আপনি যে সিস্টেমে কাজ করছেন তার সঠিক প্রকৃতি নির্দিষ্ট করতে পারেন না। যদি এটি মেডিকেল রেকর্ড, ব্যাংকিং, এয়ার ট্র্যাফিক নিয়ন্ত্রণ বা অন্য কোনও সত্যিকারের সমালোচনামূলক অবকাঠামোর সাথে সম্পর্কিত হয় তবে আমি বলব যে আপনি মুক্তির আগে সর্বোচ্চ স্তরের সুরক্ষার পক্ষে জোর দিয়ে যুক্তিযুক্ত হতে পারবেন।

— PeterAllenWebb
সূত্র

+1 প্রসঙ্গে, আমি যুক্ত করব যে সামাজিক সুরক্ষা নম্বর, সনাক্তকরণ নম্বর, বা ক্রেডিট কার্ড নম্বর রয়েছে এমন কোনও ডেটা সুরক্ষার দিকেও মনোযোগী হওয়া উচিত। যেসব সিস্টেমে এই তথ্য সংরক্ষণ করে না এবং সমালোচনামূলক সিস্টেমগুলি নয়, তাদের মধ্যে ঝুঁকির ডেটা কম থাকে এবং আপনার সিকিউরিটি সম্পর্কে এতটুকু চিন্তা করার দরকার নেই।

— ম্যাপেল_শ্যাফ্ট

3

হ্যাঁ, আপনাকে মুক্তি দেওয়ার আগেই এটি ঠিক করা উচিত। কোনও হ্যাকারের দক্ষতা কখনই হ্রাস করবেন না। আপনার পিছনের দরজা প্রশস্ত খোলা রেখে আপনি কি এক সপ্তাহের জন্য ছুটিতে যাবেন? আপনার অজুহাত হবে,

"ওহ এটি পিছনে এবং এটি সরাসরি রাস্তার মুখোমুখি হয় না Nob

সম্ভবত না.

তবে আমি আজকাল নির্মোহ প্রধানমন্ত্রীর সাথে বুঝতে পারি যে সুরক্ষা সহ সম্ভাব্য বিশাল দায়বদ্ধতার ইস্যুটির চেয়ে সবচেয়ে পবিত্র মুক্তির তারিখ কীভাবে বেশি গুরুত্বপূর্ণ। যদি এটি আপনার ক্ষেত্রে হয় তবে আমি এটিকে মনোযোগ দেওয়ার জন্য আহ্বান জানাব, সমস্যাটি লগ করুন, নিশ্চিত করুন যে এটি ভালভাবে নথিভুক্ত, সুপরিচিত এবং ঝুঁকিগুলি পরিষ্কারভাবে ব্যাখ্যা করা হয়েছে এবং প্রধানমন্ত্রী কী করবেন তা সিদ্ধান্ত নিতে দিন decide

প্রধানমন্ত্রী যদি কোনও দুর্বল সিদ্ধান্ত নেন এবং এটিকে উপেক্ষা করার এবং সময়সূচীতে প্রকাশের সাথে এগিয়ে যাওয়ার সিদ্ধান্ত নেন তবে আপনি হুইসেলটি বাজানোর পরে আপনি দায়বদ্ধতা থেকে বঞ্চিত হবেন।

অন্যথায় যদি আপনি এটি খুঁজে পান এবং এটি নিজের কাছে রাখেন এবং কিছু ঘটে থাকে তবে পরিণতির জন্য আপনাকে ব্যক্তিগতভাবে দায়ী করা যেতে পারে।

সিদ্ধান্ত আপনার.

— ম্যাপেল_শ্যাফট
সূত্র

4

মার্কিন যুক্তরাষ্ট্রে, এটি কোনও সম্ভাব্য বিশাল দায়বদ্ধতা সমস্যা নয়, কারণ প্রায় কোনও সফ্টওয়্যারই কোনও ধরণের গ্যারান্টি নিয়ে আসে না with মেডিকেল ডিভাইস সফ্টওয়্যার একটি ব্যতিক্রম এবং সম্ভবত অন্যরাও রয়েছে তবে বেশিরভাগ সফ্টওয়্যার এবং সফ্টওয়্যার-ভিত্তিক পরিষেবাগুলি মূলত "কোনও গ্যারান্টি নেই" ভিত্তিতে থাকে।

— ডেভিড থর্নলি

1

গ্যারান্টি নেই? ওপি যেমন পরামর্শ দিচ্ছে ঠিক তেমন সুরক্ষা গর্তের কারণে যে কয়েক মিলিয়ন সোনি গ্রাহকের সামাজিক সুরক্ষা নম্বর এবং অন্যান্য সংবেদনশীল ডেটা চুরি হয়েছিল তাদের কাছে আপনি এটি কেন বলবেন না?

— maple_shaft

2

যদিও ডেভিড সঠিক, আপনার সংস্থার সুনাম নষ্ট হয়ে গেলে বা আপনার ছোট ফার্মটি কেবলমাত্র বৃহত্তর দ্বারা অস্তিত্বের বাইরে দায়ের করা যেতে পারে তখন প্রয়োগযোগ্য নাগরিক দায়বদ্ধতার অভাব শীতল স্বাচ্ছন্দ্য হতে পারে।

— পিটারএলেন ওয়েবেব

@ ম্যাপেল_শ্যাফ্ট: এবং সোনির কী দায় রয়েছে? তারা এক বছরের creditণ সুরক্ষা পরিষেবাদির প্রস্তাব দিয়েছে, তবে তাদের কোনও আইনি দায় আছে বলে আমি মনে করি না। এটি তাদের খ্যাতির জন্য হিট, তবে তারা এর আগে যেমন টিকে আছে।

— ডেভিড থর্নলি

1

@ ররি: আসুন এখন থেকে দু'বছর পরে এটি দেখুন। আমি ভাবতে চাই যে রুটকিট ফিয়াস্কো, অন্যান্যসকে স্বেচ্ছাসেবী অপসারণ এবং এই ফাঁসটি দীর্ঘমেয়াদে সনিকে কম জনপ্রিয় করে তুলবে, তবে আমি মোটেও আত্মবিশ্বাসী নই।

— ডেভিড থর্নলে