কোনও বৃহত্তর সংস্থা কীভাবে রোকি ভুল করে যা সুরক্ষা গর্ত ছেড়ে দেয়? [বন্ধ]

15

সনি সম্প্রতি একটি এসকিউএল ইঞ্জেকশন দিয়ে হ্যাক হয়েছিল এবং তাদের ব্যবহারকারীর পাসওয়ার্ডগুলি সরল পাঠ্যে সংরক্ষণ করা হয়েছিল। এগুলি রোকি ভুল। এত বড় সংস্থায় এই কিউএ কীভাবে পাস হয়? এর চেয়ে ভাল জানার চেয়ে কীভাবে তাদের আরও ভাল দল নেই?

যে সংস্থা হ্যাক হয়েছিল তার নিছক আকার এটিকে আলাদা করে তোলে। এটি আমাদের সকলকে প্রভাবিত করে কারণ আমরা সবাই একদিন নিজেকে এমন একটি দলে খুঁজে পেতে পারি যা এই জাতীয় কোনও কিছুর জন্য দায়ী এবং তারপরে আমরা কুড়াল পাই। তাহলে এর কারণগুলি কী কী এবং আমরা কীভাবে সেগুলি আটকাতে পারি?

security  qa  mistakes 
রিচার্ড
সূত্র
এই প্রশ্নটি তথ্য এবং রেফারেন্সের ভিত্তিতে গঠনমূলক উত্তরগুলি আমন্ত্রণ জানায় না: এটি কোনও সংস্থা সনি কতটা কৃপণ তা নিয়ে বিভিন্ন জল্পনা-কল্পনাগুলির একটি তালিকা। এসকিউএল ইঞ্জেকশন, কিউএ এবং সুরক্ষা নিয়ে কাজ করার পদক্ষেপগুলি সম্পর্কে বিভিন্ন প্রশ্নের জন্য সম্পর্কিত প্রশ্ন সাইডবারটি দেখুন। (নিকটতম ভোটের গণনা সাফ করার জন্য ক্ষমা
মন্তব্যকারীগণ : মন্তব্যগুলি স্পষ্টতা চাওয়ার জন্য, বর্ধিত আলোচনার জন্য নয়। আপনি যদি এই প্রশ্নটি অন্যের সাথে আলোচনা করতে চান তবে চ্যাটটি ব্যবহার করুন । আরও তথ্যের জন্য FAQ দেখুন ।
4
@ মার্ক অদ্ভুত, এটি কিছু বুনো গঠনমূলক উত্তর পেয়েছে, যা সম্ভবত চিহ্নটির খুব কাছাকাছি। এটি বলেছিল, আরও ভাল প্রশ্ন হবে, "এত বড় কর্পোরেশনে এমন বেপরোয়া আচরণের শাস্তি দেওয়ার কোনও আইন কেন নেই?"
কনরাড রুডলফ
3
এই প্রশ্নটি আবার বন্ধ হয়ে গেছে বলে বরং এটি অদ্ভুত। সংক্রান্ত প্রচুর কড়া। আবার।
রিচার্ড

উত্তর:

24

প্রথম যে বিষয়টি মনে আসে তা হ'ল, কারণ তারা আমলাতন্ত্রের কয়েকটি স্তর বাড়ানোর পক্ষে যথেষ্ট বড়। এর অর্থ হ'ল অন্য জিনিসগুলির মধ্যেও, আপনার কাছে ভাড়া নেওয়া প্রক্রিয়ার দায়িত্বে থাকা সত্যিকারের স্মার্ট কোডার নেই, যার অর্থ তারা সম্ভাব্য প্রোগ্রামার এবং কিউএর লোকদের অসদৃশ করার ক্ষমতা হারিয়ে ফেলেন। যা খারাপ কোড লিখিত হয়ে এটিকে উত্পাদন করে তোলে এবং পরবর্তী সময়ে কী ঘটে তা আমরা সবাই জানি ...

ম্যাসন হুইলার
সূত্র
3
আমি মনে করি আপনি আমলাতন্ত্রের দ্বারা মাথার পেরেকটি আঘাত করেছেন, তবে এটি থেকে উদ্ভূত অন্যান্য সমস্যাগুলিও রয়েছে। আপনার যদি এমন স্মার্ট বিকাশকারী রয়েছে যিনি কোনও উল্লেখযোগ্য সমস্যাকে স্পট করে থাকেন তবে কোনও স্থির স্থানে কাজ করার জন্য এটির অনুমোদন পেতে, এটি পরীক্ষা করাতে এবং এটি উত্পাদনে স্থানান্তরিত করতে ofশ্বরের কাজ লাগে। আমলাতন্ত্রের এক ব্যক্তির মনে করা এই পরিবর্তনটি গ্রহণের ঝুঁকি (অন্যান্য প্রকল্পে বিলম্ব, উত্পাদনের ত্রুটি, ইত্যাদি) পরিবর্তন না করার ঝুঁকি ছাড়িয়ে যায় (কে এই সংস্থাকে বড় হ্যাক করতে পারে?)।
মায়ো
18

কারণ প্রোগ্রামারদের এটির জন্য পরীক্ষা করতে বলা হয়নি এবং ক্রাশিং কর্পোরেট সংস্কৃতি তাদের পেশাদার নীতিবোধের ধারণা অর্জনের জন্য পর্যাপ্ত প্রবণতা দেয়নি এবং সুরক্ষা দুর্বলতার জন্য পরীক্ষা করার জন্য আরও কয়েক সপ্তাহ দাবি করে। বা জেদ করার জন্য যে তারা শুরু থেকেই সুরক্ষিত থাকে।

কারণ বস যে কোনও কারণেই সুরক্ষার জন্য পরীক্ষার জন্য কয়েক সপ্তাহ অতিরিক্ত সময় ব্যয় করতে চাননি। বছরের শেষে একটি অতিরিক্ত বোনাস। জনসনকে পরবর্তী বিভাগ থেকে দেখানো হচ্ছে। দাম্ভিক অধিকার। সংস্থার কর্তব্য। আলস্য। আন্ডারলিংয়ের পরামর্শের উপর অবিশ্বাস।

কারণ বিগ বস অধিক মুনাফার দাবি করেছিলেন এবং জনসনকে ববের চেয়ে বেশি প্রচার করেছিলেন কারণ তার সংখ্যা আরও ভাল পণ্য দাবি করার চেয়ে বেশি ভাল দেখায়। কারণ গুণমান এবং সুরক্ষা একটি স্প্রেডশিটে প্রদর্শিত মূল্যবান। কারন কর্পোরেশন অর্থ উপার্জনের জন্য বিদ্যমান।

এই জাতীয় জিনিসগুলি একটি নিয়মতান্ত্রিক সমস্যা। এটি "বোকা" বলে এগুলি ফুটে উঠেছে।

সম্পাদন করা প্রোগ্রামাররা একটি ঘাটতি লক্ষ্য করে, কোরবানির ছাগল হওয়া এড়াতে পারে, এই বিষয়টি তাদের বসের সামনে তুলে ধরে। সে হয় সঠিক কাজটি করবে এবং এটি ঠিক করার জন্য পরিকল্পনা করবে, অথবা আপনাকে এড়িয়ে যাওয়ার কথা বলবে। যদি তিনি এটি ঠিক না করেন, এটি অফিসিয়াল করুন, ই-মেইলে এটি সম্পর্কে জিজ্ঞাসা করুন। এই ক্ষেত্রে "দুর্বলতা", "ইনজেকশন", "সুরক্ষা লঙ্ঘন" এর মতো ইস্যুটিতে প্রাসঙ্গিক কীওয়ার্ডগুলি ব্যবহার করুন। স্টাফ যে একটি ইমেল অনুসন্ধান বাছাই করতে পারে।

এই বক উত্তীর্ণ হয়। এটি এখন আপনার কর্তাদের দায়িত্ব। যদি এটি গুরুত্বপূর্ণ হয়, যখন জিনিসটি ব্যর্থ হয় তখন লোকেরা যেমন মারা যায়, তার মাথায় যান এবং বিষয়টি তাঁর বসের কাছে তুলে ধরুন। আপনি কেবল পয়সা পেরিয়ে যাওয়ার জন্য বরখাস্ত হতে পারেন এবং আপনি এটি চালিয়ে গেলেও আপনি বরখাস্ত হতে পারেন তবে এটি করা সঠিক জিনিস। আসলে সমস্যাটি ঠিক করার মতো ঠিক মতো নয়, তবে বন্ধ।

ফিলিপ
সূত্র
3
সংস্থার সিইও হিসাবে আপনার ভোট আমার !!!
ওয়াজিহ
3
@ চেশায়ার এটি শেষ করার পরে "সাধারণ জ্ঞান" ছিল না। মানুষ অন্তর্নিহিত সুরক্ষার মনোভাবের নয়; তাদের শিখতে হবে এবং ক্রমাগত মনে করিয়ে দিতে হবে যে সেখানে মন্দ ঘাটতি রয়েছে যা কেবলমাত্র আপনার ডেটা ধরার জন্য বিদ্যমান।
মাইকেল টড
3
@ মিশেল টড: তবে এটি আর 1996 নয়। এটি এখন সাধারণ জ্ঞান, এবং এটির জন্য কোনও বাহানা নেই।
রিচার্ড
1
@ চেশায়ার সম্মত এবং সুরক্ষার কথা মাথায় রেখে বিকাশ করা এর পরে এটির জন্য পরীক্ষা করা আরও ভাল।
ফিলিপ
1
@ রিচার্ড ডেসলন্ডাড: যদি সাধারণ জ্ঞান হয় তবে আমার ধারণা আমি খুব কম লোককে এটি সঠিকভাবে করতে বলে দেখছি।
ডেভিড থর্নলি
12

কর্পোরেশন যত বড়, সিদ্ধান্ত গ্রহণকারীরা তাদের বাস্তব জীবনের কোনও দায়বদ্ধতা থেকে দূরে।

কর্পোরেশনগুলি কীভাবে কাজ করে তা জেনে, সাইট ডিজাইন সম্ভবত বিকাশকারীদের প্রতি সর্বনিম্ন মূল্যের ভিত্তিতে নির্বাচিত কিছু পরামর্শক সংস্থার কাছে আউটসোর্স করা হয়েছিল। সেই সংস্থাটি একই রকম মানদণ্ডে এলোমেলো লোকদের একগুচ্ছ ভাড়া নেবে, গড়পড়তা ব্যক্তি অন্য কোনও কিছুতে ঘোরানোর আগে এই প্রকল্পে 3 মাসের বেশি সময় ধরে প্রকল্পে থাকবে না।

vartec
সূত্র
4
আউটসোর্স করার জন্য +1। আমি এটা ভাবিনি। আপনি যখন অফশোর হন, তখন বিকাশকারীরা ঠিক কী বলেছিলেন তা বিকাশ করে, কোনও প্রশ্ন জিজ্ঞাসা করা হয়নি, তাই সম্ভবত নিরাপত্তাটি অনুমেয় ছিল না।
রিচার্ড
1
@ রিচার্ড ডেসলন্ডা: আমি দেখতে পাচ্ছি আপনি একজন আশাবাদী।
ডেভিড থর্নলি
@ ডেভিড থর্নলি: না, কেবল অভিজ্ঞ। :-)
সমৃদ্ধ
2
@ রিচার্ড ডেসলন্ডাড: এবং আপনার সমস্ত অফশোর প্রকল্পগুলি যা কিছু অনুমান করেছে তাই করেছে? খারাপ না.
ডেভিড থর্নলি
1
@ ডেভিড থর্নলি: LOL একেবারেই নয়। আমি সেই অংশটাকেই গুরুত্ব দিচ্ছিলাম না। আপনি অবশ্যই সঠিক, এটি কিছুটা আশাবাদী ছিল। :-)
সমৃদ্ধ
4

কেউ কীভাবে ভুল করে? অলসতা, জ্ঞানের অভাব, দক্ষতার অভাব, সাফল্য, প্রক্রিয়ার অভাব ইত্যাদির মাধ্যমে কীভাবে আমরা ভুলগুলি প্রতিরোধ করতে পারি? অধ্যবসায়, অভিজ্ঞতা, সুরক্ষা ব্যবস্থা ইত্যাদির মাধ্যমে এই পরিস্থিতি প্রতিটি প্রোগ্রামার দ্বারা করা হাজার হাজার ছোট ভুলের থেকে আলাদা নয়; এটি মাত্র স্কেল আলাদা

আমরা এটা থেকে কি শিখতে পারি? বেশি না.

রেন হেনরিচস
সূত্র
আমি মনে করি এটি অন্যরকম। সনি কোটি কোটি ডলার করে এবং তবুও তারা এই প্রাথমিক জিনিসগুলি সঠিকভাবে পেতে পারে না? এর সাথে মারাত্মক কিছু ভুল আছে। এবং এটি কেবল সনি নয়। অনেক বড় সংস্থাকে সম্প্রতি এসকিউএল ইঞ্জেকশন দ্বারা হ্যাক করা হয়েছে।
রিচার্ড
1
না, এটি আসলে আলাদা নয়। সিদ্ধান্তগুলি লোকেরা করে, সংস্থাগুলি দ্বারা নয়।
রেন হেনরিচস
@ রিচার্ড: তাদের সবসময়ই খারাপ সুরক্ষা রেকর্ড ছিল। এই একই সংস্থাটি সনি রুটকিট আবিষ্কার করেছিল, মনে আছে?
ম্যাসন হুইলারের
2

একটি সম্ভাব্য ব্যাখ্যা হ'ল একটি স্কিউড অগ্রাধিকার তালিকা। অনেক সংস্থাগুলি যেগুলির সাথে আমি কাজ করেছি তারা তাদের উত্পাদিত পণ্য / কোডের মানের চেয়ে বাজারে পণ্য পাওয়ার ক্ষেত্রে বেশি গুরুত্ব দিয়েছে। এই প্রভাবটি দ্বিগুণ হয়েছে কারণ কেবল প্রোগ্রামাররা সমাপ্তির দিকে ধাবিত হয় না, তবে কিউএ বিভাগও (যদি তাদের একটি থাকেও) is আমি আরও লক্ষ্য করেছি যে এই মনোভাবটি পূর্বের পণ্যটি এগিয়ে যাওয়ার আগেই পরবর্তী পণ্যটির দিকে এগিয়ে যাওয়ার সাথে মিলে যায়, সমস্যাটি আরও দূর করে দেয়।

এই প্রতিটি কোম্পানির মধ্যে একটি সাধারণ ডিনোমিনেটর হ'ল নন-টেকনিক্যাল ম্যানেজমেন্ট। প্রজেক্ট ম্যানেজার, আইটি ম্যানেজার এবং প্রোডাক্ট ম্যানেজাররা, মূলত প্রত্যেকে বিকাশকারী দল কী কাজ করে তা বলে, তারা সবাই অ-প্রযুক্তিগত এবং উচ্চমানের, সুরক্ষিত, কোড তৈরির গুরুত্ব বোঝে না। আমি এখন সংস্থাগুলির সাথে সাক্ষাত্কার দেওয়ার সময় এটির জন্য সন্ধান করি। আশ্রয়, বন্দী বা ডাক্তারদের কাছে কে রাজত্ব করে?

গভীর আমলাতন্ত্র দ্বারা মিশ্রিত অনুরূপ কিছু, সনি এবং অন্যান্য সংস্থার সুরক্ষা ইস্যুগুলিতে কারণ অবদান রাখলে আমি অবাক হব না।

জ্যাক এম।
সূত্র
0

লোকেরা বড় বড় সংস্থাগুলিতে কাজ করে এবং লোকে ভুল করবে, এটি অজ্ঞতা, অলসতা, খারাপ পদ্ধতি, খারাপ ডকুমেন্টেশন ইত্যাদির বাইরে থাকায় কোম্পানির আকার কেবলমাত্র সেই ভুলগুলিকেই প্রভাবিত করবে যেহেতু ত্রুটি বা ভুলের আরও উত্স হতে পারে।

মার্সেলো
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.