¿Debería alguna vez lanzar algo que usted mismo pudiera piratear?

12

Al ser el creador de un programa, es probable que estés en una mejor posición que nadie para estar al tanto de las vulnerabilidades de seguridad y los posibles ataques. Si conoce una vulnerabilidad en un sistema que escribió, ¿es una señal de que DEBE agregarse una mayor seguridad antes del lanzamiento, o debería evaluarse caso por caso para determinar la gravedad de la brecha de seguridad?

    
pregunta Morgan Herlocker 31.05.2011 - 20:15

5 respuestas

6

Yo diría que debería hacerse caso por caso. Tú eres el autor, sabes muchos de los agujeros. Algunas vulnerabilidades solo pueden ser conocidas por usted. Por supuesto, eso significa que si alguno de ellos es explotado, es posible que tenga que responder algunas preguntas difíciles, por lo que sería una buena idea reducir estas vulnerabilidades si es posible. Más importante es si alguien puede hackearlo fácilmente como un sistema de caja negra.

    
respondido por el FrustratedWithFormsDesigner 31.05.2011 - 20:25
31

He tenido la desafortunada experiencia de estar en la situación dos veces. El negocio en ambos casos fue la publicación de productos con problemas de seguridad serios con datos muy confidenciales.

En ambos casos, a la empresa no pareció importarle, a pesar de mis mejores esfuerzos para hacerlos conscientes de los riesgos que estaban tomando.

Lo único que puedes hacer es protestar lo más fuerte * (y profesionalmente) que puedas, siendo lo más claro posible sobre las posibles consecuencias, y mientras lo haces, documenta todo . Imprima sus correos electrónicos relevantes a PDF y guárdelos en su casa, o bcc su dirección de correo electrónico personal, o como lo haga. Esta es la única solución para cuando algo malo sucede inevitablemente.

Esperaría que la gerencia lo respetara por su asesoramiento técnico y lo tuviera en cuenta, pero desafortunadamente, tiene que respetar a quien toma las decisiones al final del día. Las malas decisiones de negocios se toman todos los días.

Edit: jasonk mencionó "Por favor, tenga mucho cuidado con BCC en la dirección de su casa", y estoy muy de acuerdo. No infrinja la política de la empresa, y corra el riesgo de poner la vulnerabilidad de seguridad más abierta de lo que ya está.

    
respondido por el aceinthehole 31.05.2011 - 20:25
12

Argumentaría lo contrario: al ser el creador, con frecuencia estás demasiado cerca del código para ver las vulnerabilidades.

Si sabe o se le informa acerca de las vulnerabilidades, son como cualquier otro error: evalúe, priorice y luego corrija.

    
respondido por el DaveE 31.05.2011 - 20:22
4

Creo que la respuesta depende del grado de daño que se produciría si el sistema fuera comprometido por un pirata informático malicioso. Obviamente, un ingeniero civil no pudo aprobar el diseño de un puente inseguro con buena conciencia. La construcción de dicho puente podría provocar lesiones o la muerte. También sería ilegal que el ingeniero haga esto a sabiendas, pero el hecho de que los ingenieros de software (al menos en los EE. UU.) No estén vinculados legalmente de la misma manera no los exime del deber profesional de tomar una posición en contra de los sistemas defectuosos. Desafortunadamente, es posible que su empresa no necesite su firma para lanzar el software.

No especifica la naturaleza exacta del sistema en el que está trabajando. Si está relacionado con registros médicos, bancos, control de tráfico aéreo o alguna otra infraestructura realmente crítica, diría que estaría bien justificado en insistir en el nivel de seguridad más alto posible antes de su publicación.

    
respondido por el PeterAllenWebb 31.05.2011 - 21:37
3

Sí, DEBE arreglarlo antes de que salga el lanzamiento. Nunca subestimes el ingenio de un hacker. ¿Se iría de vacaciones por una semana con la puerta trasera abierta? Sería tu excusa,

"Oh, está en la parte de atrás y no da directamente a la calle. Nadie lo vería completamente abierto .."

Probablemente no.

Pero entiendo estos días con el primer ministro despistado de cómo la fecha de lanzamiento más sagrada es más importante que un problema de responsabilidad potencialmente enorme con la seguridad. Si este es su caso, le sugiero que lo llame a la atención, registre el problema, asegúrese de que esté bien documentado, sea bien conocido y de que los riesgos estén claramente explicados, y deje que el primer ministro decida qué hacer.

Si el primer ministro toma una mala decisión y decide ignorar esto y seguir adelante con el lanzamiento según lo programado, quedará exento de responsabilidad ya que hizo sonar el silbato.

De lo contrario, si encuentra esto y se lo guarda para usted y sucede algo, USTED puede ser personalmente responsable de las consecuencias.

La elección es tuya.

    
respondido por el maple_shaft 31.05.2011 - 20:26

Lea otras preguntas en las etiquetas