Devriez-vous jamais publier quelque chose que vous pourriez vous-même pirater?

12

En tant que créateur d'un programme, vous êtes probablement mieux placé que quiconque pour être au courant des failles de sécurité et des hacks potentiels. Si vous connaissez une vulnérabilité dans un système que vous avez écrit, est-ce un signe qu'une sécurité accrue DOIT être ajoutée avant la publication, ou doit-elle être évaluée au cas par cas pour déterminer la gravité de l'écart de sécurité?

security release Morgan Herlocker
la source
7
Bien sûr, la NSA le fait tout le temps :)
Jaap
3
@Jaap: La NSA est accusée de cela tout le temps. Dans un cas, je sais où les gens ont découvert ce qui s'est réellement passé, étant la norme de cryptage DES, il s'avère que les modifications de la NSA ont en fait rendu le cryptage plus fort , pas plus faible, ce qui le rend moins susceptible d'être piraté par une technique que personne, sauf la NSA, n'avait encore découvert, car ils savaient que quelqu'un d'autre finirait par le découvrir.
Mason Wheeler
6
@MasonWheeler Je pense que les événements récents ont rendu votre commentaire, ici depuis 2012, obsolète.
aceinthehole

Réponses:

6

Je dirais que cela devrait être fait au cas par cas. Vous êtes l'auteur, vous connaissez beaucoup de trous. Certaines vulnérabilités ne sont peut-être connues que de vous. Bien sûr, cela signifie que si l'une d'entre elles est exploitée, vous pourriez avoir des questions difficiles à répondre, donc ce pourrait être une bonne idée de réduire ces vulnérabilités si possible. Le plus important est de savoir si quelqu'un peut facilement le pirater en tant que système de boîte noire.

FrustratedWithFormsDesigner
la source
3
J'aimerais seulement connaître tous les trous dans les logiciels que j'ai écrits. Ensuite, je pourrais tirer parti de cela pour trouver tous les bogues, et il serait beaucoup plus facile de bien écrire les choses.
David Thornley
1
@David: Ok, beaucoup ...
FrustratedWithFormsDesigner
31

J'ai eu la malheureuse expérience d'être deux fois dans la situation. Dans les deux cas, l'entreprise commercialisait des produits présentant de graves problèmes de sécurité avec des données très sensibles.

Dans les deux cas, l'entreprise ne semblait pas s'en soucier, malgré tous mes efforts pour les sensibiliser aux risques qu'ils prenaient.

La seule chose que vous pouvez faire est de protester aussi fort * (et professionnellement) que possible, en étant aussi clair que possible sur les conséquences potentielles, et pendant que vous faites ce document, tout . Imprimez vos e-mails pertinents au format PDF et conservez ces fichiers à la maison, ou bcc votre adresse e-mail personnelle, ou comment vous le faites. C'est la seule solution lorsque quelque chose de mauvais se produit inévitablement.

Vous souhaiteriez que la direction vous respecte pour vos conseils techniques et en tienne compte, mais malheureusement, vous devez respecter celui qui est le décideur au bout du compte. Les mauvaises décisions commerciales sont prises tous les jours.

Edit: jasonk a mentionné "s'il vous plaît soyez très prudent BCCing votre adresse personnelle", et je suis tout à fait d'accord. Veuillez ne pas enfreindre la politique de l'entreprise et risquer de mettre la vulnérabilité de sécurité plus à découvert qu'elle ne l'est déjà.

aceinthehole
la source
21
+1 pour TOUT DOCUMENT !!! Lorsqu'une catastrophe majeure se produit et que le travail du gestionnaire est en jeu, il / elle fera TOUT pour faire passer le blâme de TOUTE manière possible. Si vous documentez des problèmes, des e-mails, des notifications, des mémos et d'autres documents liés à la décision, vous vous protégez d'une mauvaise situation.
maple_shaft
11
Af cking-men. Quiconque est assez louche pour expédier sciemment un produit gravement défectueux peut et fera * tout pour esquiver la balle éventuelle.
Peter Rowell
Veuillez faire très attention à votre adresse personnelle.
jasonk
2
@jasonk: Pourquoi dites-vous cela? BCC signifie que les autres destinataires ne peuvent pas le voir ...
Mason Wheeler
3
@Mason: les destinataires ne le peuvent pas, mais le service informatique le peut, et si vous envoyez des informations sensibles (dont les failles de sécurité sont certainement) hors site, vous risquez de vous retrouver dans un monde de mal.
Eclipse
12

Je dirais le contraire - étant le créateur, vous êtes souvent trop proche du code pour voir les vulnérabilités.

Si vous connaissez ou êtes informé des vulnérabilités, elles sont comme n'importe quel autre bogue - évaluez, hiérarchisez, puis corrigez.

DaveE
la source
+1: Vous savez comment mon programme devrait fonctionner et dans une certaine mesure ne pensez qu'à l'utiliser comme ça. Avoir quelqu'un qui ne connaît pas la «bonne» façon d'utiliser le programme est l'un des meilleurs tests que vous puissiez faire.
unholysampler
En tant que personne relativement nouvelle en assurance qualité, je suis entré dans le travail en m'attendant à ce que les bogues de "faille de sécurité" soient traités avec une extrême gravité. Mais j'ai trouvé que le label "sécurité" ne constitue pas toujours un besoin d'une réponse de tolérance zéro. Certaines entreprises sont parfaitement heureuses de prendre des risques de sécurité si la vulnérabilité ne semble pas mettre en danger la réputation de la marque, ou offre peu de hackers aux gagnants, et les futures versions incluront probablement un correctif (ou un changement de fonctionnalité) de toute façon.
Greg Gauthier
4

Je pense que la réponse dépend du degré de préjudice qui se produirait si le système était compromis par un pirate malveillant. De toute évidence, un ingénieur civil ne pouvait pas approuver la conception d'un pont dangereux en toute bonne conscience. La construction d'un tel pont pourrait entraîner des blessures ou la mort. Il serait également illégal pour l'ingénieur de le faire sciemment, mais le fait que les ingénieurs logiciels (au moins aux États-Unis) ne soient pas juridiquement liés de la même manière ne les exonère pas de l'obligation professionnelle de prendre position contre les systèmes défectueux. Malheureusement, votre entreprise n'a peut-être pas besoin de votre signature pour publier le logiciel.

Vous ne spécifiez pas la nature exacte du système sur lequel vous travaillez. S'il s'agit de dossiers médicaux, bancaires, de contrôle du trafic aérien ou de toute autre infrastructure vraiment critique, je dirais que vous auriez tout à fait raison d'insister sur le plus haut niveau de sécurité possible avant la libération.

PeterAllenWebb
la source
+1 Pour le contexte, j'ajouterais que toutes les données qui incluent des numéros de sécurité sociale, des numéros d'identification ou des numéros de carte de crédit devraient également porter attention à la sécurité. Les systèmes qui ne stockent aucune de ces informations et ne sont pas des systèmes critiques ont des données à faible risque et vous n'auriez pas à vous soucier autant de la sécurité.
maple_shaft
3

Oui, vous DEVEZ le corriger avant la sortie de la version. Ne sous-estimez jamais l'ingéniosité d'un pirate. Souhaitez-vous partir en vacances pendant une semaine avec votre porte arrière grande ouverte? Votre excuse serait-elle,

"Oh, c'est à l'arrière et il ne fait pas directement face à la rue. Personne ne le verrait grand ouvert ..."

Probablement pas.

Mais je comprends ces jours-ci avec le Premier ministre ignorant à quel point la date de sortie la plus sacrée est plus importante qu'un problème de responsabilité potentiellement énorme avec la sécurité. Si tel est votre cas, je vous suggère de le signaler à votre attention, de consigner le problème, de vous assurer qu'il est bien documenté, bien connu et que les risques sont clairement expliqués et de laisser le PM décider quoi faire.

Si le PM prend une mauvaise décision et décide de l'ignorer et de procéder à la libération dans les délais, vous êtes dégagé de toute responsabilité puisque vous avez dénoncé.

Sinon, si vous le trouvez et le gardez pour vous et que quelque chose se produit, VOUS pouvez être tenu personnellement responsable des conséquences.

Le choix t'appartient.

maple_shaft
la source
4
Aux États-Unis, au moins, ce n'est pas un problème de responsabilité potentiellement énorme, car pratiquement aucun logiciel n'est livré avec une sorte de garantie. Les logiciels pour dispositifs médicaux sont une exception, et il y en a probablement d'autres, mais la plupart des logiciels et des services basés sur des logiciels sont essentiellement «sans garantie».
David Thornley
1
Aucune garantie? Pourquoi ne dites-vous pas cela aux millions de clients Sony qui se sont fait voler leurs numéros de sécurité sociale et autres données sensibles en raison EXACTEMENT des failles de sécurité comme le suggère l'OP.
maple_shaft
2
Bien que David ait raison, le manque de responsabilité civile exécutoire peut être un réconfort froid lorsque la réputation de votre entreprise est ruinée, ou que votre petite entreprise est tout simplement mise en cause par une plus grande entreprise.
PeterAllenWebb
@maple_shaft: Et quelle est la responsabilité de Sony? Ils ont offert un an de services de protection de crédit, mais je ne pense pas qu'ils aient une responsabilité légale. C'est un coup porté à leur réputation, mais ils y ont déjà survécu.
David Thornley
1
@Rory: Voyons cela dans deux ans. J'aimerais penser que le fiasco du rootkit, la suppression arbitraire d'AutresOS et cette fuite rendraient Sony moins populaire à long terme, mais je ne suis pas du tout confiant.
David Thornley