Vraag:
Hoe lang moet ik wachten voordat het beveiligingsprobleem escaleert?
JRLambert
2016-08-05 21:21:57 UTC
view on stackexchange narkive permalink

Gisteravond maakte ik mezelf vertrouwd met de codebasis van een applicatie die ik ga ondersteunen. Daarbij heb ik een kwetsbaarheid gevonden die moet worden verholpen. Deze applicatie is de kern van het bedrijf en als deze wordt misbruikt, komt gevoelige informatie beschikbaar. Bovendien is deze applicatie pas de afgelopen maanden live gegaan, dus ik was echt verrast door het gebruik van code die al jaren als achterhaald en kwetsbaar werd beschouwd.

Na deze ontdekking stuurde ik een e-mail naar de ontwikkelaar van de applicatie waarin ik uitlegde dat dit een probleem is en waarom. Ik heb verschillende links en een paar academische papers bijgevoegd om te ondersteunen wat ik zei. Zijn antwoord was eigenlijk 'Ja, dit kan beter'.

Ik ben goede vrienden met deze ontwikkelaar en wil niet dat hij het gevoel heb dat ik probeer te dicteren hoe zijn applicatie wel of niet zou moeten zijn geschreven, maar dit is een groot probleem. In de e-mail begon ik met te zeggen dat ik dit met hem wilde bespreken voordat ik hierover met de directeur beveiliging sprak.

Hoe lang moet ik hem de tijd geven om deze oplossing op de agenda te krijgen voordat hij escaleert aan de directeur beveiliging?

U kunt overwegen om naar de teamleider of manager van de ontwikkelaar te gaan voordat u de beveiliging inschakelt.
Ik zou het snel escaleren. Ik zou terugdeinzen voor het tonen van academische papers, maar liever een volledig voorbeeld ervan in actie tegen de codebasis als demonstratie. Laat zien wat je hebt gedaan, hoe je het hebt gedaan en hoe het een exploitpunt is. Als het "theoretisch" een kwetsbaarheid zou kunnen zijn, dan heeft u wat meer uitleg van uw kant nodig, maar bereid u voor om critici te ontmoeten. Je hebt toen tenminste je punt naar voren gebracht.
Ik zou willen voorstellen om de Disclosure-tag te bekijken op http://security.stackexchange.com/questions/tagged/disclosure?sort=newest&pageSize=50
@RoryAlsop: Dat gaat over _publieke openbaarmaking_. Als een werknemer van het bedrijf een beveiligingsprobleem _van zijn bedrijf_ openbaar maakt, zal die werknemer van het bedrijf een ex-werknemer zijn.
gnasher729 - nee, het omvat zowel intern als extern. Lees de vragen eens. Er zit veel in om ervoor te zorgen dat de timing eerlijk en ethisch is, wanneer en hoe te escaleren, en wanneer je eindelijk openbaar moet worden - wat in sommige gevallen absoluut het juiste is om te doen cf. Klokkenluiden
Drie antwoorden:
PeteCon
2016-08-05 21:26:19 UTC
view on stackexchange narkive permalink

Spreken als beveiligingsanalist ...

Het gaat er niet om hoe lang je moet wachten, maar eerder: "Wat ga je doen als een hacker de exploit ontdekt en iemand in je bedrijf je realiseert wist er al van maar deed niets "

Ik zou zeggen dat u de zorgplicht heeft om dit probleem zo snel mogelijk te laten escaleren. U hoeft misschien niet helemaal naar de directeur beveiliging te gaan, maar het beveiligingsteam in het algemeen moet hiervan op de hoogte worden gebracht. Het beperkingsverzoek zal dan van hen naar de ontwikkelaar komen en zal aandacht krijgen.

Momenteel is of Director of Security ons beveiligingsteam, dus hij moet het zijn. Ik begrijp uw punt, dus ik zal dit vandaag ter sprake brengen.
Verderop; het is geen schande dat een ontwikkelaar per ongeluk een beveiligingslek in een code heeft achtergelaten; hij zal er niet voor gestraft worden. Het is het beste om er nu achter te komen, in plaats van erna. Als hij het echter niet leert, en dezelfde gaten in zijn code blijft aanbrengen, zal er iets worden gezegd.
Ik heb dit naar mijn manager gebracht nadat het niet in scrum was opgevoed.
Als je scrum gebruikt, plaats je het op de backlog en breng je het naar voren in de scrum.
@JRLammbert Ik ben het ermee eens, escaleer naar de juiste persoon met behulp van ** schrijfmiddelen ** en doe er niets aan tenzij het wordt verteld. Ik zag al het ergste dan dit en het zou niemand iets kunnen schelen, dus er werd niets gedaan, maar dat was niet meer mijn verantwoordelijkheid.
Kilisi
2016-08-07 16:09:41 UTC
view on stackexchange narkive permalink

Je zou het zeker kunnen bespreken met degene die verantwoordelijk is en blijven escaleren totdat het is opgelost.

Persoonlijk in plaats van de ontwikkelaar over het probleem te vertellen en het aan hem en anderen over te laten. Ik vind een probleem, ik zoek uit hoe ik het kan oplossen, ik geef ze een oplossing op hetzelfde moment dat ik het meld. Ik ben bezig met het oplossen van problemen, niet met het creëren ervan. IEDEREEN waardeert het als het op deze manier wordt gedaan.

Dus ik schets nooit een probleem zonder op zijn minst een voorlopig plan van aanpak.

Pardon, maar als u niet de ontwikkelaar van de applicatie bent, is het niet uw zaak om oplossingen uit te werken. Ik zou het zeker _niet_ op prijs stellen als u probeert oplossingen te vinden voor problemen die u waarschijnlijk niet begrijpt in een codebase die u niet begrijpt.
@gnasher729 in theorie is het niet jouw taak om fouten te rapporteren, vooral als je ze niet begrijpt. Dit is in het geval dat u goed begrijpt wat u doet. Tenzij uw rol op zoek is naar fouten. Maar ik begrijp wel dat een paar ontwikkelaars hun ego te veel hebben opgeblazen en de hulp niet zouden waarderen.
De man is net begonnen in een codebase te komen. Hij is een beginner.
@gnasher729 Ja, dat heb ik begrepen
'ze maken', dat is wat slechte managers hierover zullen zeggen, aangezien het probleem al bestaat.
gnasher729
2016-08-08 02:04:19 UTC
view on stackexchange narkive permalink

Veel succes met je toekomstige carrière.

U bent dus de grootste beveiligingsexpert ter wereld. Je bent ook een expert op het gebied van softwareontwikkeling. Het verbaast je dat er oude code in een applicatie zit die een paar maanden geleden in gebruik is genomen? Applicaties worden niet de hele tijd helemaal opnieuw geschreven. Die applicatie zal gebaseerd zijn op een oudere applicatie die gebaseerd is op een nog oudere applicatie etc.

Je hebt contact opgenomen met de software ontwikkelaar. Wat denk je dat de ontwikkelaar gaat doen? Niets. Hij gaat niets doen tenzij het van zijn manager komt. U "wilt niet dat hij voelt dat ik probeer te dicteren hoe zijn sollicitatie wel of niet moet worden geschreven". Dat is erg aardig van je. Vertel hem dit alsjeblieft. Hij zal zeggen "heel erg bedankt, en als je het ooit probeert, zal ik gepast reageren om ervoor te zorgen dat je het niet nog een keer probeert". Zijn antwoord op uw informatie was: "Ja, dit kan beter". Er zijn duizenden dingen die beter zouden kunnen worden gedaan, en als we onbeperkte tijd en budget hadden, zouden we ze beter doen, maar dat doen we niet.

Het lijkt erop dat je iets hebt gevonden waarvan je in theorie weet. In de praktijk weet u niet of het exploiteerbaar is. U weet niet of de "gevoelige informatie" schadelijk zou zijn (als de "gevoelige informatie" bijvoorbeeld een handelsgeheim is, zal geen enkele concurrent het durven aanraken). U weet niets over prioriteiten - er is misschien geen budget om bepaalde dingen te doen, dus het probleem werd genegeerd.

In het ergste geval meld je dit schriftelijk aan het hoofd van de beveiliging, die dit niet meer kan negeren, wat betekent dat ontwikkelingsinspanning wordt besteed aan een beveiligingsoplossing waarvan niemand denkt dat deze nodig is, wat betekent dat het bedrijf dingen nodig heeft gebeuren niet. En wanneer de CEO vraagt ​​waarom dingen die hij wilde doen niet gebeurden, is het antwoord "omdat JRLambert een beveiligingsprobleem meldde".

Dit is wat u moet doen: ga naar de manager die verantwoordelijk is voor de ontwikkeling van het product, vertel het hem en kijk wat hij zegt. Aangezien u die toepassing begint te ondersteunen, is het uw taak om deze te repareren als deze belangrijk wordt geacht.

Zou het interessant zijn om te weten wat het is met dit antwoord dat twee mensen het niet eens waren met genoeg om het te verlagen?
@Carson63000 Waarschijnlijk gestemd omdat het snauwachtig overkomt. Terwijl de inhoud er is; de toon doet afbreuk aan wat probeert te worden gecommuniceerd. "Dus je bent 's werelds grootste beveiligingsexpert" is geen ideale manier om met een antwoord te beginnen. zie http://workplace.stackexchange.com/help/be-nice
@Carson63000 de snark helpt absoluut niet; in het algemeen ben ik het echter absoluut niet eens met de hele "ja, we weten dat het beveiligingsproblemen heeft, maar het kan me niet genoeg schelen er iets aan uit te geven" in dit antwoord versus het geaccepteerde antwoord.


Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...