Qué hacer cuando encuentre un agujero de seguridad en el sitio de su empresa

13

He encontrado un importante agujero de seguridad en uno de los sitios públicos de mi empresa. Este es nuestro primer sitio público que se convirtió desde un sitio de intranet. Le comenté este problema a mi jefe y esencialmente lo ignoraron, diciendo que tomaría mucho trabajo rediseñar el sitio para que sea seguro.

Esto realmente me ha molestado y he pensado en explotar el agujero para mostrar los efectos que esto podría suceder si un hacker real llegara a él. Probablemente esta no sea la mejor idea, ya que los efectos podrían costarme mi trabajo si no algo peor.

¿Qué cosas puedo hacer para mostrar la magnitud de la situación a la gerencia?

security ethics Jim
fuente
8
Asegúrate de tener todo por escrito. Incluyendo su mención del agujero de seguridad y su despido.
FrustratedWithFormsDesigner

Respuestas:

13

La responsabilidad de un gerente es administrar el riesgo.

Cuando se descubrió un agujero de seguridad de secuencias de comandos cruzadas en Gmail, esto presentó un riesgo muy crítico que el equipo trabajó rápidamente para resolver. Debido a que hay millones de usuarios de Gmail, si escribiera una aplicación web que explotara esta falla, habría una buena posibilidad de que los usuarios de mi aplicación web puedan estar usando Gmail y tenerla abierta en otra pestaña. Por lo tanto, como phisher, puede valer la pena construir una aplicación de este tipo para obtener acceso a los datos del usuario.

La pregunta que su gerente puede hacerse es esta: ¿Qué tan riesgoso es este agujero de seguridad? ¿Cuál es la probabilidad de que exista una aplicación web que esté dirigida a este agujero de seguridad en particular en este sitio en particular? ¿Cuál es el riesgo de que los empleados que visitan nuestro sitio web también usen este sitio web de terceros?

En mi experiencia, si su sitio no recibe una gran cantidad de tráfico, entonces no hay mucho riesgo.

Su jefe puede estar pensando que el costo de oportunidad de no solucionar este agujero de seguridad en particular que puede o no ser un problema, es que él o ella puede enfocar los recursos en actividades que ayudarán a hacer crecer el negocio y generar ingresos.

Dicho esto, hubo un problema muy similar a este en el que Github fue pirateado, y hay una pregunta sobre Project Management SE que cubre este tema desde una perspectiva de gestión de proyectos. El usuario que pirateó Github estaba en una situación similar a la suya, y sus privilegios de Github fueron suspendidos por un período de tiempo.

Mi pregunta para usted es esta: ¿Qué le sucede a su negocio si el sitio se cae? ¿Cuál es la probabilidad de que incluso veas explotar este agujero de seguridad?

Si elige perseguir esto, necesitará obtener objetivamente evidencia de que esta es una amenaza muy real e inminente para la viabilidad del negocio.

Aquí hay algunas sugerencias para obtener evidencia de que este es un problema real:

  • Realice búsquedas en Google buscando artículos de noticias, blogs u otras experiencias de empresas que han experimentado problemas importantes como resultado de un agujero de seguridad similar y relacionado. Demuestre que este es un riesgo que vale la pena abordar en lugar de otras oportunidades comerciales.

  • Discuta con otro personal técnico del equipo y obtenga su conocimiento. Si el problema es realmente grave, debería poder encontrar a otros que también puedan respaldarlo. De lo contrario, sus preocupaciones no están justificadas o tiene problemas importantes de seguridad en la cultura de su empresa.

  • Discuta otras opciones con su departamento de TI para reparar el agujero que involucra soluciones de solución más rápida que, aunque no son ideales, pueden mitigar el riesgo y brindarle tranquilidad sin romper la hucha corporativa. A veces, una pequeña cantidad de trabajo puede ayudar a eliminar parte del riesgo, si no todo.

Si los puntos anteriores no funcionan, entonces considero dejarlo pasar y sé que estos problemas van a ser una parte normal de la gestión de riesgos del negocio.

jmort253
fuente
2
Siento que esta respuesta no cubre suficiente del tema. La naturaleza del agujero de seguridad no se mencionó en el OP; Por lo que sabemos, podría permitir a los atacantes recuperar información de la tarjeta de crédito de su base de datos, lo que puede ser desastroso, sin mencionar que podría tener ramificaciones legales si se ignora.
Daenyth
+1: al final del día a) se trata de costos versus beneficios y las personas con derechos de decisión tomarán las decisiones yb) no se mencionó la naturaleza del agujero de seguridad, pero apuesto a que la gerencia sabe mucho más sobre eso que cualquiera de nosotros en este foro. Así que sí, OP trajo el tema y ahora volvemos a "la responsabilidad del gerente es administrar el riesgo"
DXM
@Daenyth: tienes toda la razón. ¡Gracias! Agregué algunas sugerencias como viñetas para abordar el problema, en caso de que el operador decida continuar. Después de todo, realmente podría ser un problema grave y paralizante que puede no solo afectar a la empresa sino también a la seguridad de millones de usuarios.
jmort253
@ jmort253: ¡La actualización es mucho mejor - +1 de mi parte!
Daenyth
1
Jim, no sé cuán experimentado eres o cuántos otros trabajos de desarrollador has tenido, pero creo que te encontrarás con esto cuando vayas a otros lugares. El propósito de cualquier negocio es obtener ganancias, y creo que a veces los desarrolladores que están divorciados del lado operativo y financiero del negocio olvidan que el propósito de un negocio es obtener ganancias. Además, considere esto: su área no es la única área donde existen riesgos. Tal vez su gerente vea un riesgo aún mayor al no enfocarse en formar el equipo de ventas o lanzar un producto o plan de marketing urgente.
jmort253
10

Si tiene equidad, presione para programar una reunión semanal o mensual para revisar las preocupaciones de seguridad y esto puede ser solo un tema en esa agenda. Mover el foco del tema particular al área general es a menudo una técnica efectiva.

Si no tienes capital, sigue adelante.
Has planteado el problema a la gerencia y han pasado. Puede intentarlo nuevamente si es importante para usted. Y de nuevo si es realmente importante. Si es realmente muy importante, consiga otro trabajo y diga a los posibles empleadores por qué. Los que valoran más la ética probablemente la apreciarán.

También tenga en cuenta que si ha planteado el problema y obtuvo un no, ahora se enfrenta a cambiar la opinión de las personas, lo cual es muy difícil. Yo iría por el camino de lograr que estuvieran de acuerdo contigo y te dieran un sí. por ejemplo, "ambos queremos que la empresa tenga éxito". Si. "Sé que a los dos nos importa la seguridad". Si. "Sabemos que tenemos un presupuesto muy limitado para abordar estos artículos". Si. Obtenga algunos de estos y luego comience a orientarse hacia un cronograma para hacer las correcciones de seguridad.

Otro enfoque 'más suave' es aceptar que no tiene el tiempo / recursos para hacer esto ahora. Pero, ¿puede presionar por un acuerdo en una fecha en que se abordará? Puede ser en una semana, o un mes, o 6 meses. Por lo general, el tiempo vuela y luego estás allí.

Michael Durrant
fuente
Me aseguraría de poner mi advertencia por escrito y guardar una copia, pero si ha informado a las personas correctas, ha hecho lo correcto. Lo que eligen hacer con él, bueno, ese es su problema.
Zachary K