Yazılım mimarı olmaktan utanmalı mıyım?
Yazılımın gelişimi ilginç zorluklarla doludur ve her zaman öğrenilecek yeni bir şey vardır: sonuçta, yazılım insanların inşa edildiği en karmaşık şeylerden biridir. Ancak gerçekliğin sonuçları bazen hayal kırıklığı yaratandan daha fazlasıdır: utanç vericidirler.
Mevcut C'et, altyazıları aslında ilk heyecan olabilecek bir makaledir: bunlar test ve aşılama tarihi için yazılımdaki “tipik” veri kayıplarıdır. Başka bir deyişle, bu alandaki yazılım o kadar güvensizdir ki tipik hatalar vardır ve bu yazılım da üretimde. Makalede tartışılan yazılım tıbbi yazılımdır. Diyelim ki diğer ilaçlar hakkında konuşacağımız. Gerçekte reçete edilen ve alınan ilaçlar için önlenebilir “tipik” güvenlik sorunlarının olması kabul edilebilir mi?
Bu arada, sadece bu alanda değil. Grubun kurtarılması da bu çözümlerin kesinliğini yoğun bir şekilde ele alıyor ve şöyle yazıyor: “Şimdi üç ay içinde dördüncü test merkezinin verilerinin kaybını bulduk ve sadece rahatsızız”. Dördüncü sorun üç ay içinde çeşitli ilaçlarla birlikte olurdu ne derdik? Ve sonra uzmanlar ilacın güvenliğinden “rahatsız oldular” mı?
İlk bakışta, yazılım ve ilaçlar arasındaki karşılaştırma çok uzakta görünmektedir. Bu arada, verilerin her yerde kaybettiği birçok kişi için kayıtsızdır. Çok sık olur ve bazı şirketler müşterilerine casusluktan yaşarlar. Ancak hızlı test yazılımı test sonuçlarını çok kolay hale getirdi. Bu test sonuçları, enfekte ile temas yoluyla insanları enfeksiyondan korumak için gereklidir. Test sonuçları yanlış olabilirse, bu kusurlu bir ilaç gibi bir sağlık riskidir. İletişim izleme için Luca uygulaması, sağlık yetkililerine yönelik saldırılar için de kullanılabilir. Başarılı bir saldırının sonuçları hakkında spekülasyon yapmak istemiyorum.
Güvenlik Sorunları Dergiler Çözüldü mü?
Makalenin tanıtımı çok okunaklıydı, bu nedenle C't'in test ve aşılama tarihi için yazılımdaki veri kayıpları hakkında çeşitli raporlara sahip olduğu ilişkileri. With sorunları takip etmez ve üreticileri bilgilendirir. İşte bir sonraki heyecan: Orada, inceleme ve diğerleri kesinlikle mükemmel bir iş yapacak, ancak açıkçası bir dergi veya bir grup uzman bu sorunlarla ilgilenmelidir. Uyuşturucuları tekrar benzetelim. Rutin bir derginin uyuşturucularla ilgili olası sorunlar hakkında bilgilendirilmesi kabul edilebilir ve bu nedenle bu derginin vakaları daha ayrıntılı bir şekilde incelemesi ve üreticilerin tavsiye ve eylemlerle desteklenmesi – ve sadece bu şekilde sorunlar gerçekten çözüldü mü? Basında bilinen ve bilimsel çalışmalara uyuşturucu üzerine bilimsel çalışmalar yayan uzmanlık dergisinin kesinlikle skandalları vardır. Ancak ilaçlarla ilgili açık problemler rutin değildir. Ve önlemler sektörde ve yetkililerde böyle kalması için kurulmuştur.
Kullanıcılar: İçinde güvenliği değerlendirmelidir
Sonuç bir sonraki heyecan: “Doktorlar ve eczacılar yazılıma çok vicdanlı bir şekilde bakmalı (veya bağımsız bir BT uzmanına danışmalı)”. Doktorlardan pek ciddiye alabilirsiniz: İç ve Eczacılar: İçeride, yazılımın güvenliğini değerlendirmek için yeterlilik isteyin. Yazılım geliştirme alanında çalışıyorum ve kendime gerçekten güvenmem. Son zamanlarda bir güvenlik sorunu hakkında özel olarak tavsiye istedim ve ayrıca tavsiye verdim. Ancak, sonunda büyük bir etkisi olan bir ayrıntıyı ihmal etmiş olabileceğim kötü duygu. Bu nedenle, bir uzmanın tavsiyesinin göstergesi de çok yararlıdır. Ama burada da bir ilaç için çabalıyorum: Bir hastadan bir ilacın güvenliğiyle yüzleşmesini isteyebilir misiniz? Gerçekte eczanede satın aldığım veya benim için bir doktor reçete eden ilaçları bekliyorum. Genellikle bir eczacı bile oldu: İç ve Doktorlar: Detaylar ve olası sorunlar hakkında proaktif olarak tavsiye ederim.
Kullanıcılar için veri koruma sorumluluğu: İçeri girmenin feci sonuçları olabilir. Bazı öğretmenler: Dersleri için Pandemik'te video konferans çözümleri kullananların içinde, bu çözümlerin güvenliği ve veri koruması kendilerini değerlendirmek zorunda kaldı çünkü ürün hakkında genellikle net bir önerileri yoktu. Sonunda, öğretmenler değerlendirmelerinin yanlış olduğu sonuçlarla yaşamalıdır – ya da kendilerini riske maruz bırakamaz ve video konferans için dersler vermemelidir. Her iki sonuç da kabul edilemez.
Ancak çözümlere bir göz atma önerisi mantıklıdır: aslında, okuyucular içeride açıklanan zorlukları anlayamaz ve yazılımı bu zayıf noktalardaki inceleyemez. Dolayısıyla bu sorunlar yazılım geliştiricileri için de geçerlidir: içeride anlaşılabilir ve bu, neden yazılımda mevcut oldukları sorusunu gündeme getirir. Başka bir deyişle, ince zorluklardan bahsetmiyoruz, ancak bir derginin bazı sayfalarını inceledikten sonra anlaşılabilen ve muhtemelen park edebilmeli ve bu yazılım çözümlerinin üreticileri başarısız oluyor.
Aslında ne kadar profesyonel değiliz?
C't ve birçok güvenlik araştırmacının: İç ve Uzmanlara: İç Mekan'a dikkat edin. Ancak yazılım geliştirme sektörümüzün piyasaya bu kadar yanlış ürünler getirmesi korkutucu. Sonuç olarak, hiçbir protesto yok, ancak kullanıcıların durumla nasıl başa çıkabilecekleri ve yazılımın güvenli olup olmadığını kendileri için nasıl bulabilecekleri konusunda hareket eden bir makale. Bu durumu kabul ettiğimiz için o kadar sıkıcı mıyız? Sektörümüz gerçekten çok az profesyonel mi, kullanıcılar ürünlerimizdeki bu kusurlarla uğraşmak zorunda mı? Ürünlerimizin hatalarına sahip kalite standartlarımız, bir dergide bazı sayfaları okuduktan sonra ilgilenen bir kişi olarak teşhis edilebilecek mi?
Bu uygulamaların kişisel sağlık verilerini yönetmesi özellikle tartışmalıdır. Bu veriler çok hassastır ve özellikle korunmaya layıktır. Kişilerin izlenmesi için, Luca sağlık verilerine uygulanır, çünkü enfekte kişilerin uygulama aracılığıyla takip edilmesi gerektiğinden. Bunu yapmak için enfeksiyon durumu bilinmelidir – ve sağlık verileridir. Bu uygulama için birçok eleştiri ve sağlık yetkililerine yukarıda belirtilen olası saldırılara kadar güvenlik boşlukları var. Bu amaçla, güvenlik uzmanı Marcus Mengs başlangıçta yaklaşık 21.000 kelimeye sahip bir belge yazdı ve daha sonra Luca uygulaması üzerinde çalışmayı bıraktı. Nedeni belgede: “Üretici bana koddaki güvenlik boşluklarına yol açan bağlantıları belgelemem için zaman vermiyor ve bunun yerine kodu yeni hatalarla yamalıyorum”.
En az 25 milyon Euro ile Luca uygulamasına ticari başarı olarak adlandırılmalıdır. Ve uygulamanın Smudo müzisyeninden önemli bir desteğe sahip olduğu biliniyor. Grubu “The Fantaster Four” ürünün “hevesli” ve ekibin bir parçası olarak görülüyor. Bu, sektörümüzün durumu için açıklayıcı bir seçenek göstermektedir: eğer önem ve ticari başarı alkışları uygulamaların güvenliği ile parçalanırsa, görmezden gelme ile çatışan etik ilkeleriniz olmadığı sürece başarı için önemli değildir, çünkü kesinlikle yüzleşmek mantıksızdır.
Bununla birlikte, saçmalıkların üst kısmı, veri korumasının etkili ve verimli açıdan engellediği tekrar tekrar dinlenebilen konudur. Luca uygulamasında “uygulanan veya” uygulanan “makalede açıklanan” veri koruması “en azından anlaşılamaz. Veri koruması bir yandan garanti edilmez, ancak sektörümüzde daha fazla kusur için mazeret olabilir.
Hiç fena değil
Ama parlak noktalar da var. Diğer şeylerin yanı sıra kişisel sağlık verilerini de yöneten yazılım projelerine katıldım. Bu verilerin özellikle korunması gerektiği ve bu zorlukların buna göre ele alındığı çok mevcuttu. Ayrıca, diğer birçok bağlamda, örneğin, mimarlık tartışmaları için gerekli olarak genel veri korumasının düzenlenmesi GDPR ile gereksinimleri yaşadım. Ve elbette, Caos'un bilgisayar kulübünün bile övgü verdiği verilerin korunmasına yönelik olan Corona Warn uygulaması gibi kişilerin temasları için var. Ve yukarıda belirtilen güvenlik uzmanı: Inside ve burada bahsedilmeyen diğerleri, durum açıkça alakasız değil, ancak bu noktada size teşekkür etmek istediğim onları geliştirmek için aktif olarak çalışıyorlar.
Ancak sonunda, sektörümüzün diğer sektörlere kıyasla sorumsuz olup olmadığı hoş olmayan soru devam etmektedir. Her durumda, gelecekte yazılımdaki güvenlik sorunlarından kaçınmak için hepimiz çaba göstermeliyiz. Bu utanç verici olmaktan daha iyi. Ve ET'deki makaleyi veya güvenlik uzmanının eserlerini incelemek için: İçeride, iyi bir ilk adım güvenlik boşluklarını bilmek ve gelecekte kaçınmak olabilir. Belki de o zaman sektörümüz nihayet daha yetişkin ve sorumlu olacak.
TL: DR
Ne yazık ki, yazılım çözümlerinin kalitesi genellikle kötü. Ancak, durumu iyileştirmek o kadar etkili değildir.
Anja Kammer, Tammo Van Lessen, Tanja Maritzen, Joachim Praetorius, Max Schröter, Stefan Tilkov ve Jan Seeger'e makalenin önceki bir versiyonuyla ilgili yorumlar için çok teşekkürler.
()