Bezpieczeństwo a realia

Dlaczego wciąż można znaleźć niezabezpieczone strony - bardzo banalnie niezabezpieczone które przeciętny script kid złamie w parę minut? Większość instytucji prywatnych czy publicznych stara się jak najbardziej ciąć koszty, najczęściej widać to po stronie która poza ładnym wyglądem (ponieważ stronę narysował dobry webmaster podpinając ją szybko do jakiegoś znanego cms'a) nie była testowana w żaden sposób no bo przecież cms jest gotowy? Nie ma błędów wszystko się ładnie zapisuje, pokazuje , super! - Myśli sobie zleceniodawca. Za stronami/aplikacjami poważnych stron  stoją przynajmniej 4 osoby (projec menager, grafik, webmaster, developer) z czego osoba/zespół odpowiedzialny za implementację logiki oraz testy. niespełnienie tego warunku zagraża bezpośrednio  firmie - a tak, bezpośrednio.

Nawet najsłabszy atak typu xss może skutecznie osłabić pozycję firmy wobec konkurencji, nie wspominając o atakach na back-end aplikacji oraz kradzież wrażliwych danych. Firm audytujących bezpieczeństwo nie brakuje, czy ten 'proceder' jest spowodowany niewiedzom? Ostatnio zdarzyło mi się przeprowadzić audyt strony firmy znajomego. Firma planuje wejście na giełdę i działa w sektorze finansowym, jednak informacja o błędach wcale go nie przeraziła - choć umożliwiały między innymi upload plików...

CERT - polska komórka będąca elementem nask'u pełniąca służbę ku bezpieczeństwu informatycznemu kraju (właściwie nie tylko naszego ale z innymi nie miałem przyjemności). Informując cert o istnieniu pewnych niebezpieczeństw/incydentów czy luk w ważnych dla RP aplikacjach powinniśmy liczyć na szybką reakcję - niestety tak się nie stanie. CERT najczęściej odpowiada po 3-5 dniach i trudno nawiązać jakąkolwiek komunikację, choć mają to uwzględnione w swoim regulaminie, to często nawet po upłynięciu miesięcy nie da się dowiedzieć czemu luka została nie została usunięta i z czego to wynika. Oczywiście ze strony certu informującemu nie jest to potrzebne jednak co jeżeli aplikacja jest zbyt ważna by było miejsce na luki z zakresu bezpieczeństwa (nie wspominając o zasłudze poszukiwacza przygód)? Nic, od początku do końca nic. Biorąc pod uwagę słabość aplikacji oraz jej państwowość zgłoszenie zastrzeżeń administratorowi nic nie da (z resztą cert pewnie i tak to zrobił) a publikacja tej informacji (anonimowo czy nie) również. Więc drogi obywatelu jesteś skazany na milczenie - chyba, że ktoś naprawi tą lukę będziesz mógł sobie to przypisać na łamach bloga który na pewno pomoże ci w czymkolwiek...


Jedyną możliwością aby wilk był syty i owca cała należy bardzo dokładnie dokumentować znalezione luki, kulturalnie skomunikować się z administratorem - dzięki temu możemy ewentualnie odnieść jakieś korzyści...

Zatem wracając do meritum, co tak naprawdę obniża poprzeczkę?
To mógłby być najdłuższy akapit mojego życia ale skrócę go do jednego zdania. Od kultury wydawania pieniądza oraz kultury kodowania która najczęściej jest bo być musi.