Yazılım mimarı olmaktan utanmalı mıyım?

Adanali

Active member


  1. Yazılım mimarı olmaktan utanmalı mıyım?

Yazılım geliştirme, heyecan verici zorluklarla doludur ve her zaman öğrenilecek yeni bir şeyler vardır – sonuçta yazılım, insan yapımı en karmaşık şeylerden biridir. Ancak gerçek dünyadaki sonuçlar bazen hayal kırıklığından daha fazlasıdır: utanç vericidir.


Güncel olaylarda, alt başlığı aslında ilk heyecan olabilecek bir makale var: test ve aşı randevu yazılımındaki “tipik” veri sızıntıları hakkında. Başka bir deyişle: Bu alandaki yazılım o kadar güvensiz ki tipik hatalar var – ve bu yazılım da üretim aşamasında. Makalede ele alınan yazılım tıbbi yazılımdır. Diyelim ki diğer ilaçlardan bahsediyorduk. Gerçekten reçete edilen ve alınan ilaçlarla ilgili “tipik” önlenebilir güvenlik sorunları olsaydı bu kabul edilebilir miydi?

Bu arada c’t bu alanda yalnız değil. Araştırma ekibi ayrıca bu tür çözümlerin güvenliği konusunda yoğun endişe duyuyor ve şöyle yazıyor: “Üç ay içinde dördüncü test merkezi veri sızıntısını bulduk ve çok sinirlendik.” Üç ayda farklı ilaçlarla dördüncü sorun çıksa ne derdik? Ve sonra uzmanlar, uyuşturucuların güvenliğinden “sadece rahatsız” mı?

Yazılım ve ilaçların karşılaştırılması ilk bakışta abartılı görünüyor. Bu arada, birçok kişi verilerin nereden sızdığını umursamıyor. Bu çok sık oluyor ve bazı işletmeler müşterilerini gözetlemek konusunda başarılı oluyor. Ancak hızlı test yazılımı, test sonuçlarında sahtecilik yapmayı çok kolaylaştırdı. Bu tür test sonuçlarına, insanları enfekte kişilerle temas yoluyla kontaminasyondan korumak için ihtiyaç vardır. Test sonuçlarında tahrifat yapılabiliyorsa tıpkı bozuk bir ilaç gibi sağlık açısından risk oluşturuyor. Luca temas izleme uygulaması, sağlık yetkililerine saldırmak için bile kullanılabilir. Başarılı bir saldırının sonuçları hakkında spekülasyon yapmak istemiyorum.

Dergiler güvenlik sorunlarını çözüyor mu?


Çok okunaklı c’t makalesinin girişinde, c’t’in testler ve aşılama randevuları atama yazılımında çok sayıda veri sızıntısı raporu aldığı bildiriliyor. c’t sorunları izler ve üreticilere bildirir. İşte bir sonraki heyecan: c’t, zerforschung ve diğerleri kesinlikle harika bir iş çıkarıyorlar – ama elbette bir dergi veya uzman grubu bu konularla ilgilenmek zorunda. Bir benzetme olarak, yine uyuşturucu kullanalım. Bir derginin potansiyel uyuşturucu sorunları hakkında düzenli olarak haber yapması ve ardından bu derginin vakaları araştırması ve üreticilere tavsiye ve yardım sağlaması kabul edilebilir mi – ve ancak o zaman sorunlar gerçekten çözülebilir mi? Elbette, basın ve uyuşturucular üzerine bilimsel araştırmaları yayan ticari dergiler tarafından duyurulan münferit uyuşturucu skandalları vardır. Ancak ilaçlarla ilgili açık sorunlar rutin değildir. Ve bunun böyle kalmasını sağlamak için sektörde ve yetkililer tarafından önlemler oluşturulmuştur.

Kullanıcılar güvenliği derecelendirmelidir


Sonuç, bir sonraki heyecandır: “Doktorlar ve eczacılar yazılımı çok dikkatli bir şekilde incelemeli (veya bağımsız bir BT uzmanına danışmalıdır).” Doktorlardan ve eczacılardan yazılımın güvenliğini değerlendirecek uzmanlığa sahip olmaları ciddi olarak istenemez. Yazılım geliştirme alanında çalışıyorum ve bunu yapmak için kendime gerçekten güvenmezdim. Geçenlerde bir güvenlik sorunuyla ilgili özel olarak benden tavsiye istendi ve tavsiye veriyordum. Bununla birlikte, nihayetinde büyük bir etkiye sahip olan bir ayrıntıyı gözden kaçırmış olabileceğime dair kötü bir his var. Bu nedenle, uzmanlara danışma tavsiyesi de çok faydalıdır. Ama burada bile bunu bir ilaca benzetmeye çalışıyorum: Bir hastadan ilacın güvenliğiyle kişisel olarak ilgilenmesi istenebilir mi? Aslında eczaneden aldığım veya doktorun yazdığı ilaçların güvenli olmasını bekliyorum. Ayrıca genellikle eczacılardan ve doktorlardan ayrıntılar ve olası sorunlar hakkında proaktif tavsiyeler alıyorum.


Veri koruma sorumluluğunu kullanıcılara kaydırmanın korkunç sonuçları olabilir. Pandemi sırasında kendi inisiyatifleriyle dersleri için video konferans çözümlerini kullanan bazı öğretmenler, genellikle net ürün önerileri almadıkları için bu çözümlerin güvenliğini ve veri korumasını kendileri değerlendirmek zorunda kaldı. Sonuç olarak, öğretmenler eğer değerlendirmeleri yanlışsa ya da risk almaktan kaçınırlar ve video konferans yoluyla ders vermezlerse sonuçlarına katlanmak zorunda kalırlar. Her iki sonuç da kabul edilemez.

Ancak çözümleri inceleme önerisi tuhaf bir anlam ifade ediyor: Aslında bence okuyucular açıklanan zorlukları anlayamıyor ve ayrıca bu zayıflıklar için yazılımı inceleyemiyor. Ancak bu sorunlar, yazılım geliştiriciler için de anlaşılabilir ve bu, neden yazılımda da var oldukları sorusunu gündeme getiriyor. Başka bir deyişle, incelikli zorluklardan değil, bir derginin birkaç sayfasını okuduktan sonra anlayabileceğiniz ve muhtemelen geri dönebileceğiniz zorluklardan bahsediyoruz – ve bu yazılım çözümlerinin üreticilerinin başarısız olduğu yer burasıdır.

Gerçekten ne kadar amatörüz?


İyi ki ct ve birçok araştırmacı ve güvenlik uzmanı bununla uğraşıyor. Ancak yazılım geliştirme sektörümüzün bu kadar kötü ürünleri piyasaya sürmesi ürkütücü. Sonuç olarak, protesto yok, ancak kullanıcıların durumu nasıl kabullenebileceklerini ve yazılımın yeterince güvenli olup olmadığını kendileri için nasıl öğrenebileceklerini anlatan bir makale var. Bu hali kabul edecek kadar yorgun muyuz? Sektörümüz gerçekten o kadar amatörce mi ki, kullanıcılar ürünlerimizin bu eksiklikleriyle uğraşmak zorunda kalıyor? Ürünlerimizde, meslekten olmayan birinin bir derginin birkaç sayfasını okuduktan sonra teşhis edebileceği kusurlar olması bizim kalite şartımız mı?

Bu uygulamaların kişisel sağlık bilgilerini yönetmesi özellikle ilgi çekicidir. Bu veriler çok hassastır ve özellikle korunmayı hak etmektedir. Luca’nın temas takibi uygulaması aynı zamanda sağlık verileriyle de ilgilenir çünkü uygulamanın amacı virüs bulaşmış kişileri izlemektir. Bunu yapmak için enfeksiyonun durumunu, yani sağlık verilerini bilmeniz gerekir. Daha önce bahsedilen sağlık yetkililerine olası saldırılar da dahil olmak üzere bu uygulama için birçok eleştiri ve güvenlik açığı da var. Güvenlik uzmanı Marcus Mengs önce yaklaşık 21.000 kelimelik bir belge yazdı ve ardından Luca uygulaması üzerinde çalışmayı bıraktı. Bunun nedeni belgede: “Üretici, kodda güvenlik açıklarına yol açan bağlantıları belgelemem için bana zaman vermiyor ve bunun yerine sürekli olarak yeni hatalarla koda yama yapıyor.”

En az 25 milyon avroluk satışla Luca uygulaması ticari bir başarı olarak tanımlanmalı. Ve uygulama, müzisyen Smudo’nun ünlü desteğine sahip. Grubu “The Fantastic Four” üründen “heyecanlanıyor” ve kendilerini ekibin bir parçası olarak görüyorlar. Bu, sektörümüzün durumu için olası bir açıklamayı gösteriyor: Ünlülerin alkışları ve ticari başarı, uygulama güvenliğinden ayrı tutuluyorsa, o zaman güvenliği önemsemek mantıksızdır çünkü göz ardı edilmeye karşı etik İlkeler kriterleriniz yoksa, başarı ile ilgisi yoktur.

Bununla birlikte, saçmalığın zirvesi, veri korumanın etkili ve verimli BT’nin önünde durduğuna dair tekrarlanan argümandır. c’t makalesinde açıklanan veya Luca uygulamasında “uygulanan” “veri koruması” bununla en azından anlaşılamaz. Bir yandan, veri koruması garanti edilmez, ancak aynı zamanda sektörümüzdeki diğer eksiklikler için bir bahane olabilir.

hepsi kötü değil


Ama parlak noktalar da var. Diğer şeylerin yanı sıra kişisel sağlık verilerini de yöneten yazılım projelerinde yer aldım. Orada bu verilerin özel olarak korunması gerektiği çok açıktı ve bu zorluklar buna göre karşılandı. Diğer birçok bağlamda, GDPR Genel Veri Koruma Yönetmeliği gerekliliklerinin mimari tartışmalar için gerekli olduğunu da deneyimledim. Ve elbette, Corona-Warn uygulaması gibi veri korumaya o kadar tutarlı bir şekilde odaklanmış ki, Chaos Bilgisayar Kulübü bile onu övüyor. Ve daha önce bahsedilen güvenlik uzmanları ve burada adı geçmeyen diğer pek çok kişi durumu açıkça önemsiyor, ancak aktif olarak onu iyileştirmek için çalışıyor – bu noktada size teşekkür etmek istiyorum.

Bununla birlikte, nihayetinde, sektörümüzün diğer sektörlere göre daha sorumsuzca hareket edip etmediğine dair rahatsız edici soru devam ediyor. Her iki durumda da, gelecekte yazılımlarda güvenlik sorunlarından kaçınmak için hepimiz çaba göstermeliyiz. Utanmaktan iyidir. Ve c’t’teki makaleyi veya güvenlik uzmanlarının çalışmalarını incelemek, güvenlik açıklarını bilmek ve gelecekte bunlardan kaçınmak için iyi bir ilk adım olabilir. Belki de sektörümüz sonunda daha olgun ve sorumlu hale gelecektir.

tl: dr


Ne yazık ki, yazılım çözümlerinin kalitesi genellikle kötüden de fazladır. Bundan utanmak, durumu iyileştirmek kadar etkili değildir.

Makalenin önceki bir versiyonuna yaptıkları yorumlar için Anja Kammer, Tammo van Lessen, Tanja Maritzen, Joachim Praetorius, Max Schröter, Stefan Tilkov ve Jan Seeger’e çok teşekkürler.


()



ana sayfaya
 
Üst