Google възпитава култура в сигурността
Категория: Информационна Сигурност
Силвия Хаджикръстева
петък, 11 Април 2008 17:49ч
Инженерите по сигурност пишат автентикационни модули, програми, които изтеглят данни от логовете или други модули, като тези, които криптират статистическите данни, използвани навсякъде в компанията. „Те пишат тези библиотеки, които се възприемат в цялата организация. В противен случай се нарушава стандартът, наложен от Google – казва директорът по сигурността Скот Петри. – Ние поставяме всичките си яйца на сигурността в една кошница, а хората, притежаващи по-тесни технологични знания, определят как да се защитят приложенията.”
Тази философия е разпространена в цялата компания. Google е успяла да стигне там, за където повечето компании само говорят – интегрирала е сигурността в жизнения цикъл на разработките. Новите й разработчици, известни като „нуглъри” (Noogler), са подложени на многодневни строги обучения по сигурност, преди да се присъединят към екип или проект. По време на семинарите те добиват знания и опит във всичко – от разработването на политики и процеси до хакване на кодове. Всеки произведен код трябва задължително да премине през преглед-проверка не само от екипите по сигурност, но почти от всеки член на инженерното общество на Google в зависимост от размера и обхвата на проекта.
Петри е основателят на компанията Postini, погълната от Goggle миналия юли. Тя доставя на потребителите на gmail услуги като сигурност на съобщенията, криптиране, архивиране, налагане на политики и т.н. Той смята, че Google трябва да възприеме подхода на черната кутия по отношение на сигурността на ниво приложения. Това се налага защото входните променливи са безкрайно много в реалността на днешните Web приложения, което прави невъзможно предвиждането на какъвто и да е резултат. Следователно прегледите-проверки от всички са съществени за процеса на разработване. „Не знаем какво правят в крайните точки и какви са уязвмостите – казва Петри. - Затова ни трябват повече очи при запълването на тези дупки.”
Google също събира опит от атаки и сондажи като cross-site scripting или атаките за претоварване на буфери отвън. Компанията поддържа база данни с атаките срещу нея и ги пуска срещу всеки произвеждан код, за да предотврати пробива му.
"Google вероятно е най-голямата цел в интернет днес. Колкото по-големи ставаме, толкова повече сме атакувани и толкова по-бързо учим, какво другите предприемат срещу нас - споделя Петри. - Можете да ги сметнете за криминални престъпници или да гледате на това като на изследователска дейност. Атаките са уроци.” Той се надява, че хакерите споделят откритите от тях уязвимости с Google. В компанията това влиза в категорията изследвания. Всяка открита уязвимост се проверява от инженер и на откривателя се изпраща обратно направения патч. Google изисква срещу това той да не прави публично разкриване на откритието си.
