Негізгі ұсыныстар
- Ақ үйдің веб-сайты HTML кодында технологиялық тобына кодерлерді жалдауға шақыратын хабарды жасырды.
- Сарапшылар хабарламаларды жасырудың «Пасха жұмыртқасы» әдісі киберқауіпсіздік тұрғысынан міндетті түрде дұрыс әрекет емес дейді.
- Әкімшіліктің әзірлеушілерді жалдауға басымдық беру қадамы жақсы нәрсе.
Президент Байден қызметіне ант бергеннен кейін бірнеше күн өткен соң адамдар Ақ үйдің жаңа веб-сайтында жасырылған құпия хабарламаны байқады.
Веб-сайттың HTML-де жасырылған хабарда: "Егер сіз мұны оқып жатсаңыз, жақсарту үшін бізге сіздің көмегіңіз қажет. https://usds.gov." Әрине, кодты бірдеңе іздегендер ғана таба алады, сондықтан сарапшылар мұндай Пасха жұмыртқалары киберқауіпсіздік үшін жақсы қадам емес дейді.
"Бағдарламалық құралды жазған кезде, пайдаланушыларға ақпаратты ұсыну тәсілі [a] анықталған интерфейс арқылы болуы керек. [Бірақ] қыдырып, әдеттен тыс жерлерді іздеу арқылы олар пайдалы нәрсе табуы мүмкін дегенді білдіреді, менің ойымша, бұл дұрыс емес мінез-құлық », - деді TAG Cyber бас директоры Эд Аморосо Lifewire-ке телефон арқылы берген сұхбатында.
Хабардың артындағы хабарлама
Алғаш рет Twitter қолданушысы тапты, АҚШ-тың цифрлық қызметтері деп аталатын Ақ үйдің технологиялық тобына қосылу үшін кодтаушылардың құпия емес қоңырауы – технологияны жақсы білетін және ақпаратты білуге құмар адамдарға арналған. Жаңа әкімшіліктің алғашқы бірнеше күніндегі Ақ үйдің HTML коды.
Құпия хабарларды немесе «Пасха жұмыртқаларын» HTML кодының ішінде жасыру тактикасы жаңалық емес және оны әртүрлі себептермен компаниялардың барлық түрлері қолданды. Мысалы, егер пайдаланушы Word құжатында «көк» деп теріп, оны қоюлатып, содан кейін сөзді көк түске айналдырса, Microsoft Word бағдарламасы пинбол машинасына айналғанын алайық.
Бірақ Аморосо Ақ үйдің веб-сайты жасырын Пасха жұмыртқасын табу үшін аң аулау үрдісіне назар аудармай, қауіпсіздікке және дұрыс бағдарламалау мен кодтау үміткерлерін тартуға назар аударуы керек деді.
"Бағдарламалық инженерияда біз мұндай нәрсені ұнатпаймыз…ол нақты анықталған қауіпсіз қауіпсіз интерфейс болуы керек ", - деді ол.
Аморосо Пасха жұмыртқалары адамдарды тырп еткізуге итермелейтінін айтты және бұл кодер үшін сапалы қажеттілік болғанымен, киберқауіпсіздік мәселелеріне қатысты Ақ үйдің веб-сайтына қосылу міндетті емес.
"Мен олардың не істемек болғанын түсіндім, бірақ адамдарды тырп еткізуге шақыру арқылы мұның соңы немен аяқталады?" деді ол.
Жаңа әкімшілікте технологияға басымдық беру
Алайда, сарапшылар Ақ үйдің кодерлерді қолдануды сұраған жолы ең жақсы жол емес деп есептесе де, Аморосо бұл әкімшіліктің технологияға басымдық беруге күш салып жатқаны тамаша нәрсе екенін айтты.
"Әзірлеушілерді іздеу және онлайн инфрақұрылымды жақсарту [олар үшін] керемет", - деді ол.
Жалданған кодерлер дизайнерлерден, инженерлерден және цифрлық саясат сарапшыларынан тұратын АҚШ цифрлық қызметтерінің технологиялық тобында жұмыс істейді. 2014 жылы президент Барак Обама негізін қалаған командаға мемлекеттік веб-сайттар мен платформаларды жаңарту сияқты технологияға қатысты мәселелер жүктелген.
Аморосо бұған дейін Lifewire-ке Байден әкімшілігіне негізгі мәселелерге жауап беретін сәтті киберқауіпсіздік жоспарын қабылдау керек екенін айтқан.
Ақ үйдің кодерлерге шақыруы жоғары сұранысқа ие киберқауіпсіздік саласына жастардың енуімен жақсы уақытта келе алмады. 2020 жылдың қараша айындағы Check Point Software Technologies сауалнамасы ұйымдардың 78%-ы кибербіліктілік жетіспейтінін айтты.
Алайда, Аморосо киберқауіпсіздікті көздейтін кодерлер әсіресе осы әкімшілік үшін пайдалы болатынын айтты.
"Бағдарламалық жасақтаманы әзірлеушілер инфрақұрылымды жасайды және қазіргі уақытта қауіпсіздік қаупін азайтатын бағдарламалық жасақтаманы әзірлеу кезінде ұстануға болатын тәжірибелер бар екенін бәріміз білеміз", - деді ол. "Қауіпсіздік бойынша тәжірибесі көбірек әзірлеушілерді іздеу маңызды."
Егер сіз киберқауіпсіздікті көздейтін кодер болсаңыз, өтініш берудің еш зияны жоқ. US Digital Services қызығушылық танытқандардан лауазымға өтініш беру туралы тікелей хабарласуды сұрайды.
