WaiMenWM   发表于 2019-7-25 16:47:06 |栏目:

62岁程序员写个漏洞戏耍老板三年!获最高10年监禁、172万罚款  最新资讯 164905czn8pr3rm8pzpzvm

大龄步伐员的“生财之道”。

现年 62 岁的大卫·廷利 (David Tinley) 来自匹兹堡附近的哈里森市,假如不是因为出了这档子事,他只是美国众多岑寂无闻的大龄步伐员之一。

62岁程序员写个漏洞戏耍老板三年!获最高10年监禁、172万罚款  最新资讯 164905eaz6e6s42a399e3s

廷利为西门子在 Monroeville 的办事处工作了快要 10 年的时间,他曾接过一个为西门子公司创建管理订单的电子表格需求,电子表格包罗自界说脚本,可以根据存储在其他远程文档中的当前订单更新文件的内容,从而允许公司自动化库存和订单管理。

事实上,这个需求并不算难,廷利写的电子表格步伐也正常工作了多年。直到 2014 年,该电子表格开始频仍出现崩溃题目。

起初,西门子公司并不知道故障的详细缘故原由,出于对廷利的信托,该公司要求廷利举行修复。因为廷利是合同工,因此每次举行修复时,西门子都须要跟廷利签署修复合同,并付出费用。这样的情况持续了近三年之久,直到东窗事发。

在又一次电子表格步伐崩溃以后,西门子公司仍然接洽其举行修复。但此次步伐崩溃时他并不在城里,不得不将电子表格的管理暗码交给西门子公司的 IT 工作职员去实行告急修复。西门子公司的 IT 职员发现,电子表格频仍崩溃的缘故原由在于廷利在其背后植入了一个逻辑炸弹,该逻辑炸弹会导致电子表格在特定日期后崩溃。(所谓逻辑炸弹,指的是在特定条件出现或经过肯定时间后,恶意地诱骗软件或体系崩溃或失败。)于是廷方便可以借修复的名义,重复收取西门子公司的修复费用(大概费用在 4.2 万美元)。假如不是因为事变败露,他的“生财之道”似乎可以持续得更久。

廷利在今年 5 月遭到起诉,在庭审中,廷利和其律师表示:

他在代码中放置逻辑炸弹,并不是为了促使西门子重新聘任他来办理这个题目,而是为了掩护他的专有代码。廷利在匹兹堡的法庭上说:“我的动机是高尚的”。此中一些题目不是他的代码造成的,而是由于对微软 Excel 软件本身举行了修改。

根据此前曾有过的类似案例,廷利无罪的可能性极小:

  • 2006 年,瑞银 (UBS) 前 PaineWebber 员工因在公司网络上植入逻辑炸弹,并押注公司股价将下跌,被判入狱 8 年。

  • 2018 年 9 月,亚特兰大一名夫君因在美国陆军工资数据库中植入逻辑炸弹,导致美国陆军准备役工资耽误 17 天付出,被判两年监禁。

匹兹堡法庭曾盼望与廷利告竣早日认罪、避免全面审判以减轻罪责的协议,但廷利与其律师最终毁了认罪协议。他将面对最高十年的监禁以及 25 万美元(约合人民币 172 万)的罚款。

遭到质疑的西门子 IT 能力

此变乱遭到曝光后,廷利受到了天经地义的责怪,但西门子公司的 IT 能力却遭到了巨大的质疑:

廷利为他们工作了十年,为什么同样的题目持续了近三年之久,都没有研发职员感到希奇?而是任由这位合同工一次又一次地收取修复费用?

该案的最终量刑听证会将于 11 月份举行,如今西门子公司未对变乱详情举行进一步的披露,从有限的信息中,该公司的 IT 管理能力已担当到了广泛的质疑。

曾经在工业革掷中饰演过紧张角色的西门子公司,在 2014 年提出了 “2020 公司愿景” 筹划,聚焦在电气化、自动化、数字化三个领域。2018 年,该公司进一步提出了“公司愿景 2020+”,再次强调数字化能力。

根据西门子中国官网的描述:

我们丰富的产物应用步伐已经资助各行各业的企业通过产物和流程创新提升了业务水平。当今智能产物及其干系制造流程的复杂性向企业提出了亘古未有的要求,这就要求企业必须深度理解这些多领域体系的交互。创建和共享各阶段产物流程的正确数字化双胞胎,正是向数字化企业转型的牢固基石。我们的产物组合可以或许依附在各个行业当中的卓越技术来满意各个领域的需求。

在西门子的数字化战略中,既有本身做平台的内线发展,也有在外部做收购的外部拓展。此中的外部收购近年来更是动作不断:

  • 2014 年,西门子收购 Camstar,强化其在工业数字化领域的领导职位;

  • 2016 年,西门子以近 10 亿美元收购工业软件开辟商 CD-adapco;

  • 2016 年底,西门子 45 亿美元收购半导体软件公司 Mentor Graphics。

西门子表示,已往的二十年间,该公司在软件方面投入了高出 100 多亿美元,得到了在工业软件方面的领先职位。该公司表示,如今拥有客户开辟飞机、火车和汽车等复杂电子机械所需的所有软件。随着收购的持续举行,西门子成为了 SAP 后的欧洲第二大软件公司,天下十大软件供应商。

但西门子的 IT 能力,真的就随着一起并购的规模扩充得到了相匹配的提升吗?类似的品评声不停不断。

此前,西门子公司的过程监督体系 WinCC 曾被俄罗斯技术团队爆出充满漏洞。WinCC 应用是由西门子开辟的一种 SCADA 步伐,用于很多行业的进程可视化,而且被以为是行业标准。该俄罗斯团队在当年 WinCC 的最新版本中发现了高出 50 多个漏洞,数目多到西门子公司订定了一个蹊径图来修补所有漏洞。此中的大多数题目都允许攻击者远程接受 WinCC 体系。

该团队负责人担当采访时不无讽刺地说道:“在 WinCC 中找出漏洞简直太容易了,你可以恣意一指(就能发现漏洞)”。

合同工、外包、步伐员的权限题目?

合同工、外包在软件开辟的天下里必不可少,在传统企业好比波音、西门子等公司数目更是众多,即便对于大型的互联网企业来说,外包员工数目同样不少。好比谷歌就有规模巨大的“隐形员工”,再好比阿里巴巴的 Lazada 同样有很多外包员工等。

在很多公司的软件开辟流程中,对于合同工、外包职员的权限题目都很审慎。事实上,类似西门子合同工这样通过植入漏洞非法赢利的消息不在少数,很多公司在焦点的数据库、背景体系、账户等关键位置的权限举行严酷的限定。

不但对于合同工、外包是这样,对于很多离职员工同样云云。InfoQ 此前曾采访过一位离职步伐员,他表示:

在我具名交代完从前,技术团队的老大防我就像防贼一样。

读者朋侪应该还记得今年 1 月份,曾发生过一起闹得满城风雨的大消息:

一篇名为《告游戏行业全体同仁书》的文章中声讨了一位离职主程:这篇文章责怪主程燕某在就职深圳螃蟹网络科技有限公司 3 个月期间,出于反攻心理,于游戏上线测试当天无故失落并锁死电脑和服务器,最终导致公司开辟两年的项目失败,丧失惨重,首创人尹某背上百万债务开始打工之路。InfoQ 当时也就此变乱做过分析,不难看出,对于离职步伐员的权限题目从来都是舆论敏感的焦点。

无独有偶,克日一名微软步伐员利用测试账户套现千万美元,购置了一辆特斯拉与价值 160 万美元房产的消息同样引起了我们的注意。

对于合同工、外包以致正式员工来说,IT 体系的权限题目该如何关注?安全题目、删库题目、套现题目背后折射的究竟是职业道德题目照旧羁系倒霉的缘故原由?各位未来的 CTO 们,你怎么看?

回复
凝链下载站 - 下载导读:
1、不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件购买注册,得到更好的正版服务。本资源如有侵犯您的版权,请联系管理员删除本资源!
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。

回复 显示全部楼层 使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表