Názory k článku
Vývojář souzen za „kill-switch“ v kódu, který se aktivoval po jeho propuštění
-
Ah, slabej to programátor.... mal urobiť knižnicu na mieru pre ich riešenie, nechať nech jeho firma to začne používať bez toho aby vedela že autorom knižnice je ich zamestnanec, a po vyhadzove vydať update čo by prepašoval kill-switch do ich projektu. Git blame by nič neprozradil...
Navyše ma prekvapuje, jeho firma nemá policy povinný review od iných ľudí? Toto je asi aj chyba firmy.
12. 3. 2025, 20:23 editováno autorem komentáře
-
Uz jsem zazil nekolik neumyslnych kill switchu stylu "zase nejakej blbec disabloval systemovej ucet, tak nez to probubla pres tri helpdesky a v Indii skonci buchvijakej svatek, tak tam Pepa zatim dal svuj ucet aby to fungovalo" nebo "uz 3 tejdny se ceka, az konecne projde procesem objednavka na novej virtual, tak to Franta zatim pustil na jeho stanici", nebo treba takovy krasny case pro letopocet, ktery konci letos.
Cimz chci rict nejen, ze by se to dit nemelo (neuveritelny neporadek v procesech), ale predevsim to, ze pokud ten clobrda byl odsouzen (neboli ani netusi, co to je plausible deniality, pro kterou je tu opravdu latka neuveritelne nizko pri bezne kvalite korporatni programatorske prace), tak musi byt opravdu rozumu mdleho...
P.S. Pokud se v tom nektery ze zamestnancu ceskych korporatu poznal, tak je to opravdu jen nahoda, a fakt tenhle bordel neni jen u tebe ve firme ;-)
literatura: https://hovnokod.cz/
-
Pokiaľ som vyrozumel, tak inštaloval malware napísaný v Jave na nejaké ich firemné servery, ktorý bežal v slučke a kradol procesorový čas. A potom malware, ktorý kontroloval, či je jeho účet locknutý v active directory a ak áno, tak spustil kill switch, ktorý lockol v active directory všetkých ostatných používateľov. Predpokladám, že takýto custom softvér asi na code review nešiel :)
Skôr by bolo zaujímavé, že prečo mal prístup k active directory spoločnosti. Asi to mali blbo ošetrené.
A tiež prečo im prišlo normálne, že majú vyžratý procesor na mašinách ...
13. 3. 2025, 01:35 editováno autorem komentáře
-
Hej, to pokiaľ by si ho ulieval pre seba, asi by to tak robil. Ale cieľom bolo škodiť, nie robiť užitočné výpočty.
Viem si leda tak predstaviť, že administrátor bol na druhom konci zemegule, spravoval podobných serverov 500 a keď niečo prestalo ísť, tak to len vypol a zapol a chvíľu to zasa fungovalo.
-
Pokud by chtel skodit, tak je takovejch moznosti... Tu tamhle nad tabulkou "omylem" smazat index, tamhle zbytecne nejake parovani napsat se slozitosti n^3 misto n*log(n), ....
Fakt magor psat vlastni malware a davat ho na produkci :)Ale kdyby byl chytrejsi, tak by to hlavne neudelal vubec, nechat se zavrit a podelat si karieru?
-
Dost sil by bylo - jen je nikdo nechce platit.
Takže se jede ve stylu:Jaké je riziko, že se něco takového stane, kolik nás bude stát případná náprava, a kolik by stálo najmout dalšího člověka a udělat to pořádně?
(V koprolátech ještě přidejte:Nikdo nám dalšího neschválí, když máme naplánováno snížit to v letošním roce o 2 FTE.
) -
Právě proto, že neumí.
Ostatně jste to tím příkladem krásně ilustroval:doufáte
, že se nic nestane, protože máte jen odhad, založený na zkušenostech - jenže ty u opravdu nízkých pravděpodobností s opravdu vysokým dopadem prostě selhávají.
Ostatně: proto tisíce lidí každý den sází.
Když přijdete za managerem, že přijmete jednoho člověka, aby dělal code review, protože tím snížíte riziko takového průšvihu o 95 %, bude chtít vědět, jaké to riziko je, jaké škody by mohly vzniknout - a pak vás s tím vyhodí za dveře, ať už je vaše odpověď jakákoliv.
Jediné, co je schopen si odhadnout, je:doufám, že se to nestane, dokud tady budu působit
.
(A pak půjde se svou milenkou na nechráněný sex, protože ona přeci určitě bere prášky - a když se snažil o dítě s manželkou, tak to stejně nešlo.) -
jasne, ze vie, len ocividne im neviete dodat spravne podklady :)
v diskutovanom pripade:
- ano pravdpodobnost umyselneho kill switchu je zhruba nula, hodnota firmy (povedzme najhorsi rozumny pripad) je zname nevelke cislo, takze sucin je zanedbatelne riziko a takto sa to zanesie do analyzy rizik.
- druha vec (a to uz je Vasa parketa), ze nie je problem tam pripocitat neumyselne kill switche a podobne speky. V tej chvili to vzrastie aj co sa tyke poctu ukazok z nedavnej minulosti, aj sucet tychto cisel uz zacne byt zajimavy a je sanca na uspech.Pre pobavenie k zvysku:
- ked k stavkovaniu pripocitate hodnotu "lacny sposob pobavenia sa", tak kupovanie losu sa moze ukazat celko zmysluplna aktivita.
- kondom ma tiez (a nie zrovna bezvyznamne) riziko zlyhania, takze to nemusi byt az tak blby pristup -
Pujde za CIO nebo boardem a prednese jim mozne dusledky a financni dopad. A budto mu schvali s CFO budget nebo ne. Svoji informacni povinnost splnil.
Pokud nedaji tak je z obliga.Pokud riziko bude takove ze nebude sedet zakonum/regulativu/auditorum kterym firma musi podlehat (napr. spuntovky, jaderne technologie, leky, letadla atp.) a kteri i nizka rizika hodnoti jako vysoka tak pak do toho stejne ty penize vrazi.
Co jineho chcete delat?
Kazde vase jednani v zivote provazi nejake riziko. Uz od doby co se narodite. -
Ono to není tak, že by doufal že se to nestane. On to prostě posoudí a zapíše a předloží tak, že to skoro vůbec nehrozí, a proto že nedává ekonomický smysl vynakládat ročně x desítek / stovek tisíc dolarů na mechanismy, které tomu riziku zamezí.
A jelikož tedy firmě ušetřil => vydělal statisíce dolarů ročně, 20% dostane na účet a už to není JEHO problém, ale má hromadu škvarků. -
Souhlas. Dělám pro korporát a to, co místní "ajťáci" produkují za vnitrofiremní aplikace bych přirovnal k tvorbě nedomrlého studenta informatiky z půlky 90. let... (blicí smajlík) On ani ten code review pořádně dělat nejde, protože třeba na programování robotů jsem tady sám a tak to nemá kdo po mě kontrolovat. Prostě se to pustí a když to nabourá, tak velký špatný . Lidi nejsou a ti kvalitní už vůbec. Nám se hlásí většinou absolventi VŠ, většina z nich neumí ani základy na kterých by se mohli vzdělávat dál aby mohli být užteční a ni to jim nebrání v tom, aby na pohovoru prohlásili, že "pod sto měsíčně nehodlají vstávat z postele".
-
Ja napríklad takéto konanie odsudzujem a nepríde mi na tom nič hrdinské niečo takéto urobiť.
1. Chlapík - zamestnanec dostával plat za svoju prácu. Firma obvykle platí človeka za to aby ju budoval/pozdvihoval. No on počas svojej pracovnej doby v podstate pracoval na tom, že ju sabotoval - za peniaze, ktoré od nej dostával
2. Keď sa mu tam nepáčílo, mohol slobodne odísť - nie sme v komunizme, kde štát nakazuje ľudom čo budú robiť a kde budú robiť
-
Cervena karkulka? Copak si vlk nepamatuje planovani vseho? Od mist na skolach po pocet zamestnanych lidi v oboru xy?
Umistenky bylo co? Razitko v obcance o zamestnani aby nebyl clovek "prizivnik" bylo co?
Umele kadrove limitovane umisteni studentu na skolach bylo co?
Nucene prace u petepaku bylo co? Lagry a gulagy bylo co?Nevolnictvi a nasledna "modernejsi" robota byla urcitou formou dane za "pronajem" pozemku mam-li to rici velmi politicky korektne.
-
Uz z toho ze ho nasli je jasny, ze to asi moc dobry programator nebyl. Takze by ho nejspis jinde nezamestnali, nebo by s tim mel problem.
Kdybych neco takovyho chtel delat ja, tak bych jednak hledal diry svych kolegu a vyuzil prave ty, druhak bych se zaridil tak, ze pripadny problem by nastal treba az nekolik mesicu/let po mem pripadnem odchodu.
I male deti pak vedi, ze podobne akce se poradaji tak, ze je treba zlikvidovat data, jejich zalohy a ve finale i tu samotnou vec ktera to zlikvidovala. Coz se da zaridit treba tak, ze ti to vsechno zasifruju ... cehoz si nikdo nevsimne az do okamziku, kdy prijde shutdown. Pak uz mas jen zmet jednicek a nul.
ČLÁNKY DO MAILU