보안과 혼동 개인 정보 보호: 치명적인 실수
최근 장거리 비행에서, 나는 팟 캐스트 에피소드의 아주 솔직히, 미친 볼륨을 삼킬 수있는 기회를 했다. 너무 많은 다른 시리즈와 최신 유지 의미 내가 들을 수 있는 뭔가 부족, 설득력 있는--하지만-대화 그냥 내 전화 화면의 터치.
결국, 나는 진정한 범죄 팟 캐스트, Casefile의에피소드에 도착 . 이 극적인, 무 보류 금지 시리즈 (불길하게 목소리와 이름없는 호스트와 완료) 심지어 가장 지식과 정통한 기술자를 매료 주제로 탐구: 깊은 웹, 그리고 밀수 무역 웹 의 대격변 승천, 실크 로드. 실크로드의 상승과 하락에 익숙한 사람들은 의심 할 여지없이 사건에 대한 뉴스를 따랐을 것이지만, 팟 캐스트는 맛있고 좌석 가장자리 의 이야기로 모든 작은 세부 사항을 공개합니다.
실크로드: 딥 웹 던전의 교훈
당신이 실크 로드의 ins-and-outs와 친밀한 하지 않은 경우, TL;DR 요약은 사람이 깊은 웹에 무역 웹사이트를 구축 하는 것입니다., 일반 대중의 캐고 눈에서 숨겨진 및 특별 한 소프트웨어를 사용 하지 않고 볼 수- 토르 브라우저, 정확 하 게. 이 사이트는 처음에 그의 자생 마법 버섯을 제공, 하지만, 거의 하룻밤, 불법 무기와 도난 신용 카드 세부 사항에 하드 코어 마약에서 모든 것을 제공 하는 공급 업체와 폭발. 당신은 여기에 속도를 얻을 수 있습니다. 크리에이터와 사이트 관리자는 공주 신부 영감 가명, 공포 해적 로버츠에 의해 갔다. 그는 모두, 그는 아무도 아니었다. 모든 사용자는 불법 상품의 진정한 현상금거래, 그들은 완전히 익명으로 그것을했다 (그리고 그 과정에서, 비트 코인은 선택의 마약 딜러 통화로 명성을 얻었다; 모니커는 단지 흔들기 시작했다).
그러나, 공포 해적 로버츠의 설립 실험은 자신의 짐승이었다. 곧, 히트맨은 자신의 서비스를 광고했다. 나쁜 사람들은 나쁜 일을하고 있었다 ... 그리고 그는 새로 발견 된 헤아릴 수없는 재산에 중독되었다. 그는 심지어 전 직원을 처분하기 위해 광고 된 히트맨의 서비스를 활용하려고노력했습니다. 긴 이야기 짧은, 이것은 그의 파멸을 초래 많은 너클 머리 결정 중 하나였다. 그는 로스 울브리히트로 가면을 쓰지 않았고 현재 미국 감옥에서 썩어가며 가석방의 가능성없이 이중 종신형과 40 년을 복역하고 있습니다.
그러나 모든 것이 완전히 비공개이고 익명이라면 어떻게 잡혔습니까?
글쎄, 무딘 넣어 : 그는 꽤 엉터리 코더였다. 실크로드 부지 자체는 바다에 누워 있는 새는 낡은 바지선과 같았습니다. 불법 활동의 허브(그리고 그 활동의 모든 데이터)를 고려하면 전혀 안전하지 않았습니다. 그것은 기회 해커에 의해 악용되기를 기다리는 앉아있는 오리였습니다. 공정하게, 당신은 거 대 한의 지배자 때, 불법 마약 밀매 사업, 그것은 아마 당신의 작업에 참여 하 고 싶은 유능한 직원을 찾기 쉽지 않다. 그는 자신의 기술 격차의 비밀을하지 않았다, 어느 - 그는 심지어 스택 오버 플로우 (예, 즉, 그의 사용자 계정)에 자신의 실명 아래에 게시, 제대로 PHP에서 컬을 사용하여 토르와 연결하는 자신의 사이트 코드를 구성하는 데 도움을 요청. 그는 게시 후 1 분 이내에 핸들 "서리가 내린"핸들에 자신의 실명을 변경하지만, 이것은 분명히 도움이되지 않았다 ... 사실, 실크로드 서버의 암호화 키는 "frosty@frosty"로 끝났기 때문에 FBI가 그의 향기의 바람을 잡으면 더 연루되었습니다.
개인 정보 보호에 대한 이러한 거대한 추진에도 불구하고, 전송 및 배달에 밀수품 자체를 확보에 대한 암호화 된 메시징, 통화 및 명시적 지침, 사이트는 울브리히트가 상상했을 수 있습니다 자유주의 환상의 꿰 뚫을 수없는 요새아니었다. 기술을 가진 사람들 (읽기 : FBI에 의해 고용 된 프로그래머) 천천히, 그러나 확실히, 모든 것을 공개하기 위해 해명 ... 사이트에서 거래한 수천 명의 신원포함. 그것은 몇 년 전 장난 꾸러기 상품을 구입 한 사람들은 여전히 독일에서이 사람처럼,어떤 시점에서 법의 긴 팔에서 문을 노크 얻을 것입니다 . 저런.
FBI는 그들이 실크로드를 관통 할 수있는 방법을 설명하는 문서를 발표, 일반적인 설명은 IP 주소 누출을 활용하는 것입니다. 실크로드 로그인 페이지의 잘못된 구성은 IP 주소와 따라서 언더 핸드 해킹이 필요하지 않고, 서버의 물리적 위치를 공개했다. 신인 오류, 확실히, 그리고 결국 로스 울브리히트에 FBI를 직접 주도 하나.
이 결함이 있었다면 - 이 결함이 이 순간을 오래 전에 발견했을 것이라는 추측이 있습니다. 호주 보안 컨설턴트인 Nik Cubrilovic은 WIRED와의 인터뷰에서단순히 거기에 없었다고 주장합니다.
"Tor 사이트에 연결하고 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다. 배심원이나 판사가 배심원을 만들려고 하는 방식은 기술적으로 는 의미가 없다고 믿습니다."
그런 다음 Cubrilovic은 불법 해킹 관행에 의해 정보가 입수되었을 수 있음을 암시합니다. 그 관행은 SQL 주입 것 같다, 이후 많은 사이트에서 추출의 그럴듯한 방법으로논의 된 입증되지 않은 소문.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다. 이 정보를 전혀 얻을 수 있다는 사실은 사이트가 "비공개"라는 일반적인 사용자 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다. 개인 정보 보호가 보안과 혼동되면 취약점에 노출 될 가능성이 가장 확실하게 증가합니다.
로스 울브리히트가 개인 정보 보호와 보안을 구별한 경우 사이트가 여전히 실행될 가능성도 있습니다 (원래의 형태로, 어쨌든, 그것은 여러 번 부활하고, 지금 작동하는 것처럼 더 큰 사이트가 있다) 로스 울브리히트는 개인 정보 보호 와 보안을 구별했다면, 적극적으로 거대한 열램프로 성장하기 전에 모두를 보장하기 위해 노력하고 있습니다. , 지구에 약간 평균 이상의 기술 지식으로 모든 불미스러운 도둑을 유치. 대신, 개인 클럽과 모든 비밀은 누군가가 문을 열 수있는 방법을 발견하는 순간을 공개했다.
당신은 마약 주인이 아니에요, 그래서 당신은 왜 걱정해야합니까?
실크로드의 상실과 설립자의 투옥은 슬프고 공감하는 이야기가 아니지만 프라이버시와 진실하고 강력한 사이트 보안 사이의 미묘한 차이에 대한 매혹적인 사례 연구입니다. 디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 생각하거나, 철통을 입은 소프트웨어 개발로 보호되지 않는다면, 그 정보는 공격자가 체리를 골라서 고를 수 있습니다(그리고 아이러니하게도 실크로드와 같은 사이트에 결국)가 거래와 정보를 비공개로 요구하는 많은 합법적 인 작업이 있습니다. 개인 정보 보호는 보안없이 존재하지 않습니다.
여러분과 마찬가지로 좋은 사람들은 OWASP Top 10의SQL 주입 공격 및 기타 취약점에 취약한 소프트웨어를 가질 수 있으므로 이러한 소프트웨어가 효율적으로 준비되고 완화되는 것이 중요합니다. 개발자가 프로세스 시작부터 안전하게 코딩하도록 교육받은 경우 이러한 결함은 하루의 빛을 볼 수 없습니다. 조직은 보안 마인드에 초점을 맞추고 개발자 팀이 안전하게 코딩할 수 있도록 하는 것이 필수적입니다. 우리는 그것을 재미, 측정 및 게임 방식으로 수행하는 방법을 보여 줄 수 있습니다. 준비되었습니까?
Secure Code Warrior
Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
보안과 혼동 개인 정보 보호: 치명적인 실수
최근 장거리 비행에서, 나는 팟 캐스트 에피소드의 아주 솔직히, 미친 볼륨을 삼킬 수있는 기회를 했다. 너무 많은 다른 시리즈와 최신 유지 의미 내가 들을 수 있는 뭔가 부족, 설득력 있는--하지만-대화 그냥 내 전화 화면의 터치.
결국, 나는 진정한 범죄 팟 캐스트, Casefile의에피소드에 도착 . 이 극적인, 무 보류 금지 시리즈 (불길하게 목소리와 이름없는 호스트와 완료) 심지어 가장 지식과 정통한 기술자를 매료 주제로 탐구: 깊은 웹, 그리고 밀수 무역 웹 의 대격변 승천, 실크 로드. 실크로드의 상승과 하락에 익숙한 사람들은 의심 할 여지없이 사건에 대한 뉴스를 따랐을 것이지만, 팟 캐스트는 맛있고 좌석 가장자리 의 이야기로 모든 작은 세부 사항을 공개합니다.
실크로드: 딥 웹 던전의 교훈
당신이 실크 로드의 ins-and-outs와 친밀한 하지 않은 경우, TL;DR 요약은 사람이 깊은 웹에 무역 웹사이트를 구축 하는 것입니다., 일반 대중의 캐고 눈에서 숨겨진 및 특별 한 소프트웨어를 사용 하지 않고 볼 수- 토르 브라우저, 정확 하 게. 이 사이트는 처음에 그의 자생 마법 버섯을 제공, 하지만, 거의 하룻밤, 불법 무기와 도난 신용 카드 세부 사항에 하드 코어 마약에서 모든 것을 제공 하는 공급 업체와 폭발. 당신은 여기에 속도를 얻을 수 있습니다. 크리에이터와 사이트 관리자는 공주 신부 영감 가명, 공포 해적 로버츠에 의해 갔다. 그는 모두, 그는 아무도 아니었다. 모든 사용자는 불법 상품의 진정한 현상금거래, 그들은 완전히 익명으로 그것을했다 (그리고 그 과정에서, 비트 코인은 선택의 마약 딜러 통화로 명성을 얻었다; 모니커는 단지 흔들기 시작했다).
그러나, 공포 해적 로버츠의 설립 실험은 자신의 짐승이었다. 곧, 히트맨은 자신의 서비스를 광고했다. 나쁜 사람들은 나쁜 일을하고 있었다 ... 그리고 그는 새로 발견 된 헤아릴 수없는 재산에 중독되었다. 그는 심지어 전 직원을 처분하기 위해 광고 된 히트맨의 서비스를 활용하려고노력했습니다. 긴 이야기 짧은, 이것은 그의 파멸을 초래 많은 너클 머리 결정 중 하나였다. 그는 로스 울브리히트로 가면을 쓰지 않았고 현재 미국 감옥에서 썩어가며 가석방의 가능성없이 이중 종신형과 40 년을 복역하고 있습니다.
그러나 모든 것이 완전히 비공개이고 익명이라면 어떻게 잡혔습니까?
글쎄, 무딘 넣어 : 그는 꽤 엉터리 코더였다. 실크로드 부지 자체는 바다에 누워 있는 새는 낡은 바지선과 같았습니다. 불법 활동의 허브(그리고 그 활동의 모든 데이터)를 고려하면 전혀 안전하지 않았습니다. 그것은 기회 해커에 의해 악용되기를 기다리는 앉아있는 오리였습니다. 공정하게, 당신은 거 대 한의 지배자 때, 불법 마약 밀매 사업, 그것은 아마 당신의 작업에 참여 하 고 싶은 유능한 직원을 찾기 쉽지 않다. 그는 자신의 기술 격차의 비밀을하지 않았다, 어느 - 그는 심지어 스택 오버 플로우 (예, 즉, 그의 사용자 계정)에 자신의 실명 아래에 게시, 제대로 PHP에서 컬을 사용하여 토르와 연결하는 자신의 사이트 코드를 구성하는 데 도움을 요청. 그는 게시 후 1 분 이내에 핸들 "서리가 내린"핸들에 자신의 실명을 변경하지만, 이것은 분명히 도움이되지 않았다 ... 사실, 실크로드 서버의 암호화 키는 "frosty@frosty"로 끝났기 때문에 FBI가 그의 향기의 바람을 잡으면 더 연루되었습니다.
개인 정보 보호에 대한 이러한 거대한 추진에도 불구하고, 전송 및 배달에 밀수품 자체를 확보에 대한 암호화 된 메시징, 통화 및 명시적 지침, 사이트는 울브리히트가 상상했을 수 있습니다 자유주의 환상의 꿰 뚫을 수없는 요새아니었다. 기술을 가진 사람들 (읽기 : FBI에 의해 고용 된 프로그래머) 천천히, 그러나 확실히, 모든 것을 공개하기 위해 해명 ... 사이트에서 거래한 수천 명의 신원포함. 그것은 몇 년 전 장난 꾸러기 상품을 구입 한 사람들은 여전히 독일에서이 사람처럼,어떤 시점에서 법의 긴 팔에서 문을 노크 얻을 것입니다 . 저런.
FBI는 그들이 실크로드를 관통 할 수있는 방법을 설명하는 문서를 발표, 일반적인 설명은 IP 주소 누출을 활용하는 것입니다. 실크로드 로그인 페이지의 잘못된 구성은 IP 주소와 따라서 언더 핸드 해킹이 필요하지 않고, 서버의 물리적 위치를 공개했다. 신인 오류, 확실히, 그리고 결국 로스 울브리히트에 FBI를 직접 주도 하나.
이 결함이 있었다면 - 이 결함이 이 순간을 오래 전에 발견했을 것이라는 추측이 있습니다. 호주 보안 컨설턴트인 Nik Cubrilovic은 WIRED와의 인터뷰에서단순히 거기에 없었다고 주장합니다.
"Tor 사이트에 연결하고 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다. 배심원이나 판사가 배심원을 만들려고 하는 방식은 기술적으로 는 의미가 없다고 믿습니다."
그런 다음 Cubrilovic은 불법 해킹 관행에 의해 정보가 입수되었을 수 있음을 암시합니다. 그 관행은 SQL 주입 것 같다, 이후 많은 사이트에서 추출의 그럴듯한 방법으로논의 된 입증되지 않은 소문.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다. 이 정보를 전혀 얻을 수 있다는 사실은 사이트가 "비공개"라는 일반적인 사용자 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다. 개인 정보 보호가 보안과 혼동되면 취약점에 노출 될 가능성이 가장 확실하게 증가합니다.
로스 울브리히트가 개인 정보 보호와 보안을 구별한 경우 사이트가 여전히 실행될 가능성도 있습니다 (원래의 형태로, 어쨌든, 그것은 여러 번 부활하고, 지금 작동하는 것처럼 더 큰 사이트가 있다) 로스 울브리히트는 개인 정보 보호 와 보안을 구별했다면, 적극적으로 거대한 열램프로 성장하기 전에 모두를 보장하기 위해 노력하고 있습니다. , 지구에 약간 평균 이상의 기술 지식으로 모든 불미스러운 도둑을 유치. 대신, 개인 클럽과 모든 비밀은 누군가가 문을 열 수있는 방법을 발견하는 순간을 공개했다.
당신은 마약 주인이 아니에요, 그래서 당신은 왜 걱정해야합니까?
실크로드의 상실과 설립자의 투옥은 슬프고 공감하는 이야기가 아니지만 프라이버시와 진실하고 강력한 사이트 보안 사이의 미묘한 차이에 대한 매혹적인 사례 연구입니다. 디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 생각하거나, 철통을 입은 소프트웨어 개발로 보호되지 않는다면, 그 정보는 공격자가 체리를 골라서 고를 수 있습니다(그리고 아이러니하게도 실크로드와 같은 사이트에 결국)가 거래와 정보를 비공개로 요구하는 많은 합법적 인 작업이 있습니다. 개인 정보 보호는 보안없이 존재하지 않습니다.
여러분과 마찬가지로 좋은 사람들은 OWASP Top 10의SQL 주입 공격 및 기타 취약점에 취약한 소프트웨어를 가질 수 있으므로 이러한 소프트웨어가 효율적으로 준비되고 완화되는 것이 중요합니다. 개발자가 프로세스 시작부터 안전하게 코딩하도록 교육받은 경우 이러한 결함은 하루의 빛을 볼 수 없습니다. 조직은 보안 마인드에 초점을 맞추고 개발자 팀이 안전하게 코딩할 수 있도록 하는 것이 필수적입니다. 우리는 그것을 재미, 측정 및 게임 방식으로 수행하는 방법을 보여 줄 수 있습니다. 준비되었습니까?
