보안과 혼동 개인 정보 보호: 치명적인 실수
최근 장거리 비행에서, 나는 팟 캐스트 에피소드의 아주 솔직히, 미친 볼륨을 삼킬 수있는 기회를 했다. 너무 많은 다른 시리즈와 최신 유지 의미 내가 들을 수 있는 뭔가 부족, 설득력 있는--하지만-대화 그냥 내 전화 화면의 터치.
결국, 나는 진정한 범죄 팟 캐스트, Casefile의에피소드에 도착 . 이 극적인, 무 보류 금지 시리즈 (불길하게 목소리와 이름없는 호스트와 완료) 심지어 가장 지식과 정통한 기술자를 매료 주제로 탐구: 깊은 웹, 그리고 밀수 무역 웹 의 대격변 승천, 실크 로드. 실크로드의 상승과 하락에 익숙한 사람들은 의심 할 여지없이 사건에 대한 뉴스를 따랐을 것이지만, 팟 캐스트는 맛있고 좌석 가장자리 의 이야기로 모든 작은 세부 사항을 공개합니다.
실크로드: 딥 웹 던전의 교훈
실크로드에 대해 잘 모르시는 분들을 위해 간단히 설명하자면, 한 남성이 딥 웹에 일반인의 눈에 띄지 않고 특수 소프트웨어인 Tor 브라우저를 사용하지 않으면 볼 수 없는 거래 웹사이트를 구축했다는 것입니다. 이 사이트는 처음에는 직접 재배한 마법의 버섯만 판매했지만, 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용카드 정보까지 모든 것을 제공하는 판매자가 폭발적으로 증가했습니다. 자세한 내용은 여기에서 확인할 수 있습니다. 제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받아 공포의 해적 로버츠라는 가명을 사용했습니다. 그는 누구도 아닌 모든 사람이었습니다. 모든 사용자는 엄청난 양의 불법 상품을 거래했으며, 완전히 익명으로 거래했습니다(그 과정에서 비트코인은 마약상들이 선호하는 통화로 명성을 얻었습니다. 이제 막 흔들리기 시작한 오명입니다).
그러나, 공포 해적 로버츠의 설립 실험은 자신의 짐승이었다. 곧, 히트맨은 자신의 서비스를 광고했다. 나쁜 사람들은 나쁜 일을하고 있었다 ... 그리고 그는 새로 발견 된 헤아릴 수없는 재산에 중독되었다. 그는 심지어 전 직원을 처분하기 위해 광고 된 히트맨의 서비스를 활용하려고노력했습니다. 긴 이야기 짧은, 이것은 그의 파멸을 초래 많은 너클 머리 결정 중 하나였다. 그는 로스 울브리히트로 가면을 쓰지 않았고 현재 미국 감옥에서 썩어가며 가석방의 가능성없이 이중 종신형과 40 년을 복역하고 있습니다.
그러나 모든 것이 완전히 비공개이고 익명이라면 어떻게 잡혔습니까?
글쎄, 무딘 넣어 : 그는 꽤 엉터리 코더였다. 실크로드 부지 자체는 바다에 누워 있는 새는 낡은 바지선과 같았습니다. 불법 활동의 허브(그리고 그 활동의 모든 데이터)를 고려하면 전혀 안전하지 않았습니다. 그것은 기회 해커에 의해 악용되기를 기다리는 앉아있는 오리였습니다. 공정하게, 당신은 거 대 한의 지배자 때, 불법 마약 밀매 사업, 그것은 아마 당신의 작업에 참여 하 고 싶은 유능한 직원을 찾기 쉽지 않다. 그는 자신의 기술 격차의 비밀을하지 않았다, 어느 - 그는 심지어 스택 오버 플로우 (예, 즉, 그의 사용자 계정)에 자신의 실명 아래에 게시, 제대로 PHP에서 컬을 사용하여 토르와 연결하는 자신의 사이트 코드를 구성하는 데 도움을 요청. 그는 게시 후 1 분 이내에 핸들 "서리가 내린"핸들에 자신의 실명을 변경하지만, 이것은 분명히 도움이되지 않았다 ... 사실, 실크로드 서버의 암호화 키는 "frosty@frosty"로 끝났기 때문에 FBI가 그의 향기의 바람을 잡으면 더 연루되었습니다.
암호화된 메시지, 통화, 밀수품의 운송 및 배송 시 보안에 대한 명시적인 지침 등 프라이버시를 위한 엄청난 노력에도 불구하고 이 사이트는 울브리히트가 상상했던 자유주의적 판타지의 난공불락의 요새는 아니었습니다. 기술을 가진 사람들(FBI에 고용된 프로그래머)은 천천히, 그러나 확실하게 이 사이트를 풀어내어 사이트에서 거래한 수천 명의 신원을 포함한 모든 것을 밝혀냈습니다. 수년 전에 음란물을 구매했던 사람들도 언젠가는 법의 긴 팔이 문을 두드리게 될 가능성이 있습니다.
FBI는 그들이 실크로드를 관통 할 수있는 방법을 설명하는 문서를 발표, 일반적인 설명은 IP 주소 누출을 활용하는 것입니다. 실크로드 로그인 페이지의 잘못된 구성은 IP 주소와 따라서 언더 핸드 해킹이 필요하지 않고, 서버의 물리적 위치를 공개했다. 신인 오류, 확실히, 그리고 결국 로스 울브리히트에 FBI를 직접 주도 하나.
이 결함이 있었다면 - 이 결함이 이 순간을 오래 전에 발견했을 것이라는 추측이 있습니다. 호주 보안 컨설턴트인 Nik Cubrilovic은 WIRED와의 인터뷰에서단순히 거기에 없었다고 주장합니다.
"Tor 사이트에 연결하고 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다. 배심원이나 판사가 배심원을 만들려고 하는 방식은 기술적으로 는 의미가 없다고 믿습니다."
그런 다음 Cubrilovic은 불법 해킹 관행에 의해 정보가 입수되었을 수 있음을 암시합니다. 그 관행은 SQL 주입 것 같다, 이후 많은 사이트에서 추출의 그럴듯한 방법으로논의 된 입증되지 않은 소문.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다. 이 정보를 전혀 얻을 수 있다는 사실은 사이트가 "비공개"라는 일반적인 사용자 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다. 개인 정보 보호가 보안과 혼동되면 취약점에 노출 될 가능성이 가장 확실하게 증가합니다.
로스 울브리히트가 개인 정보 보호와 보안을 구별한 경우 사이트가 여전히 실행될 가능성도 있습니다 (원래의 형태로, 어쨌든, 그것은 여러 번 부활하고, 지금 작동하는 것처럼 더 큰 사이트가 있다) 로스 울브리히트는 개인 정보 보호 와 보안을 구별했다면, 적극적으로 거대한 열램프로 성장하기 전에 모두를 보장하기 위해 노력하고 있습니다. , 지구에 약간 평균 이상의 기술 지식으로 모든 불미스러운 도둑을 유치. 대신, 개인 클럽과 모든 비밀은 누군가가 문을 열 수있는 방법을 발견하는 순간을 공개했다.
당신은 마약 주인이 아니에요, 그래서 당신은 왜 걱정해야합니까?
실크로드의 상실과 설립자의 투옥은 슬프고 공감하는 이야기가 아니지만 프라이버시와 진실하고 강력한 사이트 보안 사이의 미묘한 차이에 대한 매혹적인 사례 연구입니다. 디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 생각하거나, 철통을 입은 소프트웨어 개발로 보호되지 않는다면, 그 정보는 공격자가 체리를 골라서 고를 수 있습니다(그리고 아이러니하게도 실크로드와 같은 사이트에 결국)가 거래와 정보를 비공개로 요구하는 많은 합법적 인 작업이 있습니다. 개인 정보 보호는 보안없이 존재하지 않습니다.
여러분과 같은 선량한 기업도 SQL 인젝션 공격 및 기타 OWASP 상위 10가지 취약점에 취약한 소프트웨어를 보유하고 있을 수 있으므로 이러한 취약점에 효율적으로 대비하고 완화하는 것이 중요합니다. 개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육을 받는다면 이러한 결함은 빛을 보지 못할 것입니다. 조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 역량을 강화하는 것이 필수적입니다. 재미있고 측정 가능하며 게임화된 방식으로 이를 수행하는 방법을 보여드릴 수 있습니다. 준비되셨나요?
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
최근 장거리 비행에서, 나는 팟 캐스트 에피소드의 아주 솔직히, 미친 볼륨을 삼킬 수있는 기회를 했다. 너무 많은 다른 시리즈와 최신 유지 의미 내가 들을 수 있는 뭔가 부족, 설득력 있는--하지만-대화 그냥 내 전화 화면의 터치.
결국, 나는 진정한 범죄 팟 캐스트, Casefile의에피소드에 도착 . 이 극적인, 무 보류 금지 시리즈 (불길하게 목소리와 이름없는 호스트와 완료) 심지어 가장 지식과 정통한 기술자를 매료 주제로 탐구: 깊은 웹, 그리고 밀수 무역 웹 의 대격변 승천, 실크 로드. 실크로드의 상승과 하락에 익숙한 사람들은 의심 할 여지없이 사건에 대한 뉴스를 따랐을 것이지만, 팟 캐스트는 맛있고 좌석 가장자리 의 이야기로 모든 작은 세부 사항을 공개합니다.
실크로드: 딥 웹 던전의 교훈
실크로드에 대해 잘 모르시는 분들을 위해 간단히 설명하자면, 한 남성이 딥 웹에 일반인의 눈에 띄지 않고 특수 소프트웨어인 Tor 브라우저를 사용하지 않으면 볼 수 없는 거래 웹사이트를 구축했다는 것입니다. 이 사이트는 처음에는 직접 재배한 마법의 버섯만 판매했지만, 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용카드 정보까지 모든 것을 제공하는 판매자가 폭발적으로 증가했습니다. 자세한 내용은 여기에서 확인할 수 있습니다. 제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받아 공포의 해적 로버츠라는 가명을 사용했습니다. 그는 누구도 아닌 모든 사람이었습니다. 모든 사용자는 엄청난 양의 불법 상품을 거래했으며, 완전히 익명으로 거래했습니다(그 과정에서 비트코인은 마약상들이 선호하는 통화로 명성을 얻었습니다. 이제 막 흔들리기 시작한 오명입니다).
그러나, 공포 해적 로버츠의 설립 실험은 자신의 짐승이었다. 곧, 히트맨은 자신의 서비스를 광고했다. 나쁜 사람들은 나쁜 일을하고 있었다 ... 그리고 그는 새로 발견 된 헤아릴 수없는 재산에 중독되었다. 그는 심지어 전 직원을 처분하기 위해 광고 된 히트맨의 서비스를 활용하려고노력했습니다. 긴 이야기 짧은, 이것은 그의 파멸을 초래 많은 너클 머리 결정 중 하나였다. 그는 로스 울브리히트로 가면을 쓰지 않았고 현재 미국 감옥에서 썩어가며 가석방의 가능성없이 이중 종신형과 40 년을 복역하고 있습니다.
그러나 모든 것이 완전히 비공개이고 익명이라면 어떻게 잡혔습니까?
글쎄, 무딘 넣어 : 그는 꽤 엉터리 코더였다. 실크로드 부지 자체는 바다에 누워 있는 새는 낡은 바지선과 같았습니다. 불법 활동의 허브(그리고 그 활동의 모든 데이터)를 고려하면 전혀 안전하지 않았습니다. 그것은 기회 해커에 의해 악용되기를 기다리는 앉아있는 오리였습니다. 공정하게, 당신은 거 대 한의 지배자 때, 불법 마약 밀매 사업, 그것은 아마 당신의 작업에 참여 하 고 싶은 유능한 직원을 찾기 쉽지 않다. 그는 자신의 기술 격차의 비밀을하지 않았다, 어느 - 그는 심지어 스택 오버 플로우 (예, 즉, 그의 사용자 계정)에 자신의 실명 아래에 게시, 제대로 PHP에서 컬을 사용하여 토르와 연결하는 자신의 사이트 코드를 구성하는 데 도움을 요청. 그는 게시 후 1 분 이내에 핸들 "서리가 내린"핸들에 자신의 실명을 변경하지만, 이것은 분명히 도움이되지 않았다 ... 사실, 실크로드 서버의 암호화 키는 "frosty@frosty"로 끝났기 때문에 FBI가 그의 향기의 바람을 잡으면 더 연루되었습니다.
암호화된 메시지, 통화, 밀수품의 운송 및 배송 시 보안에 대한 명시적인 지침 등 프라이버시를 위한 엄청난 노력에도 불구하고 이 사이트는 울브리히트가 상상했던 자유주의적 판타지의 난공불락의 요새는 아니었습니다. 기술을 가진 사람들(FBI에 고용된 프로그래머)은 천천히, 그러나 확실하게 이 사이트를 풀어내어 사이트에서 거래한 수천 명의 신원을 포함한 모든 것을 밝혀냈습니다. 수년 전에 음란물을 구매했던 사람들도 언젠가는 법의 긴 팔이 문을 두드리게 될 가능성이 있습니다.
FBI는 그들이 실크로드를 관통 할 수있는 방법을 설명하는 문서를 발표, 일반적인 설명은 IP 주소 누출을 활용하는 것입니다. 실크로드 로그인 페이지의 잘못된 구성은 IP 주소와 따라서 언더 핸드 해킹이 필요하지 않고, 서버의 물리적 위치를 공개했다. 신인 오류, 확실히, 그리고 결국 로스 울브리히트에 FBI를 직접 주도 하나.
이 결함이 있었다면 - 이 결함이 이 순간을 오래 전에 발견했을 것이라는 추측이 있습니다. 호주 보안 컨설턴트인 Nik Cubrilovic은 WIRED와의 인터뷰에서단순히 거기에 없었다고 주장합니다.
"Tor 사이트에 연결하고 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다. 배심원이나 판사가 배심원을 만들려고 하는 방식은 기술적으로 는 의미가 없다고 믿습니다."
그런 다음 Cubrilovic은 불법 해킹 관행에 의해 정보가 입수되었을 수 있음을 암시합니다. 그 관행은 SQL 주입 것 같다, 이후 많은 사이트에서 추출의 그럴듯한 방법으로논의 된 입증되지 않은 소문.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다. 이 정보를 전혀 얻을 수 있다는 사실은 사이트가 "비공개"라는 일반적인 사용자 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다. 개인 정보 보호가 보안과 혼동되면 취약점에 노출 될 가능성이 가장 확실하게 증가합니다.
로스 울브리히트가 개인 정보 보호와 보안을 구별한 경우 사이트가 여전히 실행될 가능성도 있습니다 (원래의 형태로, 어쨌든, 그것은 여러 번 부활하고, 지금 작동하는 것처럼 더 큰 사이트가 있다) 로스 울브리히트는 개인 정보 보호 와 보안을 구별했다면, 적극적으로 거대한 열램프로 성장하기 전에 모두를 보장하기 위해 노력하고 있습니다. , 지구에 약간 평균 이상의 기술 지식으로 모든 불미스러운 도둑을 유치. 대신, 개인 클럽과 모든 비밀은 누군가가 문을 열 수있는 방법을 발견하는 순간을 공개했다.
당신은 마약 주인이 아니에요, 그래서 당신은 왜 걱정해야합니까?
실크로드의 상실과 설립자의 투옥은 슬프고 공감하는 이야기가 아니지만 프라이버시와 진실하고 강력한 사이트 보안 사이의 미묘한 차이에 대한 매혹적인 사례 연구입니다. 디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 생각하거나, 철통을 입은 소프트웨어 개발로 보호되지 않는다면, 그 정보는 공격자가 체리를 골라서 고를 수 있습니다(그리고 아이러니하게도 실크로드와 같은 사이트에 결국)가 거래와 정보를 비공개로 요구하는 많은 합법적 인 작업이 있습니다. 개인 정보 보호는 보안없이 존재하지 않습니다.
여러분과 같은 선량한 기업도 SQL 인젝션 공격 및 기타 OWASP 상위 10가지 취약점에 취약한 소프트웨어를 보유하고 있을 수 있으므로 이러한 취약점에 효율적으로 대비하고 완화하는 것이 중요합니다. 개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육을 받는다면 이러한 결함은 빛을 보지 못할 것입니다. 조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 역량을 강화하는 것이 필수적입니다. 재미있고 측정 가능하며 게임화된 방식으로 이를 수행하는 방법을 보여드릴 수 있습니다. 준비되셨나요?
최근 장거리 비행에서, 나는 팟 캐스트 에피소드의 아주 솔직히, 미친 볼륨을 삼킬 수있는 기회를 했다. 너무 많은 다른 시리즈와 최신 유지 의미 내가 들을 수 있는 뭔가 부족, 설득력 있는--하지만-대화 그냥 내 전화 화면의 터치.
결국, 나는 진정한 범죄 팟 캐스트, Casefile의에피소드에 도착 . 이 극적인, 무 보류 금지 시리즈 (불길하게 목소리와 이름없는 호스트와 완료) 심지어 가장 지식과 정통한 기술자를 매료 주제로 탐구: 깊은 웹, 그리고 밀수 무역 웹 의 대격변 승천, 실크 로드. 실크로드의 상승과 하락에 익숙한 사람들은 의심 할 여지없이 사건에 대한 뉴스를 따랐을 것이지만, 팟 캐스트는 맛있고 좌석 가장자리 의 이야기로 모든 작은 세부 사항을 공개합니다.
실크로드: 딥 웹 던전의 교훈
실크로드에 대해 잘 모르시는 분들을 위해 간단히 설명하자면, 한 남성이 딥 웹에 일반인의 눈에 띄지 않고 특수 소프트웨어인 Tor 브라우저를 사용하지 않으면 볼 수 없는 거래 웹사이트를 구축했다는 것입니다. 이 사이트는 처음에는 직접 재배한 마법의 버섯만 판매했지만, 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용카드 정보까지 모든 것을 제공하는 판매자가 폭발적으로 증가했습니다. 자세한 내용은 여기에서 확인할 수 있습니다. 제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받아 공포의 해적 로버츠라는 가명을 사용했습니다. 그는 누구도 아닌 모든 사람이었습니다. 모든 사용자는 엄청난 양의 불법 상품을 거래했으며, 완전히 익명으로 거래했습니다(그 과정에서 비트코인은 마약상들이 선호하는 통화로 명성을 얻었습니다. 이제 막 흔들리기 시작한 오명입니다).
그러나, 공포 해적 로버츠의 설립 실험은 자신의 짐승이었다. 곧, 히트맨은 자신의 서비스를 광고했다. 나쁜 사람들은 나쁜 일을하고 있었다 ... 그리고 그는 새로 발견 된 헤아릴 수없는 재산에 중독되었다. 그는 심지어 전 직원을 처분하기 위해 광고 된 히트맨의 서비스를 활용하려고노력했습니다. 긴 이야기 짧은, 이것은 그의 파멸을 초래 많은 너클 머리 결정 중 하나였다. 그는 로스 울브리히트로 가면을 쓰지 않았고 현재 미국 감옥에서 썩어가며 가석방의 가능성없이 이중 종신형과 40 년을 복역하고 있습니다.
그러나 모든 것이 완전히 비공개이고 익명이라면 어떻게 잡혔습니까?
글쎄, 무딘 넣어 : 그는 꽤 엉터리 코더였다. 실크로드 부지 자체는 바다에 누워 있는 새는 낡은 바지선과 같았습니다. 불법 활동의 허브(그리고 그 활동의 모든 데이터)를 고려하면 전혀 안전하지 않았습니다. 그것은 기회 해커에 의해 악용되기를 기다리는 앉아있는 오리였습니다. 공정하게, 당신은 거 대 한의 지배자 때, 불법 마약 밀매 사업, 그것은 아마 당신의 작업에 참여 하 고 싶은 유능한 직원을 찾기 쉽지 않다. 그는 자신의 기술 격차의 비밀을하지 않았다, 어느 - 그는 심지어 스택 오버 플로우 (예, 즉, 그의 사용자 계정)에 자신의 실명 아래에 게시, 제대로 PHP에서 컬을 사용하여 토르와 연결하는 자신의 사이트 코드를 구성하는 데 도움을 요청. 그는 게시 후 1 분 이내에 핸들 "서리가 내린"핸들에 자신의 실명을 변경하지만, 이것은 분명히 도움이되지 않았다 ... 사실, 실크로드 서버의 암호화 키는 "frosty@frosty"로 끝났기 때문에 FBI가 그의 향기의 바람을 잡으면 더 연루되었습니다.
암호화된 메시지, 통화, 밀수품의 운송 및 배송 시 보안에 대한 명시적인 지침 등 프라이버시를 위한 엄청난 노력에도 불구하고 이 사이트는 울브리히트가 상상했던 자유주의적 판타지의 난공불락의 요새는 아니었습니다. 기술을 가진 사람들(FBI에 고용된 프로그래머)은 천천히, 그러나 확실하게 이 사이트를 풀어내어 사이트에서 거래한 수천 명의 신원을 포함한 모든 것을 밝혀냈습니다. 수년 전에 음란물을 구매했던 사람들도 언젠가는 법의 긴 팔이 문을 두드리게 될 가능성이 있습니다.
FBI는 그들이 실크로드를 관통 할 수있는 방법을 설명하는 문서를 발표, 일반적인 설명은 IP 주소 누출을 활용하는 것입니다. 실크로드 로그인 페이지의 잘못된 구성은 IP 주소와 따라서 언더 핸드 해킹이 필요하지 않고, 서버의 물리적 위치를 공개했다. 신인 오류, 확실히, 그리고 결국 로스 울브리히트에 FBI를 직접 주도 하나.
이 결함이 있었다면 - 이 결함이 이 순간을 오래 전에 발견했을 것이라는 추측이 있습니다. 호주 보안 컨설턴트인 Nik Cubrilovic은 WIRED와의 인터뷰에서단순히 거기에 없었다고 주장합니다.
"Tor 사이트에 연결하고 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다. 배심원이나 판사가 배심원을 만들려고 하는 방식은 기술적으로 는 의미가 없다고 믿습니다."
그런 다음 Cubrilovic은 불법 해킹 관행에 의해 정보가 입수되었을 수 있음을 암시합니다. 그 관행은 SQL 주입 것 같다, 이후 많은 사이트에서 추출의 그럴듯한 방법으로논의 된 입증되지 않은 소문.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다. 이 정보를 전혀 얻을 수 있다는 사실은 사이트가 "비공개"라는 일반적인 사용자 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다. 개인 정보 보호가 보안과 혼동되면 취약점에 노출 될 가능성이 가장 확실하게 증가합니다.
로스 울브리히트가 개인 정보 보호와 보안을 구별한 경우 사이트가 여전히 실행될 가능성도 있습니다 (원래의 형태로, 어쨌든, 그것은 여러 번 부활하고, 지금 작동하는 것처럼 더 큰 사이트가 있다) 로스 울브리히트는 개인 정보 보호 와 보안을 구별했다면, 적극적으로 거대한 열램프로 성장하기 전에 모두를 보장하기 위해 노력하고 있습니다. , 지구에 약간 평균 이상의 기술 지식으로 모든 불미스러운 도둑을 유치. 대신, 개인 클럽과 모든 비밀은 누군가가 문을 열 수있는 방법을 발견하는 순간을 공개했다.
당신은 마약 주인이 아니에요, 그래서 당신은 왜 걱정해야합니까?
실크로드의 상실과 설립자의 투옥은 슬프고 공감하는 이야기가 아니지만 프라이버시와 진실하고 강력한 사이트 보안 사이의 미묘한 차이에 대한 매혹적인 사례 연구입니다. 디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 생각하거나, 철통을 입은 소프트웨어 개발로 보호되지 않는다면, 그 정보는 공격자가 체리를 골라서 고를 수 있습니다(그리고 아이러니하게도 실크로드와 같은 사이트에 결국)가 거래와 정보를 비공개로 요구하는 많은 합법적 인 작업이 있습니다. 개인 정보 보호는 보안없이 존재하지 않습니다.
여러분과 같은 선량한 기업도 SQL 인젝션 공격 및 기타 OWASP 상위 10가지 취약점에 취약한 소프트웨어를 보유하고 있을 수 있으므로 이러한 취약점에 효율적으로 대비하고 완화하는 것이 중요합니다. 개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육을 받는다면 이러한 결함은 빛을 보지 못할 것입니다. 조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 역량을 강화하는 것이 필수적입니다. 재미있고 측정 가능하며 게임화된 방식으로 이를 수행하는 방법을 보여드릴 수 있습니다. 준비되셨나요?
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
최근 장거리 비행에서, 나는 팟 캐스트 에피소드의 아주 솔직히, 미친 볼륨을 삼킬 수있는 기회를 했다. 너무 많은 다른 시리즈와 최신 유지 의미 내가 들을 수 있는 뭔가 부족, 설득력 있는--하지만-대화 그냥 내 전화 화면의 터치.
결국, 나는 진정한 범죄 팟 캐스트, Casefile의에피소드에 도착 . 이 극적인, 무 보류 금지 시리즈 (불길하게 목소리와 이름없는 호스트와 완료) 심지어 가장 지식과 정통한 기술자를 매료 주제로 탐구: 깊은 웹, 그리고 밀수 무역 웹 의 대격변 승천, 실크 로드. 실크로드의 상승과 하락에 익숙한 사람들은 의심 할 여지없이 사건에 대한 뉴스를 따랐을 것이지만, 팟 캐스트는 맛있고 좌석 가장자리 의 이야기로 모든 작은 세부 사항을 공개합니다.
실크로드: 딥 웹 던전의 교훈
실크로드에 대해 잘 모르시는 분들을 위해 간단히 설명하자면, 한 남성이 딥 웹에 일반인의 눈에 띄지 않고 특수 소프트웨어인 Tor 브라우저를 사용하지 않으면 볼 수 없는 거래 웹사이트를 구축했다는 것입니다. 이 사이트는 처음에는 직접 재배한 마법의 버섯만 판매했지만, 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용카드 정보까지 모든 것을 제공하는 판매자가 폭발적으로 증가했습니다. 자세한 내용은 여기에서 확인할 수 있습니다. 제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받아 공포의 해적 로버츠라는 가명을 사용했습니다. 그는 누구도 아닌 모든 사람이었습니다. 모든 사용자는 엄청난 양의 불법 상품을 거래했으며, 완전히 익명으로 거래했습니다(그 과정에서 비트코인은 마약상들이 선호하는 통화로 명성을 얻었습니다. 이제 막 흔들리기 시작한 오명입니다).
그러나, 공포 해적 로버츠의 설립 실험은 자신의 짐승이었다. 곧, 히트맨은 자신의 서비스를 광고했다. 나쁜 사람들은 나쁜 일을하고 있었다 ... 그리고 그는 새로 발견 된 헤아릴 수없는 재산에 중독되었다. 그는 심지어 전 직원을 처분하기 위해 광고 된 히트맨의 서비스를 활용하려고노력했습니다. 긴 이야기 짧은, 이것은 그의 파멸을 초래 많은 너클 머리 결정 중 하나였다. 그는 로스 울브리히트로 가면을 쓰지 않았고 현재 미국 감옥에서 썩어가며 가석방의 가능성없이 이중 종신형과 40 년을 복역하고 있습니다.
그러나 모든 것이 완전히 비공개이고 익명이라면 어떻게 잡혔습니까?
글쎄, 무딘 넣어 : 그는 꽤 엉터리 코더였다. 실크로드 부지 자체는 바다에 누워 있는 새는 낡은 바지선과 같았습니다. 불법 활동의 허브(그리고 그 활동의 모든 데이터)를 고려하면 전혀 안전하지 않았습니다. 그것은 기회 해커에 의해 악용되기를 기다리는 앉아있는 오리였습니다. 공정하게, 당신은 거 대 한의 지배자 때, 불법 마약 밀매 사업, 그것은 아마 당신의 작업에 참여 하 고 싶은 유능한 직원을 찾기 쉽지 않다. 그는 자신의 기술 격차의 비밀을하지 않았다, 어느 - 그는 심지어 스택 오버 플로우 (예, 즉, 그의 사용자 계정)에 자신의 실명 아래에 게시, 제대로 PHP에서 컬을 사용하여 토르와 연결하는 자신의 사이트 코드를 구성하는 데 도움을 요청. 그는 게시 후 1 분 이내에 핸들 "서리가 내린"핸들에 자신의 실명을 변경하지만, 이것은 분명히 도움이되지 않았다 ... 사실, 실크로드 서버의 암호화 키는 "frosty@frosty"로 끝났기 때문에 FBI가 그의 향기의 바람을 잡으면 더 연루되었습니다.
암호화된 메시지, 통화, 밀수품의 운송 및 배송 시 보안에 대한 명시적인 지침 등 프라이버시를 위한 엄청난 노력에도 불구하고 이 사이트는 울브리히트가 상상했던 자유주의적 판타지의 난공불락의 요새는 아니었습니다. 기술을 가진 사람들(FBI에 고용된 프로그래머)은 천천히, 그러나 확실하게 이 사이트를 풀어내어 사이트에서 거래한 수천 명의 신원을 포함한 모든 것을 밝혀냈습니다. 수년 전에 음란물을 구매했던 사람들도 언젠가는 법의 긴 팔이 문을 두드리게 될 가능성이 있습니다.
FBI는 그들이 실크로드를 관통 할 수있는 방법을 설명하는 문서를 발표, 일반적인 설명은 IP 주소 누출을 활용하는 것입니다. 실크로드 로그인 페이지의 잘못된 구성은 IP 주소와 따라서 언더 핸드 해킹이 필요하지 않고, 서버의 물리적 위치를 공개했다. 신인 오류, 확실히, 그리고 결국 로스 울브리히트에 FBI를 직접 주도 하나.
이 결함이 있었다면 - 이 결함이 이 순간을 오래 전에 발견했을 것이라는 추측이 있습니다. 호주 보안 컨설턴트인 Nik Cubrilovic은 WIRED와의 인터뷰에서단순히 거기에 없었다고 주장합니다.
"Tor 사이트에 연결하고 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다. 배심원이나 판사가 배심원을 만들려고 하는 방식은 기술적으로 는 의미가 없다고 믿습니다."
그런 다음 Cubrilovic은 불법 해킹 관행에 의해 정보가 입수되었을 수 있음을 암시합니다. 그 관행은 SQL 주입 것 같다, 이후 많은 사이트에서 추출의 그럴듯한 방법으로논의 된 입증되지 않은 소문.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다. 이 정보를 전혀 얻을 수 있다는 사실은 사이트가 "비공개"라는 일반적인 사용자 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다. 개인 정보 보호가 보안과 혼동되면 취약점에 노출 될 가능성이 가장 확실하게 증가합니다.
로스 울브리히트가 개인 정보 보호와 보안을 구별한 경우 사이트가 여전히 실행될 가능성도 있습니다 (원래의 형태로, 어쨌든, 그것은 여러 번 부활하고, 지금 작동하는 것처럼 더 큰 사이트가 있다) 로스 울브리히트는 개인 정보 보호 와 보안을 구별했다면, 적극적으로 거대한 열램프로 성장하기 전에 모두를 보장하기 위해 노력하고 있습니다. , 지구에 약간 평균 이상의 기술 지식으로 모든 불미스러운 도둑을 유치. 대신, 개인 클럽과 모든 비밀은 누군가가 문을 열 수있는 방법을 발견하는 순간을 공개했다.
당신은 마약 주인이 아니에요, 그래서 당신은 왜 걱정해야합니까?
실크로드의 상실과 설립자의 투옥은 슬프고 공감하는 이야기가 아니지만 프라이버시와 진실하고 강력한 사이트 보안 사이의 미묘한 차이에 대한 매혹적인 사례 연구입니다. 디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 생각하거나, 철통을 입은 소프트웨어 개발로 보호되지 않는다면, 그 정보는 공격자가 체리를 골라서 고를 수 있습니다(그리고 아이러니하게도 실크로드와 같은 사이트에 결국)가 거래와 정보를 비공개로 요구하는 많은 합법적 인 작업이 있습니다. 개인 정보 보호는 보안없이 존재하지 않습니다.
여러분과 같은 선량한 기업도 SQL 인젝션 공격 및 기타 OWASP 상위 10가지 취약점에 취약한 소프트웨어를 보유하고 있을 수 있으므로 이러한 취약점에 효율적으로 대비하고 완화하는 것이 중요합니다. 개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육을 받는다면 이러한 결함은 빛을 보지 못할 것입니다. 조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 역량을 강화하는 것이 필수적입니다. 재미있고 측정 가능하며 게임화된 방식으로 이를 수행하는 방법을 보여드릴 수 있습니다. 준비되셨나요?
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드시작할 수 있는 리소스
보안 기술 벤치마킹: 기업에서 보안 설계 간소화
보안 설계 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어렵기로 악명이 높습니다. CISO는 직원과 회사 차원에서 보안 프로그램 활동의 투자 수익률(ROI)과 비즈니스 가치를 입증하는 데 어려움을 겪는 경우가 많습니다. 특히 기업이 현재 업계 표준과 비교하여 조직이 어떻게 벤치마킹되고 있는지에 대한 인사이트를 얻는 것은 더욱 어렵습니다. 대통령의 국가 사이버 보안 전략은 이해관계자들에게 "보안과 회복탄력성을 설계에 포함"할 것을 촉구했습니다. 설계에 의한 보안 이니셔티브의 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 이러한 기술이 제대로 갖추어져 있음을 확신시키는 것입니다. 이 프레젠테이션에서는 25만 명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트, 공개 연구 등 여러 주요 소스에서 파생된 수많은 정성적 및 정량적 데이터를 공유합니다. 이러한 데이터 포인트의 집계를 활용하여 여러 업종에 걸친 보안 설계 이니셔티브의 현재 상태에 대한 비전을 전달하고자 합니다. 이 보고서는 현재 이 분야의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 잠재력에 대해 자세히 설명합니다.
