왜 우리는 처벌하지, 호기심 보안 마음을 지원해야
십대 보안 연구원빌 데미르카피의 최근 보고서는 자신의 학교에서 사용하는 소프트웨어의 주요 취약점을 노출확실히 몇 가지 기억을 다시 가져왔다. 나는 호기심 아이인 것을 기억, 소프트웨어에 후드를 들어 올려 아래 들여다 보고 모든 작동 방법을 볼 수 - 그리고 더 중요한 것은 - 내가 그것을 깰 수 있다면. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 추구해 왔으며, 보안 커뮤니티(접근 방식은 약간 건방진 반면)는 악의적인 사람이 같은 작업을 수행하기 전에 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다.
그러나 여기서 문제는 그의 발견에 대한 응답으로, 그는 학교에서 사소한 정지를 입었다는 것입니다. 그리고 그는 회사(Follett Corporation)에개인적으로 연락할 수있는 모든 길을 소진 한 후에만, 마침내 자신과 자신의 시스템을 위반 할 수있는 능력을 식별하기 위해 다소 공개 적인 폭발을 선택했습니다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답없이 갔고, 소프트웨어는 취약한 상태로 남아 있으며 학생 데이터의 산은 암호화되지 않은 것처럼 상당히 쉽게 노출되었습니다.
그는 또한 다른 회사의 소프트웨어에서 버그를 사냥: 블랙 보드. Blackboard의 데이터에는 적어도 암호화가 있었지만 잠재적 인 공격자가 수백만 개의 레코드에 도달하고 더 많이 기록될 수 있었습니다. 이 소프트웨어와 Follett의 제품은 모두 그의 학교에서 사용되었습니다.
"사악한 해커의 이야기는 문제가있다.
데미르카피는 올해 DEF CON에서자신의 연구 결과를 발표했으며, 그의 장난에 대한 자세한 내용은 관중들의 박수를 받았다. 당연히, 정말 - 그는 나쁜 책에 처음과 자신의 발견을 인식하기 위해 많은 장애물에 직면하는 동안, Follett 공사는 소문에 따르면 자신의 노력에 감사하고 자신의 조언에 행동, 궁극적으로 자신의 소프트웨어를 더 안전하게하고 다른 데이터 유출 통계가되는 위기를 피하기. 그는 또한 고등학교를 마친 후 로체스터 공과 대학에 참석할 것이므로 수요가 많은 보안 전문가가 되기 위한 올바른 길에 있다는 것은 분명합니다.
보안 요원으로서 이 상황이 어떻게 처리되었는지에 대해 문제를 제기하기는 어렵습니다. 이 경우 잘 끝나는 모든 것이 좋지만, 처음에는 성가신 대본 아이가 속하지 않은 곳에 코를 두는 성가신 스크립트 아이처럼 대우받았습니다. 사건의 Google 검색은 "해커"로 그를 참조 하는 기사가 (보안 평신의 마음에, 이것은 많은 방법으로 악당으로 그를 위치), 때 실제로 그의 접근 방식 (그리고 많은 다른 사람의) 우리의 데이터를 안전 하 게 유지 하는 데 도움이.
우리는 호기심이 많고 영리하며 보안에 초점을 맞춘 사람들이 후드 아래를 바라보아야 하며, 훨씬 더 자주 일어나는 것이 필요합니다. 7월 현재, 올해만 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 당신은 잠재적으로 그 그림에 또 다른 5천만 추가 할 수 있습니다, 패션과 라이프 스타일 브랜드의 8 월 위반 덕분에, Poshmark.
우리는 같은 실수를하고, 더 걱정스럽게도, 그들은 종종 우리를 트립 계속 얼굴 손바닥 유도, 간단한 취약점입니다.
사이트 간 스크립팅 및 SQL 삽입은 사라지지 않았습니다.
WIRED에의해 보고 된 바와 같이, 블랙 보드 커뮤니티 참여 소프트웨어와 Folletts 학생 정보 시스템은 크로스 사이트 스크립팅 (XSS) 및 SQL 주입과 같은 일반적인 보안 버그를 포함하는 데미르 카피에 의해 발견되었다, 둘 다 1990 년대 이후 보안 전문가의 혀에 머리카락이었다. 우리는 정말 오랜 시간 동안 그들의 존재를 견뎌 왔고, 하이퍼 컬러 티셔츠와 플로피 디스크와 마찬가지로 지금은 먼 기억이되어야합니다.
그러나, 그들은 아니에요, 그리고 그것은 충분히 개발자가 자신의 코드에 그들의 도입을 중지 하는 적절 한 보안 인식을 보여 분명 하다. 스캐닝 도구와 수동 코드 검토는 그다지 많은 작업을 수행할 수 있으며 XSS 및 SQL 주입보다 훨씬 더 복잡한 보안 문제가 발생하므로 비용이 많이 들고 시간이 많이 소요되는 조치를 더 잘 활용할 수 있습니다.
빌 데미르카피와 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 불과 17세에 그는 코드가 커밋되기 전에 스니핑하고 수정해야 하는 위협 벡터를 통해 두 개의 고트래픽 시스템을 위반했습니다.
게임화: 참여의 열쇠는?
나는 개발자가 크게 보안과 단절 남아 이유에 많은 글을 썼고, 짧은 대답은 많은 조직, 교육 수준에서 수행되지 않는 것입니다, 보안 인식 개발자를 육성하기 위해. 기업이 개발자의 언어를 구사하고 계속 시도하도록 동기를 부여하는 교육을 구현하는 등 참여를 보상하고 인식하는 보안 문화를 구축하는 데 시간이 걸리면 이러한 성가신 취약점 유물은 우리가 사용하는 소프트웨어에서 사라지기 시작합니다.
Demirkapi는 분명히 보안에 과외 적인 관심을 가지고 있으며, 악성 코드를 리버스 엔지니어링하는 방법을 배울 수있는 시간을 촬영하고있다, 결함을 발견하고, 잘, 외부에서 깨진 나타나지 않는 물건을 깰. 그러나, VICE에 말하기에서 (그리고 그의 DEF CON 슬라이드를 통해), 그는 자신의 자기 교육에 흥미로운 성명을 발표 ... 그는 그것을 게임 :
"우리 학교의 소프트웨어에서 무언가를 찾는 것이 목표이기 때문에, 그것은 자신에게 상당한 양의 침투 테스트를 가르치는 재미있는 방법이었습니다. 더 많은 것을 배우려는 의도로 연구를 시작했지만, 결국 예상보다 훨씬 더 나빠졌다는 것을 알게 되었습니다."
모든 개발자가 보안을 전문으로 하는 것은 아니지만 모든 개발자는 보안 에 대한 인식이 될 수 있는 기회를 제공해야 하며, 기본 은 조직 내에서 거의 "코드 사용 권"으로 사용되며, 특히 민감한 데이터를 대량으로 제어하는 개발자가 있어야 합니다. 가장 간단한 보안 허점이 작성되기 도 전에 모든 개발자가 패치 할 수 있다면, 우리는 혼란을 과시하고자하는 사람들에 대해 훨씬 더 안전한 위치에 있습니다.
십대 보안 연구원 인 빌 데미르카피 (Bill Demirkapi)는 학교에서 사용하는 소프트웨어의 주요 취약점을 폭로하여 확실히 기억을 되살렸습니다. 나는 호기심 아이인 것을 기억, 소프트웨어에 후드를 들어 올려 아래 들여다 보고 모든 작동 방법을 볼 수 ... 그리고 내가 그것을 깰 수 있다면.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
십대 보안 연구원빌 데미르카피의 최근 보고서는 자신의 학교에서 사용하는 소프트웨어의 주요 취약점을 노출확실히 몇 가지 기억을 다시 가져왔다. 나는 호기심 아이인 것을 기억, 소프트웨어에 후드를 들어 올려 아래 들여다 보고 모든 작동 방법을 볼 수 - 그리고 더 중요한 것은 - 내가 그것을 깰 수 있다면. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 추구해 왔으며, 보안 커뮤니티(접근 방식은 약간 건방진 반면)는 악의적인 사람이 같은 작업을 수행하기 전에 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다.
그러나 여기서 문제는 그의 발견에 대한 응답으로, 그는 학교에서 사소한 정지를 입었다는 것입니다. 그리고 그는 회사(Follett Corporation)에개인적으로 연락할 수있는 모든 길을 소진 한 후에만, 마침내 자신과 자신의 시스템을 위반 할 수있는 능력을 식별하기 위해 다소 공개 적인 폭발을 선택했습니다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답없이 갔고, 소프트웨어는 취약한 상태로 남아 있으며 학생 데이터의 산은 암호화되지 않은 것처럼 상당히 쉽게 노출되었습니다.
그는 또한 다른 회사의 소프트웨어에서 버그를 사냥: 블랙 보드. Blackboard의 데이터에는 적어도 암호화가 있었지만 잠재적 인 공격자가 수백만 개의 레코드에 도달하고 더 많이 기록될 수 있었습니다. 이 소프트웨어와 Follett의 제품은 모두 그의 학교에서 사용되었습니다.
"사악한 해커의 이야기는 문제가있다.
데미르카피는 올해 DEF CON에서자신의 연구 결과를 발표했으며, 그의 장난에 대한 자세한 내용은 관중들의 박수를 받았다. 당연히, 정말 - 그는 나쁜 책에 처음과 자신의 발견을 인식하기 위해 많은 장애물에 직면하는 동안, Follett 공사는 소문에 따르면 자신의 노력에 감사하고 자신의 조언에 행동, 궁극적으로 자신의 소프트웨어를 더 안전하게하고 다른 데이터 유출 통계가되는 위기를 피하기. 그는 또한 고등학교를 마친 후 로체스터 공과 대학에 참석할 것이므로 수요가 많은 보안 전문가가 되기 위한 올바른 길에 있다는 것은 분명합니다.
보안 요원으로서 이 상황이 어떻게 처리되었는지에 대해 문제를 제기하기는 어렵습니다. 이 경우 잘 끝나는 모든 것이 좋지만, 처음에는 성가신 대본 아이가 속하지 않은 곳에 코를 두는 성가신 스크립트 아이처럼 대우받았습니다. 사건의 Google 검색은 "해커"로 그를 참조 하는 기사가 (보안 평신의 마음에, 이것은 많은 방법으로 악당으로 그를 위치), 때 실제로 그의 접근 방식 (그리고 많은 다른 사람의) 우리의 데이터를 안전 하 게 유지 하는 데 도움이.
우리는 호기심이 많고 영리하며 보안에 초점을 맞춘 사람들이 후드 아래를 바라보아야 하며, 훨씬 더 자주 일어나는 것이 필요합니다. 7월 현재, 올해만 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 당신은 잠재적으로 그 그림에 또 다른 5천만 추가 할 수 있습니다, 패션과 라이프 스타일 브랜드의 8 월 위반 덕분에, Poshmark.
우리는 같은 실수를하고, 더 걱정스럽게도, 그들은 종종 우리를 트립 계속 얼굴 손바닥 유도, 간단한 취약점입니다.
사이트 간 스크립팅 및 SQL 삽입은 사라지지 않았습니다.
WIRED에의해 보고 된 바와 같이, 블랙 보드 커뮤니티 참여 소프트웨어와 Folletts 학생 정보 시스템은 크로스 사이트 스크립팅 (XSS) 및 SQL 주입과 같은 일반적인 보안 버그를 포함하는 데미르 카피에 의해 발견되었다, 둘 다 1990 년대 이후 보안 전문가의 혀에 머리카락이었다. 우리는 정말 오랜 시간 동안 그들의 존재를 견뎌 왔고, 하이퍼 컬러 티셔츠와 플로피 디스크와 마찬가지로 지금은 먼 기억이되어야합니다.
그러나, 그들은 아니에요, 그리고 그것은 충분히 개발자가 자신의 코드에 그들의 도입을 중지 하는 적절 한 보안 인식을 보여 분명 하다. 스캐닝 도구와 수동 코드 검토는 그다지 많은 작업을 수행할 수 있으며 XSS 및 SQL 주입보다 훨씬 더 복잡한 보안 문제가 발생하므로 비용이 많이 들고 시간이 많이 소요되는 조치를 더 잘 활용할 수 있습니다.
빌 데미르카피와 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 불과 17세에 그는 코드가 커밋되기 전에 스니핑하고 수정해야 하는 위협 벡터를 통해 두 개의 고트래픽 시스템을 위반했습니다.
게임화: 참여의 열쇠는?
나는 개발자가 크게 보안과 단절 남아 이유에 많은 글을 썼고, 짧은 대답은 많은 조직, 교육 수준에서 수행되지 않는 것입니다, 보안 인식 개발자를 육성하기 위해. 기업이 개발자의 언어를 구사하고 계속 시도하도록 동기를 부여하는 교육을 구현하는 등 참여를 보상하고 인식하는 보안 문화를 구축하는 데 시간이 걸리면 이러한 성가신 취약점 유물은 우리가 사용하는 소프트웨어에서 사라지기 시작합니다.
Demirkapi는 분명히 보안에 과외 적인 관심을 가지고 있으며, 악성 코드를 리버스 엔지니어링하는 방법을 배울 수있는 시간을 촬영하고있다, 결함을 발견하고, 잘, 외부에서 깨진 나타나지 않는 물건을 깰. 그러나, VICE에 말하기에서 (그리고 그의 DEF CON 슬라이드를 통해), 그는 자신의 자기 교육에 흥미로운 성명을 발표 ... 그는 그것을 게임 :
"우리 학교의 소프트웨어에서 무언가를 찾는 것이 목표이기 때문에, 그것은 자신에게 상당한 양의 침투 테스트를 가르치는 재미있는 방법이었습니다. 더 많은 것을 배우려는 의도로 연구를 시작했지만, 결국 예상보다 훨씬 더 나빠졌다는 것을 알게 되었습니다."
모든 개발자가 보안을 전문으로 하는 것은 아니지만 모든 개발자는 보안 에 대한 인식이 될 수 있는 기회를 제공해야 하며, 기본 은 조직 내에서 거의 "코드 사용 권"으로 사용되며, 특히 민감한 데이터를 대량으로 제어하는 개발자가 있어야 합니다. 가장 간단한 보안 허점이 작성되기 도 전에 모든 개발자가 패치 할 수 있다면, 우리는 혼란을 과시하고자하는 사람들에 대해 훨씬 더 안전한 위치에 있습니다.
십대 보안 연구원빌 데미르카피의 최근 보고서는 자신의 학교에서 사용하는 소프트웨어의 주요 취약점을 노출확실히 몇 가지 기억을 다시 가져왔다. 나는 호기심 아이인 것을 기억, 소프트웨어에 후드를 들어 올려 아래 들여다 보고 모든 작동 방법을 볼 수 - 그리고 더 중요한 것은 - 내가 그것을 깰 수 있다면. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 추구해 왔으며, 보안 커뮤니티(접근 방식은 약간 건방진 반면)는 악의적인 사람이 같은 작업을 수행하기 전에 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다.
그러나 여기서 문제는 그의 발견에 대한 응답으로, 그는 학교에서 사소한 정지를 입었다는 것입니다. 그리고 그는 회사(Follett Corporation)에개인적으로 연락할 수있는 모든 길을 소진 한 후에만, 마침내 자신과 자신의 시스템을 위반 할 수있는 능력을 식별하기 위해 다소 공개 적인 폭발을 선택했습니다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답없이 갔고, 소프트웨어는 취약한 상태로 남아 있으며 학생 데이터의 산은 암호화되지 않은 것처럼 상당히 쉽게 노출되었습니다.
그는 또한 다른 회사의 소프트웨어에서 버그를 사냥: 블랙 보드. Blackboard의 데이터에는 적어도 암호화가 있었지만 잠재적 인 공격자가 수백만 개의 레코드에 도달하고 더 많이 기록될 수 있었습니다. 이 소프트웨어와 Follett의 제품은 모두 그의 학교에서 사용되었습니다.
"사악한 해커의 이야기는 문제가있다.
데미르카피는 올해 DEF CON에서자신의 연구 결과를 발표했으며, 그의 장난에 대한 자세한 내용은 관중들의 박수를 받았다. 당연히, 정말 - 그는 나쁜 책에 처음과 자신의 발견을 인식하기 위해 많은 장애물에 직면하는 동안, Follett 공사는 소문에 따르면 자신의 노력에 감사하고 자신의 조언에 행동, 궁극적으로 자신의 소프트웨어를 더 안전하게하고 다른 데이터 유출 통계가되는 위기를 피하기. 그는 또한 고등학교를 마친 후 로체스터 공과 대학에 참석할 것이므로 수요가 많은 보안 전문가가 되기 위한 올바른 길에 있다는 것은 분명합니다.
보안 요원으로서 이 상황이 어떻게 처리되었는지에 대해 문제를 제기하기는 어렵습니다. 이 경우 잘 끝나는 모든 것이 좋지만, 처음에는 성가신 대본 아이가 속하지 않은 곳에 코를 두는 성가신 스크립트 아이처럼 대우받았습니다. 사건의 Google 검색은 "해커"로 그를 참조 하는 기사가 (보안 평신의 마음에, 이것은 많은 방법으로 악당으로 그를 위치), 때 실제로 그의 접근 방식 (그리고 많은 다른 사람의) 우리의 데이터를 안전 하 게 유지 하는 데 도움이.
우리는 호기심이 많고 영리하며 보안에 초점을 맞춘 사람들이 후드 아래를 바라보아야 하며, 훨씬 더 자주 일어나는 것이 필요합니다. 7월 현재, 올해만 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 당신은 잠재적으로 그 그림에 또 다른 5천만 추가 할 수 있습니다, 패션과 라이프 스타일 브랜드의 8 월 위반 덕분에, Poshmark.
우리는 같은 실수를하고, 더 걱정스럽게도, 그들은 종종 우리를 트립 계속 얼굴 손바닥 유도, 간단한 취약점입니다.
사이트 간 스크립팅 및 SQL 삽입은 사라지지 않았습니다.
WIRED에의해 보고 된 바와 같이, 블랙 보드 커뮤니티 참여 소프트웨어와 Folletts 학생 정보 시스템은 크로스 사이트 스크립팅 (XSS) 및 SQL 주입과 같은 일반적인 보안 버그를 포함하는 데미르 카피에 의해 발견되었다, 둘 다 1990 년대 이후 보안 전문가의 혀에 머리카락이었다. 우리는 정말 오랜 시간 동안 그들의 존재를 견뎌 왔고, 하이퍼 컬러 티셔츠와 플로피 디스크와 마찬가지로 지금은 먼 기억이되어야합니다.
그러나, 그들은 아니에요, 그리고 그것은 충분히 개발자가 자신의 코드에 그들의 도입을 중지 하는 적절 한 보안 인식을 보여 분명 하다. 스캐닝 도구와 수동 코드 검토는 그다지 많은 작업을 수행할 수 있으며 XSS 및 SQL 주입보다 훨씬 더 복잡한 보안 문제가 발생하므로 비용이 많이 들고 시간이 많이 소요되는 조치를 더 잘 활용할 수 있습니다.
빌 데미르카피와 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 불과 17세에 그는 코드가 커밋되기 전에 스니핑하고 수정해야 하는 위협 벡터를 통해 두 개의 고트래픽 시스템을 위반했습니다.
게임화: 참여의 열쇠는?
나는 개발자가 크게 보안과 단절 남아 이유에 많은 글을 썼고, 짧은 대답은 많은 조직, 교육 수준에서 수행되지 않는 것입니다, 보안 인식 개발자를 육성하기 위해. 기업이 개발자의 언어를 구사하고 계속 시도하도록 동기를 부여하는 교육을 구현하는 등 참여를 보상하고 인식하는 보안 문화를 구축하는 데 시간이 걸리면 이러한 성가신 취약점 유물은 우리가 사용하는 소프트웨어에서 사라지기 시작합니다.
Demirkapi는 분명히 보안에 과외 적인 관심을 가지고 있으며, 악성 코드를 리버스 엔지니어링하는 방법을 배울 수있는 시간을 촬영하고있다, 결함을 발견하고, 잘, 외부에서 깨진 나타나지 않는 물건을 깰. 그러나, VICE에 말하기에서 (그리고 그의 DEF CON 슬라이드를 통해), 그는 자신의 자기 교육에 흥미로운 성명을 발표 ... 그는 그것을 게임 :
"우리 학교의 소프트웨어에서 무언가를 찾는 것이 목표이기 때문에, 그것은 자신에게 상당한 양의 침투 테스트를 가르치는 재미있는 방법이었습니다. 더 많은 것을 배우려는 의도로 연구를 시작했지만, 결국 예상보다 훨씬 더 나빠졌다는 것을 알게 되었습니다."
모든 개발자가 보안을 전문으로 하는 것은 아니지만 모든 개발자는 보안 에 대한 인식이 될 수 있는 기회를 제공해야 하며, 기본 은 조직 내에서 거의 "코드 사용 권"으로 사용되며, 특히 민감한 데이터를 대량으로 제어하는 개발자가 있어야 합니다. 가장 간단한 보안 허점이 작성되기 도 전에 모든 개발자가 패치 할 수 있다면, 우리는 혼란을 과시하고자하는 사람들에 대해 훨씬 더 안전한 위치에 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
십대 보안 연구원빌 데미르카피의 최근 보고서는 자신의 학교에서 사용하는 소프트웨어의 주요 취약점을 노출확실히 몇 가지 기억을 다시 가져왔다. 나는 호기심 아이인 것을 기억, 소프트웨어에 후드를 들어 올려 아래 들여다 보고 모든 작동 방법을 볼 수 - 그리고 더 중요한 것은 - 내가 그것을 깰 수 있다면. 수십 년 동안 소프트웨어 엔지니어들은 제품의 지속적인 개선과 강화를 추구해 왔으며, 보안 커뮤니티(접근 방식은 약간 건방진 반면)는 악의적인 사람이 같은 작업을 수행하기 전에 결함과 잠재적 재해를 발견하는 데 중요한 역할을 합니다.
그러나 여기서 문제는 그의 발견에 대한 응답으로, 그는 학교에서 사소한 정지를 입었다는 것입니다. 그리고 그는 회사(Follett Corporation)에개인적으로 연락할 수있는 모든 길을 소진 한 후에만, 마침내 자신과 자신의 시스템을 위반 할 수있는 능력을 식별하기 위해 다소 공개 적인 폭발을 선택했습니다. Follett Corporation에 윤리적으로 경고하려는 그의 반복된 시도는 응답없이 갔고, 소프트웨어는 취약한 상태로 남아 있으며 학생 데이터의 산은 암호화되지 않은 것처럼 상당히 쉽게 노출되었습니다.
그는 또한 다른 회사의 소프트웨어에서 버그를 사냥: 블랙 보드. Blackboard의 데이터에는 적어도 암호화가 있었지만 잠재적 인 공격자가 수백만 개의 레코드에 도달하고 더 많이 기록될 수 있었습니다. 이 소프트웨어와 Follett의 제품은 모두 그의 학교에서 사용되었습니다.
"사악한 해커의 이야기는 문제가있다.
데미르카피는 올해 DEF CON에서자신의 연구 결과를 발표했으며, 그의 장난에 대한 자세한 내용은 관중들의 박수를 받았다. 당연히, 정말 - 그는 나쁜 책에 처음과 자신의 발견을 인식하기 위해 많은 장애물에 직면하는 동안, Follett 공사는 소문에 따르면 자신의 노력에 감사하고 자신의 조언에 행동, 궁극적으로 자신의 소프트웨어를 더 안전하게하고 다른 데이터 유출 통계가되는 위기를 피하기. 그는 또한 고등학교를 마친 후 로체스터 공과 대학에 참석할 것이므로 수요가 많은 보안 전문가가 되기 위한 올바른 길에 있다는 것은 분명합니다.
보안 요원으로서 이 상황이 어떻게 처리되었는지에 대해 문제를 제기하기는 어렵습니다. 이 경우 잘 끝나는 모든 것이 좋지만, 처음에는 성가신 대본 아이가 속하지 않은 곳에 코를 두는 성가신 스크립트 아이처럼 대우받았습니다. 사건의 Google 검색은 "해커"로 그를 참조 하는 기사가 (보안 평신의 마음에, 이것은 많은 방법으로 악당으로 그를 위치), 때 실제로 그의 접근 방식 (그리고 많은 다른 사람의) 우리의 데이터를 안전 하 게 유지 하는 데 도움이.
우리는 호기심이 많고 영리하며 보안에 초점을 맞춘 사람들이 후드 아래를 바라보아야 하며, 훨씬 더 자주 일어나는 것이 필요합니다. 7월 현재, 올해만 40억 건 이상의 기록이 악의적인 데이터 유출에 노출되었습니다. 당신은 잠재적으로 그 그림에 또 다른 5천만 추가 할 수 있습니다, 패션과 라이프 스타일 브랜드의 8 월 위반 덕분에, Poshmark.
우리는 같은 실수를하고, 더 걱정스럽게도, 그들은 종종 우리를 트립 계속 얼굴 손바닥 유도, 간단한 취약점입니다.
사이트 간 스크립팅 및 SQL 삽입은 사라지지 않았습니다.
WIRED에의해 보고 된 바와 같이, 블랙 보드 커뮤니티 참여 소프트웨어와 Folletts 학생 정보 시스템은 크로스 사이트 스크립팅 (XSS) 및 SQL 주입과 같은 일반적인 보안 버그를 포함하는 데미르 카피에 의해 발견되었다, 둘 다 1990 년대 이후 보안 전문가의 혀에 머리카락이었다. 우리는 정말 오랜 시간 동안 그들의 존재를 견뎌 왔고, 하이퍼 컬러 티셔츠와 플로피 디스크와 마찬가지로 지금은 먼 기억이되어야합니다.
그러나, 그들은 아니에요, 그리고 그것은 충분히 개발자가 자신의 코드에 그들의 도입을 중지 하는 적절 한 보안 인식을 보여 분명 하다. 스캐닝 도구와 수동 코드 검토는 그다지 많은 작업을 수행할 수 있으며 XSS 및 SQL 주입보다 훨씬 더 복잡한 보안 문제가 발생하므로 비용이 많이 들고 시간이 많이 소요되는 조치를 더 잘 활용할 수 있습니다.
빌 데미르카피와 같은 사람들은 개발자가 더 높은 수준의 코드를 만들도록 영감을 주어야 합니다. 불과 17세에 그는 코드가 커밋되기 전에 스니핑하고 수정해야 하는 위협 벡터를 통해 두 개의 고트래픽 시스템을 위반했습니다.
게임화: 참여의 열쇠는?
나는 개발자가 크게 보안과 단절 남아 이유에 많은 글을 썼고, 짧은 대답은 많은 조직, 교육 수준에서 수행되지 않는 것입니다, 보안 인식 개발자를 육성하기 위해. 기업이 개발자의 언어를 구사하고 계속 시도하도록 동기를 부여하는 교육을 구현하는 등 참여를 보상하고 인식하는 보안 문화를 구축하는 데 시간이 걸리면 이러한 성가신 취약점 유물은 우리가 사용하는 소프트웨어에서 사라지기 시작합니다.
Demirkapi는 분명히 보안에 과외 적인 관심을 가지고 있으며, 악성 코드를 리버스 엔지니어링하는 방법을 배울 수있는 시간을 촬영하고있다, 결함을 발견하고, 잘, 외부에서 깨진 나타나지 않는 물건을 깰. 그러나, VICE에 말하기에서 (그리고 그의 DEF CON 슬라이드를 통해), 그는 자신의 자기 교육에 흥미로운 성명을 발표 ... 그는 그것을 게임 :
"우리 학교의 소프트웨어에서 무언가를 찾는 것이 목표이기 때문에, 그것은 자신에게 상당한 양의 침투 테스트를 가르치는 재미있는 방법이었습니다. 더 많은 것을 배우려는 의도로 연구를 시작했지만, 결국 예상보다 훨씬 더 나빠졌다는 것을 알게 되었습니다."
모든 개발자가 보안을 전문으로 하는 것은 아니지만 모든 개발자는 보안 에 대한 인식이 될 수 있는 기회를 제공해야 하며, 기본 은 조직 내에서 거의 "코드 사용 권"으로 사용되며, 특히 민감한 데이터를 대량으로 제어하는 개발자가 있어야 합니다. 가장 간단한 보안 허점이 작성되기 도 전에 모든 개발자가 패치 할 수 있다면, 우리는 혼란을 과시하고자하는 사람들에 대해 훨씬 더 안전한 위치에 있습니다.