Confundir la privacidad con la seguridad: el error fatal
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
Cuando la privacidad en línea intenta existir sin seguridad, reina el caos. Pregúntale a Ross Ulbricht.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
