프라이버시와 보안의 혼동: 치명적인 말
최근 장거리 비행에서 솔직히 말해서 엄청난 양의 팟캐스트 에피소드를 집어삼킬 기회를 잡았습니다.아주 다양한 시리즈를 통해 항상 최신 소식을 접할 수 있다는 것은 듣고자 하는 내용이 부족하지 않다는 것을 의미합니다. 단편적이긴 하지만 전화 화면을 한 번 터치하기만 하면 설득력 있는 대화를 들을 수 있습니다.
결국 저는 트루 크라임 팟캐스트의 한 에피소드를 보게 되었어요. 사례 파일.이 드라마틱한 시리즈 (불길한 목소리와 이름도 없는 진행자가 출연함) 는 가장 박식하고 정통한 기술자들도 매료시킬 만한 주제인 딥 웹 (Deep Web), 밀수품 거래 웹사이트인 실크로드 (Silk Road) 의 대격변에 대해 자세히 다루었습니다.실크로드의 흥망성쇠에 대해 잘 알고 있는 사람들은 의심할 여지 없이 이 사건에 대한 뉴스를 접했을 것입니다. 하지만 팟캐스트는 흥미진진한 이야기로 모든 세부 사항을 공개합니다.
실크로드: 딥 웹 던전에서 얻은 교훈
실크로드에 대해 잘 모르는 분들을 위해 말씀드리자면, TL; DR 요약은 어떤 사람이 딥 웹에 무역 웹사이트를 만들었다는 것입니다. 이 웹사이트는 일반 대중의 눈에 띄지 않고 특별한 소프트웨어 (정확히는 Tor 브라우저) 를 사용하지 않고는 볼 수 없습니다.이 사이트는 처음에는 그가 직접 키운 마법 버섯만 판매했지만, 거의 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용 카드 정보에 이르기까지 모든 것을 제공하는 공급업체들이 폭발적으로 늘어났습니다. 여기에서 속도를 높일 수 있습니다..제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받은 가명인 드레드 파이어릿 로버츠로 이름을 지었습니다.그는 모든 사람이었어요. 아무도 아니었죠.모든 사용자들은 엄청난 양의 불법 상품을 거래했고 완전히 익명으로 거래했습니다 (그리고 그 과정에서 비트코인은 마약 딜러 통화로 유명해졌으며, 이 이름은 이제 막 흔들리기 시작했습니다).
그러나 공포의 해적 로버츠의 반체제 실험은 그 자체로 엄청난 실패였습니다.얼마 지나지 않아 암살꾼들이 자신들의 서비스를 광고하기 시작했다.나쁜 사람들이 나쁜 짓을 하고 있었어요... 그리고 그는 헤아릴 수 없을 정도로 새로 얻은 재산에 취해 있었어요.심지어 그는 광고된 살인범의 서비스를 이용해 전직 직원을 처분하려 했습니다.간단히 말해서, 이것은 그의 실패로 이어진 여러 가지 절제된 결정 중 하나였습니다.로스 울브리히트 (Ross Ulbricht) 라는 가면을 벗은 그는 현재 미국 감옥에서 썩어다니며 두 배의 종신형을 받고 40년 동안 가석방 가능성이 없는 상태로 복역하고 있습니다.
하지만 모든 것이 완전히 사적이고 익명이라면 어떻게 잡혔을까요?
글쎄, 직설적으로 말하면: 그는 꽤 형편없는 코더였어요.실크로드 유적지 자체가 바다에 버려진 새고 오래된 바지선 같았어요.이곳이 불법 활동 (그리고 그 활동의 배후에 있는 모든 데이터) 의 중심지라는 점을 고려하면 전혀 안전하지 않았습니다. 기회주의적인 해커에게 악용되기만을 기다리고 있는 실정이었죠.공정하게 말하자면, 대규모 불법 마약 밀매 사업의 주모자라면 사업에 참여하고자 하는 유능한 직원을 찾기가 쉽지 않을 것입니다.또한 그는 자신의 기술 격차를 숨기지 않았습니다. 그는 심지어 자신의 실명으로 글을 올렸습니다. ...에 스택 오버플로 (네, 그의 사용자 계정입니다) PHP에서 Curl을 사용하여 Tor와 연결되도록 사이트 코드를 올바르게 구성하는 데 도움을 요청했습니다.그는 글을 올린 지 1분도 안 되어 실명을 “frosty”라는 핸들로 변경했지만, 이것은 분명히 도움이 되지 않았습니다... 사실, 아마도 더 큰 피해를 입혔을 것입니다. 실크로드 서버의 암호화 키가 “frosty @frosty “라는 하위 문자열로 끝났기 때문에 FBI가 그의 향기를 알게 되자 그를 더 연루시킨 것입니다.
암호화된 메시지, 화폐, 운송 및 배송 시 밀수품 자체를 보호하라는 명시적인 지침 등 개인 정보 보호에 대한 엄청난 노력을 기울였음에도 불구하고, 이 사이트는 울브리히트가 상상했던 뚫을 수 없는 자유주의적 환상의 요새는 아니었습니다.기술을 가진 사람들 (예: FBI에 고용된 프로그래머) 은 천천히, 그러나 확실하게 그것을 풀어 모든 것을 밝혀냈습니다... 그 사이트에서 거래한 수천 명의 사람들의 신원을 포함해서요.수년 전에 못된 물건을 구입한 사람들도 언젠가는 법의 장기 조항에서 문을 두드리게 될 수도 있습니다.
FBI가 공개했습니다 선적 서류 비치 IP 주소 유출을 활용한 일반적인 설명과 함께 이들이 어떻게 실크로드에 침투할 수 있었는지 개괄적으로 설명합니다.Silk Road 로그인 페이지를 잘못 구성하여 해킹할 필요 없이 IP 주소와 서버의 물리적 위치가 드러났습니다.확실히 신기한 실수였고, 결국 FBI는 곧바로 로스 울브리히트에게 찾아갔습니다.
이 결함이 존재했다면 이 사이트를 모니터링하는 많은 보안 전문가 중 한 명이 이 순간보다 훨씬 이전에 발견했을 것이라는 추측이 있습니다.호주의 보안 컨설턴트인 닉 쿠브릴로비치 (Nik Cubrilovic) 는 단순히 문제가 없었다고 주장합니다. 와이어드와의 인터뷰에서:
“Tor 사이트에 연결하여 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다.배심원이나 판사에게 그런 일이 일어났다고 믿게 만드는 방식은 엄밀히 따지면 말이 안 돼요.”
그런 다음 Cubrilovic은 계속해서 해당 정보가 불법 해킹 관행에 의해 획득되었을 수 있다고 암시합니다.이러한 관행은 SQL 인젝션 (SQL Injection) 으로 보이는데, 이는 검증되지 않은 소문으로, 여러 가지로 논의되고 있습니다. 이후 많은 사이트에서 그럴듯한 추출 방법.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다.정보를 전혀 얻을 수 없었다는 사실은 실크로드가 “비공개”인 사이트에 대한 일반 사용자의 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다.프라이버시를 보안과 혼동하면 취약점에 노출될 가능성이 커지는 것이 확실합니다.
Ross Ulbricht가 개인 정보 보호와 보안을 구분하여 거대한 히트 램프로 성장하기 전에 이 두 가지를 모두 보장하기 위해 적극적으로 노력하여 지구상에서 평균 이상의 기술 지식을 가진 모든 불미스러운 사기꾼을 끌어들였다면 사이트가 여전히 운영되고 있을 가능성도 있습니다 (어쨌든, 이 사이트는 몇 번이나 부활했고, 지금도 운영 중인 것처럼 더 큰 사이트가 있습니다).대신 누군가가 문을 여는 방법을 찾은 순간 사설 클럽과 그 모든 비밀이 드러났습니다.
넌 마약왕이 아닌데 왜 신경 써야 해?
실크로드의 상실과 설립자의 투옥은 슬프고 동정적인 이야기는 아니지만 개인 정보 보호와 진실하고 강력한 사이트 보안 간의 미묘한 차이에 대한 흥미로운 사례 연구입니다.디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 예로 들자면 거래와 정보를 비공개로 유지해야 하는 합법적인 작전이 많이 있습니다. 하지만 철저한 소프트웨어 개발로 보안을 갖추지 못하면 공격자가 해당 정보를 선별할 수 있습니다 (아이러니하게도 실크로드와 같은 사이트에 노출될 수 있습니다).개인 정보 보호는 보안 없이는 존재하지 않습니다.
여러분과 같은 선량한 사람들은 SQL 인젝션 공격 및 기타 취약점에 취약한 소프트웨어를 보유할 수 있습니다. OWASP 탑 10따라서 이러한 상황에 대비하고 효율적으로 완화하는 것이 중요합니다.개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육받는다면 이러한 결함은 피할 수 없을 것입니다.조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 지원하는 것이 필수적입니다.재미있고 측정 가능하며 게임화된 방식으로 이 작업을 수행하는 방법을 알려드릴 수 있습니다.준비 되셨나요?
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
최근 장거리 비행에서 솔직히 말해서 엄청난 양의 팟캐스트 에피소드를 집어삼킬 기회를 잡았습니다.아주 다양한 시리즈를 통해 항상 최신 소식을 접할 수 있다는 것은 듣고자 하는 내용이 부족하지 않다는 것을 의미합니다. 단편적이긴 하지만 전화 화면을 한 번 터치하기만 하면 설득력 있는 대화를 들을 수 있습니다.
결국 저는 트루 크라임 팟캐스트의 한 에피소드를 보게 되었어요. 사례 파일.이 드라마틱한 시리즈 (불길한 목소리와 이름도 없는 진행자가 출연함) 는 가장 박식하고 정통한 기술자들도 매료시킬 만한 주제인 딥 웹 (Deep Web), 밀수품 거래 웹사이트인 실크로드 (Silk Road) 의 대격변에 대해 자세히 다루었습니다.실크로드의 흥망성쇠에 대해 잘 알고 있는 사람들은 의심할 여지 없이 이 사건에 대한 뉴스를 접했을 것입니다. 하지만 팟캐스트는 흥미진진한 이야기로 모든 세부 사항을 공개합니다.
실크로드: 딥 웹 던전에서 얻은 교훈
실크로드에 대해 잘 모르는 분들을 위해 말씀드리자면, TL; DR 요약은 어떤 사람이 딥 웹에 무역 웹사이트를 만들었다는 것입니다. 이 웹사이트는 일반 대중의 눈에 띄지 않고 특별한 소프트웨어 (정확히는 Tor 브라우저) 를 사용하지 않고는 볼 수 없습니다.이 사이트는 처음에는 그가 직접 키운 마법 버섯만 판매했지만, 거의 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용 카드 정보에 이르기까지 모든 것을 제공하는 공급업체들이 폭발적으로 늘어났습니다. 여기에서 속도를 높일 수 있습니다..제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받은 가명인 드레드 파이어릿 로버츠로 이름을 지었습니다.그는 모든 사람이었어요. 아무도 아니었죠.모든 사용자들은 엄청난 양의 불법 상품을 거래했고 완전히 익명으로 거래했습니다 (그리고 그 과정에서 비트코인은 마약 딜러 통화로 유명해졌으며, 이 이름은 이제 막 흔들리기 시작했습니다).
그러나 공포의 해적 로버츠의 반체제 실험은 그 자체로 엄청난 실패였습니다.얼마 지나지 않아 암살꾼들이 자신들의 서비스를 광고하기 시작했다.나쁜 사람들이 나쁜 짓을 하고 있었어요... 그리고 그는 헤아릴 수 없을 정도로 새로 얻은 재산에 취해 있었어요.심지어 그는 광고된 살인범의 서비스를 이용해 전직 직원을 처분하려 했습니다.간단히 말해서, 이것은 그의 실패로 이어진 여러 가지 절제된 결정 중 하나였습니다.로스 울브리히트 (Ross Ulbricht) 라는 가면을 벗은 그는 현재 미국 감옥에서 썩어다니며 두 배의 종신형을 받고 40년 동안 가석방 가능성이 없는 상태로 복역하고 있습니다.
하지만 모든 것이 완전히 사적이고 익명이라면 어떻게 잡혔을까요?
글쎄, 직설적으로 말하면: 그는 꽤 형편없는 코더였어요.실크로드 유적지 자체가 바다에 버려진 새고 오래된 바지선 같았어요.이곳이 불법 활동 (그리고 그 활동의 배후에 있는 모든 데이터) 의 중심지라는 점을 고려하면 전혀 안전하지 않았습니다. 기회주의적인 해커에게 악용되기만을 기다리고 있는 실정이었죠.공정하게 말하자면, 대규모 불법 마약 밀매 사업의 주모자라면 사업에 참여하고자 하는 유능한 직원을 찾기가 쉽지 않을 것입니다.또한 그는 자신의 기술 격차를 숨기지 않았습니다. 그는 심지어 자신의 실명으로 글을 올렸습니다. ...에 스택 오버플로 (네, 그의 사용자 계정입니다) PHP에서 Curl을 사용하여 Tor와 연결되도록 사이트 코드를 올바르게 구성하는 데 도움을 요청했습니다.그는 글을 올린 지 1분도 안 되어 실명을 “frosty”라는 핸들로 변경했지만, 이것은 분명히 도움이 되지 않았습니다... 사실, 아마도 더 큰 피해를 입혔을 것입니다. 실크로드 서버의 암호화 키가 “frosty @frosty “라는 하위 문자열로 끝났기 때문에 FBI가 그의 향기를 알게 되자 그를 더 연루시킨 것입니다.
암호화된 메시지, 화폐, 운송 및 배송 시 밀수품 자체를 보호하라는 명시적인 지침 등 개인 정보 보호에 대한 엄청난 노력을 기울였음에도 불구하고, 이 사이트는 울브리히트가 상상했던 뚫을 수 없는 자유주의적 환상의 요새는 아니었습니다.기술을 가진 사람들 (예: FBI에 고용된 프로그래머) 은 천천히, 그러나 확실하게 그것을 풀어 모든 것을 밝혀냈습니다... 그 사이트에서 거래한 수천 명의 사람들의 신원을 포함해서요.수년 전에 못된 물건을 구입한 사람들도 언젠가는 법의 장기 조항에서 문을 두드리게 될 수도 있습니다.
FBI가 공개했습니다 선적 서류 비치 IP 주소 유출을 활용한 일반적인 설명과 함께 이들이 어떻게 실크로드에 침투할 수 있었는지 개괄적으로 설명합니다.Silk Road 로그인 페이지를 잘못 구성하여 해킹할 필요 없이 IP 주소와 서버의 물리적 위치가 드러났습니다.확실히 신기한 실수였고, 결국 FBI는 곧바로 로스 울브리히트에게 찾아갔습니다.
이 결함이 존재했다면 이 사이트를 모니터링하는 많은 보안 전문가 중 한 명이 이 순간보다 훨씬 이전에 발견했을 것이라는 추측이 있습니다.호주의 보안 컨설턴트인 닉 쿠브릴로비치 (Nik Cubrilovic) 는 단순히 문제가 없었다고 주장합니다. 와이어드와의 인터뷰에서:
“Tor 사이트에 연결하여 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다.배심원이나 판사에게 그런 일이 일어났다고 믿게 만드는 방식은 엄밀히 따지면 말이 안 돼요.”
그런 다음 Cubrilovic은 계속해서 해당 정보가 불법 해킹 관행에 의해 획득되었을 수 있다고 암시합니다.이러한 관행은 SQL 인젝션 (SQL Injection) 으로 보이는데, 이는 검증되지 않은 소문으로, 여러 가지로 논의되고 있습니다. 이후 많은 사이트에서 그럴듯한 추출 방법.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다.정보를 전혀 얻을 수 없었다는 사실은 실크로드가 “비공개”인 사이트에 대한 일반 사용자의 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다.프라이버시를 보안과 혼동하면 취약점에 노출될 가능성이 커지는 것이 확실합니다.
Ross Ulbricht가 개인 정보 보호와 보안을 구분하여 거대한 히트 램프로 성장하기 전에 이 두 가지를 모두 보장하기 위해 적극적으로 노력하여 지구상에서 평균 이상의 기술 지식을 가진 모든 불미스러운 사기꾼을 끌어들였다면 사이트가 여전히 운영되고 있을 가능성도 있습니다 (어쨌든, 이 사이트는 몇 번이나 부활했고, 지금도 운영 중인 것처럼 더 큰 사이트가 있습니다).대신 누군가가 문을 여는 방법을 찾은 순간 사설 클럽과 그 모든 비밀이 드러났습니다.
넌 마약왕이 아닌데 왜 신경 써야 해?
실크로드의 상실과 설립자의 투옥은 슬프고 동정적인 이야기는 아니지만 개인 정보 보호와 진실하고 강력한 사이트 보안 간의 미묘한 차이에 대한 흥미로운 사례 연구입니다.디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 예로 들자면 거래와 정보를 비공개로 유지해야 하는 합법적인 작전이 많이 있습니다. 하지만 철저한 소프트웨어 개발로 보안을 갖추지 못하면 공격자가 해당 정보를 선별할 수 있습니다 (아이러니하게도 실크로드와 같은 사이트에 노출될 수 있습니다).개인 정보 보호는 보안 없이는 존재하지 않습니다.
여러분과 같은 선량한 사람들은 SQL 인젝션 공격 및 기타 취약점에 취약한 소프트웨어를 보유할 수 있습니다. OWASP 탑 10따라서 이러한 상황에 대비하고 효율적으로 완화하는 것이 중요합니다.개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육받는다면 이러한 결함은 피할 수 없을 것입니다.조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 지원하는 것이 필수적입니다.재미있고 측정 가능하며 게임화된 방식으로 이 작업을 수행하는 방법을 알려드릴 수 있습니다.준비 되셨나요?
최근 장거리 비행에서 솔직히 말해서 엄청난 양의 팟캐스트 에피소드를 집어삼킬 기회를 잡았습니다.아주 다양한 시리즈를 통해 항상 최신 소식을 접할 수 있다는 것은 듣고자 하는 내용이 부족하지 않다는 것을 의미합니다. 단편적이긴 하지만 전화 화면을 한 번 터치하기만 하면 설득력 있는 대화를 들을 수 있습니다.
결국 저는 트루 크라임 팟캐스트의 한 에피소드를 보게 되었어요. 사례 파일.이 드라마틱한 시리즈 (불길한 목소리와 이름도 없는 진행자가 출연함) 는 가장 박식하고 정통한 기술자들도 매료시킬 만한 주제인 딥 웹 (Deep Web), 밀수품 거래 웹사이트인 실크로드 (Silk Road) 의 대격변에 대해 자세히 다루었습니다.실크로드의 흥망성쇠에 대해 잘 알고 있는 사람들은 의심할 여지 없이 이 사건에 대한 뉴스를 접했을 것입니다. 하지만 팟캐스트는 흥미진진한 이야기로 모든 세부 사항을 공개합니다.
실크로드: 딥 웹 던전에서 얻은 교훈
실크로드에 대해 잘 모르는 분들을 위해 말씀드리자면, TL; DR 요약은 어떤 사람이 딥 웹에 무역 웹사이트를 만들었다는 것입니다. 이 웹사이트는 일반 대중의 눈에 띄지 않고 특별한 소프트웨어 (정확히는 Tor 브라우저) 를 사용하지 않고는 볼 수 없습니다.이 사이트는 처음에는 그가 직접 키운 마법 버섯만 판매했지만, 거의 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용 카드 정보에 이르기까지 모든 것을 제공하는 공급업체들이 폭발적으로 늘어났습니다. 여기에서 속도를 높일 수 있습니다..제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받은 가명인 드레드 파이어릿 로버츠로 이름을 지었습니다.그는 모든 사람이었어요. 아무도 아니었죠.모든 사용자들은 엄청난 양의 불법 상품을 거래했고 완전히 익명으로 거래했습니다 (그리고 그 과정에서 비트코인은 마약 딜러 통화로 유명해졌으며, 이 이름은 이제 막 흔들리기 시작했습니다).
그러나 공포의 해적 로버츠의 반체제 실험은 그 자체로 엄청난 실패였습니다.얼마 지나지 않아 암살꾼들이 자신들의 서비스를 광고하기 시작했다.나쁜 사람들이 나쁜 짓을 하고 있었어요... 그리고 그는 헤아릴 수 없을 정도로 새로 얻은 재산에 취해 있었어요.심지어 그는 광고된 살인범의 서비스를 이용해 전직 직원을 처분하려 했습니다.간단히 말해서, 이것은 그의 실패로 이어진 여러 가지 절제된 결정 중 하나였습니다.로스 울브리히트 (Ross Ulbricht) 라는 가면을 벗은 그는 현재 미국 감옥에서 썩어다니며 두 배의 종신형을 받고 40년 동안 가석방 가능성이 없는 상태로 복역하고 있습니다.
하지만 모든 것이 완전히 사적이고 익명이라면 어떻게 잡혔을까요?
글쎄, 직설적으로 말하면: 그는 꽤 형편없는 코더였어요.실크로드 유적지 자체가 바다에 버려진 새고 오래된 바지선 같았어요.이곳이 불법 활동 (그리고 그 활동의 배후에 있는 모든 데이터) 의 중심지라는 점을 고려하면 전혀 안전하지 않았습니다. 기회주의적인 해커에게 악용되기만을 기다리고 있는 실정이었죠.공정하게 말하자면, 대규모 불법 마약 밀매 사업의 주모자라면 사업에 참여하고자 하는 유능한 직원을 찾기가 쉽지 않을 것입니다.또한 그는 자신의 기술 격차를 숨기지 않았습니다. 그는 심지어 자신의 실명으로 글을 올렸습니다. ...에 스택 오버플로 (네, 그의 사용자 계정입니다) PHP에서 Curl을 사용하여 Tor와 연결되도록 사이트 코드를 올바르게 구성하는 데 도움을 요청했습니다.그는 글을 올린 지 1분도 안 되어 실명을 “frosty”라는 핸들로 변경했지만, 이것은 분명히 도움이 되지 않았습니다... 사실, 아마도 더 큰 피해를 입혔을 것입니다. 실크로드 서버의 암호화 키가 “frosty @frosty “라는 하위 문자열로 끝났기 때문에 FBI가 그의 향기를 알게 되자 그를 더 연루시킨 것입니다.
암호화된 메시지, 화폐, 운송 및 배송 시 밀수품 자체를 보호하라는 명시적인 지침 등 개인 정보 보호에 대한 엄청난 노력을 기울였음에도 불구하고, 이 사이트는 울브리히트가 상상했던 뚫을 수 없는 자유주의적 환상의 요새는 아니었습니다.기술을 가진 사람들 (예: FBI에 고용된 프로그래머) 은 천천히, 그러나 확실하게 그것을 풀어 모든 것을 밝혀냈습니다... 그 사이트에서 거래한 수천 명의 사람들의 신원을 포함해서요.수년 전에 못된 물건을 구입한 사람들도 언젠가는 법의 장기 조항에서 문을 두드리게 될 수도 있습니다.
FBI가 공개했습니다 선적 서류 비치 IP 주소 유출을 활용한 일반적인 설명과 함께 이들이 어떻게 실크로드에 침투할 수 있었는지 개괄적으로 설명합니다.Silk Road 로그인 페이지를 잘못 구성하여 해킹할 필요 없이 IP 주소와 서버의 물리적 위치가 드러났습니다.확실히 신기한 실수였고, 결국 FBI는 곧바로 로스 울브리히트에게 찾아갔습니다.
이 결함이 존재했다면 이 사이트를 모니터링하는 많은 보안 전문가 중 한 명이 이 순간보다 훨씬 이전에 발견했을 것이라는 추측이 있습니다.호주의 보안 컨설턴트인 닉 쿠브릴로비치 (Nik Cubrilovic) 는 단순히 문제가 없었다고 주장합니다. 와이어드와의 인터뷰에서:
“Tor 사이트에 연결하여 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다.배심원이나 판사에게 그런 일이 일어났다고 믿게 만드는 방식은 엄밀히 따지면 말이 안 돼요.”
그런 다음 Cubrilovic은 계속해서 해당 정보가 불법 해킹 관행에 의해 획득되었을 수 있다고 암시합니다.이러한 관행은 SQL 인젝션 (SQL Injection) 으로 보이는데, 이는 검증되지 않은 소문으로, 여러 가지로 논의되고 있습니다. 이후 많은 사이트에서 그럴듯한 추출 방법.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다.정보를 전혀 얻을 수 없었다는 사실은 실크로드가 “비공개”인 사이트에 대한 일반 사용자의 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다.프라이버시를 보안과 혼동하면 취약점에 노출될 가능성이 커지는 것이 확실합니다.
Ross Ulbricht가 개인 정보 보호와 보안을 구분하여 거대한 히트 램프로 성장하기 전에 이 두 가지를 모두 보장하기 위해 적극적으로 노력하여 지구상에서 평균 이상의 기술 지식을 가진 모든 불미스러운 사기꾼을 끌어들였다면 사이트가 여전히 운영되고 있을 가능성도 있습니다 (어쨌든, 이 사이트는 몇 번이나 부활했고, 지금도 운영 중인 것처럼 더 큰 사이트가 있습니다).대신 누군가가 문을 여는 방법을 찾은 순간 사설 클럽과 그 모든 비밀이 드러났습니다.
넌 마약왕이 아닌데 왜 신경 써야 해?
실크로드의 상실과 설립자의 투옥은 슬프고 동정적인 이야기는 아니지만 개인 정보 보호와 진실하고 강력한 사이트 보안 간의 미묘한 차이에 대한 흥미로운 사례 연구입니다.디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 예로 들자면 거래와 정보를 비공개로 유지해야 하는 합법적인 작전이 많이 있습니다. 하지만 철저한 소프트웨어 개발로 보안을 갖추지 못하면 공격자가 해당 정보를 선별할 수 있습니다 (아이러니하게도 실크로드와 같은 사이트에 노출될 수 있습니다).개인 정보 보호는 보안 없이는 존재하지 않습니다.
여러분과 같은 선량한 사람들은 SQL 인젝션 공격 및 기타 취약점에 취약한 소프트웨어를 보유할 수 있습니다. OWASP 탑 10따라서 이러한 상황에 대비하고 효율적으로 완화하는 것이 중요합니다.개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육받는다면 이러한 결함은 피할 수 없을 것입니다.조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 지원하는 것이 필수적입니다.재미있고 측정 가능하며 게임화된 방식으로 이 작업을 수행하는 방법을 알려드릴 수 있습니다.준비 되셨나요?
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
최근 장거리 비행에서 솔직히 말해서 엄청난 양의 팟캐스트 에피소드를 집어삼킬 기회를 잡았습니다.아주 다양한 시리즈를 통해 항상 최신 소식을 접할 수 있다는 것은 듣고자 하는 내용이 부족하지 않다는 것을 의미합니다. 단편적이긴 하지만 전화 화면을 한 번 터치하기만 하면 설득력 있는 대화를 들을 수 있습니다.
결국 저는 트루 크라임 팟캐스트의 한 에피소드를 보게 되었어요. 사례 파일.이 드라마틱한 시리즈 (불길한 목소리와 이름도 없는 진행자가 출연함) 는 가장 박식하고 정통한 기술자들도 매료시킬 만한 주제인 딥 웹 (Deep Web), 밀수품 거래 웹사이트인 실크로드 (Silk Road) 의 대격변에 대해 자세히 다루었습니다.실크로드의 흥망성쇠에 대해 잘 알고 있는 사람들은 의심할 여지 없이 이 사건에 대한 뉴스를 접했을 것입니다. 하지만 팟캐스트는 흥미진진한 이야기로 모든 세부 사항을 공개합니다.
실크로드: 딥 웹 던전에서 얻은 교훈
실크로드에 대해 잘 모르는 분들을 위해 말씀드리자면, TL; DR 요약은 어떤 사람이 딥 웹에 무역 웹사이트를 만들었다는 것입니다. 이 웹사이트는 일반 대중의 눈에 띄지 않고 특별한 소프트웨어 (정확히는 Tor 브라우저) 를 사용하지 않고는 볼 수 없습니다.이 사이트는 처음에는 그가 직접 키운 마법 버섯만 판매했지만, 거의 하룻밤 사이에 하드코어 마약부터 불법 무기, 도난당한 신용 카드 정보에 이르기까지 모든 것을 제공하는 공급업체들이 폭발적으로 늘어났습니다. 여기에서 속도를 높일 수 있습니다..제작자이자 사이트 관리자는 프린세스 브라이드에서 영감을 받은 가명인 드레드 파이어릿 로버츠로 이름을 지었습니다.그는 모든 사람이었어요. 아무도 아니었죠.모든 사용자들은 엄청난 양의 불법 상품을 거래했고 완전히 익명으로 거래했습니다 (그리고 그 과정에서 비트코인은 마약 딜러 통화로 유명해졌으며, 이 이름은 이제 막 흔들리기 시작했습니다).
그러나 공포의 해적 로버츠의 반체제 실험은 그 자체로 엄청난 실패였습니다.얼마 지나지 않아 암살꾼들이 자신들의 서비스를 광고하기 시작했다.나쁜 사람들이 나쁜 짓을 하고 있었어요... 그리고 그는 헤아릴 수 없을 정도로 새로 얻은 재산에 취해 있었어요.심지어 그는 광고된 살인범의 서비스를 이용해 전직 직원을 처분하려 했습니다.간단히 말해서, 이것은 그의 실패로 이어진 여러 가지 절제된 결정 중 하나였습니다.로스 울브리히트 (Ross Ulbricht) 라는 가면을 벗은 그는 현재 미국 감옥에서 썩어다니며 두 배의 종신형을 받고 40년 동안 가석방 가능성이 없는 상태로 복역하고 있습니다.
하지만 모든 것이 완전히 사적이고 익명이라면 어떻게 잡혔을까요?
글쎄, 직설적으로 말하면: 그는 꽤 형편없는 코더였어요.실크로드 유적지 자체가 바다에 버려진 새고 오래된 바지선 같았어요.이곳이 불법 활동 (그리고 그 활동의 배후에 있는 모든 데이터) 의 중심지라는 점을 고려하면 전혀 안전하지 않았습니다. 기회주의적인 해커에게 악용되기만을 기다리고 있는 실정이었죠.공정하게 말하자면, 대규모 불법 마약 밀매 사업의 주모자라면 사업에 참여하고자 하는 유능한 직원을 찾기가 쉽지 않을 것입니다.또한 그는 자신의 기술 격차를 숨기지 않았습니다. 그는 심지어 자신의 실명으로 글을 올렸습니다. ...에 스택 오버플로 (네, 그의 사용자 계정입니다) PHP에서 Curl을 사용하여 Tor와 연결되도록 사이트 코드를 올바르게 구성하는 데 도움을 요청했습니다.그는 글을 올린 지 1분도 안 되어 실명을 “frosty”라는 핸들로 변경했지만, 이것은 분명히 도움이 되지 않았습니다... 사실, 아마도 더 큰 피해를 입혔을 것입니다. 실크로드 서버의 암호화 키가 “frosty @frosty “라는 하위 문자열로 끝났기 때문에 FBI가 그의 향기를 알게 되자 그를 더 연루시킨 것입니다.
암호화된 메시지, 화폐, 운송 및 배송 시 밀수품 자체를 보호하라는 명시적인 지침 등 개인 정보 보호에 대한 엄청난 노력을 기울였음에도 불구하고, 이 사이트는 울브리히트가 상상했던 뚫을 수 없는 자유주의적 환상의 요새는 아니었습니다.기술을 가진 사람들 (예: FBI에 고용된 프로그래머) 은 천천히, 그러나 확실하게 그것을 풀어 모든 것을 밝혀냈습니다... 그 사이트에서 거래한 수천 명의 사람들의 신원을 포함해서요.수년 전에 못된 물건을 구입한 사람들도 언젠가는 법의 장기 조항에서 문을 두드리게 될 수도 있습니다.
FBI가 공개했습니다 선적 서류 비치 IP 주소 유출을 활용한 일반적인 설명과 함께 이들이 어떻게 실크로드에 침투할 수 있었는지 개괄적으로 설명합니다.Silk Road 로그인 페이지를 잘못 구성하여 해킹할 필요 없이 IP 주소와 서버의 물리적 위치가 드러났습니다.확실히 신기한 실수였고, 결국 FBI는 곧바로 로스 울브리히트에게 찾아갔습니다.
이 결함이 존재했다면 이 사이트를 모니터링하는 많은 보안 전문가 중 한 명이 이 순간보다 훨씬 이전에 발견했을 것이라는 추측이 있습니다.호주의 보안 컨설턴트인 닉 쿠브릴로비치 (Nik Cubrilovic) 는 단순히 문제가 없었다고 주장합니다. 와이어드와의 인터뷰에서:
“Tor 사이트에 연결하여 Tor 노드가 아닌 서버의 주소를 볼 수 있는 방법은 없습니다.배심원이나 판사에게 그런 일이 일어났다고 믿게 만드는 방식은 엄밀히 따지면 말이 안 돼요.”
그런 다음 Cubrilovic은 계속해서 해당 정보가 불법 해킹 관행에 의해 획득되었을 수 있다고 암시합니다.이러한 관행은 SQL 인젝션 (SQL Injection) 으로 보이는데, 이는 검증되지 않은 소문으로, 여러 가지로 논의되고 있습니다. 이후 많은 사이트에서 그럴듯한 추출 방법.
FBI의 전술을 둘러싼 적법성은 완전히 별개의 논의입니다.정보를 전혀 얻을 수 없었다는 사실은 실크로드가 “비공개”인 사이트에 대한 일반 사용자의 이해에도 불구하고 실크로드의 열악한 보안 관행을 나타냅니다.프라이버시를 보안과 혼동하면 취약점에 노출될 가능성이 커지는 것이 확실합니다.
Ross Ulbricht가 개인 정보 보호와 보안을 구분하여 거대한 히트 램프로 성장하기 전에 이 두 가지를 모두 보장하기 위해 적극적으로 노력하여 지구상에서 평균 이상의 기술 지식을 가진 모든 불미스러운 사기꾼을 끌어들였다면 사이트가 여전히 운영되고 있을 가능성도 있습니다 (어쨌든, 이 사이트는 몇 번이나 부활했고, 지금도 운영 중인 것처럼 더 큰 사이트가 있습니다).대신 누군가가 문을 여는 방법을 찾은 순간 사설 클럽과 그 모든 비밀이 드러났습니다.
넌 마약왕이 아닌데 왜 신경 써야 해?
실크로드의 상실과 설립자의 투옥은 슬프고 동정적인 이야기는 아니지만 개인 정보 보호와 진실하고 강력한 사이트 보안 간의 미묘한 차이에 대한 흥미로운 사례 연구입니다.디지털화된 의료 기록이나 대형 은행이 보유한 수백만 개의 신용 카드 번호를 예로 들자면 거래와 정보를 비공개로 유지해야 하는 합법적인 작전이 많이 있습니다. 하지만 철저한 소프트웨어 개발로 보안을 갖추지 못하면 공격자가 해당 정보를 선별할 수 있습니다 (아이러니하게도 실크로드와 같은 사이트에 노출될 수 있습니다).개인 정보 보호는 보안 없이는 존재하지 않습니다.
여러분과 같은 선량한 사람들은 SQL 인젝션 공격 및 기타 취약점에 취약한 소프트웨어를 보유할 수 있습니다. OWASP 탑 10따라서 이러한 상황에 대비하고 효율적으로 완화하는 것이 중요합니다.개발자가 프로세스 시작 단계부터 안전하게 코딩하도록 교육받는다면 이러한 결함은 피할 수 없을 것입니다.조직은 보안 사고방식에 초점을 맞추고 개발팀이 안전하게 코딩할 수 있도록 지원하는 것이 필수적입니다.재미있고 측정 가능하며 게임화된 방식으로 이 작업을 수행하는 방법을 알려드릴 수 있습니다.준비 되셨나요?
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
