将隐私与安全混为一谈:致命错误
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde verfasst von Secure Code Warrior Das Team von Branchenexperten hat es sich zur Aufgabe gemacht, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie brauchen, um von Anfang an sichere Software zu entwickeln. Dabei stützen wir uns auf umfassendes Fachwissen zu sicheren Codierungspraktiken, Branchentrends und Erkenntnissen aus der Praxis.
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
Verzeichnis
Secure Code Warrior macht sicheres Programmieren zu einer positiven und fesselnden Erfahrung für Entwickler, die ihre Fähigkeiten ausbauen. Wir leiten jeden Programmierer auf seinem bevorzugten Lernpfad an, damit sicherheitskompetente Entwickler zu den täglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
