混淆隐私与安全。致命的错误
在最近的一次长途飞行中,我利用这个机会吞噬了大量的播客节目,坦率地说,是疯狂的。跟上这么多不同系列的节目,意味着我永远不缺听的东西,引人注目的--尽管是单方面的--对话只需在我的手机屏幕上轻轻一碰。
最终,我看到了一集真实犯罪播客《Casefile》的节目。这个戏剧性的、毫无保留的系列节目(配有一个声音不祥的无名主持人)深入探讨了一个甚至是最有知识和最精明的技术专家都着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,那些熟悉丝绸之路兴衰的人无疑会关注有关此案的新闻,但该播客在美味的、座位边缘的叙述中透露了每个小细节。
丝绸之路。来自深网地牢的教训
如果你对 "丝绸之路 "的来龙去脉不甚了解,那么,概括起来就是,一个人在深层网络上建立了一个交易网站,隐藏在公众的窥视之下,如果不使用特殊软件--确切地说,是Tor浏览器,就无法查看。该网站最初只提供他自产的魔幻蘑菇,但几乎在一夜之间,卖家们爆炸性地提供了从硬核毒品到非法武器和被盗信用卡信息的所有东西。你可以在这里了解一下情况。该网站的创建者和管理员使用了受公主新娘启发的假名--恐惧海盗罗伯茨。他是每个人,他不是任何人。所有的用户都在交易名副其实的非法商品,而且他们是完全匿名的(在这个过程中,比特币被誉为毒贩的首选货币;这个称号才刚刚开始被撼动)。
然而,可怕的海盗罗伯茨的反体制实验是一种自成一体的野兽。很快,杀手们都在宣传他们的服务。坏人在做坏事......而他则沉醉于他新发现的深不可测的财富。他甚至试图利用广告中的杀手的服务来处理一名前雇员。长话短说,这是导致他灭顶之灾的众多节操决定中的一个。他已被揭穿为罗斯-乌尔布里希特,目前他正在美国监狱的牢房里腐烂,正在服双倍的无期徒刑和40年的无假释可能。
但是,如果所有的事情都是完全私密和匿名的,他是如何被抓住的?
好吧,直截了当地说:他是一个相当蹩脚的编码员。丝绸之路网站本身就像一艘漏水的老驳船,被搁置在海洋中。考虑到它是一个非法活动的中心(以及该活动背后的所有数据),它一点都不安全;它是一只坐以待毙的鸭子,只等着被投机的黑客利用。公平地说,当你是一个巨大的非法贩毒生意的主谋时,要找到愿意参与你的行动的合格雇员可能并不容易。他对自己的技术差距并不讳言--他甚至用自己的真名在Stack Overflow上发帖(是的,这是他的用户账号),请求帮助正确配置他的网站代码,以便在PHP中使用Curl与Tor连接。他在发帖后不到一分钟就把真名改成了 "frosty",但这显然无济于事......事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子串 "frosty@frosty "结尾,因此一旦联邦调查局闻到他的气味,就会进一步牵连他。
尽管对隐私有如此大的推动,有加密的信息、货币和关于在运输和交付过程中保护违禁品本身的明确指示,但该网站并不是乌尔布里希特可能设想的那种坚不可摧的自由主义幻想的堡垒。那些有能力的人(读作:联邦调查局雇用的程序员)慢慢地,但肯定地,解开了它,揭示了一切......包括在该网站上交易的成千上万人的身份。有可能那些多年前购买淘气商品的人仍然会在某个时候收到法律长臂的敲门声,就像这个在德国的家伙。呀。
联邦调查局发布的文件概述了他们是如何渗透到丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置显示了IP地址,从而显示了其服务器的物理位置,不需要任何暗中的黑客行为。可以肯定的是,这是一个新手的错误,也是一个最终让联邦调查局直接找到罗斯-乌尔布利特的错误。
有人猜测,这个缺陷--如果它确实存在--早在这一时刻之前就会被监测该网站的众多安全专家之一发现。澳大利亚安全顾问Nik Cubrilovic在接受WIRED采访时称它根本不存在。
"你不可能连接到一个Tor网站,看到一个不是Tor节点的服务器的地址。他们试图让陪审团或法官相信它发生的方式,在技术上是说不通的。"
Cubrilovic接着暗示,这些信息可能是通过非法黑客行为获得的。这种做法似乎是SQL注入,这是一个未经证实的传言,此后在许多网站上被讨论为一种合理的提取方法。
围绕联邦调查局的策略的法律问题是一个完全独立的讨论。尽管用户普遍认为该网站是 "私密 "的,但能够获得这些信息的事实表明,丝绸之路的安全做法很差。当隐私与安全混为一谈时,暴露出漏洞的可能性肯定会增加。
还有一种可能性是,如果罗斯-乌尔布里希特在隐私和安全之间做出区分,在它成长为一盏巨大的热灯,吸引地球上每一个拥有稍高于平均水平的技术知识的不怀好意的骗子之前,积极努力确保这两个方面,那么该网站仍然在运行(无论如何,以其原始形式;它已经被复活了几次,甚至还有更大的网站正在运行)。相反,这个私人俱乐部和它所有的秘密在有人找到打开门的方法时就被揭露了。
你又不是大毒枭,为什么要在乎呢?
丝绸之路的损失和其创始人的入狱并不是一个悲伤的、令人同情的故事,但它是一个引人入胜的案例研究,说明隐私和真正的、强大的网站安全之间的细微差别。有许多合法的业务需要交易和信息的私密性--想想数字化的医疗记录,甚至是一家大银行所持有的数百万信用卡号码--但如果它们没有被铁的软件开发所保护,这些信息就会被攻击者偷取(而且,具有讽刺意味的是,最终会出现在像丝绸之路这样的网站上)。没有安全,隐私就不存在。
像你这样的好人,他们的软件可能会受到SQL注入攻击和OWASP前10名中的其他漏洞的影响,因此,对这些漏洞进行有效的准备和缓解是至关重要的。如果开发人员从一开始就接受安全编码的培训,这些缺陷就不会出现在阳光下。当务之急是,企业必须以安全思维为重点,并授权他们的开发团队进行安全编码。我们可以告诉你如何以有趣的、可衡量的和游戏化的方式做到这一点。你准备好了吗?
Secure Code Warrior
Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
混淆隐私与安全。致命的错误
在最近的一次长途飞行中,我利用这个机会吞噬了大量的播客节目,坦率地说,是疯狂的。跟上这么多不同系列的节目,意味着我永远不缺听的东西,引人注目的--尽管是单方面的--对话只需在我的手机屏幕上轻轻一碰。
最终,我看到了一集真实犯罪播客《Casefile》的节目。这个戏剧性的、毫无保留的系列节目(配有一个声音不祥的无名主持人)深入探讨了一个甚至是最有知识和最精明的技术专家都着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,那些熟悉丝绸之路兴衰的人无疑会关注有关此案的新闻,但该播客在美味的、座位边缘的叙述中透露了每个小细节。
丝绸之路。来自深网地牢的教训
如果你对 "丝绸之路 "的来龙去脉不甚了解,那么,概括起来就是,一个人在深层网络上建立了一个交易网站,隐藏在公众的窥视之下,如果不使用特殊软件--确切地说,是Tor浏览器,就无法查看。该网站最初只提供他自产的魔幻蘑菇,但几乎在一夜之间,卖家们爆炸性地提供了从硬核毒品到非法武器和被盗信用卡信息的所有东西。你可以在这里了解一下情况。该网站的创建者和管理员使用了受公主新娘启发的假名--恐惧海盗罗伯茨。他是每个人,他不是任何人。所有的用户都在交易名副其实的非法商品,而且他们是完全匿名的(在这个过程中,比特币被誉为毒贩的首选货币;这个称号才刚刚开始被撼动)。
然而,可怕的海盗罗伯茨的反体制实验是一种自成一体的野兽。很快,杀手们都在宣传他们的服务。坏人在做坏事......而他则沉醉于他新发现的深不可测的财富。他甚至试图利用广告中的杀手的服务来处理一名前雇员。长话短说,这是导致他灭顶之灾的众多节操决定中的一个。他已被揭穿为罗斯-乌尔布里希特,目前他正在美国监狱的牢房里腐烂,正在服双倍的无期徒刑和40年的无假释可能。
但是,如果所有的事情都是完全私密和匿名的,他是如何被抓住的?
好吧,直截了当地说:他是一个相当蹩脚的编码员。丝绸之路网站本身就像一艘漏水的老驳船,被搁置在海洋中。考虑到它是一个非法活动的中心(以及该活动背后的所有数据),它一点都不安全;它是一只坐以待毙的鸭子,只等着被投机的黑客利用。公平地说,当你是一个巨大的非法贩毒生意的主谋时,要找到愿意参与你的行动的合格雇员可能并不容易。他对自己的技术差距并不讳言--他甚至用自己的真名在Stack Overflow上发帖(是的,这是他的用户账号),请求帮助正确配置他的网站代码,以便在PHP中使用Curl与Tor连接。他在发帖后不到一分钟就把真名改成了 "frosty",但这显然无济于事......事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子串 "frosty@frosty "结尾,因此一旦联邦调查局闻到他的气味,就会进一步牵连他。
尽管对隐私有如此大的推动,有加密的信息、货币和关于在运输和交付过程中保护违禁品本身的明确指示,但该网站并不是乌尔布里希特可能设想的那种坚不可摧的自由主义幻想的堡垒。那些有能力的人(读作:联邦调查局雇用的程序员)慢慢地,但肯定地,解开了它,揭示了一切......包括在该网站上交易的成千上万人的身份。有可能那些多年前购买淘气商品的人仍然会在某个时候收到法律长臂的敲门声,就像这个在德国的家伙。呀。
联邦调查局发布的文件概述了他们是如何渗透到丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置显示了IP地址,从而显示了其服务器的物理位置,不需要任何暗中的黑客行为。可以肯定的是,这是一个新手的错误,也是一个最终让联邦调查局直接找到罗斯-乌尔布利特的错误。
有人猜测,这个缺陷--如果它确实存在--早在这一时刻之前就会被监测该网站的众多安全专家之一发现。澳大利亚安全顾问Nik Cubrilovic在接受WIRED采访时称它根本不存在。
"你不可能连接到一个Tor网站,看到一个不是Tor节点的服务器的地址。他们试图让陪审团或法官相信它发生的方式,在技术上是说不通的。"
Cubrilovic接着暗示,这些信息可能是通过非法黑客行为获得的。这种做法似乎是SQL注入,这是一个未经证实的传言,此后在许多网站上被讨论为一种合理的提取方法。
围绕联邦调查局的策略的法律问题是一个完全独立的讨论。尽管用户普遍认为该网站是 "私密 "的,但能够获得这些信息的事实表明,丝绸之路的安全做法很差。当隐私与安全混为一谈时,暴露出漏洞的可能性肯定会增加。
还有一种可能性是,如果罗斯-乌尔布里希特在隐私和安全之间做出区分,在它成长为一盏巨大的热灯,吸引地球上每一个拥有稍高于平均水平的技术知识的不怀好意的骗子之前,积极努力确保这两个方面,那么该网站仍然在运行(无论如何,以其原始形式;它已经被复活了几次,甚至还有更大的网站正在运行)。相反,这个私人俱乐部和它所有的秘密在有人找到打开门的方法时就被揭露了。
你又不是大毒枭,为什么要在乎呢?
丝绸之路的损失和其创始人的入狱并不是一个悲伤的、令人同情的故事,但它是一个引人入胜的案例研究,说明隐私和真正的、强大的网站安全之间的细微差别。有许多合法的业务需要交易和信息的私密性--想想数字化的医疗记录,甚至是一家大银行所持有的数百万信用卡号码--但如果它们没有被铁的软件开发所保护,这些信息就会被攻击者偷取(而且,具有讽刺意味的是,最终会出现在像丝绸之路这样的网站上)。没有安全,隐私就不存在。
像你这样的好人,他们的软件可能会受到SQL注入攻击和OWASP前10名中的其他漏洞的影响,因此,对这些漏洞进行有效的准备和缓解是至关重要的。如果开发人员从一开始就接受安全编码的培训,这些缺陷就不会出现在阳光下。当务之急是,企业必须以安全思维为重点,并授权他们的开发团队进行安全编码。我们可以告诉你如何以有趣的、可衡量的和游戏化的方式做到这一点。你准备好了吗?
