博客

为什么我们需要支持而不是惩罚好奇的安全意识?

皮特-丹休
2019年8月14日发布

最近关于青少年安全研究员Bill Demirkapi揭露其学校使用的软件存在重大漏洞的报道,肯定会勾起一些回忆。我记得我是个好奇的孩子,掀开软件的盖子,看看它是如何工作的--更重要的是--我是否能破解它。几十年来,软件工程师一直在寻求不断改进和强化他们的产品,而安全社区(虽然他们的方法有时有点厚颜无耻)在发现缺陷和潜在灾难方面发挥了重要作用,希望能在坏人做同样的事情之前。

然而,这里的问题是,作为对他的发现的回应,他戴上了轻微的停学处分。而这只是在他用尽了所有与公司(Follett公司)私下联系的途径之后,最终选择了一个相当公开的爆炸,以确定他自己和他破坏他们系统的能力。他多次试图从道德角度警告福莱特公司,但都没有得到答复,而软件仍然很脆弱,大量的学生数据很容易暴露出来,因为其中很多都是未加密的。

他还在另一家公司的软件中寻找漏洞:Blackboard。虽然Blackboard的数据至少有加密功能,但潜在的攻击者可以伸手进去抓取数百万条记录。这个软件和福莱特的产品都被他的学校使用。

邪恶黑客 "的说法是有问题的。

Demirkapi在今年的DEF CON上展示了他的发现,他的恶作剧的细节得到了观众的掌声。真的很正确--虽然他最初被打入冷宫,并面临许多障碍以使他的发现得到认可,但据说福莱特公司对他的努力表示感谢,并根据他的建议采取行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数据的危机。他在完成高中学业后还将进入罗切斯特理工学院学习,因此很明显,他正走在成为需求量大的安全专家的正确道路上。

作为一名保安人员,我很难不对这种情况的处理方式提出异议。尽管在这种情况下,一切都很好,但最初,他被当作一个讨厌的脚本儿童,把他的鼻子放在不属于他的地方。在谷歌上搜索这一事件,有一些文章将他称为 "黑客"(在安全专家的心目中,这在很多方面将他定位为恶棍),而事实上,他的做法(以及其他许多人的做法)有助于保护我们的数据安全。

我们需要有好奇心、聪明和注重安全的人在引擎盖下查看,而且我们需要更经常发生这种情况。截至7月,仅今年就有超过40亿条记录在恶意数据泄露中被曝光。由于时尚和生活方式品牌Poshmark在8月发生的漏洞,你可以在这个数字上再加上5000万。

我们在犯同样的错误,更令人担忧的是,这些错误往往是令人面红耳赤的,简单的弱点不断绊倒我们。

跨站脚本和SQL注入并没有消失。

WIRED报道,黑板社区参与软件和Folletts学生信息系统被Demirkapi发现含有常见的安全漏洞,如跨站脚本(XSS)和SQL注入,这两种漏洞自20世纪90年代以来一直是安全专家的心头病。我们已经忍受了它们存在很久了,就像Hypercolor T恤和软盘一样,它们现在应该是一个遥远的记忆。

但是,它们不是,而且很明显,没有足够的开发者表现出足够的安全意识来阻止它们被引入他们的代码中。扫描工具和人工代码审查只能做这么多,还有比XSS和SQL注入更复杂的安全问题,这些昂贵和耗时的措施可以得到更好的利用。

像Bill Demirkapi这样的人应该激励开发人员创建更高的代码标准;他年仅17岁,就通过威胁载体攻破了两个高流量系统,而这些威胁载体在代码提交之前就应该被嗅出并加以纠正。

游戏化。参与的关键?

写了很多关于为什么开发人员在很大程度上对安全问题没有兴趣的文章,简短的回答是,在组织和教育层面上,没有做很多事情来培养有安全意识的开发人员。当公司花时间建立一种奖励和认可参与的安全文化,包括实施培训,用开发人员的语言来激励他们继续努力,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。

Demirkapi显然对安全有课外兴趣,并花时间学习如何逆向设计恶意软件,发现缺陷,以及,破解那些从外面看来没有被破解的东西。然而,在接受VICE采访时(以及通过他的DEF CON幻灯片),他对自己的自我教育做了一个有趣的声明......他将其游戏化。

"目标是在我学校的软件中找到一些东西,这是一个有趣的 "游戏化的方式,让我自己学会了大量的渗透测试。他说:"尽管我开始研究的目的是想了解更多,但我最后发现事情比我预期的要糟糕得多。

虽然不是每个开发者都想专门研究安全问题,但每个开发者都应该有机会成为安全意识,基本知识几乎是组织内的 "编码许可",特别是那些控制着我们大量敏感数据的人。如果最简单的安全漏洞在编写之前就能被每个开发人员修补好,那么我们就能更安全地对付那些企图破坏的人。

对游戏化培训感到好奇?请看我们的 "编码员征服安全 "系列,关于 XSSSQL注入.

查看资源
查看资源

青少年安全研究员Bill Demirkapi揭露了他的学校所使用的软件的主要漏洞,这无疑勾起了我的一些回忆。我记得我是一个好奇的孩子,掀开软件的盖子,看看它是如何工作的......以及我是否能破解它。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
2019年8月14日发布

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

最近关于青少年安全研究员Bill Demirkapi揭露其学校使用的软件存在重大漏洞的报道,肯定会勾起一些回忆。我记得我是个好奇的孩子,掀开软件的盖子,看看它是如何工作的--更重要的是--我是否能破解它。几十年来,软件工程师一直在寻求不断改进和强化他们的产品,而安全社区(虽然他们的方法有时有点厚颜无耻)在发现缺陷和潜在灾难方面发挥了重要作用,希望能在坏人做同样的事情之前。

然而,这里的问题是,作为对他的发现的回应,他戴上了轻微的停学处分。而这只是在他用尽了所有与公司(Follett公司)私下联系的途径之后,最终选择了一个相当公开的爆炸,以确定他自己和他破坏他们系统的能力。他多次试图从道德角度警告福莱特公司,但都没有得到答复,而软件仍然很脆弱,大量的学生数据很容易暴露出来,因为其中很多都是未加密的。

他还在另一家公司的软件中寻找漏洞:Blackboard。虽然Blackboard的数据至少有加密功能,但潜在的攻击者可以伸手进去抓取数百万条记录。这个软件和福莱特的产品都被他的学校使用。

邪恶黑客 "的说法是有问题的。

Demirkapi在今年的DEF CON上展示了他的发现,他的恶作剧的细节得到了观众的掌声。真的很正确--虽然他最初被打入冷宫,并面临许多障碍以使他的发现得到认可,但据说福莱特公司对他的努力表示感谢,并根据他的建议采取行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数据的危机。他在完成高中学业后还将进入罗切斯特理工学院学习,因此很明显,他正走在成为需求量大的安全专家的正确道路上。

作为一名保安人员,我很难不对这种情况的处理方式提出异议。尽管在这种情况下,一切都很好,但最初,他被当作一个讨厌的脚本儿童,把他的鼻子放在不属于他的地方。在谷歌上搜索这一事件,有一些文章将他称为 "黑客"(在安全专家的心目中,这在很多方面将他定位为恶棍),而事实上,他的做法(以及其他许多人的做法)有助于保护我们的数据安全。

我们需要有好奇心、聪明和注重安全的人在引擎盖下查看,而且我们需要更经常发生这种情况。截至7月,仅今年就有超过40亿条记录在恶意数据泄露中被曝光。由于时尚和生活方式品牌Poshmark在8月发生的漏洞,你可以在这个数字上再加上5000万。

我们在犯同样的错误,更令人担忧的是,这些错误往往是令人面红耳赤的,简单的弱点不断绊倒我们。

跨站脚本和SQL注入并没有消失。

WIRED报道,黑板社区参与软件和Folletts学生信息系统被Demirkapi发现含有常见的安全漏洞,如跨站脚本(XSS)和SQL注入,这两种漏洞自20世纪90年代以来一直是安全专家的心头病。我们已经忍受了它们存在很久了,就像Hypercolor T恤和软盘一样,它们现在应该是一个遥远的记忆。

但是,它们不是,而且很明显,没有足够的开发者表现出足够的安全意识来阻止它们被引入他们的代码中。扫描工具和人工代码审查只能做这么多,还有比XSS和SQL注入更复杂的安全问题,这些昂贵和耗时的措施可以得到更好的利用。

像Bill Demirkapi这样的人应该激励开发人员创建更高的代码标准;他年仅17岁,就通过威胁载体攻破了两个高流量系统,而这些威胁载体在代码提交之前就应该被嗅出并加以纠正。

游戏化。参与的关键?

写了很多关于为什么开发人员在很大程度上对安全问题没有兴趣的文章,简短的回答是,在组织和教育层面上,没有做很多事情来培养有安全意识的开发人员。当公司花时间建立一种奖励和认可参与的安全文化,包括实施培训,用开发人员的语言来激励他们继续努力,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。

Demirkapi显然对安全有课外兴趣,并花时间学习如何逆向设计恶意软件,发现缺陷,以及,破解那些从外面看来没有被破解的东西。然而,在接受VICE采访时(以及通过他的DEF CON幻灯片),他对自己的自我教育做了一个有趣的声明......他将其游戏化。

"目标是在我学校的软件中找到一些东西,这是一个有趣的 "游戏化的方式,让我自己学会了大量的渗透测试。他说:"尽管我开始研究的目的是想了解更多,但我最后发现事情比我预期的要糟糕得多。

虽然不是每个开发者都想专门研究安全问题,但每个开发者都应该有机会成为安全意识,基本知识几乎是组织内的 "编码许可",特别是那些控制着我们大量敏感数据的人。如果最简单的安全漏洞在编写之前就能被每个开发人员修补好,那么我们就能更安全地对付那些企图破坏的人。

对游戏化培训感到好奇?请看我们的 "编码员征服安全 "系列,关于 XSSSQL注入.

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

最近关于青少年安全研究员Bill Demirkapi揭露其学校使用的软件存在重大漏洞的报道,肯定会勾起一些回忆。我记得我是个好奇的孩子,掀开软件的盖子,看看它是如何工作的--更重要的是--我是否能破解它。几十年来,软件工程师一直在寻求不断改进和强化他们的产品,而安全社区(虽然他们的方法有时有点厚颜无耻)在发现缺陷和潜在灾难方面发挥了重要作用,希望能在坏人做同样的事情之前。

然而,这里的问题是,作为对他的发现的回应,他戴上了轻微的停学处分。而这只是在他用尽了所有与公司(Follett公司)私下联系的途径之后,最终选择了一个相当公开的爆炸,以确定他自己和他破坏他们系统的能力。他多次试图从道德角度警告福莱特公司,但都没有得到答复,而软件仍然很脆弱,大量的学生数据很容易暴露出来,因为其中很多都是未加密的。

他还在另一家公司的软件中寻找漏洞:Blackboard。虽然Blackboard的数据至少有加密功能,但潜在的攻击者可以伸手进去抓取数百万条记录。这个软件和福莱特的产品都被他的学校使用。

邪恶黑客 "的说法是有问题的。

Demirkapi在今年的DEF CON上展示了他的发现,他的恶作剧的细节得到了观众的掌声。真的很正确--虽然他最初被打入冷宫,并面临许多障碍以使他的发现得到认可,但据说福莱特公司对他的努力表示感谢,并根据他的建议采取行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数据的危机。他在完成高中学业后还将进入罗切斯特理工学院学习,因此很明显,他正走在成为需求量大的安全专家的正确道路上。

作为一名保安人员,我很难不对这种情况的处理方式提出异议。尽管在这种情况下,一切都很好,但最初,他被当作一个讨厌的脚本儿童,把他的鼻子放在不属于他的地方。在谷歌上搜索这一事件,有一些文章将他称为 "黑客"(在安全专家的心目中,这在很多方面将他定位为恶棍),而事实上,他的做法(以及其他许多人的做法)有助于保护我们的数据安全。

我们需要有好奇心、聪明和注重安全的人在引擎盖下查看,而且我们需要更经常发生这种情况。截至7月,仅今年就有超过40亿条记录在恶意数据泄露中被曝光。由于时尚和生活方式品牌Poshmark在8月发生的漏洞,你可以在这个数字上再加上5000万。

我们在犯同样的错误,更令人担忧的是,这些错误往往是令人面红耳赤的,简单的弱点不断绊倒我们。

跨站脚本和SQL注入并没有消失。

WIRED报道,黑板社区参与软件和Folletts学生信息系统被Demirkapi发现含有常见的安全漏洞,如跨站脚本(XSS)和SQL注入,这两种漏洞自20世纪90年代以来一直是安全专家的心头病。我们已经忍受了它们存在很久了,就像Hypercolor T恤和软盘一样,它们现在应该是一个遥远的记忆。

但是,它们不是,而且很明显,没有足够的开发者表现出足够的安全意识来阻止它们被引入他们的代码中。扫描工具和人工代码审查只能做这么多,还有比XSS和SQL注入更复杂的安全问题,这些昂贵和耗时的措施可以得到更好的利用。

像Bill Demirkapi这样的人应该激励开发人员创建更高的代码标准;他年仅17岁,就通过威胁载体攻破了两个高流量系统,而这些威胁载体在代码提交之前就应该被嗅出并加以纠正。

游戏化。参与的关键?

写了很多关于为什么开发人员在很大程度上对安全问题没有兴趣的文章,简短的回答是,在组织和教育层面上,没有做很多事情来培养有安全意识的开发人员。当公司花时间建立一种奖励和认可参与的安全文化,包括实施培训,用开发人员的语言来激励他们继续努力,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。

Demirkapi显然对安全有课外兴趣,并花时间学习如何逆向设计恶意软件,发现缺陷,以及,破解那些从外面看来没有被破解的东西。然而,在接受VICE采访时(以及通过他的DEF CON幻灯片),他对自己的自我教育做了一个有趣的声明......他将其游戏化。

"目标是在我学校的软件中找到一些东西,这是一个有趣的 "游戏化的方式,让我自己学会了大量的渗透测试。他说:"尽管我开始研究的目的是想了解更多,但我最后发现事情比我预期的要糟糕得多。

虽然不是每个开发者都想专门研究安全问题,但每个开发者都应该有机会成为安全意识,基本知识几乎是组织内的 "编码许可",特别是那些控制着我们大量敏感数据的人。如果最简单的安全漏洞在编写之前就能被每个开发人员修补好,那么我们就能更安全地对付那些企图破坏的人。

对游戏化培训感到好奇?请看我们的 "编码员征服安全 "系列,关于 XSSSQL注入.

访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
分享到
想了解更多信息?

分享到
作者
皮特-丹休
2019年8月14日发布

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

最近关于青少年安全研究员Bill Demirkapi揭露其学校使用的软件存在重大漏洞的报道,肯定会勾起一些回忆。我记得我是个好奇的孩子,掀开软件的盖子,看看它是如何工作的--更重要的是--我是否能破解它。几十年来,软件工程师一直在寻求不断改进和强化他们的产品,而安全社区(虽然他们的方法有时有点厚颜无耻)在发现缺陷和潜在灾难方面发挥了重要作用,希望能在坏人做同样的事情之前。

然而,这里的问题是,作为对他的发现的回应,他戴上了轻微的停学处分。而这只是在他用尽了所有与公司(Follett公司)私下联系的途径之后,最终选择了一个相当公开的爆炸,以确定他自己和他破坏他们系统的能力。他多次试图从道德角度警告福莱特公司,但都没有得到答复,而软件仍然很脆弱,大量的学生数据很容易暴露出来,因为其中很多都是未加密的。

他还在另一家公司的软件中寻找漏洞:Blackboard。虽然Blackboard的数据至少有加密功能,但潜在的攻击者可以伸手进去抓取数百万条记录。这个软件和福莱特的产品都被他的学校使用。

邪恶黑客 "的说法是有问题的。

Demirkapi在今年的DEF CON上展示了他的发现,他的恶作剧的细节得到了观众的掌声。真的很正确--虽然他最初被打入冷宫,并面临许多障碍以使他的发现得到认可,但据说福莱特公司对他的努力表示感谢,并根据他的建议采取行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数据的危机。他在完成高中学业后还将进入罗切斯特理工学院学习,因此很明显,他正走在成为需求量大的安全专家的正确道路上。

作为一名保安人员,我很难不对这种情况的处理方式提出异议。尽管在这种情况下,一切都很好,但最初,他被当作一个讨厌的脚本儿童,把他的鼻子放在不属于他的地方。在谷歌上搜索这一事件,有一些文章将他称为 "黑客"(在安全专家的心目中,这在很多方面将他定位为恶棍),而事实上,他的做法(以及其他许多人的做法)有助于保护我们的数据安全。

我们需要有好奇心、聪明和注重安全的人在引擎盖下查看,而且我们需要更经常发生这种情况。截至7月,仅今年就有超过40亿条记录在恶意数据泄露中被曝光。由于时尚和生活方式品牌Poshmark在8月发生的漏洞,你可以在这个数字上再加上5000万。

我们在犯同样的错误,更令人担忧的是,这些错误往往是令人面红耳赤的,简单的弱点不断绊倒我们。

跨站脚本和SQL注入并没有消失。

WIRED报道,黑板社区参与软件和Folletts学生信息系统被Demirkapi发现含有常见的安全漏洞,如跨站脚本(XSS)和SQL注入,这两种漏洞自20世纪90年代以来一直是安全专家的心头病。我们已经忍受了它们存在很久了,就像Hypercolor T恤和软盘一样,它们现在应该是一个遥远的记忆。

但是,它们不是,而且很明显,没有足够的开发者表现出足够的安全意识来阻止它们被引入他们的代码中。扫描工具和人工代码审查只能做这么多,还有比XSS和SQL注入更复杂的安全问题,这些昂贵和耗时的措施可以得到更好的利用。

像Bill Demirkapi这样的人应该激励开发人员创建更高的代码标准;他年仅17岁,就通过威胁载体攻破了两个高流量系统,而这些威胁载体在代码提交之前就应该被嗅出并加以纠正。

游戏化。参与的关键?

写了很多关于为什么开发人员在很大程度上对安全问题没有兴趣的文章,简短的回答是,在组织和教育层面上,没有做很多事情来培养有安全意识的开发人员。当公司花时间建立一种奖励和认可参与的安全文化,包括实施培训,用开发人员的语言来激励他们继续努力,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。

Demirkapi显然对安全有课外兴趣,并花时间学习如何逆向设计恶意软件,发现缺陷,以及,破解那些从外面看来没有被破解的东西。然而,在接受VICE采访时(以及通过他的DEF CON幻灯片),他对自己的自我教育做了一个有趣的声明......他将其游戏化。

"目标是在我学校的软件中找到一些东西,这是一个有趣的 "游戏化的方式,让我自己学会了大量的渗透测试。他说:"尽管我开始研究的目的是想了解更多,但我最后发现事情比我预期的要糟糕得多。

虽然不是每个开发者都想专门研究安全问题,但每个开发者都应该有机会成为安全意识,基本知识几乎是组织内的 "编码许可",特别是那些控制着我们大量敏感数据的人。如果最简单的安全漏洞在编写之前就能被每个开发人员修补好,那么我们就能更安全地对付那些企图破坏的人。

对游戏化培训感到好奇?请看我们的 "编码员征服安全 "系列,关于 XSSSQL注入.

目录

查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心