Datenschutz mit Sicherheit verwechseln: Der fatale Fehler
在最近的一次长途飞行中,我利用这个机会吞噬了大量的播客节目,坦率地说,是疯狂的。跟上这么多不同系列的节目,意味着我永远不缺听的东西,引人注目的--尽管是单方面的--对话只需在我的手机屏幕上轻轻一碰。
最终,我看到了一集真实犯罪播客《Casefile》的节目。这个戏剧性的、毫无保留的系列节目(配有一个声音不祥的无名主持人)深入探讨了一个甚至是最有知识和最精明的技术专家都着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,那些熟悉丝绸之路兴衰的人无疑会关注有关此案的新闻,但该播客在美味的、座位边缘的叙述中透露了每个小细节。
丝绸之路。来自深网地牢的教训
如果您对丝绸之路的来龙去脉不甚了解,那么简而言之,就是一个人在深网上建立了一个交易网站,该网站不为公众所窥视,不使用特殊软件(确切地说,是 Tor 浏览器)就无法查看。该网站最初只提供他自家种植的魔幻蘑菇,但几乎一夜之间,网站上就出现了许多供应商,提供从烈性毒品到非法武器和被盗信用卡信息等各种商品。您可以在这里了解更多信息。创建者兼网站管理员化名为 "恐怖海盗罗伯茨"(Dread Pirate Roberts)。他是所有人,也是任何人。所有用户都在完全匿名的情况下交易名副其实的大量非法商品(在此过程中,比特币被誉为毒贩的首选货币,而这一称号才刚刚开始摆脱)。
然而,可怕的海盗罗伯茨的反体制实验是一种自成一体的野兽。很快,杀手们都在宣传他们的服务。坏人在做坏事......而他则沉醉于他新发现的深不可测的财富。他甚至试图利用广告中的杀手的服务来处理一名前雇员。长话短说,这是导致他灭顶之灾的众多节操决定中的一个。他已被揭穿为罗斯-乌尔布里希特,目前他正在美国监狱的牢房里腐烂,正在服双倍的无期徒刑和40年的无假释可能。
但是,如果所有的事情都是完全私密和匿名的,他是如何被抓住的?
好吧,直截了当地说:他是一个相当蹩脚的编码员。丝绸之路网站本身就像一艘漏水的老驳船,被搁置在海洋中。考虑到它是一个非法活动的中心(以及该活动背后的所有数据),它一点都不安全;它是一只坐以待毙的鸭子,只等着被投机的黑客利用。公平地说,当你是一个巨大的非法贩毒生意的主谋时,要找到愿意参与你的行动的合格雇员可能并不容易。他对自己的技术差距并不讳言--他甚至用自己的真名在Stack Overflow上发帖(是的,这是他的用户账号),请求帮助正确配置他的网站代码,以便在PHP中使用Curl与Tor连接。他在发帖后不到一分钟就把真名改成了 "frosty",但这显然无济于事......事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子串 "frosty@frosty "结尾,因此一旦联邦调查局闻到他的气味,就会进一步牵连他。
尽管该网站在隐私保护方面做了大量工作,包括加密信息、货币以及关于确保违禁品本身在运输和交付过程中安全的明确说明,但它并不是乌尔布里希特所设想的自由主义幻想的坚不可摧的堡垒。那些有技术的人(读作:受雇于联邦调查局的程序员)慢慢地、但肯定地揭开了它的面纱,暴露了一切......包括成千上万在该网站上交易的人的身份。那些多年前购买了不道德商品的人,很可能还会在某个时候受到法律的制裁。
联邦调查局发布的文件概述了他们是如何渗透到丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置显示了IP地址,从而显示了其服务器的物理位置,不需要任何暗中的黑客行为。可以肯定的是,这是一个新手的错误,也是一个最终让联邦调查局直接找到罗斯-乌尔布利特的错误。
有人猜测,这个缺陷--如果它确实存在--早在这一时刻之前就会被监测该网站的众多安全专家之一发现。澳大利亚安全顾问Nik Cubrilovic在接受WIRED采访时称它根本不存在。
"你不可能连接到一个Tor网站,看到一个不是Tor节点的服务器的地址。他们试图让陪审团或法官相信它发生的方式,在技术上是说不通的。"
Cubrilovic接着暗示,这些信息可能是通过非法黑客行为获得的。这种做法似乎是SQL注入,这是一个未经证实的传言,此后在许多网站上被讨论为一种合理的提取方法。
围绕联邦调查局的策略的法律问题是一个完全独立的讨论。尽管用户普遍认为该网站是 "私密 "的,但能够获得这些信息的事实表明,丝绸之路的安全做法很差。当隐私与安全混为一谈时,暴露出漏洞的可能性肯定会增加。
还有一种可能性是,如果罗斯-乌尔布里希特在隐私和安全之间做出区分,在它成长为一盏巨大的热灯,吸引地球上每一个拥有稍高于平均水平的技术知识的不怀好意的骗子之前,积极努力确保这两个方面,那么该网站仍然在运行(无论如何,以其原始形式;它已经被复活了几次,甚至还有更大的网站正在运行)。相反,这个私人俱乐部和它所有的秘密在有人找到打开门的方法时就被揭露了。
你又不是大毒枭,为什么要在乎呢?
丝绸之路的损失和其创始人的入狱并不是一个悲伤的、令人同情的故事,但它是一个引人入胜的案例研究,说明隐私和真正的、强大的网站安全之间的细微差别。有许多合法的业务需要交易和信息的私密性--想想数字化的医疗记录,甚至是一家大银行所持有的数百万信用卡号码--但如果它们没有被铁的软件开发所保护,这些信息就会被攻击者偷取(而且,具有讽刺意味的是,最终会出现在像丝绸之路这样的网站上)。没有安全,隐私就不存在。
像你这样的好人,其软件可能会受到 SQL 注入攻击和OWASP Top 10 中的其他漏洞的攻击,因此,做好准备并有效缓解这些漏洞至关重要。如果从一开始就对开发人员进行安全编码培训,这些漏洞就不会出现。当务之急是,企业要以安全思维为重,让开发团队能够安全地编码。我们可以向您展示如何以有趣、可衡量和游戏化的方式做到这一点。您准备好了吗?
Wenn Online-Datenschutz ohne Sicherheit zu existieren versucht, herrscht Chaos. Fragen Sie einfach Ross Ulbricht.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
在最近的一次长途飞行中,我利用这个机会吞噬了大量的播客节目,坦率地说,是疯狂的。跟上这么多不同系列的节目,意味着我永远不缺听的东西,引人注目的--尽管是单方面的--对话只需在我的手机屏幕上轻轻一碰。
最终,我看到了一集真实犯罪播客《Casefile》的节目。这个戏剧性的、毫无保留的系列节目(配有一个声音不祥的无名主持人)深入探讨了一个甚至是最有知识和最精明的技术专家都着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,那些熟悉丝绸之路兴衰的人无疑会关注有关此案的新闻,但该播客在美味的、座位边缘的叙述中透露了每个小细节。
丝绸之路。来自深网地牢的教训
如果您对丝绸之路的来龙去脉不甚了解,那么简而言之,就是一个人在深网上建立了一个交易网站,该网站不为公众所窥视,不使用特殊软件(确切地说,是 Tor 浏览器)就无法查看。该网站最初只提供他自家种植的魔幻蘑菇,但几乎一夜之间,网站上就出现了许多供应商,提供从烈性毒品到非法武器和被盗信用卡信息等各种商品。您可以在这里了解更多信息。创建者兼网站管理员化名为 "恐怖海盗罗伯茨"(Dread Pirate Roberts)。他是所有人,也是任何人。所有用户都在完全匿名的情况下交易名副其实的大量非法商品(在此过程中,比特币被誉为毒贩的首选货币,而这一称号才刚刚开始摆脱)。
然而,可怕的海盗罗伯茨的反体制实验是一种自成一体的野兽。很快,杀手们都在宣传他们的服务。坏人在做坏事......而他则沉醉于他新发现的深不可测的财富。他甚至试图利用广告中的杀手的服务来处理一名前雇员。长话短说,这是导致他灭顶之灾的众多节操决定中的一个。他已被揭穿为罗斯-乌尔布里希特,目前他正在美国监狱的牢房里腐烂,正在服双倍的无期徒刑和40年的无假释可能。
但是,如果所有的事情都是完全私密和匿名的,他是如何被抓住的?
好吧,直截了当地说:他是一个相当蹩脚的编码员。丝绸之路网站本身就像一艘漏水的老驳船,被搁置在海洋中。考虑到它是一个非法活动的中心(以及该活动背后的所有数据),它一点都不安全;它是一只坐以待毙的鸭子,只等着被投机的黑客利用。公平地说,当你是一个巨大的非法贩毒生意的主谋时,要找到愿意参与你的行动的合格雇员可能并不容易。他对自己的技术差距并不讳言--他甚至用自己的真名在Stack Overflow上发帖(是的,这是他的用户账号),请求帮助正确配置他的网站代码,以便在PHP中使用Curl与Tor连接。他在发帖后不到一分钟就把真名改成了 "frosty",但这显然无济于事......事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子串 "frosty@frosty "结尾,因此一旦联邦调查局闻到他的气味,就会进一步牵连他。
尽管该网站在隐私保护方面做了大量工作,包括加密信息、货币以及关于确保违禁品本身在运输和交付过程中安全的明确说明,但它并不是乌尔布里希特所设想的自由主义幻想的坚不可摧的堡垒。那些有技术的人(读作:受雇于联邦调查局的程序员)慢慢地、但肯定地揭开了它的面纱,暴露了一切......包括成千上万在该网站上交易的人的身份。那些多年前购买了不道德商品的人,很可能还会在某个时候受到法律的制裁。
联邦调查局发布的文件概述了他们是如何渗透到丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置显示了IP地址,从而显示了其服务器的物理位置,不需要任何暗中的黑客行为。可以肯定的是,这是一个新手的错误,也是一个最终让联邦调查局直接找到罗斯-乌尔布利特的错误。
有人猜测,这个缺陷--如果它确实存在--早在这一时刻之前就会被监测该网站的众多安全专家之一发现。澳大利亚安全顾问Nik Cubrilovic在接受WIRED采访时称它根本不存在。
"你不可能连接到一个Tor网站,看到一个不是Tor节点的服务器的地址。他们试图让陪审团或法官相信它发生的方式,在技术上是说不通的。"
Cubrilovic接着暗示,这些信息可能是通过非法黑客行为获得的。这种做法似乎是SQL注入,这是一个未经证实的传言,此后在许多网站上被讨论为一种合理的提取方法。
围绕联邦调查局的策略的法律问题是一个完全独立的讨论。尽管用户普遍认为该网站是 "私密 "的,但能够获得这些信息的事实表明,丝绸之路的安全做法很差。当隐私与安全混为一谈时,暴露出漏洞的可能性肯定会增加。
还有一种可能性是,如果罗斯-乌尔布里希特在隐私和安全之间做出区分,在它成长为一盏巨大的热灯,吸引地球上每一个拥有稍高于平均水平的技术知识的不怀好意的骗子之前,积极努力确保这两个方面,那么该网站仍然在运行(无论如何,以其原始形式;它已经被复活了几次,甚至还有更大的网站正在运行)。相反,这个私人俱乐部和它所有的秘密在有人找到打开门的方法时就被揭露了。
你又不是大毒枭,为什么要在乎呢?
丝绸之路的损失和其创始人的入狱并不是一个悲伤的、令人同情的故事,但它是一个引人入胜的案例研究,说明隐私和真正的、强大的网站安全之间的细微差别。有许多合法的业务需要交易和信息的私密性--想想数字化的医疗记录,甚至是一家大银行所持有的数百万信用卡号码--但如果它们没有被铁的软件开发所保护,这些信息就会被攻击者偷取(而且,具有讽刺意味的是,最终会出现在像丝绸之路这样的网站上)。没有安全,隐私就不存在。
像你这样的好人,其软件可能会受到 SQL 注入攻击和OWASP Top 10 中的其他漏洞的攻击,因此,做好准备并有效缓解这些漏洞至关重要。如果从一开始就对开发人员进行安全编码培训,这些漏洞就不会出现。当务之急是,企业要以安全思维为重,让开发团队能够安全地编码。我们可以向您展示如何以有趣、可衡量和游戏化的方式做到这一点。您准备好了吗?
在最近的一次长途飞行中,我利用这个机会吞噬了大量的播客节目,坦率地说,是疯狂的。跟上这么多不同系列的节目,意味着我永远不缺听的东西,引人注目的--尽管是单方面的--对话只需在我的手机屏幕上轻轻一碰。
最终,我看到了一集真实犯罪播客《Casefile》的节目。这个戏剧性的、毫无保留的系列节目(配有一个声音不祥的无名主持人)深入探讨了一个甚至是最有知识和最精明的技术专家都着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,那些熟悉丝绸之路兴衰的人无疑会关注有关此案的新闻,但该播客在美味的、座位边缘的叙述中透露了每个小细节。
丝绸之路。来自深网地牢的教训
如果您对丝绸之路的来龙去脉不甚了解,那么简而言之,就是一个人在深网上建立了一个交易网站,该网站不为公众所窥视,不使用特殊软件(确切地说,是 Tor 浏览器)就无法查看。该网站最初只提供他自家种植的魔幻蘑菇,但几乎一夜之间,网站上就出现了许多供应商,提供从烈性毒品到非法武器和被盗信用卡信息等各种商品。您可以在这里了解更多信息。创建者兼网站管理员化名为 "恐怖海盗罗伯茨"(Dread Pirate Roberts)。他是所有人,也是任何人。所有用户都在完全匿名的情况下交易名副其实的大量非法商品(在此过程中,比特币被誉为毒贩的首选货币,而这一称号才刚刚开始摆脱)。
然而,可怕的海盗罗伯茨的反体制实验是一种自成一体的野兽。很快,杀手们都在宣传他们的服务。坏人在做坏事......而他则沉醉于他新发现的深不可测的财富。他甚至试图利用广告中的杀手的服务来处理一名前雇员。长话短说,这是导致他灭顶之灾的众多节操决定中的一个。他已被揭穿为罗斯-乌尔布里希特,目前他正在美国监狱的牢房里腐烂,正在服双倍的无期徒刑和40年的无假释可能。
但是,如果所有的事情都是完全私密和匿名的,他是如何被抓住的?
好吧,直截了当地说:他是一个相当蹩脚的编码员。丝绸之路网站本身就像一艘漏水的老驳船,被搁置在海洋中。考虑到它是一个非法活动的中心(以及该活动背后的所有数据),它一点都不安全;它是一只坐以待毙的鸭子,只等着被投机的黑客利用。公平地说,当你是一个巨大的非法贩毒生意的主谋时,要找到愿意参与你的行动的合格雇员可能并不容易。他对自己的技术差距并不讳言--他甚至用自己的真名在Stack Overflow上发帖(是的,这是他的用户账号),请求帮助正确配置他的网站代码,以便在PHP中使用Curl与Tor连接。他在发帖后不到一分钟就把真名改成了 "frosty",但这显然无济于事......事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子串 "frosty@frosty "结尾,因此一旦联邦调查局闻到他的气味,就会进一步牵连他。
尽管该网站在隐私保护方面做了大量工作,包括加密信息、货币以及关于确保违禁品本身在运输和交付过程中安全的明确说明,但它并不是乌尔布里希特所设想的自由主义幻想的坚不可摧的堡垒。那些有技术的人(读作:受雇于联邦调查局的程序员)慢慢地、但肯定地揭开了它的面纱,暴露了一切......包括成千上万在该网站上交易的人的身份。那些多年前购买了不道德商品的人,很可能还会在某个时候受到法律的制裁。
联邦调查局发布的文件概述了他们是如何渗透到丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置显示了IP地址,从而显示了其服务器的物理位置,不需要任何暗中的黑客行为。可以肯定的是,这是一个新手的错误,也是一个最终让联邦调查局直接找到罗斯-乌尔布利特的错误。
有人猜测,这个缺陷--如果它确实存在--早在这一时刻之前就会被监测该网站的众多安全专家之一发现。澳大利亚安全顾问Nik Cubrilovic在接受WIRED采访时称它根本不存在。
"你不可能连接到一个Tor网站,看到一个不是Tor节点的服务器的地址。他们试图让陪审团或法官相信它发生的方式,在技术上是说不通的。"
Cubrilovic接着暗示,这些信息可能是通过非法黑客行为获得的。这种做法似乎是SQL注入,这是一个未经证实的传言,此后在许多网站上被讨论为一种合理的提取方法。
围绕联邦调查局的策略的法律问题是一个完全独立的讨论。尽管用户普遍认为该网站是 "私密 "的,但能够获得这些信息的事实表明,丝绸之路的安全做法很差。当隐私与安全混为一谈时,暴露出漏洞的可能性肯定会增加。
还有一种可能性是,如果罗斯-乌尔布里希特在隐私和安全之间做出区分,在它成长为一盏巨大的热灯,吸引地球上每一个拥有稍高于平均水平的技术知识的不怀好意的骗子之前,积极努力确保这两个方面,那么该网站仍然在运行(无论如何,以其原始形式;它已经被复活了几次,甚至还有更大的网站正在运行)。相反,这个私人俱乐部和它所有的秘密在有人找到打开门的方法时就被揭露了。
你又不是大毒枭,为什么要在乎呢?
丝绸之路的损失和其创始人的入狱并不是一个悲伤的、令人同情的故事,但它是一个引人入胜的案例研究,说明隐私和真正的、强大的网站安全之间的细微差别。有许多合法的业务需要交易和信息的私密性--想想数字化的医疗记录,甚至是一家大银行所持有的数百万信用卡号码--但如果它们没有被铁的软件开发所保护,这些信息就会被攻击者偷取(而且,具有讽刺意味的是,最终会出现在像丝绸之路这样的网站上)。没有安全,隐私就不存在。
像你这样的好人,其软件可能会受到 SQL 注入攻击和OWASP Top 10 中的其他漏洞的攻击,因此,做好准备并有效缓解这些漏洞至关重要。如果从一开始就对开发人员进行安全编码培训,这些漏洞就不会出现。当务之急是,企业要以安全思维为重,让开发团队能够安全地编码。我们可以向您展示如何以有趣、可衡量和游戏化的方式做到这一点。您准备好了吗?
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
在最近的一次长途飞行中,我利用这个机会吞噬了大量的播客节目,坦率地说,是疯狂的。跟上这么多不同系列的节目,意味着我永远不缺听的东西,引人注目的--尽管是单方面的--对话只需在我的手机屏幕上轻轻一碰。
最终,我看到了一集真实犯罪播客《Casefile》的节目。这个戏剧性的、毫无保留的系列节目(配有一个声音不祥的无名主持人)深入探讨了一个甚至是最有知识和最精明的技术专家都着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,那些熟悉丝绸之路兴衰的人无疑会关注有关此案的新闻,但该播客在美味的、座位边缘的叙述中透露了每个小细节。
丝绸之路。来自深网地牢的教训
如果您对丝绸之路的来龙去脉不甚了解,那么简而言之,就是一个人在深网上建立了一个交易网站,该网站不为公众所窥视,不使用特殊软件(确切地说,是 Tor 浏览器)就无法查看。该网站最初只提供他自家种植的魔幻蘑菇,但几乎一夜之间,网站上就出现了许多供应商,提供从烈性毒品到非法武器和被盗信用卡信息等各种商品。您可以在这里了解更多信息。创建者兼网站管理员化名为 "恐怖海盗罗伯茨"(Dread Pirate Roberts)。他是所有人,也是任何人。所有用户都在完全匿名的情况下交易名副其实的大量非法商品(在此过程中,比特币被誉为毒贩的首选货币,而这一称号才刚刚开始摆脱)。
然而,可怕的海盗罗伯茨的反体制实验是一种自成一体的野兽。很快,杀手们都在宣传他们的服务。坏人在做坏事......而他则沉醉于他新发现的深不可测的财富。他甚至试图利用广告中的杀手的服务来处理一名前雇员。长话短说,这是导致他灭顶之灾的众多节操决定中的一个。他已被揭穿为罗斯-乌尔布里希特,目前他正在美国监狱的牢房里腐烂,正在服双倍的无期徒刑和40年的无假释可能。
但是,如果所有的事情都是完全私密和匿名的,他是如何被抓住的?
好吧,直截了当地说:他是一个相当蹩脚的编码员。丝绸之路网站本身就像一艘漏水的老驳船,被搁置在海洋中。考虑到它是一个非法活动的中心(以及该活动背后的所有数据),它一点都不安全;它是一只坐以待毙的鸭子,只等着被投机的黑客利用。公平地说,当你是一个巨大的非法贩毒生意的主谋时,要找到愿意参与你的行动的合格雇员可能并不容易。他对自己的技术差距并不讳言--他甚至用自己的真名在Stack Overflow上发帖(是的,这是他的用户账号),请求帮助正确配置他的网站代码,以便在PHP中使用Curl与Tor连接。他在发帖后不到一分钟就把真名改成了 "frosty",但这显然无济于事......事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子串 "frosty@frosty "结尾,因此一旦联邦调查局闻到他的气味,就会进一步牵连他。
尽管该网站在隐私保护方面做了大量工作,包括加密信息、货币以及关于确保违禁品本身在运输和交付过程中安全的明确说明,但它并不是乌尔布里希特所设想的自由主义幻想的坚不可摧的堡垒。那些有技术的人(读作:受雇于联邦调查局的程序员)慢慢地、但肯定地揭开了它的面纱,暴露了一切......包括成千上万在该网站上交易的人的身份。那些多年前购买了不道德商品的人,很可能还会在某个时候受到法律的制裁。
联邦调查局发布的文件概述了他们是如何渗透到丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置显示了IP地址,从而显示了其服务器的物理位置,不需要任何暗中的黑客行为。可以肯定的是,这是一个新手的错误,也是一个最终让联邦调查局直接找到罗斯-乌尔布利特的错误。
有人猜测,这个缺陷--如果它确实存在--早在这一时刻之前就会被监测该网站的众多安全专家之一发现。澳大利亚安全顾问Nik Cubrilovic在接受WIRED采访时称它根本不存在。
"你不可能连接到一个Tor网站,看到一个不是Tor节点的服务器的地址。他们试图让陪审团或法官相信它发生的方式,在技术上是说不通的。"
Cubrilovic接着暗示,这些信息可能是通过非法黑客行为获得的。这种做法似乎是SQL注入,这是一个未经证实的传言,此后在许多网站上被讨论为一种合理的提取方法。
围绕联邦调查局的策略的法律问题是一个完全独立的讨论。尽管用户普遍认为该网站是 "私密 "的,但能够获得这些信息的事实表明,丝绸之路的安全做法很差。当隐私与安全混为一谈时,暴露出漏洞的可能性肯定会增加。
还有一种可能性是,如果罗斯-乌尔布里希特在隐私和安全之间做出区分,在它成长为一盏巨大的热灯,吸引地球上每一个拥有稍高于平均水平的技术知识的不怀好意的骗子之前,积极努力确保这两个方面,那么该网站仍然在运行(无论如何,以其原始形式;它已经被复活了几次,甚至还有更大的网站正在运行)。相反,这个私人俱乐部和它所有的秘密在有人找到打开门的方法时就被揭露了。
你又不是大毒枭,为什么要在乎呢?
丝绸之路的损失和其创始人的入狱并不是一个悲伤的、令人同情的故事,但它是一个引人入胜的案例研究,说明隐私和真正的、强大的网站安全之间的细微差别。有许多合法的业务需要交易和信息的私密性--想想数字化的医疗记录,甚至是一家大银行所持有的数百万信用卡号码--但如果它们没有被铁的软件开发所保护,这些信息就会被攻击者偷取(而且,具有讽刺意味的是,最终会出现在像丝绸之路这样的网站上)。没有安全,隐私就不存在。
像你这样的好人,其软件可能会受到 SQL 注入攻击和OWASP Top 10 中的其他漏洞的攻击,因此,做好准备并有效缓解这些漏洞至关重要。如果从一开始就对开发人员进行安全编码培训,这些漏洞就不会出现。当务之急是,企业要以安全思维为重,让开发团队能够安全地编码。我们可以向您展示如何以有趣、可衡量和游戏化的方式做到这一点。您准备好了吗?
目录
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
