Confondre confidentialité et sécurité : une erreur fatale
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Lorsque la confidentialité en ligne tente d'exister sans sécurité, le chaos règne. Il suffit de demander à Ross Ulbricht.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
目录
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
