为何不该惩罚充满好奇心的安全负责人,而应给予支持
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
10岁的安全研究员比尔·德米尔卡皮揭露了学校使用的软件存在重大漏洞,这让他回忆起童年时光。记得自己还是个充满好奇心的孩子时,就喜欢掀开软件的引擎盖,窥探其内部构造,探究它如何运作……然后想看看自己能否将其破坏。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校使用的软件存在重大漏洞,这确实勾起了我的回忆。记得小时候是个充满好奇心的孩子,总爱掀开软件的引擎盖,窥探内部构造,探究其运作原理。 更重要的是——如果我能把它拆开的话。数十年来,软件工程师们始终致力于产品的持续改进与强化,而安全社区(尽管有时态度略显傲慢)在发现缺陷与潜在灾难方面发挥着关键作用——当然,前提是能在恶意攻击者之前完成这项工作。
但问题在于,他因发现此事而受到轻微停职处分。而且这发生在他耗尽所有联系公司(Follett Corporation)的途径之后——最终他选择以某种公开的爆发方式来标榜自己及其系统入侵能力。他多次试图向Follett Corporation发出道德警告,却始终石沉大海。 该软件始终处于脆弱状态,堆积如山的学生数据因未加密而极易暴露。
他还发现了另一家公司的软件Blackboard中的漏洞。尽管Blackboard的数据至少具备加密功能,但潜在攻击者仍能访问数百万条记录,并窃取更多数据。他的学校同时使用着这款软件和Follett的产品。
“邪恶的黑客”这种说法存在问题。
德米尔卡皮今年在学会上发表了他的研究成果。德夫·艾肯,他那些更具戏剧性的恶作剧细节赢得了观众的掌声。是的。 事实上,Follett公司最初深陷劣质书籍的泥潭,为让发现的真相获得认可而遭遇重重阻碍。但通过采纳他的建议并付诸行动,公司最终强化了软件安全,成功规避了可能成为又一数据泄露案例的危机。值得一提的是,他高中毕业后计划进入罗切斯特理工学院深造,显然正朝着成为炙手可热的安全专家的正确道路前进。
作为安全负责人,很难不对这种情况的处理方式提出异议。虽然最终一切顺利解决,但起初他被当作一个爱管闲事的烦人小角色对待——明明不该插手的事情却硬要插手。在谷歌搜索此事件时,会发现有文章将他称为"黑客"(在安全领域外行眼中,这类人往往被多方面视为反派)。事实上,他的方法(以及许多其他人的方法)有助于保障数据安全。
我们需要更多充满好奇心、聪明机智且专注于安全的人。 此类事件应当更频繁地发生。截至7月,仅今年就有超过40亿条记录暴露于恶意数据泄露中。而8月时尚生活品牌Poshmark的安全漏洞事件,又使这一数字增加了5000万条记录。
我们也在犯同样的错误。更令人担忧的是,这些漏洞往往是那些刺激掌心的简单漏洞,却不断将我们击倒。
跨站脚本攻击和SQL注入并未消失。
据报道,有线电视网Demirkapi确认Blackboard的社区参与软件及Follets的学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞,这两类漏洞自1990年代以来就已引起安全专家的关注。我们始终坚守着对这些漏洞的警惕。这确实是久远的事了,就像超彩色T恤和软盘一样,如今都已成为遥远的记忆。
但事实并非如此。而且很明显,具备足够安全意识、能够阻止此类功能进入代码的开发者数量不足。扫描工具和手动代码审查能处理的工作有限,而安全问题也比跨站脚本攻击和SQL注入复杂得多。因为这些耗时耗力的方法可以被更有效地利用。
像比尔·德米尔卡皮(Bill Demirkapi)这样的人,应该激励开发者编写更高水平的代码。年仅17岁的他就通过威胁向量入侵了两个高流量系统——这些系统本应在代码提交前就经过嗅探和修复。
游戏化:参与的核心是什么?
简而言之,开发者之所以仍对安全问题漠不关心,是因为企业在培养精通安全的开发者方面,无论是组织层面还是教育层面都未付出足够努力。若企业能投入时间建立安全文化——例如开展符合开发者思维模式的培训,激励他们持续探索安全领域,并为参与者提供奖励与认可——那么我们使用的软件中那些恼人的漏洞残留物终将逐渐消失。
德米尔卡皮显然对安全领域怀有超乎寻常的热忱,他投入大量时间学习反向工程恶意软件、挖掘系统漏洞,以及破坏那些从外部看来毫无异常的系统。然而在交谈中(以及通过DEF CON的幻灯片),他对自己自学成才的经历做出了耐人寻味的表述——他将整个过程游戏化了。
“由于目标是在学校软件中寻找漏洞,这成为一种有趣且游戏化的自学渗透测试方法。我本想深入研究,却发现实际情况远比预想的更糟糕。”他说道。
并非所有开发者都渴望成为安全专家,但每位开发者都应获得理解安全机制的机会。尤其对于管理海量敏感数据的开发者而言,掌握基础安全知识几乎相当于组织内部的"代码编写许可"。若所有开发者都能在编写出最简单的安全漏洞之前就及时修复,我们就能远离那些蓄意制造混乱的开发者带来的威胁。
%20(1).avif)
.avif)
