为什么我们需要支持而非惩罚充满好奇心的安全人员
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校所用软件中的重大漏洞,这无疑唤起了某些回忆。我记得自己还是个充满好奇的孩子时,曾拆解软件底层代码,探究其运作机制,更重要的是想看看能否破解它。数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手段略显厚颜)在发现缺陷和潜在灾难方面发挥着关键作用——但愿能在恶意分子之前发现这些漏洞。
然而问题在于,为回应他的发现,他遭到了临时停学处分。这发生在他耗尽所有私下联系公司(弗莱特公司)的途径后,最终选择进行一次相当公开的抨击,以表明自己的身份及其破坏系统的能力。他曾多次试图以合乎道德的方式警告弗莱特公司,却未获回应,而该软件至今仍存在漏洞,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的漏洞。尽管Blackboard的数据至少经过了加密,但潜在的攻击者本可以再次入侵并窃取数百万条记录。他的学校同时使用了这款软件和富莱特的产品。
“邪恶黑客”的叙述是有问题的。
德米尔卡皮在今年DEFCON大会上展示了他的发现,他滑稽表演中更调皮的细节赢得了全场掌声。诚然,事实如此——据报道,福莱特公司对其工作表示感谢,并采纳了他的建议采取行动,最终使他们的软件更加安全,避免了成为又一起数据泄露事件的危机。尽管他最初处于不利地位,但最终成功化解了这场危机。高中毕业后,他还将进入罗切斯特理工学院深造,显然他正朝着成为一名备受追捧的安全专家的正确道路前进。
作为一名安全人员,很难不对这种情况的处理方式提出质疑。尽管最终结果尚可,但最初他被当作一个讨厌的剧本少年,把鼻子伸进了不该管的地方。谷歌对该事件的搜索结果中,有文章称他为"黑客"(在安全外行看来,这在许多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月,仅在今年,就有超过四十亿条记录暴露在恶意数据泄露事件中。由于8月份时尚和生活方式品牌Poshmark的破产,这个数字可能还要增加五千万条。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站脚本攻击和 SQL 注入尚未消失。
据报道,有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统存在常见的安全漏洞,例如跨站脚本(XSS)和SQL注入。这两个漏洞自20世纪90年代以来就一直是安全专家们津津乐道的话题。我们忍受它们的存在已经相当长一段时间了——真的,相当长一段时间,就像Hypercolor T恤和软盘一样,它们现在本该成为一段遥远的回忆。
然而事实并非如此,显然,没有足够多的开发人员具备足够的安全意识来阻止这些漏洞进入他们的代码。扫描工具和手动代码审查只能发挥有限的作用,而且还有比跨站脚本攻击和SQL注入复杂得多的安全问题,在这些情况下,这些昂贵且耗时的措施反而可能适得其反。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出并予以纠正。
游戏化:参与的关键?
我写过很多关于开发人员为何基本不参与安全问题的文章,简短的答案是:在组织层面和教育层面,培养具有安全意识的开发人员方面都做得不够。当公司花时间建立一种奖励和认可参与度的安全文化时——包括实施符合开发者思维方式的培训,激励他们持续尝试——那些令人讨厌的漏洞残留就会开始从我们使用的软件中消失。
德米尔卡皮显然对安全领域有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似完好无损的东西。但在与他交谈时(以及通过他的DEF CON幻灯片),他对自己的自学经历发表了一个有趣的声明...他将其游戏化了:
“目标是在我校的软件中寻找某些东西,这是一种有趣的'游戏化'方式,可以自学大量渗透测试知识。尽管我最初研究的目的是了解更多,但最终发现情况比我预期的要糟糕得多,”他说。
尽管并非每个开发人员都希望专门研究安全性,但每个开发人员都应有机会提升安全意识。基础安全知识几乎是组织内部的"代码许可",特别是对于那些掌控大量敏感数据的开发人员而言。如果每位开发人员都能在编写出最简单的安全漏洞之前就将其修复,那么对于那些企图造成严重破坏的人,我们的防御体系将更加稳固。
青少年安全研究员比尔·德米尔卡皮揭露了学校使用的软件中的主要漏洞,这无疑令人回想起往事。我记得自己还是个充满好奇的孩子时,曾掀开软件的盖子偷看内部构造,想了解它是如何运作的……以及我能否破解它。
首席执行官、主席和联合创始人
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校所用软件中的重大漏洞,这无疑唤起了某些回忆。我记得自己还是个充满好奇的孩子时,曾拆解软件底层代码,探究其运作机制,更重要的是想看看能否破解它。数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手段略显厚颜)在发现缺陷和潜在灾难方面发挥着关键作用——但愿能在恶意分子之前发现这些漏洞。
然而问题在于,为回应他的发现,他遭到了临时停学处分。这发生在他耗尽所有私下联系公司(弗莱特公司)的途径后,最终选择进行一次相当公开的抨击,以表明自己的身份及其破坏系统的能力。他曾多次试图以合乎道德的方式警告弗莱特公司,却未获回应,而该软件至今仍存在漏洞,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的漏洞。尽管Blackboard的数据至少经过了加密,但潜在的攻击者本可以再次入侵并窃取数百万条记录。他的学校同时使用了这款软件和富莱特的产品。
“邪恶黑客”的叙述是有问题的。
德米尔卡皮在今年DEFCON大会上展示了他的发现,他滑稽表演中更调皮的细节赢得了全场掌声。诚然,事实如此——据报道,福莱特公司对其工作表示感谢,并采纳了他的建议采取行动,最终使他们的软件更加安全,避免了成为又一起数据泄露事件的危机。尽管他最初处于不利地位,但最终成功化解了这场危机。高中毕业后,他还将进入罗切斯特理工学院深造,显然他正朝着成为一名备受追捧的安全专家的正确道路前进。
作为一名安全人员,很难不对这种情况的处理方式提出质疑。尽管最终结果尚可,但最初他被当作一个讨厌的剧本少年,把鼻子伸进了不该管的地方。谷歌对该事件的搜索结果中,有文章称他为"黑客"(在安全外行看来,这在许多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月,仅在今年,就有超过四十亿条记录暴露在恶意数据泄露事件中。由于8月份时尚和生活方式品牌Poshmark的破产,这个数字可能还要增加五千万条。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站脚本攻击和 SQL 注入尚未消失。
据报道,有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统存在常见的安全漏洞,例如跨站脚本(XSS)和SQL注入。这两个漏洞自20世纪90年代以来就一直是安全专家们津津乐道的话题。我们忍受它们的存在已经相当长一段时间了——真的,相当长一段时间,就像Hypercolor T恤和软盘一样,它们现在本该成为一段遥远的回忆。
然而事实并非如此,显然,没有足够多的开发人员具备足够的安全意识来阻止这些漏洞进入他们的代码。扫描工具和手动代码审查只能发挥有限的作用,而且还有比跨站脚本攻击和SQL注入复杂得多的安全问题,在这些情况下,这些昂贵且耗时的措施反而可能适得其反。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出并予以纠正。
游戏化:参与的关键?
我写过很多关于开发人员为何基本不参与安全问题的文章,简短的答案是:在组织层面和教育层面,培养具有安全意识的开发人员方面都做得不够。当公司花时间建立一种奖励和认可参与度的安全文化时——包括实施符合开发者思维方式的培训,激励他们持续尝试——那些令人讨厌的漏洞残留就会开始从我们使用的软件中消失。
德米尔卡皮显然对安全领域有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似完好无损的东西。但在与他交谈时(以及通过他的DEF CON幻灯片),他对自己的自学经历发表了一个有趣的声明...他将其游戏化了:
“目标是在我校的软件中寻找某些东西,这是一种有趣的'游戏化'方式,可以自学大量渗透测试知识。尽管我最初研究的目的是了解更多,但最终发现情况比我预期的要糟糕得多,”他说。
尽管并非每个开发人员都希望专门研究安全性,但每个开发人员都应有机会提升安全意识。基础安全知识几乎是组织内部的"代码许可",特别是对于那些掌控大量敏感数据的开发人员而言。如果每位开发人员都能在编写出最简单的安全漏洞之前就将其修复,那么对于那些企图造成严重破坏的人,我们的防御体系将更加稳固。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校所用软件中的重大漏洞,这无疑唤起了某些回忆。我记得自己还是个充满好奇的孩子时,曾拆解软件底层代码,探究其运作机制,更重要的是想看看能否破解它。数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手段略显厚颜)在发现缺陷和潜在灾难方面发挥着关键作用——但愿能在恶意分子之前发现这些漏洞。
然而问题在于,为回应他的发现,他遭到了临时停学处分。这发生在他耗尽所有私下联系公司(弗莱特公司)的途径后,最终选择进行一次相当公开的抨击,以表明自己的身份及其破坏系统的能力。他曾多次试图以合乎道德的方式警告弗莱特公司,却未获回应,而该软件至今仍存在漏洞,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的漏洞。尽管Blackboard的数据至少经过了加密,但潜在的攻击者本可以再次入侵并窃取数百万条记录。他的学校同时使用了这款软件和富莱特的产品。
“邪恶黑客”的叙述是有问题的。
德米尔卡皮在今年DEFCON大会上展示了他的发现,他滑稽表演中更调皮的细节赢得了全场掌声。诚然,事实如此——据报道,福莱特公司对其工作表示感谢,并采纳了他的建议采取行动,最终使他们的软件更加安全,避免了成为又一起数据泄露事件的危机。尽管他最初处于不利地位,但最终成功化解了这场危机。高中毕业后,他还将进入罗切斯特理工学院深造,显然他正朝着成为一名备受追捧的安全专家的正确道路前进。
作为一名安全人员,很难不对这种情况的处理方式提出质疑。尽管最终结果尚可,但最初他被当作一个讨厌的剧本少年,把鼻子伸进了不该管的地方。谷歌对该事件的搜索结果中,有文章称他为"黑客"(在安全外行看来,这在许多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月,仅在今年,就有超过四十亿条记录暴露在恶意数据泄露事件中。由于8月份时尚和生活方式品牌Poshmark的破产,这个数字可能还要增加五千万条。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站脚本攻击和 SQL 注入尚未消失。
据报道,有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统存在常见的安全漏洞,例如跨站脚本(XSS)和SQL注入。这两个漏洞自20世纪90年代以来就一直是安全专家们津津乐道的话题。我们忍受它们的存在已经相当长一段时间了——真的,相当长一段时间,就像Hypercolor T恤和软盘一样,它们现在本该成为一段遥远的回忆。
然而事实并非如此,显然,没有足够多的开发人员具备足够的安全意识来阻止这些漏洞进入他们的代码。扫描工具和手动代码审查只能发挥有限的作用,而且还有比跨站脚本攻击和SQL注入复杂得多的安全问题,在这些情况下,这些昂贵且耗时的措施反而可能适得其反。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出并予以纠正。
游戏化:参与的关键?
我写过很多关于开发人员为何基本不参与安全问题的文章,简短的答案是:在组织层面和教育层面,培养具有安全意识的开发人员方面都做得不够。当公司花时间建立一种奖励和认可参与度的安全文化时——包括实施符合开发者思维方式的培训,激励他们持续尝试——那些令人讨厌的漏洞残留就会开始从我们使用的软件中消失。
德米尔卡皮显然对安全领域有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似完好无损的东西。但在与他交谈时(以及通过他的DEF CON幻灯片),他对自己的自学经历发表了一个有趣的声明...他将其游戏化了:
“目标是在我校的软件中寻找某些东西,这是一种有趣的'游戏化'方式,可以自学大量渗透测试知识。尽管我最初研究的目的是了解更多,但最终发现情况比我预期的要糟糕得多,”他说。
尽管并非每个开发人员都希望专门研究安全性,但每个开发人员都应有机会提升安全意识。基础安全知识几乎是组织内部的"代码许可",特别是对于那些掌控大量敏感数据的开发人员而言。如果每位开发人员都能在编写出最简单的安全漏洞之前就将其修复,那么对于那些企图造成严重破坏的人,我们的防御体系将更加稳固。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
青少年安全研究员比尔·德米尔卡皮的最新报告揭露了其学校所用软件中的重大漏洞,这无疑唤起了某些回忆。我记得自己还是个充满好奇的孩子时,曾拆解软件底层代码,探究其运作机制,更重要的是想看看能否破解它。数十年来,软件工程师们始终致力于持续改进和强化产品,而安全社区(尽管有时手段略显厚颜)在发现缺陷和潜在灾难方面发挥着关键作用——但愿能在恶意分子之前发现这些漏洞。
然而问题在于,为回应他的发现,他遭到了临时停学处分。这发生在他耗尽所有私下联系公司(弗莱特公司)的途径后,最终选择进行一次相当公开的抨击,以表明自己的身份及其破坏系统的能力。他曾多次试图以合乎道德的方式警告弗莱特公司,却未获回应,而该软件至今仍存在漏洞,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的漏洞。尽管Blackboard的数据至少经过了加密,但潜在的攻击者本可以再次入侵并窃取数百万条记录。他的学校同时使用了这款软件和富莱特的产品。
“邪恶黑客”的叙述是有问题的。
德米尔卡皮在今年DEFCON大会上展示了他的发现,他滑稽表演中更调皮的细节赢得了全场掌声。诚然,事实如此——据报道,福莱特公司对其工作表示感谢,并采纳了他的建议采取行动,最终使他们的软件更加安全,避免了成为又一起数据泄露事件的危机。尽管他最初处于不利地位,但最终成功化解了这场危机。高中毕业后,他还将进入罗切斯特理工学院深造,显然他正朝着成为一名备受追捧的安全专家的正确道路前进。
作为一名安全人员,很难不对这种情况的处理方式提出质疑。尽管最终结果尚可,但最初他被当作一个讨厌的剧本少年,把鼻子伸进了不该管的地方。谷歌对该事件的搜索结果中,有文章称他为"黑客"(在安全外行看来,这在许多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月,仅在今年,就有超过四十亿条记录暴露在恶意数据泄露事件中。由于8月份时尚和生活方式品牌Poshmark的破产,这个数字可能还要增加五千万条。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站脚本攻击和 SQL 注入尚未消失。
据报道,有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统存在常见的安全漏洞,例如跨站脚本(XSS)和SQL注入。这两个漏洞自20世纪90年代以来就一直是安全专家们津津乐道的话题。我们忍受它们的存在已经相当长一段时间了——真的,相当长一段时间,就像Hypercolor T恤和软盘一样,它们现在本该成为一段遥远的回忆。
然而事实并非如此,显然,没有足够多的开发人员具备足够的安全意识来阻止这些漏洞进入他们的代码。扫描工具和手动代码审查只能发挥有限的作用,而且还有比跨站脚本攻击和SQL注入复杂得多的安全问题,在这些情况下,这些昂贵且耗时的措施反而可能适得其反。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出并予以纠正。
游戏化:参与的关键?
我写过很多关于开发人员为何基本不参与安全问题的文章,简短的答案是:在组织层面和教育层面,培养具有安全意识的开发人员方面都做得不够。当公司花时间建立一种奖励和认可参与度的安全文化时——包括实施符合开发者思维方式的培训,激励他们持续尝试——那些令人讨厌的漏洞残留就会开始从我们使用的软件中消失。
德米尔卡皮显然对安全领域有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似完好无损的东西。但在与他交谈时(以及通过他的DEF CON幻灯片),他对自己的自学经历发表了一个有趣的声明...他将其游戏化了:
“目标是在我校的软件中寻找某些东西,这是一种有趣的'游戏化'方式,可以自学大量渗透测试知识。尽管我最初研究的目的是了解更多,但最终发现情况比我预期的要糟糕得多,”他说。
尽管并非每个开发人员都希望专门研究安全性,但每个开发人员都应有机会提升安全意识。基础安全知识几乎是组织内部的"代码许可",特别是对于那些掌控大量敏感数据的开发人员而言。如果每位开发人员都能在编写出最简单的安全漏洞之前就将其修复,那么对于那些企图造成严重破坏的人,我们的防御体系将更加稳固。
%20(1).avif)
.avif)
