Confundir la privacidad con la seguridad: el error fatal
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
Cuando la privacidad en línea intenta existir sin seguridad, reina el caos. Pregúntale a Ross Ulbricht.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Cet article a été écrit par Secure Code Warrior L'équipe d'experts du secteur de s'engage à fournir aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie des pratiques de codage sécurisé, des tendances du secteur et des connaissances du monde réel.
En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
