将隐私与安全混为一谈:致命错误
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
坦率地说,在最近的一次长途飞行中,我借此机会吞噬了大量疯狂的播客节目。时刻关注这么多不同的系列节目,这意味着我从不缺少什么好听的东西,只要触摸手机屏幕,就能看到引人入胜的(尽管是片面的)对话。
最后我看了一集《真实犯罪》播客, 案例档案。这部戏剧性的、无拘无束的剧集(包括一位声音不祥且不愿透露姓名的主持人)深入探讨了一个即使是最知识渊博、最精明的技术专家也着迷的话题:深层网络,以及违禁品贸易网站丝绸之路的灾难性崛起。分为两部分,熟悉丝绸之路兴衰的人无疑会关注有关此案的消息,但该播客以美味的边缘叙事泄露了每一个小细节。
丝绸之路:深网地牢的教训
如果你对丝绸之路的来龙去脉不甚了解,那么TL; DR的总结是,一个人在深层网络上建立了一个贸易网站,隐藏在公众的窥视之下,如果不使用特殊软件——确切地说是Tor浏览器——就无法查看。该网站最初只提供他本土种植的魔法蘑菇,但几乎在一夜之间,供应商爆炸式增长,从硬核毒品到非法武器以及被盗的信用卡详细信息,应有尽有。 你可以在这里加快速度。创作者和网站管理员使用了受新娘公主启发的笔名 Dread Pirate Roberts。他是所有人,他不是任何人。所有用户都交易了名副其实的非法物品赏金,而且他们完全匿名地进行了交易(在此过程中,比特币被誉为毒贩首选货币;这个绰号才刚刚开始动摇)。
但是,恐惧海盗罗伯茨的反建制实验本身就是一只野兽。很快,杀手们开始宣传他们的服务。坏人正在做坏事... 他被新发现的深不可测的财富所陶醉。他甚至试图利用广告中的杀手的服务来处置一名前雇员。长话短说,这是导致他失败的众多愚蠢决定之一。他被揭露为罗斯·乌尔布里希特的面具,目前他正在美国牢房里腐烂,服两次无期徒刑外加四十年,不得假释。
但是,如果一切都是完全私密和匿名的,他是怎么被抓到的?
好吧,坦率地说: 他是个很烂的程序员。丝绸之路遗址本身就像一艘被困在海里的漏水的旧驳船。考虑到它是非法活动的中心(以及该活动背后的所有数据),它根本不安全;它是一个等待机会主义黑客利用的坐视目标。公平地说,当你是一个庞大的非法贩毒企业的策划者时,要找到愿意参与你业务的有能力的员工可能并不容易。他也毫不掩饰自己的技能差距- 他甚至用自己的真实姓名发帖 上 堆栈溢出 (是的,这是他的用户帐户),他请求帮助他正确配置站点代码,以便在 PHP 中使用 Curl 与 Tor 连接。在发帖不到一分钟后,他将自己的真实姓名改为 “frosty” 的账号,但这显然无济于事... 事实上,这可能造成了进一步的损害:丝绸之路服务器上的加密密钥以子字符串 “frosty @frosty” 结尾,因此,一旦联邦调查局得知他的气味,他就会进一步受到牵连。
尽管大力推动隐私,通过加密消息、货币和明确的指示,确保违禁品本身在运输和交付过程中的安全,但该网站并不是乌尔布里希特可能设想的自由主义幻想中坚不可摧的堡垒。那些拥有这些技能的人(阅读:联邦调查局雇用的程序员)缓慢但肯定地将其解开,以揭露所有内容... 包括成千上万在该网站上进行交易的人的身份。那些多年前购买了顽皮商品的人有可能在某个时候还会被执法部门敲门。
联邦调查局发布了 文档 概述了他们是如何穿透丝绸之路的,一般的解释是利用IP地址泄露。丝绸之路登录页面的错误配置泄露了其服务器的IP地址,从而暴露了其服务器的物理位置,无需进行任何恶意的黑客攻击。当然,这是一个菜鸟错误,最终导致联邦调查局直接找到了罗斯·乌尔布里希特。
有人猜测,监视该网站的众多安全专业人员中的一位早在这一刻之前就发现了这个漏洞,如果确实存在的话。澳大利亚安全顾问尼克·库布里洛维奇声称根本不存在 在接受《连线》采访时:
“你不可能连接到 Tor 站点并看到不是 Tor 节点的服务器的地址。从技术上讲,他们试图让陪审团或法官相信事情发生的方式是没有意义的。”
然后,库布里洛维奇接着暗示这些信息可能是通过非法黑客行为获得的。这种做法似乎是 SQL 注入,这是一个未经证实的谣言,已被讨论为 从那以后,在许多地方都采用了合理的提取方法。
联邦调查局策略的合法性完全是单独的讨论。尽管一般用户都认为丝绸之路是 “私密的” 网站,但完全可以获得这些信息的事实表明,丝绸之路的安全措施不佳。当隐私与安全性混淆时,漏洞暴露的可能性肯定会增加。
如果罗斯·乌尔布里希特在隐私和安全之间做出区分,在它发展成巨型加热灯之前积极努力确保两者,吸引地球上所有技术知识略高于平均水平的不愉快骗子,那么该网站也有可能继续运行(无论如何,它已经复活了好几次,甚至还有像现在一样运营的更大的网站)。取而代之的是,当有人找到开门的方法时,私人俱乐部及其所有秘密就被揭露了。
你不是毒枭,那你为什么要关心呢?
丝绸之路的逝世及其创始人被监禁并不是一个悲惨而富有同情心的故事,但它是一个引人入胜的案例研究,探讨了隐私与真实、强大的网站安全之间的细微差别。有许多合法的业务要求交易和信息保密——比如数字化的医疗记录,甚至是大型银行持有的数百万张信用卡号——但如果没有铁杆软件开发的保护,这些信息可能会被攻击者精心挑选(具有讽刺意味的是,最终会出现在丝绸之路这样的网站上)。没有安全性,隐私就不存在。
像你这样的好人可能拥有容易受到 SQL 注入攻击和其他漏洞的软件 OWASP 前 10 名,因此,为这些问题做好准备并有效缓解至关重要。如果开发人员从一开始就接受过安全编码的培训,那么这些缺陷就不会浮出水面。组织必须以安全思维为重点,赋予其开发团队安全编码的能力。我们可以向您展示如何以有趣、可衡量和游戏化的方式来做到这一点。你准备好了吗?
目录
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
