为什么我们需要支持而不是惩罚好奇的安全人员
青少年安全研究员比尔·德米尔卡皮的最新报道, 暴露主要漏洞 在他的学校使用的软件中,肯定带回了一些回忆。我记得我还是个好奇的孩子,打开了软件的底层,看看它到底是如何运作的,更重要的是,如果我能破解它。几十年来,软件工程师一直在寻求对其产品的持续改进和强化,而安全社区(尽管有时他们的方法有点厚脸皮)在发现缺陷和潜在灾难方面发挥着重要作用,但希望在坏人也这样做之前。
但是,这里的问题是,为了回应他的发现,他被暂时停学。那是在他用尽了所有联系公司的途径之后才发生的(福莱特公司)私下里,最后选择了进行一次相当公开的抨击,以表明自己的身份以及他破坏系统的能力。他一再试图以合乎道德的方式警告福莱特公司,但没有得到回应,而该软件仍然脆弱,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的错误。尽管 Blackboard 的数据至少经过了加密,但潜在的攻击者本可以再侵入并窃取数百万条记录。他的学校使用了这个软件和福莱特的产品。
“邪恶黑客” 的叙述是有问题的。
德米尔卡皮在今年的会议上介绍了他的发现 DEF CON,他的滑稽动作中更调皮的细节赢得了群众的掌声。的确,没错——据报道,福列特公司对他的努力表示感谢,并根据他的建议采取了行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数字的危机,尽管他最初处于不利地位,并避免了成为另一个数据泄露统计数据的危机。高中毕业后,他还将就读罗切斯特理工学院,因此很明显,他走上了成为一名备受追捧的安全专家的正确道路。
作为一名安全人员,很难不质疑这种情况的处理方式。尽管在这种情况下一切都很好,但最初,他被当作一个讨厌的剧本小伙子把鼻子放在不属于的地方。谷歌对该事件的搜索中有文章称他为 “黑客”(在安全外行看来,这在很多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月, 超过四十亿条记录 仅在今年,就暴露了恶意数据泄露事件。由于8月份时尚和生活方式品牌的破产,你有可能在这一数字上再增加五千万, Poshmark。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站点脚本和 SQL 注入尚未消失。
据报道 有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统包含常见的安全漏洞,例如跨站脚本(XSS)和SQL注入,这两个漏洞自20世纪90年代以来一直是安全专家的舌头。我们忍受了他们的存在一段时间 真的 很长一段时间,就像 Hypercolor T 恤和软盘一样,它们现在应该是一段遥远的回忆。
但是,事实并非如此,很明显,没有足够的开发人员表现出足够的安全意识来阻止将它们引入他们的代码。扫描工具和手动代码审查只能起到很大的作用,而且还有比 XSS 和 SQL 注入复杂得多的安全问题,在这些情况下,可以更好地利用这些昂贵而耗时的措施。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出来并予以纠正。
游戏化:参与的关键?
我有 写了很多 关于为什么开发人员基本上不参与安全问题,简短的答案是,在组织层面和教育层面,在培养具有安全意识的开发人员方面,都没有做太多工作。当公司花时间建立一种奖励和认可参与度的安全文化时,包括实施讲开发人员语言并激励他们继续尝试的培训,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。
Demirkapi 显然对安全性有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似没有被破坏的东西。但是,在与之交谈时 副 (以及通过他的 DEF CON 幻灯片),他对自己的自我教育发表了一个有趣的声明... 他把它游戏化了:
“目标是在我学校的软件中找到一些东西,这是一种有趣的” 游戏化方式,可以自学大量的渗透测试。尽管我开始研究的目的是了解更多,但我最终发现情况比我预期的要糟糕得多,” 他说。
尽管并非每个开发人员都希望专门研究安全性,但应该让每个开发人员都有机会提高安全意识,基础知识几乎是组织内部的 “代码许可”,尤其是那些控制我们大量敏感数据的开发人员。如果每个开发人员都能在编写最简单的安全漏洞之前对其进行修补,那么对于那些试图造成严重破坏的人,我们处于更加安全的境地。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
青少年安全研究员比尔·德米尔卡皮的最新报道, 暴露主要漏洞 在他的学校使用的软件中,肯定带回了一些回忆。我记得我还是个好奇的孩子,打开了软件的底层,看看它到底是如何运作的,更重要的是,如果我能破解它。几十年来,软件工程师一直在寻求对其产品的持续改进和强化,而安全社区(尽管有时他们的方法有点厚脸皮)在发现缺陷和潜在灾难方面发挥着重要作用,但希望在坏人也这样做之前。
但是,这里的问题是,为了回应他的发现,他被暂时停学。那是在他用尽了所有联系公司的途径之后才发生的(福莱特公司)私下里,最后选择了进行一次相当公开的抨击,以表明自己的身份以及他破坏系统的能力。他一再试图以合乎道德的方式警告福莱特公司,但没有得到回应,而该软件仍然脆弱,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的错误。尽管 Blackboard 的数据至少经过了加密,但潜在的攻击者本可以再侵入并窃取数百万条记录。他的学校使用了这个软件和福莱特的产品。
“邪恶黑客” 的叙述是有问题的。
德米尔卡皮在今年的会议上介绍了他的发现 DEF CON,他的滑稽动作中更调皮的细节赢得了群众的掌声。的确,没错——据报道,福列特公司对他的努力表示感谢,并根据他的建议采取了行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数字的危机,尽管他最初处于不利地位,并避免了成为另一个数据泄露统计数据的危机。高中毕业后,他还将就读罗切斯特理工学院,因此很明显,他走上了成为一名备受追捧的安全专家的正确道路。
作为一名安全人员,很难不质疑这种情况的处理方式。尽管在这种情况下一切都很好,但最初,他被当作一个讨厌的剧本小伙子把鼻子放在不属于的地方。谷歌对该事件的搜索中有文章称他为 “黑客”(在安全外行看来,这在很多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月, 超过四十亿条记录 仅在今年,就暴露了恶意数据泄露事件。由于8月份时尚和生活方式品牌的破产,你有可能在这一数字上再增加五千万, Poshmark。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站点脚本和 SQL 注入尚未消失。
据报道 有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统包含常见的安全漏洞,例如跨站脚本(XSS)和SQL注入,这两个漏洞自20世纪90年代以来一直是安全专家的舌头。我们忍受了他们的存在一段时间 真的 很长一段时间,就像 Hypercolor T 恤和软盘一样,它们现在应该是一段遥远的回忆。
但是,事实并非如此,很明显,没有足够的开发人员表现出足够的安全意识来阻止将它们引入他们的代码。扫描工具和手动代码审查只能起到很大的作用,而且还有比 XSS 和 SQL 注入复杂得多的安全问题,在这些情况下,可以更好地利用这些昂贵而耗时的措施。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出来并予以纠正。
游戏化:参与的关键?
我有 写了很多 关于为什么开发人员基本上不参与安全问题,简短的答案是,在组织层面和教育层面,在培养具有安全意识的开发人员方面,都没有做太多工作。当公司花时间建立一种奖励和认可参与度的安全文化时,包括实施讲开发人员语言并激励他们继续尝试的培训,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。
Demirkapi 显然对安全性有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似没有被破坏的东西。但是,在与之交谈时 副 (以及通过他的 DEF CON 幻灯片),他对自己的自我教育发表了一个有趣的声明... 他把它游戏化了:
“目标是在我学校的软件中找到一些东西,这是一种有趣的” 游戏化方式,可以自学大量的渗透测试。尽管我开始研究的目的是了解更多,但我最终发现情况比我预期的要糟糕得多,” 他说。
尽管并非每个开发人员都希望专门研究安全性,但应该让每个开发人员都有机会提高安全意识,基础知识几乎是组织内部的 “代码许可”,尤其是那些控制我们大量敏感数据的开发人员。如果每个开发人员都能在编写最简单的安全漏洞之前对其进行修补,那么对于那些试图造成严重破坏的人,我们处于更加安全的境地。
青少年安全研究员比尔·德米尔卡皮的最新报道, 暴露主要漏洞 在他的学校使用的软件中,肯定带回了一些回忆。我记得我还是个好奇的孩子,打开了软件的底层,看看它到底是如何运作的,更重要的是,如果我能破解它。几十年来,软件工程师一直在寻求对其产品的持续改进和强化,而安全社区(尽管有时他们的方法有点厚脸皮)在发现缺陷和潜在灾难方面发挥着重要作用,但希望在坏人也这样做之前。
但是,这里的问题是,为了回应他的发现,他被暂时停学。那是在他用尽了所有联系公司的途径之后才发生的(福莱特公司)私下里,最后选择了进行一次相当公开的抨击,以表明自己的身份以及他破坏系统的能力。他一再试图以合乎道德的方式警告福莱特公司,但没有得到回应,而该软件仍然脆弱,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的错误。尽管 Blackboard 的数据至少经过了加密,但潜在的攻击者本可以再侵入并窃取数百万条记录。他的学校使用了这个软件和福莱特的产品。
“邪恶黑客” 的叙述是有问题的。
德米尔卡皮在今年的会议上介绍了他的发现 DEF CON,他的滑稽动作中更调皮的细节赢得了群众的掌声。的确,没错——据报道,福列特公司对他的努力表示感谢,并根据他的建议采取了行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数字的危机,尽管他最初处于不利地位,并避免了成为另一个数据泄露统计数据的危机。高中毕业后,他还将就读罗切斯特理工学院,因此很明显,他走上了成为一名备受追捧的安全专家的正确道路。
作为一名安全人员,很难不质疑这种情况的处理方式。尽管在这种情况下一切都很好,但最初,他被当作一个讨厌的剧本小伙子把鼻子放在不属于的地方。谷歌对该事件的搜索中有文章称他为 “黑客”(在安全外行看来,这在很多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月, 超过四十亿条记录 仅在今年,就暴露了恶意数据泄露事件。由于8月份时尚和生活方式品牌的破产,你有可能在这一数字上再增加五千万, Poshmark。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站点脚本和 SQL 注入尚未消失。
据报道 有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统包含常见的安全漏洞,例如跨站脚本(XSS)和SQL注入,这两个漏洞自20世纪90年代以来一直是安全专家的舌头。我们忍受了他们的存在一段时间 真的 很长一段时间,就像 Hypercolor T 恤和软盘一样,它们现在应该是一段遥远的回忆。
但是,事实并非如此,很明显,没有足够的开发人员表现出足够的安全意识来阻止将它们引入他们的代码。扫描工具和手动代码审查只能起到很大的作用,而且还有比 XSS 和 SQL 注入复杂得多的安全问题,在这些情况下,可以更好地利用这些昂贵而耗时的措施。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出来并予以纠正。
游戏化:参与的关键?
我有 写了很多 关于为什么开发人员基本上不参与安全问题,简短的答案是,在组织层面和教育层面,在培养具有安全意识的开发人员方面,都没有做太多工作。当公司花时间建立一种奖励和认可参与度的安全文化时,包括实施讲开发人员语言并激励他们继续尝试的培训,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。
Demirkapi 显然对安全性有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似没有被破坏的东西。但是,在与之交谈时 副 (以及通过他的 DEF CON 幻灯片),他对自己的自我教育发表了一个有趣的声明... 他把它游戏化了:
“目标是在我学校的软件中找到一些东西,这是一种有趣的” 游戏化方式,可以自学大量的渗透测试。尽管我开始研究的目的是了解更多,但我最终发现情况比我预期的要糟糕得多,” 他说。
尽管并非每个开发人员都希望专门研究安全性,但应该让每个开发人员都有机会提高安全意识,基础知识几乎是组织内部的 “代码许可”,尤其是那些控制我们大量敏感数据的开发人员。如果每个开发人员都能在编写最简单的安全漏洞之前对其进行修补,那么对于那些试图造成严重破坏的人,我们处于更加安全的境地。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
青少年安全研究员比尔·德米尔卡皮的最新报道, 暴露主要漏洞 在他的学校使用的软件中,肯定带回了一些回忆。我记得我还是个好奇的孩子,打开了软件的底层,看看它到底是如何运作的,更重要的是,如果我能破解它。几十年来,软件工程师一直在寻求对其产品的持续改进和强化,而安全社区(尽管有时他们的方法有点厚脸皮)在发现缺陷和潜在灾难方面发挥着重要作用,但希望在坏人也这样做之前。
但是,这里的问题是,为了回应他的发现,他被暂时停学。那是在他用尽了所有联系公司的途径之后才发生的(福莱特公司)私下里,最后选择了进行一次相当公开的抨击,以表明自己的身份以及他破坏系统的能力。他一再试图以合乎道德的方式警告福莱特公司,但没有得到回应,而该软件仍然脆弱,大量学生数据相当容易暴露,因为其中大部分数据是未加密的。
他还发现了另一家公司的软件:Blackboard中的错误。尽管 Blackboard 的数据至少经过了加密,但潜在的攻击者本可以再侵入并窃取数百万条记录。他的学校使用了这个软件和福莱特的产品。
“邪恶黑客” 的叙述是有问题的。
德米尔卡皮在今年的会议上介绍了他的发现 DEF CON,他的滑稽动作中更调皮的细节赢得了群众的掌声。的确,没错——据报道,福列特公司对他的努力表示感谢,并根据他的建议采取了行动,最终使他们的软件更加安全,避免了成为另一个数据泄露统计数字的危机,尽管他最初处于不利地位,并避免了成为另一个数据泄露统计数据的危机。高中毕业后,他还将就读罗切斯特理工学院,因此很明显,他走上了成为一名备受追捧的安全专家的正确道路。
作为一名安全人员,很难不质疑这种情况的处理方式。尽管在这种情况下一切都很好,但最初,他被当作一个讨厌的剧本小伙子把鼻子放在不属于的地方。谷歌对该事件的搜索中有文章称他为 “黑客”(在安全外行看来,这在很多方面都将他定位为反派),而实际上,他的方法(以及许多其他人的方法)有助于保护我们的数据安全。
我们需要有好奇心、聪明和注重安全的人来深入了解情况,而且我们需要更频繁地进行调查。截至七月, 超过四十亿条记录 仅在今年,就暴露了恶意数据泄露事件。由于8月份时尚和生活方式品牌的破产,你有可能在这一数字上再增加五千万, Poshmark。
我们犯了同样的错误,更令人担忧的是,这些错误往往是诱发面部手掌的简单漏洞,不断使我们陷入困境。
跨站点脚本和 SQL 注入尚未消失。
据报道 有线、Demirkapi发现,Blackboards社区参与软件和Folletts学生信息系统包含常见的安全漏洞,例如跨站脚本(XSS)和SQL注入,这两个漏洞自20世纪90年代以来一直是安全专家的舌头。我们忍受了他们的存在一段时间 真的 很长一段时间,就像 Hypercolor T 恤和软盘一样,它们现在应该是一段遥远的回忆。
但是,事实并非如此,很明显,没有足够的开发人员表现出足够的安全意识来阻止将它们引入他们的代码。扫描工具和手动代码审查只能起到很大的作用,而且还有比 XSS 和 SQL 注入复杂得多的安全问题,在这些情况下,可以更好地利用这些昂贵而耗时的措施。
像比尔·德米尔卡皮这样的人应该激励开发人员创建更高标准的代码;年仅17岁的他通过威胁载体入侵了两个高流量系统,这些威胁载体本应在代码提交之前就被嗅出来并予以纠正。
游戏化:参与的关键?
我有 写了很多 关于为什么开发人员基本上不参与安全问题,简短的答案是,在组织层面和教育层面,在培养具有安全意识的开发人员方面,都没有做太多工作。当公司花时间建立一种奖励和认可参与度的安全文化时,包括实施讲开发人员语言并激励他们继续尝试的培训,这些讨厌的漏洞遗迹就会开始从我们使用的软件中消失。
Demirkapi 显然对安全性有着课外兴趣,并花时间学习了如何逆向工程恶意软件、发现漏洞,以及如何破解从外部看似没有被破坏的东西。但是,在与之交谈时 副 (以及通过他的 DEF CON 幻灯片),他对自己的自我教育发表了一个有趣的声明... 他把它游戏化了:
“目标是在我学校的软件中找到一些东西,这是一种有趣的” 游戏化方式,可以自学大量的渗透测试。尽管我开始研究的目的是了解更多,但我最终发现情况比我预期的要糟糕得多,” 他说。
尽管并非每个开发人员都希望专门研究安全性,但应该让每个开发人员都有机会提高安全意识,基础知识几乎是组织内部的 “代码许可”,尤其是那些控制我们大量敏感数据的开发人员。如果每个开发人员都能在编写最简单的安全漏洞之前对其进行修补,那么对于那些试图造成严重破坏的人,我们处于更加安全的境地。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
