Confundir privacidad con seguridad: El error fatal
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Cuando la privacidad en línea intenta existir sin seguridad, reina el caos. Sólo hay que preguntar a Ross Ulbricht.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
