Confundir privacidad con seguridad: El error fatal
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no estás al tanto de los pormenores de Silk Road, el resumen es que un hombre construyó un sitio web de comercio en la deep web, oculto a las miradas indiscretas del público en general y no visible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus hongos mágicos caseros, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la Princesa Prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma completamente anónima (y en el proceso, consiguieron que Bitcoin tuviera la reputación de ser la moneda preferida de los traficantes de drogas; un apodo del que apenas está empezando a desprenderse).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de la gran apuesta por la privacidad, con mensajes encriptados, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht pudo haber imaginado. Aquellos con los conocimientos necesarios (léase: programadores contratados por el FBI) lo desentrañaron lentamente, pero con seguridad, para revelar todo... incluyendo las identidades de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos de mala calidad hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento, como este tipo en Alemania. Vaya.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como tú, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen de forma eficiente. Si los desarrolladores están formados para codificar de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la mentalidad de la seguridad y que capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Estás preparado?
Cuando la privacidad en línea intenta existir sin seguridad, reina el caos. Sólo hay que preguntar a Ross Ulbricht.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no estás al tanto de los pormenores de Silk Road, el resumen es que un hombre construyó un sitio web de comercio en la deep web, oculto a las miradas indiscretas del público en general y no visible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus hongos mágicos caseros, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la Princesa Prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma completamente anónima (y en el proceso, consiguieron que Bitcoin tuviera la reputación de ser la moneda preferida de los traficantes de drogas; un apodo del que apenas está empezando a desprenderse).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de la gran apuesta por la privacidad, con mensajes encriptados, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht pudo haber imaginado. Aquellos con los conocimientos necesarios (léase: programadores contratados por el FBI) lo desentrañaron lentamente, pero con seguridad, para revelar todo... incluyendo las identidades de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos de mala calidad hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento, como este tipo en Alemania. Vaya.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como tú, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen de forma eficiente. Si los desarrolladores están formados para codificar de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la mentalidad de la seguridad y que capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Estás preparado?
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no estás al tanto de los pormenores de Silk Road, el resumen es que un hombre construyó un sitio web de comercio en la deep web, oculto a las miradas indiscretas del público en general y no visible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus hongos mágicos caseros, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la Princesa Prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma completamente anónima (y en el proceso, consiguieron que Bitcoin tuviera la reputación de ser la moneda preferida de los traficantes de drogas; un apodo del que apenas está empezando a desprenderse).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de la gran apuesta por la privacidad, con mensajes encriptados, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht pudo haber imaginado. Aquellos con los conocimientos necesarios (léase: programadores contratados por el FBI) lo desentrañaron lentamente, pero con seguridad, para revelar todo... incluyendo las identidades de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos de mala calidad hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento, como este tipo en Alemania. Vaya.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como tú, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen de forma eficiente. Si los desarrolladores están formados para codificar de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la mentalidad de la seguridad y que capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Estás preparado?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no estás al tanto de los pormenores de Silk Road, el resumen es que un hombre construyó un sitio web de comercio en la deep web, oculto a las miradas indiscretas del público en general y no visible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus hongos mágicos caseros, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la Princesa Prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma completamente anónima (y en el proceso, consiguieron que Bitcoin tuviera la reputación de ser la moneda preferida de los traficantes de drogas; un apodo del que apenas está empezando a desprenderse).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de la gran apuesta por la privacidad, con mensajes encriptados, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht pudo haber imaginado. Aquellos con los conocimientos necesarios (léase: programadores contratados por el FBI) lo desentrañaron lentamente, pero con seguridad, para revelar todo... incluyendo las identidades de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos de mala calidad hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento, como este tipo en Alemania. Vaya.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como tú, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen de forma eficiente. Si los desarrolladores están formados para codificar de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la mentalidad de la seguridad y que capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Estás preparado?
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
