Confundir privacidad con seguridad: El error fatal
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Cuando la privacidad en línea intenta existir sin seguridad, reina el caos. Sólo hay que preguntar a Ross Ulbricht.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Este artículo fue escrito por Secure Code Warrior El equipo de expertos de la industria de está comprometido a brindar a los desarrolladores los conocimientos y las habilidades para crear software seguro desde el principio. Aprovechamos nuestra profunda experiencia en prácticas de codificación segura, tendencias de la industria y conocimientos del mundo real.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
