プライバシーとセキュリティを混同する:致命的な間違い
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身に付けることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身に付けることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
目次
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
