プライバシーとセキュリティを混同する:致命的な間違い
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
オンラインプライバシーがセキュリティなしで存在しようとすると、混乱が支配します。ロス・ウルブリヒトに聞いてみてください。
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Table des matières
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
