プライバシーとセキュリティを混同する:致命的な間違い
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
目次
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
