プライバシーとセキュリティを混同する:致命的な間違い
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
最近の長距離フライトで、率直に言って、途方もない量のポッドキャストエピソードをむさぼり食う機会を得ました。非常に多くの異なるシリーズで最新情報を入手しているということは、携帯電話の画面に触れるだけで、一方的ではあるが説得力のある会話で、聞くものが不足することは決してないということです。
やがて犯罪実態ポッドキャストのエピソードにたどり着いたんだ ケースファイル。このドラマチックで制限のないシリーズ(不気味な声で名前のないホストが出演)では、最も知識が豊富で知識豊富な技術者でさえも魅了するトピック、ディープウェブ、そして密輸取引サイトであるシルクロードの激変的な台頭について掘り下げました。2つのパートに分かれているので、シルクロードの盛衰に詳しい人なら間違いなくこの事件のニュースをフォローしていたでしょうが、ポッドキャストでは細部まで、おいしくて端から端まで語り継がれています。
シルクロード:ディープウェブダンジョンからの教訓
シルクロードの詳細に詳しくないなら、TL; DRの要約は、ある男がディープウェブ上にトレードウェブサイトを構築したということです。一般大衆の詮索好きな目から隠され、特別なソフトウェア、正確にはTorブラウザを使わなければ見ることができません。このサイトは当初、彼が自家製のマジックマッシュルームしか提供していませんでしたが、ほぼ一夜にしてハードコアドラッグから違法な武器、盗まれたクレジットカードの詳細まで、あらゆるものを提供するベンダーが爆発的に増えました。 ここでスピードを上げることができます。クリエーターとサイト管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド・パイレーツ・ロバーツを使いました。彼はみんなだった、彼は誰でもなかった。すべてのユーザーは違法な品物を完全に匿名で取引していました(そしてその過程で、ビットコインは麻薬の売人に選ばれる通貨としての評判を得ました。このあだ名は、揺らぎ始めたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制運動は、それ自体が猛威を振るった。間もなく、殺し屋が自分たちのサービスを宣伝するようになりました。悪い人たちが悪いことをしていた... そして彼は新たに見つけた計り知れない富に酔いしれていた。彼は宣伝された殺し屋のサービスを利用して、元従業員を処分しようとさえしました。手短に言えば、これは彼の破滅をもたらした多くの根っからの決定の1つでした。彼はロス・ウルブリヒトという名の仮面を明かされ、現在は米国の独房で死刑を宣告され、二重の終身刑と仮釈放の可能性のない40年の刑に服している。
しかし、すべてが完全に非公開で匿名だったら、どうやって彼は捕まったのでしょうか?
まあ、率直に言って: 彼はかなりくだらないコーダーだった。シルクロードの敷地自体は、海に閉じ込められた水漏れしやすい古いはしけのようでした。そこが違法行為 (およびその活動の背後にあるすべてのデータ) の中心地であったことを考えると、まったく安全ではありませんでした。日和見主義的なハッカーに悪用されるのを待っているだけの、ただ座っているアヒルだったのです。公平に言うと、あなたが巨大で違法な麻薬密売ビジネスの首謀者であれば、あなたの事業に関わりたいと思ってくれる有能な従業員を見つけるのはおそらく容易ではないでしょう。彼は自分のスキルギャップについても秘密にしませんでした- 彼は本名で投稿さえしました オン スタック・オーバーフロー (そう、それは彼のユーザーアカウントです)、PHPのCurlを使ってTorに接続するようにサイトコードを正しく設定するための助けを求めています。彼は投稿してから1分も経たないうちに本名を「frosty」というハンドルに変更したが、これは明らかに役に立たなかった... 実際、おそらくさらなる被害をもたらした。シルクロードサーバーの暗号化鍵は「frosty @frosty」という部分文字列で終わっていたため、FBIが彼の香りに気づくとさらに彼を巻き込んだ。
暗号化されたメッセージ、通貨、輸送中および配送中の密輸品自体の保護に関する明示的な指示など、プライバシーへの大きな要求にもかかわらず、このサイトは、ウルブリヒトが思い描いていたようなリバータリアンの幻想の侵入不可能な要塞ではありませんでした。そのスキルを持った人々(読む:FBIに雇われたプログラマー)は、ゆっくりと、しかし確実にそれを解明して、サイトで取引を行った何千人もの人々の身元を含め、すべてを明らかにしました。何年も前にエッチなグッズを購入した人たちが、いまだに法律の長腕からドアをノックされる可能性はあります。
FBIがリリースしました ドキュメンテーション 彼らがどのようにしてシルクロードに侵入できたのかを概説します。一般的な説明は、IPアドレス漏洩を利用したというものです。Silk Roadのログインページの設定を誤ると、IPアドレス、ひいてはサーバーの物理的な場所が明らかになり、不正なハッキングは必要ありませんでした。確かにルーキーエラーで、最終的にFBIはロス・ウルブリヒトに真っ直ぐにたどり着きました。
この欠陥が存在していたとしても、サイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりずっと前に発見されていたのではないかという憶測があります。オーストラリアのセキュリティコンサルタント、Nik Cubrilovicは、この問題は単に存在しなかったと主張しています。 WIREDとのインタビューで:
「Torサイトに接続して、Torノードではないサーバーのアドレスを確認する方法はありません。彼らが陪審員や裁判官にそれが起こったと信じ込ませようとしているやり方は、技術的には意味がありません。」
その後、Cubrilovicは、その情報が違法なハッキング行為によって入手された可能性があることをほのめかしています。その手法は SQL インジェクションのようで、裏付けのないうわさとして議論されてきた それ以来、多くのサイトでもっともらしい抽出方法。
FBIの戦術を取り巻く合法性については、まったく別の議論です。サイトが「プライベート」であるという一般的なユーザーの理解にもかかわらず、情報がまったく入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーとセキュリティを混同すると、脆弱性にさらされる可能性が確実に高まります。
また、ロス・ウルブリヒトがプライバシーとセキュリティを区別し、巨大なヒートランプになる前にプライバシーとセキュリティの確保に積極的に取り組み、地球上で平均をわずかに上回る技術知識を持つすべての嫌な詐欺師を引き付けていれば、サイトはまだ(元の形で、何回か復活し、現在運営されているような大規模なサイトもあります)可能性もあります。代わりに、誰かがドアを開ける方法を見つけた瞬間、プライベートクラブとそのすべての秘密が明らかになりました。
君は麻薬密売組織じゃないのになんで気にしなきゃいけないんだ?
Silk Roadが失われ、創設者が投獄されたことは、悲しくて共感のこもった話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いについての興味深い事例研究です。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にすることを要求する合法的な業務は数多くありますが、強固なソフトウェア開発によってそれらの情報が保護されていない場合、その情報は攻撃者によって厳選される可能性があります(皮肉なことに、シルクロードのようなサイトに行き着きます)。プライバシーはセキュリティなしには存在しません。
あなたのような善良な人たちは、SQLインジェクション攻撃やその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります OWASP トップ10したがって、これらに効果的に備え、軽減することが重要です。開発者がプロセスの最初から安全にコーディングするようにトレーニングされていれば、これらの欠陥は明るみに出ることはありません。組織はセキュリティの考え方を重視し、開発チームが安全にコーディングできるよう支援することが不可欠です。その方法を、楽しく、測定可能で、ゲーム化できる方法でお見せできます。準備はできていますか?
Índice
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
