プライバシーとセキュリティの混同。致命的な間違い
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
Silk Roadに詳しくない方のために簡単に説明すると、ある男がディープウェブ上に取引サイトを構築し、一般の人々の詮索好きな目から隠され、特別なソフトウェア(正確にはTorブラウザ)を使用しなければ見ることができないようにしました。このサイトでは、当初は彼が栽培したマジックマッシュルームだけが販売されていましたが、事実上、一夜にして、ハードコア・ドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者が現れ、爆発的に増加しました。このサイトの概要はこちらをご覧ください。この作者とサイト管理者は、プリンセス・ブライダルにヒントを得た「ドレッド・パイレーツ・ロバーツ」というペンネームで活動していました。彼は誰でもあり、誰でもなかったのです。すべてのユーザーは、真の意味での違法商品を取引し、それを完全に匿名で行っていました(そしてその過程で、ビットコインは麻薬の売人が選ぶ通貨であるという評判を得ましたが、その評判はまだ消えたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージングや通貨、輸送や配送時の密輸品自体の安全性を確保するための明確な指示など、プライバシーを重視した大々的な取り組みにもかかわらず、このサイトは、ウルブリヒトが思い描いていたような、リバタリアンの幻想が詰まった難攻不落の要塞ではありませんでした。スキルを持った人たち(FBIに雇われたプログラマー)が、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにしました。何年も前にエッチな商品を購入した人たちは、ドイツのこの人のように、いつかは法の番人からドアをノックされることになるかもしれません。ヤバい。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10のその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があるため、これらに備えて効率的に緩和することが不可欠です。開発者がプロセスの最初の段階から安全なコーディングをするように訓練されていれば、これらの欠陥が日の目を見ることはないでしょう。組織がセキュリティの考え方に重点を置き、開発チームが安全にコーディングできるようにすることが不可欠です。私たちは、楽しく、測定可能で、ゲーム性のある方法でそれを行う方法をお教えします。準備はできていますか?
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
プライバシーとセキュリティの混同。致命的な間違い
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
Silk Roadに詳しくない方のために簡単に説明すると、ある男がディープウェブ上に取引サイトを構築し、一般の人々の詮索好きな目から隠され、特別なソフトウェア(正確にはTorブラウザ)を使用しなければ見ることができないようにしました。このサイトでは、当初は彼が栽培したマジックマッシュルームだけが販売されていましたが、事実上、一夜にして、ハードコア・ドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者が現れ、爆発的に増加しました。このサイトの概要はこちらをご覧ください。この作者とサイト管理者は、プリンセス・ブライダルにヒントを得た「ドレッド・パイレーツ・ロバーツ」というペンネームで活動していました。彼は誰でもあり、誰でもなかったのです。すべてのユーザーは、真の意味での違法商品を取引し、それを完全に匿名で行っていました(そしてその過程で、ビットコインは麻薬の売人が選ぶ通貨であるという評判を得ましたが、その評判はまだ消えたばかりです)。
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージングや通貨、輸送や配送時の密輸品自体の安全性を確保するための明確な指示など、プライバシーを重視した大々的な取り組みにもかかわらず、このサイトは、ウルブリヒトが思い描いていたような、リバタリアンの幻想が詰まった難攻不落の要塞ではありませんでした。スキルを持った人たち(FBIに雇われたプログラマー)が、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにしました。何年も前にエッチな商品を購入した人たちは、ドイツのこの人のように、いつかは法の番人からドアをノックされることになるかもしれません。ヤバい。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10のその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があるため、これらに備えて効率的に緩和することが不可欠です。開発者がプロセスの最初の段階から安全なコーディングをするように訓練されていれば、これらの欠陥が日の目を見ることはないでしょう。組織がセキュリティの考え方に重点を置き、開発チームが安全にコーディングできるようにすることが不可欠です。私たちは、楽しく、測定可能で、ゲーム性のある方法でそれを行う方法をお教えします。準備はできていますか?
