Datenschutz mit Sicherheit verwechseln: Der fatale Fehler
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
Wenn Online-Datenschutz ohne Sicherheit zu existieren versucht, herrscht Chaos. Fragen Sie einfach Ross Ulbricht.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
目次
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
