好奇心旺盛なセキュリティマインドを罰するのではなく、支援する必要がある理由
10代のセキュリティ研究者ビル・デミルカピの最近の報告は、学校で使っていたソフトに重大な脆弱性が存在することを明らかにした。確かに懐かしい記憶がよみがえったよ。好奇心旺盛だった子供の頃、ソフトウェアのボンネットを持ち上げてその下を覗き込み、全てがどう機能しているか、そしてもっと重要なのは、それを壊せるかどうかを見ていたのを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少々生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)。個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。フォレットコーポレーションに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱であり、大量の学生データは暗号化されていなかったため、非常に簡単に公開されてしまいました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました。デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自身の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼の助言に基づいて行動した結果、最終的にソフトウェアの安全性を高め、データ漏洩の新たな統計となる危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるため、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。このケースでは全てが順調に収束したが、当初彼は厄介な台本小僧のように扱われ、本来は関わるべきでない場所に首を突っ込んでいた。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼を様々な意味で悪役として位置付けています)。実際、彼のアプローチ(及び他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7月現在、40億件を超えるレコードが今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。ポッシュマーク。
私たちは同じ過ちを繰り返していますが、さらに懸念されるのは、多くの場合、眉をひそめるような単純な脆弱性であり、それでもなおつまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
報告通り、有線、Blackboardsコミュニティエンゲージメントソフトウェア、およびFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションといった一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌の餌食となってきました。私たちはその存在を何年も耐え忍んできたのです。本当にハイパーカラーTシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策を、より有効に活用できます。
ビル・デミルカピのような人々は、開発者により高水準のコードを作成するよう奮起させるべきです。彼はわずか17歳で、コードがコミットされる前に検知・修正すべき脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
開発者がセキュリティにほとんど関与していない理由について、私はこれまで多く書いてきました。端的に言えば、セキュリティ意識の高い開発者を育成するための取り組みが、組織レベルでも教育レベルでも十分に行われていないからです。企業が時間をかけてエンゲージメントを報い評価するセキュリティ文化を構築し、開発者の言葉に耳を傾け、挑戦し続ける動機付けとなるトレーニングを実施すれば、こうした厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めるでしょう。
デミールカピは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると副官(そしてDEF CONのスライドを通して)彼は独学について興味深い発言をしました... 彼はそれをゲーム化したのです:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができ、楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言う。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティ・コンカー・シリーズ」をチェックしてください。 XSS そして SQLインジェクション。
10代のセキュリティ研究者ビル・デミルカピが、学校で使用されているソフトウェアの重大な脆弱性を暴露したことで、確かにいくつかの思い出がよみがえりました。好奇心旺盛だった子供の頃、ソフトウェアのボンネットを持ち上げて内部を覗き込み、すべてがどのように機能するのか、そしてそれを壊すことができるかどうかを確認したことを覚えています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
10代のセキュリティ研究者ビル・デミルカピの最近の報告は、学校で使っていたソフトに重大な脆弱性が存在することを明らかにした。確かに懐かしい記憶がよみがえったよ。好奇心旺盛だった子供の頃、ソフトウェアのボンネットを持ち上げてその下を覗き込み、全てがどう機能しているか、そしてもっと重要なのは、それを壊せるかどうかを見ていたのを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少々生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)。個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。フォレットコーポレーションに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱であり、大量の学生データは暗号化されていなかったため、非常に簡単に公開されてしまいました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました。デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自身の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼の助言に基づいて行動した結果、最終的にソフトウェアの安全性を高め、データ漏洩の新たな統計となる危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるため、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。このケースでは全てが順調に収束したが、当初彼は厄介な台本小僧のように扱われ、本来は関わるべきでない場所に首を突っ込んでいた。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼を様々な意味で悪役として位置付けています)。実際、彼のアプローチ(及び他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7月現在、40億件を超えるレコードが今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。ポッシュマーク。
私たちは同じ過ちを繰り返していますが、さらに懸念されるのは、多くの場合、眉をひそめるような単純な脆弱性であり、それでもなおつまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
報告通り、有線、Blackboardsコミュニティエンゲージメントソフトウェア、およびFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションといった一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌の餌食となってきました。私たちはその存在を何年も耐え忍んできたのです。本当にハイパーカラーTシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策を、より有効に活用できます。
ビル・デミルカピのような人々は、開発者により高水準のコードを作成するよう奮起させるべきです。彼はわずか17歳で、コードがコミットされる前に検知・修正すべき脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
開発者がセキュリティにほとんど関与していない理由について、私はこれまで多く書いてきました。端的に言えば、セキュリティ意識の高い開発者を育成するための取り組みが、組織レベルでも教育レベルでも十分に行われていないからです。企業が時間をかけてエンゲージメントを報い評価するセキュリティ文化を構築し、開発者の言葉に耳を傾け、挑戦し続ける動機付けとなるトレーニングを実施すれば、こうした厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めるでしょう。
デミールカピは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると副官(そしてDEF CONのスライドを通して)彼は独学について興味深い発言をしました... 彼はそれをゲーム化したのです:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができ、楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言う。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティ・コンカー・シリーズ」をチェックしてください。 XSS そして SQLインジェクション。
10代のセキュリティ研究者ビル・デミルカピの最近の報告は、学校で使っていたソフトに重大な脆弱性が存在することを明らかにした。確かに懐かしい記憶がよみがえったよ。好奇心旺盛だった子供の頃、ソフトウェアのボンネットを持ち上げてその下を覗き込み、全てがどう機能しているか、そしてもっと重要なのは、それを壊せるかどうかを見ていたのを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少々生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)。個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。フォレットコーポレーションに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱であり、大量の学生データは暗号化されていなかったため、非常に簡単に公開されてしまいました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました。デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自身の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼の助言に基づいて行動した結果、最終的にソフトウェアの安全性を高め、データ漏洩の新たな統計となる危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるため、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。このケースでは全てが順調に収束したが、当初彼は厄介な台本小僧のように扱われ、本来は関わるべきでない場所に首を突っ込んでいた。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼を様々な意味で悪役として位置付けています)。実際、彼のアプローチ(及び他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7月現在、40億件を超えるレコードが今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。ポッシュマーク。
私たちは同じ過ちを繰り返していますが、さらに懸念されるのは、多くの場合、眉をひそめるような単純な脆弱性であり、それでもなおつまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
報告通り、有線、Blackboardsコミュニティエンゲージメントソフトウェア、およびFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションといった一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌の餌食となってきました。私たちはその存在を何年も耐え忍んできたのです。本当にハイパーカラーTシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策を、より有効に活用できます。
ビル・デミルカピのような人々は、開発者により高水準のコードを作成するよう奮起させるべきです。彼はわずか17歳で、コードがコミットされる前に検知・修正すべき脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
開発者がセキュリティにほとんど関与していない理由について、私はこれまで多く書いてきました。端的に言えば、セキュリティ意識の高い開発者を育成するための取り組みが、組織レベルでも教育レベルでも十分に行われていないからです。企業が時間をかけてエンゲージメントを報い評価するセキュリティ文化を構築し、開発者の言葉に耳を傾け、挑戦し続ける動機付けとなるトレーニングを実施すれば、こうした厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めるでしょう。
デミールカピは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると副官(そしてDEF CONのスライドを通して)彼は独学について興味深い発言をしました... 彼はそれをゲーム化したのです:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができ、楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言う。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティ・コンカー・シリーズ」をチェックしてください。 XSS そして SQLインジェクション。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
10代のセキュリティ研究者ビル・デミルカピの最近の報告は、学校で使っていたソフトに重大な脆弱性が存在することを明らかにした。確かに懐かしい記憶がよみがえったよ。好奇心旺盛だった子供の頃、ソフトウェアのボンネットを持ち上げてその下を覗き込み、全てがどう機能しているか、そしてもっと重要なのは、それを壊せるかどうかを見ていたのを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少々生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)。個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。フォレットコーポレーションに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱であり、大量の学生データは暗号化されていなかったため、非常に簡単に公開されてしまいました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました。デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自身の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼の助言に基づいて行動した結果、最終的にソフトウェアの安全性を高め、データ漏洩の新たな統計となる危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるため、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。このケースでは全てが順調に収束したが、当初彼は厄介な台本小僧のように扱われ、本来は関わるべきでない場所に首を突っ込んでいた。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼を様々な意味で悪役として位置付けています)。実際、彼のアプローチ(及び他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7月現在、40億件を超えるレコードが今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。ポッシュマーク。
私たちは同じ過ちを繰り返していますが、さらに懸念されるのは、多くの場合、眉をひそめるような単純な脆弱性であり、それでもなおつまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
報告通り、有線、Blackboardsコミュニティエンゲージメントソフトウェア、およびFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションといった一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌の餌食となってきました。私たちはその存在を何年も耐え忍んできたのです。本当にハイパーカラーTシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策を、より有効に活用できます。
ビル・デミルカピのような人々は、開発者により高水準のコードを作成するよう奮起させるべきです。彼はわずか17歳で、コードがコミットされる前に検知・修正すべき脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
開発者がセキュリティにほとんど関与していない理由について、私はこれまで多く書いてきました。端的に言えば、セキュリティ意識の高い開発者を育成するための取り組みが、組織レベルでも教育レベルでも十分に行われていないからです。企業が時間をかけてエンゲージメントを報い評価するセキュリティ文化を構築し、開発者の言葉に耳を傾け、挑戦し続ける動機付けとなるトレーニングを実施すれば、こうした厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めるでしょう。
デミールカピは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると副官(そしてDEF CONのスライドを通して)彼は独学について興味深い発言をしました... 彼はそれをゲーム化したのです:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができ、楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言う。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティ・コンカー・シリーズ」をチェックしてください。 XSS そして SQLインジェクション。
%20(1).avif)
.avif)
