好奇心旺盛なセキュリティ担当者を罰するのではなく支援すべき理由
青少年セキュリティ研究者ビル・デミルカピの最近の報告書は、彼の学校で使用されていたソフトウェアにおける主要な脆弱性の暴露について、確かに懐かしい記憶を呼び起こしました。好奇心旺盛な子供だった頃、ソフトウェアのフードを上げてその下を覗き込み、どのように動作しているのかを調べた記憶があります。 そして何より、それを壊せるかどうかが重要でした。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し、セキュリティコミュニティは(時に少々生意気なアプローチを取ることもありますが)欠陥や潜在的な災害を発見する上で重要な役割を果たしてきました。悪意のある者がそうする前に、です。
しかしここで問題なのは、彼が発見したものに対する反応として、彼が軽い停学処分を受けたことです。そしてそれは、彼が会社(フォレット・コーポレーション)に連絡できるあらゆる手段を使い果たした後にようやく起こりました。彼はついに、自分自身と自身のシステム侵害能力を認識させるために、やや公的な爆発を選択したのです。フォレット・コーポレーションに倫理的に警告しようとする彼の繰り返しの試みは、何の返答も得られませんでした。 ソフトウェアは脆弱な状態のままであり、山積みになった学生データは暗号化されていなかったため、容易に晒される危険に晒されていた。
彼は他社製ソフトウェアであるBlackboardでもバグを発見しました。Blackboardのデータには最低限の暗号化機能は備わっていましたが、潜在的な攻撃者は数百万件のレコードにアクセスし、さらに多くのレコードを盗み出すことが可能でした。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていました。
「邪悪なハッカー」という言い方には問題があります。
デミルカピは今年の学会で自身の研究成果を発表しました。デフ・アイコン、彼のいたずらに対するさらにいたずらっぽい詳細は観客の拍手喝采を浴びています。そうです。 実際、フォレット社は当初、質の低い書籍に埋もれていた事実を認めさせるために多くの障害に直面しましたが、彼の努力に感謝し、彼の助言に従って行動したことで、最終的にソフトウェアのセキュリティを強化し、さらなるデータ漏洩の統計となる可能性のある危機を回避したと言われています。また、彼は高校卒業後、ロチェスター工科大学に進学する予定ですので、需要の高いセキュリティ専門家になるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。今回はすべてが順調に終わったが、当初は彼が自分の管轄外に首を突っ込む厄介な脚本小僧扱いされていた。Googleでこの事件を検索すると、彼を「ハッカー」(セキュリティの素人から見れば多くの点で悪者として扱われています)と呼ぶ記事があります。実際、彼のアプローチ(そして他の多くの人々のアプローチ)はデータを安全に保護するのに役立ちます。
好奇心旺盛で賢く、セキュリティに焦点を当てた人々が必要です。 そして、こうしたことがもっと頻繁に起こるべきです。7月現在、40億件以上のレコードが今年だけで悪意のあるデータ侵害に晒されました。8月に発生したファッション・ライフスタイルブランド「Poshmark」のセキュリティ侵害のおかげで、この数字にさらに5000万件が加わることになりました。
私たちも同じ過ちを犯しています。さらに懸念されるのは、こうした脆弱性がしばしば手のひらを刺激する単純な脆弱性でありながら、私たちを何度も転ばせ続けていることです。
クロスサイトスクリプティングとSQLインジェクションは消えていません。
によって報告されているように、有線、Demirkapi は、Blackboard のコミュニティ参加ソフトウェアおよび Follets の学生情報システムに、クロスサイトスクリプティング (XSS) および SQL インジェクションなどの一般的なセキュリティバグが含まれていることを確認しました。この 2 つのバグは、1990 年代以降、セキュリティ専門家の間で問題視されてきました。私たちは、その存在感を確固たるものにしてきました。本当に昔、ハイパーカラーの T シャツやフロッピーディスクのように、今では遠い記憶として残っているでしょう。
しかし、そうではありません。そして、コードにこうした機能を導入することを阻止できる十分なセキュリティ意識を持った開発者が十分にいないことも明らかです。スキャンツールや手動コードレビューで対応できる範囲は限られており、セキュリティ問題もXSSやSQLインジェクションよりもはるかに複雑です。こうしたコストと時間を要する手法をより効果的に活用できるからです。
ビル・デミールカピ(Bill Demirkapi)のような人々は、開発者により高いレベルのコードを作成するようインスピレーションを与えるべきでしょう。彼はわずか 17 歳で、コードをコミットする前にスニッフィングと修正を行うべきだった脅威ベクトルを通じて、トラフィックの多い 2 つのシステムを侵害しました。
ゲーミフィケーション:参加の核心は何でしょうか?
開発者が依然としてセキュリティに深く関与しない理由について簡単に説明すると、セキュリティに精通した開発者を育成するために組織的または教育的な次元で十分な努力が払われていないからです。企業が時間を割いて開発者の言語を話し、開発者が継続的に取り組むよう動機付けする教育を実施するなど、参加に対する報酬を提供し、それを認めるセキュリティ文化を構築すれば、私たちが使用するソフトウェアからこうした厄介な脆弱性の遺物が消え始めるでしょう。
デミールカピは明らかにセキュリティに並々ならぬ関心を持っており、マルウェアのリバースエンジニアリング、欠陥の発見、外部からは故障のように見えないものを破壊する方法を学ぶことに時間を費やしてきました。しかし、会話の中で(そして DEF CON のスライドを通じて)、彼は自身の独学について興味深い発言をしました... 彼はそれをゲーム化したのです。
「学校のソフトウェアで何かを見つけることが目標だったので、かなりの量の侵入テストを独学できる、楽しくゲーム化された方法でした。詳しく調べようという意図で研究を始めたのですが、結局、状況が予想以上にずっと悪いことを知りました」と彼は語った。
すべての開発者がセキュリティを専門にしたいわけではないが、すべての開発者にセキュリティを理解する機会が与えられるべきである。特に大量の機密データを扱う開発者にとって、セキュリティの基礎知識は組織内でほぼ「コード作成ライセンス」の役割を果たす。すべての開発者が最も単純なセキュリティ上の脆弱性を書く前に修正できれば、混乱を引き起こそうとする開発者からより安全な立場に立てるだろう。
ゲーム化された教育に興味がありますか?コーダーズ・コンカー・セキュリティシリーズを以下でご確認ください XSS と SQLインジェクション.
10代のセキュリティ研究者であるビル・デミールカピは、学校で使用されているソフトウェアの主要な脆弱性を暴露し、記憶を蘇らせました。好奇心旺盛だった子供時代、ソフトウェアのフードを持ち上げてその下を覗き込み、それがどのように動作しているのかを調べたことを覚えています... そして、それを壊せるかどうか、ということです。
最高経営責任者(CEO)、会長、および共同設立者
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
青少年セキュリティ研究者ビル・デミルカピの最近の報告書は、彼の学校で使用されていたソフトウェアにおける主要な脆弱性の暴露について、確かに懐かしい記憶を呼び起こしました。好奇心旺盛な子供だった頃、ソフトウェアのフードを上げてその下を覗き込み、どのように動作しているのかを調べた記憶があります。 そして何より、それを壊せるかどうかが重要でした。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し、セキュリティコミュニティは(時に少々生意気なアプローチを取ることもありますが)欠陥や潜在的な災害を発見する上で重要な役割を果たしてきました。悪意のある者がそうする前に、です。
しかしここで問題なのは、彼が発見したものに対する反応として、彼が軽い停学処分を受けたことです。そしてそれは、彼が会社(フォレット・コーポレーション)に連絡できるあらゆる手段を使い果たした後にようやく起こりました。彼はついに、自分自身と自身のシステム侵害能力を認識させるために、やや公的な爆発を選択したのです。フォレット・コーポレーションに倫理的に警告しようとする彼の繰り返しの試みは、何の返答も得られませんでした。 ソフトウェアは脆弱な状態のままであり、山積みになった学生データは暗号化されていなかったため、容易に晒される危険に晒されていた。
彼は他社製ソフトウェアであるBlackboardでもバグを発見しました。Blackboardのデータには最低限の暗号化機能は備わっていましたが、潜在的な攻撃者は数百万件のレコードにアクセスし、さらに多くのレコードを盗み出すことが可能でした。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていました。
「邪悪なハッカー」という言い方には問題があります。
デミルカピは今年の学会で自身の研究成果を発表しました。デフ・アイコン、彼のいたずらに対するさらにいたずらっぽい詳細は観客の拍手喝采を浴びています。そうです。 実際、フォレット社は当初、質の低い書籍に埋もれていた事実を認めさせるために多くの障害に直面しましたが、彼の努力に感謝し、彼の助言に従って行動したことで、最終的にソフトウェアのセキュリティを強化し、さらなるデータ漏洩の統計となる可能性のある危機を回避したと言われています。また、彼は高校卒業後、ロチェスター工科大学に進学する予定ですので、需要の高いセキュリティ専門家になるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。今回はすべてが順調に終わったが、当初は彼が自分の管轄外に首を突っ込む厄介な脚本小僧扱いされていた。Googleでこの事件を検索すると、彼を「ハッカー」(セキュリティの素人から見れば多くの点で悪者として扱われています)と呼ぶ記事があります。実際、彼のアプローチ(そして他の多くの人々のアプローチ)はデータを安全に保護するのに役立ちます。
好奇心旺盛で賢く、セキュリティに焦点を当てた人々が必要です。 そして、こうしたことがもっと頻繁に起こるべきです。7月現在、40億件以上のレコードが今年だけで悪意のあるデータ侵害に晒されました。8月に発生したファッション・ライフスタイルブランド「Poshmark」のセキュリティ侵害のおかげで、この数字にさらに5000万件が加わることになりました。
私たちも同じ過ちを犯しています。さらに懸念されるのは、こうした脆弱性がしばしば手のひらを刺激する単純な脆弱性でありながら、私たちを何度も転ばせ続けていることです。
クロスサイトスクリプティングとSQLインジェクションは消えていません。
によって報告されているように、有線、Demirkapi は、Blackboard のコミュニティ参加ソフトウェアおよび Follets の学生情報システムに、クロスサイトスクリプティング (XSS) および SQL インジェクションなどの一般的なセキュリティバグが含まれていることを確認しました。この 2 つのバグは、1990 年代以降、セキュリティ専門家の間で問題視されてきました。私たちは、その存在感を確固たるものにしてきました。本当に昔、ハイパーカラーの T シャツやフロッピーディスクのように、今では遠い記憶として残っているでしょう。
しかし、そうではありません。そして、コードにこうした機能を導入することを阻止できる十分なセキュリティ意識を持った開発者が十分にいないことも明らかです。スキャンツールや手動コードレビューで対応できる範囲は限られており、セキュリティ問題もXSSやSQLインジェクションよりもはるかに複雑です。こうしたコストと時間を要する手法をより効果的に活用できるからです。
ビル・デミールカピ(Bill Demirkapi)のような人々は、開発者により高いレベルのコードを作成するようインスピレーションを与えるべきでしょう。彼はわずか 17 歳で、コードをコミットする前にスニッフィングと修正を行うべきだった脅威ベクトルを通じて、トラフィックの多い 2 つのシステムを侵害しました。
ゲーミフィケーション:参加の核心は何でしょうか?
開発者が依然としてセキュリティに深く関与しない理由について簡単に説明すると、セキュリティに精通した開発者を育成するために組織的または教育的な次元で十分な努力が払われていないからです。企業が時間を割いて開発者の言語を話し、開発者が継続的に取り組むよう動機付けする教育を実施するなど、参加に対する報酬を提供し、それを認めるセキュリティ文化を構築すれば、私たちが使用するソフトウェアからこうした厄介な脆弱性の遺物が消え始めるでしょう。
デミールカピは明らかにセキュリティに並々ならぬ関心を持っており、マルウェアのリバースエンジニアリング、欠陥の発見、外部からは故障のように見えないものを破壊する方法を学ぶことに時間を費やしてきました。しかし、会話の中で(そして DEF CON のスライドを通じて)、彼は自身の独学について興味深い発言をしました... 彼はそれをゲーム化したのです。
「学校のソフトウェアで何かを見つけることが目標だったので、かなりの量の侵入テストを独学できる、楽しくゲーム化された方法でした。詳しく調べようという意図で研究を始めたのですが、結局、状況が予想以上にずっと悪いことを知りました」と彼は語った。
すべての開発者がセキュリティを専門にしたいわけではないが、すべての開発者にセキュリティを理解する機会が与えられるべきである。特に大量の機密データを扱う開発者にとって、セキュリティの基礎知識は組織内でほぼ「コード作成ライセンス」の役割を果たす。すべての開発者が最も単純なセキュリティ上の脆弱性を書く前に修正できれば、混乱を引き起こそうとする開発者からより安全な立場に立てるだろう。
ゲーム化された教育に興味がありますか?コーダーズ・コンカー・セキュリティシリーズを以下でご確認ください XSS と SQLインジェクション.
青少年セキュリティ研究者ビル・デミルカピの最近の報告書は、彼の学校で使用されていたソフトウェアにおける主要な脆弱性の暴露について、確かに懐かしい記憶を呼び起こしました。好奇心旺盛な子供だった頃、ソフトウェアのフードを上げてその下を覗き込み、どのように動作しているのかを調べた記憶があります。 そして何より、それを壊せるかどうかが重要でした。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し、セキュリティコミュニティは(時に少々生意気なアプローチを取ることもありますが)欠陥や潜在的な災害を発見する上で重要な役割を果たしてきました。悪意のある者がそうする前に、です。
しかしここで問題なのは、彼が発見したものに対する反応として、彼が軽い停学処分を受けたことです。そしてそれは、彼が会社(フォレット・コーポレーション)に連絡できるあらゆる手段を使い果たした後にようやく起こりました。彼はついに、自分自身と自身のシステム侵害能力を認識させるために、やや公的な爆発を選択したのです。フォレット・コーポレーションに倫理的に警告しようとする彼の繰り返しの試みは、何の返答も得られませんでした。 ソフトウェアは脆弱な状態のままであり、山積みになった学生データは暗号化されていなかったため、容易に晒される危険に晒されていた。
彼は他社製ソフトウェアであるBlackboardでもバグを発見しました。Blackboardのデータには最低限の暗号化機能は備わっていましたが、潜在的な攻撃者は数百万件のレコードにアクセスし、さらに多くのレコードを盗み出すことが可能でした。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていました。
「邪悪なハッカー」という言い方には問題があります。
デミルカピは今年の学会で自身の研究成果を発表しました。デフ・アイコン、彼のいたずらに対するさらにいたずらっぽい詳細は観客の拍手喝采を浴びています。そうです。 実際、フォレット社は当初、質の低い書籍に埋もれていた事実を認めさせるために多くの障害に直面しましたが、彼の努力に感謝し、彼の助言に従って行動したことで、最終的にソフトウェアのセキュリティを強化し、さらなるデータ漏洩の統計となる可能性のある危機を回避したと言われています。また、彼は高校卒業後、ロチェスター工科大学に進学する予定ですので、需要の高いセキュリティ専門家になるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。今回はすべてが順調に終わったが、当初は彼が自分の管轄外に首を突っ込む厄介な脚本小僧扱いされていた。Googleでこの事件を検索すると、彼を「ハッカー」(セキュリティの素人から見れば多くの点で悪者として扱われています)と呼ぶ記事があります。実際、彼のアプローチ(そして他の多くの人々のアプローチ)はデータを安全に保護するのに役立ちます。
好奇心旺盛で賢く、セキュリティに焦点を当てた人々が必要です。 そして、こうしたことがもっと頻繁に起こるべきです。7月現在、40億件以上のレコードが今年だけで悪意のあるデータ侵害に晒されました。8月に発生したファッション・ライフスタイルブランド「Poshmark」のセキュリティ侵害のおかげで、この数字にさらに5000万件が加わることになりました。
私たちも同じ過ちを犯しています。さらに懸念されるのは、こうした脆弱性がしばしば手のひらを刺激する単純な脆弱性でありながら、私たちを何度も転ばせ続けていることです。
クロスサイトスクリプティングとSQLインジェクションは消えていません。
によって報告されているように、有線、Demirkapi は、Blackboard のコミュニティ参加ソフトウェアおよび Follets の学生情報システムに、クロスサイトスクリプティング (XSS) および SQL インジェクションなどの一般的なセキュリティバグが含まれていることを確認しました。この 2 つのバグは、1990 年代以降、セキュリティ専門家の間で問題視されてきました。私たちは、その存在感を確固たるものにしてきました。本当に昔、ハイパーカラーの T シャツやフロッピーディスクのように、今では遠い記憶として残っているでしょう。
しかし、そうではありません。そして、コードにこうした機能を導入することを阻止できる十分なセキュリティ意識を持った開発者が十分にいないことも明らかです。スキャンツールや手動コードレビューで対応できる範囲は限られており、セキュリティ問題もXSSやSQLインジェクションよりもはるかに複雑です。こうしたコストと時間を要する手法をより効果的に活用できるからです。
ビル・デミールカピ(Bill Demirkapi)のような人々は、開発者により高いレベルのコードを作成するようインスピレーションを与えるべきでしょう。彼はわずか 17 歳で、コードをコミットする前にスニッフィングと修正を行うべきだった脅威ベクトルを通じて、トラフィックの多い 2 つのシステムを侵害しました。
ゲーミフィケーション:参加の核心は何でしょうか?
開発者が依然としてセキュリティに深く関与しない理由について簡単に説明すると、セキュリティに精通した開発者を育成するために組織的または教育的な次元で十分な努力が払われていないからです。企業が時間を割いて開発者の言語を話し、開発者が継続的に取り組むよう動機付けする教育を実施するなど、参加に対する報酬を提供し、それを認めるセキュリティ文化を構築すれば、私たちが使用するソフトウェアからこうした厄介な脆弱性の遺物が消え始めるでしょう。
デミールカピは明らかにセキュリティに並々ならぬ関心を持っており、マルウェアのリバースエンジニアリング、欠陥の発見、外部からは故障のように見えないものを破壊する方法を学ぶことに時間を費やしてきました。しかし、会話の中で(そして DEF CON のスライドを通じて)、彼は自身の独学について興味深い発言をしました... 彼はそれをゲーム化したのです。
「学校のソフトウェアで何かを見つけることが目標だったので、かなりの量の侵入テストを独学できる、楽しくゲーム化された方法でした。詳しく調べようという意図で研究を始めたのですが、結局、状況が予想以上にずっと悪いことを知りました」と彼は語った。
すべての開発者がセキュリティを専門にしたいわけではないが、すべての開発者にセキュリティを理解する機会が与えられるべきである。特に大量の機密データを扱う開発者にとって、セキュリティの基礎知識は組織内でほぼ「コード作成ライセンス」の役割を果たす。すべての開発者が最も単純なセキュリティ上の脆弱性を書く前に修正できれば、混乱を引き起こそうとする開発者からより安全な立場に立てるだろう。
ゲーム化された教育に興味がありますか?コーダーズ・コンカー・セキュリティシリーズを以下でご確認ください XSS と SQLインジェクション.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
青少年セキュリティ研究者ビル・デミルカピの最近の報告書は、彼の学校で使用されていたソフトウェアにおける主要な脆弱性の暴露について、確かに懐かしい記憶を呼び起こしました。好奇心旺盛な子供だった頃、ソフトウェアのフードを上げてその下を覗き込み、どのように動作しているのかを調べた記憶があります。 そして何より、それを壊せるかどうかが重要でした。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し、セキュリティコミュニティは(時に少々生意気なアプローチを取ることもありますが)欠陥や潜在的な災害を発見する上で重要な役割を果たしてきました。悪意のある者がそうする前に、です。
しかしここで問題なのは、彼が発見したものに対する反応として、彼が軽い停学処分を受けたことです。そしてそれは、彼が会社(フォレット・コーポレーション)に連絡できるあらゆる手段を使い果たした後にようやく起こりました。彼はついに、自分自身と自身のシステム侵害能力を認識させるために、やや公的な爆発を選択したのです。フォレット・コーポレーションに倫理的に警告しようとする彼の繰り返しの試みは、何の返答も得られませんでした。 ソフトウェアは脆弱な状態のままであり、山積みになった学生データは暗号化されていなかったため、容易に晒される危険に晒されていた。
彼は他社製ソフトウェアであるBlackboardでもバグを発見しました。Blackboardのデータには最低限の暗号化機能は備わっていましたが、潜在的な攻撃者は数百万件のレコードにアクセスし、さらに多くのレコードを盗み出すことが可能でした。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていました。
「邪悪なハッカー」という言い方には問題があります。
デミルカピは今年の学会で自身の研究成果を発表しました。デフ・アイコン、彼のいたずらに対するさらにいたずらっぽい詳細は観客の拍手喝采を浴びています。そうです。 実際、フォレット社は当初、質の低い書籍に埋もれていた事実を認めさせるために多くの障害に直面しましたが、彼の努力に感謝し、彼の助言に従って行動したことで、最終的にソフトウェアのセキュリティを強化し、さらなるデータ漏洩の統計となる可能性のある危機を回避したと言われています。また、彼は高校卒業後、ロチェスター工科大学に進学する予定ですので、需要の高いセキュリティ専門家になるための正しい道を歩んでいることは明らかです。
セキュリティ担当者として、この状況の処理方法に異議を唱えないのは難しい。今回はすべてが順調に終わったが、当初は彼が自分の管轄外に首を突っ込む厄介な脚本小僧扱いされていた。Googleでこの事件を検索すると、彼を「ハッカー」(セキュリティの素人から見れば多くの点で悪者として扱われています)と呼ぶ記事があります。実際、彼のアプローチ(そして他の多くの人々のアプローチ)はデータを安全に保護するのに役立ちます。
好奇心旺盛で賢く、セキュリティに焦点を当てた人々が必要です。 そして、こうしたことがもっと頻繁に起こるべきです。7月現在、40億件以上のレコードが今年だけで悪意のあるデータ侵害に晒されました。8月に発生したファッション・ライフスタイルブランド「Poshmark」のセキュリティ侵害のおかげで、この数字にさらに5000万件が加わることになりました。
私たちも同じ過ちを犯しています。さらに懸念されるのは、こうした脆弱性がしばしば手のひらを刺激する単純な脆弱性でありながら、私たちを何度も転ばせ続けていることです。
クロスサイトスクリプティングとSQLインジェクションは消えていません。
によって報告されているように、有線、Demirkapi は、Blackboard のコミュニティ参加ソフトウェアおよび Follets の学生情報システムに、クロスサイトスクリプティング (XSS) および SQL インジェクションなどの一般的なセキュリティバグが含まれていることを確認しました。この 2 つのバグは、1990 年代以降、セキュリティ専門家の間で問題視されてきました。私たちは、その存在感を確固たるものにしてきました。本当に昔、ハイパーカラーの T シャツやフロッピーディスクのように、今では遠い記憶として残っているでしょう。
しかし、そうではありません。そして、コードにこうした機能を導入することを阻止できる十分なセキュリティ意識を持った開発者が十分にいないことも明らかです。スキャンツールや手動コードレビューで対応できる範囲は限られており、セキュリティ問題もXSSやSQLインジェクションよりもはるかに複雑です。こうしたコストと時間を要する手法をより効果的に活用できるからです。
ビル・デミールカピ(Bill Demirkapi)のような人々は、開発者により高いレベルのコードを作成するようインスピレーションを与えるべきでしょう。彼はわずか 17 歳で、コードをコミットする前にスニッフィングと修正を行うべきだった脅威ベクトルを通じて、トラフィックの多い 2 つのシステムを侵害しました。
ゲーミフィケーション:参加の核心は何でしょうか?
開発者が依然としてセキュリティに深く関与しない理由について簡単に説明すると、セキュリティに精通した開発者を育成するために組織的または教育的な次元で十分な努力が払われていないからです。企業が時間を割いて開発者の言語を話し、開発者が継続的に取り組むよう動機付けする教育を実施するなど、参加に対する報酬を提供し、それを認めるセキュリティ文化を構築すれば、私たちが使用するソフトウェアからこうした厄介な脆弱性の遺物が消え始めるでしょう。
デミールカピは明らかにセキュリティに並々ならぬ関心を持っており、マルウェアのリバースエンジニアリング、欠陥の発見、外部からは故障のように見えないものを破壊する方法を学ぶことに時間を費やしてきました。しかし、会話の中で(そして DEF CON のスライドを通じて)、彼は自身の独学について興味深い発言をしました... 彼はそれをゲーム化したのです。
「学校のソフトウェアで何かを見つけることが目標だったので、かなりの量の侵入テストを独学できる、楽しくゲーム化された方法でした。詳しく調べようという意図で研究を始めたのですが、結局、状況が予想以上にずっと悪いことを知りました」と彼は語った。
すべての開発者がセキュリティを専門にしたいわけではないが、すべての開発者にセキュリティを理解する機会が与えられるべきである。特に大量の機密データを扱う開発者にとって、セキュリティの基礎知識は組織内でほぼ「コード作成ライセンス」の役割を果たす。すべての開発者が最も単純なセキュリティ上の脆弱性を書く前に修正できれば、混乱を引き起こそうとする開発者からより安全な立場に立てるだろう。
ゲーム化された教育に興味がありますか?コーダーズ・コンカー・セキュリティシリーズを以下でご確認ください XSS と SQLインジェクション.
%20(1).avif)
.avif)
