なぜ私たちは好奇心旺盛なセキュリティ担当者を罰するのではなく支援する必要があるのか
青少年安全研究者ビル・デミルカピの最新報告は、彼の学校で使用されているソフトウェアの主要な脆弱性を暴露し、確かに懐かしい記憶を呼び起こした。私は好奇心旺盛な子供だった頃、ソフトウェアの内部を覗き込み、それが実際にどのように動作しているのか、そして何よりも、それをハッキングできるかどうかを確認したことを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し続けてきた。一方、セキュリティコミュニティ(その手法が時に厚かましいこともあるが)は欠陥や潜在的な災害を発見する上で重要な役割を果たしている。ただし、悪意のある者たちがそうする前に、という希望を込めて。
しかし、問題なのは、彼の発見に対応するため、彼は一時的に停学処分を受けたことだ。それは彼が(フレイト社に)あらゆる連絡手段を尽くした後、最終的に自らの正体とシステム破壊能力を示すために、かなり公然とした批判を選択した結果だった。彼は道徳的な方法でフレイト社に警告しようと繰り返し試みたが、応答はなく、ソフトウェアは依然として脆弱なままだった。大量の学生データが非常に簡単に漏洩する危険にさらされていた。その大部分のデータは暗号化されていなかったからだ。
彼は別の企業のソフトウェア、Blackboardの欠陥も発見した。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者はさらに侵入し、数百万件の記録を盗み出すことができた可能性がある。彼の学校はこのソフトウェアとフレイトの製品を使用していた。
「邪悪なハッカー」という表現には問題がある。
デミルカピは今年のDEFCONカンファレンスで自身の発見を発表し、その滑稽なパフォーマンスの中でも特に悪戯っぽい詳細が聴衆の拍手を誘った。確かに、その通りだ——報道によれば、フォレット社は彼の取り組みに感謝し、彼の提案に基づいて行動を起こした。その結果、同社のソフトウェアはより安全になり、データ漏洩の統計に名を連ねる危機を回避した。当初は不利な立場にあったにもかかわらず、彼は高校卒業後、ロチェスター工科大学に進学する予定であり、まさに有望なセキュリティ専門家への道を歩んでいることが明らかだ。
セキュリティ担当者として、この状況の対応に疑問を抱かざるを得ない。結果的には問題なかったものの、当初彼は厄介なスクリプト少年として扱われ、余計なことに首を突っ込んだとみなされた。Googleのこの件に関する検索結果には彼を「ハッカー」と呼ぶ記事があり(セキュリティの素人目には、多くの点で彼を悪役として位置づける表現だ)、実際には彼の手法(そして他の多くの人々の手法)こそが私たちのデータ保護に貢献しているのだ。
好奇心旺盛で賢く、セキュリティに精通した人材が状況を深く掘り下げる必要があり、調査もより頻繁に行う必要がある。7月時点で、今年だけで40億件以上の記録が悪意のあるデータ漏洩に晒されている。8月にはファッション・ライフスタイルブランドの破産により、この数字にさらに5,000万件が加わる可能性がある——Poshmarkの件だ。
私たちは同じ過ちを犯している。さらに懸念されるのは、こうした過ちがしばしば単純な脆弱性を誘発し、私たちを絶えず窮地に陥れていることだ。
クロスサイトスクリプティングとSQLインジェクションは未だに存在している。
報道によると、Cable、Demirkapi は、Blackboards コミュニティ参加ソフトウェアおよび Folletts 学生情報システムに、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティの脆弱性があることを発見しました。これらの脆弱性は 1990 年代以来、セキュリティ専門家の間で話題となってきました。私たちは、これらの脆弱性の存在を、Hypercolor T シャツやフロッピーディスクのように、本当に長い間、耐えてきました。今では、それらは遠い記憶になっているはずです。
しかし、実際にはそうではない。明らかに、十分な数の開発者が、それらを自身のコードに導入するのを阻止できるほどのセキュリティ意識を示していない。スキャンツールや手動によるコードレビューには限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。そうしたケースでは、こうした高価で時間のかかる対策をより効果的に活用できる。
ビル・デミルカピのような人物は、開発者がより高い基準のコードを作成するよう奮起させるべきだ。わずか17歳の彼は、脅威ベクターを利用して2つの高トラフィックシステムに侵入した。これらの脅威ベクターは、コードがコミットされる前に検知され修正されるべきものだった。
ゲーミフィケーション:参加の鍵?
開発者が基本的にセキュリティ問題に関与しない理由について、私は多くのことを書いてきた。簡潔に言えば、組織レベルでも教育レベルでも、セキュリティ意識を持った開発者を育成するための取り組みが十分に行われていないからだ。企業が時間をかけて、参加を奨励し評価するセキュリティ文化を構築し、開発者の言語で語りかけ、継続的な挑戦を促すトレーニングを実施するとき、ようやく厄介な脆弱性の残骸が私たちの使うソフトウェアから消え始めるだろう。
デミールカピは明らかにセキュリティに課外的な興味を持ち、マルウェアのリバースエンジニアリング、脆弱性の発見、外部からは破壊されていないように見えるものの解読方法を学ぶことに時間を費やしています。しかし、彼との会話の中で(そして彼の DEF CON スライドを通じて)、彼は自身の独学について興味深い発言をしています... 彼はそれをゲーム化したのです。
「目標は、私の学校のソフトウェアの中に何かを見つけることでした。これは面白いゲーミフィケーションの手法で、大量のペネトレーションテストを独学できるものです。研究を始めた目的はより多くを知ることでしたが、結局、状況は私が予想していたよりもはるかに悪いことがわかりました」と彼は語った。
すべての開発者がセキュリティを専門とすることを望むわけではないが、各開発者がセキュリティ意識を高める機会を得るべきである。基礎知識は組織内における「コードライセンス」にほぼ等しく、特に大量の機密データを扱う開発者にとってはなおさらだ。各開発者が最も単純なセキュリティ脆弱性を書き込む前に修正できれば、深刻な損害を与えようとする者に対してより安全な立場に立てる。
ゲーミフィケーション型トレーニングに興味がありますか?当社の「プログラマーがセキュリティを制する」シリーズをこちらでご覧ください XSS と SQLインジェクションをご覧ください。
青少年安全研究員ビル・デミルカピが学校で使用されているソフトウェアの重大な脆弱性を暴露した。これは確かに懐かしい記憶を呼び起こす。好奇心旺盛な子供だった頃、ソフトウェアの蓋を開けて中を覗き込み、その仕組みを確かめようとしたことを思い出す…そして、それを解読できるかどうかを確かめようとしたのだ。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
青少年安全研究者ビル・デミルカピの最新報告は、彼の学校で使用されているソフトウェアの主要な脆弱性を暴露し、確かに懐かしい記憶を呼び起こした。私は好奇心旺盛な子供だった頃、ソフトウェアの内部を覗き込み、それが実際にどのように動作しているのか、そして何よりも、それをハッキングできるかどうかを確認したことを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し続けてきた。一方、セキュリティコミュニティ(その手法が時に厚かましいこともあるが)は欠陥や潜在的な災害を発見する上で重要な役割を果たしている。ただし、悪意のある者たちがそうする前に、という希望を込めて。
しかし、問題なのは、彼の発見に対応するため、彼は一時的に停学処分を受けたことだ。それは彼が(フレイト社に)あらゆる連絡手段を尽くした後、最終的に自らの正体とシステム破壊能力を示すために、かなり公然とした批判を選択した結果だった。彼は道徳的な方法でフレイト社に警告しようと繰り返し試みたが、応答はなく、ソフトウェアは依然として脆弱なままだった。大量の学生データが非常に簡単に漏洩する危険にさらされていた。その大部分のデータは暗号化されていなかったからだ。
彼は別の企業のソフトウェア、Blackboardの欠陥も発見した。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者はさらに侵入し、数百万件の記録を盗み出すことができた可能性がある。彼の学校はこのソフトウェアとフレイトの製品を使用していた。
「邪悪なハッカー」という表現には問題がある。
デミルカピは今年のDEFCONカンファレンスで自身の発見を発表し、その滑稽なパフォーマンスの中でも特に悪戯っぽい詳細が聴衆の拍手を誘った。確かに、その通りだ——報道によれば、フォレット社は彼の取り組みに感謝し、彼の提案に基づいて行動を起こした。その結果、同社のソフトウェアはより安全になり、データ漏洩の統計に名を連ねる危機を回避した。当初は不利な立場にあったにもかかわらず、彼は高校卒業後、ロチェスター工科大学に進学する予定であり、まさに有望なセキュリティ専門家への道を歩んでいることが明らかだ。
セキュリティ担当者として、この状況の対応に疑問を抱かざるを得ない。結果的には問題なかったものの、当初彼は厄介なスクリプト少年として扱われ、余計なことに首を突っ込んだとみなされた。Googleのこの件に関する検索結果には彼を「ハッカー」と呼ぶ記事があり(セキュリティの素人目には、多くの点で彼を悪役として位置づける表現だ)、実際には彼の手法(そして他の多くの人々の手法)こそが私たちのデータ保護に貢献しているのだ。
好奇心旺盛で賢く、セキュリティに精通した人材が状況を深く掘り下げる必要があり、調査もより頻繁に行う必要がある。7月時点で、今年だけで40億件以上の記録が悪意のあるデータ漏洩に晒されている。8月にはファッション・ライフスタイルブランドの破産により、この数字にさらに5,000万件が加わる可能性がある——Poshmarkの件だ。
私たちは同じ過ちを犯している。さらに懸念されるのは、こうした過ちがしばしば単純な脆弱性を誘発し、私たちを絶えず窮地に陥れていることだ。
クロスサイトスクリプティングとSQLインジェクションは未だに存在している。
報道によると、Cable、Demirkapi は、Blackboards コミュニティ参加ソフトウェアおよび Folletts 学生情報システムに、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティの脆弱性があることを発見しました。これらの脆弱性は 1990 年代以来、セキュリティ専門家の間で話題となってきました。私たちは、これらの脆弱性の存在を、Hypercolor T シャツやフロッピーディスクのように、本当に長い間、耐えてきました。今では、それらは遠い記憶になっているはずです。
しかし、実際にはそうではない。明らかに、十分な数の開発者が、それらを自身のコードに導入するのを阻止できるほどのセキュリティ意識を示していない。スキャンツールや手動によるコードレビューには限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。そうしたケースでは、こうした高価で時間のかかる対策をより効果的に活用できる。
ビル・デミルカピのような人物は、開発者がより高い基準のコードを作成するよう奮起させるべきだ。わずか17歳の彼は、脅威ベクターを利用して2つの高トラフィックシステムに侵入した。これらの脅威ベクターは、コードがコミットされる前に検知され修正されるべきものだった。
ゲーミフィケーション:参加の鍵?
開発者が基本的にセキュリティ問題に関与しない理由について、私は多くのことを書いてきた。簡潔に言えば、組織レベルでも教育レベルでも、セキュリティ意識を持った開発者を育成するための取り組みが十分に行われていないからだ。企業が時間をかけて、参加を奨励し評価するセキュリティ文化を構築し、開発者の言語で語りかけ、継続的な挑戦を促すトレーニングを実施するとき、ようやく厄介な脆弱性の残骸が私たちの使うソフトウェアから消え始めるだろう。
デミールカピは明らかにセキュリティに課外的な興味を持ち、マルウェアのリバースエンジニアリング、脆弱性の発見、外部からは破壊されていないように見えるものの解読方法を学ぶことに時間を費やしています。しかし、彼との会話の中で(そして彼の DEF CON スライドを通じて)、彼は自身の独学について興味深い発言をしています... 彼はそれをゲーム化したのです。
「目標は、私の学校のソフトウェアの中に何かを見つけることでした。これは面白いゲーミフィケーションの手法で、大量のペネトレーションテストを独学できるものです。研究を始めた目的はより多くを知ることでしたが、結局、状況は私が予想していたよりもはるかに悪いことがわかりました」と彼は語った。
すべての開発者がセキュリティを専門とすることを望むわけではないが、各開発者がセキュリティ意識を高める機会を得るべきである。基礎知識は組織内における「コードライセンス」にほぼ等しく、特に大量の機密データを扱う開発者にとってはなおさらだ。各開発者が最も単純なセキュリティ脆弱性を書き込む前に修正できれば、深刻な損害を与えようとする者に対してより安全な立場に立てる。
ゲーミフィケーション型トレーニングに興味がありますか?当社の「プログラマーがセキュリティを制する」シリーズをこちらでご覧ください XSS と SQLインジェクションをご覧ください。
青少年安全研究者ビル・デミルカピの最新報告は、彼の学校で使用されているソフトウェアの主要な脆弱性を暴露し、確かに懐かしい記憶を呼び起こした。私は好奇心旺盛な子供だった頃、ソフトウェアの内部を覗き込み、それが実際にどのように動作しているのか、そして何よりも、それをハッキングできるかどうかを確認したことを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し続けてきた。一方、セキュリティコミュニティ(その手法が時に厚かましいこともあるが)は欠陥や潜在的な災害を発見する上で重要な役割を果たしている。ただし、悪意のある者たちがそうする前に、という希望を込めて。
しかし、問題なのは、彼の発見に対応するため、彼は一時的に停学処分を受けたことだ。それは彼が(フレイト社に)あらゆる連絡手段を尽くした後、最終的に自らの正体とシステム破壊能力を示すために、かなり公然とした批判を選択した結果だった。彼は道徳的な方法でフレイト社に警告しようと繰り返し試みたが、応答はなく、ソフトウェアは依然として脆弱なままだった。大量の学生データが非常に簡単に漏洩する危険にさらされていた。その大部分のデータは暗号化されていなかったからだ。
彼は別の企業のソフトウェア、Blackboardの欠陥も発見した。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者はさらに侵入し、数百万件の記録を盗み出すことができた可能性がある。彼の学校はこのソフトウェアとフレイトの製品を使用していた。
「邪悪なハッカー」という表現には問題がある。
デミルカピは今年のDEFCONカンファレンスで自身の発見を発表し、その滑稽なパフォーマンスの中でも特に悪戯っぽい詳細が聴衆の拍手を誘った。確かに、その通りだ——報道によれば、フォレット社は彼の取り組みに感謝し、彼の提案に基づいて行動を起こした。その結果、同社のソフトウェアはより安全になり、データ漏洩の統計に名を連ねる危機を回避した。当初は不利な立場にあったにもかかわらず、彼は高校卒業後、ロチェスター工科大学に進学する予定であり、まさに有望なセキュリティ専門家への道を歩んでいることが明らかだ。
セキュリティ担当者として、この状況の対応に疑問を抱かざるを得ない。結果的には問題なかったものの、当初彼は厄介なスクリプト少年として扱われ、余計なことに首を突っ込んだとみなされた。Googleのこの件に関する検索結果には彼を「ハッカー」と呼ぶ記事があり(セキュリティの素人目には、多くの点で彼を悪役として位置づける表現だ)、実際には彼の手法(そして他の多くの人々の手法)こそが私たちのデータ保護に貢献しているのだ。
好奇心旺盛で賢く、セキュリティに精通した人材が状況を深く掘り下げる必要があり、調査もより頻繁に行う必要がある。7月時点で、今年だけで40億件以上の記録が悪意のあるデータ漏洩に晒されている。8月にはファッション・ライフスタイルブランドの破産により、この数字にさらに5,000万件が加わる可能性がある——Poshmarkの件だ。
私たちは同じ過ちを犯している。さらに懸念されるのは、こうした過ちがしばしば単純な脆弱性を誘発し、私たちを絶えず窮地に陥れていることだ。
クロスサイトスクリプティングとSQLインジェクションは未だに存在している。
報道によると、Cable、Demirkapi は、Blackboards コミュニティ参加ソフトウェアおよび Folletts 学生情報システムに、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティの脆弱性があることを発見しました。これらの脆弱性は 1990 年代以来、セキュリティ専門家の間で話題となってきました。私たちは、これらの脆弱性の存在を、Hypercolor T シャツやフロッピーディスクのように、本当に長い間、耐えてきました。今では、それらは遠い記憶になっているはずです。
しかし、実際にはそうではない。明らかに、十分な数の開発者が、それらを自身のコードに導入するのを阻止できるほどのセキュリティ意識を示していない。スキャンツールや手動によるコードレビューには限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。そうしたケースでは、こうした高価で時間のかかる対策をより効果的に活用できる。
ビル・デミルカピのような人物は、開発者がより高い基準のコードを作成するよう奮起させるべきだ。わずか17歳の彼は、脅威ベクターを利用して2つの高トラフィックシステムに侵入した。これらの脅威ベクターは、コードがコミットされる前に検知され修正されるべきものだった。
ゲーミフィケーション:参加の鍵?
開発者が基本的にセキュリティ問題に関与しない理由について、私は多くのことを書いてきた。簡潔に言えば、組織レベルでも教育レベルでも、セキュリティ意識を持った開発者を育成するための取り組みが十分に行われていないからだ。企業が時間をかけて、参加を奨励し評価するセキュリティ文化を構築し、開発者の言語で語りかけ、継続的な挑戦を促すトレーニングを実施するとき、ようやく厄介な脆弱性の残骸が私たちの使うソフトウェアから消え始めるだろう。
デミールカピは明らかにセキュリティに課外的な興味を持ち、マルウェアのリバースエンジニアリング、脆弱性の発見、外部からは破壊されていないように見えるものの解読方法を学ぶことに時間を費やしています。しかし、彼との会話の中で(そして彼の DEF CON スライドを通じて)、彼は自身の独学について興味深い発言をしています... 彼はそれをゲーム化したのです。
「目標は、私の学校のソフトウェアの中に何かを見つけることでした。これは面白いゲーミフィケーションの手法で、大量のペネトレーションテストを独学できるものです。研究を始めた目的はより多くを知ることでしたが、結局、状況は私が予想していたよりもはるかに悪いことがわかりました」と彼は語った。
すべての開発者がセキュリティを専門とすることを望むわけではないが、各開発者がセキュリティ意識を高める機会を得るべきである。基礎知識は組織内における「コードライセンス」にほぼ等しく、特に大量の機密データを扱う開発者にとってはなおさらだ。各開発者が最も単純なセキュリティ脆弱性を書き込む前に修正できれば、深刻な損害を与えようとする者に対してより安全な立場に立てる。
ゲーミフィケーション型トレーニングに興味がありますか?当社の「プログラマーがセキュリティを制する」シリーズをこちらでご覧ください XSS と SQLインジェクションをご覧ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
青少年安全研究者ビル・デミルカピの最新報告は、彼の学校で使用されているソフトウェアの主要な脆弱性を暴露し、確かに懐かしい記憶を呼び起こした。私は好奇心旺盛な子供だった頃、ソフトウェアの内部を覗き込み、それが実際にどのように動作しているのか、そして何よりも、それをハッキングできるかどうかを確認したことを覚えている。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求し続けてきた。一方、セキュリティコミュニティ(その手法が時に厚かましいこともあるが)は欠陥や潜在的な災害を発見する上で重要な役割を果たしている。ただし、悪意のある者たちがそうする前に、という希望を込めて。
しかし、問題なのは、彼の発見に対応するため、彼は一時的に停学処分を受けたことだ。それは彼が(フレイト社に)あらゆる連絡手段を尽くした後、最終的に自らの正体とシステム破壊能力を示すために、かなり公然とした批判を選択した結果だった。彼は道徳的な方法でフレイト社に警告しようと繰り返し試みたが、応答はなく、ソフトウェアは依然として脆弱なままだった。大量の学生データが非常に簡単に漏洩する危険にさらされていた。その大部分のデータは暗号化されていなかったからだ。
彼は別の企業のソフトウェア、Blackboardの欠陥も発見した。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者はさらに侵入し、数百万件の記録を盗み出すことができた可能性がある。彼の学校はこのソフトウェアとフレイトの製品を使用していた。
「邪悪なハッカー」という表現には問題がある。
デミルカピは今年のDEFCONカンファレンスで自身の発見を発表し、その滑稽なパフォーマンスの中でも特に悪戯っぽい詳細が聴衆の拍手を誘った。確かに、その通りだ——報道によれば、フォレット社は彼の取り組みに感謝し、彼の提案に基づいて行動を起こした。その結果、同社のソフトウェアはより安全になり、データ漏洩の統計に名を連ねる危機を回避した。当初は不利な立場にあったにもかかわらず、彼は高校卒業後、ロチェスター工科大学に進学する予定であり、まさに有望なセキュリティ専門家への道を歩んでいることが明らかだ。
セキュリティ担当者として、この状況の対応に疑問を抱かざるを得ない。結果的には問題なかったものの、当初彼は厄介なスクリプト少年として扱われ、余計なことに首を突っ込んだとみなされた。Googleのこの件に関する検索結果には彼を「ハッカー」と呼ぶ記事があり(セキュリティの素人目には、多くの点で彼を悪役として位置づける表現だ)、実際には彼の手法(そして他の多くの人々の手法)こそが私たちのデータ保護に貢献しているのだ。
好奇心旺盛で賢く、セキュリティに精通した人材が状況を深く掘り下げる必要があり、調査もより頻繁に行う必要がある。7月時点で、今年だけで40億件以上の記録が悪意のあるデータ漏洩に晒されている。8月にはファッション・ライフスタイルブランドの破産により、この数字にさらに5,000万件が加わる可能性がある——Poshmarkの件だ。
私たちは同じ過ちを犯している。さらに懸念されるのは、こうした過ちがしばしば単純な脆弱性を誘発し、私たちを絶えず窮地に陥れていることだ。
クロスサイトスクリプティングとSQLインジェクションは未だに存在している。
報道によると、Cable、Demirkapi は、Blackboards コミュニティ参加ソフトウェアおよび Folletts 学生情報システムに、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティの脆弱性があることを発見しました。これらの脆弱性は 1990 年代以来、セキュリティ専門家の間で話題となってきました。私たちは、これらの脆弱性の存在を、Hypercolor T シャツやフロッピーディスクのように、本当に長い間、耐えてきました。今では、それらは遠い記憶になっているはずです。
しかし、実際にはそうではない。明らかに、十分な数の開発者が、それらを自身のコードに導入するのを阻止できるほどのセキュリティ意識を示していない。スキャンツールや手動によるコードレビューには限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。そうしたケースでは、こうした高価で時間のかかる対策をより効果的に活用できる。
ビル・デミルカピのような人物は、開発者がより高い基準のコードを作成するよう奮起させるべきだ。わずか17歳の彼は、脅威ベクターを利用して2つの高トラフィックシステムに侵入した。これらの脅威ベクターは、コードがコミットされる前に検知され修正されるべきものだった。
ゲーミフィケーション:参加の鍵?
開発者が基本的にセキュリティ問題に関与しない理由について、私は多くのことを書いてきた。簡潔に言えば、組織レベルでも教育レベルでも、セキュリティ意識を持った開発者を育成するための取り組みが十分に行われていないからだ。企業が時間をかけて、参加を奨励し評価するセキュリティ文化を構築し、開発者の言語で語りかけ、継続的な挑戦を促すトレーニングを実施するとき、ようやく厄介な脆弱性の残骸が私たちの使うソフトウェアから消え始めるだろう。
デミールカピは明らかにセキュリティに課外的な興味を持ち、マルウェアのリバースエンジニアリング、脆弱性の発見、外部からは破壊されていないように見えるものの解読方法を学ぶことに時間を費やしています。しかし、彼との会話の中で(そして彼の DEF CON スライドを通じて)、彼は自身の独学について興味深い発言をしています... 彼はそれをゲーム化したのです。
「目標は、私の学校のソフトウェアの中に何かを見つけることでした。これは面白いゲーミフィケーションの手法で、大量のペネトレーションテストを独学できるものです。研究を始めた目的はより多くを知ることでしたが、結局、状況は私が予想していたよりもはるかに悪いことがわかりました」と彼は語った。
すべての開発者がセキュリティを専門とすることを望むわけではないが、各開発者がセキュリティ意識を高める機会を得るべきである。基礎知識は組織内における「コードライセンス」にほぼ等しく、特に大量の機密データを扱う開発者にとってはなおさらだ。各開発者が最も単純なセキュリティ脆弱性を書き込む前に修正できれば、深刻な損害を与えようとする者に対してより安全な立場に立てる。
ゲーミフィケーション型トレーニングに興味がありますか?当社の「プログラマーがセキュリティを制する」シリーズをこちらでご覧ください XSS と SQLインジェクションをご覧ください。
%20(1).avif)
.avif)
