コードを保護することが重要です

Equifaxのような重要な企業から機密データが漏洩すると、何百万人もの消費者がすぐに自分たちが被害者であることに気付きました。ストーリーは、常に劇的なデータと脆弱性を隠そうとする企業に関するものです。ただし、データ侵害はセキュリティ障害の結果です。

このような深刻なセキュリティ侵害の本当の理由は何ですか？

多くの場合、機密データは安全でないソースコードを通じて漏洩します。これは物語の中の物語であり、この魅力的な物語はめったに語られません。このような障害は、Uberなどの最も広く最も馴染みのある企業内でも発生することがよくあります。セキュリティ障害はOneLoginのようなセキュリティ会社内でも発生しますが、これらの障害が発生する理由はほとんどありません。

多くの場合、機密データは安全でないソースコードを通じて漏洩します。これは物語の中の物語であり、この魅力的な物語はめったに語られません。

これは、ソースコードの脆弱性が高度に技術的であるためです。これからわか​​るように、これは「技術的なコンポーネントが多すぎる」ため、回避できない問題です。

しかし、セキュリティ障害の原因についてこれ以上悪質な理由は聞いていません。ソフトウェアが重要なセキュリティ機能を欠いていることを会社が明らかにした場合、彼らはすぐに顧客の信頼を失います。その結果、ヤフーやその他の企業は何年もの間意図的にセキュリティ侵害を隠してきました。

これらのセキュリティホールの根本原因はソースコードそのものであることがわかります。この記事では、GitやApache Subversionなどのソースコードリポジトリのセキュリティホールについて説明します。また、ソースコードのスキャンなど、さまざまなソリューションについても説明します。最近のセキュリティ障害から始めて、共通点を見つけましょう。





ニュースイベント


2016年末時点で、合計5,700万人のUberユーザーとドライバーが、最近の史上最大のデータ侵害の被害者でした。 1 2人のハッカーが、電話番号、名前、メールアドレスなどの個人情報を盗みました。さらに悪いことに、同社は1年以上にわたって隠蔽した。隠蔽請求の解決には、1億4800万ドルの費用がかかります。



この話はあまりにも一般的です。 「Uber」で発生している同じことを任意の組織または会社に変換すると、同じストーリーが表示されます。そのような話は、私たち自身のウェブベースのセキュリティ予防策を増やすことを私たちに思い出させ続けます。

企業は強力なパスワード作成を強化することで自信を高めようとしますが、一部は強力なパスワードジェネレータを使用します。より厳格な手段には、2要素認証または多要素認証の使用が含まれます。従来のハードウェアトークンまたはキーフォブに加えて、これにはSMSを介して電子メールアドレスに送信される動的なPINコードも含まれる場合があります。このようにセキュリティが強化されているのに、なぜUberや他の企業の何百万人もの消費者のプライバシーが侵害されていると聞き続けるのはなぜですか？



ばかげて本当の答えは、悪役はしばしば何もしないということです。最も破壊的な「ハック」は、インデックス化可能なウェブディレクトリまたはAmazon S3バケットにある暗号化されていないファイルでパスワードを誤って発見するよりもはるかに賢いだけです。これがUberで起こったことであり、バージョン管理プラットフォームの脆弱性とGitやSubversionのようなコードリポジトリを介して攻撃者がログイン資格情報にアクセスする方法を詳しく見ていきます。



たとえば、消費者信用報告機関Equifaxの違反など、1億4800万人以上の消費者に影響を与えた別の重大な違反を考えてみましょう。

Equifaxに対する大規模な攻撃は、分散コンピューティングアプリケーション用の別の一般的な開発ツールであるApache Strutsを利用しました。 Apacheは、高品質で人気のあるオープンソース開発者ツールを作成することで知られています。ただし、Apache Strutsには多くの既知のセキュリティ問題があります。現在、開発者フォーラムには、既知のセキュリティ問題に関する72の投稿があります！これらのセキュリティ脆弱性の範囲は中程度とはほど遠く、企業の電子商取引プラットフォームを弱める可能性のあるサービス拒否攻撃およびリモートコード実行攻撃を対象としています。



これは、最も明白な質問の1つを示唆しています。ApacheStrutsにセキュリティ上の問題があることがわかっている場合、Equifaxはなぜそれを使用するのですか？一般に、Equifaxはこれらのセキュリティ問題を利用する前に知っていたと言われていますが、Equifaxはそれらを解決するための意図的なアクションを実行しませんでした。なんで？このような一般的なソフトウェアで既知のエラーと攻撃ベクトルを処理する問題を理解するには、問題の技術的な側面を探る必要があります。



データセキュリティのみに重点を置いている企業も例外ではありません。たとえば、サイバーセキュリティに特化した企業であるOneLoginが攻撃されました。この特定のストーリーは、APIキーとOAuthトークンの盗難という目的に最も近いものです。

OneLoginは攻撃の詳細を開示しませんでしたが、さらなる侵入からの保護に関する顧客への推奨事項は、侵入の潜在的なポイントを間接的に明らかにしました。

開発者が自動ログインに使用するログイン認証情報（APIキーとOAuthトークン）は通常、Shell Script 5に暗号化されずに保存され、ログファイルに表示されることもあります。



しかし、同社はこの特定の問題を解決する上で大きな課題に直面しています。開発者とアジャイルチームは、認証資格情報を完全に保護することなく自動化することが困難な合理化された継続的な展開パイプラインを切望しています。これは完全に行うことができますが、十分な注意と絶え間ないレビューが必要です。これらのセキュリティホールが存在する理由と理由から始めましょう。