Clever Geek Handbook

セキュリティ専門家の倒錯した心の中

ミルトンおじさんは、1956年以来、アリ企業を子供たちに売っています。 数年前、私は友人とそれらの1つを開いた方法を思い出しました。 箱にはアリはいませんでした。 それらの代わりに、住所を入力しなければならないカードがあり、会社はあなたに少しアリを送ったでしょう。 私の友人は、あなたがパッケージにアリを入れることができることに驚きました。



私は答えました:「ここで本当に面白いのは、これらの人々がそれについて彼らに尋ねる誰にでもアリでパイプを送るということです。」



セキュリティには特別な考え方が必要です。 セキュリティの専門家-少なくとも優れた専門家-は、世界を異なって見ています。 彼らはそこから商品を盗む方法に気づかずに店に行くことはできません。 脆弱性を考えずにコンピューターを使用することはできません。 二度投票する方法を見つけようとしないと投票できません。 彼らはそれについて何もできません。



SmartWaterは、特定の所有者に関連付けられた一意の識別子を持つ液体です。 「価値観をこの物質で染色して、それらが私の財産であることを証明するという考えは私に合っています」と私は最初にその考えについて学んだときに書きました。 「貴重品に色を塗って警察に電話する方がずっといいと思います。」

確かに、私たちにできることは何もありません。



このタイプの考え方は、ほとんどの人にとって不自然です。 エンジニアにとっては不自然です。 実際のエンジニアリングには、物事を機能させる方法を考えることが含まれます。 安全に考えるには、物事を壊す方法を考えることが含まれます。 攻撃者、敵、犯罪者などのアイデアが含まれます。 発見した脆弱性を悪用する必要はありませんが、この観点から世界を見ないと、ほとんどのセキュリティ問題に気付くことはありません。



私はこれがどれだけ先天的で、何を学ぶことができるかをよく考えました。 一般に、これは世界の特定の観点であり、特定の分野(暗号化、ソフトウェアセキュリティ、またはドキュメントの改ざん)で誰かを訓練する方が、セキュリティを目的とした考え方を教えるよりもはるかに簡単だと思います。



このため、今四半期にワシントン大学で行われた基本的なコンピューターセキュリティコースであるCSE 484が注目に値する理由です。 河野忠義教授はこの考え方を教えようとしています。



結果は学生のブログで見ることができます。 スマートピルボックス、Quiet Care Elder Careトラッキングシステム、Apple TimeCapsule、GMのOnStar、信号機、銀行のセル、寮のセキュリティなど、ランダムなものの安全レビューを書くことが奨励されました。



最新のレビューでは、カーディーラーについて語っています。 著者は、アテンダントに姓を伝えるだけで、どのように車のサービスを受けることができるかを説明しました。 その後、車の普通の所有者は車を返すのが簡単であることを喜んでいますが、警備員の考えを持っている人はすぐに考えます。



残りのブログ投稿では、このセキュリティの脆弱性を悪用しながら車を盗む方法、および売り手がそれほど脆弱である必要があるかどうかについて説明しています。

分析で誤りを見つけることができます-ディーラーがどんな責任を負っており、保険が損失をカバーするかどうか疑問に思います-しかし、これはすべて特定の領域です。 重要な点は、気づいてから質問することです。 安全が最優先です。



安全志向の思考の欠如は、選挙機械、電子決済カード、医療機器、身分証明書、インターネットプロトコルのセキュリティが低いことを説明しています。 開発者はシステムを機能させるのに忙しく、システムが故障したり破損したりする方法や、これらの障害がどのように使用されるかに気付くために、停止しません。 開発者にセキュリティ専門家の考え方を教えることは、将来の技術システムをより安全にする上で重要な役割を果たすでしょう。



これは明らかですが、セキュリティスペシャリストの考え方は多くの人に役立つと思います。 テクノロジーや政治、日常生活に関係なく、人々が視野の外で考える方法を学び、全体像を見ることができれば、彼らはより洗練された消費者、より懐疑的な市民、だまされにくい人々になります。



人々がセキュリティを目的とする考え方を持っていた場合、個人データを開示するサービスは市場でそのようなシェアを持たず、Facebookはまったく異なります。 数百万の暗号化されていない社会保障番号を持つラップトップは失われず、最悪の場合、それほど深刻ではないセキュリティ問題に直面します。 電源システムはより安全です。 個人情報の盗難は無駄になります。 医療記録はより非公開になります。 人々が安全を目的とする考え方を持っていれば、彼らは捕まる可能性があることを理解するので、ブリトニースピアーズの医療記録を見ようとはしないでしょう。



これらの大学の活動について魔法のようなものは何もありません。 攻撃者の視点から世界を見るだけで、だれでもセキュリティスペシャリストとしての考え方を訓練できます。 この特定のセキュリティデバイスを避けたい場合、どうすればよいですか? 法律の手紙に従うことはできますが、その意味を無視できますか? この広告、エッセイ、記事、またはドキュメンタリーを作成した人が悪徳である場合、彼はどのようにそれをしましたか? そして、どうすればそのような攻撃から身を守ることができますか?



セキュリティの専門家の考え方は、職業に関係なく誰もが利益を得ることができる貴重なスキルです。


More articles:


All Articles