2018年の初めから、暗号化プロジェクトでハッキングレポートを収集しています。 この間、 10億ドル近くの盗難に関する情報を受け取りました。 コインチェック交換だけでも、約5億ドルの資金援助を受けました。 ただし、一部の取引所では、まだ2要素認証がありません。 金融会社のサイトは、認証なしでサードパーティのスクリプトを使用しています。 MetaMaskブラウザウォレットは、あなたのウォレットアドレスをすべてのサイトに無差別に照らします。 そして、最も一般的なトリックは、あいまいさによるセキュリティです。 しかし、おそらくそれはさらに悪いことであり、今日、セキュリティの模倣はいたるところにあり、NISTの夏のレポートはこれを部分的に確認しています。
今日のセキュリティへのアプローチでは、個人の特性は考慮されていません。これは、実際にはNISTレポートが述べていることです(トピックに関する記事 )。 現在観察されている主な問題は次のとおりです。
- 結果に対する責任の欠如。
- 過剰なルール。
両方の理由は逆論理を示しています。 それらを詳しく見てみましょう。
責任の欠如
製品の製造業者は、ハッキングの結果について責任を負いません。彼にとって最大の望ましくない結果は、補償または破産の支払いです。 同社の経営陣は、セキュリティ要件の増加にまったく関心がありません。 同時に、穴を発見してこれを報告したユーザーは、ドックに引っかかる危険性があります。 問題は、そのような会社の従業員が自分自身を奪うことを防ぐものは何ですか?
デュポン社の例。
1802年に米国デラウェア州ウィルミントンで設立されたデュポンは、火薬の生産から事業を開始しました。 その活動の夜明けに起こったいくつかの爆発により、企業経営者は企業の成功にとって安全の重要性を認識しました。 同社の経営陣は、新しい安全哲学を開発しました。一方では、企業のトップマネジメントが事故に対して特別な責任を負い、他方では、すべての従業員が生産現場で生活する必要がありました。 したがって、労働安全は誰にとっても個人的な関心事になりました。
INES Webサイトの記事から
過剰なルール
NISTの報告によると、人々は複雑で頻繁に変更するパスワードを覚えている傾向はありません。 そして、数字、文字、特殊文字、数式から複雑なパスワードフレーズを使用し、頭の中のPiの数を計算するためのルールは、モニターにパスワード付きのステッカーの出現につながります。 生存者のパラドックスは、危険な状況での生存の理由は死因を報告しないため、この死を防ぐ助けにはならないことを示唆しています。 つまり、強力なパスワードを解読することは、信頼できるシステムを構築する方法ではありません。
開発者はあまりにも形式的にタスクにアプローチし、セキュリティを確保するというタスクをあまり信頼性のない要素、つまり人にシフトします。 その結果、より強力な保護方法を導入することにより、一般的にセキュリティを弱めています。
最近、HTTPSを介して読み込まれたサイトがHTTPプロトコルとやり取りできないという事実に出会いましたが、ブラウザーはこのアクションを実行する許可を求めず、単に要求を実行することを拒否します。 その結果、HTTPプロトコルに切り替えた後、2つのリソースが既に安全でないモードでロードされています。
おわりに
頭の中にセキュリティシステムを構築すると、無条件に攻撃者に負けます。設定、シャットダウン、または追加の開発が必要な要素の数が多すぎます。 オペレーティングシステムの一部のコンポーネントの動作について少しも考えていません。また、正常に動作するか、誰がそれらを製造したか、交換されたかなどを判断する方法がわかりません。 このため、時々私は偽者症候群になります。 私は本当にすべてを正しくセットアップしましたか!?
CIS Distribution Independent Linuxをダウンロードしました。 これは、Linux構成のヒントのコレクションです。 317ページあり、100を超える潜在的な脆弱性があります。 読書の過程で、質問が出てきました。一般に、そのようなドキュメントについて知っている開発者は何人ですか?
Habréの2番目のハブ情報セキュリティ(プログラミングの2倍の人気!)。 これは安全上の懸念またはお守りオプションの結果ですか? 情報セキュリティの分野に自信を持っていますか?