MITコース「コンピューターシステムのセキュリティ」。 講義23：セキュリティ経済学、パート3

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3

講義16：「サイドチャネル攻撃」 パート1 / パート2 / パート3

講義17：「ユーザー認証」 パート1 / パート2 / パート3

講義18：「インターネットのプライベートブラウジング」 パート1 / パート2 / パート3

講義19：「匿名ネットワーク」 パート1 / パート2 / パート3

講義20：「携帯電話のセキュリティ」 パート1 / パート2 / パート3

講義21：「追跡データ」 パート1 / パート2 / パート3

講義22：「情報セキュリティMIT」 パート1 / パート2 / パート3

講義23：「セキュリティ経済学」 パート1 / パート2



講演記事では、スパマーを阻止できるさまざまな報復戦略について説明しています。 著者は、アフィリエイトプログラムのドメイン名レジストラの数は限られていることに注意しました。 つまり、ほとんどの提携パートナーは、ドメイン名とインフラストラクチャを扱うレジストラに個別に関連付けられています。 1つのドメイン名レジストラがさまざまなアフィリエイトプログラムに関連付けられている場合は非常にまれです。







これは、スパムのインフラストラクチャ全体を無効にすることが可能な、共通のセンター、共通のレジストラが存在しないことを意味します。 Webサーバーなどにも同様のパターンが適用されます。 1つのISPプロバイダーが多数のアフィリエイトプログラムを備えた多数のWebサーバーを所有していることはまれです。 このビジネスには分散性があるため、これら3つのプロバイダーを「採用」すると、スパムエコシステム全体が破壊されると言うことは非常に困難です。



したがって、スパム送信を停止するために攻撃される可能性のある単一のサーバーがないことは残念です。 後で、これがいくつかのシャドウバンキングスキームに関連して機能する可能性があることがわかります。そのため、おそらくスパマーにプレッシャーをかけることができます。



スパムの実装の段階に戻り、ユーザーであるユーザーが何かを購入した後に何が起こるかを見てみましょう。 実装フェーズは2つの部分で構成されます。

ユーザーは、購入または購入したい商品の代金を支払います。そして、偽の薬物を購入する場合のように郵便でこれらの商品を受け取るか、海賊版のPhotoshopなどを受け取りたい場合はインターネットからダウンロードすることを望みます。







キャッシュフローは次のようになります。 クライアントは売り手に連絡し、何かを購入したいことを伝えます。 彼はクレジットカード情報を送信し、その後、売り手は支払い処理業者と通信します。 これは、売り手であるスパマーがクレジットカードシステムとのやり取りの複雑さを理解するのに役立つ重要な仲介者です。 支払い処理業者はサービス銀行に連絡します。



サービス銀行は、銀行カードによる決済と支払いに関連するすべての操作を実行します。 彼はこの記事で「関連ネットワーク」と呼ばれるものについて言及していますが、私たちはそれを単にVisaまたはMasterCardの支払いシステムと考えるので、単なるクレジットカードネットワークです。



最後に、これらの協会ネットワークまたはカードネットワークは、購入者の発行銀行と通信します。 実際、取引が合法であるかどうか、つまりカード所有者の同意を得て、情報を求めます。 もしそうなら、お金はシステム全体を通り、売り手に行きます。 これは、運用のエンドツーエンドの財務フローのようです。 このワークフローは多くのお金を処理できます。 講義資料で言及された記事の1つは、そのような取引の結果、あるパートナーが1,000万ドル以上を受け取ることができると述べています。 ここで問題が発生します。なぜ買収銀行または発行銀行は、ここで何かが間違っていると報告しないのですか？ 結局のところ、多くの場合、彼らは実際には何も報告しません。







なぜ金融システムはそのようなプロセスに寛容なのだろうか。 たとえば、スパマーが取引を正しく分類するのはなぜですか？ このシステムを介して何かを送信する場合は、実行されているトランザクションのタイプを正しく指定する必要があります。これは、医薬品、ソフトウェアなど、何でも構いません。 偽のビタミンを販売するスパマーは、自分が医薬品ビジネスに従事していることを示すことを望んでいないと考えられます。 ただし、ほとんどの場合、スパマーがトランザクションを正しく分類するのは興味深いことです。 その理由は、誤った分類に対して高いペナルティが与えられる可能性があるためです。



したがって、VisaやMastercardなどの関連ネットワークでは、少し疑わしく見える場合でも、このようなトランザクションではすべてが正常であると考えています。 しかし、彼らはマネーロンダリングや当局を欺こうとする罪で起訴されたくありません。 あなたがしていることを正しく分類している限り、ある意味であなたは自分を守っている。 法律を少し理解していなかったが、少なくともこの取引の目的を隠そうとはしなかったことを当局にいつでも伝えることができるからです。 したがって、スパマーはしばしばトランザクションを正しく分類します。つまり、システム内で特定の手段を講じます。



先に述べた別の質問は、スパマーが顧客に何かを送信するのはなぜですか？ おそらく、あなたがスパマーであるなら、あなたは犯罪者ですよね？ なぜ人々からお金を集めて逃げないのですか？ 彼らは高額の罰金を科せられたくないので、実際に物事を顧客に送ることがわかります。 これは、スパマーが合法的に何かをしたい非常に興味深いシステムであり、実際にはビットコインを使用することはできませんが、実際には既存のシステムの制限内で動作する必要があります。



スパマーが多くのチャージバックを持っている場合も、高額の罰金が科されます。 チャージバックとは、クライアントが支払い済み商品を受け取っていないか、受け取った商品の品質が自分に合わないことを金融会社に伝えることを意味します。 したがって、スパマーが払い戻しを必要とする顧客が多すぎる場合、非常に高い罰金が課せられます。 したがって、スパムトランザクションでのチャージバックの割合は非常に少ないです。 事実、彼らの利益の転換率は非常に低いため、1つか2つの罰金でさえ毎月の利益をすべて損なう可能性があります。 したがって、スパマーは、上記の両方のケースで罰金を回避することに本当に興味を持っています。







対象者： PayPalを使用すると、銀行とのより隠れた関係に貢献しますか？



教授：はい、いいえ。 PayPalは、多くの点でVisaまたはMasterCardに非常によく似ています。 これらの支払いシステムには同じ種類のリスクがあるため、その活動は同様の規則によって規制されています。 いくつかの点でVisaにはより厳しい制限があると思います。これについてはすぐに説明します。 しかし、支払いシステムとして、Paypalは同様の目標を持っています。



対象者：アカウントを作成し、意図的にスパマーのサイトにアクセスして大量のものを購入し、チャージバックしてグループから罰金を徴収するグループを編成するという考えはありますか？ または、スパマーが罰金を科すように取引を誤って分類していると報告していますか？



教授：自警団のように面白いアイデアです！



観客：はい、スパマーはスパムです。



教授：はい、そうです。しかし、私はそれを聞いたことがありません。 スパマーがトロールする人を見つけようとしていることは知っています。 この記事では、作成者がスパマーをどのように特定したかを述べています。 彼らは大量のスパムメッセージを受信し、多数のリンクを通過し、特別なVisaカードを発行しました。これらのカードを使用して、これらのものを購入しました。 彼らはそれを「テスト購入」と呼んでいます。 ただし、スパマーは、何が起こっているのかを把握しようとしている人々からのテスト購入を防止しようとします。 そのため、一部のスパマーは、何かを販売する前に身元を確認する必要があります。 彼らはあなたに身分証明書またはそのようなものの写真を送るように頼むかもしれません。 Visaがスパムルールを強化した後、一部の人々はこれを始めました。 スパムリンクをクリックした人は、IDのスキャンをランダムな人に送信したくないため、スパマーは問題を抱えています。 この記事は、フォーラムでのスパマーの通信からの抜粋を提供し、Visaがそれらを受け取ったことに不満を述べています。 人々がドキュメントのスキャンをスパマーに送信することを恐れているのは奇妙ですが、クレジットカード番号を与えることを恐れていません。 いずれにせよ、スパマーは、彼らをきれいな水に連れて行こうとするタイムリーな人々を見つけることに興味があります。



対象者：チャージバックに関して-違法な商品を購入していることを銀行に知らせたくない場合、商品を受け取っていなくても払い戻しを要求することを恥じることはありますか？



教授：良い質問です。 あらゆる種類の栄養補助食品を購入した人々がどれほど多くの人に失望し、銀行にそれを知らせたかはわかりません。 銀行が送金先を知っている必要があるのは興味深いことですが、払い戻しを行うために取引に関する追加情報を開示する必要はないと思います。



対象者：チャージバックのおよそ何パーセントがスパマーを心配させますか？



教授：彼らはすべてのトランザクションの1％のオーダーの数字を呼び出します。 言い換えると、あなたがスパマーであり、チャージバックを必要とするトランザクションの1％以上がある場合、これは懸念の原因です。 数字が低くても驚くことはありませんが、約1％と聞きました。



私が言ったように、私にとってこれは記事の最も興味深い部分の1つでした。なぜなら、私は常にスパムの必須の特性はオープン詐欺だと信じていたからです。 つまり、人々はリンクをたどり、送金し、何も受け取りませんでした。 しかし、判明したように、スパマーはこのネットワーク全体を通過する必要があり、ネットワーク全体に詐欺を防止するメカニズムがあり、最終的には顧客に物を送ることを余儀なくされます。



スパマーが慎重に行動し、トランザクションを正しく分類し、実際に顧客に送信することを好むもう1つの理由は、ごく少数の銀行だけがスパマーと協力することを望んでいることです。 これは、スパマーが大量のチャージバックを受け取ったり、銀行業務やクレジットカードに問題を引き起こした場合、一部の銀行が彼との関係を断ち切る可能性があることを意味します。 同時に、スパマーに会いたがっている他の銀行は多くないため、彼は「いたずら」に対処し続けています。



このトピックに関する調査によると、スパマーが2年以上使用している買収銀行は約30にすぎません。 実際、これは非常に少数の銀行です。 したがって、銀行の不足は、スパマーが確立されたパートナーシップを破った場合に頼る人がいないため、金融システムにだまされないようにするインセンティブとして機能します。

したがって、財務ルールを厳密に順守するという要件はスパムを減らすことができるようです。 ボットネットのようなものはスパマーに多くのIPアドレスを提供し、Webサーバーを実行する準備が十分なプロバイダーなどがあることを説明しましたが、実際にサービスを提供する銀行の数は少ないようです。 したがって、ここで本当にスパムを攻撃できる可能性があります。



しかし、私が言ったように、これはスパム行為の違法性の事実を証明することが難しいという事実のために行うのが難しいです。 たとえば、砂糖の販売などにスパムメッセージを使用する場合、砂糖の販売は法律に違反しないため、違法なものはありません。 どういうわけか販売プロセスで買い手を欺くことができますが、砂糖自体を販売することは違法行為ではありません。







結局のところ、多くのスパムがこの「灰色の領域」に入り込みます。この領域では、スパマーが行うことは不快になりますが、法律を破る必要はありません。 海賊版ソフトウェアのようなものについては、法律が法の支配をより明確に示しています。 ただし、これらの銀行のいずれかを指して「こんにちは、顧客は犯罪者です」と言うことはできません。特に、金融取引をスパマーのURLにリンクする明確な紙の証拠がない場合、これは必ずしも当てはまりませんこのトランザクションの起点です。 多くの場合、スパム配信チェーンでこれらのリンク間のリンクを証明することは非常に困難です。



私たちが検討していた記事が公開されてから、クレジットカード業界は報復措置を取りました。これは、この記事がリリースされた時点でかなりの反響を呼んだためです。 この後、VisaとMasterCardの決済システム協会は、スパムの一部を遮断するために何ができるか疑問に思いました。 興味深いことに、記事の公開後、一部の製薬会社とソフトウェアベンダーはVisaに苦情を申し立てました。



記事から覚えているように、Visaはスパム研究者がテストまたは架空の購入を行った関連ネットワークであったため、一部の企業はVisaをスパマーの資金調達システムとして使用することを検討し、不満を言うことにしました。



これらの苦情に対応して、Visaは支払いポリシーにいくつかの変更を加えました。 たとえば、現在では、医薬品Visaとのすべての取引が高リスクの売上としてマークされています。 これは、銀行がこれらの取引のアクワイアラーとして機能する場合、VISAはより厳しい取引条件を確立することを意味します。たとえば、銀行にリスク管理プログラムへの参加を要求したり、頻繁にチェックしたりします。



Visaは内部規制も修正しました。 現在、彼らはリストを明確に定義し、登録商標で保護された医薬品および商品の違法販売を禁止しています。







これは、この支払いシステムによれば、医薬品、偽造ブランドの時計などの違法販売に関与している銀行や商人に対するより積極的な罰金を導入するのに役立ちます。 繰り返しますが、「灰色の領域」にはまだ多くのスパムが存在しますが、これは必ずしも違法ではありません。 顧客が特定のトリックを使用する必要があるということだけです。 しかし今、ビザは人々により強い影響を与えることができます。



スパム研究者だけでなく関連するネットワークによっても行われる偽の購入を避けるために、スパマーは購入者に識別スキャンを要求し始めましたが、これは原則としてあまり良くありません。



支払いシステムが取引ルールに変更を加えてから少なくとも数年後、これは影響を及ぼしました。 この記事が実際の生活に大きな影響を与えたことを見るのは良いことです。



この記事で言及されているもう1つの興味深い点は、セキュリティ調査、特にスパムチェーン調査を実施する際の倫理的側面です。 銀行メカニズムのいくつかがどのように機能するかを理解するために、研究者は実際に購入しなければなりませんでした。 これらの商品に対してスパマーを支払わなければなりませんでした。 著者は、何も使わずに購入したものをすべて破壊し、ソフトウェアを購入する前にソフトウェアの海賊版を購入することについて開発会社と話したと書いています。







実際、そのようなことの起源は、特に大学環境において非常に重要です。 性格調査、倫理的側面を含む可能性のあるものを含む何かをしたい場合、IRB Research Projects Ethics Assessment Commissionなどから弁護士から許可を得る必要があるためです。 研究者にとって、彼らの行動が世界の遠隔地の攻撃者をサポートしないことを確認することは非常に重要です。 また、これは講義資料の興味深い部分です。なぜなら、ゼロデイエクスプロイトを開発することは、誰かが修正できないことがわかっている場合、それがどれだけ倫理的であるかについてすでに議論したからです。 したがって、これはセキュリティ研究の非常に興味深い側面です。



対象者：安全倫理の監視はありますか？ 記事には、IRBはこれに興味がないと書かれているためです。



教授：はい、とても面白かったです。 これらの研究には明らかな人間の主題がなかったので、IRBは興味がなかったと彼らは主張しています。 ただし、ほとんどの大学では、直接的な人間の主題はないと単純に言うことはできないため、スパムリンクの一部を購入させてください。 記事では、研究を支援してくれたさまざまな人々や組織に感謝の意を表しています。 このタイプの研究には、特定のアメリカの基準があるとは思いません。 , IRB , , , .



: , 350 -, 28 , , 28 , ?



: , , , . , , 5 , , .

, , , . , , , . , - , , , , – , , .



, , 35 , , , 35 2 — . .







: 350 ? , 350 -.



: . , . , , - . , , , , -.



: , , , .



: , , . , , , , hackback, « ». , - , .







, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .



, . , Microsoft , Microsoft.



, Windows , Windows, , , Microsoft . , . .

何よりも、銀行システムのハッキングに対する州の支援を受けているため、この状況は銀行によって解凍されています。銀行家はお金を大切にしているため、お金を失うと非常に腹を立てます。



したがって、このような決定の長期的な結果は完全には明らかではないため、サイバーセキュリティ、特に攻撃的な操作を確保する負担が民間部門にどのように及ぶかを見るのは興味深いです。



以上で、水曜日にこの講義コースの結果に基づいてプレゼンテーションプロジェクトを検討することになります。





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで1か月間無料で6か月の期間をお支払いの場合は、 こちらで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？