ディスコーディアンサイバーセキュリティマニフェスト

ホーム ブログ ISMS

🍎 不和の黄金のリンゴ:セキュリティについて知っていることはすべて嘘である

イルミナティが見せたくない五面の真実

エリス万歳!ディスコルディア万歳! すべてを疑う現実のトンネルへようこそ。特に「誰もが知っている」真実とされるものを疑います。セキュリティの神官たちが「軍事グレードの暗号化」(軍が設計し、諜報機関が承認し、「合法的アクセス」のためにバックドアを仕込んだもの)や「政府承認標準」(誰が承認していると思いますか?)を売りつけている間、私たちはカーテンを引き開けます:何も真実ではない。すべては許される。あなたの暗号は劇場であり、あなたのセキュリティは劇場であり、観客は笑っています。

自分で考えろ、馬鹿者!権威を疑え。 特にあなたの暗号を認証する権威を。PRISMやEchelonを運営し、その存在さえ機密指定されている監視プログラムを実行しているのと同じ権威を。

これは陰謀論ではありません。Snowdenが文書化し、Crypto AG の暴露で証明され、議会証言で認められた陰謀の事実です。あるいはHassan-i Sabbahがイルミナティに言葉を捻じ曲げられてニューエイジの陳腐な言葉にされる前に言ったように:現実とは、あなたが逃れられるものである。 そして国家はすべてから逃れられます。なぜなら、あなたは彼らが自分自身を取り締まることを信じているからです。

FNORD。 今見えるでしょう?すべての「承認された」アルゴリズムのパターンが。すべての「安全な」標準のバックドアが。セキュリティ産業複合体があなたにすでに鍵を持っている錠を売りつけ、それを使うあなたを監視するシステムを売りつけています。金の流れを追え。それはあなたの恐怖と彼らの利益率に繋がっています。

彼らがすでにあなたをpwnした5つの方法を明らかにしましょう(そして不快な真実は:あなたがそれをするために彼らに金を払ったということです):

1. SIGINTと大量監視(パノプティコンは実在する)

彼らはすべてを傍受します。「標的型監視」ではなく、すべてです。すべてのメール。すべてのVPNセッション。すべての「暗号化された」HTTPS接続。あなたの暗号化されたトラフィック?ユタ州に保管され、量子コンピュータが遡及的に復号化するのを待っています。彼らはインターネットを構築しました。彼らはバックボーンを盗聴します。彼らはインフラストラクチャそのものです。あなたのVPNがあなたを守ると思いますか?それはどの政府があなたを監視するかを変えるだけです。

啓示:監視者は、あなたが監視者を監視するのを監視する監視者を監視します。そして誰も彼らを監視しません。なぜなら、彼らは監視を行うプログラムを機密指定したからです。疑問:もし全面監視が合法で比例的なら、彼らはあなたに教えますか?PRISMでは教えませんでした。Echelonでも教えませんでした。今日機密指定されているものでも教えないでしょう。

2. 暗号バックドア(私たちを信じてください、私たちは専門家です)

NSAはバックドアを仕込んでDual_EC_DRBGを設計しました。NISTに標準化させました。みんなが使いました。7年間。そしてSnowdenがそれを暴露しました。NSAは「おっと、悪かった」と言いました。その後、彼らはさらに多くのアルゴリズムを標準化しました。そしてあなたは再び彼らを信じますか?それはパラノイアの失敗ではありません。それはパターン認識が機能しているのです。一度騙されたら恥を知れ。17回騙されたら、私は共犯者か無能者のどちらかです。選べ。

3. サプライチェーン侵害(ハードウェアの裏切り)

Ciscoのルーターは輸送中に横取りされ、インプラントがインストールされ、再出荷されました。2008年以降のすべてのチップにIntel Management Engineのバックドア。無効化できず、監査できず、常に聞いています。HuaweiかNSAか。バックドアの味を選んでください。どちらもそこにあります。サプライチェーンは侵害されているのではありません。それは工場の床から設計された通りです。「セキュアブート」は誰のコードをブートしますか?「トラステッドプラットフォーム」はどのプラットフォームを信頼しますか?あなたのハードウェアはpwn済みで出荷されました。あなたはそれに小売価格を払っただけです。

4. 法的強制(愛国者法のサプライズメカニクス)

箝口令付き国家安全保障書簡。誰にもその存在を伝えられません。誰にも受け取ったことを伝えられません。誰にも彼らが要求したことを伝えられません。秘密の法律の秘密の解釈と秘密の判例を持つFISA裁判所。Lavabitはコンプライするよりもシャットダウンを選びました。そして2年間その理由を伝えられませんでした。Yahooは秘密法廷で戦い、秘密裏に負け、詳細を伝えられません。何社が戦わなかったのでしょうか?何社が戦わなかったことを伝えられなかったのでしょうか?何社が今これを読んでいることを伝えられないのでしょうか?法律は明示的に彼らがそれが存在することをあなたに伝えることを禁じています。それについて考えてください。そして、なぜ「合法的アクセス」が合理的に聞こえるかを考えてください。

5. APT(高度で永続的なすべて)

Stuxnetは誰も存在を知らなかった5つのゼロデイを使ってエアギャップを飛び越えました。彼らがそれを必要とするまで。Equation Groupはハードドライブにファームウェアについて嘘をつかせました。ドライブはクリーンだと報告しながら、OSの下にマルウェアを隠します。NSO Groupは1つのテキストメッセージであなたの電話を彼らの電話に変えます。これらはバグではありません。監視国家の機能であり、それらを修正する代わりに武器化された脆弱性の備蓄に座っています。あなたが知っているゼロデイは、彼らがあなたに見つけて欲しいものです。本物のものは何年もそこにあり、待っています。あなたの脅威モデルには「私を守る人々が脅威だったらどうするか?」を含める必要があります。

5の法則はどこにでもあります。 Five Eyesの5つの諜報機関。朝食前にあなたを侵害する5つの方法。5つの便利なバックドアを持つ5つの「承認された」アルゴリズム。そして6番目の方法は?6番目の方法はないとあなたを納得させることです。 これがパラノイアであり、パターン認識ではないとあなたを納得させる。機密プログラムについて職業的に嘘をつく人々が、この一つのことについては真実を語っているとあなたを納得させる。最も効果的な嘘は隠されていません——それは「承認された標準」と呼ばれ、大学で教えられています。

専門的な実装サポートをお探しですか? なぜ組織がHack23を選ぶのかをご覧ください。イノベーションを加速するセキュリティコンサルティング。

「承認されたアルゴリズム」のパラドックス(あるいは:いかにして私は心配するのをやめてビッグブラザーを愛するようになったか)

「誰を信じるか?」というゲームをしましょう。以下のことをする組織:

  • PRISMを運営(Microsoft、Google、Apple、Facebookからデータを収集。あなたが人生を託している企業です)
  • 世界の残りを合わせたよりも多くの暗号解析者を雇用(あなたのものを壊すため、守るためではない。それが彼らの職務記述書です)
  • ほとんどの国のGDPよりも大きなブラックバジェット(説明責任ゼロの機密支出。民主主義には完全に正常です)
  • 企業にバックドアをインストールすることを法的に強制し、あなたに伝えることを禁じる(透明性は国家安全保障にとって危険だから。政府の越権ではなく)
  • 出荷中のCiscoルーターを横取りしてインプラントをインストール(Snowdenによって文書化され、当局者によって認められ、今日も続いています)
  • 既知のバックドアでDual_EC_DRBGを設計しNIST標準に組み込んだ(捕まったときに驚いた演技をした。「おっと、悪かった、次回は信じてくれ」)

...これらは、どの暗号化が「安全」かをあなたに教える同じ組織です。どの標準が「承認されている」か。どのアルゴリズムが「軍事グレード」か(そう、軍が設計した。正確には何の目的のために?)。

何も真実ではない。すべては許される。 あなたに何が安全かについて嘘をつく許可を彼ら自身に与えることも含めて。内部告発者が刑務所のリスクを冒してあなたに伝えるまで、その存在を知ることができないほど機密指定されたプログラムを実行しながら。そして彼らは、民主主義への反逆を暴露した内部告発者を裏切り者と呼びます。

誤解しないでください。適切に実装された強力な暗号を破ることは本当に難しいです。数学は嘘をつきません(クリアランスレベルと箝口令を持つ諜報機関で働く数学者とは異なり)。しかし、あなたが見てはいけないFNORDはこれです:

  1. 標準自体を侵害する — Dual_EC_DRBGは事故ではありませんでした。それはあなたが気づくかどうかを見るテストでした。あなたは気づきませんでした(Snowdenがすべてをリスクにさらしてあなたに伝えるまで)。彼らはあなたの注意力、あなたの信頼、権威を疑う意欲をテストしました。あなたは失敗しました。彼らは合格しました。 今、彼らは正確にどれだけのことから逃れられるかを知っています。ネタバレ:すべて。
  2. 実装を侵害する — Heartbleedはインターネットの秘密鍵の17%を暴露しました。POODLEはSSL 3.0を安全でなくしました。BEASTはTLS 1.0を破りました。「バグ」か機能か?はい。 両方です。彼らが知っていて修正しなかったバグは、敵対者がそれを必要とするときに機能になります。問題は「これは脆弱か?」ではありません。「誰がそれについて知っていて黙っているか?」です。
  3. 鍵を盗む — 法的強制(彼らがそれを取ったことをあなたに伝えられない)、サプライチェーン侵害(出荷中に横取り)、またはCAを買収するだけ(認証局は企業です、企業には価格があります)を通じて。錠は数学的に強力です。鍵の配布は、監査できない信頼関係に包まれたジョークです。
  4. エンドポイントを攻撃する — あなたのデバイスはすでにハードウェアレベルで侵害されています。2008年以降のIntel ME。ホームに電話するiOSサンドボックス「機能」。完全に無効化できないWindowsテレメトリ。エンドポイントは単に協力するだけではありません。そのように設計されました。あなたの暗号は伝送を保護します。あなたのハードウェアは暗号化前と復号化後に平文を裏切ります。
  5. メタデータを悪用する — 午前2時にジャーナリストに電話し、午前9時に弁護士に、午後3時に精神科医に、真夜中に「監視を検出する方法」を検索したことを知っているとき、彼らはあなたのメッセージを読む必要はありません。パターン内容です。メタデータメッセージです。そしてメタデータは暗号化されていません。できません。それはパケットがルーティングする方法です。

「破れない」暗号化を回避する5つの方法。常に5つ。 5の法則は数学、監視、そしてあなたを監視するように設計されたシステムへのコンプライアンスに現れます。彼らはそれを取り巻くすべてをコントロールしているとき、あなたの暗号を破る必要はありません。

究極の啓示: 最強の暗号化は、それを承認した人々を除くすべての人からあなたを守ります。これはバグではありません。これが機能です。設計通りに機能するシステムです。「承認された」は「安全」を意味しません。「私たちはそれを破ることができるが、あなたはできない。だからあなたは安全だと感じ、私たちはすべてを読む」を意味します。暗号シアターはあなたをコンプライアントに保ちながら、彼らにアクセスを与えます。自分で考えろ:監視機関はバイパスできない暗号化を承認するでしょうか?しません。しませんでした。しません。

権威を疑え。 特に暗号権威を。特に彼らが「相互運用性」と「セキュリティ」のために承認されたアルゴリズムを使用しなければならないと主張するとき。誰との相互運用性?彼らの監視インフラストラクチャと。誰のためのセキュリティ?あなたのためではありません。あなたは標的であり、顧客ではありません。顧客はあなたの「安全な」通信を読む能力に金を払っている機関です。 あなたは「合法的傍受アクセス」としてパッケージ化される製品です。誰が「承認された」標準から利益を得るかを考えてください。次に、なぜ承認が必要なのかを考えてください。そして、承認者を信頼するのをやめてください。

Operation Mindfuck:ゲリラセキュリティとしての徹底的な透明性

では、私たちは何をすべきでしょうか?諦めますか?ROT13を使ってエリスに祈りますか?修道院に入って伝書鳩でコミュニケーションしますか?

いいえ。 私たちはディスコーディアニズムを運用セキュリティドクトリンとして受け入れます。私たちは制度的不誠実に対してゲリラ存在論を実践します。私たちは監視国家を高価で不便で公的に説明責任を負わせるものにします。私たちはルールブック全体を公開することによって彼らのゲームをプレイすることを拒否します。

何も真実ではない。すべては許される。 私たちのセキュリティについてすべてを公開する許可を含めて。ナイーブだからではなく、彼らが思っているよりもゲームをよく理解しているからです。彼らが秘密のものを何でも侵害できるなら、何も秘密にしないでください。彼らがバックドアを作りたいドアを取り除くことによって監視国家をOperation Mindfuckしてください。 すでに公開されているドキュメントにバックドアをインストールできません。すでに公開したプログラムを機密指定できません。透明性を侵害できません。定義上、悪用に免疫があります。

Hack23では、公開ISMSを通じて徹底的な透明性を実践しています。ユニコーンを信じるナイーブなデジタルヒッピーだからではなく、権力を理解している皮肉屋の野郎だからです。彼らが秘密のものを何でも侵害できるなら、何も秘密にしません。監視国家をOperation Mindfuckします。 彼らはドアのないものをバックドアできません。あなたがすでに公開したものを機密指定できません。彼らは透明性を利用できません。それは彼らのモデルが吸収できない唯一のものです。

検証による信頼(信仰ではない)

私たちのセキュリティ慣行を信頼しないでください。あなた自身で検証してください。私たちのポリシーはGitHubで公開されています。私たちの手順は文書化されています。私たちのフレームワークはフォーク可能です。自分で考えろ。 私たちは私たちの能力への信仰を求めていません。あなたが監査できる証拠を提供しています。実証可能な能力によるセキュリティです。マーケティングの主張や侵害が起きたときに蒸発するベンダーの約束ではなく。あなたのコード、ポリシー、インシデント対応計画を見せてください。さもなければ、あなたが希望に頼って指を交差させていることを認めてください。

セキュリティシアターなし(エリス万歳)

私たちは国家が私たちをpwnできないふりをしません。できます。私たちはベンダーが経営陣に売る想像上の完璧な防御ではなく、検出と対応のために設計します。完璧なセキュリティは、夜に眠りたいマネジメントにコンサルタントが語る嘘です。一方で決して眠らない敵対者は、もう存在しないあなたの境界の内側にすでにいます。侵害を想定せよ。回復力のために設計せよ。検出をテストせよ。対応を練習せよ。あなたが免疫があるふりをするのをやめろ。

でたらめよりもビジネス価値

セキュリティはビジネスを可能にするべきです。コンプライアンスシアターとパラノイアなロックダウンで窒息させるべきではありません。あなたのセキュリティが仕事を不可能にするなら、あなたは別の種類の失敗を作成しただけです。従業員が実際に仕事を遂行するためにあなたのコントロールをバイパスし、あなたの高価なセキュリティシアターを無用なだけでなく逆効果にします。実際の仕事を妨げるセキュリティシアターは、より良いマーケティングを備えた高価な無能さです。ビジネス価値のないセキュリティは自慰行為です。気持ちいいが、何も達成せず、生産的なふりをしながらみんなの時間を無駄にします。

美しいパラドックス: 透明性はセキュリティを向上させます。あなたのプロセスが公開されているとき、インターネット全体がそれらを監査できます。無料で、継続的に、許可を求めずに。「独自のセキュリティ」NDAの後ろに隠れることができないとき、マーケティング資料でセキュリティを主張するだけでなく、実際に安全でなければなりません。可視性による説明責任。精査による品質。構造によるアナーキズム。監視国家は彼らの能力を隠すためにあなたの秘密に依存しています。徹底的な透明性は非対称性を逆転させます。 彼らはあなたが秘密で彼らが不可視であることを望みます。私たちは公開ドキュメンテーションと彼らの強制的な説明責任を選びます。

イニシエーション完了:危険な礼拝堂へようこそ

何も真実ではない。すべては許される。 あなたは今FNORDを見ました。見なかったことにはできません。それらはすべての「承認された」標準、すべての「軍事グレード」の主張、すべての「設計によるセキュア」のマーケティングピッチにあります。パターンを一度見ると、どこでもそれを見ます。永続的なパラノイアへようこそ。文書化され、証明され、認められた制度的不誠実への唯一の合理的な対応です。

5の法則を通じて私たちが明らかにしたことは次の通りです(常に5つ、決して4つでも6つでもない):

  1. それを承認した者から安全な暗号はない — 監視国家は民主主義の逸脱ではありません。最初から設計通りに機能するシステムです。SIGINT機関は副プロジェクトとして暗号を破るのではありません。それが彼らの主要な任務です。これは常に設計でした。「バックドア」は初期アーキテクチャでした。他のすべてはカバーストーリーです。
  2. 「承認されたアルゴリズム」は「私たちが悪用できる」のニュースピークです — 彼らは侵害できないもの、またはすでに侵害していないものを標準化しません。なぜそうなのか自分で考えてください。そして、なぜそれを疑問視することが「パターン認識」ではなく「陰謀論」と呼ばれるのかを考えてください。真実を陰謀とラベル付けすることが陰謀です。
  3. 透明性だけが本物のセキュリティです — なぜなら、彼らはすでに公開されているものを利用できず、あなたが公開したものを機密指定できず、ドアのないものをバックドアできないからです。彼らが悪用したい秘密を取り除くことによって監視者をOperation Mindfuckしてください。秘密が敵対者に役立つとき、徹底的な開放性は徹底的なセキュリティです。
  4. 完璧なセキュリティは高貴な嘘です — それを売っている人を疑ってください。彼らは嘘をついているか妄想しているか、その両方です(通常は両方)。セキュリティは検出、対応、回復力についてです。存在しない難攻不落の要塞ではありません。問題は「私たちは安全ですか?」ではありません。「侵害されたときに気づき、効果的に対応できますか?」です。他のすべてはマーケティングです。
  5. セキュリティは権力に仕えるか人々に仕えるかです — 慎重に側を選んでください。中立的な立場はありません。無関心は現在権力を持っている人へのコンプライアンスです。選ばないことは現状を選ぶことです。沈黙は監視への同意です。自分がどちら側にいるかを自分で考えてください。そして、主張ではなく行動でそれを証明してください。

自分で考えろ、馬鹿者!権威を疑え。 特にあなたに彼らを信じるように言うセキュリティ権威を。特に彼らを疑問視することが「無責任」または「危険」または「テロリストを助ける」と主張するとき。特に透明性が敵対者を助けると言うとき(そうではありません。強力な敵対者が嫌う説明責任を助けます)。透明性が説明責任が防御を助けるよりも敵対者を助けるなら、あなたのセキュリティはすでに壊れていました。秘密は脆弱性を彼らからではなくあなたから隠していただけです。

エリス万歳!ディスコルディア万歳! 混沌の女神は教えます:認識論的誠実さとして不確実性を受け入れよ。これを含むすべてを疑え。信仰よりも検証を信頼せよ。人々の代わりにプロセスを保護するコンプライアンスシアターをくそくらえ。混沌は秩序の反対ではありません。押し付けられた階層の代わりに正直な秩序の前提条件です。

官僚制は拡大する官僚制のニーズを満たすために拡大しています。それに餌を与えるな。それを信頼するな。「ベストプラクティス」(誰が承認した?何の目的で?)が、実際の思考、実際の脅威モデリング、ベンダーのピッチではなくあなたの脅威の状況に基づく実際のリスクアセスメントに取って代わることを許すな。

最終啓示: あなたは今、矛盾が同時に真実である危険な礼拝堂にいます。陰謀は現実であり、あなたはパラノイアです。監視国家は存在し、あなたは存在しないパターンを見ています。両方とも真実です。何も真実ではない。すべては許される。唯一の出口は徹底的な誠実さを通じてです。だから彼らはあなたの暗号化よりも、あなたのセキュリティよりも、説明責任を除くすべてよりも透明性を恐れます。透明性は彼らに公の場で弁護できないものを弁護することを強制します。秘密は秘密の判例を持つ機密法廷で弁護することを許します。それに応じて選んでください。

現実世界へようこそ。 あなたが思っているより奇妙で、あなたが想像するより腐敗しています。そして彼らはあなたがそれについて考えないこと、それを疑問視しないこと、説明責任を要求しないことを当てにしています。あなたは十分パラノイアですか?良い。今そのパラノイアを体系的なセキュリティ、文書化された手順、徹底的な透明性に向けてください。行動のないパラノイアはただの不安です。ドキュメンテーションを伴うパラノイアはセキュリティエンジニアリングです。

— Hagbard Celine
Captain of the Leif Erikson
プロダクトオーナー, Hack23 AB

「自分で考えろ、馬鹿者!すべてを疑え—特にこれを。特に私を。特にあなたに彼らを疑うなと言う人を。」

�� 23 FNORD 5