ハッカーズの紹介
書籍の紹介です。賞金の上限5万円ですが、50万円以上を狙います。なぜって?俺がハッカーだからだ(w
書名: 『ハッカーズ
その侵入の手口 奴らは常識の斜め上を行く』
騙す。欺く。操る。過信と油断に満ちた企業の弱点を突く巧妙な攻撃が、今ここに初めて明かされる。史上最強のハッカーと言われたケビン・ミトニックが認めたその侵入の手口とは?
著者: ケビン・ミトニック、ウィリアム・サイモン 著
峯村利哉 訳
発売予定日: 2006年9月22日(金)
定価: 1,995円(税込)
四六判/544P ISBNコード:4-8443-2316-4
★本書のご購入は、「インプレスジャパンダイレクト」でどうぞ
http://direct.ips.co.jp/hackers/
(送料無料・ポイント10%サービス)
PDFが公開されているから興味のある人は読んで欲しい。11章のうち5章も公開されている。太っ腹だ。
http://home.impress.co.jp/hackers/
この手の本は大抵一定周期で出てくる。なぜかというとハッキングの技術を暗黒面に使い、逮捕された人間が収集源として
語るという犯罪者救済の一環であるからだ。
泥棒が逮捕されて防犯コンサルをやるようなものだ。
本当のハッカーはその技術を暗黒面に使わない。ジェダイの騎士なのだ。なので俺は暗黒面に使ったことがない。
ハッカーとの戦いはよくやる、それは俺の仕事がネットワーク管理者だったからだ。
多くのハッカーはスクリプトキディ程度で、ちょっとセキュリティが低いマシンを探して踏み台程度に使う。
そして大手のマシンをハッキングしようとする。
それは犯罪だという意識がないんだろうか。少なくても日本でそんなことをやって捕まった日には大手のソフト開発とか
セキュリティの仕事にはつけない。アメリカと違うということも知っておきたい。
この手の本の著者はかならず捕まったハッカーの体験談である。ハッカーとしての技術はあるが人間性がだめなんだろう。
そこで知りたいのは「捕まっていない本物ハッカーの体験談」ではないだろうか。
ということで、ソーシャルエンジニアリングとはなんぞや?とかシステムハッキングってなあに?という話を中心に
体験談をいくつかあげよう。
その前に、あなたがハッカーならこの公開されているPDF以外に間違って他のPDFも見れないかなーと
http://home.impress.co.jp/hackers/img/CH06.pdf
あたりをアクセスしたはずだ。
普通するよね?するのがハッカー、しないのが一般人である。っていうかそういうファイルを用意しておいて
「残念!でもいい考えよ!」くらいのPDFは用意して欲しいものである。>インプレス
私がハッキングを知ったのはアスキーのハッカー入門、みたいな本だった。概念は書いてあったがインプリがわからず。
何を書いてあるんだかなー。って感じだった。たしか大学生か高校生の頃だったと思う。
会社に入ってこの会社が「ハッカーの集団」と呼ばれている会社だったとはその頃は知らなかった。
この場合のハッカーというのは「優れた技術者」という意味でコンピュータを使って悪いことをする人、という意味ではなかった。
1988年頃だからもう20年くらい前だ。メールアドレスも funa@sra.junet という 今では使われていないトップドメインを持っていた。
一番最初にやったのは社内にトラップを仕掛けることだった。
パスワードを盗むプログラムをshell で書いた。一見正しいlogin 要求なのだか、入力された文字をロギングし、login 失敗
もう一度どうぞ、と表示して本物のlogin に渡した。
ユーザはタイプミスしたかな?と思ってもう一度行う、すると今度は本物が相手をするのでちゃんとログインできるのだ。
これでパスワードが盗めた。
たまに酒の席で「お前のパスワードはxxxxだろ」と暴露してしまうことがあった。
同期の俺より頭の良い技術者が「俺のパスワードを知っている、しかも有効なのは8文字なのに10文字全部知っているんだよ」と
社内の偉い技術者に相談していた。
結局、社内には俺よりソーシャルエンジニアリングに優れた人間はいなかったわけである。
まあもう20年くらい前の話だ。時効だろう(w 電子計算機不正使用云々の法律がない頃の話だ。
社内には社内システムがあり、保養所を抽選するシステムがあった。
一定期間で申し込んで抽選され、抽選結果が反映されるというシステムだった。
これをなんとか当選させる方法はないかな?と調べ始めた。
すると、ログイン直後にあるキーを押すとプロンプトが出ることがわかった。
ほんの0.1秒くらい、割り込みが有効な時間があり、そこに割り込みキーをねじ込むと
プロンプトが出るのである。
そこからデータベースに直接アクセスできた。
申し込みデータベースのアクセス権限と当選結果のアクセス権限が同じだったのだ。
だからと言って当選後のデータベースを改ざんして違う当選者にすることは不自然極まりない。
利用者も少ないのでそんなことをしたら一発でばれる。
次に目をつけたのは、申込みデータベースの改ざんである。
10人申込みしているとして3人が仲間内での申し込み、となると当選確率は30%である。
だれか当たればいいや、ってことだ。
そこで、仲間内以外の申込み日を変更することにした。
6人分を抽選直前に来年の申込みに変更したのである。すると4人の申込みで仲間内は3人。
当選確率は75%になる。
抽選後に6人分を元のデータに戻す、これで大幅に当選確率を上げていったのである。
これも酒の席でポロっと自慢してしまった。すると、翌週には対策がされてしまったのだ。
きっと担当者が自分の手柄のように対策したんだろう。今でも偉い地位に彼はいる。きっと人の成功を自分の成功に付け替えて出世しているんだろう(w
まあこれも20年くらい前の話だ。時効だな(w
それ以来、人に自慢するのはやめた。おいしい汁はずっと吸ってやろうと決めたのである。
それからいろんなハッキングをやってみた。ハッキング雑誌に投稿することで自分の腕試しを
していたわけである。
一例をあげると「オービス対抗策でスレーブユニットを使う」という手法だ。
あれは俺がAB(アクションバンド)に投稿したのだ。
AB大賞を受賞したっけ。それをまねる業者や激裏情報に流れている情報は俺が発信基地なのだ。
それまでオービス対応スレーブユニットは専門の業者がいた。
1セット10万円以上していたと思う。それを俺は3000円くらいのヒカル小町で実現してしまったものだから
それ以来その業者の広告が載ることはなかった。
まあこんな風にハッキングというのは日常であり、別にコンピュータを使わなくてもソーシャルエンジニアリングで
簡単にハッキングやってみる、っていうことは大切だ。
たとえば、飲食店で「見たよ」というのは効く。
間違って店員が「ああ、雑誌を見たんですね、では飲み物をサービスさせていただきます」とでも言えば
こんなにラッキーなことはない。これは日常のソーシャルエンジニアリングである。
俺が未だに暗黒面に落ちていないのはきっとフォースを使えるジェダイだからなんだろうと思う。
逮捕もされていないし、違法なこともしてない。
マトリックスのアンダーソンのNEOやダースベイダーには暗い未来しかないが、ジェダイには明るい未来がある。
そして、このハッカーズは良い反面教師としていい教科書である。
暗い未来の例である。ハッカー技術を持っていても明るい未来のために最初から使えばいいのである。
ちなみに私の社員番号は、アメリカのハッカー雑誌と同じである。なんか運命的なものを感じる。
これだけでわかるのはケビンミトニックか、アメリカのハッカーだろう。(ちゅうか昔、わざわざこの本を個人輸入しましたよ)
ついでにアメリカの周波数帳みたいなやつもね。FBIとかCIAの使っている無線の周波数を日本で調べて何になるんだろう???
第1章のカジノではないが、同じことを日本でやっている集団がいた。パチンコ相手の梁山泊である。
アタリの周波数とランプの点滅が同調していることに気がつき、あたりを狙っていたのだ。
こんなことをするのは日本でも一緒だな。
一度、梁山泊のボスとお話したことがある。(現在はパチンコ解体業をやっていると思う)
そこで聞いたのは「メーカから対抗策の提案とか聞きに来ないですか?」ってことだ。
すると「来ない、彼らにもプライドがあるんだろう」と言っていた。
教えたかったのは新しいパチンコ攻略方法だった。概念を教えたかった。アイデアはあるが実行は無理なんで、、、
でも「機械を使うのは野暮」ってことで聞こうとしなかった。そんなに特殊な機械じゃないんだけどね。市販されている機械だし。
現在のパチンコ台は攻略しずらくなっている。でも、俺の考え方の攻略法はまだ聞いたことが無い。
きっとまだ有効なはずだ。現在のパチンコ台にもきっとそのセキュリティホールは空いていると思う。
ちなみにこの文章はトラックバックし、締め切りが過ぎた後いくつか書き足したものです。
締め切りまでは駄文で競争相手を油断させておいて、締め切りが過ぎてから本気文章を追加する。
審査までの時間が空いているんだから、そのセキュリティホールを利用しない手はないよね?
だって、この文章は締め切り後に書いたか、締め切り前に書いたかわからないんですから。
え?普通そこをハッカーなら突きませんか?(笑)
さて他にもハッキングの方法や概念を知りたかったら以下の本を買ってみるのも悪くない。
優れたハッカーに君もなれる!かも。
書名: 『ハッカーズ
その侵入の手口 奴らは常識の斜め上を行く』
騙す。欺く。操る。過信と油断に満ちた企業の弱点を突く巧妙な攻撃が、今ここに初めて明かされる。史上最強のハッカーと言われたケビン・ミトニックが認めたその侵入の手口とは?
著者: ケビン・ミトニック、ウィリアム・サイモン 著
峯村利哉 訳
発売予定日: 2006年9月22日(金)
定価: 1,995円(税込)
四六判/544P ISBNコード:4-8443-2316-4
★本書のご購入は、「インプレスジャパンダイレクト」でどうぞ
http://direct.ips.co.jp/hackers/
(送料無料・ポイント10%サービス)
コメント
わりと前から見させていただいております。
今回のお話は琴線にグっときました。
ではまたROMに戻りますw
投稿者: no-color | 2006年10月12日
>no-colorさま
どうも、どうも
「ことせん」ってなんだ?と
ぐぐってみたほどです(w
またセキュリティの話はネタがあったらやりますね!
畔柳さんによろしく!
投稿者: ふな | 2006年10月12日
トロイの木馬人間ver!!!!!!!
投稿者: Falcon | 2011年01月06日
>falconさん
どもども、風邪菌保菌者とかそんな感じですかね。
投稿者: ふな | 2011年01月09日