ハッカーズ
- 作者: ケビン・ミトニック,ウィリアム・サイモン,峯村利哉
- 出版社/メーカー: インプレス
- 発売日: 2006/09/21
- メディア: 単行本(ソフトカバー)
- 購入: 4人 クリック: 37回
- この商品を含むブログ (64件) を見る
どの話も非常に面白いけれどかなり衝撃的な話もあった。
個人的に一番ショックだったのはChapter2。
これはテロリストらしき人物がIRCで子供達をそそのかして、航空会社や軍の施設などにハッキングをさせるという話。この人物が本当にテロリストかどうかは定かで無いのだけれど、少なくともテロリストが重要な機密情報を入手することが簡単にできてしまうことは確実。
こうして9.11テロは起きたのではないかと思うといろいろと考えさせられるものがある。
それからChapter6。
これは会社のセキュリティ状況を確かめる為に、合法的に侵入試験(ペネトレーションテスト)をしてもらうという話。
何がショックかという言うと企業(しかも話にでてくる会社は製薬会社)のセキュリティに対する意識の低さ。
- 偽装した社員証をリーダーに通したらエラーが起こった -> 機械の故障と考えてすんなり警備員は通してしまう。
- 体温を感知して内側からのみ自動で開く実験室のドア -> すき間からホッカイロを中に入れたら外から開けられた。
- パスワードがデフォルト状態である社員がものすごく多い。
- 警報器が鳴っても「間違って鳴らしてしまった」と言えば何も言わない警備員。
などなど。あまりにもずさん過ぎるがこういう状況の会社は多分沢山ある。
非常に面白かったのはChapter1。
ポーカーマシンからチップを取りだし、コードを抜きだし逆アセンブルして、乱数発生器のアルゴリズムを解析してしまうというもの。
結局疑似乱数ってのはあらかじめ決定している数列なわけだし、ゲーム器なんかの乱数は周期が短い場合が多いので予測しようと思えばできてしまう。
それで実際にカジノで数十万ドル稼いでしまうという過程が詳細に書かれている。靴底にスイッチを隠して自作したミニPCで計算させるなどなどとてもおもしろかった。
他にも銀行をハッキングする話や、刑務所の中から外部のネットワークに接続してしまう話とか非常に多くの実話が紹介されているが、どれにでも共通して言えることは、「本物のハッカー相手に常識は通用しない」ということ。
例えば、
- 社内ネットワークを外部に接続しなければ、ハッカーは入り込めない <- 本物のハッカーは物理的に侵入し無線アクセスポイントを設置してしまう。
- 'や<や>を弾けばSQLインジェクション対策は万全 <- 本物のハッカーはプログラムそのものを(バイナリレベルで)書換えた記号を弾かないプログラムと置き換えてしまう。
などなど。ハッカーというとどこかに隠れてネットワーク越しに侵入してくるものというとイメージが強いけれども、決してそうでは無い。社員に成りすまして侵入したり、捨てられているごみを漁ったりと言った事だってしてくる。
そして、大抵は侵入される側の管理体制がずさんであることが原因。
ちょっと考えただけでも思い当たる事はいろいろある。例えば自分の自宅サーバーとかノートPCなどのログインパスワードはみんな同じだ。さすがにアルファベットだけでなく記号も混ぜているけれども、どれか一つ破られたら残りも一気に侵入されてしまう。とりあえず、パスワードみんな変えよう。
それからこの前学生証をうっかり忘れて外に出てしまって入れなくなって困ったときも(普通は学生証をリーダーに当てないと入れないが)ある方法で簡単に中に入れてしまった。あぶないなぁ。
ハッカーの中には何も悪さをせず、自ら名乗りでてセキュリティの向上に協力するような人達もいるし、純粋に技術的な興味からハッキングをする人もいる。金を稼ごうとか本当に悪さをするつもりでやっている人ばかりではないということがよくわかった。
もちろん自分は他人のマシンに侵入したりはしないし、ハッキングは良く無い。しかし、侵入されて初めてセキュリティについて学び、自覚を持つことができるというのも確か。ペネトレーションテストに理解を示さない企業が多いことは非常に残念としか言いようがない。