サボタージュのためのハック
RinRin王国さんにDNSポイゾニングを評価するを紹介して頂いてました。
人が何かを学ぼうとする動機・何かをしようとする動機なんてのは数少ない。久しぶりに2chのProxomitronフィルタスレ見たらDLのためのProxomitronが貼られてたんですが
話を戻す。以下は以前何処だったかで読んだ話(のうろ覚え)。
僕は特に紙媒体で文書を書く場合は基本的に二番目の立ち位置を選択している。つまり、それが「嘘」だということを分かった上で「これにだけ気をつければ良い」という台詞を探している。根本的な話として「これにだけ気をつければ良い」という台詞なんてのは「嘘」であり、その「これ」の外にある攻撃が「良い攻撃」なんだけど、あるジャンルのある瞬間という限定条件を設定すれば、その台詞は成立することが多いんだ(フィッシング詐欺に関して言うと、DNSポイゾニングを評価するで書いたとおり「DNSポイゾニング以前」は一応成立する台詞があった)。ある瞬間においては「真実」である台詞と、それが「嘘」になる瞬間(例えば超初級ウイルスすり抜け講座とかもそういう話について書いた記事です)。それを繰り返す中でセキュリティ意識とか攻撃意識(「良い攻撃」を考え出そうという意志)を持って貰えれば。と、書いてみよう。
しかし、上で書いた三つなんだけど、「どれが正しいのか」とか「自分がどれを選んでいるのか」というのは難しい問いだなぁ・・・。果たして自分が本当に二番目を選んでいるのかどうかも、正直に言うと良く分からない。
という側面・・・つまり「ウイルスに感染しても自分はそんなに痛くない(感染することで自分もウイルスをばらまく側になるんだけど、それは自分からは見えにくい)」という側面・・・以外の、初心者がセキュリティ対策を行わない理由について。「ブラウザのJavaScript設定は常にオフで必要に応じてオンにする」なんてことを初心者に求めるのか?私は求めます。その人だけが被害を受けるなら自業自得ですが、ゾンビPCになられては周りに迷惑ですから。でも自分のPCがゾンビPCになっても、他人に掛けている迷惑は持ち主からは殆ど見えないので罪悪感を持つ事も無く、こうした説教は効かないんですよね。
RinRin王国さんの言及より
人が何かを学ぼうとする動機・何かをしようとする動機なんてのは数少ない。久しぶりに2chのProxomitronフィルタスレ見たらDLのためのProxomitronが貼られてたんですが
887 名無しさん@お腹いっぱい。まぁ、なんというか、そういう意図です(ぇー。
ttp://www.tokix.net/txt/000144.html
もはや初心者に理解出来る内容じゃないなw
「URLを細かく分割する」のところで逃げ出す奴が大勢いるだろう。
890 名無しさん@お腹いっぱい。
>>887
でもエロに関してのパワーはすごいぞ。
動機が動機なだけに理解するところまで頑張った人も多そうだw
話を戻す。以下は以前何処だったかで読んだ話(のうろ覚え)。
ある会社では、社員のログインパスワードを一週間に一度変更させるシステムが動いている。全ての社員は一週間に一度パスワードの変更を行わなければいけない。システム管理者が社員パスワードの外部漏洩を防ぐために組んだシステム。社員は皆「面倒だなぁ」と思いながらも、現在のパスワードと同じパスワードを設定しようとすると「新しいパスワードを設定してください」とエラーが出るので仕方なくパスワードを毎週変更していた。
ところがある時、一人の社員がこのシステムを「ハック」した。現在のパスワードと同じパスワードを設定しようとすると「新しいパスワードを設定してください」とエラーが出るのだが、この時記憶されているパスワードは直近三件だけだったのだ。つまり、毎週パスワードを変更し、変更直後に二回続けてパスワード変更を行うと、先週までのパスワードはシステムログから消える。その後でなら先週と同じパスワードに変更することができるのだ。
こうして彼は社員の間で「ヒーロー」となり、社員は皆毎週一回「パスワード変更→パスワード変更→パスワード変更→先週と同じパスワードへの変更」を行うようになり、せっかく「セキュリティ意識の高い」管理者が組んだシステムは無駄になってしまいましたとさ。
ウェブ上で垂れ流される「JavaScriptは常にオフに〜」という台詞は(RinRin王国さんが指摘されているように)無視されるし、無視される場所でウイルスは拡散している。それだけでなく、例えば僕がPC初体験な友人のために自作マシンを組んだとして、そのマシンにSleipnirとか入れてデフォセキュ設定を「JSオフ」にしてJSをオンにする方法を教えて帰ったとして、彼はいずれそのマシンを「ハック」するんだ。つまり、そんな面倒なことをせずともデフォでJSが動く設定に変更することを覚える(それ「すら」しない人間はどうせセキュリティ意識など持つことはない)。人はエロとサボタージュのために知識を蓄え、「ハック」を行う。少なくとも、その前提の上でしか「セキュリティ」なんてのは語れないはずなんだ。ところがある時、一人の社員がこのシステムを「ハック」した。現在のパスワードと同じパスワードを設定しようとすると「新しいパスワードを設定してください」とエラーが出るのだが、この時記憶されているパスワードは直近三件だけだったのだ。つまり、毎週パスワードを変更し、変更直後に二回続けてパスワード変更を行うと、先週までのパスワードはシステムログから消える。その後でなら先週と同じパスワードに変更することができるのだ。
こうして彼は社員の間で「ヒーロー」となり、社員は皆毎週一回「パスワード変更→パスワード変更→パスワード変更→先週と同じパスワードへの変更」を行うようになり、せっかく「セキュリティ意識の高い」管理者が組んだシステムは無駄になってしまいましたとさ。
- その「サボタージュ」がいかに危険な行為なのかを教え込む
- その「サボタージュ」を行ったままセキュリティを高める方法を考える
- 「サボタージュ」を行う人間を無視して話を進める
僕は特に紙媒体で文書を書く場合は基本的に二番目の立ち位置を選択している。つまり、それが「嘘」だということを分かった上で「これにだけ気をつければ良い」という台詞を探している。根本的な話として「これにだけ気をつければ良い」という台詞なんてのは「嘘」であり、その「これ」の外にある攻撃が「良い攻撃」なんだけど、あるジャンルのある瞬間という限定条件を設定すれば、その台詞は成立することが多いんだ(フィッシング詐欺に関して言うと、DNSポイゾニングを評価するで書いたとおり「DNSポイゾニング以前」は一応成立する台詞があった)。ある瞬間においては「真実」である台詞と、それが「嘘」になる瞬間(例えば超初級ウイルスすり抜け講座とかもそういう話について書いた記事です)。それを繰り返す中でセキュリティ意識とか攻撃意識(「良い攻撃」を考え出そうという意志)を持って貰えれば。と、書いてみよう。
しかし、上で書いた三つなんだけど、「どれが正しいのか」とか「自分がどれを選んでいるのか」というのは難しい問いだなぁ・・・。果たして自分が本当に二番目を選んでいるのかどうかも、正直に言うと良く分からない。
TrackBack
この記事へのトラックバック