パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ホワイトハッカーってなんだろう」記事へのコメント

  • SecurityFocus記事 (スコア:2, 参考になる)

    by k3c (4386) on 2002年03月01日 11時17分 (#67626) ホームページ 日記
    Yahoo! News(というかZDnet)記事でもちらっと触れていますが、SecurityFocusの記事 [securityfocus.com]が非常に詳しく解説しています。New York Timesのproxyサーバのいくつかに設定ミスがあり、Webブラウザだけで内部のいろんな情報にアクセスできたとのこと。記事にも書いてありますが外からも利用できる、いわゆるopen proxyだったのでしょう。で、このハッカー(Adrian Lamo氏)は、社員の名前と社会保障番号のデータベースを発見し、イントラネットのアカウント発行権限をもつユーザーのアカウントを乗っ取り(デフォルトのパスワードは社会保障番号の末尾4桁)、Lamo氏のアカウントまで作ったそうです。
    さらに、彼はTimes社にコンタクトを取り、設定を誤っているproxyサーバのリストを提供したそうです。なので、Times社はシステムにアクセスしたのがLamo氏であることを既に知って(知らされて)おり、おそらくTimes社が「何者か」と言っているのは、Lamo氏との間で何らかの協定があるのでしょう。名前を出さないとか訴えないとか何とか。

    SecurityFocusの記事の内容から察するにLamo氏はかなり著名なハッカーで、今までにいろんな大企業のシステムに侵入して見せているらしいです。

    で、こういう人々のやったことを見るにつけ考え込んでしまうのですが、結局、ホワイトハットとブラックハットの境界線って、なんなんでしょうね…?ホワイトハットって何?

    侵入可能な脆弱性を抱えたシステムのセキュリティ向上に貢献するヒト…なのかなあ。でも、その脆弱性を実証するためとは言え、無許可で相手のデータベースを改ざんしてもいいのかなあ…?

    # もしかしたら許可をもらっていたのかもしれませんが。
    # 一応職業はSecurity Consultantらしいですが。うーむ。
    • Re:SecurityFocus記事 (スコア:2, 参考になる)

      by wanabee (2827) on 2002年03月01日 13時11分 (#67652) 日記
      彼は今までにも何度か同じようなことをやっています。
      Excite@Homeのセキュリティホールを埋めたハッカー [zdnet.co.jp]
      MCI WorldComのシステムに侵入して手助け [zdnet.co.jp]
      「世話好き」ハッカー,再び登場 [zdnet.co.jp]
      個人的には彼のやり方は「セキュリティの押し売り」のような気がして好きではありません。
      結果的に双方の利益になったとはいえ、表社会で自分を売り込む手法としてはあまりにも強引過ぎる気がします。
      --
      今年の目標考え中
      親コメント
    • 世の中、必要悪って言葉がありますから・・・
      データを失って解るバックアップのありがたみの様に
      入られてわかるセキュリティの重要さというのもアリかな?
      と個人的には思います。

      昔(96年くらい)、某銀行(今は統合されて名前変わってます)のWebサーバに
      セキュリティホールがあって、
      そこで使っている料金計算シミュレーションプログラムや
      経費計算プログラムが盗めた事がありました。
      メールで指摘・対策を送りましたところ、すぐに対策が取られて
      見えなくなり、ちょっといい気分になりました。
      ホワイトハッカーって、こんな優越感みたいなものもあるんじゃないですかね?

      ・・・今でこそ時効という事で、ご容赦を。
      親コメント
    • # もしかしたら許可をもらっていたのかもしれませんが。
      サーバー破りのライセンスを持つ男。007みたいでかっこいー:-)

      # で、ボンドカーみたいにDELLとかIBMのPCを(死

      親コメント
    • by Anonymous Coward
      訴えられないための各種の措置を講じるのがうまい、
      即ち、商売上手なハッカーが白ってことになりそうですね。
      どんなに優秀でも相手やタイミングなんかを間違えると
      吊し上げられて終わりでしょうから。

      そういう意味では白と対比されるのは青なのかもしれませんね
      • by Anonymous Coward
        >#今は、ハッカーよりもウィザードを目指した方が幸せになれるかも。

        なんか言葉がめちゃくちゃになってしまった。。。

        失礼!

        ま、最近はハッカーというとあまり印象がよろしくないような
    • ホワイトハッカー/ホワイトハットは「善玉ハッカー」つまり,本来の「スキルがある優れたプログラマー」で,プログラミング技術を悪い目的に使わないハッカーということです。 特に,悪質な“クラッカー”と区別したい場合に使います。 某帰国子女でした。
      • んー。それは字面の定義ですよね。

        ワタシが疑問に思っているのは、貴方の言葉を借りれば、どこからが「悪い」目的なのか?ってことです。例えば…
        • 裏口のあるWebサイトの管理者に裏口の存在と埋め方を知らせてやる
        • 上の行為に「対価」を要求する
        • 裏口の存在を実証するためにトップページを改ざんする
        • 裏口の存在を実証するためにデータベースを閲覧してみせる
        • さらに偽アカウントを作成してみせる
        • さらにデータベースを改ざんしてみせる
        これらは「善い」目的で行われた「善い」行為なのでしょうか?あるいは目的は行為を正当化するのでしょうか?ってことです。なんかethicなハナシになってきたな。

        # 念のため注:Lamo氏はWebの改ざんはやっていません。というかそれはできなかったと(SecurityFocusの記事中で)言っています。
        親コメント
        • by Anonymous Coward on 2002年03月01日 13時25分 (#67657)

          そうです。私が書いたのは字面の定義だけです。 ハッカーというか,技術コミュニティの哲学的と言うか,思想的な部分とか,前と悪の定義とかには入ってません。ただ,英語圏の「主要メディア」では(これについても定義は勘弁してください),何らかの悪意を持ってクラッキングをする"ハッカー"とそれを防ごうとするとか,社会的な貢献がしたいとかの善意(これも定義は勘弁して)を持ったハッカーを同じ文面で区別したい時に使ってるようです。メディアはそこまで考えてないんでは--ということが言いたかっただけです。

          「Webの改善ができちゃったよ,ここ気をつけたほうがよいのでは」と企業にわざわざお知らせするハッカーといった場合は,善玉なんですか,っていう議論ですよね。k3さんのは。というかこの議論全体は。一部の英文記事とかでは「自称ホワイトハッカー」という書き方もされているみたいです。

          いらない書き込みだったら失礼しました。もう発言はやめます。すいません。

          親コメント
          • いらない書き込みではないということが分かりました :-)

            > メディアはそこまで考えてないんでは--ということが言いたかった

            ブラックとホワイト(とブルー?レッド? (^^;)の区別をマスメディアがややこしくしているというのはあるかもしれませんね。「自称」を鵜呑みにしているというか。

            あるいは、「自称」で区別するしかないのかもしれませんね。自分の良心に悖ることはやっていない、という自負があるか無いか…とか。でも良心に咎めは無くても違法行為だったりするかも…逆にブラックハットを自称するヒトは、自分をなぜブラックだと思うんでしょうか?そっちから考えた方がいいのかな?
            親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...