アカウント名:
パスワード:
ネットワークドック社 (当時のログによると http://www.network-doc.com/ がURLだが、現在無効) ですか? 2ちゃんねるで祭りが起こってました。 参考 [blackmarket.jp] 製品: CyberWeapon (archive.orgのログ) [archive.org]
このクラックコンテストって始まる前からゴタゴタがあったのを記憶しています。 プレスリリースとして配布された資料ごとにそれぞれURLの記述にミスがあって、 "http://www.crackcontest.com/" と書かれているものと "http://www.crack-contest.com/" が混在していました。2ちゃんねる内でも「どっちなんだ?」という話になって、whoisしたところ後者のドメインは誤り(当時の記憶によるので間違ってるかも)で未登録だったため、勇者がドメインサービスに申し込んで即日のうちに "http://www.crack-contest.com/" という新ドメインを立ち上げ、プレスリリースにある「クラック成功」を主張したわけです。
ここでネットワークドック社が自らの不手際に対して謝罪し、クラックコンテストを出直し再スタートさせれば良かったものを、自らの誤りを認めず「DNS書き換えによるクラックは無効」と一方的に却下してそのままコンテストを続行してしまいました。
さらに運の悪いことにNT4.0+IISできちんと負荷に対する設計がなっていなかったためにクラック目当ての2ちゃんねらー(コンテストなのだから当たり前ですが)の大量アクセスによりアクセス不能(当初あったはずのping応答も無くなってしまったので、サーバが落ちたものと思われる)という事態に発展し、そのままコンテストは表面上何事もなかったことにして終了。
その後勇者様は正式に抗議文を送信し「コンテストのやり直しを要求します」と言ったのだが、あえなく却下。その日のうちに、まるでコンテスト前から準備されていたかのようなお決まりの「誰もクラッキングできずに終わりました。弊社のセキュリティは万全であることが実証されました」というプレスリリースが公開され、祭りに火を付けてしまいました。
あとはひたすら叩きに終始していたので言うまでもないことですが、現在 www.network-doc.com にアクセスできなくなっていることから想像が付くかと思われます。
当時のスレッド参加者の一人より、当時の記憶を頼りに書きました。ところどころ間違いはあるかと思いますがご勘弁を。
想定外の方法で成功した事を無効にするのは、開催側が想定した方法で成功して欲しい のか、いかなる方法でも成功して欲しくないのか……。
「この部分が頑強であることを証明したいのに、なんで他の弱い部分を撃つんだ」 って戦車のテストで言ってるようなもんですね。 そんな戦車が戦場で通用するわけない。
今回のBIOSクラックは、ユーザがBIOSを意図的に破壊するという、まぁあまり無いで あろうシチュエーションでのテストで成功者1名ということですから、そういう意味 でも評価できるのではないでしょうか。
ネットワーク越しのクラックコンテストでも、挑戦者にアカウントを用意して、 「内部のクラッカー」から情報を守るっていうのがあると面白いかも。 どこかやりませんかね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
そういえばハッキングコンテストで… (スコア:0)
これを読んでとあるホームページのハッキングコンテストを
思い出しました。
どこの会社かは忘れてしまいましたが、これもオリジナル
コンテンツが2重化されていて書き換えられると2つ目から
書き戻すって奴でした。
コンテスト開始直後に両方のコンテンツを書き換えて成功。
でも「2つ目のコンテンツを書き換えるのは禁止」(w
という追加ルールが出来て無効。
DNSを書き換えて別サーバに書き換えたコンテンツを置いて
成功した人も現れたのですが、これもDNSは書き換えちゃ駄目(w
ってルールが追加されて無効と笑えるコンテストがありました。
Re:そういえばハッキングコンテストで… (スコア:4, 興味深い)
ネットワークドック社 (当時のログによると http://www.network-doc.com/ がURLだが、現在無効) ですか? 2ちゃんねるで祭りが起こってました。 参考 [blackmarket.jp] 製品: CyberWeapon (archive.orgのログ) [archive.org]
このクラックコンテストって始まる前からゴタゴタがあったのを記憶しています。
プレスリリースとして配布された資料ごとにそれぞれURLの記述にミスがあって、 "http://www.crackcontest.com/" と書かれているものと "http://www.crack-contest.com/" が混在していました。2ちゃんねる内でも「どっちなんだ?」という話になって、whoisしたところ後者のドメインは誤り(当時の記憶によるので間違ってるかも)で未登録だったため、勇者がドメインサービスに申し込んで即日のうちに "http://www.crack-contest.com/" という新ドメインを立ち上げ、プレスリリースにある「クラック成功」を主張したわけです。
ここでネットワークドック社が自らの不手際に対して謝罪し、クラックコンテストを出直し再スタートさせれば良かったものを、自らの誤りを認めず「DNS書き換えによるクラックは無効」と一方的に却下してそのままコンテストを続行してしまいました。
さらに運の悪いことにNT4.0+IISできちんと負荷に対する設計がなっていなかったためにクラック目当ての2ちゃんねらー(コンテストなのだから当たり前ですが)の大量アクセスによりアクセス不能(当初あったはずのping応答も無くなってしまったので、サーバが落ちたものと思われる)という事態に発展し、そのままコンテストは表面上何事もなかったことにして終了。
その後勇者様は正式に抗議文を送信し「コンテストのやり直しを要求します」と言ったのだが、あえなく却下。その日のうちに、まるでコンテスト前から準備されていたかのようなお決まりの「誰もクラッキングできずに終わりました。弊社のセキュリティは万全であることが実証されました」というプレスリリースが公開され、祭りに火を付けてしまいました。
あとはひたすら叩きに終始していたので言うまでもないことですが、現在 www.network-doc.com にアクセスできなくなっていることから想像が付くかと思われます。
当時のスレッド参加者の一人より、当時の記憶を頼りに書きました。ところどころ間違いはあるかと思いますがご勘弁を。
Re:そういえばハッキングコンテストで… (スコア:1)
想定外の方法で成功した事を無効にするのは、開催側が想定した方法で成功して欲しいのか、いかなる方法でも成功して欲しくないのか……。
それと比べると、(偶然的手法でなく)解析して狙い打ちした成功者を、成功者として認めた今回の開催側は立派ですね。
Re:そういえばハッキングコンテストで… (スコア:1)
「この部分が頑強であることを証明したいのに、なんで他の弱い部分を撃つんだ」 って戦車のテストで言ってるようなもんですね。 そんな戦車が戦場で通用するわけない。
今回のBIOSクラックは、ユーザがBIOSを意図的に破壊するという、まぁあまり無いで あろうシチュエーションでのテストで成功者1名ということですから、そういう意味 でも評価できるのではないでしょうか。
ネットワーク越しのクラックコンテストでも、挑戦者にアカウントを用意して、 「内部のクラッカー」から情報を守るっていうのがあると面白いかも。 どこかやりませんかね?
Re:そういえばハッキングコンテストで… (スコア:0)