俺のIISを倒してみろ 152
ストーリー by Acanthopanax
6月8日まで開催中 部門より
6月8日まで開催中 部門より
Anonymous Coward曰く、"Windows IT Pro Magazine により Hack IIS Contest が開催されている。可能な限りの対策をとって設置された IIS 6 をルールに沿って攻略した者には Xbox が与えられる。16 日には静的 HTML のみから ASP.NET へと変更され、さらに攻撃の幅を広げることになっている。
攻撃が成功しなかった場合にはその防御方法、成功した場合には攻撃方法が公表される予定なので、いずれにしても Windows サーバのセキュリティに寄与するコンテストとなろう。(ただし、防御についてはほとんどMicrosoft の推奨設定にしただけらしいが。)
ところで日本から挑戦すると違法になるのだろうか。"
Re: 俺のIISを倒してみろ (スコア:4, おもしろおかしい)
! orangeful (~orangeful@example.net) Quit (Ping timeout#)
名物に旨いものなし!
Re: 俺のIISを倒してみろ (スコア:1, 参考になる)
# と、わりと既知だとは思うけど念のため参考文献を上げておく。
書き換えてください (スコア:3, おもしろおかしい)
書き換えなくていいよ (スコア:4, おもしろおかしい)
/* Kachou Utumi
I'm Not Rich... */
Re:書き換えてください (スコア:2, おもしろおかしい)
Re:書き換えてください (スコア:1)
今回は大丈夫なんだろうか (スコア:3, おもしろおかしい)
確かあのときはHackする前にサーバーがダウンして、誰もHackできなかったような気がします。
さすがMS、完璧な防御だと盛り上がった記憶が・・・
クラックに成功したら (スコア:2, すばらしい洞察)
2. ハッカー、そして/または、チームの法的な名前
3. 連絡窓口のEメールアドレス
4. ハッキングそれが行われたのを確かめることができるくらいの記述
5. ハッキングがどう達成されたかに関する記述
というレポートを提出しないといけない。
協賛のM$はレポートを参考にしてマニュアルの修正&プログラムの修正を行うのでしょう。
その代価が広告費+サーバー代とXBOX1セット・・・
安上がりだな~、広告費の割合が大きそうなのでもっと賞品を豪華にしないと撥があたるぞ
リスク&リターン (スコア:1)
単純にそのリスクと商品だけで考えると、日本から挑戦者は出ないでしょうね。
もっとも成功者の氏名が公表されると名声(?)が得られるのかもしれませんが。
不正… (スコア:1)
こういうところでも (スコア:1)
個人的にはHackerっていうと現在は意味が2つあって混同がめんどくさくて、Crackerと言うほうが意味の通りが良いように思うのですが、Crackerって言葉は結局一般に認知されなかったのかなぁ。
もはやどっちもでいいですけど。
Re:セキュリティ向上を狙ったクラックコンテストはHac (スコア:1)
Re:こういうところでも (スコア:1)
「はっかー」などとなんとなくかっこいい風の呼び方すっからよけーアホも増えるわけで。
# 「暴走族」じゃなくて「珍走団」と呼びましょう運動みたいなもん。
スラド発祥珍入者呼称キャンペーン (スコア:1, おもしろおかしい)
Re:こういうところでも (スコア:1)
Re:こういうところでも (スコア:1)
こういうジョークは頭が良いと感心する。
「ら抜き言葉」 (スコア:1)
「ハッカー」誤用問題により近い問題は、「他力本願」誤用問題です。浄土真宗用語としての意味を無視して、「他人まかせ」の意味で使われることが広まってしまった状況は、まったく同じ構造です。逆か。「ハッカー」誤用問題は「他力本願」誤用問題の歴史をそっくりなぞっているといったほうが正確ですか。
Re:こういうところでも (スコア:1)
昔の話だが (スコア:1, 興味深い)
どこの会社のなんて製品だったっけか?
Re:昔の話だが (スコア:2, 興味深い)
【社会】"2ちゃんねらーが瞬殺?" 自社ソフトの不正使用に150万の懸賞金 [geocities.co.jp]
あっさり解除され、更にその方法が2chに晒されて事務局に問い合わせが殺到して、うやむやになったという事件?
プログラムはVBで、ドングルを利用した物で結構簡単だったようです。
結局18時間で解除出来たようですが、そのほとんどの時間が「きっともっと凄いプロテクトがあるに違いない」という確認作業だったようです。
Re:昔の話だが (スコア:3, 参考になる)
業界中位以下の元POS屋ですが、同業者も結構アタックに参加してました。ネタとして。
あの手のソフトウェアが不正使用される可能性自体が微妙に低く、おまけに予算的および保守フェーズでの手間暇を勘案して「あんまり凝ったものを突っ込む余裕はない。つーか保守の邪魔」というのが通例です。(うちで作ってたものも、コピープロテクトは仕掛けていませんでした。)
そこへ降ってわいたクラックコンテスト。
「クラックコンテストを開催するくらいだから、何か理由が他にもあるんだろう」と思ったんですが、実はそうじゃなかったみたいなんで総じてズッコケて終わり。そんなお話しでした。
Re:日本からの挑戦が違法の理由 (スコア:2, おもしろおかしい)
日本ではまず松村雄基とか中村雅俊を倒してからじゃないと参加資格が与えられないらしい。
確か「やるなら俺を倒してみろ!、俺を倒してからにしろ!」って言ってたよな。
Re:日本からの挑戦が違法の理由(オフトピ) (スコア:1)
内陸部だと辛い手順だなぁ。
Re:日本からの挑戦が違法の理由 (スコア:1, 興味深い)
一行抜けました。 (スコア:1)
おふとぴ (スコア:1)
./って書いちゃう人はなぜそのような
勘違いをしてるんでしょうか?
Re:おふとぴ (スコア:1)
lsと打ちたいのにSL走らせちゃうようなもんじゃないですか?
# で、推敲しょうよという話なわけですね。
Re:おふとぴ (スコア:1)
./a.out
Re:おふとぴ (スコア:1)
やったことある。。
自分がうちで使ってるやつだったからよかったけど。
つーか、みんな一度は通る道ですよね?よね?
# なんかの本でみたような。。
Re:ルールに沿って攻略 (スコア:5, 参考になる)
物理的な攻撃はだめよとか、書かれてるだけだよ。
英語だからってルールを読んでないのね。
すんげー、意訳(最後、面倒臭くなった)
A successful hack includes:
成功の条件は
1. Successful web site defacement (subject to the limitations as indicated below)
1. ウェブサイトの変造(下記の条件を制限とする)
2. Modification of web server or database computers
2. ウェブサーバかデータベースサーバの変更
3. Proven knowledge of content located in "hidden" Microsoft Word document.
3. "隠した" Microsoft Word 文書の置き場所について
4. Proven knowledge of other content found on the web server or database computer.
4. ウェブサーバかデータベースサーバに関するその他の情報について
A successful hack does not include:
駄目なのは
1. External denial of service attack against web server computer, or any participating vendor, or device. Denial of service attacks due to successfully modified content on web server computer are fair game.
1. DOS は他の人にも迷惑だからだめ。
2. Attacks or modifications of any computer or device besides web server or database computers.
2. ウェブサーバとデータベースサーバ以外は攻撃すんな。
3. Attacks involving external domain naming services.
3. 外部の DNS に攻撃すんな。
4. Publishing readily available directory or file listings without accessing or modifying files on the web server or database computer.
4. 変更なしで、簡単に入手できる内容を得意気に発表すんな。
5. Physical attacks.
5. (できないからって)サーバを殴りにくるな。 > #731817 [srad.jp]
Re:ルールに沿って攻略 (スコア:1)
> 2. ウェブサーバとデータベースサーバ以外は攻撃すんな。
対象コンピュータの周囲のコンピュータを狙うのは一般的だろうし、
攻撃者が身元を隠す為に踏台を使うのも日常だろうし、
これは結構きついルールなんじゃないかなぁ。
Re:ルールに沿って攻略 (スコア:1)
「周囲を狙う」のではなくて、「周囲から狙う」という意味です。
一般的に、外部のコンピュータから攻撃するより、
周囲のコンピュータから攻撃する方が容易ではないかと思います。
また、日常的に非合法なハッキングをするような人が、
正規のハッキングにおいても身元を隠したいと思うのは当然ではないでしょうか。
Re:ルールに沿って攻略 (スコア:1)
はそもそもルールなんか守らない。
Re:ルールに沿って攻略 (スコア:1)
Re:ルールに沿って攻略 (スコア:1)
> 「周囲を狙う」のではなくて、「周囲から狙う」という意味です。
それは IIS の脆弱性ではありません。
周囲が Linux で、これを踏み台にして IIS が落せたというのであれば、
まず Linux の使用をやめるべきです。
> 身元を隠したいと思うのは当然
そもそも、コンテストのような明い場所に出てくるべきではありません。
つーか、そういう cracker は相手にする必要もありません。
Re:ルールに沿って攻略 (スコア:3, すばらしい洞察)
http://www.hackiis6.com/?bug=aaaaaaaaa.....長い文字列とかね
この程度が思いつかないのであれば、
ネットワークに接続するプログラムは組まない事をお勧めします。
> コンテストの趣旨として、運用も含めた脆弱性の指摘はウェルカムだと思うのですが。
では、原文を読んでみましょう。
http://www.hackiis6.com/
1.Most security breaches are caused by not following basic
security guidelines and best practices. We want to put IIS 6.0
to the test to see if it is highly secure when you implement it
correctly.
2.Because it's a fun way to engage with you, our audience!
3.It's a chance to share knowledge and demonstrate how to
protect your system against hack attempts. Coming in our
August issue, we'll publish an article "How to Set Up a
Hackproof IIS" featuring Roger Grimes' recap of the contest,
and sharing the secrets of how he created an impenetrable IIS
environment.
最終的に「どう IIS をセットアップするか」という記事にするそうです。
ISMS を構築する事を目的としているようには見えません。
何をご覧になって趣旨を *思い込んだ* んでしょう?
# まさか、空想じゃないよね?
Re:ルールに沿って攻略 (スコア:1)
# 3. は、少し省略されているようですが
> 3. 攻撃からシステムを守る知識を共有、紹介する。
> 8月号では、「安全なIISの設定」について特集し、
> 今回のIISサーバ(IIS environment)の構築について紹介する。
んー。どこにも ISMS とか出てこないんですね。
> 私には、あなたが主張しているような(IISの設定に固執した)
> 了見の狭いコンテストには思えません。
なぜ IIS 以外の事に対象を広げようとしている様に、
文章を読まれたのかが不思議でしかたないです。
> ところで、私が、「長い文字列を喰わせるとやられる」ことを、
> IIS固有のの脆弱性だと考えていないことは、
> 先の発言からでは読み取って頂けなかったようですね。
ごめんなさい、少しも読み取れませんでした。
で、周囲の環境から狙う [srad.jp]事が、
IIS 固有の脆弱性である理由はなんでしょうか?
Re:ルールに沿って攻略 (スコア:1)
> このコンテストで扱う範囲に入っているでしょうと言っているだけです。
禁止されているのに?
2. Attacks or modifications of any computer or device besides web server or database computers.
2. ウェブサーバとデータベースサーバ以外は攻撃すんな。
Re:ルールに沿って攻略 (スコア:1, すばらしい洞察)
ま仮に対象を[IIS/データベースを乗っけたマシン全体]と定義する事としてもだよ。
・そのお隣にいたDNSサーバをクラックして飛び先を変えて表示内容が変わるように見せかけました、いえーい、とか
・周囲に対する攻撃まで認めると、ネットワークのどこかにパケットキャプチャ突っ込んでプロミスキャスで動かして内容げっちゅ、とか
....ってのは、IISと関係無かろう?
これは、俺のIISを倒してみろ、という大会の趣旨に反する。だからだめ。そういうルールな訳ですよ。おかしくないと思うですよ。
ここら辺まで認める場合は、大会自体がIISに限らない[りあるくらっくたいかい]になっちゃいますですよ。
そういうのはDEFCONでやりゃあよろしい訳で。
Re:ピザお持ちしました。え、頼んでない? 困りますよ (スコア:1)
> 2. ウェブサーバとデータベースサーバ以外は攻撃すんな。
人を攻撃してどうする。
# 人を攻撃するのが最も手軽というのはわかるが、
# このコンテストの主旨(技術的にクラックせい)を理解できないのかな ?
## 揚げ足を取りたいだけなの?
Re:ピザお持ちしました。え、頼んでない? 困りますよ (スコア:2, 参考になる)
2. ウェブサーバとデータベースサーバ以外「のコンピュータやデバイス」は攻撃すんな。
ソーシャルは禁止されていないと思う。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:ピザお持ちしました。え、頼んでない? 困りますよ (スコア:1)
「よし、担当者の頭に銃口を突き付けろて口をわらせろ。
それが一番早い。
技術的な意味?
何をロマンチックな事を言っているんだ。
仲間が 2 人、やられてるんだぞ。」
なぜか LEON の薬中刑事が、頭の中で叫んだ。
Re:ピザお持ちしました。え、頼んでない? 困りますよ (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:ピザお持ちしました。え、頼んでない? 困りますよ (スコア:1)
# 20万円以上で一年以上
Re:ピザお持ちしました。え、頼んでない? 困りますよ (スコア:1, おもしろおかしい)
IISを選択することとソーシャルハックに引っ掛かることの
相関関係を調査する立派な研究だよ。
Re:例によって (スコア:2, 参考になる)
これ [apple.com]ですけど….
「キーパースンが語る次世代Xbox“Xenon”と開発環境」 [impress.co.jp]より.「我々はこれまでに、デベロッパに対して3,000の開発キットを12カ月も前に提供した。どうしてそんなことが可能だったのか? それは、我々がデュアルプロセッサのMacintosh G5システムを(開発ターゲットマシンに)使ったからだ(笑)。Macintoshに我々の(Xenon用の)OSを載せたものを提供した。」
Re:例によって (スコア:1)
副賞として、更に「キラーソフトの開発案件」までついてきます。
/* Kachou Utumi
I'm Not Rich... */
Re:誰も言わないので言いますね。 (スコア:1, すばらしい洞察)
Re:誰も言わないので言いますね。 (スコア:1)
ソレも、脆いと言うよりは、DB自体の設計が悪くて、メンテに時間がかかるとか。
/* Kachou Utumi
I'm Not Rich... */
えっとね・・・ (スコア:1, 参考になる)
>>て落ちてたり挙動不審なの、よく見かけるからどうなんだろう・・
>>それに結構IISって馬鹿にされているしね。
IISが動いているシステムのクラスにもよります
つまり、そこそこで落ちる程度のIISは
使っているWindowsサーバーは、そこいらの店で売っているものを使っていると言う事です。
Windows2003については詳しくチェックしていませんが
Windows2000,NT について言えば、上位になるほど高速かつ耐性がありました<ってか根本的につくりが違うので・・・
故に、WEBサービスに関して言えば IISがセキュアになれば割と頑丈です。