国連 vs. クラッカー 22
ストーリー by mhatta
まあありがちなパターンではある 部門より
まあありがちなパターンではある 部門より
pinbou 曰く、
本家/.の記事より。国連のウェブサイトが3名(?)のクラッカーによってクラックされ、潘基文事務総長の演説内容が米国やイスラエルを非難するコメントに書き換えられた(編注: 掲載時点では、「This site will be temporarily unavailable due to scheduled maintenance.」となってコンテンツが閲覧できない)。
hackademixの記事によると、今回衝かれたのはSQLインジェクション。hackademixの著者は「国連のような著名なサイトに、このような良く知られていて対処も容易なセキュリティホールが放置されていたのは驚きだ」とコメントしている。
この手のニュースに (スコア:5, すばらしい洞察)
どこにでもあるウェブサーバーを使い、どこにでもある情報を公開してるだけなんでしょうから。
その程度のセキュア認識であったことが露呈されただけで、今回の改ざんによって国家の存亡を揺るがすような事態が起きたり、深刻な機密情報が漏れたわけでもないでしょう。
いまどき既出の手法でウェブの内容を書き換えたところで、ハッカーとしての売名行為にもなりません。
ひとむかし前、官庁や公的機関など国家権力の中枢をターゲットにハック・攻撃することを「サイバーテロ」なんて呼ぶこともありましたが、反体制が国旗を燃やすパフォーマンスと同じで、ニュースになっても政治的脅威にはなりえません。
yahooやgoogleが改ざんされたら、それこそ国際的な大ニュースですが、国連のサイトが1日や2日消えてなくなっても誰も気にも止めないのではないでしょうか。
Re:この手のニュースに (スコア:3, 興味深い)
-- 哀れな日本人専用(sorry Japanese only) --
Re:この手のニュースに (スコア:1, すばらしい洞察)
それって、事務総長のふるさとでいつもやってることを、やりかえされただけじゃないの?
だったらさほど怒るほどのことでもないのは同意。
Re:この手のニュースに (スコア:0)
や、さすがにこれは嘘だろ。どこがすば洞だ。
どうもすらどにはあれげ世界を過大評価している節があるよね。あれげ世界なんて狭いって。どっちにニュースバリューがあるなんて、無意味かと。
Re:この手のニュースに (スコア:0)
国連のサイトに仕込まれることで、各国の政府機関等に飛び火することは容易に想像できます。クラッカーの方も、この手の国際機関をターゲットにすることを考えるでしょう。今回がたまたま愉快犯だったからと言って安心してはいけません。職業的クラッカーの脅威を考慮する必要があります。
タイトル (スコア:2, すばらしい洞察)
別に攻性防壁で電脳ハックし合ってるとかってわけでもないのに、「vs」って言い過ぎですよね。
たれこんだ人間は、「こじゃれたタイトル」とか思ってるのかもしれませんが、こういう夕刊紙みたいなあおった見出しをつけてると、サイトの質が下がると思います。どこかのgigazineとかEngadgetとかみたいに下卑てて。
##万が一、こういうあほなたれこみがきても編集者が適切なタイトルにつけなおすべきだと思うんですけどね。ちゃんと濾過してほしい。
Re:タイトル (スコア:0)
Re:タイトル (スコア:0)
タレコミんときの注意には、「いちばん大切なことは、わかりやすくおもしろいタイトルと本文を書くこと。」と書いてある。
人によっては「夕刊紙みたいなあおった見出し」をおもしろくわかりやすいと感じることもあるだろう。
>サイトの質
編集者も含めてそういうサイトなんだよ。ここは。質を上げたかったら品のあるタレコミを頼むね。
Re:タイトル (スコア:0)
すば同ぐらいつけばモデレータ見直したかもしれないけど、スラドはどんどん・・・いわゆる質の低いスラドに変貌。
Re:タイトル (スコア:0)
スラドしかり、Wikipediaしかり‥
Re:タイトル (スコア:0)
国連以外でも (スコア:1, 興味深い)
- indexが丸見え
- オレオレ証明書を使用
- httpsのページがhttpでも閲覧できる
なんてのがある。一応は直接的には軍事には直結してはいないサイトなんだけど、ちょっと手抜き過ぎでないか。
Re:国連以外でも (スコア:4, おもしろおかしい)
気をつけろ! それはハニーポットだ!
Re:国連以外でも (スコア:0)
調子に乗ってアクセスしまくったりしないほうがいいんじゃねえの?
Re:国連以外でも (スコア:0)
jtwc?
ブラウザが「オレオレ証明サイトだけど、開いていい?」
ってアクセスの度に聞いてくるのは、確かに面倒くさいかも。
>著名なサイトに、このような良く知られていて
>対処も容易なセキュリティホールが放置
「ウチのサイトにわざわざハックかけてくる奴なんか、居ないだろ」
みたいな慢心があったんだろうねぇ。
俺だって、こんなニュースでも無いと、国連のサイトを見ようか
なんて思わないもん。
Re:国連以外でも (スコア:0)
別に問題ないですね。
> * httpsのページがhttpでも閲覧できる
別に問題ないですね。
Re:国連以外でも (スコア:0)
>別に問題ないですね。
それがcgiフォルダのような特別な場所であってり下位に公開すべきでない情報が、
認証無しで保存されてなければという前提の上ですね。
案外、その当たり前の前提が出来ていないことがあって、あるサイトでは全文検索に
パスワードと入れるとコンテンツ管理システムのログイン情報が出てきました。
>> * httpsのページがhttpでも閲覧できる
>別に問題ないですね。
確かに。
オレオレ証明書で作られたhttpsでは、逆説的に皮肉をこめて「問題ない」かもしれない。
ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。
今でも、httpsはコチラと選択式になってる事があるけどSSL非対応ブラウザなどに配慮してなのか、
単に他がやってるからウチも同じにしておこうという事なのかで仕様の評価が分かれる所。
Re:国連以外でも (スコア:0)
> > 別に問題ないですね。
>
> それがcgiフォルダのような特別な場所であってり下位に公開すべきでない情報が、
> 認証無しで保存されてなければという前提の上ですね。
公開すべきでないファイルがそこに置かれていないことは必須であって当然。
公開すべきファイルが置かれているがindex丸見えでなきゃいいとか言うの?
そんなわけない。だから、indexが丸見えなのは別段問題ない。
むしろ、ちゃんとまずいファイルはありませんよ、という情報公開の精神だろ。
> ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。
そんなことしても何の意味もありませんよ。
Re:国連以外でも (スコア:0)
>そんなことしても何の意味もありませんよ。
パケットを盗み見できる攻撃者がhttpな所へ誘導することでhttpsで暗号化したかった情報を盗み見できますよ。
ちゃんとSSLになってるか確認する慎重な人ばかりではないでしょうしね。