セキュリティに疎い昨今だからこそ必読!「ハッカーの学校」恵贈いただきました。
スポンサーリンク
古い友人のIPUSIRONさんから2015/1/23に新しく出された本「ハッカーの学校」を恵贈いただきました。
Amazon.co.jp: ハッカーの学校: IPUSIRON: 本
IPUSIRONさんはインターネット黎明期にセキュリティアカデメイアという膨大なセキュリティ情報を集めたサイトを立ち上げ、そこでは当時のどうしようもないコンピュータマニア達が日夜掲示板で数学から哲学まで様々な話題を議論していました。(現在は掲示板は消滅しているようです)
FrontPage - Security Akademeia
個人的な私見ではIPUSIRONさんはごりごりプログラムを書くハッカーというより図書館の司書ような立ち位置でいつも私たちが突拍子もなく話すむちゃくちゃな話題に丁寧に答えていただいていた記憶があります。当時のメンバーとはその後全くコンタクトは取っていませんがざっと調べてみると金床さんや愛甲健二さんなどはそのままセキュリティ業界に進まれているようです。
Webサイトのセキュリティ対策 - 株式会社ビットフォレスト
現在は業界の人たちの努力により、日常セキュリティに関してほとんど意識する必要がありません。少し前でドキドキしながら入力していたネットショップの情報も今はそれほど抵抗なく入力するのではないでしょうか?そんな昨今だからこそセキュリティとは何か、を問いただす必要があるかと思います。
さて、早速いただいた本を拝見すると流石に10年以上もたってkaliやmetasploitなどだいぶ新しい技術が出ているようです。
kaliはペネトレーションテストを行うことに特化したlinuxOSです。クラッカーなどはこれを利用して他人を攻撃したりします。
metasploitはexploitと呼ばれるプログラムの脆弱性をついたプログラムを扱うプラットフォームでこれにより以前は①ターゲットホストの設定→②exploit→③シェルコードをペイロードに乗せると一つ一つセッティングしなければならなかった攻撃が一連のコマンドで1000以上のexploitをターゲットホストに送ることができるようになりました。さらにポートスキャンソフトなどと合わせ、ターゲットのOS,Webサーバなどのバージョンを確認した後、これらexploitの中から該当するexploitを自動的に抽出し、その全てのexploitを総当たりでターゲットに送りこむことも可能です。もちろん私は他人にそういうことはしませんが現在amazonEC2などのサーバを仮想化して立ち上げることができるので、IPhoneなどのスマートフォンからec2のバージニアにあるlinuxサーバを立ち上げそこにインストールしたポートスキャンやmetasploitを自動的に動かすコマンドを叩き、全く何もないところから電車に乗りながら15分以内にターゲットホストに1000個以上のexploitを送り込み煙のように消えることも可能です。
Penetration Testing Software | Metasploit
その他cain&abelなどの項目も見受けられますが現在多分windowsでcainなんかを使うとその場でウィルスソフトが騒ぎ出すのではないでしょうか?
セキュリティを目指す方は全部知っていた方が良い知識だと思います。とりわけ現在はexploitもほとんど役に立たない時代なのでロストテクノロジー的な感じでしょうが古いサーバを使っているところなどはこれをみて如何に脅威が潜んでいるかを知れる良い本だと思います。
当時最も恐ろしいといわれFBIに逮捕されたケビンミトニックというクラッカーも得意だったのはソーシャルエンジニアリングといういわゆる物理クラックです。
電子データが複雑になればなるほど疎かになるのはそれを扱う窓口のセキュリティスキルです。(amazonなども日夜パスワードを聞きにくるクラッカーが多く大分苦労されているようです。)
敵を知り、己を知らば百戦危うからずという言葉の通り、IPUSIRONさんならではの膨大な知識の中から敵の攻撃に関するきちんとした知識を身につけ、皆様のビジネスに必要な対策されると良いのではないでしょうか?
