ホワイトハッカーってなんだろう 67
ストーリー by wakatono
白魔術師のイメージ? 部門より
白魔術師のイメージ? 部門より
youkan曰く、"zdnetでは「New York Timesの社内ネットワークに侵入者」の記事で、侵入者は誰だかわからないとされているが、iDEFENSEの記事では、「ホワイトハッカー(悪意のないハッカー)Adrian Lamo氏が、ニューヨークタイムズ紙の企業イントラネットへのアクセスに成功した。」それも2分で!と書かれている。
私はこの「ホワイトハッカー」という言葉をいままで知らなかったのですが、グーグルで調べてみると、ホワイトハッカーとは、擬似アタックを行うことで技術の進歩に貢献している技術者、というような定義なんですかね?"
「ネガティブ」 (c) スポック氏 (スコア:5, すばらしい洞察)
> 擬似アタックを行うことで技術の進歩に貢献している技術者
ライブというか実用に供しているシステムでこういう 「パフォーマンス」をやる時点で終わっていると思う。
前の会社で「これこれしかじかだからセキュリティは確保できない」 と宣言したら、ディーラのエンジニアは「じゃ、ハックして実証して ください」と言ってのけましたよ。もちろん速攻で「そんなことは できない」と拒否してますが。
いや、簡単にクラックできたんですけどね。失敗すれば「あいつは 口先だけ」、成功すれば「あいつは危険」というわけですよ。どっち に転んだってこっちがワリを食うわけ。技術力じゃなくて政治力・ 戦略の最たるものですな。さすがディーラ。歴戦のツワモノじゃん とは思ったけど。
ま、結局は私が脆弱性を指摘してから一年ともたず、目一杯 MTA の 踏み台にされちゃったんですが(笑)。こうした背景を考えれば 『ホワイトハッカー? それって食べられるの?』ってなもんです。
「擬似アタック」なんてのはレトリックです。できあいの消防訓練 なんです。「やらないよりはまし」だけど「やっていれば『OK』」 なんてのは完全な錯誤。「ファイアウォール設置すれば安全」という 盲信と同じレベルですね。
無知・無関心なエグゼクティブから、本来必要な予算枠を確保させる ためのパフォーマンスとしては、有効… という余地はあるかも しれません(爆)
--- Toshiboumi bugbird Ohta
Re:「ネガティブ」 (c) スポック氏 (スコア:2, おもしろおかしい)
サクマドロップスのハッカって白いですよね :-)
#ごめんなさいごめんなさいごめんなさいごめんなさい
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
# 粉まみれだとソックリだから…
## 激しくオフトピ。
Re:「ネガティブ」 (c) スポック氏 (スコア:1, 興味深い)
Etherealでネットワークを監視してると、
メールのパスワードとかみえちゃうんだよね。
管理者だからパスワードは元々知ってるし、、、
なんか、犯人探すために盗聴してたら関係ない人の話まで
聞いちゃってるような気がして、一人で気まずい思いしてる。
セキュリティー確保のための行為≠ハッキング
って図式の中で、サーバーやネットワーク管理者の仕事って
グレーゾーンになってるところって多くありません?
規則をつくるにも決定権のある上司は知識ないし、
「Ethereal禁止」なんてヘタに言うと、「etherealって
ネットワークがみれるソフトがあるんだ」なんて教えちゃうこと
になるし、、、
みなさんは(というかみなさんの会社は)どうしてます?
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
> メールのパスワードとかみえちゃうんだよね。
管理者なら自分の権限でとりあえず APOP に移行とかの手段を取れるのでは?
今はもっといろんな手がありますよね?
# 平文で保存する APOP サービスとかあったなあ。
ま、政治層(でしたっけ?)の障壁で今すぐはできないってのはありがちかな。
> 管理者だからパスワードは元々知ってるし、、、
これはどういうことでしょうか?
わたしは大昔、短期間ですが管理人をやっていたときは、乱数(乱文字列?)生成して渡していました。利用者当人さえ覚えられないようなのが出るので、多数出すこっちはおぼえようがありませんです :-)
# とても覚えられないから利用者が自分でパスワードを変更する、の誘発を狙ったが、多くがわたしたポストイットをそのまま貼り付けていたりするのに失望して管理人を降りた(うそだ、クビになったんだ)
パスワードを変えないユーザ (スコア:1)
やっぱり何処かからくらっきゅしてもらわなきゃダメかしらん。
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
>失敗すれば「あいつは口先だけ」、成功すれば「あいつは危険」というわけですよ。
ん?「技術を持ったエンジニア」って評価はもらえないんですか?
一般商社ならともかく、技術を売り物にしている会社だったら同僚から一目おかれるくらいの対応をもらえないものでしょうか?
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
そういえば,タイガーチーム,なんてのもありましたね.
「タイガーチーム」の困るところは,
これは正しいが とは必ずしもいえない,ということ.まぁ,アタックする側の技量にもよるバラツキ,というのも大きいとは思いますが.
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
そういう会社なら「じゃ、ハックして実証してください」とは言わないだろうなぁ(^^;
Re:「ネガティブ」 (c) スポック氏 (スコア:2, すばらしい洞察)
ベンダはずしに利用された例と見ることもできますな [srad.jp]。
Re:「ネガティブ」 (c) スポック氏 (スコア:1)
一般的には「タイガーチーム」って、
開発者の中でも特に技術力のある人間を集めて作った、
(先行開発などのための)精鋭部隊のことをいうんじゃないか?
# mishimaは本田透先生を熱烈に応援しています
白ハッカー、黒ハッカー (スコア:3, おもしろおかしい)
私は黒から転職した白ハッカー・・・と信じたい。
Re:白ハッカー、黒ハッカー (スコア:1)
Re:白ハッカー、黒ハッカー (スコア:1)
ってことは、南青山のハッカーはみんな黄ハッカーですか?
Re:白ハッカー、黒ハッカー (スコア:1)
こんなところまでリストラの波が押し寄せて…
Re:白ハッカー、黒ハッカー (スコア:1)
最近は,「途中から6人に増える」が定番です.
今年の3人は,「ライブマンと同じか?」と思っ
ていたら第1回放送のオープニングから
残り2人の影が写っているのに驚きましたが.
(ライブマンのリーダは,今ではチームEYESの
隊長だし.)
>こんなところまでリストラの波が押し寄せて…
今年の仮面ライダーは,12人とか13人とかで,
とにかく大増員です.(^^)
Re:白ハッカー、黒ハッカー (スコア:1)
ほほぉ。
ところで7人だった忍者キャプターは一体なんだったんだろう…
あれって戦隊なんでしょうか?
>今年の仮面ライダーは,12人とか13人とかで,
仮面ライダーやウルトラマンって、定年、無いですよね。社員(ぉぃ)は増える一方。
すごいなあ。やっぱり人ならぬ超人連中による企業は、我々のソレとは一味違うんだな。
(O/T)白/黒/赤/青 (スコア:0)
#あ、これじゃ青がないか。
黒か白か、オセロのごとく (スコア:2, すばらしい洞察)
でも、大部分の(言葉の本当の意味での)ハッカーは善意の存在だと信じたいですね。
Re:黒か白か、オセロのごとく (スコア:2, おもしろおかしい)
256 階調ぐらいのグレースケールで決めることにしましょう。(笑
Re:黒か白か、オセロのごとく (スコア:2, おもしろおかしい)
「おまえって、OXFEなやつだよな!」
みたいに?
意訳すると、
「おまえって、真っ白なやつかと思ってたけど、
微かに黒い香りがしないでもないような、
多分そんな感覚に似た何かを感じさせるような、
そんなやつだと思う。
と、誰か言われてたように思うんだが。
言われて無かったか。。。
気のせいか?」
ってなところでしょうか。
Re:黒か白か、オセロのごとく (スコア:2, おもしろおかしい)
> 256 階調ぐらいのグレースケールで決めることにしましょう。(笑
日本人は他者と差をつけられるのを好まないので、3階調で十分と思われます。
> たぶん魔術からのアナロジーなんでしょうが、白も黒も同じ技術を持っているわけで、
両方使える人は赤ハッカーなんでしょうか。
Re:黒か白か、オセロのごとく (スコア:1)
日本でなら,「鉄人28号」でしょう.
『いいも,わるいも,リモコンしだい』
Re:黒か白か、オセロのごとく (スコア:1)
まあでも、白ハッカーという言葉自体からは、なんとなく良いイメージがあるような感じは受けるですけれど(^^)。
-------- SORAMINE Yukino
Re:黒か白か、オセロのごとく (スコア:1)
100に白黒足して102が限度かと。
Re:黒か白か、オセロのごとく (スコア:1)
西部劇でも、白い帽子の男は正義の味方で、黒い帽子の男は悪漢というフォーマットがあるらしいです。
そんな簡単に善悪割り切れて楽しいか? と思ったりもしますが。
Re:黒か白か、オセロのごとく (スコア:1)
Re:帽子の色? (スコア:1)
# 「あなはいむは,ねおじおんにも,もびるすーつを供給しているんですよ!」とか。(何か違う)
Re:帽子の色? (スコア:1)
でも、redhat のトレードマークを見る限りはこの意味を元ネタにしてるのではなさげだが。
# mishimaは本田透先生を熱烈に応援しています
Re:黒か白か、オセロのごとく (スコア:1)
Re:黒か白か、オセロのごとく (スコア:1)
# 「白クラッカー」は「大量殺戮兵器 made in USA」みたいで 気持ち悪いけど。
-- 哀れな日本人専用(sorry Japanese only) --
Re:魔術って話だと (スコア:1)
いろんな魔術の定義とか地方とかによって違うので、
そういう区分は出来ないのでは?
黒魔術:悪魔の力を借りる
白魔術:天使や聖霊、神の力を借りる
ってのが一番わかりやすい定義じゃないかと。
#これだとどれも「他者のリソースを借りる」ですな。
#他者のリソースを借りる、って話だと、「生け贄」とか「供物」とかも
#それに当たる・・・かな?
#黒魔術だと生け贄、ってイメージも多いけど、普通の(悪神じゃない)神様でも
#生け贄を要求する場合がありますからねぇ・・・。
---- redbrick
SecurityFocus記事 (スコア:2, 参考になる)
さらに、彼はTimes社にコンタクトを取り、設定を誤っているproxyサーバのリストを提供したそうです。なので、Times社はシステムにアクセスしたのがLamo氏であることを既に知って(知らされて)おり、おそらくTimes社が「何者か」と言っているのは、Lamo氏との間で何らかの協定があるのでしょう。名前を出さないとか訴えないとか何とか。
SecurityFocusの記事の内容から察するにLamo氏はかなり著名なハッカーで、今までにいろんな大企業のシステムに侵入して見せているらしいです。
で、こういう人々のやったことを見るにつけ考え込んでしまうのですが、結局、ホワイトハットとブラックハットの境界線って、なんなんでしょうね…?ホワイトハットって何?
侵入可能な脆弱性を抱えたシステムのセキュリティ向上に貢献するヒト…なのかなあ。でも、その脆弱性を実証するためとは言え、無許可で相手のデータベースを改ざんしてもいいのかなあ…?
# もしかしたら許可をもらっていたのかもしれませんが。
# 一応職業はSecurity Consultantらしいですが。うーむ。
Re:SecurityFocus記事 (スコア:2, 参考になる)
個人的には彼のやり方は「セキュリティの押し売り」のような気がして好きではありません。
結果的に双方の利益になったとはいえ、表社会で自分を売り込む手法としてはあまりにも強引過ぎる気がします。
今年の目標考え中
Re:SecurityFocus記事 (スコア:1)
データを失って解るバックアップのありがたみの様に
入られてわかるセキュリティの重要さというのもアリかな?
と個人的には思います。
昔(96年くらい)、某銀行(今は統合されて名前変わってます)のWebサーバに
セキュリティホールがあって、
そこで使っている料金計算シミュレーションプログラムや
経費計算プログラムが盗めた事がありました。
メールで指摘・対策を送りましたところ、すぐに対策が取られて
見えなくなり、ちょっといい気分になりました。
ホワイトハッカーって、こんな優越感みたいなものもあるんじゃないですかね?
・・・今でこそ時効という事で、ご容赦を。
Re:SecurityFocus記事 (スコア:1)
# で、ボンドカーみたいにDELLとかIBMのPCを(死
Re:善玉ということです>>Re:SecurityFocus記事 (スコア:2, すばらしい洞察)
ワタシが疑問に思っているのは、貴方の言葉を借りれば、どこからが「悪い」目的なのか?ってことです。例えば…
- 裏口のあるWebサイトの管理者に裏口の存在と埋め方を知らせてやる
- 上の行為に「対価」を要求する
- 裏口の存在を実証するためにトップページを改ざんする
- 裏口の存在を実証するためにデータベースを閲覧してみせる
- さらに偽アカウントを作成してみせる
- さらにデータベースを改ざんしてみせる
これらは「善い」目的で行われた「善い」行為なのでしょうか?あるいは目的は行為を正当化するのでしょうか?ってことです。なんかethicなハナシになってきたな。# 念のため注:Lamo氏はWebの改ざんはやっていません。というかそれはできなかったと(SecurityFocusの記事中で)言っています。
Re:善玉ということです>>Re:SecurityFocus記事 (スコア:1, 参考になる)
そうです。私が書いたのは字面の定義だけです。 ハッカーというか,技術コミュニティの哲学的と言うか,思想的な部分とか,前と悪の定義とかには入ってません。ただ,英語圏の「主要メディア」では(これについても定義は勘弁してください),何らかの悪意を持ってクラッキングをする"ハッカー"とそれを防ごうとするとか,社会的な貢献がしたいとかの善意(これも定義は勘弁して)を持ったハッカーを同じ文面で区別したい時に使ってるようです。メディアはそこまで考えてないんでは--ということが言いたかっただけです。
「Webの改善ができちゃったよ,ここ気をつけたほうがよいのでは」と企業にわざわざお知らせするハッカーといった場合は,善玉なんですか,っていう議論ですよね。k3さんのは。というかこの議論全体は。一部の英文記事とかでは「自称ホワイトハッカー」という書き方もされているみたいです。
いらない書き込みだったら失礼しました。もう発言はやめます。すいません。
Re:善玉ということです>>Re:SecurityFocus記事 (スコア:1)
> メディアはそこまで考えてないんでは--ということが言いたかった
ブラックとホワイト(とブルー?レッド? (^^;)の区別をマスメディアがややこしくしているというのはあるかもしれませんね。「自称」を鵜呑みにしているというか。
あるいは、「自称」で区別するしかないのかもしれませんね。自分の良心に悖ることはやっていない、という自負があるか無いか…とか。でも良心に咎めは無くても違法行為だったりするかも…逆にブラックハットを自称するヒトは、自分をなぜブラックだと思うんでしょうか?そっちから考えた方がいいのかな?
漢字で書けば (スコア:2, おもしろおかしい)
ハッカー→黒客
よってホワイトハッカー→白黒客
なんか竹かサトウキビでも噛っていそうですね(特に竹藪がいい by パパンダ)
時代は変わったのかな? (スコア:1)
白:善の属性の魔術者
赤:中立の属性の魔術者
黒:悪の属性の魔術者
だったと思いますが、実は一番嫌われているのは赤(中立)で、自分の状況によって立場を白にも黒にも変えるものだと読んだ事があります。
出展はAD&Dのドラゴンランス戦記中の「レイストリン」というマギが赤の着物を着ていて異端扱いされていた部分。
ハッカーも同じだったりしてね(わらひ
立場、会社にいる頃には白ハッカーでクビになると途端に・・、とかに左右されるのはより日常茶飯事だと思われる。徹底して悪者や善人なら良いんだけれど・・、考えると怖い。
ところでなんで「ホワイト・ハッカー」なんて言葉が存在できるのでしょうか?ちょいと前までなら「ハッカーは技術的な探求をするもので、悪用をするものはクラッカーだ」という事が良く言われていた気がする。こう言う記事を見つけると「編集者のレベルが低い、馬鹿じゃないの?」って言い出す人が必ずいたのに・・
時代は変わって、
・そう言う事を言う人はもういなくなった(あきらめた)
・実は現実は定義のままではない事が証明された
・その他
のどれが妥当なのでしょうか?
職業としてのプログラマ
手元に引用元の記事がないので恐縮ですが。 (スコア:0)
月刊アスキーの今月号のコラムに、(確か)ハッカーの定義についての話があって、そこでホワイトハッカーという言葉にも言及していた記憶があります。
本気で初耳なの? (スコア:0)
なお、これも類似語だと思いますが、RMSやLinusは 「ホワイトハット」と呼ばれるハッカー [hotwired.co.jp]らしいです。
ホワイトハッカーの語意 (スコア:1)
「ハッカー」=「クラッカー」?(was: ホワイトハッカー (スコア:2, 興味深い)
「ハッカー」と言われてましたよ。
自称ハッカーとかいう人以外では、もう区別なんてないんでしょうかね。
Re:「ハッカー」=「クラッカー」?(was: ホワイトハッ (スコア:1)
ホワイトに対抗しそのうち、”ブルー”なんて、できたりして。
Wizard of the OZ (1939) の時代から (スコア:0)
Re:Wizard of the OZ (1939) の時代から (スコア:1)
Black or White? (スコア:0)
Re:↑White, Please (スコア:2, おもしろおかしい)