路上のハッカー、保釈される 33
善と法と悪と 部門より
von_yosukeyan曰く、"Japan Cnet.comの記事によると、先週カルフォルニア州サクラメントで身柄を拘束された住所不定のハッカー、Adrian Lamoが保釈された。
Adrianはカリフォルニア州出身の22歳でinside-aol.com(現在は閉鎖)の創設者の一人。世話好きハッカーとして知られ、一部では伝説的な存在として目されている。彼のスタイルは侵入したサイトに、サイトの脆弱性を指摘し、無料でサイトの改善に協力するというもので、過去にもExcite@HomeやWouldCom、米Yahoo!の脆弱性を指摘し、2000年にはAIMのセキュリティーホールの指摘も行っている。一方で、彼は「徒歩か公共のバスを使ってアメリカをさすらい歩き,春と夏の間は普通,北カリフォルニアに滞在」するという放浪生活を送っており、インターネットへは公共のコンピューターを使って接続しているという。
Adrian逮捕の直接の容疑は、昨年NewYork Timesに侵入し脆弱性を指摘した事件がきっかけ。この事件で、AdrianはNYTのイントラネット内にある個人情報データーベースや、従業員記録に侵入し、さらにLexis-Nexisのアカウントを無断で使用したという。NYT側はこの事件で、30万ドル相当の損害を負ったと主張し、FBIが捜査を行っていた。
彼の行った行為に対しては、実際のところ賛否両論がある。彼の企業システムへの侵入事件は、いずれもプロキシサーバーの設定ミスで、売名行為だという非難もある。また、脆弱性を報告する前に企業システム内のデータベースへの侵入なども行っており、彼の主張するような純粋な善意に基づいた行為とは言い切れず。一方で、今まで彼が侵入した企業の中で、NYT以外の企業には彼の脆弱性報告について感謝している企業もあり、また実質的な損害が発生していないことも確かだ。
ニューヨークに移送されたAdrianは、連邦治安判事に保釈金25万ドル、カルフォルニアの実家を離れないことと、電子メール・職探し・大学への入学応募手続以外のコンピューターの利用を制限されることを条件に保釈された。保釈金はAdrianが無一文であるため、両親が自宅を競売にかけて充てられる予定。連邦検察は、30日以内にAdrianを起訴する"
同情論その1 (スコア:2, 参考になる)
なんとも言えない事件ですなあ。
気になるのは「実質的な被害はない」という事実と
「会社が見積もった被害総額はxxドル」という数字の間にある
見かけ上の「ズレ」。
子供ならではの視線と企業の論理のちがい、とかで
まとめてしまうのは可哀想に思えてくるんだ。
「親が家を売却して」と聞いて彼は反省するだろうか。
反省するような子なら、「助けられた」会社さん。
チョット金送ってくれないもんかなあ...
あと、「穴塞いだ」ことによる「会社への貢献金額(?)」って
なんとか見積もれないもんなのかね?
被害総額見積もれるんだばよ?
Re:同情論その1 (スコア:2, 興味深い)
彼、自首だった [cnet.com]んですよね。それで実家が競売かぁ。。。
なんだか、企業の論理にだしにされているみたいで、ちょっとかわいそうです (;_;)/。
むらちより/あい/をこめて。
Re:同情論その1 (スコア:1)
>チョット金送ってくれないもんかなあ...
彼に恩(?)がある企業が集って金を出し合って
保釈してやったら美談だなぁ。
情け(?)は人のためならず?ぃゃぃゃ
芸は身を助く?...ちがうな。
虎穴にいらずんば虎子を得ずか!!!(火暴)
ついでに尻尾もふんでるが。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:同情論その1 (スコア:1)
彼の実家、すなわち彼の親の持ち物を
競売にかけて彼の保釈金を工面したと言うことでしょう。
また、「実質的な損害」云々の部分は彼の主張では
なくタレコミ人の見解を親コメントが勘違いしている
模様。
穴を探せる職業 (スコア:1)
Re:穴を探せる職業 (スコア:1)
前にTVで見たのですが セキュリティコンサルタントでそういう仕事してるとこもあるみたいですよ
まぁ依頼を受けてから攻撃/Checkなので お望みのものとは違うかもしれませんが
社員を紹介するときに『彼は元ハッカーで…』みたいなことを言ってました.
Crackerだろって突っ込みもありましたが, そんなんあるんだ~と思ったもんです
最近だと 長野県vs住基ネットで 侵入テストをさせてくれぃってのがこれにあたるんでしょうかね
Re:穴を探せる職業 (スコア:3, 参考になる)
昔…というか、1998年に依頼したことがあります。
当時は「こうすれば侵入できますよ」だけで、その解決策は提示して
いただけなかった記憶がありますが、今はどうなのでしょう。
結局、防御方法の相談もしてくれないと、お互いに困るはずですから、
今は防御方法の相談も含めたサービスをしているところが多いと
信じて疑いたくはない (ひねくれた言い方だ) のですが…。
確かに、クラッカーを侵入テストに利用するのは悪いことではないと
思いますが…
私からすると、侵入方法の提示だけではかなり不満足なわけで、結局は
しっかりとした防御方法の提示と、その変更コストやらの見積もりまで
出来るようでないと困るのですが、はて、クラッカー上がりの人は
そのような事に適しているかどうか…。
Re:穴を探せる職業 (スコア:1)
依頼>クラック>報酬
この図式から「依頼」が無くなれば・・・・
その代わり報酬が今までの個人情報や企業秘密から別物が必要になりますが。
#ただ単にイメージ的に「賞金稼ぎ」ってのがあってそれが好きなだけなんでID
彼は元ハッカーで (スコア:1)
よくそんな人にシステムまかせられるなぁって気がします。
BS7799なんて、オペレータを雇う場合身元のしっかりした
人間を、って定義してあるくらい。
(イギリスのみで通用する規定でしょうけど)
Re:彼は元ハッカーで (スコア:1)
社会的にはプラスになる(セキュリティが甘いところに警告して回る)という行為を何とか合法化できないかなぁ?ってことですよ。
そのため免許なんかの認可制にしてきちんとやれればどうかな?
#殺しのライセンスみたいでかっこいいし(w
Re:彼は元ハッカーで (スコア:1)
TVでは逮捕されたかどうかまでは言ってませんでした
どっかに侵入したことのある~という感じでした
いかんせん昔のことなのでうろ覚えなのですが…
ペンタゴン行き? (スコア:0)
Re:ペンタゴン行き? (スコア:2, すばらしい洞察)
意見もありますね。
私としては、侵入するのは防衛するのに比べて簡単なので、
本人達が自分を高く評価しすぎだと思っています。
http://www.zdnet.co.jp/news/0304/22/ne00_mitnick.html
Re:彼は元ハッカーで (スコア:0)
http://www.isms.jipdec.jp/v2/v2.html
Re:穴を探せる職業 (スコア:1)
そうなるとこのAdrian Lamoは我慢出来なさそう.
やはり彼は企業のためにセキュリティホールを暴いてきたわけじゃないわけで….
It's not who is right, it's who is left.
ご利用は合法的に (スコア:1)
あんま人が多い時にやると営業妨害になりますけどね。
デモ用のデータ入っているんで実被害は出ない。
えぇ、仕事が来たことも何度か。
# あ、Lamoって同い年だ。
PCにECC Registeredメモリの利用を推奨します。
Re:ご利用は合法的に (スコア:1)
え、自社ブースに人が全然来な(以下略
Re:穴を探せる職業 (スコア:0)
地面の舗装に穴があいていないかパトロールして探す係の人が
いたそうですよ。
「実質的な被害」とは何を指すのでしょうか? (スコア:1, 興味深い)
それだけでその企業の評判を落としたりはしないでしょうか?
コンピュータ関連でなくても、「顧客情報のDBに進入されましたが、
実質的な被害(情報の漏洩など)はありませんでした」といっても、
やはり事件後は信頼を大きく失うわけで。
その件を知って即座に契約を解約するような客だってもちろんでるでしょうし。
もちろん、そのような設定のサーバが行けないと言うのは事実ですが、
家に泥棒に入られて「セキュリティがなってないと教えてやった、
ありがたく思え」と言われても一般的には納得ができないのではと思います。
Re:「実質的な被害」とは何を指すのでしょうか? (スコア:1, おもしろおかしい)
>>ありがたく思え」と言われても一般的には納得ができないのではと思います。
要するに説教強盗のNET版って事でしょう?
Re:「実質的な被害」とは何を指すのでしょうか? (スコア:1)
それは仕方がないのではないでしょうか。実際に客はそれまでそのようなリスクにさらされていたわけですし。「実質的な被害」によって失われた利益は、本当に得られるべき利益だったのでしょうか?
(良心的)ハッカーに侵入されたことは単なる引き金に過ぎないと思います。侵入された側は引き金を引かれたということに対してもう少し思慮深いべきだと思うし、侵入した側は引き金の引き方に対してもう少し思慮深いべきだと思う。
ソフトウェアの脆弱性公開の議論と同じように。
Re: 「実質的な被害」とは何を指すのでしょうか? (スコア:0)
つまり、どんな劣悪な情報管理の企業があっても、噂をたててはいけないと。
> 家に泥棒に入られて「セキュリティがなってないと教えてやった、
民家じゃなく、顧客情報を預かる法人なのだが。
Re:「実質的な被害」とは何を指すのでしょうか? (スコア:0)
良かったじゃん、30万ドル程度の損害で。実際はもっとはるかに小さいんだろうけどさ。
だいたい、進入されて評判落とす=元々落とした評判程度の会社ってことでしょ?今までが嘘で塗り固められていただけ。
そういうこと考えると企業には不利益でも消費者には利益かと。
Re:「実質的な被害」とは何を指すのでしょうか? (スコア:0)
> 家に泥棒に入られて「セキュリティがなってないと教えてやった、
> ありがたく思え」と言われても一般的には納得ができないのではと思います。
もし実質的な被害がなくて(何も取られなくて)
ついでに新しい錠前や防犯グッズのカタログや
防犯の心得の
保釈金が高い (スコア:1)
サッチー・ムネオが5000万
K-1の石井元館長が4000万
田代まさしが500万
住所不定で、逃げちゃう可能性が高いからこの値段なのでしょうけど、
ご両親はお気の毒です。
両親が自宅を競売 (スコア:0)
> 電子メール・職探し・大学への入学応募手続
での利用は許されてるんですね。
早く定職について、親を安心させましょう。
typo? (スコア:0, 余計なもの)
Re:typo? (スコア:1)
ちなみに、ご存知の通りチャプター11を申請後、社名を変更して、現在はただのMCI [mci.com]に戻っています
指摘しなければ… (スコア:0)
脆弱性の指摘をしなければ気付かれなかったかも…。
気付かれたとしても犯人の特定までは行かなかったかも。
それがわかっててもやってしまうんでしょうね。
ちょっとかっこいいかも。
#自分の近くにいたら必死で止めますが。
前途放蕩悪党 部門より? (スコア:0)
#ごめんなさいごめんなさいごめんなさい
カ(リ|ル)フォルニア (スコア:0)
・カリフォルニア
・カルフォルニア
どっちが正しいのでしょうか?
#正直どっちでもいいんですが、タレコミ内では統一してほしいなぁ
Re:カ(リ|ル)フォルニア (スコア:0)
「カレファーニャ」「カラフォーニャ」
みたいなことになるので
> 余計なものですが、
> ・カリフォルニア
> ・カルフォルニア
> どっちが正しいのでしょうか?
どっちもどっちだと思う。