ブラウン大学の院生が Wiki を利用した P2P ストレージを開発 → 管理者困惑 42
どんどんやってくれたまえ 部門より
ある Anonymous Coward 曰く、
米ブラウン大学の大学院生が、使われていない wiki サイトにデータを保存する P2P データストレージシステムを開発し、ある日突然ブラウン大学からのスパムを受けた wiki サイトの管理者らを困惑させるという事態が起きていたそうだ (本家 /. 記事) 。
問題となったプロジェクト「Graffiti Networks」では、BitTorrent の代わりに MediaWiki の帯域を無断で使いユーザ間のデータ送信を行っていたそうだ。プロジェクトのサイトには現在学生による謝罪が掲載されており、このプロジェクトの目的はこれを利用した攻撃の Proof of Concept を開発し、警鐘を鳴らすことであったと説明している。アップロードしたデータは出来る限り削除したそうだが、まだ多くがウェブ上に残ってしまっているそうだ。
sitepoint に立てられた「brown.edu spamming Wiki's (for new BitTorrent Concept)」スレッドによると、Graffiti Networks プロジェクトの「スパム」に掲載されていたリンクには「Graffiti Networks Project は保護されていない MediaWiki サイトをネットワークストレージ媒体とする研究プロジェクトである。サイト上のスパムのようなデータはエンクリプトされたデータペイロードであり、本プロジェクトがインターネット上に保存したデータの一部である。本プロジェクトは複数のサードパーティサイト上へのデータ保存が P2P システムのデータ永続性に対する実行可能なソリューションとなり得るかを検証するものである」といった説明が掲載されていたそうだ。
この手の通信隠匿手段はめずらしくなく (スコア:5, 興味深い)
メッセージ内容はランダムに見える文字列のみ。
数メッセージをやりとりすると別のスレに移動するらしく(異動先は暗号化された通信文の中にあるため異動先を特定することは困難)
全容をつかむことはできませんでした。
あとは、ほとんど同一のコピペに空白や句読点を変えて情報を隠蔽した例ですかね。
一時、半分仕事で調査していました。
通信速度は遅くて良いから、通信内容や通信していること自体を隠蔽することのニーズはそれなりにあるようです。
管理者にばれない程度にこっそりやっていたら、今回の件もばれずにすんだでしょうに。
Re:この手の通信隠匿手段はめずらしくなく (スコア:3, 興味深い)
/K
Re: (スコア:0)
フリーソフトであったのよ。
Re: (スコア:0)
いまなら空白行にWhitespaceでコードを埋め込んだりしそうですな
Re: (スコア:0)
前のコメントも合わせて、これ、すごいアイデアじゃないですか?
例えば既存のWiki、例えばWikipediaの記事やWikicommonsの画像に、人間が見てわからないレベルで
情報を書き込めば、スパムにならず、サーバの有効活用につながるのでは?
そんなわけないよな。
Re:この手の通信隠匿手段はめずらしくなく (スコア:2, 興味深い)
ステガノグラフィーを埋め込んだ画像データは、多くの場合圧縮率が低下し、ファイルサイズが増大します。したがってサーバーのストレージや通信帯域を圧迫するという問題は解決されません。
Re:この手の通信隠匿手段はめずらしくなく (スコア:2)
Re: (スコア:0)
http://ja.uncyclopedia.info/wiki/%E3%81%82%E3%81%82%E3%81%82%E3%81%82%... [uncyclopedia.info]!
Re:この手の通信隠匿手段はめずらしくなく (スコア:1)
covert channel [wikipedia.org]のことですね。
情報漏洩または犯罪行為の調査でもしてたんですか?
Re: (スコア:0)
山田オルタナティブ? (違ったとしてもそれ自体珍しくない手段であることの証拠)
Re: (スコア:0)
っ 詳しく知りたい人用のキーワード: ステガノグラフィ
/.に潜むAnonymousがまさにそれをやっている! (スコア:0)
グシャグシャではなくHuman Readableだから/.erのほうが優秀かもしれませんぜ、旦那。 [srad.jp]
Re: (スコア:0)
alt.binaries.erotica.*ですね、わかります。
P2Pなのか、ストレージなのか (スコア:2)
テキストデータを保存するサービスを、データストレージとして使いましたという話であれば
GMail Driveとかもそのたぐいですよね。
ゆるせん!! (スコア:1, 興味深い)
うちの閑古鳥Wikiに最近SPAMが急に増えたと思ったら、これか!!!
(一晩のうちに1ページに数メガ書き込まれて、翌朝になったらそのページがCGIエラーになるようになっちまった、なんてのも有りましたともorz)
…いや絶対にこれだと言い切るわけではないけど、いずれにせよ今回の話は善良なWiki愛好者にとっては迷惑千万な行為です。
閑古鳥とはいえ「時々は」メモを追記したり過去のメモを読んだりするために有用に使っているので、 それを妨げられる(普通の文面が読みづらくなるので)のは許せません。
Wikiならば尚の事なんだけど 「使われていない wiki サイト」なんてな判定は不適切。 ユーザ(まともな)が書けばそのときがそのサイトの生きてる時。 書かなくても誰かが(まともに)読めば生きてる時。
それとあと現実的には、Wikiに書かれることが許容できるデータは、
- Human Readable
- 出所が漠然とでもいいから判る(署名の風習も有りますね>Wiki)
ことが大事だと思います。 今回のは任意データかつencryptってことで、ちょっと許容しがたい。
あとWikiに書き込んだ「情報」が
- ひとつのページ/サイトじゃなくあちこちに分散してる
ってのもマズイね。
InterWikiNameの文化も有るとはいえ、基本的にWikiの各ページは、 そこ読めば情報および不足情報の参照(つまりリンク)が判る、 という風になってないとWiki的には「使い物にならない」。 どことどことどこを読めば情報が復元できるのかをその書き込み自体を見ても判らんわけでしょ? そんな"使いにくい情報"のために容量を貸す気は無いですよ。
「保護されていない MediaWiki サイト」ってのも太ぇ言い草だ。 Wikiってのは(諸説あるものの原則)保護なんてしないもんだよ。 みんなが「まともな」使い方をするのが前提だ。
諸説あるのかも知れないが少なくとも私からは、これは「Wiki を悪用」としか呼びたくないと申し上げておきます。
控えめにいってもWikiの使い方の「アンチパターン」(つまりベストプラクティスの正反対なワーストプラクティス)の筆頭に挙げたい。上記で行頭が「-」で始まってる行がWikiの使い方にとってかなり大事なポイントだと思う。これを満たす気が無いならばWikiじゃなく任意バイナリを保管することを意図した保管サイトを使えっての。
>アップロードしたデータは出来る限り削除したそうだが、まだ多くがウェブ上に残ってしまっているそうだ。
だったら「該当データかどうかを判別する(機械的な)方法」を開発し公開しろ。
というかプロジェクト自体のなかには当然だけど「どのサイトにデータ置くか」を判定するための一覧データなりアルゴリズムなりが有るはずなんだから、それを公開しろ。
ところでプロジェクトの目的については、
>このプロジェクトの目的はこれを利用した攻撃の Proof of Concept を開発し、警鐘を
>ネットワークストレージ媒体とする研究
結局どっちなの?
Re:ゆるせん!! (スコア:2)
もはや対象が何であれ、悪用されないための対策を取っていない人を「善良な」なんて形容できる時代じゃないでしょう。
>みんなが「まともな」使い方をするのが前提だ。
そんなこと言うだけで解決するんだったら世の中平和ですよね。
爆薬とか、核エネルギーとか、全部平和利用。
そりゃ素敵です。
理想を言うのは簡単かもしれんけど、
実際にできもせんことを言うだけってのはよくないですね。
こーゆー話題に対しては、wikiの利便性を極力損なわないままで、どうやって悪意のあるユーザ対策を取るかを考えるべきであって、「悪用するな」なんて話は意味がないですね。
オープンソースは犯罪者を差別していない (スコア:1, 参考になる)
> wikiの利便性を極力損なわないままで、どうやって悪意のあるユーザ対策を取るか
それこそ
> 実際にできもせんことを言うだけ
の極地ですな。せめて自分から案を出してみてはいかが。
自分から案を出すと何事も減点法、完璧主義の日本では必ずダメ出しされて潰されますけどNE! ブレーンストーミングなにそれおいしいの?
Re: (スコア:0)
馬鹿が悪意無く酷い迷惑をやらかしてしまったのかと読み取ったんだけど...
「ヘッダで明示的に実験を許容した場合に限り」
「WikiNameに特定のヘッダを付けて区別可能にする」ならば、
ウチの個人的メモ用wikiの領域を貸してやってもいいんだけど、
Re:ゆるせん!! (スコア:1)
> とりあえず、これは「悪意あるユーザ」で確定なの?
> 馬鹿が悪意無く酷い迷惑をやらかしてしまったのかと読み取ったんだけど...
それはそれで下手に悪意があるより迷惑な気がする……(汗)
# まぁ、私もそう(悪意無き迷惑)読みましたが。
事後対策しか無理 (スコア:0)
>もはや対象が何であれ、悪用されないための対策を取っていない人を「善良な」なんて形容できる時代じゃないでしょう。
ってか、ISH使えばテキスト書き込みが出来ればデータを置ける訳で。
結局は今回同様に事後で問題問題ユーザーを排除するようにするしかない。
#ここだって、ネカフェからACでチャイルドポルノをISH化して乗せられるよね。
Re:ゆるせん!! (スコア:1)
お怒りはご尤もだけれども、
こういう馬鹿げたプログラムを実行しちゃうような学生には、
自分が掛けた迷惑を後始末するだけの能力はないと思う。
該当データかどうかを判定するロジックにバグを作り込んで、
無関係な Wiki データを破壊する結果になりかねない。
そんな危ない作業には従事させずに、落ち葉掃除かなんかをやらせるべきだ。
Re:ゆるせん!! (スコア:3, 参考になる)
道徳的でない行為だとは思うけど、能力を低く見積もるのはどうかな。
http://graffiti.cs.brown.edu/ [brown.edu]
↑読む限りでは「我々に(適切な権限がなくて)削除できないページは、自分でやってね」とリンクが張られてます。
仕組み自体はBitTorrentに一枚皮をかぶせた感じで、peerが直接アップロードするんじゃなくてMediaWikiを中継(書込/読込)してるんですね。
だから、ピアが居ないような古いファイルでも問題ないし、ピア同士の通信もいらないと。
説明には「storage site」ってあるので、本質的にはアップローダでも2chでも同じ事ができますな。
クライアントを広く配布して大騒ぎって感じじゃないので、実験してみたって感じでしょう。
trackerサーバも自前でしょうしどのページってのはURL単位で全部把握してるんじゃないかな。
「あなたのサイトを守るためにはAnti-Spam Features、Administrator's Handbookを参考にして、SimpleCaptchaじゃなくてreCAPTCHA使え」ってのは火に油を注ぐだけのような気がするな…
この場合、落ち葉掃除よりは書き込んじゃったWikiのサイト管理者一人一人にメールで謝罪と該当URLを示して削除して貰うのがやるべき事じゃないかと。
(ソースを公開すると本格的に手に負えないことになると思うので。消せなかったURLも同じ理由で非公開が良いかと)
Re: (スコア:0)
> 道徳的でない行為だとは思うけど、能力を低く見積もるのはどうかな。
日本では能力の高い人は聖人君子でなければなりません。さもなければ全人格を(もちろん能力も含めて)否定されます。そうでない人もそうであることにされるか、社会的に抹殺されるまで叩かれ続けるかのいずれかです。
Re: (スコア:0)
元コメです。
>該当データかどうかを判定するロジックにバグを作り込んで、
だからこそ「公開しろ」なんです。「そのまま使わせろ」なんて危険なことを言うつもりは無いですし、「そのまま使えるくらいの品質のものを出せ」なんて言ったら永遠に出てこないのがオチなのも判りますんで、「とりあえず現状のを出せ」です。
それを叩き台にしてみんなで(ばざーる?)叩いて改善してから使うのが理想的な流れです。 (直接関係ないけど)今だとブツをCodeReposとかGitHubとかに放り込むのが第一歩かな。
#ふと「次の標的はCodeReposみたいなソ
Re:ゆるせん!! (スコア:1, すばらしい洞察)
何をいまさら。何処まで生善主義なんですか?
Wikiという仕組みは善意に大きく頼っていて、そこに悪意をもって利用するユーザーがまぎれれば破綻するのは最初からわかっていることでしょ。Wikiを使っている以上、そのリスクは織り込みずみ。勝手に書き換えられたことを怒る前に、勝手に書き換えられないように設定するのが常識的対応でしょう。
Re: (スコア:0)
なんとなく「生姜」って言葉を思い出した
Re: (スコア:0)
「なまぜん」を変換したら出ました@ATOK
Re:ゆるせん!! (スコア:1, おもしろおかしい)
Re:ゆるせん!! (スコア:1, すばらしい洞察)
保護されていない webサイト、メーラー、ネットワーク端末、etc、使えるものがあれば何でも活用するのが悪人というものです。その現実から目を背けず、保護する手段をなんとかして整えるのがセキュリティというものです。
Re: (スコア:0)
じゃあ、保護する手段が法律でもいいんじゃないかと思うんだけども。
Re: (スコア:0)
Wikiはその成り立ちっていうか理念じたいが「セキュリティ」とは相容れない面が有るんですよ。
「誰でも」気楽にサイトを更新できるってのが理念ですから。
そういう意味ではユーザ管理やパスワがあるWikiは「邪道」です。
誰でも書けるのが理念なら、今回のSPAM(?)が書けるのもOKじゃね?という声が聞こえてきそうですが、
いっぽうでHuman Readableが満たされてない書き込みは、
その書き込み(やその周辺に別の人が書いてる書き込み)を他者が「気楽に使う」ことを事実上阻害してしまうので、やはり望ましくはないです。
誰でも気楽に…については、Wiki始祖であるWard Cunningham氏のユ
どんどんやってくれたまえ部門 (スコア:1, すばらしい洞察)
Re: (スコア:0)
部門名を付けるのはスラドJの中の人でしたよね。
ということは、「スラドJでそれをやるならば歓迎する」という意味なんじゃないでしょうか? 全世界10000件※のWikiサイトで歓迎されないとしても、ここスラドJでは歓迎するぞと。
※ものすごい数(紹介サイトで紹介されてるものの数は軽く3桁いってる)のWikiエンジンが世の中に存在することを思えば、サイトの数はそれに見合うくらいあってもおかしくない…はずではある。
なんでまたそんな(無謀な)歓迎をするのかは他人には理解しがたいものがありますが、 とにかく中の人はそう思ってるのでしょう。
まあ生暖かく見守りましょう。 ちなみにユーザとしては変な暗号書き込みがランダムに混じる掲示板サイトなんて使いにくくて願い下げ(私もそうだし多くの人も多分そうだろう)なので、ますますサイトの人気が落ちそうな予感がしますが、老婆心ですね。
Re: (スコア:0)
スラドらしくないダラダラとした書き込み
さては、何か情報を隠しているな?
今頃気がついたのか! (スコア:0)
だからish [vector.co.jp]の時代が来るといったんだ!
#全然違う話です
Re:今頃気がついたのか! (スコア:1, 興味深い)
任意の、XML テキストデータを交換できるプロトコルであればコネクションを貼ることができます。
ほとんどの SOAP 実装は HTTP/HTTPS でやり取りされていますが、SMTP に乗せる実装もあったはず。
リアルタイムである必要がなければ NNTP や BLOG への埋め込み、今回のような Wiki への書き込みで
SOAP サービスを作成することもできるでしょう。
SOAP で RemoteInvoke とかが実装されていると、指令コマンドが特定 Blog / 掲示板に書き込まれると
各クライアントの Bot が動き出すとか.... できますね。
Re:今頃気がついたのか! (スコア:1)
パソコン通信の時代にはシグネチャにish入れたりとかよくあったし。
あと、普通の画像の裏(っていうか隙間)に違うバイナリを埋め込むとか。
#特にアダルトな
#脱線しすぎましたgesaku
P2P? (スコア:0)
P2Pってことは、単に使われてないWikiに間借りしてユーザがデータを
アップロードしてたんではなくて、Wiki同士が自律的にデータをやりとりしてたってこと?
13年式G型トラクター (スコア:0)
Re: (スコア:0)
ここにそんなこと書いて本物が来たらどうすんだ?