パスワードを忘れた? アカウント作成
16112 story

国連 vs. クラッカー 22

ストーリー by mhatta
まあありがちなパターンではある 部門より

pinbou 曰く、

本家/.の記事より。国連のウェブサイトが3名(?)のクラッカーによってクラックされ、潘基文事務総長の演説内容が米国やイスラエルを非難するコメントに書き換えられた(編注: 掲載時点では、「This site will be temporarily unavailable due to scheduled maintenance.」となってコンテンツが閲覧できない)。
hackademixの記事によると、今回衝かれたのはSQLインジェクション。hackademixの著者は「国連のような著名なサイトに、このような良く知られていて対処も容易なセキュリティホールが放置されていたのは驚きだ」とコメントしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • この手のニュースに (スコア:5, すばらしい洞察)

    by cannabis (31589) on 2007年08月13日 9時44分 (#1204369)
    勘違いされがちなことですが、国連のサイトだからといってセキュリティも世界最高レベルだというわけではありません。
    どこにでもあるウェブサーバーを使い、どこにでもある情報を公開してるだけなんでしょうから。
    その程度のセキュア認識であったことが露呈されただけで、今回の改ざんによって国家の存亡を揺るがすような事態が起きたり、深刻な機密情報が漏れたわけでもないでしょう。
    いまどき既出の手法でウェブの内容を書き換えたところで、ハッカーとしての売名行為にもなりません。
    ひとむかし前、官庁や公的機関など国家権力の中枢をターゲットにハック・攻撃することを「サイバーテロ」なんて呼ぶこともありましたが、反体制が国旗を燃やすパフォーマンスと同じで、ニュースになっても政治的脅威にはなりえません。
    yahooやgoogleが改ざんされたら、それこそ国際的な大ニュースですが、国連のサイトが1日や2日消えてなくなっても誰も気にも止めないのではないでしょうか。
    • by sakamoto (8009) on 2007年08月13日 11時37分 (#1204444) 日記
      ICANN をアメリカから国連に移そうとかいう話もあるけど、こういう話があると移して大丈夫かなという感じにはなるね。
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      親コメント
    • Re:この手のニュースに (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2007年08月13日 18時49分 (#1204685)
      >国旗を燃やすパフォーマンス
      それって、事務総長のふるさとでいつもやってることを、やりかえされただけじゃないの?
      だったらさほど怒るほどのことでもないのは同意。
      親コメント
    • >国連のサイトが1日や2日消えてなくなっても誰も気にも止めないのではないでしょうか。

      や、さすがにこれは嘘だろ。どこがすば洞だ。

      どうもすらどにはあれげ世界を過大評価している節があるよね。あれげ世界なんて狭いって。どっちにニュースバリューがあるなんて、無意味かと。

    • 勘違いされがちなことですが、問題は web サイトの改ざんではなくて、スパイウェア等が仕込まれる可能性があることです。
      国連のサイトに仕込まれることで、各国の政府機関等に飛び火することは容易に想像できます。クラッカーの方も、この手の国際機関をターゲットにすることを考えるでしょう。今回がたまたま愉快犯だったからと言って安心してはいけません。職業的クラッカーの脅威を考慮する必要があります。
  • タイトル (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2007年08月13日 9時30分 (#1204361)

    別に攻性防壁で電脳ハックし合ってるとかってわけでもないのに、「vs」って言い過ぎですよね。

    たれこんだ人間は、「こじゃれたタイトル」とか思ってるのかもしれませんが、こういう夕刊紙みたいなあおった見出しをつけてると、サイトの質が下がると思います。どこかのgigazineとかEngadgetとかみたいに下卑てて。

    ##万が一、こういうあほなたれこみがきても編集者が適切なタイトルにつけなおすべきだと思うんですけどね。ちゃんと濾過してほしい。

    • by Anonymous Coward
      内容には、同意。 しかし、攻性防壁云々は、タイトルの文面と同じレベルと思われるが、いかがか?
    • by Anonymous Coward
      君、タレコミした事無いだろ。

      タレコミんときの注意には、「いちばん大切なことは、わかりやすくおもしろいタイトルと本文を書くこと。」と書いてある。
      人によっては「夕刊紙みたいなあおった見出し」をおもしろくわかりやすいと感じることもあるだろう。

      >サイトの質
      編集者も含めてそういうサイトなんだよ。ここは。質を上げたかったら品のあるタレコミを頼むね。
  • by Anonymous Coward on 2007年08月13日 8時16分 (#1204325)
    米国海軍のドメイン配下の某サイトなんだけど、ぱっと見ただけで
    • indexが丸見え
    • オレオレ証明書を使用
    • httpsのページがhttpでも閲覧できる
    なんてのがある。
    一応は直接的には軍事には直結してはいないサイトなんだけど、ちょっと手抜き過ぎでないか。
    • Re:国連以外でも (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2007年08月13日 12時26分 (#1204483)
      > 米国海軍のドメイン配下の某サイトなんだけど

      気をつけろ! それはハニーポットだ!
      親コメント
      • by Anonymous Coward
        いやそれマジで、俺も聞いたことあるわ。
        調子に乗ってアクセスしまくったりしないほうがいいんじゃねえの?
    • by Anonymous Coward
      >米国海軍のドメイン配下の某サイト
      jtwc?
      ブラウザが「オレオレ証明サイトだけど、開いていい?」
      ってアクセスの度に聞いてくるのは、確かに面倒くさいかも。

      >著名なサイトに、このような良く知られていて
      >対処も容易なセキュリティホールが放置
      「ウチのサイトにわざわざハックかけてくる奴なんか、居ないだろ」
      みたいな慢心があったんだろうねぇ。
      俺だって、こんなニュースでも無いと、国連のサイトを見ようか
      なんて思わないもん。
    • by Anonymous Coward
      > * indexが丸見え

      別に問題ないですね。

      > * httpsのページがhttpでも閲覧できる

      別に問題ないですね。
      • by Anonymous Coward
        >> * indexが丸見え
        >別に問題ないですね。

        それがcgiフォルダのような特別な場所であってり下位に公開すべきでない情報が、
        認証無しで保存されてなければという前提の上ですね。
        案外、その当たり前の前提が出来ていないことがあって、あるサイトでは全文検索に
        パスワードと入れるとコンテンツ管理システムのログイン情報が出てきました。

        >> * httpsのページがhttpでも閲覧できる
        >別に問題ないですね。

        確かに。
        オレオレ証明書で作られたhttpsでは、逆説的に皮肉をこめて「問題ない」かもしれない。
        ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。
        今でも、httpsはコチラと選択式になってる事があるけどSSL非対応ブラウザなどに配慮してなのか、
        単に他がやってるからウチも同じにしておこうという事なのかで仕様の評価が分かれる所。
        • by Anonymous Coward
          > > > * indexが丸見え
          > > 別に問題ないですね。
          >
          > それがcgiフォルダのような特別な場所であってり下位に公開すべきでない情報が、
          > 認証無しで保存されてなければという前提の上ですね。

          公開すべきでないファイルがそこに置かれていないことは必須であって当然。
          公開すべきファイルが置かれているがindex丸見えでなきゃいいとか言うの?
          そんなわけない。だから、indexが丸見えなのは別段問題ない。
          むしろ、ちゃんとまずいファイルはありませんよ、という情報公開の精神だろ。

          > ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。

          そんなことしても何の意味もありませんよ。
          • by Anonymous Coward
            >> ただ、そうでなくhttpsを用意するような用途なら、もうhttps限定にしてもいいんじゃないかと。
            >そんなことしても何の意味もありませんよ。

            パケットを盗み見できる攻撃者がhttpな所へ誘導することでhttpsで暗号化したかった情報を盗み見できますよ。
            ちゃんとSSLになってるか確認する慎重な人ばかりではないでしょうしね。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...