豪警察が捜査中にハッカーに「逆襲」される 31
ストーリー by hayakawa
さて、どこからツッコミを入れればいいんでしょうかねぇ…… 部門より
さて、どこからツッコミを入れればいいんでしょうかねぇ…… 部門より
あるAnonymous Coward 曰く、
本家/.で取り上げられているが、あるハッカーを追っていた警察が、逆にハッカーによって攻撃を受けるという事件がオーストラリアで起きていたそうだ。
豪警察は、ハッカーフォーラム「r00t-y0u.org」の管理者の家宅捜索を行い、このフォーラムの管理者アカウントを使った極秘捜査を開始したとのこと。だが、家宅捜査に入られていたことを知っていたフォーラムメンバーに見破られ、逆にハックされてしまったそうだ。さらに警察のMySQLデータベースにはルートパスワードが設定されておらず、SQLインジェクション攻撃が仕掛けられたとのこと。警察の発表によると、「アクセスされたのは捜査用のスタンドアロンマシンであり、既に信頼性の低い証明書類や虚偽のIDである」とのことだが、ハッカーらが公開したスクリーンショットには、虚偽のIDやクレジットカード番号に加えて警察のサーバー情報も含まれていたとのこと。
フォーラムに掲載されたハッカーのメッセージによると、「警察がWindowsを使っている上、MySQLのパスワードが設定されていなかったことに、笑いが止まらなかった」とのこと。ハックにかかった時間は3~40分程度であり、「あんなに笑わなければもっと短時間でできた」とのことだ。
誤用 (スコア:5, おもしろおかしい)
Re:誤用 (スコア:5, おもしろおかしい)
Re: (スコア:0)
まずあなたが技術的優位性を示してから言わないとなんら説得力がない。
あやしい (スコア:3, 興味深い)
信頼性の低い証明書類や虚偽のIDを仕込むってことは、こういう事態を想定していたのでしょうが、
それにも関わらずMySQLのルートパスワードを設定しないとか、ちぐはぐすぎやしませんか?
ハニーポットだとしても、弱いパスワードでも設定しておけば、そのぶん罪に問えるでしょうし・・・
本当に取られても問題ない情報だったんでしょうか・・・
新手のセキュリティ対策へのヒント? (スコア:3, おもしろおかしい)
つまり、もっと笑わせればよかったんだ!
>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)
ごめん、ちょっと意味が分からない。スタンドアロンマシンにどうやってアクセスされたのだ?
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, 興味深い)
#でも役所とか文化施設とかで「市民に開かれた」状態にあるところでは結構ありがち。
#しかもそんな状態で置いてあるPCの方が無防備だったりする事もありますし。
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, おもしろおかしい)
ネットワークに繋がったマシンにアクセス → クラッカー
スタンドアロンのマシンにアクセス → ハッカー
-- 哀れな日本人専用(sorry Japanese only) --
Re: (スコア:0)
確かに、スタンドアロンなホストにリモートでアクセスできたなら
立派に文句なしの「ハッキング」だと思う。
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)
人智を超えてるので「チャネリング」あたりが適当な気もします
言ってないことに反論するなよ
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:1, 参考になる)
この場合の "stand-alone" は,操作用のコンピュータが
「Internet に接続されていない」わけじゃなくて,
「署内システムの他のコンピュータに接続されていない」
という意味じゃないでしょうか。
侵入されたのは1台だけで重大な機密情報は漏れていない(ということにしたい)ので,
強調されているのだと思います。
Re: (スコア:0)
未熟を認めるならそれなりのお金を出して勉強をするべき。
こんなところでスーパーテクニックさらす人はいないよ。
まあ、貴方の知らない世界がある、と言うことだけは覚えておきなよ。
Re: (スコア:0)
未熟を認めるならそれなりのお金を出して勉強をするべき。
こんなところでスーパーテクニックさらす人はいないよ。
まあ、貴方の知らない世界がある、と言うことだけは覚えておきなよ。
はいはい、なつだねぇ。宿題は終わったのかい?
「スーパーテクニック(笑)」
Re: (スコア:0)
相手が幼い子供であることにツッコミをいれるのなら、自分は紳士的に大人の態度で振る舞わないと…
アナタまで相手と同レベルの幼稚な子供だと思われちゃいますよ!
# そんな俺も幼児並の精神年齢なのでAC
あなたの知らない世界 (スコア:0)
> 貴方の知らない世界がある、と言うことだけは覚えておきなよ。
へぇ,あれ最近もやってるんですね。
夏休みの定番だったなぁ。
Re: (スコア:0)
どこに月謝を振り込ませるつもりなんですか?
Re: (スコア:0)
署内の他のマシンにはつながっていない、外部ネットワーク専用マシンがあるのだろう、
ぐらいは想像しましたが…
そんなマシンでなんのためにDBを使っていたのかとか考えると私にも意味がわかりません。
自動攻撃ツールで破られるというのは弱い (スコア:2)
な OS でサーバー立てるんだったら、よっぽど考えとかないといけないのですが、考え無しに立てるとこうなるという反面教師でしょう。
ところでパスワードがかかっていなかったなら、クラックしたというのでしょうか。ドアを開けっ放しにしていたら空き巣に入られたようなものですから、こういう人たちがサイバー犯罪捜査なんて確かに笑えますね。日本の京都府警がWinnyで個人情報流出 [impress.co.jp]の件を思い出しました。まあ、あれは交番勤務の巡査でしたが。
Re:自動攻撃ツールで破られるというのは弱い (スコア:3, すばらしい洞察)
どんなOSでも外部から接続される可能性があるサーバを立てるなら「よっぽと考えて」なきゃだめでしょ
ノーガード戦法 (スコア:2, 参考になる)
原文
http://www.theage.com.au/technology/security/hackers-break-into-police... [theage.com.au]
から引用すると、
"The attacker has discovered that the server didn't have a password for its database application and he has logged on ... and, using a technique called SQL injection, he created a PHP file on the disk and browsed through that PHP file to get complete control of that particular server," he said.
ということらしいので、警察の使ってるシステムのセキュリティの設定がダメだってことですな。このような操作が出来ると言うことは、
* アプリケーションが接続する際に利用するMySQLのアカウントがFILE権限を持っている。
* mysqldがWebサーバーの利用しているディレクトリに書き込めてしまう。
という条件が揃っている必要がある。(恐らく両者ともrootユーザーだったのではないだろうか。前者はMySQL上のrootで後者はUNIX上のroot)その上MySQLのrootパスワード無しとなると、「それ何てノーガード戦法?」と言わざるを得まい。
ハニーポットは甘い (スコア:0)
良くあるじゃないか、さっさとトドメをさせばいいものを
勝った気になって演説していた悪役がどんでん返しで逆の立場になるということが。
本件は、世の中そんなお約束と言うのは現実には山とある、と実感する事件だったりする。
#実は掴まえずわざと泳がしてたりね。(笑)
そして次は警察のターン (スコア:0)
どんな一手が飛び出すのか非常に気になります。
逆クラックで炙りだすか?経路から居場所を突き止めるか?
それとも...
# おーっといきなり踏み込んでチェックメイトかーっ!?
Re:そして次は警察のターン (スコア:1)
マイクロウェーブバスターウイルスを送り込みましょうw
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
こういうのって特定より証拠固めが大変で
その証拠を進呈してるんじゃないの?
ソーシャルハック (スコア:0)
>家宅捜査に入られていたことを知っていたフォーラムメンバーに見破られ
この時点でNG
Re: (スコア:0)
一網打尽する為に。
#あるいは犯人を匿ったという件で逮捕するのが目的だとか。
#(さてどっちの刑が重い? それとも累計主義だっけ?豪州は)
Re: (スコア:0)
何か違うと思います。
一網打尽にする為に泳がせる事はありますが、わざと漏らす事ってあるんでしょうか?
わざと漏らす場合はけん制・警告の為とかでしょう。
Re:ソーシャルハック (スコア:1)
連絡を取る(何処かに逃げ込む)先をまとめて捕まえる、
という手法は映画などでもたまに見ますね。
実際有効なのかはわかりません。
一瞬、目を疑った。 (スコア:0)
「裏警察が捜査中にハッカーに『逆襲』される」
どこの馬鹿編集者が書いた記事かと思った。
馬鹿は、俺だ。
Re:一瞬、目を疑った。(オフトピ) (スコア:2, おもしろおかしい)
近所に「裏道具屋」という農機具や大工道具などを扱っている店があります。
子供の頃は看板見るたびにドキドキしたもんですw
#「裏」という名字の方が営んでいる道具屋
裏道具屋 (スコア:1)
>#「裏」という名字の方が営んでいる道具屋
あまりに気になったので調べてみましたが、宇陀市大宇陀区かいわい [asahi.com]にあるお店でしょうか。たしかに変わった苗字ですね。
モデレータは基本役立たずなの気にしてないよ