hayakawaによる
2009年08月22日 13時07分の掲載
さて、どこからツッコミを入れればいいんでしょうかねぇ……部門より
さて、どこからツッコミを入れればいいんでしょうかねぇ……部門より
あるAnonymous Coward 曰く、
本家/.で取り上げられているが、あるハッカーを追っていた警察が、逆にハッカーによって攻撃を受けるという事件がオーストラリアで起きていたそうだ。
豪警察は、ハッカーフォーラム「r00t-y0u.org」の管理者の家宅捜索を行い、このフォーラムの管理者アカウントを使った極秘捜査を開始したとのこと。だが、家宅捜査に入られていたことを知っていたフォーラムメンバーに見破られ、逆にハックされてしまったそうだ。さらに警察のMySQLデータベースにはルートパスワードが設定されておらず、SQLインジェクション攻撃が仕掛けられたとのこと。警察の発表によると、「アクセスされたのは捜査用のスタンドアロンマシンであり、既に信頼性の低い証明書類や虚偽のIDである」とのことだが、ハッカーらが公開したスクリーンショットには、虚偽のIDやクレジットカード番号に加えて警察のサーバー情報も含まれていたとのこと。
フォーラムに掲載されたハッカーのメッセージによると、「警察がWindowsを使っている上、MySQLのパスワードが設定されていなかったことに、笑いが止まらなかった」とのこと。ハックにかかった時間は3~40分程度であり、「あんなに笑わなければもっと短時間でできた」とのことだ。
関連ストーリー
Firehose:ルートパスワード未設定だった豪警察データベース、捜査対象のハッカーに侵入される by Anonymous Coward
誤用 (スコア:5, おもしろおかしい)
コメントを書く
Re:誤用 (スコア:5, おもしろおかしい)
コメントを書く
親コメント
あやしい (スコア:3, 興味深い)
信頼性の低い証明書類や虚偽のIDを仕込むってことは、こういう事態を想定していたのでしょうが、
それにも関わらずMySQLのルートパスワードを設定しないとか、ちぐはぐすぎやしませんか?
ハニーポットだとしても、弱いパスワードでも設定しておけば、そのぶん罪に問えるでしょうし・・・
本当に取られても問題ない情報だったんでしょうか・・・
コメントを書く
新手のセキュリティ対策へのヒント? (スコア:3, おもしろおかしい)
つまり、もっと笑わせればよかったんだ!
コメントを書く
>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)
ごめん、ちょっと意味が分からない。スタンドアロンマシンにどうやってアクセスされたのだ?
コメントを書く
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, 興味深い)
#でも役所とか文化施設とかで「市民に開かれた」状態にあるところでは結構ありがち。
#しかもそんな状態で置いてあるPCの方が無防備だったりする事もありますし。
コメントを書く
親コメント
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, おもしろおかしい)
ネットワークに繋がったマシンにアクセス → クラッカー
スタンドアロンのマシンにアクセス → ハッカー
-- 哀れな日本人専用(sorry Japanese only) --
コメントを書く
親コメント
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:2, すばらしい洞察)
人智を超えてるので「チャネリング」あたりが適当な気もします
言ってないことに反論するなよ
コメントを書く
親コメント
Re:>「アクセスされたのは捜査用のスタンドアロンマシン (スコア:1, 参考になる)
この場合の "stand-alone" は,操作用のコンピュータが
「Internet に接続されていない」わけじゃなくて,
「署内システムの他のコンピュータに接続されていない」
という意味じゃないでしょうか。
侵入されたのは1台だけで重大な機密情報は漏れていない(ということにしたい)ので,
強調されているのだと思います。
コメントを書く
親コメント
自動攻撃ツールで破られるというのは弱い (スコア:2)
な OS でサーバー立てるんだったら、よっぽど考えとかないといけないのですが、考え無しに立てるとこうなるという反面教師でしょう。
ところでパスワードがかかっていなかったなら、クラックしたというのでしょうか。ドアを開けっ放しにしていたら空き巣に入られたようなものですから、こういう人たちがサイバー犯罪捜査なんて確かに笑えますね。日本の京都府警がWinnyで個人情報流出 [impress.co.jp]の件を思い出しました。まあ、あれは交番勤務の巡査でしたが。
コメントを書く
Re:自動攻撃ツールで破られるというのは弱い (スコア:3, すばらしい洞察)
どんなOSでも外部から接続される可能性があるサーバを立てるなら「よっぽと考えて」なきゃだめでしょ
コメントを書く
親コメント
ノーガード戦法 (スコア:2, 参考になる)
原文
http://www.theage.com.au/technology/security/hackers-break-into-police... [theage.com.au]
から引用すると、
"The attacker has discovered that the server didn't have a password for its database application and he has logged on ... and, using a technique called SQL injection, he created a PHP file on the disk and browsed through that PHP file to get complete control of that particular server," he said.
ということらしいので、警察の使ってるシステムのセキュリティの設定がダメだってことですな。このような操作が出来ると言うことは、
* アプリケーションが接続する際に利用するMySQLのアカウントがFILE権限を持っている。
* mysqldがWebサーバーの利用しているディレクトリに書き込めてしまう。
という条件が揃っている必要がある。(恐らく両者ともrootユーザーだったのではないだろうか。前者はMySQL上のrootで後者はUNIX上のroot)その上MySQLのrootパスワード無しとなると、「それ何てノーガード戦法?」と言わざるを得まい。
コメントを書く
Re:そして次は警察のターン (スコア:1)
マイクロウェーブバスターウイルスを送り込みましょうw
ψアレゲな事を真面目にやることこそアレゲだと思う。
コメントを書く
親コメント
Re:一瞬、目を疑った。(オフトピ) (スコア:2, おもしろおかしい)
近所に「裏道具屋」という農機具や大工道具などを扱っている店があります。
子供の頃は看板見るたびにドキドキしたもんですw
#「裏」という名字の方が営んでいる道具屋
コメントを書く
親コメント
裏道具屋 (スコア:1)
>#「裏」という名字の方が営んでいる道具屋
あまりに気になったので調べてみましたが、宇陀市大宇陀区かいわい [asahi.com]にあるお店でしょうか。たしかに変わった苗字ですね。
eComStation 2.0 Gold http://shop.mensys.nl/catalogue/mns_eComStation.html
コメントを書く
親コメント
Re:ソーシャルハック (スコア:1)
連絡を取る(何処かに逃げ込む)先をまとめて捕まえる、
という手法は映画などでもたまに見ますね。
実際有効なのかはわかりません。
コメントを書く
親コメント