ども編集Sです。6月8日発売の7月号の編集作業も大詰め(日程的には、残りの作業量でいうと… 涙)ですが、ふと空き時間ができたので記事のプチ宣伝をしようと思います。
7月号では「チャレンジ・ハッキング」という記事を掲載します。一言でいうと、ゲーム感覚でサーバーを攻略するという企画です。
4名の参加者に2種類のサーバー(FreeBSD 4と6)のVMwareのイメージを配布。参加者はそれぞれのアプローチでサーバーを攻略していくというものです。ゲームの目標はただ1つ。rootのパスワードを探り当てること。どんなやり方をしてもOKです。
記事では参加者各人、それぞれユニークなアプローチを取っています。正攻法でリモートからExploitを打つ人、仮想マシンのディクスを解析する人、さらに…
侵入のテクニックもさることながら、各人がどう作戦を立てたのか? その考え方もわかるようにレポート形式の記事にしています。続きは本誌でお楽しみください。
そんな企画不謹慎だ! なんて声も聞こえてきそうですが、古いサーバーをメンテナンスもせず、そのまま放置しているとどんなことになるのか? その危険性を感じてもらうのが狙いです。
ちなみにVMwareのイメージは付録DVD-ROMに収録してあるので、読者の方も実際に試せるようになっています。答え(rootのパスワード)は誌面では明かしません。それは読者の方も参加者と同じようにチャレンジしてみてほしいからです。答えがわかるとどうやらいいこともあるようです。どんないいことなのかは今は内緒です。
それではお楽しみに!
7月号では「チャレンジ・ハッキング」という記事を掲載します。一言でいうと、ゲーム感覚でサーバーを攻略するという企画です。
4名の参加者に2種類のサーバー(FreeBSD 4と6)のVMwareのイメージを配布。参加者はそれぞれのアプローチでサーバーを攻略していくというものです。ゲームの目標はただ1つ。rootのパスワードを探り当てること。どんなやり方をしてもOKです。
記事では参加者各人、それぞれユニークなアプローチを取っています。正攻法でリモートからExploitを打つ人、仮想マシンのディクスを解析する人、さらに…
侵入のテクニックもさることながら、各人がどう作戦を立てたのか? その考え方もわかるようにレポート形式の記事にしています。続きは本誌でお楽しみください。
そんな企画不謹慎だ! なんて声も聞こえてきそうですが、古いサーバーをメンテナンスもせず、そのまま放置しているとどんなことになるのか? その危険性を感じてもらうのが狙いです。
ちなみにVMwareのイメージは付録DVD-ROMに収録してあるので、読者の方も実際に試せるようになっています。答え(rootのパスワード)は誌面では明かしません。それは読者の方も参加者と同じようにチャレンジしてみてほしいからです。答えがわかるとどうやらいいこともあるようです。どんないいことなのかは今は内緒です。
それではお楽しみに!
Winny特集の7月号ですが、Amazon.co.jpで予約できるようになっています。発売前ですが、なんと表紙の画像も見られたりします。リンクはこちらからどうぞ。
読者の方から「近くの書店に置いてないぞ!」とよくお叱りを受けるのですが、確実に手に入れたい方はぜひ予約をお願いします。
読者の方から「近くの書店に置いてないぞ!」とよくお叱りを受けるのですが、確実に手に入れたい方はぜひ予約をお願いします。
(編集S)
ども編集Oです。
毎回スカイプネタばかりで恐縮なのですが、本日パイオニアから「スカイプ・一般電話」が使えるコードレス端末が発表されましたね。実売価格は1万5000円ぐらいらしいので、かなり気になります。
で、本日のネタなんですが、5月3日にリリースされたSkype 2.5ベータ(バージョン2.5.0.72)を使っているのですが、これがお勧め。
コンタクトグループをシェアしたり、スカイプからSMSメッセージを打てたり(FOMAはダメみたいだけど)、Outlookのアドレス帳から電話がかけれたり、100人まで参加可能なSkypecastなどなどの、新機能が追加された。
→Skype 2.5ベータ+SkypeCastプレビュー
→skypecastsのリスト
→2.5βとSkypeCastプレビューのバグ報告トピ
しかし、いちばんの感激した機能は「普通電話へ簡単ダイヤル」です。
今までスカイプから一般電話にかける時(スカイプアウト)、いちいち国番号をつけてやらないとダメでした。例えばハッカージャパンの編集部にスカイプアウトする時は
「+813032277705」
と「+81」をつけなければならず、これが結構面倒。
だけど、Skype 2.5ベータだと、最初に国指定をしておけば、スカイプアウト時に「3032277705」とタイプするだけ。たった3文字が省力されただけなんだけど、これが凄く快適!
まだベータ版ですけど、スカイプアウトを頻繁に使う人はバージョンアップしたほうがいいですよ。
・新しいホヤホヤのSkype 2.5をダウンロード
Skype 2.5ベータのダイヤル画面。利用する国を指定すれば、ダイヤルの時に国番号をつける必要がない。便利!
毎回スカイプネタばかりで恐縮なのですが、本日パイオニアから「スカイプ・一般電話」が使えるコードレス端末が発表されましたね。実売価格は1万5000円ぐらいらしいので、かなり気になります。
で、本日のネタなんですが、5月3日にリリースされたSkype 2.5ベータ(バージョン2.5.0.72)を使っているのですが、これがお勧め。
コンタクトグループをシェアしたり、スカイプからSMSメッセージを打てたり(FOMAはダメみたいだけど)、Outlookのアドレス帳から電話がかけれたり、100人まで参加可能なSkypecastなどなどの、新機能が追加された。
→Skype 2.5ベータ+SkypeCastプレビュー
→skypecastsのリスト
→2.5βとSkypeCastプレビューのバグ報告トピ
しかし、いちばんの感激した機能は「普通電話へ簡単ダイヤル」です。
今までスカイプから一般電話にかける時(スカイプアウト)、いちいち国番号をつけてやらないとダメでした。例えばハッカージャパンの編集部にスカイプアウトする時は
「+813032277705」
と「+81」をつけなければならず、これが結構面倒。
だけど、Skype 2.5ベータだと、最初に国指定をしておけば、スカイプアウト時に「3032277705」とタイプするだけ。たった3文字が省力されただけなんだけど、これが凄く快適!
まだベータ版ですけど、スカイプアウトを頻繁に使う人はバージョンアップしたほうがいいですよ。
・新しいホヤホヤのSkype 2.5をダウンロード
Skype 2.5ベータのダイヤル画面。利用する国を指定すれば、ダイヤルの時に国番号をつける必要がない。便利!
(編集O)
先日のエントリーでお伝えしたDEFCONツアーですが、詳細が決まったようです。
●インターネットセキュリティツアー
宿泊先は会場でもある「リビエラホテル」。夜のバカ騒ぎも含めてDEFCONを丸ごと満喫できるはずです。
また、現地でコーディネーターをつとめるのは、本誌ではおなじみの笠原利香さん。DEFCON主催者のダーク・タンジェント(ジェフ・モス)をはじめ、多くのハッカーたちとは10年来の付き合いがある知己の中。ツアーでは笠原さんの人脈を活かしてハッカーたちとの懇談会も予定されています。
他にもツアー参加者は、国内IT・セキュリティ業界の第一線で活躍するエキスパートの方々。参加者同士の情報交換もツアーのメリットの1つです。
費用はちょっと高めですが、個人で行くより得られる情報は多いと思います。DEFCON参加を考えている人は要チェックです。
●インターネットセキュリティツアー
宿泊先は会場でもある「リビエラホテル」。夜のバカ騒ぎも含めてDEFCONを丸ごと満喫できるはずです。
また、現地でコーディネーターをつとめるのは、本誌ではおなじみの笠原利香さん。DEFCON主催者のダーク・タンジェント(ジェフ・モス)をはじめ、多くのハッカーたちとは10年来の付き合いがある知己の中。ツアーでは笠原さんの人脈を活かしてハッカーたちとの懇談会も予定されています。
他にもツアー参加者は、国内IT・セキュリティ業界の第一線で活躍するエキスパートの方々。参加者同士の情報交換もツアーのメリットの1つです。
費用はちょっと高めですが、個人で行くより得られる情報は多いと思います。DEFCON参加を考えている人は要チェックです。
(編集S)
黄金週間真っ只中、絶好の行楽日和だというのに会社でシコシコ仕事している編集Sです(涙)。
次号の巻頭インタビューは、Winnyの特集と連動させてネットエージェントの杉浦さんにお願いしました。読者の方にはluminさんと言った方がわかりやすいかもしれません。
昨今のWinny情報漏えい問題やちょっと前に世間を騒がせたホリエモン偽メール事件などで、いまやマスコミから引っ張りだこの杉浦さん。
PCやネットワークとの出会いから、会社のこと・Winny検知システムのことなど、いろいろと話を伺ってきました。
インタビューに関連して… 先日IPAがWinnyの脆弱性を発表しましたが、ネットエージェントのデータを見ると、発表後もユーザー数は減っていないんですね。この原因として、
・ユーザーはIPAの発表自体を知らない
・発表を見ても内容があまり理解できていない
・とりあえず自分だけは大丈夫だと思っている
などが考えられると思います。IPAとしては、脆弱性の公表によってユーザー減少につながるかもしれないという思惑を持っていたのかもしれませんが、結果を見ると効果なし。
Exploit可能な脆弱性を抱え、しかもバージョンアップもままならないソフトを40万〜50万人のユーザーが使っているという状況は、考えただけでもそら恐ろしいです。
eEye鵜飼氏がIT Proで書いた記事を読むと、脆弱性を見つけるにはそれほど時間はかからないとのこと。脆弱性を悪用したExploitの登場も時間の問題でしょう。
さらに記事を読むと、試験的にパッチを作成してみたものの、その提供が法律に抵触する可能性もあり一般提供にはいたっていない、ともあります。
こうなると、対策のないアドバイザリーを公開することで、IPAはいたずらにユーザーを危険にさらしている、という見方もできてしまいます。
杉浦氏はインタビュー中「IPAに責任がある」「Winnyのノード数を公表したのもそれをはっきりとさせるため」と言っています。確かに作者によるバージョンアップも不可能、第三者によるパッチ提供も法的に微妙、となればIPAがパッチを提供するのもアリだと思います。
今回の脆弱性公表によって、Winnyを使うリスクはさらに増大しているといえます。すでに有志によるパッチも出回っているようですが、事が大きく(Exploitによる大規模な攻撃)前に抜本的な対策が出てきてくれることを望みます。
次号の巻頭インタビューは、Winnyの特集と連動させてネットエージェントの杉浦さんにお願いしました。読者の方にはluminさんと言った方がわかりやすいかもしれません。
昨今のWinny情報漏えい問題やちょっと前に世間を騒がせたホリエモン偽メール事件などで、いまやマスコミから引っ張りだこの杉浦さん。
PCやネットワークとの出会いから、会社のこと・Winny検知システムのことなど、いろいろと話を伺ってきました。
インタビューに関連して… 先日IPAがWinnyの脆弱性を発表しましたが、ネットエージェントのデータを見ると、発表後もユーザー数は減っていないんですね。この原因として、
・ユーザーはIPAの発表自体を知らない
・発表を見ても内容があまり理解できていない
・とりあえず自分だけは大丈夫だと思っている
などが考えられると思います。IPAとしては、脆弱性の公表によってユーザー減少につながるかもしれないという思惑を持っていたのかもしれませんが、結果を見ると効果なし。
Exploit可能な脆弱性を抱え、しかもバージョンアップもままならないソフトを40万〜50万人のユーザーが使っているという状況は、考えただけでもそら恐ろしいです。
eEye鵜飼氏がIT Proで書いた記事を読むと、脆弱性を見つけるにはそれほど時間はかからないとのこと。脆弱性を悪用したExploitの登場も時間の問題でしょう。
さらに記事を読むと、試験的にパッチを作成してみたものの、その提供が法律に抵触する可能性もあり一般提供にはいたっていない、ともあります。
こうなると、対策のないアドバイザリーを公開することで、IPAはいたずらにユーザーを危険にさらしている、という見方もできてしまいます。
杉浦氏はインタビュー中「IPAに責任がある」「Winnyのノード数を公表したのもそれをはっきりとさせるため」と言っています。確かに作者によるバージョンアップも不可能、第三者によるパッチ提供も法的に微妙、となればIPAがパッチを提供するのもアリだと思います。
今回の脆弱性公表によって、Winnyを使うリスクはさらに増大しているといえます。すでに有志によるパッチも出回っているようですが、事が大きく(Exploitによる大規模な攻撃)前に抜本的な対策が出てきてくれることを望みます。
(編集S)
6月8日発売の本誌7月号では「Winnyを(できるだけ)安全に使うテクニック50」(仮称)と題する特集を企画しています。
で、取材の一環として本日、アスキー主催による「止めるぞ!情報漏えいセミナー」に行ってきました。
このセミナー、13:00〜18:30の間で講演がなんと10コマ。1コマ30分で質問の時間もないという強行スケジュール。中にはベンダーによる単なる自社製品の紹介という眠くなるような講演もありましたが、多くの人が考えるさまざまな対策は、決定的な方法がないWinnyでの情報漏えい問題を考えていく上で、いろいろと参考になりました。
個人的に面白かったのは、Winny作者・金子勇氏による「Winny開発者にできること」。
度重なるWinnyのバージョンアップが著作権法違反のほう助にあたるとして逮捕され、現在も係争中の金子氏。公判の当事者であるがゆえ、自らバージョンアップすることはできないとしながら、Winny側でできる対策(主にAntiny系に有効な方法)を発表していました。以下にかいつまんで紹介します。
ご存知のとおりAntiny系のウイルスは、ユーザーが意図しないファイルをWinnyのアップロードフォルダへコピーしてWinnyネットワークへ流してしまうものです。その対策としては以前本誌でも紹介したアップロードフォルダを監視するという方法がありますが、最近の亜種では、ユーザーが意図していないフォルダをアップロードフォルダに追加してしまうものがあるそうです。これでは今までのアップロードフォルダの監視だけでは情報漏えいは防ぎきれません。
金子氏によると、Winnyでのアップロードフォルダの設定は「Upfolder.txt」に
[UP]
Path=D:\Winny\Up
Trip=
・
・
という風に記述されているとのこと。そしてウイルスはこのファイルを書き換えることで結果的に情報を漏えいさせているそうです。
ということは、この「Upfolder.txt」を守れば、情報漏えい防止につながるということです。
具体的には「Upfoloder.txt」の名前変更や暗号化、ハッシュ値管理による設定変更の警告などが考えられ、その実現手段としては、
(1)Winnyのバージョンアップ
(2)外部プログラムで対処
(3)Winnyにパッチをあてる
があると金子氏は言っています。
(1)については、先ほども書いたとおり、金子氏自身がバージョンアップすることはできません。また(3)については作者以外の第三者が作ることも可能ですが、作るにはそれなりの知識・スキルが必要になってきます。
余談ですが、各種パッチやシリアルジェネレーターといった容量の小さな実行ファイル、それもちょっと怪しげなものはウイルスの可能性が他のファイルより格段に高くなるので、ユーザーは気をつけてくださいね。話を戻します。ということで、ユーザーがすぐにできる方法が(2)になります。
具体的には、先ほどのアップロードフォルダ監視に加えて「Upfoloder.txt」の書き換えの監視することです。クリーンな状態の「Upfoloder.txt」のハッシュ値を取り管理します。すぐに思い浮かぶのはTripwireですが… 大掛かりだし、有償なんですよね…
ということで、どんなツールで「Upfoloder.txt」を監視していくか? これから調べて7月号で紹介するつもりです。ヨサゲなツールがあれば、ぜひコメントくださいませ。よろしくお願いします。
で、取材の一環として本日、アスキー主催による「止めるぞ!情報漏えいセミナー」に行ってきました。
このセミナー、13:00〜18:30の間で講演がなんと10コマ。1コマ30分で質問の時間もないという強行スケジュール。中にはベンダーによる単なる自社製品の紹介という眠くなるような講演もありましたが、多くの人が考えるさまざまな対策は、決定的な方法がないWinnyでの情報漏えい問題を考えていく上で、いろいろと参考になりました。
個人的に面白かったのは、Winny作者・金子勇氏による「Winny開発者にできること」。
度重なるWinnyのバージョンアップが著作権法違反のほう助にあたるとして逮捕され、現在も係争中の金子氏。公判の当事者であるがゆえ、自らバージョンアップすることはできないとしながら、Winny側でできる対策(主にAntiny系に有効な方法)を発表していました。以下にかいつまんで紹介します。
ご存知のとおりAntiny系のウイルスは、ユーザーが意図しないファイルをWinnyのアップロードフォルダへコピーしてWinnyネットワークへ流してしまうものです。その対策としては以前本誌でも紹介したアップロードフォルダを監視するという方法がありますが、最近の亜種では、ユーザーが意図していないフォルダをアップロードフォルダに追加してしまうものがあるそうです。これでは今までのアップロードフォルダの監視だけでは情報漏えいは防ぎきれません。
金子氏によると、Winnyでのアップロードフォルダの設定は「Upfolder.txt」に
[UP]
Path=D:\Winny\Up
Trip=
・
・
という風に記述されているとのこと。そしてウイルスはこのファイルを書き換えることで結果的に情報を漏えいさせているそうです。
ということは、この「Upfolder.txt」を守れば、情報漏えい防止につながるということです。
具体的には「Upfoloder.txt」の名前変更や暗号化、ハッシュ値管理による設定変更の警告などが考えられ、その実現手段としては、
(1)Winnyのバージョンアップ
(2)外部プログラムで対処
(3)Winnyにパッチをあてる
があると金子氏は言っています。
(1)については、先ほども書いたとおり、金子氏自身がバージョンアップすることはできません。また(3)については作者以外の第三者が作ることも可能ですが、作るにはそれなりの知識・スキルが必要になってきます。
余談ですが、各種パッチやシリアルジェネレーターといった容量の小さな実行ファイル、それもちょっと怪しげなものはウイルスの可能性が他のファイルより格段に高くなるので、ユーザーは気をつけてくださいね。話を戻します。ということで、ユーザーがすぐにできる方法が(2)になります。
具体的には、先ほどのアップロードフォルダ監視に加えて「Upfoloder.txt」の書き換えの監視することです。クリーンな状態の「Upfoloder.txt」のハッシュ値を取り管理します。すぐに思い浮かぶのはTripwireですが… 大掛かりだし、有償なんですよね…
ということで、どんなツールで「Upfoloder.txt」を監視していくか? これから調べて7月号で紹介するつもりです。ヨサゲなツールがあれば、ぜひコメントくださいませ。よろしくお願いします。
(編集S)
