2001/03/23
セキュリティホールの話
クラック事件で色々調べたところ、自分のサーバにセキュリティホールがあることがわかりました。
手順があまりに複雑なためサーバの中身を知っていないとほとんど不可能なのですが、そのセキュリティホールを利用すると、システムで使用している幾つかのファイルが取得できるというものです。といっても、そのセキュリティホールを利用して取得できるファイルはかぎられており、また、できるのは取得するだけで、埋め込んだり書き換えたりということはできません。しかもそれらのファイルをすべて取得したとしてもtelnetとftpが封鎖されている現在では利用する術はないのです(もちろんサーバを落とすこともできません)が気持ち悪いので修正しました。こういうミスを発見するためにはどうしてもアンダーグラウンドサイトにあるクラッキングツールを利用しなければなりません。今回はもうすぐ無料でなくなるプロバイダゼロのアカウントを用いて疑似アタックしてみました。セキュリティホールを見つけるには自分自身に対してクラックを行うのが一番わかりやすいのです。しかし、このようなセキュリティ対策ももうすぐできなくなります。実は東京都の青少年問題協議会がクラッキング手口の書かれた書籍を不健全図書類として規制することを青少年健全育成条例に加える方針だからです。クラッキングとセキュリティというのは表裏一体の存在です。クラッキング手口が公開されればそれに対するセキュリティ情報も公開されます。クラッキング手口が不明のままセキュリティ情報を公開することはできません。つまり、この法案のためクラッキング手口が不明となり、セキュリティ対策が取れなくなる可能性が高いのです。私のような二流の管理者にとってクラッキング本というのは自分自身のサーバのセキュリティ対策のための良い手本書です。これを奪うということはセキュリティ対策を取るなと言っているのと等しいのです。
もちろん、この手の本のおかげでセキュリティ対策を施していないサイトがアタックされていることは承知しています。しかし、だからといって見えないようにすることにどんな意味があるのでしょう。危険を知らずして安全は得られないのです。
前 後
Topへ