hacking – y2k

Android, internet, iPad, iPhone, mobile, スーパーサイズダイエット日記2014-08-272014-08-28

“Line powered by Naver Japan NHN by Jon Russell, on Flickr”

LINE乗っ取りの実情聞いてるとどうもパスワードの設定とか、モバイル側での設定とかそんなのじゃなくサーバーが脆弱性もっててサーバー側で丸ごと乗っ取られてるんじゃないかという気がしなくもない。

＊つい先日の知り合いの事例
1. パスワードはランダムに発生させた文字列12文字以上
2. そのパスワードはLINE専用、他のサービスで使っていない
3. PIN CODEは設定済みとのこと
4. Email設定済みで他のPCでログインは可能

この人はセキュリティ対策もわかってる人なのでちゃんとパスワードはランダム関数で発生させた意味をなさない文字列のパスワードで12文字以上のものを設定していた。そして他のサービスではこのパスワードは使ってないらしい。

乗っ取りのひとつの理由として他のサービスで同じパスワードを使っていて、それが情報流出で乗っ取り犯に情報が渡り、そのパスワードでログインされるというもの。しかし、今回の場合それには当たらないし、パスワード情報が流出しようがほとんどの場合はパスワード情報自体はハッシュ値で保存されているだろうから、それはそのまま使えない。そのハッシュ値のもとになる文字列を探し当てるために再度総当りが必要になってひとつひとつのパスワード解析に時間がかかりすぎる気がする。

9-1. パスワードの取り扱い : IPA 独立行政法人情報処理推進機構：情報セキュリティ

結局パスワードの総当たりなどで突破しようとすると一件一件に時間がかかりすぎて、その後のiTunesカードを買って送ってくれ作戦の成功率を考えてもそれだけ時間をかけるメリットがない。パスワード解析の暁には確実に騙して金を手に入れることができるのであれば時間かけてもやるだろうが、その後のメッセージの送り方、騙し方を考えると成功率は全然高くないはず。

セキュリティ調査レポート Vol.3／パスワードの最大解読時間測定【暗号強度別】 | サービス | ディアイティ

上記のリンクではPC上で総当りの手法でzipファイルのパスワードやMS Officeファイルのパスワードの突破を試みるときにかかる時間について実験してるが、英文字大小、数字、記号が入力できるパスワードで10桁のものが設定されていた場合すべてのパスワードのパターンを試すまでに341年かかる。これをネットワーク越しにやるなら時間的には何倍、何十倍とかかるはずなので、こんなことをやるぐらいならもっと金になる話がいっぱいあると思う。

今回のパスワードが突破されたことを考えたら、逆にサーバー側になんらかの脆弱性があって、乗っ取る時はサーバー丸ごと一台分、ユーザ数は何十万人分とかを一気に乗っ取って、それに対してiTunesカード買ってくれメッセージを一斉送信、返答のあるアカウントだけ、人が個別対応、とするなら効率的なんである程度やっても意味があるかなと思う。

LINEの他端末でのログインを不可にすれば乗っ取られの実績はないみたいだが、サーバー側が乗っ取られるのであれば、その対策も簡単にサーバー側で設定が書き換えられてしまう可能性があってすぐに他のPCでログインされてしまうと思う。とすればユーザ側でパスワード変更やらの設定で対策しようが何も意味がなく、サーバー側で脆弱性対策をしっかりやってもらわないといつまでもなくならいということになる。ネットでも「サーバー側に問題あるんじゃない？」的な事を書いてる記事が出てこないんだけどホントにユーザ側設定が原因で乗っ取られてるのかな？100%がそうじゃないと思うんだが。。。

まあ上記のような勘ぐりをしてしまう。ただ、個人的にはこういうセキュリティハッキング的な話なんて職場の人間とするようなこともとんとなくなっており、そういうニュースも最近は全然読まないので全然見当外れの内容を書いてしまってるかもしれない。なんか具体的にこんな形でハッキングしてんだよ、ってな面白い話を知ってる方はぜひご教示ください。。。

んで、結局現状LINE使ってる人はどうしたらいいの？って質問の答えは、「使わない」がいいんじゃないでしょうか。。。通常の使い勝手は別に悪くないんだが端末リセットした時とか、他の端末に乗り換えた時にメッセージ引き継げないのが(絶対サーバー側にメッセージ残してると思うんだけどなぜにユーザーに見せないのか？それともホントにサーバー側に残してないの？)どうもめんどくさくてイマイチ好きじゃないんだよなあ。それ考えるとFacebookメッセンジャーのほうが使いやすい。メッセージデータはサーバーにあってマルチデバイス対応ですもん。LINEと同じぐらいに使ってるユーザー多いし。ですが、他のサービス使おうが本質的に乗っ取りのリスク自体はLINEと一緒ですな。SMS使うか。。

internet, mobile, スーパーサイズダイエット日記2013-06-19

“ENTER YOUR PASSWORD” photo by marc falardeau

今年の頭、Twitterのユーザ名/パスワード流出事故の際に僕はほぼ全部のウェブサービスのパスワードを変更し、それぞれすべて異なるパスワードを設定しました。

最近、同僚や友人と話しているとやっぱりまだ同じパスワードをほぼすべてのサービスに使っている、という人が多くてびっくりする。今まで僕自身もあまり気にしてなかったけど、やっぱりこれって気をつけたほうがいい。

漏れたユーザ名とパスワードのセット、僕が悪意を持って利用するなら、まず手に入れたユーザ名の後ろに@gmail.com、@hotmail.com、@yahoo.comなどをつけて流出したパスワードとのセットでログインできないか試みる。FacebookやTwitterを乗っ取るとかは別にどうでもいいけど、SNSでその人がどの国に住んでいるかがわかればその国の主要な銀行のオンラインバンキングのログイン画面で流出したユーザ名/パスワードでログインできないか試みる。またはGmailやHotmailにログイン出来ているなら「パスワード」で検索してその人が使っているオンラインサービスを調べてログインを試みる。あ、後Paypalもトライしてみるかな。

これら、同じパスワードを使いまわしていたら高確率でログインできてしまう可能性が高い。

「でも今まで特に問題ないよ」

と言われる方。既にトライアルは終了していてログイン可能なアカウントとして誰かがストックしてるかもしれない。ここぞという時を見計らってやられるかもしれない。結構な数のアカウント(メールやSNSなどさして影響度が高くないアカウントや金融系などの直接金に結びつくアカウントまで)が既にハッキングされて、ログインが成功することまで確認してまだ何もしていないかなりの数のアカウントのリストが作成されていて裏でいろいろとサイバーヤクザな人たちの間でやりとりされてるんじゃないかと想像してたりします。

なので、可能な限りパスワードは異なるものを使いましょう。できればツールで作成した大文字＋小文字＋記号を取り入れてランダムな10文字以上のパスワード。これでは複数のパスワードを人間が覚えきれないのでツール必須になりますが、やっておく価値は高いと思います。。。

デジタル2010-11-012011-01-30

最初、Gizmode:世界で一番売れている携帯を呼んで、「そうそうNOKIAの安い携帯ってただ単に安いだけじゃなくてそれなりにその価格帯の購買層向けにちゃんとマーケティングできていて適切な機能があるね」と思って、いろいろ見ていた。

現在ebayで “nokia 1100” と検索をかけるとちょっと安価な携帯電話の中古価格とは思えないような金額がずらずらっと表示される。500$(USです)、1500$、なかには3000$みたいな値付けをしているものもある。これはなんなんだろうと思い、いろいろ調べてみるが日本語サイトではほとんど記事が見つけられない。というわけで検索対象を英語のサイトも含めて検索してみると、

SOLID BLOGGER: Hackers are Paying $32K for Nokia 1100 Mobile Phones
COMPUTERWORLD UK: Investigators prove Nokia 1100 online banking hack

ほとんどが去年の記事である。それによるとハッカーグループがnokiaの1100を高額で買い取るような動きをしているとのこと。それというのも、このnokiaの1100の中でもMade in Germanyで2003年あたりに作られたものはそのファームウェアを多分いじくるんだと思うんだが、SIMの電話番号を詐称して、他の番号のSMSなどを受け取ることが可能なんだとか。ドイツとオランダの銀行が使っているmTAN(mobile Transaction Authentication Number)、いわゆるモバイルバンキングの際に使用するワンタイムパスワードを受け取れるらしい。そうして銀行預金を違法に送金できてしまったりするので、欧州のハッカーは破格の値段でこの携帯電話を買い漁っている、という記事を見つけた。

というわけで「おお！こりゃすごい！タイの中古携帯屋でnokia1100を買い漁りebayでせどり収入やー！」と

一瞬考えましたが、どうも話しに納得できない部分がいろいろとある。

まず、具体的にどのようなセキュリティホールがnokiaのファームウェアにあって、その穴が既存の銀行のシステムにどのように作用しているのかをもっと具体的に一個一個の手順が想像できるレベルでの解説がまったくない。どこぞのニュースサイトでは具体的なハッキング方法は全然明らかになっていない、という記述もありました。後は、銀行側のシステムのログであります。送金するということは、どこかの口座にお金を移すということなので、その送金先の口座の情報やその口座からの引き出し履歴からある程度本人が割れていずれ捕まるんじゃないの？みたいなことを想像するのであるがそういうところに触れてる記述もあまり見受けられない。

と、いろいろ調べているうち、やっぱりこれはなんかの煽りで都市伝説みたいになってる話じゃないかと思えてきた。。。
そう、多分、こんなことやってると絶対足が着くと思うしね。。。

ただ、どの記事も2009年のものが多いのでもう今はどこかのサイトで結論が出ているのかも。。。誰か探して。。

← nokia1100って本来これくらいの価格帯なんすよ。。。