お手軽クラッカーの台頭 21
ストーリー by reo
(諦め顔) 部門より
(諦め顔) 部門より
taraiok 曰く、
Veracode 社は、ソフトウェア脆弱性傾向の研究などを含む Software Security Report を公開した。それによると今後お手軽なクラッカー、スクリプトキディが増えるだろうと指摘している (Help Net Security の記事、本家 /. 記事)。
こうしたクラッカーの増殖には Google 検索の影響があるという。たとえば「SQL injection hack」という単純な単語で検索すると 300 万もの結果を導き出す。この中には SQL インジェクションの発生方法を説明した動画なども含まれている。こうした情報の入手性の高さは、技術的に熟練していないクラッカー達が増えやすい要因となっているという。
また同レポートによると Web アプリケーションの 32 % が問題点の修正を行わないまま運用されていることが分かった。このため、2013 年に起きる問題の約 30 % は SQL インジェクションによる攻撃となる可能性があるとしている。そして、組織のセキュリティ侵害やデータ損失の主要原因は、安全でないソフトウェアであると結論づけている。
お手軽クラッカー (スコア:0)
紙でっぽうかと思った。
Re:お手軽クラッカー (スコア:3, おもしろおかしい)
本家 /. のタイトル通り (そしてタレコミ通り) に「お手軽ハッカー」で掲載したら「ハッカーとクラッカーの区別もつけないとはスラドも地に堕ちたものだな」「一部の編集者が品位を」とか言われるだろう (実際本家ではそんなコメントが (スコア5: 素晴らしい洞察) ですしおすし) からと「お手軽クラッカー」と校正したら「紙でっぽうかと」「当たり前田の」「ジョジョが」とかいうスレッドが一番伸びちゃったりなんかしてなんかもうね。
Hiroki (REO) Kashiwazaki
Re:お手軽クラッカー (スコア:1)
当たり前田のほうかと…
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
リッツかとおもた。。。(´・ω・`)
# クラッカーを生地から作る人なんているのかよとおもったらククパにあった件
http://cookpad.com/recipe/2186387 [cookpad.com]
Re: (スコア:0)
両方思った。そうだったらうれしいなって。
けど、ここはcookpadじゃなくてスラドだ。
Re: (スコア:0)
丸い玉を2つ紐で結んだ(略
# すいませんJoJoの見過ぎです
Re:お手軽クラッカー (スコア:1)
ガッチャマンじゃないのか…
らじゃったのだ
Re: (スコア:0)
実写版は少し違った方向性でいくようです
http://www.nikkansports.com/entertainment/news/p-et-tp1-20130411-11106... [nikkansports.com]
http://www.sanspo.com/geino/news/20130411/oth13041105040010-n1.html [sanspo.com]
http://kimasoku.doorblog.jp/archives/25 [doorblog.jp]
クリック数回であなたもクラッカー? (スコア:0)
手に入るのは「情報」だけなのかというところだと思うのですが
さすがに検索ですぐに見つかるようなところには置かないでしょうけれども
Re:クリック数回であなたもクラッカー? (スコア:1)
なんとなくの印象だけど
クリック数回で手に入れるのがクラッカーっぽくて
キーボード数十打で手に入れるのがハッカーっぽい。
Re: (スコア:0)
スクリプトキディも増えるよってんだからそうでしょうね。
それでなくても一般公開されてるペネトレーションツールとか、そのままよそ様に使えば、、、ですからね。
お手軽ユーザが増えたら (スコア:0)
そりゃクラッカーも増えるだろうさ。
自分を守れない人は淘汰されたらいいよ。
お手軽ユーザと言えば (スコア:1)
「うちはアンチウイルス入れてるから大丈夫」
Re: (スコア:0)
誤認逮捕された人もそうだね!
一年後にXPをネットに繋いでる人ももちろんそうだね!
Re: (スコア:0)
× お手軽ユーザ
○ お手軽IT企業
SQL インジェクションを許すようなシステム作ってる企業は、指名停止処分とかのペナルティ受けてしかるべきですよね
お手軽クッカー (スコア:0)
お昼時だったせいか
セキュリティベンダやセキュリティ研究者が (スコア:0)
攻撃に関する情報やツール類をバラ撒いてるからねえ
攻撃コードそのものを公開してる連中もいるし
Re: (スコア:0)
でもシステム開発者が攻撃の仕組みが分かってないと対策できないし、しょうが無い。
Re: (スコア:0)
攻撃手法を研究しているセキュリティベンダと話をしていると「なにか大きなインシデントが発生すれば商売がしやすくなる」という意見をよく聞く。
インシデントが発生すると儲かる立場にある人が攻撃手法の研究をしているという不健全な状態では、胡散臭いと思われてもしがたがない。
攻撃手法が一般化する事はデメリットだけではない (スコア:0)
防御手法も一般化するというメリットもあるでしょう。
一般化するというのがとにかく大事で、どの企業でもリスクが想定出来る事で、掛けられる予算や経営的配慮が変わってくるはず。
技術が無い所は、セキュリティ製品やアウトソーシングに流れ、開発してるところはシステム改修のきっかけになるでしょう。
また、検索ワードが上位になれば、広告業界が飛びつき、結果として一般化を促進する結果になるので、Google検索を責める理由も無い。
日本ではある程度一般化された所で、ちょっとでも事件が起これば、急激にメディアで取り上げられ、
リスクが過大に周知され、経営者にとってはちょうど良いレベルのリスク評価になる。
しかし、SQLインジェクションって数年前くらいに流行って、もうかなり対策進んでるんじゃないの?
少なくとも周りでは、XSSとSQLインジェクションは認知度高いです。
むしろお手軽SEの台頭? (スコア:0)
> Web アプリケーションの 32 % が問題点の修正を行わないまま運用されている
歴史に疎くて判断できないのですが、この値は歴史的に見て特別高いものではないのですか?
異常に高い数値なのであれば、「ググって簡単に手に入る上にすぐ使える知識で攻撃可能なターゲットが増えている」方にスポットが当たるべきな機がします。