天才高校生サーバー管理者
2008 年 10 月 13 日 月曜日『ブラッディ・マンディ』というドラマが始まりました。これはマガジンで連載している漫画の実写化で、天才ハッカーの主人公が、警視庁の秘密部隊と協力しながら事件の捜査をする、という漫画的ドラマだそうです。
だいたい、ドラマや映画で「ハッカー」というと、「それはねぇよ」というような妙な描かれ方をされていますが、このドラマは意外と考証、設定がしっかりしているようです。
こちらの記事で、主人公の「ハッキングシーン」が分析されてます。
休み時間の藤丸のクラック
休み時間にクラック用スクリプトを書いてクラックするみたいです。
直後に実際に攻撃スクリプトを実行します。 この番組,相当Pythonが好きなようです(笑)藤丸のターミナルには「falcon@ws2 # nasm sc3.asm」と「falcon@ws2 # python -i atk3.py web25.boucka.ru 2323 -f sc3」で既存の脆弱性を狙いリモートアタック。見事にroot権限を取得し攻撃先に侵入しました。多分オーバーフローさせて参照先アドレスを攻撃者の任意のものに書き換えて,書き換えた参照先に攻撃者の任意のスクリプトを置いておけば成功する脆弱性なのかなーっと思います。
ちなみに藤丸は侵入直後の「/var/www」ディレクトリで「ls -al」コマンドを発行しています。表示されるファイルは「.htpasswd」と「index.html」…。.htpasswdを公開ディレクトリに置いてあるし,.htaccessは無いし…よくわからないですね(笑)何の意図でしょうか。
rootなのでシャドーパスワードを走査できますね。「brute_des」でパスワードを探している様子が伺えます。
内部からポートスキャンしたのが監視システムにバレたらしく,藤丸は焦って自分の実行させているコマンドをkillしようとします。ターミナルには
「kill -9 $」や「>>>connkill() Stopping…」のような画面が見えます。 killが成功したようですが,ログの改ざんなどはしっかりやったのでしょうか…汗
(「ブラッディ・マンデイ」を考察する:高校生サーバー管理者の考察日誌 - CNET Japan)
ツッコミが細かい…。
映画『バトル・ロワイヤル』だと、ハッキングするシーンでただ延々と「ll」コマンドを入力しているだけだったりしたもんですが、これはドラマのメイン・モチーフだけあって、ちゃんと分かる人を制作スタッフに入れてやっているのでしょうね。
それにしてもちょっと気になったのは、このCNETの記事のライターである「高校生サーバー管理者」氏は、ドラマの主人公と同じく高校生なんですね。
ちょっと調べてみると、自宅サーバーを使って無料ホスティングサービスをやっているようです。
ホーム - ABELレンタルサーバーサービス
これ、デザインこそシンプルなテンプレートですけど、サービス内容はかなり充実してます。システム的にも、自動会員登録からWeb上のオリジナルコンパネまで作り込んでいるようで、素晴らしい物があります。
運営者情報を見てみると本当にまだ高校生なんですね。
運営者情報 | AbelProject
か、格好良いじゃないですか。
我々が社会人になってから、えっちらおっちらサーバ周りの勉強を始めている一方、物心ついたときから普通にネット環境があって、趣味の自宅サーバで無料ホスティングを始めてしまう高校生もいるわけです。こりゃーうかうかしてられません。
後生畏るべし。焉(いずく)んぞ来者(らいしゃ) 来者(らいしゃ)の今に如かざるを知らんや。
