まあ、先頭に一言感想から自分なりの解説に移ります。専門的な物を踏まえるのと省くのを両方書きますが・・・。
とりあえず、あれは「PCの」セキュリティではない。ただのとんちだ(と個人的には思う)。
(ちなみに、裏話を見ないでそのまま番組の説明を読み取ったらこうなります。裏話を見てからだと全く想定が違いますので注意。追記および追記編を参照のこと)
とんちだろうが何だろうがルール内で勝利すればほこ×たての原理上は勝ちなので突っ込んではいけないのでしょうが、それでも突っ込みを言いたくなります。
おそらく、セキュリティ側に勝たせたかったのでしょうね・・・。と言うか勝ってくれないと(守る)セキュリティ会社側の信用に関わりますからね。
なお、ハッカー側もホワイトハッカー(正義のハッカー。セキュリティを破ることで作成者側に脆弱性を報告することが仕事)3人のグループということで。
まあ、対決するルールがルールなので
一応書くと以下の通り
・PCを3台用意。その3台から「順番に」目的のファイルを探す
・制限時間は15時間。回線はハッキングを行うためにその他環境から切り離された別系統内で行われる
・開始時に対象のPCよりメールが送信されて、その中に目的のファイルに関する情報が書かれているのでそれを手がかりにする
・対象のファイルは一枚の写真を横に三分割したjpgファイル
・セキュリティ側は写真が保存されているPCに細工をしてファイルを見つけにくくしている
最後の条件がソフトウェア的なセキュリティではない仕掛けをさせる要因になっています。
ここが今回のルールでハッカー側が一番不利になったポイントです。
1stステージ考察
PCの突破自体は30分くらいであっさりと出来た、と言っていますが、これは真実でしょう。
Microsoft Updateなどをちゃんとやっていないマシンでやるとあんなもんです。
セキュリティソフトとOSベンダより提供されるアップデートはかけましょう。また、それを過信しないように。
で、突破の方法ですが、推測ですがおそらくこんな感じだと思います。
- メールの送信元情報より送信元IPを特定
- システムログに関するバッファオーバーフローの脆弱性を発見
- バッファオーバーフローを使って擬似コマンドプロンプトを外部から開いてコマンド入力結果を送受信
ちなみに、3.については外部にHTTPサーバーを何らかの方法で公開している人であればログで見たことがあるやり方だと思います。
あとは対象PC上にリモートデスクトップなどを開かせれば作業はこちらで出来るのでそこまでがハッキングの腕でしょう。
すでにPCに侵入されている以上、「セキュリティが破られた」とも言えるような気がしますが・・・。
で、このステージの「とんちセキュリティ」が
同名ファイルが数万個も存在している(ネット上から集めた任意の画像を対象ファイル名に変更)
というもの。後はとんちをとく方法(もとの写真がマスターなのでかなり大きい、横に三分割なので縦長)という何とも間抜けな作業に。
情報処理をやっていた人間としてはこれをセキュリティと言っていい物かなにか。
2ndステージ考察
相変わらず突破自身はかなり容易だったよう。PCに侵入してあっさりとリモートデスクトップが開かれた様子。
PCに侵入までのセキュリティは役に立っていない様子が見受けられます。
で、このステージの「とんちセキュリティ」が
目的のファイル名をアタック前に変更しているため、PC上には対象のファイル名を持つファイルが存在しない
・・・なんともはや。別名に変更されたことに気がついて操作履歴を出すところまでは行ったのですが、ハッカー側がタイムアップになることを予見して降参。
しかし、良く操作履歴まで出せた物ですね~。
このセクションの全体考察
つまるところ、PCへの侵入は腕が立つハッカーであれば短時間でもできることが分かると思います。
侵入に要する時間を延ばせるかどうかが普通「PCのセキュリティ(一般のセキュリティソフトが対応する部分)」と言われたときの肝のような気もするのですが・・・。
その後の本目的(特定の画像ファイルの入手)があらかじめ狙われていることが分かっていることを前提としたとんちだったのが微妙でした。
この「とんちセキュリティ」を自動でやるようなソフトがあると面白いかもしれません。
まあ、これはファイル本体の暗号化、と言う形で存在しているので無いわけではないのですが、手動でやる分だけ面倒なんですね。ファイル数が多くなるとそれも面倒ですし・・・。
自分では使ったことがないので評価は避けます。
また、この番組に出てくる背景のおかげでいろいろと面白いことも見えたりしました。
楽天内で仕事をしているホワイトハッカーのPC画面がなぜかアセンブルされた物で、しかも@selectorの文字が見えたのでおそらく原本はObjective-Cだろうと推測。
また、世界の大会で入賞(番組に出ていた人は優勝ですが)でもすればいろいろと仕事はある物なのですね~と。
ニートをやっている自分とは大違い。悲しいですね。
2013/06/10 追記
なお、上記の感想は「裏側の事情を全く見ないで情報を読み取ったらこうなる」というものです。
Togetterなどいくつかのまとめではこれらにどんな仕掛けがしてあったのかの情報が書かれています。
それを軽く見てからの感想は「それを見てからこれを見ると全然意味合いが違うのだが」というものです。
この辺は番組製作者がどう見せたかったのか、によると思います。
すでにサポートが切れているOSを使っているとか何なのかとか、TrueCryptとかせめて名前を軽く出してくれればそれで良かったような気がするのは気のせいなのか。
まあ、「侵入出来ても何も出来なかった」ことを今回は「セキュリティが働いている」としているとするならこれはこれで納得です。
具体的には同じ日にある追記編を参照のこと。
残りのほこ×たても面白かったです
まあ、やっぱり決めるためのルールが肝ですね。一応一言感想もついかで。
「電動アシスト自転車 VS 長崎の急な坂道」はこれで長崎では電動アシスト自転車が売りやすくなるという結果に?でも電動アシストもすごいものだな、と。
「ジーンズ VS 馬」は試行回数でどうしても状態が変化してしまうのでああいう結果が出やすいような気がします。
「ショベルカー VS ホイールローダー 重機棒倒し編」は規模が巨大になったただの棒倒しのような気も。こうなるとホイールローダーの方が使い勝手は悪いと思います。
最後に、夏に予定されている「ドリル VS 金属」の高専バージョンが面白そうです。
この対決はシリーズ化されている物でも白熱している物ですので。
と言うところで、感想でした。