ハッキングとは一体なに?
よく聞きますよね。
巨大銀行がハックされた。
Tumblerがハックされた。
でも実はそんなに単純なことではなく、映画などで見るような華やかさはありません。
ハッキングは魔法の言葉をタイピングするということではなく、
地味な下準備と作業工程をじ~っくりとやった上で、
数パーセント実現したりしなかったりする非常に過酷なものです。
集団で実行する人たちを除けば、
基本的にその技術力と労力で普通に企業で働いたら、
ハッキング達成する10倍も100倍も千倍も稼げます。
夢の無い世界ですし魔法のようなテクニックも無い世界です★
片手でキーボード、もう片方もキーボード。
一度で2人分のキーボードを使うというようなことではないのですし、
4台も6台もモニターを展開して・・・という派手なものでもありません。
ハッキングは難しい作業と言えますし計画性が必要であり、
リサーチと技術を高水準に持つ必要もあり経済に精通するため
実際に効果的に行うには膨大な知識と研鑽した技術が必要です。
入念な計画とそれ相応の時間もかかります。
悪いハッカーを阻止するというのはさらに難しいことです。
しかし、なかにはそれに時間をかける人もいるのです。
悪い意味でのハッキング(ブラックハック)とは
認証を受けていない人がコンピューターシステムに入ることです。
ハッカーが入ると、見るべきでない情報にアクセスできたり
権限を持つことが出来れば情報の閲覧だけでなく記憶したパスワードや
保存してあるデータの書き換えも可能です。
FacebookやTwitterがハックされたとかはよく聞きますが、
ここで話す内容はそれとは違うものです。
もちろん、ゲームアカウントなどがハッキングされた、なども意味が違います。
アカウントがハックされた場合、それは大抵パスワードを知られたことが理由です。
それでも大変ですが、
企業のインフラに入り込んで何十億のパスワードが盗まれるということとは
レベルも被害額も桁違いに別のものです。
ただし後者の実現には並大抵の労力ではできませんし、
ホワイトハッカー(企業に雇われて守るハッカー)の集団雇用も増えていますので、
個人のブラックハッカーが挑むのは現実的ではありません。
ただしそれが実現してしまった過去はあります。
ヤフーは2013年12月に個人データを含む数十億のアカウントが
被害を受けたことに気づきました。
セキュリティーの質問やパスワードを含む個人データです。
こういったことのため企業はハッカーに油断できないのです。
ハッカーが侵入した後にはいくつか選択肢があります。
- 情報を集める。
- コンピューターシステムに被害を与える。
- またはなにもせずにセキュリティリスクを企業に報告するかです。
この3つがハッカーの主な違いです。
ブラックハットは基本的に悪者です。
システムに侵入して情報を手に入れたりダメージを与えたりします。
ちなみにこれはどの先進国でも違法です。
ホワイトハットというハッカーもいます。
自分自身のシステムに侵入したり、
人を雇って別のシステムに侵入を試みます。
私のように自作のハッキング用のラボサーバーを用意して、
守りの設定を変えながら攻撃(ハック)の練習をしている人もいます(自衛のため)。
危害を加えるためではなく、脆弱性を確認して修正するためです。
そして最後にグレーハット。
名前の通り、黒と白を行ったり来たりします。
とくに危害を加えようとしているわけではないのですが、
違法行為や非道徳的な行動をとります。
依頼されることなくシステムをハックしたりします。
情報を奪うことはないですが、
企業に後で報告すると同時に脆弱性を公表したりする愉快犯などで国外に多いです。
ブラックハット、ホワイトハット、グレーハットといるわけですが、
彼らのテクニックはおおむね同じです。
システムの脆弱性を確認するホワイトハットでも、
ブラックハットがどんな手を使うかを理解していなければいけません。
攻防の結果、情報を守る必要がある分だけ
ホワイトハットはより高い技術力を求められる立場に有り、
それ相応の力を持つホワイトハッカーは国務職につくこともできますし
所得も非常に大きいです。
ホワイトハットが主にやることでペネトレーションテストというものがあります。
省略してペンテストと呼ばれます。
ブラックハットのように危害を加えるのではなく、脆弱性を修正します。
これはハッキングの基本的な手順です。
このステップを見るとハッキングの基本的な考え方がわかります。
イメージとしてはパズルを解くか、推理小説のようにヒントを集めていく形です。
最初のステップは偵察で情報を集めてシステムに侵入する最善の方法を探します。
例えばブラックハットの場合、ターゲットのコンピュータのOSを知っていると有利です。
攻撃をそのOS用に調整します。
脆弱性を修正するホワイトハットの場合、
どんなデータにアクセスしたいかを知りたいわけです。
WinかMacか?
バージョンは?
狙うのはC言語なのか?
標的はHTMLかPHPかJAVAか?
絞り込むことで、その情報がどれだけ守られていて
どれだけ危険度が高いか(または低いか)を確認できます。
情報の保護が弱ければ、より強固なパスワードなどでカバーすることでリスクを下げる。
ホワイトハッカーは攻撃方法を推測することで、それを未然に防ぐ措置を取るのです。
ハッキングの手法-まず手始めに・・・
偵察には2パターンあります。
パッシブとアクティブ。
パッシブ偵察はターゲットのコンピュータに一切干渉せずに
ハッカーが情報を集める場所です。
パッシブ偵察には多くの方法があります。
すでにある情報を見たりWebで公表されているファイルを見たりします。
この時点では違法ではありません。
⇒要するに、普通に閲覧できるWebやリンクを見て(弱点を探します)
パッシブ偵察は時間がかかりますが、企業にとっても対抗しづらいものです。
なぜなら何も察知できないからです。
パッシブ偵察は普通のユーザーと一見すると違いが無いので、
アクセスしただけではただの「1読者」「1ユーザー」「1PV」でしかありません。
ハッカーが企業のシステムに接触しないので、
企業を狙うハッカーの攻撃の計画をしていてもパッシブ中は気づけないのです。
企業にできる最善策は攻撃対象をやたらと残さないことです。
害がなさそうでも不要なデータはできるだけ完全に消すことです。
ハードドライブなどデータを保存した機器を軽率にゴミとして捨てないだけでも効果的です。
続きは講師の方からまたお話しを聞けたら記載します
ハッキングラボは書籍で誰でも作成できる、自分がハックする架空研究所です。
自宅ハックを推奨する人もいますが、プロバイダの権限をハックしたら違法なので
自宅とはいえ回線本体のルーターの情報までこじあけないように気をつけましょう。
目標が欲しい方は海外主催ですがホワイトハッカーの国際資格がありますので、
そちらを目指して勉強してもいいかもしれません。
ただし、下手な国家資格より難易度は上なので
挫折前提で挑戦するくらいの気持ちでもいいかもしれませんね。
ちなみに
ハッキング(アタック攻撃)しても怒られないサイトもあるよ!
練習したい覚えたての人から中級者位の人まで
そこそこガードされたサイトを攻撃してみたい人は
をボコスカ殴って練習してみよう★
ただしトラップや反撃もあるので自己責任でやりましょう!
(自信ないなら止めましょうね!!)