Posted by & filed under いろいろ.


ハイデラバードの話の続きです。

ハイデラバードの某大学の図書館に行きました。そこで設置してあるPCのOSはFedoraでした。ちなみに書架にもFedora本とRedHat本はたくさんありました。一方、Ubuntu本とDebian本はあまりありません。プログラミング言語の書籍は、C、C++、C#、Java、Perl、Pythonが揃っている印象でした。日本と比べて少ないと感じたのが、JavaScript、PHP、Rubyです。正確に言うとRuby本は探しても見つけられませんでした。もちろん、図書館なので、人気があって借りられている可能性も否定できません。

さて、今回は本が主題ではありません。図書館の設置PCの話です。

最近は、公共機関に設置するPCはWebブラウザさえ動けば充分な場合も多いと思われます。このため、無償OSでコスト削減する流れが一定数増えてもおかしくありません。

世の中の一部にはWindowsよりもUnix系OSのほうがセキュアという神話があります。しかし、何も考えずに設置したら大差ありません。むしろ、何も考えずに設置したらUnix系OSのほうが相対的に危険度が高い可能性もあります。

他のディストリビューションの動向を調べていませんが、Ubuntuはデフォルトで一般ユーザがsudoできます。代わりにsuコマンドを禁止しています。一見、rootユーザのパスワードの盗難リスクが減ってセキュアに見えます。そういう一面も否定しませんが、公共機関に設置するPCに関して言えば、sudoできるアカウントが普通に使われているのは大きなセキュリティリスクです。と言うのも、次のクラックをされる危険があるからです。

まず公共機関のPCから故意にログアウトします。係員の女性を呼んで「間違ってログアウトしてしまいました」と伝えます。女性が再ログインしてくれれば、指の動きからパスワードを盗めます。sudoのできるアカウントであれば、これでroot権限を取ったことになります。

パスワード入力の指の動きでパスワードを盗むのはアリエル社内では割とメジャーですが(Mさんのせいですが…)、何か決まった名前はあるのでしょうか。簡単な割には無防備な人が多くて驚きます。広義に言えばソーシャルクラッキングの一種ですが、正しく危険性を伝えるには特別な名前があってもいい気がします。

入力中に手を凝視していると視線からばれることもあります。そんな時は、あなたの手があまりに綺麗なので見とれていました、と言い訳します。このため、話しかける係員は若い女性でなければいけません。

この記事を読んでこのクラックを試してみようと思った人に警告しておきます。試さないほうが身のためです。罠かもしれません。簡単にパスワードを取れたと思って喜んだら改造sudoが仕込まれているかもしれません。sudoを実行した瞬間にピーピーと警告音が鳴って、背後に怖い人が並ぶことを想像してください。

アリエルも最近は普通のセキュリティ強化では飽き足らず、ハニーポット専門です。罠のかけかたを色々知っていると、面白半分のいたずらはリスクが大きすぎて手を出せません。小さないたずらの防止には知識を隠すのではなくどんどん明らかにしていくのが良い好例です。それにしても、しつこいですが、パスワード打つ時に無防備な人が多くて困ります。


関連文書:

  • 関連文書は見つからんがな

3 Responses to “公共機関にsudoできるPCを置くのは危険”

  1. avatar

    @seizans

    > パスワード入力の指の動きでパスワードを盗むのはアリエル社内では割とメジャーですが(Mさんのせいですが…)、何か決まった名前はあるのでしょうか。

    ショルダーハッキングと呼ばれることが多いです。

  2. avatar

    smbd

    > パスワード入力の指の動きでパスワードを盗むのはアリエル社内では割とメジャーですが(Mさんのせいですが…)、何か決まった名前はあるのでしょうか。
    「ショルダーハッキング」かと思われます

  3. avatar

    @ishikawa84g

    > ショルダーハッキングと呼ばれることが多いです。
    ショルダーサーフィン と呼ぶこともあります。