コンピューター犯罪：当時と今

私は、1980年代の終わりに、コンピュータサイエンスの違法な側面を使った、私の若々しいいたずらをその形ですでに説明しました。 しかし、それは犯罪でしたか？ 私は本当の犯罪者でしたか？ そうは思いません 正直に言って、私はどんな種類の脅威ももたらすほどの才能がなかったので、今でもそれを想像することはできません。



80年代後半のユニークな才能を持つハッカーの活動を説明する2つの古典的な本があります。これは、犯罪の脅威として認識される危険性を高めた才能です。





カッコウの卵：コンピューターインテリジェンス迷路を介してスパイを追跡

ワイヤーの幽霊：世界で最も指名手配されたハッカーとしての私の冒険



カッコウ（1986年頃）-おそらく意図的な犯罪と見なされていたハッキン​​グの最初のケース、そしてもちろん、国際的なスパイ行為としてコンピューターハッキングの最初の既知のケース。 私は元の1989年版で本を読み返しましたが、物語は今でも刺激的で有益です。 クリフストールの予言は、コンピューターと初期のインターネットへの信頼が実際の犯罪者 、現実の犯罪者 、物質的な犯罪者に対してどのように脆弱になるかを予測するのに役立ちました。



Kevin Mitnikが完全に違法なことをしたかどうかはわかりませんが、彼が世界で最初のコンピューター犯罪者として知られていることは間違いありません。







1994年までに、彼は10人の最重要指名手配犯罪者のFBIリストに載り、 彼の訴訟に関する記事はNew York Timesのフロントページに掲載されました 。 「コンピューター犯罪」と「ハッキング」の概念が社会の意識に入った瞬間が存在した場合、それは彼でした。



「The Ghost in the Wires 」のケビンは、イベント全体を詳しく説明しています。 Wizzywigコミックでは、すべてが切り捨てられた形で書き直されますが、ソースから直接取得されるため、読む価値があります。 もっと悪いとは言いません。 長年にわたり、ケビンはハッキングしていません。 彼は自分のトリックを説明する本を何冊か執筆しており、現在ではコンピューターのセキュリティを改善するよう企業に助言しています。



これらの2冊の本は、コンピューター犯罪の始まりを、私たちが知っている形で扱っています。 もちろん、今では問題は80年代半ばよりも深刻になっています。つまり、時代のinterconnect明期に誰も想像できなかったよりもはるかに多くのコンピューターを相互接続することです。 しかし、実際に驚くのは、1985年以降にサイバー犯罪行為に生じた変更がどれほど小さいかです。



現代の最高の例-そして現代では、2000年以降のコンピューター犯罪は理解しています-「 リーダー：ハッカーが10億番目のサイバー犯罪者を地下に押収した方法 」。 現代のサイバー犯罪は、白黒映画の古典のようなものです。すべてが多額のお金の盗難に結びついています。 しかし、同時に、ボニーとクライドのペアのスタイルで銀行の金庫を奪うために、プロセスは電子的に行われ、ほとんどはATMとクレジットカードの悪用によって行われます。







別の有名な引退したハッカー、 Kevin Poulsenによって書かれたこの本は 、興味深い記事でもあります。 私はすでにそれを2回読んで、主人公が2002年に刑務所から釈放した後に書かれた最も有益な一節を見つけました：

マックスのかつてのシリコンバレーのクライアントの1人が助けようとし、マックスに5,000ドルの契約を与えました。 タスクは会社のネットワークへの浸透をテストすることであり、経営者は彼からの報告の有無について特に心配していませんでした。 しかし、ハッカーは仕事を真剣に受け止めました。 彼は数か月間ファイアウォールを襲撃し、倫理的なクラッカーとして慣れていた単純な勝利の1つを当てにした。 しかし、彼は驚きを経験していました。座っている間に企業のセキュリティの状態が改善されました。 彼は彼の唯一のクライアントのネットワークでは何もできませんでした。 彼の100パーセントの成功実績は破れた。



マックスはもっと頑張ったが、自分の無力さのためにますます失望した。 最後に、彼は何か新しいことに挑戦することにしました。 会社の強化されたサーバーの脆弱性を探す代わりに、彼は目標として数人の従業員を選びました。



クライアント側でのこれらの攻撃は、ほとんどの人が攻撃者の行動に慣れ親しんでいます。グリーティングカードや面白い画像のようなものへのリンクを含む電子メールのスパムメールです。 実際、実行可能ファイルがダウンロードされ、警告を無視すると...

すべて正しいです。 今日、正面攻撃で時間を浪費するハッカーはいません。 成功の可能性はごくわずかです。 代わりに、彼らは各企業の柔らかく、密な底部、つまり内部のユーザーにタグを付けます。 Glavarで説明されているハッカーであるMaxは、「その瞬間から、私の絶対的な成功を疑いませんでした」と誇っています。ここに、ハッキングの新しい顔があります。 そうですか？



Ghost in the Wireの最も素晴らしい詳細の1つは、攻撃者であるKevin Mitnikがどれほど経験豊富であるか（間違いなく素晴らしい）でなく、日常会話で人々から重要な情報をどれほどひどく引き付けることができるかです。 何度も何度も、微妙で巧妙な方法で。 1985年または2005年に関係なく、コンピューターインフラストラクチャの軍事レベルのセキュリティレベルの数は、これらのコンピューターの背後にいる誰かが踊るウサギとのリンクをクリックした場合、何の助けにもなりません。 ソーシャルエンジニアリングは、これまでに発明された中で最も信頼性が高く関連性の高いハッキングツールです。 この方法は、私たち全員より長生きします。



2012年の時代の例として、 マット・ホーナンの場合を考えてみましょう。 彼はユニークではありません。

午前4時50分に、誰かが私のiCloudアカウントにログインし、パスワードをリセットし、確認メッセージをゴミ箱に入れました。 私の英数字のパスワードは7文字で構成されており、他の場所では使用しませんでした。 数年前、私がそれをセットアップしたとき、パスワードは私にとって安全であるように見えました。 しかし、彼は安全ではありませんでした。 特にあなたが私が数年間それを使ったことを考えるとき。 私は彼らがブルートフォースでパスワードを拾い上げ、それをリセットして私のデバイスにダメージを与えたと思います。

状況がまだ解決していないときにTwitterからハッキングについて学び、すぐに懐疑的に推測しました。ブルートフォースは愚か者のためであるため、誰もブルートフォースで苦しむことはないでしょう。 実際に何があったかを推測してみてください。 さあ、推測してください！



あなたはおそらくソーシャルエンジニアリングを考えていた...あなたのアカウントのパスワードを回復するとき ？ ビンゴ

[Twitter]で私のアカウントにつまずいた後、ハッカーは予備調査を完了しました。 私のTwitterアカウントは個人のWebサイトにリンクしており、Gmailアドレスが見つかりました。 それが私がTwitter用に持っていたのと同じメールだと仮定すると、PhobiaはGoogle Account Recoveryページに行った。 実際、彼は修復を実行する必要はありませんでした。それは単なる知性でした。



Phobiaが私のアドレスを入力したときに2要素認証が無効になったため、アカウントを復元するために設定した別のボックスを見ることができました。 Googleはこのアドレスを部分的に閉鎖し、多くの文字をアスタリスクに置き換えましたが、オープンなハッカーは十分でした：m••••n@me.com。 ここにある。



彼はすでに私のメールアドレスを持っているので、Appleテクニカルサポートから私のアカウントのキーを取得するために残されたのは、請求先住所と私のクレジットカードの最後の4桁だけでした。



それで、彼はどのようにしてこの情報を手に入れたのでしょうか？ 彼は簡単な道をたどった。 彼は私のドメインのwhoisから請求先住所を取得しました。 ユーザーがドメインを持っていない場合、Spokeo、WhitePages、PeopleSmartで見つけることができます。



クレジットカード番号を取得することはより困難ですが、企業のバックエンドシステムを利用することにも基づいています。 ...まず、Amazonに電話して、あなたがアカウントの所有者であり、アカウントにクレジットカード番号を追加したいと言う必要があります。 必要なのは、アカウント名、関連付けられたメールアドレス、請求先住所だけです。 その後、Amazonで新しいクレジットカードを追加できます。 （このために、Wiredは銀行カード番号のサイトジェネレーターを使用しました。これは、よく知られているセルフテストアルゴリズムに合格します。）



次に、Amazonにコールバックして、アカウントへのアクセスが失われたことを宣言する必要があります。 前回の電話で追加した名前、請求先住所、クレジットカード番号を入力すると、テクニカルサポートはアカウントに新しいメールアドレスを追加できるようになります。 次に、Amazon Webサイトにアクセスし、新しいボックスを使用してパスワードをリセットする必要があります。 その結果、アカウントに割り当てられたすべての銀行カードのリストへのアクセスが取得されます-完全な数字ではなく、最後の4桁のみです。 しかし、私たちが知っているように、これら4つの数字はAppleが必要としているものです。

Matt Honanが説明するハッカーであるPhobiaは、このすべてを楽しみのために行った未成年です。 彼の友人の一人、コスモのニックネームで知られる15歳のハッカーは、上記のAmazonと銀行カードのトリックを見つけました。 10代のハッカーは今日何をしていますか？

Xboxプレーヤーは、ゲーマータグによって互いに区別します。 そして、若いプレイヤーの間では、Fred1988Ohioなどよりも、Fredタイプのシンプルなゲーマータグを持っている方がはるかにクールです。 MicrosoftがWindows Liveでパスワードリセットフォームを受け取る（したがってゲーマータグをキャプチャする）ためにセキュリティを修正する前に必要だったのは、アカウント名、最後の4桁、およびアカウントの銀行カードの有効期限だけでした。 Derekは、Cosmoタグの所有者がNetflixアカウントを持っていることを発見しました。 そして彼はコスモになりました。



「私はNetflixに電話しましたが、簡単でした」と彼は笑いました。 「彼らは、「あなたの名前は？」と答えました。「トッド[カット]」と答えると、彼は自分のメールアドレスを呼び出し、「OK、パスワードは12345です」と言ってログインしました。 彼のクレジットカードの最後の4桁を見ました。 その後、Windows Liveパスワードリセットフォームに記入しました。このフォームには、カード所有者の名前と姓、数字の下4桁、有効期限が必要です。



この方法は引き続き機能します。 WiredでNetflixに電話をかけたときに、アカウント名とメールアドレスのみを要求し、同じリセットが行われました。

テクニックは恐ろしく同じです。 CosmoとKevin Mitnickの唯一の違いは、数十年の誕生です。 今日、コンピューター犯罪はまったく新しい世界ですが、現在使用されている技術は80年代のものとほとんど同じです。 サイバー犯罪に連絡したい場合、弱点はコンピューターではないため、忍者のハッキングスキルを開発するのに時間を無駄にしないでください。



これらは人々です。