HさんがCISSPのSNSで勧めていたので読んでみた。
『FBIが恐れた伝説のハッカー〈上〉
事例を紹介して攻撃の多様さと一般的なセキュリティの甘さを指摘。全体は攻撃の手口やハッカーの性格などによって章立てしてあり、章ごとに有効な対策を解説してある。
まずは面白い。ハッカーからの投稿をインタビューをもとに裏づけしたという事例がサスペンス小説のようで、楽しく読める。
翻訳も良い。
セキュリティ対策は、必要な対策を山のように示して、これはアウトソースしないと駄目だ、と思わせる作戦か。
ハッカーズ その侵入の手口 奴らは常識の斜め上を行く
ケビン・ミトニック (著), ウィリアム・サイモン (著), 峯村 利哉 (翻訳)
単行本(ソフトカバー): 560ページ
出版社: インプレスジャパン (2006/9/21)
ISBN-10: 4844323164
ISBN-13: 978-4844323167
発売日: 2006/9/21
商品の寸法: 18.8 x 13 x 3 cm
1 カジノをハッキングして一〇〇万ドルぼろ儲け
2 テロリストからの電話
3 テキサスの刑務所でハッキング
ニーチェを読んだことがあるか? とにかく、彼はラクダとライオンと赤子を例にとって説明してるんだが、俺はまさにそのラクダでな―周りの人が満足してくれるように行動して、人から好かれることで自尊心を得ようとしてた。 自分自身のために行動して、自分で自分を好きになる代わりに。
4 ハッカーと警官の追いかけっこ
5 ロビン・フッド系ハッカーの仕事
効果的な対策がある。 DNSの水平分割(スプリット・ホライズン)だ。 この方式では、社内ネットワーク上のコンピュータ名を"翻訳"するため、内部に専用のドメイン・ネーム・サーバー(DNS)を設置する。 そして、一般利用者を受け入れているコンピュータの情報の提供は、外部に設置したもう一台のDNSを通じて行うのだ。"ゾーン転送"の許可対象を、日常業務に支障をきたさない範囲で、信頼できるサーバーのみに絞ればいい。 g大敵には、プライマリDNSからの転送先を、セカンダリDNSだけに限定することだ。
ファイアウォールのルール設定を行う際には、すべての社有DNSで、TCPポート53番に対する接続を遮断し、そのうえで、信頼できるセカンダリDNSだけに、TCPポート53番への接続と"ゾーン転送"を許可するのが望ましい。
"DNSの逆引き"をやすやすと許してはならない。
(分かりやすいコンピュータ名)
社内ネットワーク上のコンピュータ名に関連するDNSレコードを削除してしまえばいい。内部用DNSと外部用DNSを別々に設置すれば、信頼できないネットワークへ社内コンピュータ名が流出することもない。
SMTPサーバーの設定で、外部へ発信される電子メールにフィルターをかけ、内部IPアドレスや社内コンピュータ名などの識別情報が公になるのを防がねばならない。
社内インターフェースからのリクエストのみを実行するよう、プロキシ・サーバーの設定を変更しなければならない。
<プロキシハンター>を使えば、自社のネットワークが診断できる。
6 侵入試験にまつわる賢と愚
全社員にセキュリティ訓練を施していない企業は、セキュリティに弱い企業であると言っていい。
7 安全な銀行口座などない
8 御社の知的財産が奪われるとき
<グーグル>に"デフォルト パスワード リスト"と打ち込むだけで、ハッキングに役立つサイトを見つけることが出来る。
9 最高の標的はセキュリティ企業
10 いまだに通用するソーシャル・エンジニアリング
色彩心理学って意外と役に立つんだ。 僕は青い服を―真実の色の服を―管理者っぽく着こなしていた。
ソーシャル・エンジニアリングの典型戦術の基礎となっている心理学的原則
・役割からの連想
・信頼関係の確立 (管理課長と一緒に歩き回る)
・標的に役割を強制する (他者配役、相手を援助者の役割に誘導)
・系統的思考を阻む (社会心理学で系統的熟慮モードと発見的浅慮モード)
・はずみの応諾 (簡単な質問に重要な質問をまぜる)
・人助けの欲望
・属性 (落し物を届けて正直者の属性)
・好意
・恐怖
・反作用 (選択肢がないときの非建設的な反応)
11 短編集 ハッキングこぼれ話
Leave a comment