クラウドルアーズブログ

既存のメーカーと180度反対のことをやっているルアーメーカーです。消費者目線で開発していきます。「ジェネリックルアー」という分野のパイオニアです。

    HACK

      このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote
    この記事は妄想です。

    6月9日(日) に放映された「ほこ×たて」の「ほこ」の裏側について

    これは当社にとって大変重要なことですので、日本語で失礼いたします。

    2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、
    反響が大きいようですので撮影の裏側をご紹介いたします。

    まず、番組コーナー内の冒頭にご紹介いただきました楽天については、
    弊社がどのような会社なのかを簡単に紹介するということでお見せしました。
    楽天はメールによるSPAMで集客を行なっておりますが、その後の対決には一切使用していま
    せん。
    また、プリクラの機械をハッキングするシーンは
    wifi クラックツールを使った単純なWEPパスワードクラックです。
    スマートフォンのアプリでも認証の必要なwifiルーターに侵入する
    ツールとして沢山ありますね。

    実際の対決に際して攻撃側に求められたのは、サービスパックや修正プログラムの全く当てられ
    ていないパソコン上で、
    脆弱性が確実に存在しているサービスを攻撃し、容易に侵入され得る環境で写真を見つける、と
    いうことでした。
    これは事前の説明から簡単にクリア出来ると思いました。
    ところが当日知ったのですが、OSその他のミドルウエアは脆弱性を残したままですが、その上
    で様々な対策が施してあるという事前の説明にはない
    ルールが追加されておりました。

    攻撃のための環境については、事前には内容がわからない状態で撮影直前に与えられ、限られた
    時間内での攻撃が要求されました。
    通常我々ハッカーは企業のPCを狙うときは金曜日の18:00から月曜日の朝9:00頃まで
    の60時間程度をフルに利用します。
    ゴールデンウィークや年末年始などの長期休日もねらい目になります。
    それでは撮影が大変だからという理由で意味なく平日の18:00-翌9:00の15時間に設
    定されておりました。

    写真についてはファイル名だけで探すのですから、意味がわかりません。
    ハッカーが侵入する場合、明確な1ファイルを標的にすることはあまりなく、侵入してめぼしい
    情報を漁る、という
    行動パターンがほとんどです。
    よくある教科書どおりのハッキングで侵入できると思いました。


    1台目のパソコンは以下のような構成となっていました。

    ・Windows 2000 Server 日本語版(サービスパックなし)
    ・IIS 5.0によるサービス公開

    2000年2月の発売当時のままということで、13年間の間に見つけられた多数の脆弱性を抱えた状
    態でしたので
    侵入は簡単でした。ただし、以下のような対策を施されていたようです。

    ・脆弱性を突く典型的な攻撃の阻止(一般的なツール利用の無効化)
    ・ファイアウォールによるftp、tftpなどのファイル送受信の無効化
    ・同名ファイルを多量に用意する
    ・cmd.exeをリネームしておく(なんでだ!)

    ターゲットにした脆弱性はIISのオーバーフローです。
    このサービスでリモートディスクトップを有効に設定し、リモートログインいたしました。

    ツールを使っての侵入方法では一般的な攻撃はあまり効果がありませんでした。
    防御側は設定したら終わりです。また、ファイルの送受信を無効されておりましたが
    一般的なハッキング方法のIISのフォルダーに写真をリンクし、こちらのブラウザ経由で持ち
    去ることが可能でした。


    多数の同名ファイルを用意するというのは想定内でしたが、takahiro 氏のことをよく知らず、
    絞り込むのに時間がかかりました。「画像を『縦』に3分割した」というヒントがなければ絞り
    込めなかったと思います。
    ほとんどクイズの世界だと思います。

    大量のダミーファイルですが、インターネット上からタカアンドトシさんの写真を入れたようで
    した。
    完全に著作権法違反です。また、ダウンロード禁止法にも引っかかると思います。放送ではモザ
    イク処理をしておりました。
    防御側は違法行為で防御しているので、こちらにも相当の取引条件になるのでは、と思いました。

    縦に3分割されていたということで、縦長の写真を探しました。
    使ったツールは Excel です。容量の大きいファイルだよ、というヒントも頂きました。

    日本でよく使う warez 等の形式でダミーのファイルがありましたが、
    使った形跡がなく、ダミーだとわかりました。

    Metasploit という攻撃ツール使えば簡単だろう思ったのですが対策がうたれておりました。
    また、cmd.exe をリネームしていたので、コマンド操作ができず
    時間を消費しました。ftp もファイヤーウォールでブロックされていました。
    ファイルを取得して解析するといった方法がとれないので
    もう面倒だし、負けでいいです。ってテレビの人に言ったら
    それでは番組が成立しない、って言われしぶしぶやることにしました。
    じゃあ途中でヒントくれる?と聞いたらいいよ、って言いました。
    こんなところに最高のセキュリティホールがありました。


    ※ちなみに、番組内で防御側に「30分で突破した」という表現がありましたが、
    これは OS の脆弱性を突破した時点です。
    「設定システム強化 Metasploit対策」が面倒でした。
    パスワードわからないし、もう負けでいいです。ってあきらめました。
    普通はこの程度のセキュリティ対策があったら、面倒なんであきらめます。
    それじゃあ面白くないっていうので防御側のパスワードをテレビ局の人が
    教えてくれました。administrator のパスワードがわかれば
    こっちのもんです。
    でも、前に書いたように、面倒なんですよ。これ1台で時間の半分
    消費しているんですから、単純に計算して、3台のハッキングは時間が足りません。
    この時点で、このルールではセキュリティ側の勝利です。
    そこで、ソーシャルエンジニアリングにターゲットを変更しました。

    さて、次に2台目のパソコンについての話をさせていただきます。
    2台目のパソコンは以下のような構成となっていました。

    ・Windows XP (サービスパックなし)
    ・SSH、リモートデスクトップによって外部からログイン可能
    ・誰でも利用できるパソコンを想定し、ログインID、パスワードが攻撃側にあらかじめ通知され
    ている
    ・ウイルス対策ソフトなし

    こちらについても、1台目と同様に10年以上の間に発見された多数の脆弱性を抱えたままです。
    特定の写真を探す手段としては時間内で探す必要があるうえ、ルール上、1台目とは異なる
    セキュリティレベルであることはわかっていましたので面倒だな、と思いました。
    でも、そこは意地があるので、脆弱性をついてこじ開けようとおもいました。
    残念ながら開きませんでしたので、事前に教えてもらっていた方法で侵入。
    ログインID、パスワードが事前にわかっているので mstsc で簡単に
    リモート接続いたしました。
    ところが、このPCはドライブが暗号化されておりました。
    さらに、暗号化ソフトが多数インストールされておりました。
    通常ですと、暗号化ソフト同士は親和性がなく、お互いに殺しあうので1つの
    方式のみで運用するのが一般的です。
    ドライブの暗号化には TrueCrypt が使用されているようでした。


    フォレンジックをかけましたがアンチフォレンジック処理がしてあったため
    何かわかりませんでした。
    パスワードを間違えると2時間ロックされました。
    総当りプログラムが使用できません。
    administrator が使えないのは厳しいです。
    もう10時間以上費やしてきました。

    もういいでしょ?とテレビ局の人にいったら
    うんいいよ、しょうがないと言われました。

    さて、ここからはオフレコです。そうです。ギブアップは見せかけです。
    負けました、どうやって隠したんですか?と質問しました。
    テレビ局の人は、復号化のパスワードを教えてくれました。
    「H0k0*T@te」(大文字エイチ、ゼロ、ケイ、ゼロ、アスタリスク
    、大文字ティ、アットマーク、ティ、イー)、でした。
    番組名由来のパスワードでした。
    ロシア出身ではこの組み合わせは気がつきませんでした。
    そしてそこそこ強力ですから。
    yuko.jpg も入手しました。


    答え合わせと称して、3台目に実は挑戦していました。
    ちょっと3台目はどんなのか知りたかったのです。
    さて、最後の3台目のパソコンについての話をさせていただきます。
    3台目のパソコンは以下のような構成となっていました。

    ・Windows 7 (サービスパックなし)
    ・すべてのポートが閉鎖
    ・侵入対策プログラムインストール済み
    ・ウイルス対策ソフトあり
    ・セキュリティルータ使用可

    このPCには現在、考えられる限りのすべてのセキュリティを施してありました。
    ポートスキャンを行なったら、IPアドレスが接続遮断されます。
    IPアドレスを偽装しつつ、ポートスキャンを行いました。
    実際は接続遮断ではなく、TCP/IPブラックホールのような形で
    パケットが届いていないように見え、ACKを長時間待ってしまうというものです。
    しかしポートスキャンにおいて、ローカルIPは弾かないことが判明しました。
    外部IPは脅威対策で遮断されますが、ローカルIPの 192.168.0.0/24 は
    スルーしました。
    この特性を利用しつつ、まず、セキュリティルータの無効化から始めました。
    通常 192.168.0.1 にGWがありますので、ID と password はソーシャルエンジニアリングで
    入手しました。(単に聞いただけですが)
    設定画面で、すべてを disable にすることで、大量のパケット、異常なパケットも
    PCに届くようになりました。
    BIG packet を連続で送ると、処理能力に追いつかないのか
    PCのCPUファンが回りだし、熱暴走寸前になりました。
    見ての通り、PCは透明な密封された箱に入っており冷却が十分ではない
    状態でしたので熱暴走気味になりました。
    熱暴走気味になるとPCは処理能力を下げて処理を継続しようとします。
    さらに処理能力が落ちるのです。
    そこで、あるタイミングでパケットのリクエストが侵入対策ソフトを
    スルーするようになりました。
    侵入対策ソフトは自身がおかしくなった場合、処理を行なわずに
    パケットをスルーするようになっています。そこを突きました。
    それを利用し、初期の windows7 の脆弱性である
    ftp ポートから侵入し、admin の権限を奪取しました。

    ドライブは暗号化されており、2台目のPC同様復元するも目的のファイルは
    割符ソフトで分割されており、分割したファイルもダミーファイルに
    紛れ込ませてありました。
    つまり写真は3分割じゃないじゃない。さらに分割されていました。
    ファイルは a-z までのアルファベットの1文字ファイルが大量にありました。
    分割は手動ではなく自動的に行なったと思ったので、
    ファイルサイズでソートしました。
    すると同じファイルサイズのファイルの破片が 5つ見つかりました。
    t.xxx o.xxx s.xxx h.xxx i.xxx この5ファイルでした。
    この割符の復号化にもパスワードが必要でした。
    総当りと辞書攻撃をしましたが、復号化できそうにありませんでした。
    テレビ局に人に聞いたら「00Beik@!」(ゼロ、ゼロ、大文字ビー、イー
    ケイ、アットマーク、ビックリマーク」でした。
    「ゼロゼロ米価」でしょうか、TPPによって米価があがるという意味でしょうか。
    日本語は難しくわかりません。
    これにより
    toshi.jpg が取得できました。

    最後に、この3つの画像をgimp で合成しの画像を合体させ
    復元化しました。答え合わせと称して、絵を完成させました。
    バイナリ単位で元の画像と比較して差異がないことを確認したい。
    記念にもらってもいいですか?と聞いたらいいというので
    USBにコピーいたしました。

    はい、元の画像を奪取成功です。時間がかかりましたが成功です。
    これを取得した時間はゲーム開始後12時間35分でした。
    我々は勝利宣言いたしました。
    規定の15時間以内に元の画像を復元し、奪取する、という
    ゲームに勝ったのです。
    テレビ局の人は「何を言っているの?あなた方は負けを認めたじゃない
    だから答え合わせをしているだけですよ」と言っていました。
    私たちは「ギブアップは見せかけで、この画像を入手するための嘘です」
    と言いましたが
    テレビ局の人は「ダメ、ダメ、言い訳、言い訳」と取り合いませんでした。
    ソーシャルエンジニアリングとは何か、まったく理解していませんでした。
    我々は無知な人を相手にしてもしょうがないとそのまま帰りました。
    防御側の方は「ソフトが破られたわけじゃない」と言っていました。
    勝敗はあきらかに我々の勝ちでした。
    ソーシャルエンジニアリングは無効というルールはありませんでした。

    放送を見て、途中で嘘のギブアップをした部分で我々が嘘の負けを
    言っている部分で編集がカットされております。
    それはソーシャルエンジニアリングの途中なのであります。

    皆様はお気づきでしょうが、通常のほこたてではあるはずの
    最後の握手のシーンがありませんでしたよね。
    我々は拒否し、帰ったからです。
    また、なぜ、時間がいっぱい余っているのにギブアップしたのでしょうか。
    このルールでは勝てないギブアップだ、の意味を正しく理解した人だけが
    この勝負の結果を知ることでしょう。
    15時間のタイムアウトするまでが勝負であるにも関わらず、です。

    対コンピュータでセキュリティホールがある場合はそこを突きますが
    対人でのセキュリティホールがある場合はソーシャルエンジニアリングが
    有効だということはハッカーならみんな知っているはずです。
    今回の場合はテレビ局の人がソーシャルエンジニアリングの対象に
    なりました。
    初回の2回心が折れて、侵入できないよ、終わりでいいか?
    パスワード教えてくれたら続きは出来るけど、と聞いたのも
    小さい条件を飲ませるための演技です。
    小さい条件を飲ませたら、その条件を徐々に大きくしていく、
    それがソーシャルエンジニアリングの技術なのです。
    最後にはオリジナルの写真ももらえましたからね。油断しすぎです。

    最後に、
    ネットエージェントの製品はとてもすばらしかったです。ぜひお使いください。
    しかしテレビ局の人がソーシャルエンジニアリングに対し、まったく無知で
    あったことはとても残念に思います。

    また、楽天をご利用の皆様は安心して買い物を楽しんでください。
    by ホワイトハッカー Do the good hacking!
    追伸
    そういえば、楽天の決済システムに仕掛けた決済時に発生する
    0.5ポイント未満のポイントをすべて集めて1つの口座に送るシステムは
    順調に稼動しているよ、ここの薄給だけじゃやっていけないからね。
    毎月50万ポイント前後が溜まってる。おっと内緒だったね。
    この仕組みは経理連中や、ミッキーも見抜けないだろ。
    あいつらはシステムにも数字にも弱いから。


      このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote
    ポケモントレッタのコードは前回の通り、不思議なコードですね。
    こんな感じです。


    トレッタのコードトレッタのコード
    トレッタのコードトレッタのコード
    うーん、見たことありません。

    似たのには、、、
    マキシコードマキシコード
    maxi code とか似てますね。

    spotscodespotscode
    すぽっつコードも似てますが、違います。


    コードに共通するのは
    14ドットで表わされる
    円の中心からの放射線状の線には重ならない
    中心を表わす2重円がある
    向きを表わす、円がある
    です。

    で、実際のコードに線を引いてみた。
    穴の中心穴の中心
    14個のドットの中心に線を入れてみた。
    うーん、いまいち。
    特許を申請しているコード類を見たけど、大体、線の中心というより
    エリアを決めて、このエリアにドットがあればON,なければOFFって感じらしい。
    さらに円状のコードやQRコードも時計回りにドットを読んでいるのが多い。
    そこで!!
    仮説を立ててみた。

    穴をエリアでわける穴をエリアでわける
    エリアでわけてみた。
    すると、ちょうど28等分になった。
    14ドットだからね。わかるよ。
    これが怪しいなーくさいなー


    仮説コード読み仮説コード読み

    これが仮説コード読みだ。
    エリアを28に分ける。
    丸から時計回りにコードを読む。
    2重円になっており、内側の円の中は1ビット目
    外側の円の中を2ビット目とする。
    中心からの距離がきっと1ビット目2ビット目、ってことかな。
    読み方はいろいろだと思うけど、おそらく2ビットだと思う。
    というのも2重円として、ちょっと中より、とか、ちょっと外よりのコードがある。
    細分化して3ビット目、4ビット目、とならない気がしている。
    もちろん、時計回りなので、隣のドットの差がデータになる可能性もある。
    データよみで言うと0 0 2 2 1 2とかだとすると
    隣接するビットの差だからこの場合は
    0 0 2 0 1 1 ってことになる。
    ありえないわけじゃないけど、14ビットで表現するには、、、だ。
    もっというと、0 は無視してもいいかもしれない。
    28等分なら、、、という意味でた。

    このあたりは何を書いているかさっぱりわからない人もいると思う。
    まあ気にスンナ。

    0を無視すると
    0 0 0 2 2 2 1 0 1 0
    なら
    2 2 2 1 1 ってことだ。

    高速で読み取るにはこういう工夫もされている可能性がある。

    ってことで仮説終わり。
    あとは、何通りか実験してみる。

    今回もこんな感じで解析が簡単に進むか、おおきな壁にぶちあたるか、、、楽しみだな。

      このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote
    ポケモントレッタ。解析始まりました!スキャンの秘密も解析簡単ですね。

    赤外線らしいということで、がんばって写真撮りました。


    トレッタ解析システムトレッタ解析システム
    はっきり見えます。

    肉眼肉眼
    肉眼ではこんな感じ

    赤外線赤外線
    赤外線はこんなです。

    さて、コード形態ですが、今のところ不明です。
    が、MAXIコードに似ているので
    解析はそんなに難しくないです。
    黒丸の位置を全部洗い出して、すべての組み合わせを作ればいいので。

    ちょっと明るいところで撮影したので、(いや遮光が面倒だったんです!)
    コードのみより、少し肉眼画像が被ってますが気にしない。
    正確さより、速さだろ!
    ってことで、手持ちのパックをすべてスキャンしました。
    残念ながら星4つのものはありませんが
    ☆☆☆の星3つのものはいくつかあります。

    ここに載ってないパックのコード画像があったら下さい!
    この撮影機材はちょっと本格過ぎて、皆さんが手を出すにはお高いもので作っています。

    でも、安いのでいいから手軽にパックのコードを見たい!って人は
    手元にある赤外線ライト(キーホルダータイプ)を送料込み980円でお譲りしますので

    需要があるかどうかわかりませんがね。

    赤外線ライト キーホルダータイプ
    980円で送料込みで販売します。
    注文は bato@ftvjapan.ddo.jp

    振込先は みずほ銀行かジャパンネットバンク かな

    数量はそんなにありませんので
    早い者勝ちです
    沢山注文来たらいっぱい仕入れますが
    面倒だし(笑)
    一応撮影方法の手順も入れておきますね。
    さあ、あなたもレッツハッキング!

    なお、前回同様ハッキングの弟子は募集しておりませんので
    弟子にしてくださいっていうメールはご遠慮ください。

    じゃあこれがパックのコード画像だ!!
    以下どうぞ。

    そのうちコード表作ります!

    ミジュマルミジュマル
    ミジュマルミジュマル
    ポカブポカブ
    ポカブポカブ
    ツタージャツタージャ
    ツタージャツタージャ
    キバゴキバゴ
    キバゴキバゴ
    ズルックズルック
    ズルックズルック
    ケルディオケルディオ
    ケルディオケルディオ
    チャオブーチャオブー
    チャオブーチャオブー
    キバゴキバゴ
    キバゴキバゴ
    ビリジオンビリジオン
    ビリジオンビリジオン
    テラキオンテラキオン
    テラキオンテラキオン
    コバルオンコバルオン
    コバルオンコバルオン
    チャオブーチャオブー
    チャオブーチャオブー
    ルカリオルカリオ
    ルカリオルカリオ
    ズルックズルック
    ズルックズルック
    ウソッキーウソッキー
    ウソッキーウソッキー
    コダックコダック
    コダックコダック
    メグロコメグロコ
    メグロコメグロコ
    ムンナムンナ
    ムンナムンナ
    ポカブポカブ
    ポカブポカブ
    ツタージャツタージャ
    ツタージャツタージャ
    ジャノビージャノビー
    ジャノビージャノビー
    ピカチュウピカチュウ
    ピカチュウピカチュウ
    メロエッタメロエッタ
    メロエッタメロエッタ
    メロエッタメロエッタ
    メロエッタメロエッタ
    コバルオンコバルオン
    コバルオンコバルオン
    ピカチュウピカチュウ
    ピカチュウピカチュウ
    ジャノビージャノビー
    ジャノビージャノビー

      このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote
    任天堂の3DS用ソフト、ポケモンBW立体図鑑には
    ポケモンのARコード以外に2種類のコードがあることを発見した。
    1つはコピーとかスレーブとかいう機能のコードで、表示されたポケモンと同じポケモンを表示するコード。

    もう1つは、ランダムに表示されるコードだ。
    全部で12種類あった。
    全部公開してしまおう。

    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム
    ポケモンARコード、ランダムポケモンARコード、ランダム

    ポケモンのARコードは4x4のドットなので
    16ビット=65536通り「しか」ない。
    ところが、良く見ると、ドットの数はすべて偶数だということがわかる。
    ふんふん、偶数パリティなのね。
    ってことで、半分の32768通り「しか」ない。
    全部読み込ませた結果だ。ランダムに気がついたのがあとだったので、抜けがあるかもしれないけどね。

    あとでスレーブのコードを更新します。

    いやー、簡単にハッキングできて楽しいわ。

      このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote
    3DSが15000円になりました。
    ポケモンスクランブル買っちゃった。
    ということで、3DSにはダウンロード無料のソフト、ポケモン立体図鑑BWというソフトがダウンロードできます。

    これはARコードというQRコードに似たコードがあるんですが、その仕組みは4x4のビット。
    つまり、2の16乗通り「しか」ありません。
    2の16乗=65536通り。
    これは全部作って、読み込ましてしまえ!ってことで、、、
    さっそくプログラムを作成し、65536通りの画像を作成。

    それをARコードで全部、読み込ませていく、という作業をします。
    バンバンコードが解明されていきました。

    その様子をビデオで撮っていたら、、、なんとレシラムのコードを発見。
    コードが割れた瞬間の動画になりました。
    8月11日に発売されたし、1番乗りだろ!と思ったら、ソフト自体は6月くらいに手に入ったのね、、、
    ち!(笑)

    ということで、256個の画像を貼り付けたページを256ページ分、読み込ましている地道な作業を
    ご覧下さい(笑)。
    ああ、ハッキングって映画で見るハッキングはすごいスピードで行われていますが
    実際はこんな風に、地道な作業が多いです。

    ちなみにコード作成は PerlのGDで作ってます。
    プログラミング時間30分くらい。
    実行時間は65536個で2分くらいです。
    俺のサーバ万歳!
    俺の腕前万歳!

    いやー、バトリオといい、ARコードといい、ポケモンってハッキングが楽しいゲームだなぁ(笑)


    このページのトップヘ