amachang―メランコリックな渋谷系Javascriptハッカー：New Generation Chronicle（1/3 ページ） 常に明るく振る舞うその裏で、理想と現実のかい離を常に思い悩み続けてきたamachang。幾つもの伝説を持つ一風変わった渋谷系ライフハッカーに「New Generation Chronicle」のWeb2.0系スレッドを継承していただいた。

iptablesを擁するフリーの代替ファイアウォール「Netfilter」でエンタープライズファイアウォールが実現できることを事例を踏まえて説明しよう。 IT予算が厳しくなると、マネジャーはコスト削減を迫られる。どんなテクノロジーであれ、サービスの契約は高くつく。ファイアウォールも例外ではない。Netfilterは、パケットフィルタリングプログラムiptablesを擁するフリーの代替ファイアウォールだ。商用ソリューションのような契約サービスやファイアウォール設定を簡単に変更できるインタフェースは用意されていないが、ファイアウォール処理において安定したパフォーマンスと実力を発揮し、リポートおよびレスポンスの機能を強化するアドオンが利用できる。 iptablesでエンタープライズファイアウォールが実現できることを示す事例として、イリノイ大学アーバナシャンペーン校（University of I

今回から「割り込み」について解説していきます。割り込みとは、非同期に発生する事象を、Xenから各ドメインに非同期に事象を通知する仕組みを指します。 2つの割り込み処理 さて、今回からは「割り込み」について見ていきましょう。割り込みとは、非同期に発生する事象を、Xenから各ドメインに通知する仕組みを指します。Xenの割り込み処理では、通知先ドメインが行っている処理を強制的に中断し、受信処理を行わせることができます。 割り込みは、非同期に事象を通知する仕組みで、Xenの環境では大きく分けて2種類あります。1つは、デバイスが生成する割り込みで、もう1つはXenハイパーバイザーがドメインに送る割り込みです。この連載では、前者の割り込みを実割り込み、後者の割り込みを仮想割り込みと呼んで区別することにします。 実割り込み処理は、Linuxカーネルにおける割り込み処理に相当します。外部デバイスが生成した

ハッカーの多くは何らかのスピード狂的側面を持っているようです。しかし、最適化を始める前には、その作業が無駄になるかならないかを見極める必要があります。 測定狂 「バカは風邪をひかない」といいますが、わたしのバカさ加減は幸い許容範囲内のようで、年に数回風邪をひきます。もっとも例年夏風邪をひくことが多いので「やっぱりバカなんだ」と思うことも多いのですが、今年はなんとか大丈夫だったようです。 風邪をひくと体温計で体温を測ります。昔は水銀の入ったものでしたが、最近はデジタル体温計が主流のようです。測定が終わるとビープ音が鳴ったりして、なかなか賢いヤツです。さらに、わずか1秒で体温が分かる、耳で測定する体温計もあります。ガジェット好きとしてはぜひ欲しいアイテムですが、家族の理解が得られず、まだ入手していません。 風邪をひいたときの行動は人によっていろいろでしょうが、わたしはとにかく頻繁に体温を測りま

Googleのハッキングツールとしての有効性は、無防備なWebインタフェースを見つけ出すにとどまらない。Black Hatカンファレンスで専門家が講演した。（IDG） インターネットのどこかで、Electric Bongが脅威にさらされているかもしれない。その脅威とは、Googleの莫大なデータベースを侵入の手段として利用できるよう細工されたGoogleクエリーだ。 Electric Bongは、セキュリティ研究者のジョニー・ロング氏が他人の家庭の電気ネットワークにつながる無防備なWebインタフェースを発見した時に見つけた多数の家庭用デバイスの1つだ。このデバイスの右側には「オン」と「オフ」の2つのボタンがある。 Computer Sciencesの研究者で、「Google Hacking for Penetration Testers」の執筆者でもあるロング氏がElectric Bong

米Microsoftがハッカーブログの「hackers@microsoft」を開設した。同社の社内ハッカーを紹介し、その仕事内容を知ってもらうことを目的としている。 ブログによると、Microsoft従業員の中には世界的にも優れたハッカーが何人かいるといい、同社はハッカーの採用と育成も積極的に行っている。 こうした人材はセキュリティはもちろん、開発、研究、テスト、管理などあらゆるプロジェクトに従事。アプリケーションやソフトを検証し、他者に見つけられる前に脆弱性を探し出すことに努めているという。 「ハッカー」という言葉の使い方には論議もあるが、真のハッカーとは好奇心が強く、システムの仕組みについて学ぶ意欲のある人物のことだとブログでは強調。Microsoftは「ホワイトハットハッカー」を採用し、倫理にかなった合法的なやり方でこれを実行していると説明している。

知られざる「ハッカー」の生態や心理についてまつもとゆきひろ氏が紹介する人気連載がITmediaに登場。ハッカーの生き方を知ることは、あなたがより良いプログラマーになるのに役立つかもしれません。もちろん保証はできませんが。 こんにちは、はじめまして。まつもとゆきひろと申します。世間ではRubyというプログラミング言語の作者として知られ、職業はプログラマーで自称ハッカーでもあります。この連載ではわたしたち「ハッカー」の生態や心理について紹介できればと考えています。 ハッカーとは 「ハッカー」といってもネットワーク経由でシステム侵入を行ったり、パスワードを破ったりするような悪者ではありません。そういえば、最近そういう誤用をあまり耳にしなくなりましたね。 ハッカー（Hacker）とは文字どおり「Hackする人」という意味です。「Hack」というのはもともとは「（斧などで）たたき切る」という意味です

オープンソースソフトウェアの開発にかかわっている人のインタビューをシリーズでお届けする「Open Source People」。記念すべき第1回はMatzのニックネームでも知られるまつもとゆきひろ氏の「人となり」に迫る。 連載を始めるに当たって オープンソースソフトウェアを開発しているのはどのような人たちなのか――オープンな場で開発が行われているとはいえ、そこで実際に作業している開発者たちを具体的にイメージできるという人は、案外少ないのではないだろうか。 一般にオープンソースソフトウェアの開発は、誰でも参加できるメーリングリストのようなオープンな場で行われている。そこを覗いてみれば、誰が、どんなことをしているのかということは、それこそ、いつでも誰でも知ることができる。しかし、誰でも閲覧できるからといって、みんながアクセスして読んでいるわけではないのが、インターネットの常でもある。また、開発

2007年初頭、特に増えたインターネットセキュリティにおける脅威が、FTPやHTTPなどに対するパスワード解析攻撃と受動的攻撃である。一方、SQLインジェクションやオーバーフロー攻撃は減少した。2007年第1四半期のインターネット脅威調査分析レポートを紹介する。 インターネットからの脅威は、2006年末は既知のぜい弱性を突いたSQLインジェクションとオーバーフロー攻撃が59％を占めていたが、2007年頭は40％へと減少した。今期増えたのは、パスワード解析攻撃と受動的攻撃だ（合わせて12％から26％へと増加）。受動的攻撃とは、攻撃される側の行動を「トリガー」にする攻撃を指す。主に、OSやアプリケーションの脆弱性を利用する攻撃が多い。 調査レポートによれば、最近になって登場した危険性の高い攻撃に、Webアプリケーションに対する「リモートファイルインクルード攻撃」がある。特にPHPベースの「We

ロシアの特定サイトで発見され、徐々にほかのサイトへと広がっているエクスプロイトの開発キットは、WebAttacker2ではなく、MPACKであることが分かった。セキュリティソフト企業Exploit Prevention Labsが公式ブログで報告した。WebAttackerはロシアのサイトで購入できるスパイウェア開発キットで、これを利用すれば簡単に攻撃サイトを作成できる。 同社はWebAttackerとは異種のマルウェア開発キットが販売されている事実は把握していた。ただしMPACKは、サイトのビジターのIPを追跡し、同一マシンから同じエクスプロイトをコピーしようとすると「申し訳ありませんが、あなたのIPはブロックされています」とメッセージが表示される。 MPACKはエクスプロイトを追加し、暗号を変え続ける。最新版では「申し訳ありません～」のメッセージではなく、顔文字のみが表示されるようだ。

NRIセキュアテクノロジーズのWebサイト診断サービスの結果によると、致命的な脆弱性にまったく対処していないサイトは減ったが、サイトの複雑化に伴い「対策漏れ」が多くなっているという。 「取引先など関係者がアクセスする業務システムでは、一般消費者が利用する問い合わせサイトや会員制サイトに比べ、高い割合で問題が発見された」――NRIセキュアテクノロジーズ（NRIセキュア）が6月19日に明らかにしたWebサイト診断サービスの結果からは、このような傾向が明らかになったという。 同社ではセキュリティサービスの1つとして、Webサイト／Webアプリケーションに存在する脆弱性をチェックするセキュリティ診断サービスを提供している。2006年度には企業・官公庁58社、計146サイトを対象に診断を行った。その結果全体の42％で、個人情報など重要な情報にアクセスし得る、危険度の高い脆弱性が発見されたという。 脆

ここ2～3年のバージニアとカリフォルニアでの判決を見ると、第三者（世界中のどこにいようと）が児童ポルノ摘発のためにコンピュータをハッキングするのはOKのようだ。警察はそれを推奨し、裁判所は見ないふりをする。だが、警察の場合はどうだろう？ F-Secureの探求心旺盛なミッコ・ヒッポネン氏は最近のブログで、警察は容疑者のコンピュータをハッキングするべきかという疑問を考察した。同氏はまず、そのような案への反感が大きいことを示す最近の欧州の調査を引用したが、警察が正当な令状を持っていれば反発は和らぐと暗に述べている。 もちろん、警察は令状なしで容疑者のコンピュータをハッキングするべきではない。それは当たり前だ。だが、令状がある場合は？ ここでは大まかに2つのハッキングの問題がある。コンピュータに関係しない（捜査の）問題とだいたい似ている。1つは、コンピュータに何が入っているのかを突き止めるための

「『パッチがリリースされたら迅速に適用しなくてはならない』、これは正しい。『システムの可用性を保たなければならない』、これも正しい。しかし、この2つを両立させようとすると衝突が起こる」――。 米Blue Lane Technologiesの社長兼CEOを勤めるジェフ・パーマー氏は、企業システム管理者が抱えるこのような「二律背反」を解決したいと述べた。 同社の主力製品は、セキュリティパッチのエミュレータ「Patch Point」だ。企業サーバ群の手前にインラインで設置するアプライアンスとして提供される。Patch Pointではアプリケーションプロキシによってトラフィックをチェックし、脆弱性を狙う攻撃パケットを検出すると、パッチと同じように動作し、無害化処理を施す。 Blue Laneでは、MicrosoftやOracleといったベンダーやオープンソースコミュニティから提供されるパッチを解析

米ミズーリ大学は5月8日、同大学のデータベースに何者かが侵入、学生や大学関係者2万2396人の氏名および社会保障番号が流出したことを明らかにした。大学によれば、2004年度に同大学に勤務していた教職員、ミズーリ大学コロンビア校の在学生、卒業生の個人データが含まれていたという。 大学の情報技術スタッフが異常に気づいたのが5月3日。翌朝には、アプリケーションと関連データベースへの異常なクエリーで大量のエラーが発生している事実を発見した。大学は、中国とオーストラリアからデータベースにアクセスしていた2つのIPアドレスで利用されていたアカウントを無効にし、アプリケーションを遮断した。 調査の結果、ハッカーは大学の情報技術ヘルプデスクに問題を報告するクエリーを悪用、情報を入手していたことが分かった。

このとき、.mozconfig内の設定に基づいてconfigureが実行され、その後ビルドが開始される。なお、configure時に必要なライブラリがインストールされていない場合、エラーが発生しビルドは停止される。その場合、適宜適切なライブラリをインストールしていただきたい。 configureおよびビルドが無事完了すると、ビルドディレクトリ以下のdist/bin/ディレクトリ中に実行ファイルおよび使用ライブラリのシンボリックリンクが作成されているはずだ。このディレクトリ中で以下のように実行すれば、ビルドしたFirefoxが起動する。

米軍やNASAのネットワークに侵入した罪で米国送致を言い渡された男が、セキュリティカンファレンスのInfosecに登場した。 米政府のサイトに不正侵入した罪で英国から米国に身柄送致されることになっている男が、セキュリティカンファレンスに登場して送致反対を訴えた（関連記事）。ロシアのセキュリティ企業Kaspersky Labが伝えた。 ロンドンで開かれたセキュリティカンファレンスのInfosecに登場したのは、「NASAハッカー」ことギャリー・マッキノン被告。米軍やNASAのネットワークに侵入した罪で米国送致を言い渡されており、裁判で有罪判決が出て禁固を言い渡されれた場合、刑期は最大で約70年になる。 Infosecのハッカー討論会で同被告は、米当局がハッキングの被害額を水増ししていると主張。自分が侵入したマシンのコストが当時の実際の市価よりも大幅に高く設定されており、70万ドルという被害額

2010年の犯罪者は、データの断片を使って個人情報を盗めるようなツールを使っているだろうと、あるセキュリティ専門家は確信している。 データをかき集めたハッカーは、スクールバスを捕まえた犬と同じ疑問を抱くだろう――「これからどうする？」と。 少なくとも悪意あるハッカーについて、ルーロフ・テミング氏はその答えを持っている。個人情報窃盗をずっと容易にするフレームワークという形で。開発の初期段階にあるこのフレームワークは、「Evolution」と呼ばれる。テミング氏はWiktoやCrowBarなどの有名なセキュリティテストツールを開発したセキュリティ専門家。4月18日にセキュリティカンファレンスCanSecWestの開幕講演で、Evolutionのデモを行った。 Evolutionは名前、電子メールアドレス、企業、単語やフレーズ、Webサイト、あるいはそのハッカー版など、さまざまな個人データをフィ

Red Hat Enterprise Linux 5のソースコードから構築されているCentOS 5がリリースされた。仮想化などの新機能を追加しながらも堅牢さと信頼性というこれまでのCentOSの伝統を引き継いだリリースとなっている最新バージョンをレビューする。 CentOSプロジェクトが先週、エンタープライズ向けLinuxディストリビューション「CentOS」の2年ぶりのメジャーリリースであるバージョン5をリリースした。そこで今回CentOS 5をダウンロードして試してみたところ、CentOS 5は仮想化などの新機能を追加しながらも堅牢さと信頼性というこれまでのCentOSの伝統を引き継いだリリースであることが分かった。 CentOS（Community ENTerprise Operating System）ディストリビューションの最新版であるCentOS 5は、フリー（GPLや同様の

ライブドアは4月19日、「livedoor」のIDやパスワードで外部アプリケーションにログインするためのAPI「livedoor Auth」を公開した。 個人で構築したWebサービスなどでログイン時の認証システムとして利用すれば、IDやパスワードの管理不要で、livedoorの630万ユーザー向けにサービスを公開できる。携帯端末への対応など、新機能も順次追加する。 また同日、Perl用のライブラリと、Webアプリケーションフレームワーク「Catalyst」用のプラグインを、Perlモジュールのライブラリ「CPAN」で公開した。 関連記事 はてな、会員認証APIを外部に開放 はてなIDでログインするためのAPIが公開。ネットユーザーが開発したWebサービスを、はてなの40万ユーザー向けに公開できる。 “livedoor縛り”から解放されたライブドア “新生”ライブドアが始動した。ポータルとデ