マツジローのネットワークセキュリティ日記

アクセスカウンタ

zoom RSS Facebook のユニークなセキュリティ対策をどうぞ!

<<   作成日時 : 2010/07/07 00:21   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

こんにちわ、ネットワークセキュリティのマツジローです。


Facebook には、SRE (site reliability engineering)という部署があって、おそらく、どのようにすれば Facebook のサイトを安全に・安定的に・信頼性が高く運用できるかを考える、ところなのでしょう。

その SRE が、従業員に罠をかけて、まんまと Facebook の管理システムにアクセスすることが出来たという。
自ら、自社の脆弱性をテストして、それを公表するとは、いかにも Facebook らしいではないか。
んで、内容が非常にすばらしいので簡単に触りを。


被験者は、 Facebook のシステム管理者で自宅でもシステムにアクセスして、仕事をする。
PC は無線接続で、プロトコルは WPA でセキュリティに気を付けている。

まず、最初に同一の SSID を設定した偽の AP を立てる。
つぎに、本物の AP に DoS 攻撃(Denial of Service attack)を仕掛けて、使えなくする。
しばらくすると、被験者は、偽の AP にアクセスする。
偽の AP にアクセスしてきたので、偽の認証を要求する。

これで、本物の AP の認証を取得できたわけだ。
後は、被験者のネットワークに進入して、
さらに、Facebook の管理システムにアクセスしたとのことだ。

このような、技術的にも高度で、かつソーシャル的な、人の心理を突いた 攻撃には
高度な暗号方式(WPA)も無力なのです。


セキュリティ対策で一番難しいのは、従業員への浸透なんですね。
被験者や被験者の同僚への浸透効果は、非常に高いでしょうね。
あと、課題も浮き彫りになるでしょうね。

コストもかかるけれど、リターンは十分に有りそうです。

ネタ -> http://techcrunch.com/2010/07/05/employees-challenged-to-crack-facebook-security-succeed/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+Techcrunch+(TechCrunch)

マラソン -> http://blog.goo.ne.jp/matzjiro/e/99d22300fa019ea0025d7eba06f245cf

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
Facebook のユニークなセキュリティ対策をどうぞ! マツジローのネットワークセキュリティ日記/BIGLOBEウェブリブログ
文字サイズ:       閉じる