aka LWN JAPAN
[ C H A N G E L O G ]
[Tux]

ChangeLog

ChangeLog
メール版
登録

Windows2000β vs LinuxPPC
ChangeLog
メール版
登録

ChangeLog

Windows2000β vs LinuxPPC

Windows2000β vs LinuxPPC
Microsoft がセキュリティチャレンジを行いました。 彼らは Windows 2000 が走るシステムをインターネット上に置き、 これをダウンさせようと試みるように呼びかけましたが、 あべこべに彼らにはバツの悪い事態となりました。 このシステムは初日に何度もダウンし、 この問題についての Microsoft の言い訳は多分に疑わしいものでした。
※ 二日目以降もこのシステムは数分おきに頻繁にダウンし、 攻撃はおろか、アクセスする事自体が困難な状態でした。
そうこうしているうちに、LinuxPPC の方々は 彼ら自身のセキュリティチャレンジ(英語。日本語) で対抗しました。 LinuxPPC を陥落させた人にはそのマシンをプレゼントするという賞品付きです。 この文書を書いている時点で、まだ賞品をもらった人はいません。 これは Linux のセキュリティの高さの証明でしょう。

もっとも、このマシンが PowerPC プロセッサで動いている事は有利に働いています。 もっともありふれたバッファオーバランによる攻撃は困難となります。 それらの攻撃手法が Intel 系のシステム向けに開発されているためです。

※ 既にこのセキュリティチャレンジは終了しています。 (やや残念なことに)負荷をあげるようなサービス不能型攻撃の一種を 受けて、一度だけ(クラックでなく)クラッシュさせられましたが、 LinuxPPC に侵入できた人は誰もいませんでした。 なお、その後ルールを変えた形で このセキュリティチャレンジは再び続けられることになりました。 オンラインのマシンに直接侵入するのではなく、 侵入(抜け道)の方法を示すことができれば マシンがプレゼントされることになりました。
Windows2000β vs LinuxPPC
以下は、ここぞとばかりに「広報活動」に励んだ Eric S. Raymond 氏(OSI 代表)のメッセージと、 LinuxPPC のアナウンス等、 1999年8月9日付けの ChangeLog の特集記事です。
Windows2000β vs LinuxPPC

ESR:「君は次にクラックされるつもりなのかい?」

Eric S. RaymondOSI 代表)
1999年8月6日

Melissa。 Explore.zip。 Back Orifice。 最近ウィルスやクラックの攻撃が酷く多発してるなあと思っているなら、 君は正しい。 そしてセキュリティの専門家は、 これは悪くなる一方で良くはならないと言っている。 クラック攻撃の頻度は指数関数的に増加している。 この問題から受ける経済的損失も同様だ。 Carlsbad(ニューメキシコ州)の調査会社、 Computer Economics 社の報告によると、 1999年の上半期に、 米国のビジネスは全体で $7,600,000,000 (9120億円)のソフトウェアウィルスによる損失を出した -- 1998年の合計を越えるものだ。

面白いことに、 これらの事件を取り上げた大量のメインストリームのメディアは、 すべての事件に共通していた一つの点をまったく言及しなかった。 つまり、Microsoft Windows だ。 Linux のような非 Microsoft OS は、 マクロ攻撃に対し弱点はなく、 ウィルスに対し免疫があり、 Back Orifice と聞いて笑っていられる。

このような単純な事実から、 君の ISP (インターネット接続業者) がなぜウィルスの被害を被らないのかを説明できる。 基本的にすべての ISP は Unix マシンでサービスを行っており、 そのうち約 40%は Linux を走らせているんだ。 明らかにビジネスはこれをますます魅力的な選択肢だと考えている。 最近の Computer Associates 社の調査では、 IT マネージャの 49%が、 その企業計画において Linux を「重要あるいは必須」と評していると報告されている。

このトレンドの理由の一つは、間違いなく「セキュリティ」だ。 インターネットから見えているマシンで Microsoft OS を走らせている人はすべて、 クラックしてくれと頼んでいるようなものだ。 もし君がコンピュータセキュリティに関心があるのなら、 この理由を理解しておく必要がある -- そして、 なぜ Microsoft がこの問題を修正できないのかも。

Linux やそれと同様の他の OS は、 同じマシン上で数名に使用されるように、 そしてそのユーザをお互いから守るように、 徹底的に設計されているんだ。 Linux のユーザインターフェースは、 「カーネル」、つまり特権を持った OS の核の部分、 とは分離されている。 そしてカーネルは、 通常のプログラムによる改竄(かいざん)から慎重に保護されている。 これが、Linux がウィルスに感染しない理由だ。

一方、 Microsoft Windows は、 「1人1台」という OS に深く組み込まれた前提を持っている。 内部にセキュリティはなく、 Windows カーネルはユーザのプログラムによる改竄から保護されていない。 事実、 Windows のユーザインターフェースはカーネルに直結されている。 これが、インターネット接続を介してやってくる (Back Orifice のような)敵意を持ったプログラムが、 ユーザインターフェースを通して OS の核深くに到達し汚染できる理由だ。

君が自分のデータとプライバシーを大切に思っているなら、 Microsoft がこれを修正できないということを理解する必要がある。 あまりにも多くのアプリケーション (Microsoft Office と IIS ウェブサーバを含めて)が、 実際にシステムのセキュリティの欠如に「依存」しているんだ。 その上、 Windows のソースコードがクローズドであるという事実は、 その OS がセキュリティ問題のための適切な検査を得られないということを意味する。

Microsoft はこれにどう対処しているのか? あまりうまくはやっていない。 主に、彼らは嘘をついて問題を混乱させようとしている。

3日前の 1999年8月3日、 Microsoft は、 新しい Windows 2000 OS のβを走らせたマシンをインターネット上で公開し、 世界中のクラッカーに対する侵入に挑戦した。 アナウンスの 2〜3時間後、マシンはクラッシュした。 その後 Microsoft のスポークスマンらは、 そのマシンが雷雨によってダウンさせられたと主張した。

けれどもマシン自体のエラーログには、 天候ではなく、 Microsoft 自身のソフトウェアにあったエラーが原因で 9回クラッシュしたという証拠が残されていた。 さらに、 確かにクラッカーは侵入しており、 マシンが実際に稼働していた短い時間の間に、 ゲストブックのアプリケーションを改竄していた -- Microsoft が無関係として片付けようとした事実だ。

Microsoft の挑戦が発表された 2〜3時間後、 ウィスコンシンの Linux 企業がそれに対抗した。 続く 3日間、彼らの Linux マシンは 1度のクラッシュもなく、 6,755 回の攻撃に耐えた。

自分の重大なデータを、 「」は、どちらのシステムに任せるのかい?

Eric S. Raymond

Windows2000β vs LinuxPPC
※ 8月9日17時(JST)現在では、6日間に渡り、重複な しで 26451 のマシンからクラックの挑戦を受けた と表示されています。 (もちろん依然として、クラッシュもクラックも されていません。)

こちら(英語)で現況をご確認下さい。

Slashdot (英語) では、4日付でニュースとなっていて、 LWN には 8月5日付で、LinuxPPC 社から以下のアナウンスが 届いていました。 (基本的に標準インストールのまま、と言うところがポイントです ;-)

Windows2000β vs LinuxPPC

LinuxPPC: 「うちのマシンをクラックして下さい。」

LinuxPPC セキュリティチャレンジの発表:

PowerPC マシンが賞品として提供されます。

LinuxPPC 社は、 「Linux セキュリティチャレンジ」を発表しました。 LinuxPPC 1999 を走らせているコンピュータに 侵入する競技大会です。 ターゲットとなるコンピュータは LinuxPPC 1999 の標準インストールを走らせています。 ターゲットマシンでは、 Apache ウェブサーバ、telnet サービスが 作動しています。 Sendmail と FTP はまだ作動していません。

このコンテストは、 Windows 2000 β を走らせているマシンでの Microsoft の Windows 2000 セキュリティチャレンジ に応えて発表されました。 けれども、Microsoft マシンでは HTTP のみが走っています。 より面白くするために、 LinuxPPC マシンは、telnet サービスを作動させ、 熱心なネットワークセキュリティファンが侵入できる 可能性の扉をもう一つ開きます。

ルール:

ターゲットマシンの名前は、crack.linuxppc.org です。

制限時間内にこのマシンに侵入することができたら、 ルールの概略にしたがって、 Power Mac 9500 が授与されます。

侵入は 8月11日(水)までに達成されなければなりません。

このマシンを授与されるためには、 root として telnet できなければなりません。 そして、マシンをクラックするのに使用した方法を 再現し、実際にやってみせなければなりません。

連絡先: 

Jeff Carr
President, LinuxPPC Inc. 
414-427-8555
jcarr@linuxppc.org
Windows2000β vs LinuxPPC

関連 URL

  • 「MSサイトがクラッカーの攻撃前に雷でダウン」(C | net。日本語)

    「ホワイトは、利用量は多かったが同サイトは「揺 らがなかった」と語った。しかし同サイトの来客名 簿アプリケーションが変更されていた。

    ホワイトは「それはアプリケーションであって、 Windows 2000ではない」と語る。しかしホワイトに よると、トラフィックがひっ迫したので、データ分 析のために運用を停止したという。」

  • 「ハッカー攻撃を受ける前に自滅したMicrosoftの公開テストサーバ」(ZDnet。日本語)

    「なぜこんなことをしたかといえば,「こ うした公開テストを行うことで, (Windows 2000を)これまでで最も安全な OSとして出荷できると考えた」と Microsoftの広報担当者は説明する。」

  • 「N.M. Tech Student's Work Aces Microsoft」(abqjournal.com。英語)

    「火曜、Microsoft のスポークスウーマンは、 コンピュータのクラッシュの原因は、コンピュータが設置されている シアトル地域の嵐と停電だと言った。

    コンピュータ自体に残されたログは、 天候ではなく、Microsoft のソフトウェアの問題 による、最低でも 9回のクラッシュを示している。

    この矛盾について質問されると、 このスポークスウーマンは、 コンピュータは時折「顧客からのフィードバックを評価し システムへ統合する」ためにオフラインにされることになっていた、 と言った。」

Windows2000β vs LinuxPPC

関連記事

Copyright (C) 1999 Metachannel Systems Corp. all rights reserved. ChangeLog
Copyright (C) 1999 Eklektix, Inc. all rights reserved. Linux Weekly News
Linux (R) is a registered trademark of Linus Torvalds.