蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる 55
ストーリー by hylom
チェーンはどうやって解除したのだろう 部門より
チェーンはどうやって解除したのだろう 部門より
danceman 曰く、
オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.、University of Twente公式サイト)。
同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。
パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き忘れてしまったが、宿題を終わらせなくてはならずパソコンが今すぐ必要だ」などの嘘をついて部屋の鍵を開けてもらうのである。
この実験の結果、団体組織のセキュリティがどんなに強化されようとも、人間行動が要因となってセキュリティが活かされないことが露呈されることとなった。また同実験に協力した学生らには単位が与えられたとのこと。
一番の弱点は人間 (スコア:5, 興味深い)
あのケビン・ミトニックもソーシャルエンジニアリングに長けていたそうです。
今ではセキュリティの専門家になっているそうですが…
ケビン・ミトニック氏、ソーシャルエンジニアリング攻撃を易しく解説
http://internet.watch.impress.co.jp/cda/event/2008/05/20/19618.html [impress.co.jp]
# 参加した生徒がこのまま悪の道に走ってしまうことはないのだろうか?
※ただし理解のある相手に限る (スコア:3)
日本で同じ実験をやったら学生と教授が処分を受けて、「対策」として誰も守らないA4一枚のガイドライン作って終了とかになりそう
言ってないことに反論するなよ
Re: (スコア:0)
処分を受けないように準備をしておくのも課題に含まれると考えればOK。
してなきゃマヌケすぎ。
つなぎ方 (スコア:2, おもしろおかしい)
A「盗まれたPCはチェーンで机につないでいたのだね?」
B「はい、間違いありません」
A「どんな風に?」
A「ちょうちょ結びで」
Re:つなぎ方 (スコア:2)
A教授、生徒に答えさせてあげて下さい……。
Re: (スコア:0)
もしかすると力で引きちぎった [srad.jp]のかもしれない。
防御側のインセンティブは? (スコア:1)
どういう経緯のお仕事かがはっきり分かってもなお、そんなことしても意味がないんじゃと言う気がしてしまうと、モチベーションが下がるというのに。 自分たちだけ余分な仕事で押しつけられたそんな何だか分からないモノを必死に防衛してくれるとも思いにくい。 普段使いのそこそこ機密情報が入ったPCがどの程度杜撰に管理されているか、とは若干の乖離があると思う。
流出したら処分とか、1ヶ月守り切ったらボーナスとかのインセンティブを付けた場合にどう効果があるのかとか見てみたい。
Re:防御側のインセンティブは? (スコア:2)
一般的な業務においても、防御側にインセンティブが与えられることなど稀なのでは。
とはいえ、確かに防衛側に守りきった場合のインセンティブが与えられたらどうなるか、というのは気になりますね。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re:防御側のインセンティブは? (スコア:2)
逆インセンティブというか、
普通、管理を任された物が盗難にあったら怒られるぐらいのことは想定して「管理」するんじゃないでしょうか。
そのための給料なんて出ない?でもそれが普通の職場じゃないですかw
Re: (スコア:0)
求められてる最低限の管理をしていれば盗まれても怒られないのが普通だと思いますが
Re:防御側のインセンティブは? (スコア:2)
ですから、それをしてなかった(指示されたのにチェーンをかけ忘れたなど)、
あるいは生徒が頼み込むので仕方なくあけてやってしまった、
結果盗まれた場合は怒られるでしょ。
初めから「実験だから適当にやってね♪」と指示されてたなら知りませんが。
Re: (スコア:0)
チェーンをかけ忘れたソースは?
Re: (スコア:0)
求めているのはこちらが指示した管理を実行することではなくて、最低限それを実行し、物品を盗難から守ることですよね。
そんな指示したことしかしないんだったら人間である必要は無いですね。機械で十分です。人間の強みは臨機応変に動けることですから。
最低限のことはやったからいい。指示不足だろ。なんて言ったら会社クビになりますよ。
Re:防御側のインセンティブは? (スコア:2)
ユーザ調査という名目で貸し出されたんだからいつものマシンの代わりに通常業務に使ってたんじゃないですかね。
この実験は普通に業務利用されているPCがどれくらい盗まれやすいのかというのを実証する実験であって、
防御側と攻撃側で対抗する性質のものではないので必死に防衛されてしまっては実験の意味をなさないでしょう。
部屋に鍵をかけ、チェーンでロックし、パスワードもかけておくという一般には盗難対策としてはよくやってるかなと
いえるレベル(一般で業務に使うノートPCをチェーンで机にロックしておくことなんてことは展示品でもない限りないでしょ)の
指示を出されてどれくらい守られたか、なんてのも回収の手口やマシンの調査で今後報告されるんでしょうね。
指示を出しただけで実施を強制したわけではないという所も重要なポイントなんだと思います。
スルースキル:Lv2
Keep It Simple, Stupid!
Re:防御側のインセンティブは? (スコア:1)
ソフト開発系の会社だからなのかもしれませんが、普通にチェーンロックやってますよ。
机に最初からチェーンロックが1個づつ有れば後は持ってきたら鍵掛けるだけですし。
# チェーンロックしてても、机にだしっぱで帰れないですけどね・・・
まぁ、チェーンロックがすり替えられてたら気づかないかもしれない。
見た目そっくりで、機能も同等にも関わらずバックドア(0000で開くとか実はどんな鍵でも施錠・解錠可能とか)仕掛けられたらアウトかもしれませんが。
Re:防御側のインセンティブは? (スコア:1)
セキュリティ対策をテストするんだったら、防御側に必要以上にインセンティブを与えて、元々のセキュリティ対策が予定している以上の工夫をしてしまうような状況にしてはダメだと思う。
それをすると、セキュリティ対策が優れていたのか、防御側にたまたま優れた人間が居ただけか分からなくなる。
もちろん、インセンティブを与えた防御者と、インセンティブを与えていない防御者の比較実験なら、また話は別だけど。
Re: (スコア:0)
自分のわかっている、価値が理解できる仕事だけに力を注げれば、
今の若いもんでも、極めて優秀な仕事人となってしまうね。
(それでもできないのは煽りでなく本当に、中学生以下でしょ)
訳もわからないところを、いかに理解してこなすかが仕事のすべてと言ってもいいくらい。
どちらかと言えば、盗み出す方が学生であり、盗む動機もないところで盗まねばならない
ことのほうに(授業単位以上の)もっとインセンティブがあってもいいかもね。
でも、掃除夫や技術保守だと言われたら、なかなか守るのは難しいよな。
方法は指定したのかな? (スコア:1)
>職員のパソコンを盗み出す課題を与えた。
ソーシャルな方法で盗んだから良いものの、
ドア壊したり、シャベルカーで校舎壊したりして
盗まれたら目も当てられない気が…
Re:方法は指定したのかな? (スコア:2)
課題である以上、校舎や機材を破壊しないとか前提条件はつけたでしょう。
ピッキングは使わないとかもいれたでしょうね。
盗む方法が課題なんだから、合格点が取れない方法で盗んでも仕方がない。
Re:方法は指定したのかな? (スコア:2)
まぁ、「科学的実験」として頼んだのだからそうそう手荒なまねはしないでしょう。
スルースキル:Lv2
Keep It Simple, Stupid!
Re:方法は指定したのかな? (スコア:1)
え? MythBusters [wikipedia.org]がどうかしたって?
1を聞いて0を知れ!
Re:方法は指定したのかな? (スコア:1)
と、爆発物を自作するところからはじめればOK?
Re:方法は指定したのかな? (スコア:1)
この課題実施期間、大学近くの金物屋で「バールのようなもの」が結構売れてたりして
Re: (スコア:0)
学校の所有権を盗んでしまうとか。
#学生は大変なものを盗んでいきました。
#それは・・・・
次の課題 (スコア:1)
盗まれたPCを取り返してください。
#以下ループ
この課題を出した教授は (スコア:1)
Re:この課題を出した教授は (スコア:2)
この実験は団体組織に与えられた「共用PC」について、管理者や管理者でない人(清掃員)が「融通を効かせる」ことでセキュリティが破られてしまった、って話ですから、
教授のPCの場合、教授の家族に「僕学生なんですが教授にPCを持って来いと頼まれました」といって持ち出す可能性でしょうか。
なんかリアルにありえる話に思えてきたw
ま、ホントにやったらすぐ捕まるでしょうけど。
Re:この課題を出した教授は (スコア:2)
この教授はおそらくこの結果を見越して実験を行ってるはず。
だから結果を見て敏感になるなんて事はないと思うよ。
スルースキル:Lv2
Keep It Simple, Stupid!
盗んだことがバレてもOKなら盗めるパターンは多い (スコア:1)
けど、普通そんな盗み勝たしたら、自分が犯人てバレバレなんで、そんなリスキーな泥棒はしないわけで・・・
誰に盗まれたか分からないように盗めって課題だと、そうそう簡単にはいかないんじゃないですかね。
Re:盗んだことがバレてもOKなら盗めるパターンは多い (スコア:1)
泥棒とは違うかもしれんけど、詐欺師って職業もあってだな……
1を聞いて0を知れ!
Re: (スコア:0)
短時間で印象を別の所に強烈に与えてやればリスクは低減できるはず。
三億円事件の白バイのように。
そりゃ盗めるだろう。 (スコア:0)
身内が泥棒みたいな状態なんだから。
追跡調査して、穴を塞いだら、ひじょーに棲みにくいキャンパスになりましたとさ。
Re:そりゃ盗めるだろう。 (スコア:2)
教員に対する学生というのは身内のようで身内では無い関係に思えます。
看守と囚人のような関係というか。国家権力と国民というか。
Re:そりゃ盗めるだろう。 (スコア:1)
パソコンに触れられるあたりまでは防御しようがない(対策のほとんどは身内向けには効果が薄い)よね、というのは同意。
守衛さんとかカード入退室記録システムとかは全く無力ですもんね。
まあ他の部分はともかく、
>必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。
の部分の守られた割合と破った手法に興味が湧きます。
単にチェーンは切ってパスワードは解いてないとかならともかく
痕跡も残さず盗み出し、誕生日や好きな食べ物をも調査してパスワードを突破したりしてないかな。
Re: (スコア:0)
暗号化されたflesystemならともかくただのfilesystemにのってるパスワードなら誰でも上書きできますけど?
Re:そりゃ盗めるだろう。 (スコア:1)
すみません、なにが「けど?」なんだか分かりません。
よければ解説をお願いします。
Re:そりゃ盗めるだろう。 (スコア:1)
そうか?
『パソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。』ものの、嘘をついて部屋の鍵を開けてもらうだけで盗まれた、ってことだろ?
ってことは、守られたのは『ドアに鍵をかける』ところだけだったんじゃないの?
あと、技術者の振りをしたり、「指導教授の部屋にパソコンを置き忘れてしまったが、宿題を終わらせなくてはならずパソコンが今すぐ必要だ」などと言ってもすぐには清掃員や管理人が部屋のかぎを開けないようにする、という程度の対策をとった結果が『ひじょーに棲みにくいキャンパスになりました』になるとは思えないんだけど。
# もしかして、非常に棲みやすいキャンパスとは『学生が金欠になった際には手ごろなPCを拝借して換金できるくらい自由なキャンパス』ってことなんだろうか?
Re: (スコア:0)
単に会議室に持ってくのが不便になっただけだという…
Re:そりゃ盗めるだろう。 (スコア:3)
何年か前に同じような事がありましたが、ボールペンの軸で簡単に開く(壊す?)チューブラーキーでした。
上司の前で実際に開けて見せて、それをメーカーに送りつける事でディンプル錠の物に取り替えさせた事がありましたね。
解錠法は確かここかWiredあたりで紹介されていたような。
HDDはもちろん暗号化させられてます。TPPまでは使ってませんが。
--- de FTNS.
Re:そりゃ盗めるだろう。 (スコア:1)
だからこそのTPM(を使ったBitLocker [microsoft.com]などのドライブ暗号化)なんでしょうね。
TPMモジュール(又はキーを入れたUSBメモリ)も盗まないと平文化できせん。
スマートカードでログインから暗号化まで管理したい気もするけど、お手軽なスマートカードないとなぁ・・・
Re:そりゃ盗めるだろう。 (スコア:1)
外れてしまう。100円の知恵の輪の方がよっぽど難しい。
いつだか部屋の鍵かけろ命令でたが、土日と夜間は建物に入れないのと本借りたり
なんだりで不便だからほとんどの人は鍵もかけないしPCも放置だな(自分も)。
Re: (スコア:0)
そりゃ普通は怪しい人が怪しい格好して侵入するなんてのは稀だからな。最初に内部協力者を探すのが鉄則よ。
もし (スコア:0)
予告状を出してから盗めば単位追加。
もし自分がその学生なら (スコア:2)
永世小学六年生神アイドル支持者(バランス取らなくっちゃなぁっ!!)
Re: (スコア:0)
レアPCゲットで、単位大量取得!
すごいや優秀な「どろぼうがっこう」だね五右衛門先生 (スコア:0)
間違えた (スコア:0)
故意か本当か、間違えて別のPC盗んじゃったりするやつ出なかったのかな?
Re: (スコア:0)
逆に誰が盗んだか分からないままになってるのもあるんじゃないか。
出所不明の (スコア:0)
36台目から始まる、真のストーリー(定番
ばかもーん! (スコア:0)
そいつがルパンだー! >Trajce Dimkov教授