スティーリング・ザ・ネットワーク ―いかにしてネットワークは侵入されるか―

第1章 姿なき報復
第2章 凶悪ワームを退治せよ
第3章 オフィスの平凡な日常
第4章 不思議なネットワークの国のh3X
第5章 鮮やかな窃盗
第6章 空港の空はフレンドリー
第7章 dis-card
第8章 ソーシャル（イン）セキュリティ
第9章 バベルネット
第10章 追跡

付録 セキュリティの法則

■第1章　姿なき報復
発端
ツール群
スキャン
Ciscoのバグ
コンピュータはコンピュータだよ、McNealyさん
なにはなくともWebサーバ
KISS、すなわちKeep It Simple, Stupid
ジャックポット
僕のような顧客

■第2章　凶悪ワームを退治せよ
とある「コンピュータ関連の仕事」
Mr. ワーム
本気で望めば手に入る
敵もさる者
降ればどしゃ降り
明日がないつもりで
絶体絶命
ギャンブルをしたいなら
ミイラ取りがミイラに

■第3章　オフィスの平凡な日常
わな
歓迎の宴
手近な獲物
Palmを掌中に
マイネットワークを楽しく探検
怪しいにおい
家からひと仕事
大衆食堂
唯一の出口
エピローグ
参考資料

■第4章　不思議なネットワークの国のh3X
プリンタ探し
そのころ地球の裏側のbszh.eduでは
獲物あさり
Dデー
まず研修生が
秘密のサービス
発見
彼女が帰宅して
余波

■第5章　鮮やかな窃盗
自己紹介
発端
獲物の研究
DNSの暴露
手を汚すとき
VPNの内部へ
ソフトを探して
探索
結論

■第6章　空港の空はフレンドリー
安全な空の旅を

参考資料

■第7章　dis-card 
僕らのビジネスモデル
ゼロデイ攻撃
人間をリバースエンジニアリング
付記：ログファイルの使い方.
　シナリオ1
　シナリオ2
　シナリオ3
■第8章　ソーシャル（イン）セキュリティ
クビから1年
偵察
　Googleで情報収集
　Network Solutions社で検索
　Sam Spad
　インターネット電話帳
　メールの開封確認メールと不在通知メール
ゴミ収集容器で宝探し
人間たちとの楽しいやり取り
　プランBに変更
　プランC：元従業員
ショルダーサーフィン（肩越しの盗み見）
古いバッジを有効利用
そして社内はいつものとおり？！

■第9章　バベルネット
午前3時
鏡よ、鏡
多言語を話すネットワーク
良いパケットが悪いパケットに変わるとき
我々は社会的な生き物だと彼らは言った
ノックの音
そこにいるのは誰？
Scanrand
誰をscanrandする？
あなたのことをscanran
夜が更けていく

■第10章　追跡
火曜日
水曜日
木曜日
金曜日
月曜日

■付録　セキュリティの法則
はじめに
セキュリティの法則
クライアントサイドのセキュリティは役に立たない
何かしらの情報を伝達せずに、共有鍵を安全に交換することはできない
悪意あるコードから100％防御することはできない
どのような悪意あるコードも形を変えてシグネチャ検出を迂回できる
ファイアウォールは攻撃から100％守ってくれるわけではない
　ソーシャルエンジニアリング
　公開サーバへの攻撃
　ファイアウォールへの直接攻撃
　クライアントサイドのセキュリティホール
いかなる侵入検知システム（IDS）も回避することができる
非公開の暗号化アルゴリズムは安全ではない
暗号化鍵を使わない暗号化は単なる符号化にすぎない
パスワードは、別のパスワードで保護しない限り、クライアント上で安全に管理できない
システムがセキュアであると判断するには、独立した第三者のセキュリティ監査を受ける必要がある
不知によるセキュリティは機能しない
まとめ
解決策のまとめ
　セキュリティの法則を知る
　クライアントサイドのセキュリティは役に立たない
　何かしらの情報を伝達せずに、共有鍵を安全に交換することはできない
　悪意あるコードから100％防御することはできない
　どのような悪意あるコードも形を変えてシグネチャ検出を迂回できる
　ファイアウォールは攻撃から100％守ってくれるわけではない
　いかなる侵入検知システム（IDS）も回避することができる
　非公開の暗号化アルゴリズムは安全ではない
　暗号化鍵を使わない暗号化は単なる符号化にすぎない
　パスワードは、別のパスワードで保護しない限り、クライアント上で安全に管理できない
　システムがセキュアであると判断するには、独立した第三者のセキュリティ監査を受ける必要がある
　不知によるセキュリティは機能しない
FAQ