ゴートセセキュリティ

ゴートセセキュリティ(別名ゴートセック)[ 1 ] [ 2 ]
形成2009年12月[ 3 ] (2009-12年
目的ハッキング
メンバーシップアンドリュー・"ウィーヴ"・アウアーンハイマー[ 4 ] [ 5 ]サム・ホセヴァル[ 4 ] [ 6 ] [ 7 ]ダニエル・スピトラー[ 4 ] [ 8 ]レオン・カイザー[ 2 ] [ 4 ]ニック・"ルーカス"・プライス[ 4 ] [ 9 ] [ 10 ]
製品
握りしめる[ 11 ] [ 12 ]
Webサイトセキュリティ.goatse .fr (廃止)

Goatse SecurityGoatSec )は、セキュリティ上の欠陥を発見することに特化した、9人からなる緩やかな組織[ 13 ]グレーハット[ 14 ]ハッカー集団[ 15 ]でした。 [ 3 ] [ 16 ]これは、反ブログのインターネット荒らし組織であるGay Nigger Association of America(GNAA)の一部門でした。[ 2 ]このグループの名前は、Goatse.cxという衝撃的なサイト[ 5 ]に由来しており、スローガンは「Gaping Holes Exposed(大きな穴が露呈)」です [ 17 ]このウェブサイトは2014年5月以来更新されずに放置されています。[ 18 ]

2010年6月、Goatse Securityは約11万4000人のApple iPadユーザーのメールアドレスを入手しました。これを受け、 FBIによる捜査が開始され、グループのメンバー2名が刑事告訴されました。

創設

GNAAには会員の中に複数のセキュリティ研究者がいました。Goatse Securityの広報担当者、レオン・カイザー氏によると、GNAAは彼らの才能を十分に活用できなかったとのことです。GNAAが公開するセキュリティデータを真剣に受け止める人はいないだろうと考えたからです。GNAAは、会員がセキュリティに関する知見を公開できる媒体を作るため、2009年12月にGoatse Securityを設立しました。[ 2 ] [ 3 ]

ブラウザの脆弱性の発見

Mozillaは、ウェブブラウザをプロトコル間攻撃から保護するため、HTMLフォームが通常はアクセスできない複数のポートをブロックしました。2010年1月、GNAAはMozillaのブロックがポート6667をカバーしておらず、Mozillaブラウザがプロトコル間スクリプトに対して脆弱であることを発見しました。GNAAは、IRCチャンネルを氾濫させるためにJavaScriptベースのエクスプロイトを作成しました。EFnetとOFTCは攻撃をブロックできましたが、Freenodeは攻撃に対抗するのに苦労しました。Goatse Securityがこの脆弱性を公開し、そのメンバーの一人であるAndrew Auernheimer(別名「weev 」)がEncyclopedia Dramaticaにこのエクスプロイトに関する情報を投稿しました。[ 19 ] [ 20 ] [ 21 ]

2010年3月、Goatse SecurityはAppleのウェブブラウザSafariに整数オーバーフローの脆弱性を発見し、Encyclopedia Dramaticaにその脆弱性を投稿した。[ 22 ]彼らは、ポート番号に65,536を追加することで、ブロックされたポートにアクセスできることを発見した。[ 23 ] [ 24 ]この脆弱性はArora[ 25 ] iCab[ 26 ] OmniWeb[ 27 ] Stainlessにも発見された。 [ 28 ] Appleは3月にSafariのデスクトップ版の不具合を修正したが、モバイル版のブラウザの不具合は修正しなかった。[ 22 ] [ 29 ] Goatse Securityは、ハッカーがモバイル版Safariの欠陥を悪用してApple iPadにアクセスし、損害を与えることができると主張した。[ 22 ] [ 29 ]

AT&T/iPadのメールアドレス漏洩

2010 年 6 月、Goatse Security はAT&T のウェブサイトに脆弱性を発見しました。[ 30 ] [ 31 ]当時、 AT&T は米国AppleiPad向け3Gサービスを提供していた唯一の会社でした。 [ 32 ] iPad から AT&T の 3G サービスにサインアップすると、AT&T はiPad のSIM カードからICC-IDを取得し、サインアップ時に提供された電子メール アドレスに関連付けます。[ 30 ] [ 33 ] iPad からのログイン プロセスを容易にするため、AT&T のウェブサイトは SIM カードの ICC-ID を受け取り、サインアップ時に提供されたアドレスを電子メール アドレス フィールドに事前入力します。[ 30 ] [ 33 ] Goatse Security は、有効な ICC-ID が埋め込まれたHTTP リクエストをAT&T のウェブサイトに送信すると、その ICC-ID に関連付けられた電子メール アドレスがウェブサイトで明らかになることに気付きました。[ 30 ] [ 33 ]

2010年6月5日、ダニエル・スピトラー(別名「ジャクソンブラウン」)はIRCチャンネルでこの脆弱性と、フィッシングを含むその悪用方法について議論を始めました。 [ 8 ] [ 34 ] [ 35 ] Goatse Securityは、ランダムなICC-IDを含むHTTPリクエストをAT&Tのウェブサイトに送信するPHPベースのブルートフォーススクリプトを作成しました。正規のICC-IDが入力されると、ICC-IDに対応するメールアドレスが返されます。[ 30 ] [ 33 ]このスクリプトは「iPad 3G Account Slurper」と呼ばれました。[ 35 ]

その後、ゴートセ・セキュリティは漏洩した情報を公開する適切なニュースソースを探そうとし、オーエンハイマーはニューズ・コーポレーショントムソン・ロイターの幹部、アーサー・シスキンド氏を含む幹部にAT&Tのセキュリティ問題について連絡を取ろうとした。[ 36 ] 2010年6月6日、オーエンハイマーは自身の主張を検証するために、回収したICC-IDの一部を添付したメールを送信した。[ 34 ] [ 36 ]この時期のチャットログからは、注目と宣伝がグループにとって動機になっていた可能性があることも明らかになった。[ 37 ]

当初の主張とは裏腹に、このグループはAT&Tに通知する前にGawker Mediaにセキュリティ上の欠陥を開示し[ 37 ]、さらに著名人、政府関係者、軍関係者を含む11万4000人のiPadユーザーのデータを公開した。こうした戦術は、ITセキュリティ上の欠陥の適切な開示に関する重大な議論を再び巻き起こした[ 38 ] 。

アウアーンハイマー氏は、ゴートセ・セキュリティ社が業界標準の慣行を採用していたと主張し、「我々は善玉になろうと努めた」と述べている。[ 38 ] [ 15 ]電子フロンティア財団ジェニファー・グラニック氏もゴートセ・セキュリティ社の戦術を擁護している。[ 38 ]

2010年6月14日、TechCrunchマイケル・アリントン氏は、この団体に公共サービスに対する功績を称え、Crunchie賞を授与しました。これは、毎年恒例のCrunchies賞授賞式以外でCrunchie賞が授与された初めてのケースでした。[ 39 ] [ 40 ]

その後FBI事件の捜査を開始し、[ 31 ] 2011年1月に刑事告訴[ 10 ]とアウエルンハイマーの自宅への家宅捜索に至った。家宅捜索はAT&Tの捜査に関連したもので、アウエルンハイマーはその後拘留され、州の麻薬容疑で保釈されたが[41] 後に容疑は取り下げられた。[3]保釈家宅捜索国選弁護人への接見拒否の合法性に抗議し争うため、口止め命令を破った。彼はまた訴訟費用充てるためPayPal経由で寄付を求めた。 [ 15 ] [ 43 ] 2011年に司法省は彼が許可なくコンピュータにアクセスする共謀1件と詐欺1件で起訴されると発表した。[ 42 ]共同被告人のダニエル・スピトラーは保釈された。[ 44 ] [ 45 ]

2012年11月20日、オーエンハイマーは身元詐欺と不正コンピュータアクセス共謀の罪で有罪判決を受け[ 46 ]、判決に対して控訴する意向をツイートした[ 47 ] 。判決に出席していた友人のアレックス・ピロソフは、オーエンハイマーは判決まで保釈され、「少なくとも90日後」になるとツイートした[ 48 ] 。

2012年11月29日、アウアーンハイマーはWired誌に「開示は忘れろ - ハッカーはセキュリティホールを自分たちだけで抱え込むべきだ」と題する記事を執筆し、ゼロデイ脆弱性の開示は「社会正義のためにそれを利用する」個人にのみ行うべきだと主張した。[ 49 ]

2014年4月11日、第3巡回区控訴裁判所は、ニュージャージー州の裁判地が不適切であるという理由で、アウエルンハイマーの有罪判決を取り消す判決を下した。[ 50 ] [ 51 ]判事は、敷地へのアクセスの合法性に関する実質的な問題には触れなかった。[ 52 ]彼は4月11日遅くに刑務所から釈放された。[ 53 ]

その他の業績

2011年5月、Goatse Securityは、長いAdvanced Packaging ToolのURLがcompizのクラッシュを引き起こすことを発見した後、いくつかのLinuxディストリビューションに影響を与えるDoS脆弱性を公開しました。 [ 54 ]

2012年9月、Goatse Securityはマイクロソフトからオンラインサービスのセキュリティ確保に貢献したとして評価されました。[ 9 ]

参考文献

  1. ^ Tate, Ryan (2010年6月9日). 「AT&T、iPadへの恐怖の蔓延と戦う」 . Valleywag . Gawker Media . 2010年7月15日時点のオリジナルよりアーカイブ。 2010年10月17日閲覧
  2. ^ a b c d Kaiser, Leon (2011年1月19日). 「インタビュー:Goatse Security、AT&T iPad侵害事件後のFBI告発について」 DailyTech (インタビュー:トランスクリプト). ミック・ジェイソンによるインタビュー. 2014年3月31日時点のオリジナルよりアーカイブ。 2011年1月21日閲覧
  3. ^ a b c d Dowell, Andrew (2010年6月17日). 「FBIの捜査後、プログラマーが拘留される」 . The Wall Street Journal . Dow Jones & Company, Inc. 2010年10月11日閲覧
  4. ^ a b c d e「Team」 . Goatse Security . 2010年6月14日. 2010年9月30日時点のオリジナルよりアーカイブ2010年9月22日閲覧。
  5. ^ a b Chokshi, Niraj (2010年6月10日). 「iPadのセキュリティ漏洩を暴露したハッカーの一人に会う」 .アトランティック誌. アトランティック・マンスリー・グループ. 2010年9月16日閲覧
  6. ^ Keizer, Gregg (2010年6月17日). 「iPadハッカー、FBI捜査後、複数の薬物関連容疑で逮捕」 . Computerworld . Computerworld Inc. 2010年9月16日閲覧
  7. ^ Mick, Jason (2010年6月14日). 「AT&TがiPad顧客に謝罪、ハッカーの所在地を明らかに」 DailyTech . DailyTech LLC. 2010年8月20日時点のオリジナルよりアーカイブ。 2010年9月16日閲覧
  8. ^ a bビルトン、ニック、ワーサム、ジェナ(2011年1月18日)「iPadセキュリティ侵害で2人が詐欺罪で起訴」ニューヨーク・タイムズ。 2011年1月21日閲覧
  9. ^ a b「Microsoft Online Services に関するセキュリティ研究者の謝辞」。Microsoft 。 2012年10月19日閲覧
  10. ^ a b米国地方裁判所 — ニュージャージー州地方裁判所、事件番号: MAG 11-4022 (CCC)。2011年1月13日提出。
  11. ^ 「Clench、SSL PKIに永遠に「くたばれ」と言わんばかりの言い方」Goatse Security 、2010年9月8日。2010年9月11日時点のオリジナルよりアーカイブ。 2010年10月29日閲覧
  12. ^ Lawson, Nate (2010年9月8日). 「ClenchはTLS+SRPより劣る」 . root labs rdist . Nate Lawson . 2010年10月29日閲覧
  13. ^ Eunjung Cha, Ariana (2010年6月12日). 「AppleのiPadセキュリティ侵害でモバイルデバイスの脆弱性が明らかに」 .ワシントン・ポスト. 2011年4月6日閲覧
  14. ^キルシュ、カサンドラ (2014). 「グレーハットハッカー:サイバースペースの現実と法の調和」 (PDF) .ノーザンケンタッキー・ロー・レビュー. 41 : 386.
  15. ^ a b c Leydon, John (2010年7月7日). 「AT&TのiPadハッカーが警察に暴言を吐く」The Register . 2011年2月16日閲覧
  16. ^テイト、ライアン(2010年6月10日)「AppleのiPad侵入事件が警鐘を鳴らす」オール・シングス・コンシダルド(インタビュー:音声/トランスクリプト)。メリッサ・ブロックによるインタビュー。ナショナル・パブリック・ラジオ。 2010年9月16日閲覧
  17. ^ Ragan, Steve (2010年6月10日). 「AT&T、スクリプトエラーで114,000件のメールアドレスを紛失」 . The Tech Herald . WOTR Limited. 2011年11月18日時点のオリジナルよりアーカイブ。 2010年9月28日閲覧
  18. ^ 「Compizの脆弱性 « Goatse Security」 。 2019年7月24日時点のオリジナルよりアーカイブ2019年10月15日閲覧。
  19. ^ Constantin, Lucian (2010年1月30日). 「FirefoxのバグがIRCネットワーク全体に嫌がらせに利用される」 . Softpedia . Softpedia . 2010年9月19日閲覧
  20. ^ Goodin, Dan (2010年1月30日). 「Firefoxベースの攻撃がIRCユーザーに大混乱を引き起こす」 . The Register . Situation Publishing . 2010年9月19日閲覧
  21. ^ Goodin, Dan (2010年6月9日). 「セキュリティ上の失態でエリートiPadユーザーの住所が暴露」 . The Register . Situation Publishing . 2010年9月19日閲覧
  22. ^ a b c Keizer, Gregg (2010年6月14日). 「AT&TはiPad攻撃の脅威について『不誠実』だとハッカーが主張」 Computerworld . Computerworld Inc. 2010年9月18日閲覧
  23. ^ラガン、スティーブ(2010年6月14日)「ゴートセ・セキュリティがAT&Tに『お前は最悪だ』と告げる」 . The Tech Herald . WOTR Limited. p. 2. 2011年10月3日時点のオリジナルよりアーカイブ。2010年10月6日閲覧。
  24. ^ 「CVE-2010-1099」 . National Vulnerability Database . NIST . 2010年3月24日. 2010年10月6日閲覧
  25. ^ 「CVE-2010-1100」 . National Vulnerability Database . NIST . 2010年3月24日. 2010年10月6日閲覧
  26. ^ 「CVE-2010-1101」 . National Vulnerability Database . NIST . 2010年3月24日. 2010年10月6日閲覧
  27. ^ 「CVE-2010-1102」 . National Vulnerability Database . NIST . 2010年3月24日. 2010年10月6日閲覧
  28. ^ 「CVE-2010-1103」 . National Vulnerability Database . NIST . 2010年3月24日. 2010年10月6日閲覧
  29. ^ a bゴールドマン、デイビッド(2010年6月14日)「ハッカーら、iPadにはさらに多くのセキュリティホールがあると主張」 CNNMoney.com CNN 2010年9月18日閲覧
  30. ^ a b c d eカイザー、グレッグ(2010年6月10日)「『ブルートフォース』スクリプトが iPad の電子メール アドレスを奪取」。Computerworld。Computerworld Inc. 2010 年9 月 18 日閲覧
  31. ^ a b Tate, Ryan (2010年6月9日). 「Appleの最悪のセキュリティ侵害:114,000人のiPad所有者が暴露される」 Valleywag.Gawker Media . 2010年7月26日時点のオリジナルよりアーカイブ。 2010年9月16日閲覧
  32. ^ Ante, Spencer E. (2010年6月10日). 「AT&T、iPad所有者データの漏洩を公表」 . The Wall Street Journal . Dow Jones & Company, Inc. 2010年9月26日閲覧
  33. ^ a b c d Buchanan, Matt (2010年6月9日). 「AT&TのiPadセキュリティ侵害につながった小さな機能」 . Gizmodo . Gawker Media . 2010年9月22日閲覧
  34. ^ a b刑事告訴状アーカイブ済み2011年1月25日、Wayback Machineより。米国地方裁判所 - ニュージャージー州地方裁判所、事件番号: MAG 11-4022 (CCC)。2011年1月13日裁判所に提出。
  35. ^ a b Voreacos, David (2011年1月18日). 「米国、iPadユーザーによるAT&Tサーバーへのハッキング容疑で訴追を発表」 . Bloomberg.com . Bloomberg LP 2011年1月21日閲覧.
  36. ^ a bマクミラン、ロバート(2010年12月15日)「AT&TのiPadハッカー、メディアの注目を集めようと奮闘、文書で明らかに」 PC World . PC World Communications, Inc. 2010年12月16日閲覧
  37. ^ a b Foresman, Chris (2011年1月19日). 「Goatse Securityの荒らしはAT&T iPadハッキングで『最大の笑い』を狙っていた」 Ars Technica . 2011年1月22日閲覧
  38. ^ a b cベン・ワーゼン、スペンサー・E・アンテ(2010年6月14日)コンピューター専門家が反発に直面」WSJ.com
  39. ^ Arrington, Michael (2010年6月14日). 「Goatse Securityに公共サービスに対するCrunchie賞を授与」 . Tech Crunch . 2010年3月31日閲覧
  40. ^パターソン、ベン(2010年6月14日)「AT&T、iPadの侵害を謝罪、ハッカーの責任を問う」 Yahoo!ニュース。 2010年3月31日閲覧
  41. ^ Emspak, Jesse; Perna, Gabriel (2010年6月17日). 「逮捕されたハッカーのウェブサイトが過激派の見解を暴露」 . International Business Times . International Business Times . 2020年3月6日時点のオリジナルよりアーカイブ。 2010年7月11日閲覧
  42. ^ a b「AT&T iPad攻撃者に対する刑事告訴 — Computerworld」 2011年1月18日。2012年10月10日時点のオリジナルよりアーカイブ。 2011年4月18日閲覧
  43. ^ weev. 「偽善者とパリサイ人」 Goatse.fr. 2017年5月24日時点のオリジナルよりアーカイブ。 2011年4月18日閲覧
  44. ^ Voigt, Kurt (2011年1月21日). 「iPadのメールアドレス窃盗容疑者2人目、保釈なし」 . MSNBC.com . Associated Press. 2021年4月24日時点のオリジナルよりアーカイブ。 2011年2月15日閲覧
  45. ^ポーター、デイビッド(2011年2月28日)「iPadデータ窃盗容疑​​者、ニュージャージー州で保釈」 ABCニュース、AP通信。 2011年3月2日閲覧
  46. ^ Zetter, Kim (2012年11月20日). 「iPad顧客データ入手のためAT&Tサイトに侵入したハッカーに有罪判決 | 脅威レベル | Wired.com
  47. ^ 「Twitterステータス、午後3時38分 - 2012年11月20日」
  48. ^ 「Twitterステータス、午後3時32分 - 2012年11月20日」
  49. ^ビアレンド、ダグ(2012年11月29日)「情報開示は忘れろ ― ハッカーはセキュリティホールを自らの手で隠すべきだ」 Wired
  50. ^事件番号: 13-1816 文書番号: 003111586090
  51. ^ Kravets, David (2014年4月11日). 「控訴裁判所、ハッカー/トロール「weev」の有罪判決と判決を覆す」 Ars Technica . 2014年4月11日閲覧
  52. ^ヒル、カシミール(2014年4月11日)「ウィーヴは釈放されたが、裁判所は『ハッキング vs. セキュリティ研究』という大きな問題については判断を保留」フォーブス2014年4月11日閲覧
  53. ^ Voreacos, David (2014年4月14日). 「AT&Tハッカーの『Weev』、事件の行方が依然として不透明な中、パーティーやツイートを繰り広げる」ブルームバーグ. 2014年4月14日閲覧
  54. ^ Constantin, Lucian (2011年5月16日). 「Linuxの危険なサービス拒否脆弱性がゼロデイとして公開」 . Softpedia . 2014年3月25日閲覧
「 https://en.wikipedia.org/w/index.php?title=Goatse_Security&oldid=1315970057」から取得