はてなキーワード: torとは
Vチューバーの県警動画削除、フェミニスト議連に殺害予告「戸締まり気をつけろよ」
https://www.tokyo-np.co.jp/article/135699
これは「恒心教徒」と呼ばれる人たちが送り付けているようだ。
数日前にフェミニスト議連の対抗勢力(Vtuber側)であるおぎの稔氏に対して恒心教徒から殺害予告や爆破予告が行われたが、今度は逆にフェミニスト議連に殺害予告や爆破予告が行われている。
なんでそんなことが分かるかと言うと、その恒心教徒が集まる掲示板(通称「コロケー」など複数)に、予告を送り付けたという報告が多数書き込まれているのだ。
フェミニスト議連への予告の中には、おぎの稔氏の名義で送られたものも多くある。
恒心教徒による殺害予告や爆破予告はほとんど捕まらないことが特徴の1つ。Torなどの匿名化ソフトを駆使してるからだ。年に1人くらいは捕まる人が居るが、そういうのは爆破予告を送り付ける手前の段階(例えば、区役所の問い合わせフォームを検索して初回接続した時)で非匿名化の環境(要は普通のネット環境)を使っていたために足がついた・・・などの初歩的なミスをやらかしているケースであり、こういう類は「バカ」扱いされている。
そういう「捕まらずに世間を騒がせる悪戯をするプロ」である恒心教徒が、フェミニスト議連と全面戦争をする。傍から見る分には最高に面白いコンテンツだ。一部の建物や直接関係がないイベントに影響が出るかもしれないが、しばらくは我慢するしかないだろう。
恒心教徒、フェミニスト議連ともに百害あって一利なしの連中なので、これを機に対消滅して欲しい。
コロケーによると、おぎの氏への殺害予告が恒心教を思わせる内容(3時34分の件)であり、かつそれが騒ぎになったため、恒心教に政治色があるとみなされるのを避けるために無差別爆撃をせざるを得なくなったという書き込みがあった。
おそらくこれが実態なのだろう。政治的意図は一切ないと言っているが、増田も今回の件は政治的意図は端から無いと見ているので(だから「悪戯」と書いている)その点は一緒だ。
つまり、フェミニスト議連への殺害予告や爆破予告は、おぎの氏が過剰に騒いだことが招いた事象であるということだ。おぎの氏は殺害予告があったことを報告するなとは言わないが、少なくとも内容は非公開にすべきだった。それが余計だった。
また、今後おぎの氏がこの件で騒げば騒ぐほど恒心教徒による悪戯はエスカレートしていく事にもなる。そのうち「贈り物」(攻撃対象の家や職場に代引きで高価な物品やアダルトグッズなどを送り付ける行為)も出てくるのだろう。
まあ、全員消えていなくなってくれればそれで良いよ。
匿名で安心して嫌がらせするクソみたいな相手に鉄槌下したり痛み分けに出来る行為だが
自分に悪意持って嫌がらせしてきた相手に個人情報を伝えるってのが怖いんだよ
考えてみろ、法に触れる嫌がらせしてくる相手に個人情報教えたらどうなるか
金玉みたいな名前した例のあの人とか、ネットで暴れまわる弁護士を神格化した冗談宗教とかみたいなアレな奴らを見てもわかるだろ
訴訟や裁判で得た個人情報をネットに晒したり脅しに使うのは違法って言ってもな、キチガイに通用しねーよ
「あっそう、ネットに晒すね」って速攻で晒されてあることないこと書かれる、そして「うーん犯人はVPNやTor経由みたいですね、俺が書いた証拠あるんすか?(笑)」だ
狂人には法の力を用いても勝てない
#nmap -sS -A -v www.target.com
見るべきところは相手のサーバーで動いているソフトウェア&そのバージョン
2.exploitを探す
動いているソフトウェア(のバージョン)に該当するexploit(攻撃コード)を探す
ttp://1337day.com/(http://milw00rm.com)
ttp://www.packetstormsecurity.com/files/tags/exploit/
ttp://www.securityhome.eu/exploits/ 等
落としてそのまま使える物もあればコンパイルしたりして使う物もある
3.exploitをターゲットに向けてTails/RDP/VPN(logを保持していないのに限る)上から実行する
侵入できたらあとはページ書き換えるなり、内部データぶっこ抜くなり、フィッシング撒くなり、なんかの踏み台にするなり、Local exploitで権限昇格するなりご勝手に
Lets Karakking!
nmapより先にwhoisとかgoogleハッキングで情報探すナリ
tor越しやVPN越しにnmapで突くとアクセス遮断されてるか警戒されることが多くなるナリ
最近はポート確認用のサイトでIPとポート指定できるサイトとかあるから、そういうサイト使ってポート開いてるか確認するのも良いナリよ
正直nmapは最終手段に近いナリ
32 風吹けば名無し@転載禁止 [sage] 2014/11/25(火) 04:07:46 ( tor-elpresidente.piraten-nds.de )
使えなくは無いけども当職は使わないナリ
kaliかtailsをCDに焼いた方が便利ですを。win系のパスクラならophcrackがオススメナリ
守り方だけど鯖建てたい初心者はhackmeで検索してSQLインジェクションとXSS辺りの初歩を学ぶと良いナリ
バッファオーバフローはアップデートと設定さえ、やっとけば0dayで無い限りやられることは無いと思うナリ
win系とかの簡易ウイルス発見テクは「タスクマネージャが出ない」「隠しフォルダが強制非表示になる」
「サービス、スタートアップ、タスクスケジューラに不審なexeが登録してある」「USBを挿した時autorun.infを上書きしようとする」等々のパターンが多いナリ
とりあえず常駐プロセスとサービスがどこの会社のどのソフトか理解しておくことも早期発見に繋がるので大切ナリ
防御ソフトとしてはpeerblock、sandboxie、privoxy、EMET、DNSCrypt、comodo firewall辺りと適当なウイルス対策ソフトナリ
ブラウザはfirefoxでアドオンはadblock edge、cookiesafe、noscript、prefbar辺りを入れてprefbarでプロキシとかflashとかjavaのオンオフ管理すると良いナリ
カラッキング下準備
まず、基本となるLAMP自鯖を作って出来る限りのセキュリティを施すナリ
これでLinux系鯖の基本くらいは理解できるようにならないと侵入してもやることが無いナリ
次はツールの使い方を覚えるためにKaliLinuxとかを使って何とかして自鯖のセキュリティを破って侵入するか
自分でSQLインジェクションとかXSSとか書いて侵入するナリ
なお、簡単に入れる鯖はセキュリティ意識低いので拾ってきたバックドアでも問題無いナリ(例えばrootパスがデフォ設定の所とか)
ここまで来たら後は近所の無線をaircrack-ng等でカラッキング→tor+tsocksかproxychains辺りを使って恒心するナリ
38 風吹けば名無し@転載禁止 2014/11/25(火) 20:28:06 ( tor-exit.server6.tvdw.eu )
プログラミングがたいして出来なかったから、ろくなもんになれないと思ったもんで
まあ攻めより受けは圧倒的に楽なもんだよね
サーバーの運用に関してはセキュリティについて結構書かれてる本多いし
解析する方としては、ハード、OSの基本的なシステムとwebやネットワーク関連を身につけたら、
既存のツール活用するだけでフォレンジックの真似事やマルウェア分析ができる
数万相当で売ってたカランサムウェアもちょっと説明つけて検体送ってやれば、半日で役立たず
多段パッカーとかでワンチャンあるかも分からんし、こういうのはいたちごっこだけど。恒心サポートとか付いてくるんかね?w
Cuckoo Sandbox: Automated Malware Analysis
Malwr - Malware Analysis by Cuckoo Sandbox
ttps://malwr.com
k5zq47j6wd3wdvjq.onion
tom3j5jkjl7327oc.onion
ttps://infotomb.com/mn3u8.png
The Exploit Database
今、torはすぐにバレるの?
生年月日が適当でいいのは秘密の質問の親の旧姓と同じ、という点はあまり認識されてないよね。あれで本人確認の一部でも出来るわけではない(確認するための情報を持っていないのだから必然的に)のに。
一番問題なのは架空予約で予約が一杯になることだとおもうからそれだけは改善したい。
本人確認書類とか出させるとサポートのオペレーションがやばくなるのでそれは無理。個人情報もつのもやばい。
それ以外で何ができるか考えてみる。
実際の予約画面触ってないから見当違いなのもあるかも。
住所のバリデーションちゃんとして、対象地域以外登録できないようにする。
あとは現行と同じなんだけど、予約完了したら登録住所にはがきを出す。
配達記録追跡サービスを使えば到着状況を確認できるので届いてる人が真正な予約者と確認できる。
はがきにパスワードつけといてそれでマイページ見られるようにすればいいかも。
金はかかるけどはがきなら高齢者もわかりやすいし特に混乱なく行けそう。はがき届かなかったんですけどって言って当日会場に来た人にもワクチン打ってあげるといい。
住所書き間違いとかで届かなかった場合には問い合わせが来るだろうからオペレーションコストは上がる。
電話番号登録したら電話かかってきて機械音声のいう番号を次の画面に入力するあれ。
現行のシステムにこれだけ追加する。
torからbotで予約させるのを防ぐには十分だと思うけど、おじいちゃんおばあちゃんには難しいかなあ。
画像選択させるやつは老人には無理だからどんなやつにするかは考えなくちゃだけど、とにかく人間性の確認を行ってbot避けだけは何とかする。
これはたいして開発期間かからなさそう。
バグとは、実装意図と異なる挙動をすること。脆弱性とは、情報セキュリティ上の欠陥を指す。
例えばhttp通信でクレジットカード情報をやり取りするようなサイトが未だに残っていたとしたら、実装意図に沿ったものであったとしても、脆弱性だ。
今回の件は、開発着手時点から、このようにしか作れないことがわかっていたのだから、このように作ったというもので、実装意図に沿った挙動だよ。
一方で、接種者が自分の接種番号を公開してしまうと、自分の予約情報や接種履歴、東京に住んでいるか大阪に住んでいるかがわかってしまうという点では脆弱性だよ。
あとは、悪意のある人が、でたらめな番号で予約を占有するスクリプトを組めば、誰も予約できなくなっちゃうという意味でも脆弱性だね。
こっちはどうでも良くないので、外国やVPNやTorの疑いのあるIPアドレスを遮断して、ログから疑わしいアクセスがないか注視するのが良いだろうね。