Feeds:
投稿
コメント

Posts Tagged ‘Hacking’

Tom-Jobs

[トム・クルーズが演じる幻のジョブズ:Ars Technica

脚本家 Aaron Sorkin の意中のひとはトム・クルーズだったらしい・・・

ハッカー攻撃にあったソニー・ピクチャーズから大量の内部データが流出している。その情報から Ars Technica がジョブズ伝記映画の舞台裏を取り上げている。

Leaked Sony e-mails reveal Aaron Sorkin wanted Tom Cruise as Steve Jobs | Ars Technica

     *     *     *

主役に不本意なソニー・ピクチャーズ会長

Guardians of Peace と名乗るハッカーグループがリークした書類の大半はコロンビア映画会長 Amy Pascal[ソニー・ピクチャーズの共同会長でもある]のメールのやり取りだ。それによると、ジョブズ伝記映画のカネを稼げる主役探しに四苦八苦していた Pascal がこの映画を手放すのを決定的にしたのは Danny Boyle 監督がジョブズ役に Michael Fassbender を選んだことだった。その後ソニーの交渉期限が過ぎたため、プロデューサーの Scott Rudin と Boyle 監督は映画をユニバーサルに譲る契約を結んだ。かくて激しいメールのやり取りが展開した。

Based on e-mail messages in the Outlook mailbox of Columbia Pictures Chairman Amy Pascal, which made up nearly half of the latest leak of documents by the group calling themselves “the Guardians of Peace,” it was ultimately Director Danny Boyle’s choice of Michael Fassbender for the role of Steve Jobs that blew up the deal, as Pascal and her team struggled to find someone to help finance the film with him in the lead. Then, as Sony reached a deadline for coming up with a deal, producer Scott Rudin and Boyle closed a deal with Universal to take the picture, sparking an e-mail flame war.

     *     *     *

脚本家の意中のひとは Tom Cruise

最初にジョブズ役として名前が挙がったのは Christian Bale だった。Pascal は10月7日のメールでその選定に「非常にハッピーだ」と述べている。しかし脚本家 Aaron Sorkin から最初のシナリオが持ち込まれると、彼がジョブズ役に別の人物を念頭においてシナリオを書いたことが明らかになった。ソニーが伝記映画を手放す数週間前の10月31日、Sorkin は次のようなメールを書いている。

Christian Bale had been mentioned as a candidate for the role of Steve Jobs, and Pascal had said in an October 7 e-mail that she was “very happy” with the choice. But it was clear that Aaron Sorkin, who was brought on to write the first draft of the screenplay for Jobs, had someone specific in mind when he wrote the part. On October 31, just weeks before the wheels fell off Sony’s deal for the film, Sorkin wrote in an e-mail:

「プロデューサーの Scott Rudin と Danny Boyle 監督の2人が Tom Cruise に少なからず関心を持つよう仕向けた。2人とも彼が年を取り過ぎていると心配しているが(自分はそれほどでもない)、彼が十分セリフをこなせること[注](『大いなる陰謀』、『マグノリア』、『ア・フュー・グッドメン』を見ても)、自信をもって主役をこなせるスターであることについてはみんなの意見が一致している。・・・」
[注]Tom Cruise の失読症(Dyslexia)のことか。

I’ve gotten Scott and Danny to the point where they’re now a little interested in Tom Cruise. Though both remain concerned about his age (me less so) everyone agrees that he’s an actor who can really handle language (Lions for Lambs, Magnolia, A Few Good Men) and a movie star who feels comfortable owning the stage.[…]

Pascal もそれでいいと返事をし、彼女も Boyle 監督と話してみるといった。しかし翌日彼女が Sorkin に出したメールでは、Boyle 監督は Michael Fassbender「に約束済みのように見えた」といっている。

Pascal e-mailed back, saying that she loved the idea and that she was going to talk to Boyle about it. But the next day she e-mailed Sorkin again to say that Boyle “seems committed to” Michael Fassbender for the part.

Sorkin の返事:「これは一大事だ。Michael Fassbender なんて自分は知らないし、世間だってそうだろう。まったく正気とは思えない。」 しかしその後のやり取りでは、「くそっ、彼は偉大なる俳優で、とうとう彼の時代が到来したのだ」とも。

Sorkin replied, “This used to be an event. I don’t know who Michael Fassbender is and the rest of the world isn’t going to care. This is insane.” But in the exchange that followed, he wrote, “Fuck it. He’s a great actor whose time has come.”

「結局そういうことだったの」というのが Pascal の返事だった。

“That’s where I ended up,” Pascal replied.

     *     *     *

脚本家 Aaron Sorkin が Tom Cruise のジョブズ役を念頭においていたとは初耳だ。

David Fincher 監督と Christian Bale の組み合わせでスタートした話が二転三転する様子が窺える。

それにしても映画製作の舞台裏がこれほどあからさまになるのは珍しい。

映画スタジオとプロデューサーと脚本家が三つ巴で画策するドロドロした背景が浮かび上がってくる。結局監督も俳優もひとつの駒(こま)に過ぎず、決めるのは背後にある大きな力なのだ。

この映画の配役に声をかけてもらおうとする俳優たちの動きも登場する。

これまでのところ、主役のジョブズにはこの他にも Tobey McGuire や Matthew McConaughey などが名乗りを上げたようだし、今回のハッキングの原因ともなった映画『The Interview』の Seth Rogen は Steve Wozniak 役を希望。Tom Hanks まで John Sculley 役で動いていたらしい。Natalie Portman が Joanna Hoffman[注]役という話も一時はあった。
[注]Macintosh のオリジナル開発チームの一員。唯一のマーケティング担当者。Macintosh User Interface Guidelines もドラフトは彼女が書いた。

これだけ様々な俳優や監督が登場するのなら、いっそのこと伝記映画のメイキング映画(The Making of Steve Jobs Biopic)でも作った方がおもしろいかもしれない・・・

今回のハッカー攻撃では未公開映画、経営実態データ、契約交渉の内容、配給元の選択などのリークだけでなく、「人気度ランキング表」(Confidential “popularity polls” detailing approval ratings and awareness ratings for hundreds of A-list celebrities in different markets around the world)なるものまで流出している。配役決定時に使われる部外秘のランキング表だ。門外不出の極秘資料まで出てしまったワケ。

これだけ様々な内部情報が流出すると、映画会社としてこれまでどおりの路線を継続できるのかどうかすら怪しくなる。

IT 会社を背景に持つソニー・ピクチャーズですらこうなら、他の映画会社にとってもハッカー攻撃は脅威に違いない。ハリウッドにとっては由々しき事態だろう・・・

広告

Read Full Post »

sony_hack-100532451-orig

[ハッキングを受けたソニー・ピクチャーズ:CSO Online

ハッキングを受けたソニー・ピクチャーズが大変なことになっている。

Even more Sony Pictures data is leaked: scripts, box office projections, and Brad Pitt’s phone number | Fusion

     *     *     *

ハッキングを受けたソニー・ピクチャーズが大変なことに

ソニー・ピクチャーズのハッキングはますます大変なことになっている。

The Sony Pictures hack just keeps on getting worse.

ハッキングの背後に何者がいるにせよ、ソニー・ピクチャーズに対する単なる嫌がらせに止まらず、その屋台骨を揺るがす事態に発展しそうな気配だ。スタジオの経営実態が明るみに出てしまった以上、俳優との契約交渉から配給元の選択に至るまで、すべてが難しくなりそうだ。

Whoever is behind the hack, their goal seems to have shifted from embarrassing Sony Pictures to flat-out ruining it. With so much of the studio’s operations now out in the open, everything from actor contract negotiation to vendor selection just became a lot more difficult.

     *     *     *

ジョブズの伝記映画に関する部分も。

ディカプリオでなければ25%の減益

例えば、リークしたスティーブ・ジョブズの伝記映画の営業収入予想によれば、Leonardo DiCaprio がジョブズ役を降りて Christian Bale に変わったことで25%の減益になると見込まれている。(Bale もその後降りた。)

For example, one spreadsheet showed that revenue projections for the upcoming Steve Jobs biopic fell by 25 percent once Leonardo DiCaprio pulled out of the project, and Christian Bale was cast in his place. (Bale has since quit, too.)

     *     *     *

ソニーがこの映画を手放したのはそういうワケだったのか・・・

Read Full Post »

Update:ワナが仕掛けられたことを知らなかった管理人》

The Apple logo hangs in a glass enclosure above the 5th Ave Apple Store in New York

[ハッカー攻撃を受けたアップル:photo

このところ様々なハッカー攻撃が続いているが、Facebook や Twitter に続いて、ついにアップルもその攻撃に晒された

攻撃を受けたアップルのコメントを The Loop が載せている。

The Loop: “Apple comments on hacker attack” by Jim Dalrymple: 19 February 2013

     *     *     *

ハッカー攻撃を認めたアップル

火曜日にアップルは、先週 Facebook を攻撃したのと同じハッカーに攻撃されたことを認めた。アップルはユーザーのために Java マルウェア除去ツールのアップデートを含む必要な措置を取っているという。

Apple on Tuesday admitted to being the victim of a hacker attack by the same people that went after Facebook last week. Apple said it is taking steps to help its customers, including releasing an updated Java malware removal tool.

     *     *     *

Java プラグインの脆弱性

「アップルは、ブラウザの Java プラグインが持つ脆弱性を利用して仕掛けられたマルウェアに感染した Mac が限られた数だがあることを特定した」とアップルは The Loop に宛てた声明で述べている。「このマルウェアはアップルや他の企業に対する攻撃で使われ、ソフトウェア開発者向けのあるサイトを通じて広がった。汚染されたアップル内部の少数のコンピュータは特定され、ネットワークから切り離された。データが漏れたといういかなる証拠も見つかっていない。このマルウェアの発信源を見つけるべく、アップルは捜査当局に全面的に協力している。」

“Apple has identified malware which infected a limited number of Mac systems through a vulnerability in the Java plug-in for browsers,” Apple said in a statement the company provided to The Loop. “The malware was employed in an attack against Apple and other companies, and was spread through a website for software developers. We identified a small number of systems within Apple that were infected and isolated them from our network. There is no evidence that any data left Apple. We are working closely with law enforcement to find the source of the malware.

     *     *     *

Java のアップデート

「OS X Lion 以降、出荷される Mac に Java はインストールされていない。さらに、Java が 35 日間使用されなかった場合は自動的に無効にする追加的安全措置がとられている。すでに Java をインストールしている Mac ユーザーを保護するために、Java のアップデート版を今日リリースした。このツールは Mac をチェックして、マルウェアが見つかった場合はそれを除去する」とアップルは述べている。

“Since OS X Lion, Macs have shipped without Java installed, and as an added security measure OS X automatically disables Java if it has been unused for 35 days. To protect Mac users that have installed Java, today we are releasing an updated that will check Mac systems and remove this malware if found,” the company said.

     *     *     *

このハッカー攻撃に関連して、Mac 開発者でもある Marco Arment が次のように警告している。

Marco.org: “Facebook, Apple employee Java exploits were reportedly from visiting iPhoneDevSDK” by Marco Arment: 19 February 2013

     *     *     *

ハッカー攻撃に使われた iPhoneDevSDK

iPhoneDevSDK が Java 攻撃の突破口に使われたことは明らかだ。

Apparently, iPhoneDevSDK was serving the Java exploit, and still might be.

iOS 開発者はこの事実を知っておくことた大切だ。iOS 開発に関する疑問をググると、たいていの場合2つの大きなサイトに行きつく。それが Stack Overflow(ほとんどの場合こちらの方がいい結果が出る)と iPhoneDevSDK だ。

This is very important for iOS developers to know. Almost any Google search for an iOS-development question shows results from two big sources: Stack Overflow (almost always the better results) and iPhoneDevSDK.

     *     *     *

Java の無効化

もしアナタがブラウザの Java 設定をまだ無効にしていないなら、今回がそのいい機会だ。グーグル検索の結果 iPhoneDevSDK に行き着いても、安全性を考えて当分の間は避けることにしようと思う。

If you haven’t disabled Java in your browser yet, this is a great time to do that. And just to be safe, I think I’m going to avoid iPhoneDevSDK results in Google for a while.

     *     *     *

プロがプロを狙った攻撃なのだろうか・・・

さっそく Safari の Java を無効にした。

★ →[原文を見る:The Loop
★ →[原文を見る:Marco.org

     ❖     ❖     ❖
     ❖     ❖     ❖

《Update》ワナが仕掛けられたことを知らなかった管理人(2月21日)

ハッカー攻撃に一役を買った開発者向けサイト iPhoneDevSDK の管理人が知らなかったという話が興味深い。

Ars Technica: “Dev site behind Apple, Facebook hacks didn’t know it was booby-trapped” by Jacqui Cheng: 21 February 2013

     *     *     *

iPhoneDevSDK の言い分

iPhoneDevSDK のサイトが Facebook や Apple、Twitter へのハッカー攻撃に一役買ったことは明らかに思えるが、同サイトの管理人は、今週報道されるまで、同サイトが訪問したビジターを攻撃するのに使われたことは知らなかったという。同サイトの管理人は水曜日の新しい投稿[リンク省略。セキュリティが心配なひとはクリックしないでください。]で、ハッキングされたことを知らず、侵入されたどの会社からもコンタクトはなかったといっている。現在では同サイトは、何が起きたかという情報を共有するため Facebook のセキュリティチームと共同で作業している。

iPhoneDevSDK—the site apparently responsible for the hacks at Facebook, Apple, and Twitter—says it was not aware it was being used to attack visitors until it read press reports this week. In a news post (do not click if you’re wary of security breaches) on Wednesday, site admins said they had no knowledge of the breach and were not contacted by any of the affected companies. Though, iPhoneDevSDK is now working with Facebook’s security team in order to share information about what happened.

     *     *     *

記事が出るまで知らなかった

「Facebook についての AllThingsD の記事で、初めてわれわれは注意を喚起された。この記事が出るまではハッキングされたことを知らなかったし、Facebook だけでなく如何なる会社からも、また如何なる捜査当局からも、ハッキングの可能性についてコンタクトはなかった」と iPhoneDevSDK の管理人 iseff は書いている。

“We were alerted through the press, via an AllThingsD article, which cited Facebook. Prior to this article, we had no knowledge of this breach and hadn’t been contacted by Facebook, any other company, or any law enforcement about the potential breach,” wrote iPhoneDevSDK admin iseff.

     *     *     *

管理人のアカウントから侵入

「われわれに分かったことは、たった一人の管理人のアカウントがハッキングされたということだけだ。ハッカーはこのアカウントを使ってわれわれのサイトのテーマを改ざんし、JavaScript を注入した。この JavaScript が、特定のユーザーのコンピュータをハッキングするための、これまで知られていない高度な侵入突破口として使われたようだ」と同管理人は続けている。「侵入された正確な日時および詳細については未だ解読中だ。しかしハッカー攻撃は 2013 年1月30日で終わったように思える。」

“What we’ve learned is that it appears a single administrator account was compromised. The hackers used this account to modify our theme and inject JavaScript into our site. That JavaScript appears to have used a sophisticated, previously unknown exploit to hack into certain user’s computers,” he went on. “We’re still trying to determine the exploit’s exact timeline and details, but it appears as though it was ended (by the hacker) on January 30, 2013.”

     *     *     *

水飲み場型攻撃

最近のハッカー攻撃に詳しいある人物は Ars Technica に対しつぎのように語っている。Apple、Facebook、Twitter の3つの会社への攻撃は、いずれも iPhoneDevSDK の同じページを使って仕掛けられており、かかるテクニックは「水飲み場型攻撃」(“watering hole” attacks)という名で知られている。のどの乾いた獲物がやってくる池のほとりで待ち構えるプレデターのように、ハッカーたちは侵入したい会社の従業員がよく訪れるサイトにワナを仕掛けるのだ。

A person with knowledge of recent attacks that hit Apple, Facebook, and Twitter told Ars all three companies were targeted using the same iPhoneDevSDK page. Such techniques are often referred to as “watering hole” attacks. Just as predators camp out at ponds in wait of thirsty prey, hackers often infect sites frequented by employees of the companies they want to penetrate.

     *     *     *

Java プラグインの脆弱性

アップルおよび Facebook の両社に対するハッキングは、オラクル社 Java のウェブブラウザプラグインの未公開の脆弱性によるものだ。近年 Java を利用しているコンピュータで顕著になってきた問題だ。このためアップルは 2012 年末に、すべての Mac 対応ウェブブラウザから Java のプラグインを排除した。その後アップルは、今年になって二度も、重大なハッキングからユーザーを守るため OS X の Java ウェブブラウザプラグインをブラックリスト化している。しかし多くのユーザー — とくに開発者 — は、今でも Java プラグインを使用しており、それがハッカー攻撃への潜在的リスクを増加させている。

The security breaches at both companies were due to an undocumented vulnerability in the browser plugin for Oracle’s Java—an increasingly common problem for those running Java on their machines. This is part of why Apple removed the Java plugin from all Mac-compatible Web browsers in late 2012, then blacklisted Java browser plugins on OS X twice already this year in order to prevent critical exploits. But many users—particularly developers—still have uses for the Java plugin, potentially putting them at increased risk for attack.

     *     *     *

HTML に仕掛けられたワナ

「このワナは第三者のサイトの HTML に仕掛けられ、Java を有効にしたまま同サイトを訪れるエンジニアは、自分のマシンがいかに安全措置を講じていても誰でも汚染されることになる」と Facebook のセキュリティチーフ Joe Sullivan は先週 Ars Technica に対して語った。

“The attack was injected into the [third-party] site’s HTML, so any engineer who visited the site and had Java enabled in their browser would have been affected regardless of how patched their machine was,” Facebook Chief Security Officer Joe Sullivan told Ars last week.

     *     *     *

40社も被害にあっている

アップル、Facebook、Twitter は、東ヨーロッパに所在するハッカーの攻撃目標となった40社のうちのたった3社に過ぎない、と Bloomberg News はいう。

Bloomberg News is reporting that Apple, Facebook, and Twitter are just three of 40 companies targeted by attackers located in Eastern Europe.

     *     *     *

ソフト開発者といえば優れた技能の持ち主だ。

そんな開発者がよく訪れるサイトにワナが仕掛けられ、サイトの管理人すら知らなかったとはいかにもショッキングな話だ。

テクノロジーの最先端にいる開発者がマルウェアの伝播に一役買ったという皮肉。

このところメディアに対するハッカー攻撃が大きな関心を呼んでいる。上海の「61398 部隊」の存在まであぶり出されている。

オバマ大統領も一般教書演説でサイバー攻撃の脅威を取り上げた。

もしも、開発者御用達のサイトだけでなく、セキュリティ専門サイトにまでワナが仕掛けられたらどうなる?

どうやらハッカーとの闘いはすさまじいレベルにまで達しているようだ。

猫の首輪につけた USB メモリーとは遥かに次元が異なる。

何も分からない筆者のようなユーザーは、ひたすら敬して遠ざけるしかないのか・・・

★ →[原文を見る:Original Text

Read Full Post »


[ハッカーたちが・・・:image

事の重大性からいずれ詳しいことが書かれるだろうがとりあえず・・・

Gizmodo から Wired に移った Mat Honan悪夢のような体験をしている。

MacRumors: “Apple Support Allowed Hacker Access to Reporter’s iCloud Account” by Arnold Kim: 05 August 2012

     *     *     *

Mat Honan の iCloud アカウント

Wired のライター Mat Honan は、金曜日に彼の iCloud アカウントがハッキングされた話を載せている。その結果、彼の iPhone も iPad も MacBook Air もリモートで消去[remote wipe:リモートワイプ]されてしまった。

On Friday, Wired writer Mat Honan recounted the tale of how his iCloud account was hacked which resulted in his iPhone, iPad and MacBook Air getting remote wiped.

     *     *     *

iCloud から Gmail、そして Twitter へ

iCloud アカウントがその侵入ポイントと見られ、それが Gmail へ、そして以前の雇用主であるギズモードの Twitter アカウントへのアクセスを許したようだ。

The point of entry appeared to be his iCloud account which was then used to gain access to Gmail and then his and former-employer Gizmodo’s Twitter accounts.

     *     *     *

iCloud アカウントに侵入

午後4時50分、誰かが私の iCloud アカウントに侵入した。そしてパスワードをリセットし、その確認メッセージをゴミ箱に棄てた。私の使っているパスワードは7桁のアルファニューメリックで、他には使っていない。

At 4:50 PM, someone got into my iCloud account, reset the password and sent the confirmation message about the reset to the trash. My password was a 7 digit alphanumeric that I didn’t use elsewhere.

     *     *     *

Google Account のパスワードを変更

私の Gmail アカウントのバックアップメールアドレスは、.mac のメールアドレスと同じものだ。4時52分、彼らは Gmail パスワードの復旧メールを .mac アカウントに送信した。その2分後、私の Google Account のパスワードが変更された旨のメールが私宛に届いた。

The backup email address on my Gmail account is that same .mac email address. At 4:52 PM, they sent a Gmail password recovery email to the .mac account. Two minutes later, an email arrived notifying me that my Google Account password had changed.

     *     *     *

つぎつぎにリモートワイプ

5時0分、彼ら[ハッカーたち]は私の iPhone をリモートワイプした。

At 5:00 PM, they remote wiped my iPhone

5時01分、彼らは私の iPad をリモートワイプした。

At 5:01 PM, they remote wiped my iPad

5時05分、彼らは私の MacBook Air をリモートワイプした。

At 5:05, they remote wiped my MacBook Air.

     *     *     *

Twitter も乗っ取られた

その数分後、彼らは私の Twitter を乗っ取った。ずっと以前に、私は自分の Twitter をギズモードのそれにリンクしていたのだ。彼らはギズモードの Twitter にもアクセスできるようになった。

A few minutes after that, they took over my Twitter. Because, a long time ago, I had linked my Twitter to Gizmodo’s they were then able to gain entry to that as well.

     *     *     *

ブルートフォース攻撃か

ハッカーたちがどうやって彼の iCloud アカウントにアクセスできたのか、Honan は必ずしも全部が分かったワケではなかった。彼の推測では、ハッカーたちがブルートフォース攻撃[brute force attack:総当たり攻撃]でパスワードを探り出したのではないかというものだった。他にも、彼のパスワードがキーログ[key logger:キーロガー]された、ないしは安全性に欠けるサービスで用いたせいではないかと推測するものもいた。

Honan wasn’t entirely sure how the hackers had gotten access to his iCloud account. His guess was that they had somehow brute-force guessed the password, while others speculated his password had been keylogged or used in another insecure service.

     *     *     *

ソーシャルハッキング

後に分かったことだが、ハッカーたちはアップルのサポートに電話をかけ、ユーザー自身であると信じ込ませることができたのだった。Honan はブログの追記で次のように述べている。

As it turns out, the hacker was able to call Apple support and convince them they were the user. From an update to the original blog post:

どうやったのか今ではハッキリしている。ハッカーたちからも、アップルからも確認が得られた。パスワードをハッキングしたのではなかった。ハッカーたちはアップルの技術サポートから侵入し、ソーシャルエンジニアリング[social engineering:ソーシャルハッキング]をうまくやってセキュリティ認証の質問(security questions)をはぐらかしたのだ。

I know how it was done now. Confirmed with both the hacker and Apple. It wasn’t password related. They got in via Apple tech support and some clever social engineering that let them bypass security questions.

     *     *     *

Find My iPhone サービスを使って

ハッカーたちは自分が Mat Honan であると信じ込ませた後、アップルサポートに Honan の iCloud のパスワードを変更させ、そして完全なアクセス権を得たのだ。それから後は、アップルの Find My iPhone サービス(紛失した電話の安全機能としてリモートワイプが可能)を使って、Honan のデバイスをリモートワイプすることが出来た。

After convincing Apple support that they were Mat Honan, the hacker had Apple Support change Honan’s iCloud password which gave them full access. From there, they were able to perform the remote wipes on Honan’s devices using Apple’s Find My iPhone service which offers remote wipe as a security feature for lost devices.

     *     *     *

誰の身にも起こりうる

Honan のような有名人は一般の iCloud ユーザーより標的になりやすいかもしれないが、個人情報を Facebook などのオンラインサービスで同じような形で公開して、誰でもアクセスできるようにしているひとは多い。Forbes の Adrian Kingsley-Hughes は次のように指摘している。「アップルはセキュリティを強化して、今回何がいけなかったのか明らかにすべきだ」と。

As a somewhat public figure, Honan may have been an easier target than the average iCloud user, but many users may also have personal information publicly available on online services such as Facebook that could be used in a similar fashion. Forbes’ Adrian Kingsley-Hughes suggests that Apple “needs to tighten up security and come clean about what went wrong here.”

     *     *     *

最近 Honan の記事を見かけないと思ったら、Gizmodo から Wired に転身していたものらしい。

同じようなことが自分の身に起きると考えただけでゾッとする・・・

★ →[原文を見る:Original Text

Read Full Post »

Update:ほんとにアップルで働くことになっちゃった》


[19歳の超ハッカー Nicholas Allegra | Nathaniel Welch

少し前になるが、アップルを翻弄したハッカーの話がオモシロい。

Forbes: “Meet Comex, The 19-Year-Old iPhone Uber-Hacker Who Keeps Outsmarting Apple” by Andy Greenberg: 01 August 2011

     *     *     *

iPhone ソースコードをハック

Nicholas Allegra は両親と一緒にニューヨークの Chappaqua で住んでいる。背が高く、ぼしゃぼしゃの髪、眼鏡をかけた19歳の若者で、昨年冬から研修生の仕事を探して Brown 大学を休学中だ。その間、ホビーとしてコンピュータセキュリティの世界に定期的に衝撃波を送ってきた。いかなる市販コンピュータより厳重なソフトウェアで守られた iPhone ソースコードの欠陥をみつけ、ハッカーに対する防御策を完全に取り除いたのだ。

Nicholas Allegra lives with his parents in Chappaqua, New York. The tall, shaggy-haired and bespectacled 19-year old has been on leave from Brown University since last winter, looking for an internship. And in the meantime, he’s been spending his days on a hobby that periodically sends shockwaves through the computer security world: seeking out cracks in the source code of Apple’s iPhone, a device with more software restrictions than practically any computer on the market, and exploiting them to utterly obliterate its defenses against hackers.

     *     *     *

英語の文章を読むように

「英語の新聞を編集するような感じなんだ」と寝起きのしわがれ声で Allegra はぼそっという。実際は夜の9時半なのに。「ずっと目を通していって、間違いを見つけるんだ。どうしてうまく出来るのか自分でも分からない。」

“It feels like editing an English paper,” Allegra says simply, his voice croaking as if he just woke up, though we’re speaking at 9:30 pm. “You just go through and look for errors. I don’t know why I seem to be so effective at it.”

     *     *     *

JailBreakMe のハッカー

Allegra は世間的には Comex というハッカー名で知られているが、目立たないようにしている。(Forbes が Twitter、Facebook、Brown 大の名簿などを調べて遂に名前を探し出したので、話してくれることに同意した。) まるで毎夏の年中行事のように、このペンネームのハッカーは「JailBreakMe」というソフトを2度も発表した。このソフトによって何百万ものユーザーが iPhone や iPad に施された超厳重なセキュリティをあっという間に外すことが可能になる。iPhone と iPad はアップルの収入1億ドルの半分以上を稼ぎだしているのだ。

To the public, Allegra has been known only by the hacker handle Comex, and keeps a low profile. (He agreed to speak after Forbes‘ poking around Twitter, Facebook and the Brown Directory revealed his name.) But in what’s becoming almost an annual summer tradition, the pseudonymous hacker has twice released a piece of code called JailBreakMe that allows millions of users to strip away in seconds the ultra-strict security measures Apple has placed on its iPhones and iPads, devices that account for more than half the company’s $100 billion in revenues.

     *     *     *

9日後にはパッチ

アップルはコメントに応じなかったが、Allegra のやったことを快く思っているわけではない。彼が7月に JailbreakMe 3 を出したとき、アップルは9日後には直ちにセキュリティホールをパッチした。にもかかわらず 140 万人がその間に、それ以降は 60 万人がこのツールを使ってジェイルブレークを行なった。Allegra はアップルにとって目の上のたんこぶだ。その後 JailbreakMe.com はアップルのインストア Wi-Fi ネットワークからブロックされている。

Apple didn’t respond to requests for comment, but it’s not thrilled about Allegra’s work. When he released JailbreakMe 3 in July, the company rushed to patch the security opening in just nine days. Nonetheless, 1.4 million people used the tool to jailbreak their gadgets in that time, and more than 600,000 more since then. Allegra has become such a thorn in Apple’s side that its stores now block JailbreakMe.com on in-store wifi networks.

     *     *     *

名前を聞いたこともない若者

「彼がやったことは誰にも出来ないだろうと長い間思っていた」と、2007 年に初めて iPhone ハッキングをした Charlie Miller[米国家安全保障局(NSA)の元ネットワークハッキングアナリスト]はいう。「しかし今や名前を聞いたこともない若者がやるようになった。ホントに魂消てしまう。」

“I didn’t think anyone would be able to do what he’s done for years,” says Charlie Miller, a former network exploitation analyst for the National Security Agency who first hacked the iPhone in 2007. “Now it’s been done by some kid we had never even heard of. He’s totally blown me away.”

     *     *     *

暗闇の中で

昨年 Allegra が JailbreakMe 2 を出した後、アップルはワンレベル上の対策を講じた。コードをランダムにメモリーにばらまいたのだ。ハックしようにもコードを見つけることすらできない。ハッカーにとっては、まるで見たこともない雑誌をランダムに与えられ、その中から文章を組み立てるようなものだ。しかも暗闇の中で・・・

After Allegra released JailbreakMe 2 last year, Apple upped its game another notch, randomizing the location of code in memory so that hackers can’t even locate commands to hijack them. That’s like requiring an attacker to assemble a note out of a random magazine he’s never read before, in the dark.

     *     *     *

Allegra の解読方法

それでも Allegra はそのカギを回避する方法を見つけてしまった。Allegra は、アップルが iOS で PDF フォントを扱うやり方から、隠されたコマンドを見つけ、再度意味を持たせることが出来るバグを JailbreakMe 3 で利用したのだ。この致命的欠陥によって、マシンを完全にコントロールする一連のハッキングが可能になっただけでなく、再起動のたびにコードをジェイルブレークする必要もなくなった。すべては OS をクラッシュさせることなく出来るのだ。「磨き上げるのにずいぶん時間がかかった」と Allegra は誇らしげにいう。

Yet Allegra has managed to find a path around those locks. In JailbreakMe 3, Allegra used a bug in how Apple’s mobile operating system iOS handles PDFs fonts that allows him to both locate and repurpose hidden commands. That critical flaw allowed a series of exploits that not only gains total control of the machine but leaves behind code that jailbreaks it again every time the device reboots –all without ever even crashing the operating system. “I spent a lot of time on the polish,” Allegra says with a hint of pride.

     *     *     *

挑戦こそ最高

Allegra は利益を求めているわけではない。彼のサイトは無料だ。ドネーションは拒まないけれど。また、アップルのデバイスにインストール出来るものをアップルが制限することに批判的なわけでもない。彼は自らをアップル「fanboy」と呼び、よりオープンなプラットフォームの Android を「敵」と呼ぶ。「何よりも挑戦することが最高なのだと思う」と彼はいう。

Allegra isn’t after profit: his site is free, though it does accept donations. Nor does he criticize Apple for wanting to control what users can install on their devices. He calls himself an Apple “fanboy,” and describes Android’s more open platform as “the enemy.” “I guess it’s just about the challenge, more than anything else,” he says.

     *     *     *

9歳のときに

若きハッカーがコードを書くことを覚えたのは9歳の時だった。プログラミング言語 Visual Basic で、ウェブフォーラムから少しずつ拾い集めてきて覚えた。「高校でコンピュータサイエンスのクラスをとった頃には、もう知らないことはなかった。」 任天堂 Wii のビデオゲーム Super Smash Brothers のスクリーンショットが自分のコンピュータに保存できなかったので、彼は何時間もかけてファイルを解読し、後に Wii のハッキングもやって、そのはっきりしない OS について感触をつかんだ。

The young hacker taught himself to code in the programming language Visual Basic at the age of nine, gleaning tricks from Web forums. “By the time I took a computer science class in high school, I already knew everything,” he says. When he found that he couldn’t save a screenshot from the Nintendo Wii video game Super Smash Brothers to his computer, he spent hours deciphering the file, and later worked on other Wii hacks, getting a feel for its obscure operating system.

     *     *     *

どこからともなく

「他のセキュリティ専門家とはバックグラウンドが違う。だから彼らにとって自分はどこからともなく現れたように思えるらしい」と彼はいう。

“I didn’t come out of the same background as the rest of the security community,” he says. “So to them I seem to have come out of nowhere.”

     *     *     *

最後に・・・

最後にアップルへひとこと。アップルのセキュリティチームにもうひとり研修生を雇ってはいかが?

A postscript to Apple: Perhaps your security team could use another intern.

     *     *     *

世の中にはすごいひとがいるもんだ!

しろうとの分際を顧みず、スタンフォード大の iPhone プログラミング講座を聴講しようとしたことがある

敷居の高さを痛感させられ、デベロッパに対する畏敬の念を新たにする結果となったが、アップル社員の講師がまるで文章を読むようにコードを解説するのが不思議で、かつ新鮮だった。

ハッカーやデベロッパの中には文章を読むようにコードを読めるひとがいるって本当なんだなあ!

★ →[原文を見る:Original Text

     *     *     *

追記:JailBreakMe 関連記事(8月15日)

なお、JailBreakMe 3.0 については以下も参照のこと。

JailbreakMe 3.0 | JailbreakMe.com
JailBreakMe 3.0 browser-based jailbreak arrives for iOS 4.3.3 (iPad 2 included!) | 9to5Mac[ビデオあり]
JailbreakMe | Jailbreakers.Info
Dev-Team Blog – jailbreakme times 3 | iPoday
Jailbreakme.com 3がセキュリティに与える影響 | ITpro

     *     *     *

《Update》ほんとにアップルで働くことになっちゃった(8月26日)


comex の tweet

なんとなんと、現実のことになってしまいました。

comex のつぶやき・・・

というわけで、再来週からアップルで研修生として働くことになっちゃった。
@comex

So, the week after next I will be starting an internship with Apple.
@comex

     *     *     *

アップルがジェイルブレークコミュニティの人間を雇うのはこれが初めてじゃない。今年始め MobileNotifier を開発した Peter Hajas がアップルの夏期研修生に選ばれた。しかし Hajas と違って Allegra は、iPhone ジェイルブレークを可能にしたツールのいくつかの開発責任者となる。

This isn’t the first time Apple has hired from the jailbreak community. Earlier this year MobileNotifier developer Peter Hajas was picked up as an Apple summer intern. Unlike Hajas, however, Allegra has actually been responsible for some of the tools that have made jailbreaking possible on the iPhone.

Comex, the Hacker Behind JailbreakMe.com, Hired as Apple Intern | Mac Rumors

Read Full Post »


[John Lipsky 専務理事代行:Gawker

専務理事のスキャンダルに揺れる IMF[国際通貨基金]が巧妙かつ深刻なサイバー攻撃を受けていると NY タイムズが報じている。

NYTimes.com: “I.M.F. Reports Cyberattack Led to ‘Very Major Breach’” by David E. Sanger and John Markoff: 11 June 2011

     *     *     *

大規模かつ巧妙なサイバー攻撃

先月ニューヨークで逮捕された専務理事の後任人事で揺れる IMF[International Monetary Fund:国際通貨基金]がこのところ深刻な攻撃を受けている。コンピュータ専門家が大規模かつ巧妙なサイバー攻撃と呼ぶものだが、その規模すらまだ分かっていない。

WASHINGTON — The International Monetary Fund, still struggling to find a new leader after the arrest of its managing director last month in New York, was hit recently by what computer experts describe as a large and sophisticated cyberattack whose dimensions are still unknown.

     *     *     *

機密情報の宝庫

IMF は世界中の金融危機を管理しており、各国の金融に関する高度な機密情報の宝庫となっている。今週水曜日、IMF はスタッフおよび理事会に対し攻撃を受けたことを明らかにしたが、対外的な発表は行なわなかった。

The fund, which manages financial crises around the world and is the repository of highly confidential information about the fiscal condition of many nations, told its staff and its board of directors about the attack on Wednesday. But it did not make a public announcement.

     *     *     *

専務理事逮捕の前から

攻撃の事実を知る複数の上級役員は攻撃が巧妙かつ深刻なものだったと語った。「これは重大な侵害だ」と役員のひとりはいう。この攻撃は数か月前から行なわれており、Dominique Strauss-Kahn 専務理事がニューヨークのホテルで女性従業員に対する性的暴行の容疑でされる以前からのものだという。

Several senior officials with knowledge of the attack said it was both sophisticated and serious. “This was a very major breach,” said one official, who said that it had occurred over the last several months, even before Dominique Strauss-Kahn, the French politician who ran the fund, was arrested on charges of sexually assaulting a chamber maid in a New York hotel.

     *     *     *

政治的ダイナマイト

IMF はポルトガル、ギリシャ、アイルランドなどに対する財政危機支援プログラムの中心であり、危機に瀕している他の国々についてもセンシティブなデータを保有している。そのデータベースはマーケットに大きく影響する可能性のある情報を含んでいるわけだ。また財政危機支援の条件など、多くの場合水面下で行なわれる各国リーダーとの交渉内容も含まれる。これらの合意事項は「多くの国にとって政治的ダイナマイトだ」と IMF 役員のひとりはいう。いかなる情報がハッカーにアクセスされたのか明らかでない。

Because the fund has been at the center of economic bailout programs for Portugal, Greece and Ireland — and possesses sensitive data on other countries that may be on the brink of crisis — its database contains potentially market-moving information. It also includes communications with national leaders as they negotiate, often behind the scenes, on the terms of international bailouts. Those agreements are, in the words of one fund official, “political dynamite in many countries.” It was unclear what information the attackers were able to access.

     *     *     *

世界銀行がリンクを遮断

攻撃の深刻さを懸念して、ワシントンで IMF と道一つ隔てたところに本部を有する世界銀行(経済開発に関する国際機関)は、両者の情報を共有するコンピュータリンクを遮断したほどだ。

The concern about the attack was so significant that the World Bank, an international agency focused on economic development, whose headquarters is across the street from the I.M.F. in downtown Washington, cut the computer link that allows the two institutions to share information.

     *     *     *

サイバー攻撃を公表するグーグル

多くの場合民間会社も公的機関も、コンピュータに対する攻撃がどのようなものであったか、攻撃が成功したかどうかについては語りたがらない。攻撃のノウハウを蓄積しようとする個人や国家に情報を与える恐れがあるからだ。しかしグーグルは攻撃について積極的に公表しており、最近の一例では中国が元凶だと述べている。中国政府は直ちにこれに反論した。

Companies and public institutions are often hesitant to describe publicly the nature or success of attacks on their computer systems, partly for fear of providing information that would be useful to the individuals or countries mounting the efforts. Even so, Google has recently been aggressive in announcing attacks and, in one recent case, of declaring that its origin was China, an accusation the Chinese government quickly denied.

     *     *     *

スピア型攻撃

スピア型攻撃[spear phishing:狙いを定めて直接働きかけるフィッシング(詐欺)、フィッシング詐欺の手口の中でも特定のターゲットに対して重要なデータや個人情報を奪おうとする手法]と呼ばれるテクニックを使って攻撃が行なわれた可能性がある。特定のターゲットに悪意のウェブリンクをクリックさせたり、オープンアクセスを許すことになるソフトを使わせようとするものだ。またそれほど具体的な攻撃ではなく、単に侵入者がアクセス可能なものをテストするだけだった可能性もある。

The attacks were likely to have been made possible by a technique known as “spear phishing,” in which an individual is fooled into clicking on a malicious Web link or running a program that allows open access to the recipient’s network. It is also possible that the attack was less specific, a case in which an intruder was testing the system merely to see what was available.

     *     *     *

軍需産業のハッキングとは無関係?

今回のシステムの侵入はこの3月に RSA Security 社に対して行なわれた巧妙なハッキングとは無関係だと考えると IMF は述べている。RSA のハッキングでは、政府や民間が最機密コンピュータシステムへのアクセスをコントロールするのに用いる複数の情報が改ざんされた。RSA はデータが盗まれたことを顧客に通知したが、RSA から盗まれた情報を用いて複数のハッカーが先月わが国最大の軍需産業である Lockheed Martin Corporation のコンピュータネットワークに侵入を試みた。

The fund said that it did not believe that the intrusion into its systems was related to a sophisticated digital break-in at RSA Security that took place in March, which compromised some information that companies and governments use to control access to their most sensitive computer systems. RSA notified its clients of the loss of its data, and last month hackers attempted to use the information stolen from RSA to gain access to computers and networks at the Lockheed Martin Corporation, the nation’s largest military contractor.

     *     *     *

このところサイバー攻撃やハッキングのニュースがネットを賑わせているが、世界的な金融機関もその例外ではなかったということだ。

大物記者 David Sanger と John Markoff の連名記事というところにも事の重大さが窺われる・・・

★ →[原文を見る:Original Text

Read Full Post »

EFIX のテスト中・・・

Efix

EFIX を覚えているだろうか。差し込んで使えば PC がマックなるという例のドングルだ。

どうやら EFIX が実際に出回り始めたらしい。

ハッカーサイトで何やら進行中だ。

InsanelyMac: “First look at EFIX” by qbattersby: 10 September 2008

     *     *     *

すてきな宅急便が今日届いた。なんと「EFIX V1」だ。とりあえずその写真をアップする。すぐテストにとりかかるつもりだ。結果が出たらみんなに報告する。

Well today I had a nicely packaged FedEx parcel arrive at my door. Low and behold the EFIX V1. Right now are just some shots of the device itself, I will have testing underway as soon as possible and report back to everyone.

     *     *     *

PC の場合、EFIX 一発で済むというわけにはいかないらしい。

はいっているマザーボード次第で、いろんな PC があるからだ。

目下 EFIX が使えるのは一定のマザーボードを搭載した PC に限られるようだ。(詳しくはこちら

したがって、qbattersby のテスト対象となる PC の数もかなり多いということになる。

なお、qbattersby の上記のスレッドには編集者の次のような注記が添えられている。

     *     *     *

[編集部]手持ちのマザーボード MSI G965M で正式にテストしてみたが、マシンは起動しなかった。Gigabyte や Asus のマザーボードもテストしてみるつもりだ。結果はできるだけ早くアップする。失敗したビデオを投稿しようと思ったが、カーソルがチカチカするだけで何も起きないのでやめた。[編集部]

[EDIT] I have officially tested the device with one of my motherboards “MSI G965M” and the device will not even boot, I still have a Gigabyte and Asus board to still test. I will post back as soon as possible. I would have provided a video of the failed test but it is kinda irrelevant since nothing happened, just flashing cursor. [EDIT]

     *     *     *

PC で Mac OS X を動かすのはそう簡単ではないということか・・・

原文を見る

     *     *     *

アップデート(9月19日)

Efix Dongle

同じ EFiX ドングルを使って、Gizmodo では PC のマック化に完全成功したらしい。

ビデオもついているので分かりやすい。

待ちかねた satomi 氏の日本語訳はこちら:

Gizmodo Japan: “EFiXドングルでWindowsMacに変える作戦大成功(動画)“: 19 September 2008[satomi 訳]
Gizmodo: “Review: EFiX Dongle Perfectly Transforms PC to Mac” by matt buchanan: 16 September 2008

Technorati Tags: , ,

Read Full Post »

« Newer Posts - Older Posts »