カテゴリー
セキュリティ

blacklight – ウェブサイトが訪問者の何を何のために追跡しているか分析するサービス

blacklight紫外線を当てることで普段は見えない隠れたものを見つけるブラックライトからつけられた名前だと思いますが – は、ウェブサイトがどんな追跡コードを埋め込んで、訪問者のどんな情報を追跡可能にしているのか、を検出してくれるというツールサービスです。

このサイトのドメインを入れて試してみました。このサイトには追跡目的のトラッキングコードが入ってない、と出ました。

追跡目的のトラッキングコードとは、一覧とその説明文から、トラッキング 広告トラッカーやサードパーティークッキー、広告ブロックを検出するコード、マウスやキーボードの動きを保存するセッションレコーダーやキーロガー、Facebookに訪問を知らせるFacebook pixel、Googleアナリティックスのターゲット広告用追跡コード、などです。

これらのすべてが悪意を持って悪用される追跡コードではないかもしれませんが、サイトが何を見ているかを気にすることは大事ですし、気になった時に簡単に調べてくれるのはいいですね。

適当なドメインを入れてみた結果。広告収入で運営されているサイトであれば、いろいろ入れてみてもこれぐらいは普通のようです。

サービスはヘッドレスブラウザを使ってそのドメインへ訪問し、自らのデータベースにある既知のトラッキングコードがあるかを突き合わせているようです。検出したトラッキングコードから、そのコードがどの団体へ情報を送っている可能性があるか、なども表示してくれました。

カテゴリー
セキュリティ

Usbkill – USB端子の抜き差しでPCをシャットダウンさせるツール

hephaest0s/usbkill 、作者によれば「対フォレンジックkillスイッチ」。このツールは、USBソケットへのデバイスの抜き差しを検知したらシャットダウンを行う、という Python 製のスクリプトです。

利用用途の一番目に書いてあるのが「警察や賊が部屋に踏み込んで来た際に」というのもすごいですが。

本当かわかりませんが「警察はPCを押収した際によくカーソルを動かし続けるだけの疑似マウスデバイスを挿す」そうで、操作をし続けることでPCがスクリーンセーバーに切り替わらない=パスワードを必要なロック状態にしない、ようにするそうです。

しかし、この Usbkill を動かしていれば、そういった調査ツールを挿された時点で自動的にPCはシャットダウンされてしまう、というわけ。ディスクの暗号化を行っていれば、シャットダウンされたPCから強制的にデータを抜き出すこともできなくなるので、PCの内部データが無理やり引き出される心配がない、と。

さらなる生活の知恵として、手首に紐を巻いて、紐とつないだデバイスをUSBソケットに挿す、というのも紹介されています。PCの前から強制的に引きはがされたり、PCだけ掴んで持ち去られようとした時に、紐によってUSBデバイスが抜けるため、このスクリプトが働いて自動的にシャットダウンする、というわけですね。

USBデバイスのIDをあらかじめ登録しておくことで、既知のデバイスについては抜き差ししても発動しないようにできます。

正義の警察に踏み込まれる犯罪者にせよ、独裁国家の警察に踏み込まれる自由主義者にせよ、こんなことに気を配ってPCやネットを使うような生活はしたくないものだと思います。

ツールはLinux/*BSD/MacOS に対応しています。PCの内容を絶対に他人から隠したいと言う人は導入してみてはどうでしょうか。

via Hacker News

カテゴリー
セキュリティ

マックハック – ドイツのマクドナルドアプリが無料注文機に

東ベルリンのマクドナルドで、記者の前でWiFiから無料のハンバーガー注文をしてみせた3人組のハッカーの話です。

現地のマクドナルドのスマートフォンアプリでは、購入後にアンケートがあり、アンケートに答えると無料のドリンククーポンが貰えるそうです。

ドイツのソフトウェア開発者デビッド・アルバートさんは、この無料ドリンククーポンの使用時の通信内容が毎回同じであることに気づき、まずはドリンク飲み放題という手段を手に入れました。

さらに彼らは、アプリケーションからマクドナルドのサーバへの通信経路にプロキシーサーバーを挟み、そこで通信の書き換えを行うことで、どのメニューの注文でも好きな値段に、ゼロにでも、書き換えることを確認したそうです。

アプリから0円(0ドル)で注文し、呼ばれて受け取りカウンターに行った彼らは、記者の前で店員に自分たちが無料で注文するトリックを使ったこと、正規の値段を支払うことを申し出たそうですが、店のマネージャーはいいから取っておきな、と取り合わなかったそう。

これまでも同じように自ら申告して、店側が注文をキャンセルしたこともあるし、咎められずに受け取ったハンバーガーをホームレスにあげたりもしたそう。

彼らは無銭飲食をしたいわけではなく、この抜け穴をマクドナルドに伝えることで3人のうち2人の職探しの助けにならないかと考えていたとのこと。

そのような動機で昨年11月にマクドナルドのカスタマーサービスに問題を伝えたものの、2週間経っても穴は塞がれず。その後記者がマクドナルドに問い合わせした際には、「システムは十分にセキュアに作られていて、よほどの手練れでもなければそんな穴はつけないだろう。とはいえ、改善はしています」と回答されたということ。

12月中旬には、この食べ放題ハックは使えなくなっているのが確認されたそうです。3人にも、マクドナルドからの感謝が何らかの形で示されたらしいです。

via Schneier on Security