【IT】グーグル(Google)独自のハッキングコンペ、「Chrome OS」を対象に3月開催[13/01/31]

このエントリーをはてなブックマークに追加
1やるっきゃ騎士φ ★
米Googleは、「Chrome OS」のセキュリティ破りの腕を競う独自のハッキングコンペ
「Pwnium 3」を3月7日に開催すると発表した。
これとは別に、米Hewlett−Packard(HP)傘下のTippingPointが主催する
ハッキングコンペ「Pwn2Own」にもスポンサーとして復帰している。

Pwnium 3は、カナダのバンクーバーで開かれるセキュリティカンファレンス
「CanSecWest」のイベントとして開催。
2012年の大会ではWebブラウザの「Chrome」を対象としていたが、Chromeが
Pwn2Ownで扱われることから、今年は対象をChrome OSに切り替えた。

賞金は2012年の100万ドルから一挙に増額し、
総額300万ドルあまり($3.14159 million USD)を用意した。
挑戦者は最新版のChrome OSを搭載したWi-Fiモデルの
「Samsung Series 5 550 Chromebook」を使い、未知の脆弱性を突いた
セキュリティ破りに挑む。成功すれば、レベルに応じて11万〜15万ドルが贈呈される。

一方、TippingPoint主催のPwn2Ownは、やはりCanSecWestのイベントとして
3月6日〜8日に開かれる。2012年の大会は、脆弱性情報開示の条件などをめぐって
折り合わず、スポンサーを降板したGoogleだが、今年は新しい規定に基づいて
部分スポンサーとして復帰、賞金の一部を負担する。

ソースは
http://www.itmedia.co.jp/news/articles/1301/31/news029.html
2名刺は切らしておりまして:2013/01/31(木) 11:17:17.29 ID:4sniHd5D
こういうところから得た技術はグーグル利用者のパソコンのセキュリティ設定をクラックして強制解除し、ユーザーPCをネットストーキングしたり監視することに有効活用されています。

【ネット】グーグル、サファリの個人情報保護設定を迂回し閲覧履歴を追跡していた問題で2250万ドルの制裁金支払いへ
http://anago.2ch.net/test/read.cgi/wildplus/1342052123/
http://jp.reuters.com/article/technologyNews/idJPTYE86905720120710

グーグルの広告が仕込まれているサイトを訪れる→グーグルの広告と同時に広告とは別の表示されない「グーグルにより仕込まれた悪意のあるフレーム」がサファリブラウザに読み込まれる→
「悪意のあるフレーム」にはサファリを誤動作させる為の文字列が仕込まれていて、それによりサファリが「ユーザー自身の入力」と誤認識させられ、一時的に追跡拒否機能を停止してしまう(※ユーザー自身の入力時には追跡拒否機能を停止してしまう仕様を悪用)→
「悪意のあるフレーム」内のスクリプトによりトラッキングクッキーがインストールされる

情報処理の高度化等に対処するための刑法等の一部を改正する法律案新旧対照条文
http://www.moj.go.jp/content/000073754.htm

第十九章の二 不正指令電磁的記録に関する罪
(不正指令電磁的記録作成等)
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3 前項の罪の未遂は、罰する。
3名刺は切らしておりまして:2013/01/31(木) 11:20:40.02 ID:4sniHd5D
勿論、自社開発の無線LAN傍受・盗聴ソフトなどにも活用されています。

日本を含む世界各国でGoogleストリートビューカーが街中の無線LANの通信内容を傍受して保存していたことが判明
http://gigazine.net/news/20100516_google_wifi_data_collection/
ところが実際にはあともう1種類集めていました。
・暗号化されていないペイロードデータ(WEPなどで暗号化されていない通信データ)
このペイロードデータとは要するにユーザーの通信情報のこと。例えば暗号化されていない無線LAN経由でメールを送るとすれば、そのメールの中身です。
同様にして、暗号化されていない無線LAN経由で閲覧したページやウェブサイトやブログの中身も含まれます。要するに暗号化されていない無線LAN経由で通信した情報全部のことです。

>要するに暗号化されていない無線LAN経由で通信した情報全部のことです。(←ここ重要)

Googleが無線LANの通信内容を傍受、手違いを認め謝罪
http://www.itmedia.co.jp/enterprise/articles/1005/17/news013.html
>同社は4月時点で、「ストリートビュー車両ではSSIDやMACアドレスなどのWi-Fiネットワーク情報を収集しているが、ネットワークを介して送受信されている情報(ペイロードデータ)は収集していない」と説明していた。(←この釈明は大嘘なので重要)
>同社は、2006年に実験的なプロジェクトのためにWi-Fiのペイロードデータを収集するコードを開発した。2007年にこのコードがストリートビューの車両で使うWi-Fiネットワーク情報収集ソフトウェアに手違いで入り込んでしまったのが原因だと説明している。

>Wi-Fiのペイロードデータを収集するコードを開発した。(無線LAN傍受用のソフトをわざわざ開発していた事を認めたのでここ超重要)
>Wi-Fiネットワーク情報収集ソフトウェアに手違いで入り込んでしまった(てへぺろ)

グーグル株式会社に対する「通信の秘密」の保護に係る措置(指導)
http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000056.html
>平成19年12月から日本国内において、ストリートビューカーによる道路周辺映像の撮影と同時に無線LANを経由した通信を受信し、その一部を記録していた事実が判明しました(←国による事実認定なのでここも重要)
>同社から、本件は誤って通信本文を受信、記録したものであり、閲覧・使用は行っていないこと、本件判明後は米国グーグル社において厳重な管理下に置き、アクセス制限をかけて保管している(バレたけど消すのは拒否)
4名刺は切らしておりまして:2013/01/31(木) 11:50:37.02 ID:4sniHd5D
こんなところでも

サービスのご利用時に Google が収集する情報
http://www.google.com/intl/ja/policies/privacy/

Google は、ご利用のサービスやそのご利用方法に関する情報を収集することがあります。
たとえば、Google の広告サービスを使用しているウェブサイトにアクセスされた場合や、
Google の広告やコンテンツを表示または操作された場合です。これには以下の情報が含まれます:

端末情報
Google は、端末固有の情報(たとえば、ハードウェア モデル、オペレーティング システムのバージョン、端末固有の ID、電話番号などのモバイル ネットワーク情報)を収集することがあります。
Google では、お客様の端末の ID や電話番号をお客様の Google アカウントと関連付けることがあります。

ログ情報
お客様が Google サービスをご利用になる際または Google が提供するコンテンツを表示される際に、サーバー ログ内の特定の情報が自動的に収集および保存されます。これには以下の情報が含まれることがあります:
o お客様による Google サービスの使用状況の詳細(検索キーワードなど)
o 電話のログ情報(お客様の電話番号、通話の相手方の電話番号、転送先の電話番号、通話の日時、通話時間、SMS ルーティング情報、通話の種類など)
o インターネット プロトコル アドレス
o 端末のイベント情報(クラッシュ、システム アクティビティ、ハードウェアの設定、ブラウザの種類、ブラウザの言語、お客様によるリクエストの日時、参照 URL など)
o お客様のブラウザまたはお客様の Google アカウントを特定できる Cookie

現在地情報
固有のアプリケーション番号
Cookie と匿名 ID

ローカル ストレージ (←※特にここ注目)
5名刺は切らしておりまして:2013/01/31(木) 13:32:40.78 ID:qm/t720W
知識があれば出てみたい
6名刺は切らしておりまして:2013/01/31(木) 17:25:14.90 ID:UTaM6igV
社内でセキュリティテストきっちりやったら300万ドルじゃ済まないから外注するって正直に言えよ。
7ファルコン:2013/01/31(木) 21:13:29.88 ID:oa0CQNsP
ファルコンOS売るよ^_^
8名刺は切らしておりまして:2013/02/01(金) 00:49:05.50 ID:W83ENzLZ
日Googleは何やってんの? 盛り上がらんのう
9名刺は切らしておりまして
IEはオワコンだな