アノニマス独占インタビュー第四弾!AnonOps Japan創始者TYSX1997氏

アノニマスAnonymous・・・

メンバーインタビューも今号で第四弾となりました。これも一重にご多忙のなか取材に応じて下さったアノニマスの方々のご協力のものと感謝いたしております。

では早速参りましょう。今回は『元Anonymous』とおっしゃる TYS X 1997氏にお話を伺いました。ここでTYS X 1997氏について少し補足を。TYS X 1997氏のTwitterアカウントは @Tysx1997です。のぞいてみると≪AnonOps Japanの創始者TYSX1997のアカウントです。 It is account of founder TYSX1997 of AnonOps Japan.≫ とあります。また貼り付けてあるURL(  http://anonopsjapan.blogspot.com/)はAnonOps Japan and Dark Surveillance Securityとあり、説明文に、

≪Hello Internet . We Are AnonOps Japan & Dark Surveillance Security. We Are Hacker or Cracker ???I Don’t Know. This Web Site is Offical AnonOps Japan & Dark Surveillance Security HP.≫

とあります。また、

≪2012年に活動を開始され現在に至るブラックウォーターのUGネットワ??ークから追放されたTYS X 1997が創始者とされる現在は(このサイトの管理人)白龍が管理している≫

創始者!?私DDmも何やら凄い方に接触してしまった様ですね・・・それでは本文に移りたいと思いますが、文章等内容は一切いじくっておりません。我々と一緒にアノニマスへの理解を深め(賛否両論はあると思いますが)ご自身で判断する材料にして頂ければと思います。尚、この記事はあくまでもTYS X 1997氏個人としての見解であり TYS X 1997氏が所属する組織の総意でないことを明記させて頂きます。 以下取材内容原文です。

##################################################################

まずはご挨拶をTYS X 1997 と言います。ちなみに国籍は2つあります学生です。

アノニマスになった?入った?経緯

恋人がいました。福島県在住.その恋人は精神病でかなり苦しんでいたんですよ助けるために何とかしたいと思いました。そこでたまたまアノニマスの記事を見つけたんですよ記事を読んで僕もなれるのではと思い加盟しました。(脱原発のためになったといえるでしょう)

海外のアノニマスと国内のアノニマスの違い

海外アノニマスは過激なユーザーが沢山いて抗議するためにはデモよりDDosをやってしまうような人たちです。日本のアノニマスは合法的なやり方で抗議をしています。一時期あるユーザーが過激でしたけどねwww

海外のアノニマスとの関係の有無

Twitterで以前絡んでいた海外アノニマスはバーレーン王国のアノニマスとイタリアのアノニマス後半からはスウェーデン王国のアノニマスと絡んでいた時がありました。現在は代表を白龍様に渡しているので現在は分かりませんが

アノニマスの組織図

アノニマス加盟後カナダ人のアノニマスから聞いたところアノニマスの種類は数えきれないほどあるそうです。一般的に有名なのがチャノロジ-とOpsです彼らは4chから生まれました。最初はカルト団体を抗議して一つの共同体だったみたいなのですが別の目的を持ったアノニマスが現れました。それがAnonOpsです、アノニマスにははっきり言ってルールもありません。自由なのでなにしたっていいみたいですwwwまぁアノニマスは2種類あってどちらもリーダーはいないということです。だからたまに仲間割れが始まるんですよ(-_-)

AnonOps設立の経緯

ちょっと待って!www 僕はAnonOpsを設立していませんよ(0_0)AnonOps Japan を建てたんですよ。僕はアノニマス加盟当時チャノロジ-と呼ばれる種類のアノニマスに所属していました。ですが当時日本にチャノロジ-しかなかったのでチャノロジ-を脱退してAnonOps Japan を設立させたんですよ

AnonOpsの主な活動内容

前まではAnonOpsのブログで活動内容が見れたのですが最近は限定されたユーザーしか見れなくて現在は分かりません。大体アノニマスの目的は決まっています。自由なインターネット環境を守ることです。AnonOps JapanのほうではACTASOPAなどの法案の廃止や否決を求めたりデモや運動の計画を立てたりしています。

脱退の経緯と理由

無期限活動停止のために脱退という形で発表しています。いつか戻る可能性はあるかもしれません。

The Dark Surveillanceとは?

僕が所属しているチームです。(GameとかH*ckとかまぁいろいろ) 詳細はノーコメント

The Dark Surveillance加入経緯

それもお答えすることはできません。

ハッキングなど違法攻撃をしているアノニマスについてどう思うか?

(^^)別に何とも思っていません。抗議の一つ手段だと考えています。あくまでもマイナスな考えかたの抗議ですがねwwww

一番言いたいこと

とにかく暑いそして恋人が欲しいwww(^^)

皆さんへのメッセージ

あのニュース以来日本人のアノニマスがたくさん増えました。 今日本はいろんな問題を抱えています。 これからアノニマスになる人へメッセージです。 抗議するのはいいですが調子に乗ってH*ckやC*ackをしないようにしてください 合法的に抗議をしてください。後悔しますよ。なぜかは教えません。自分でもわかっているでしょう?それを承知したうえでアノニマスになってください。リーダーは存在しません。自由です。

これで以上ですありがとうございました。

##################################################################

ACTA:偽造品の取引の防止に関する協定(ぎぞうひんのとりひきのぼうしにかんするきょうてい;〔〕Anti-Counterfeiting Trade Agreement、ACTA)あるいは模倣品・海賊版拡散防止条約は、知的財産権の保護に関する国際条約。日本国内報道では、偽ブランド品規制条約、偽ブランド防止協定、偽造品取引防止協定、模倣した物品の取引の防止に関する協定、模倣品防止国際条約、模倣品不拡散条約、模造品取引防止協定、模造品防止協定、海賊版拡散防止条約、反偽造貿易協定などとも。

SOPA:Stop Online Piracy Act (SOPA) は、下院司法委員会委員長ラマー・スミス英語版)(テキサス州選出・共和党)ほか12名からなる超党派グループにより、2011年10月26日に共同提案された法案。別名としてHouse Bill 3261あるいはH.R. 3261 とも。日本語ではオンライン海賊行為防止法案などと訳される。この法案が成立した場合、合衆国の法執行機関と著作権者が、著作権で保護された知的財産コピー商品をオンライン上で不正取引する行為に対して行使し得る権限が大幅に拡大されることとなる[2]。この法案は下院司法委員会に提出されたものであるが、同様のものに2008年成立の「PRO-IP法英語版)」と、2011年5月の上院法案「PROTECT IP法案(Protect Intellectual Property Act(PIPA)」がある。

以上、wikipediaより

いかがでしたか?アノニマスへなったキッカケが東日本大震災がきっかけだったとは思いませんでした。様々な思いによってアノニマスへとさせていってるんでしょうか? The Dark Surveillanceが何をしている組織なのか非常に気になります。どなたかご存じの方がいらっしゃれば事務局DDmまでお知らせください。これまで取材に応じて頂いたアノニマスと違い、⑪の回答などお茶目さんそのものですね。一般メディアが報じるアノニマスの姿(暗い危ないイメージ?)とは全く違うように思えます。勿論、アノニマスと一言で言って片付くものでは無いことが取材を重ねるごとに分かってきましたし、一部(海外Anonymousが?)違法な行為をしていることも事実ですので、何とも批評しにくい部分ではありますが、ハッキリと言える事は、いるという事です。TYS X 1997氏の様な合法活動的抗議活動を行うお茶目な青年が・・

でも、やはり・・・気になります・・・ The Dark Surveillance

最後に、快くまた迅速に取材対応して頂いたTYS X 1997氏に心から敬意を表して結びの言葉とさせて頂きます。

※今号に関して当学院はAnonymousのメンバーでないことはもとより、一切の関係もございません。また、Anonymousの主義・主張・理念に対していかなる立場も表明することなく、常にニュートラルを守ります。また、インターネット上での話題性を伴う講義活動などはAnonymousに関わらず当学院の独断により取材を行なって参ります。写真は記事と関係ありません。  

Base64とは

Base64とは?

今回は、ハッキングチャレンジサイト「8946」のTake3の問題でもある、Base64に関してご説明します。

Base64とは、あるデータ英数字に変換するためのエンコード方式です。

あるデータとは、テキストデータはもちろんですが、画像動画など、さまざまな形式のデータを意味します。

みなさんがよく使うメールにもこのBase64が使われています。

メールでは、テキスト文字しか送受信できないので、画像や動画、音声などを送信しようとした場合、「そのままの形」で送ることはできません。

そこで、添付された画像ファイル等は一旦、Base64で英数字のテキストデータに変換され、相手にメールされます。

受け取った方は、その英数字のテキストデータを元に戻すことで、画像ファイルを見る事ができます。

Base64で、文字データに置き換えることを、「Base64エンコード」といいます。

逆に、元に戻すことを「Base64デコード」 といいます。

例えば、「ハッカー」という文字をBase64でエンコードすると、

44OP44OD44Kr44O8
という表記になります。

また、逆にBase64デコードを行うと、
44OP44OD44Kr44O8
という文字データは、「ハッカー」という文字になります。

このようなBase64エンコード・デコードを変換をしてくれる便利 WEBサイトがあります。
http://kujirahand.com/web-tools/Base64.php

以上を踏まえて、Take3のソースを表示して、「Base64デコード」された文字をみつけて、上記サイトにて「Base64エンコード」してみましょう。

ハッキングチャレンジサイト8946のTake3にチャレンジ!

国際社会に通用する真のセキュリテイとは?

 

世界各国のクラッカーによる経済的損失はますます増える一方であるが、様々な分野でIT化は留まることを知らずの勢いでイケイケドンドンである。しかし、私は『便利だから』とサービス展開に走るIT産業に非常に不安を感じる。これでは、セキュリティ!セキュリティと声高に発していても攻撃・防衛のイタチゴッコは終わることがないのでは?と思う。

様々なアプリケーションなどの登場でドンドン暮らしやビジネスが加速しているが、丁度通貨のやり取りが電子化され始めた時からの流れと非常に良くにている。例えば現代の電子決済サービスが生れる前は、貿易などの決済をする場合、貨幣であれ紙幣であれ現金を持ち運ばなければならなかった。そこには輸送コスト・人的コストがかかっていたのだが、それが便利になったという視点だけで見てはいけない。電子化するにあたり世界中の経済学者やITスペシャリスト達による弊害を徹底検証されていたが、議論はクラッキングなどによる盗まれてもいい金額、つまり無かった事に出来る許容範囲』が大部分を占めた。仮に世界全体の通貨の合計額のうち0.01%までならば便利になる代償としては妥当だ・妥当でないという具合に想定経済損失を予測していたのである。現代人類の最も根幹にある金融システムについての調査・研究である。これらの話し合いは当然白熱の議論になった。今でいう陳腐なフィッシング詐欺などから、テロリストや犯罪者の活動資金流動化まで幅広い調査になった。便利さを優先するからこそ産まれる様々な弊害・損失と便利になることで産まれる利益を天秤にかけている状況だ。特にその金融システム(経済システム)の崩壊が見え隠れしている今『便利だから』と
サービス展開に走るIT産業に非常に不安を感じる。便利さを追求するあまり、発生し得る様々な経済的・社会的損失勘定が十分になされていないからだ。

例えば、先のLIBOR問題などに取り上げられる金利問題。金利とはすなわち時間の売買である。金利取引=債権取引は株式などとはけた違いの規模であり日本国内だけでも1京円を超えており、ウィキペディアによると「債券は、発行体、償還期間、残存償還期間、償還順位などの組み合わせで、商品数が株式よりかなり多いため(流動性を有す国債を除くと)、市場取引が向かず、基本的に相対取引である」、とあり、そう考えると、1京円というのも氷山の一角 であることが明白である。上記に紹介したような債券市場は、世界で最も巨大な 「金利=時間市場」 の中において、プロの市場ではない。実際には ユーロ市場(ここでいうユーロは欧州通貨のユーロと関係ない)で取引される①ユーロドル、②ユーロユーロ、③ユーロ円 という三通貨が金利取引の中心である。ここを簡略にスルーしなければ「ユーロ市場」の説明で今号が終わってしまうので、ユーロ市場については別の機会に説明するが、バランス感覚が狂わないよう、念頭には置いて欲しい。例えば 同じ円でも、「日銀の円」より「ユーロ円」 の金利取引が、金利取引の大半だ。そしてそれらのマーケットでは、クラッシュの直前にプロがやるような、典型的な買いオペ(金利ベースでは売りオペ)が確認されている。この様な現状でありながらニュース等で良く事の事態が分かってない人間と、セキュリティについての危険性を良く理解してないIT弱者の現状は非常に似ている。

金融システムを比較するのは聊か大げさだと感じるかもしれないが、決して飛躍しすぎた考えではないと私は思う。何故ならば全てのサービスに対し何かしらの代償のやり取りが発生しているのは事実だからだ。今も昔も世の中を便利にした者に対してそのお駄賃として報酬が入ってくる。この流れは絶対の法則であり世の中を便利にしてもいないのにお駄賃が貰えるわけがない。しかし、現状のITにかかる新サービスはどうだろうか?同じ様なアプリケーションやWEBサービスにあふれ、我々消費者も何となく使っているという事がありふれている。この様な無駄なサービスの徹底的排除もまたセキュリティ強化という観点からみると必要なことである。何故ならば、人類総IT化は確実に進行し、金融システムと同化してきているからである。
ショピングサイトなどいい例である。確かに起業などビジネスの自由も当然の権利であるが、
便利だから!の押し売りはこそがセキュリティ強化の必要性の要因の大きな要素を占めていると考える。そこには、金融システムであってもアプリケーションシステムであれWEBシステムであれ、運営元が冒頭述べた『発生し得る様々な経済的・社会的損失勘定』の十分すぎる検証の必要性を再確認する時であり。また、攻撃・防衛のイタチゴッコであるICT業界では、ド素人に対してこのセキュリティソフトさえ入れておけば大丈夫』というようなビジネス展開こそが根幹問題であり、当学院の様な弱小セキュリティ学校だけでなく多くのICT関連企業による真の
危険性の告知・徹底こそが今こそ必要な時だと感じるのは私だけであろうか?

今こそ業界の垣根を越えてセキュリティを見直す時である。

この様な状況で弱小集団である船の船長である私としては、ドイツの某大手銀行 が行った、
ブローカー魂 炸裂記者会見 を思い出し考えさせられる。

Q: 「あなたは 顧客が違法な取引をしている と知っていて、当局に報告しませんでした   ね?」
A: 「どこの法律です?」
Q: 「ドイツのです」
A: 「知っていました (黙秘権がある)」
Q: 「あなたの銀行の業務規定は 大変に厳しいものですね?」
A: 「そうです。あらゆる国家の法律に 優先します (黙秘権がある)」
Q: 「ドイツ連邦法上では違法であっても 顧客の情報をリークしない、というのは、御社   の業務規定ですね?」
A: 「いえ、言いたくないだけです (黙秘権がある)」。

質問は止まり、まばらな拍手と沈黙の中で ブローカーが話し始めた。

A: 「私はブローカーです。この世界では 知られているように、法律は よく変わります。
契約の後で、変わることもあります。そのたびに 契約を破るのですか?契約は絶対ですし、変わることもありません。それを守るために 檻(おり)に入った者は、英雄的に 迎えられます。逆に、信用を失くせば、二度と 取り戻せません。ドイツの法律を作る人の価値観 は知りませんが、それが 我々の価値観 であり、少なからず、そうした価値観に対するプライド もあります。私は今、ここで、そうしたことを 言わなければならない立場にもありませんし、言うように求められても いませんが、それについては、なんと言いますか……言いたかっただけです」。

これこそセキュリティである。この様な気持ちで我々ICT界もやって行かなければならなし、少なくとも私にはこの様な決死の覚悟で学院運営にあたっている。

時は正にボーダレスである。
世界最大の非公開会社 カーギル(社員約10万人) は、盗難だろうが強奪だろうが社会保障ナンバーさえ持っていれば、(中小企業並みに) 採用 することで知られる。CBSのインタビューで カーギルの人事担当者は 「面接で英語が話せないからといってアメリカ市民でないと結論付けるのは差別では?」 と豪語した。英語の話せないアメリカ市民なんて居るはずがないのに!「映画の都」ハリウッドの某大手スカウトマンは、「不法入国者以外のモチベーションは信用していない」 と語る。「不法入国はリアル・ディールへの一歩」 と語る諜報員もいる。人一倍 民族意識の薄い 彼ら映画俳優たちは、アンジェリーナ・ジョリー のように エチオピアやカンボジアの難民キャンプの孤児を実子にして 未婚の母 となったり、人工授精 (父親は明らかにされない) で ジョディ・フォスター が 未婚の母 となったり、、シャロン・ストーン が シングル・マザーとして 2人目の養子 を迎えたり、メグ・ライアン が 離婚後、中国で養子をもらったり、と、実生活でも 「ボーダーレス」 を体現する。

世界で最も権威ある社会学者として知られるアルビン・トフラーは、「なぜ2重が前提なのだろう? 3重や7重ではいけないのだろうか? 明日の地球市民は、税金が有利だから、政治的な連帯を示したいから、などの理由で、ますます一連の国籍を使い分けるかもしれない」 と語る。

ボーダレスだからやらねばならない。ボーダレスの一翼を担っているのは紛れもなくICT業界なのだから。

だから我々WhiteHackerZ養成学院ははセキュリティ界の異端児として(チープに見える角度かもしれないが)切り込み続ける。
国際社会へもっと羽ばたく為に。

田口雅章

8946Take14解き方のヒント

皆様こんにちは。ハッキングチャレンジ8946いかがでしょうか?さて、本日は皆様の声にお応えしまして、ヒントをください!と一番お声が多かったTake14の解き方のヒントを公開致します。あまり、ヒントばかり出しますと学習出来なくなってしまいますので、今後メールを頂いたからと言って、毎回ヒントを公開することは多分ありませんのであしからず(笑)それでは、特別公開!

検証サイトは、
www.7men.jp (今は一時休業している当グループ会社の飲食店www)             です・・

ブラウザは、FireFoxを利用しています。

メールアドレスのチェック項目をすり抜けるには??

 

メールアドレスに何も入力せず、「送信確認」ボタンをクリックすると、
エラーが表示されるので、JavaScriptで、エラーの制御をしている事がわかります。

それでは、次にXSSの脆弱性があるかチェックします。
メールアドレス欄に、
“><script>alert(1)</script>
と入力して、「送信確認」ボタンをクリックしてみます。

JavaScriptが実行され、画面上に「1」と表示されました。
このサイトには、XSS脆弱性がある事がわかります。

では、このとき、htmlソース上ではどうなっているか、見てみましょう。
画面上で、右クリックして「ソース表示」してみます。

 赤枠の、メールアドレスの箇所を見てみると、メールアドレスの入力欄が、「”」で、終結され、
JavaScriptが埋め込まれているのがわかります。

その時の画面は、htmlタグが壊れてますね。

 

JavaScriptが実行できる事が判明しました。

メールアドレスをチェックしている箇所をすり抜けるために、このページ上で使用されている「メールアドレスをチェックしている関数」をわざと埋め込み、同じ関数を2個入った状態にします。

通常、同じ名前の関数がある場合、ページは、上から順番に読み込みされるので、通常のチェック関数よりも、メールアドレスの入力欄は下に位置しているので、ここに埋め込んだJavaScriptの関数が通常実行される関数を上書きしてしまい、通常のチェック関数は、無効になってしまいます。その事を利用します。

再度、ソースをみると、メールアドレス等のチェックに、

beforeSubmit()

という関数が使われている事がわかります。

 

そこで、メールアドレス欄に、

“><script>function beforeSubmit(){document.form1.submit();}</script>

と入力します。メールアドレスをチェックしている同じ関数名をいれます。

後に続く、

document.form1.submit()

というのは、formの名前である、form1の中身を送信しなさいという記述になります。

入力したら、「送信確認」ボタンをクリックしてましょう!

そうすることで、メールアドレスをチェックしている関数が埋め込みされます。

htmlソースを開いて確認してみましょう。

 

メールアドレス等をチェックしている「beforeSubmit()」関数が、今入力した箇所と、元々あったものと、2個存在している事になります。

この状態で、メールアドレス欄に「なにか文字」を入力すると、通常のメールアドレスをチェックしている、beforeSubmit()という関数よりも、今入力した、「beforeSubmit()」が実行されます。

もちろん、メールアドレス欄に入力した関数、beforeSubmitは、メールアドレスのチェックではなく、

document.form1.submit();

としているので、そのまま送信されてしまいます。

と、ここまでいかがでしたでしょうか?大分出しちゃいましたねww丸見えでしょうかw問題を解くプロセスが大事な事なので、実際に解けた場合でもその後発展・応用など自己学習に役立てて、サイト構築の際には十分ご注意ください。

以上をふまえて、ハッキングチャレンジサイト8946

Take14を、チャレンジ!!!!