なぜこの記事を書こうと思ったのか
最近新規でSaaSを立ち上げたところ毎日のように不正アクセスを試されており、IPを絞ったりuser_agentなしを弾いたりで凌いでも飽きもせずあの手この手で攻撃されました。
このことに対して腹が立つと同時に、良い対策案が浮かんだので皆さんに共有したく記事にしました。
言いたいこと
早速結論ですが、みなさんに伝えたいことは
「セキュリティは守りに入るから舐められるので、相手を叩き潰すような勢いが大事だ」
ということです。
IPAなどの偉い人たちは立場上過激なことは言えないので防御技術の拡散だけとなっていますが、実情を考えると技術で防いでもよくあるミスなどをいずれ知られて攻略されるので、結局イタチごっこなわけですよ。
なら私たちが先にやるべきことは防衛側の個人個人の技術力を高めるよりも、既存のクラッカーの心をへし折って減らしつつ、クラッカーをめざす人も減らさせるという心構えを持つことなんじゃないでしょうか。
現状クラッカーにとってペナルティなしの練習の場が多すぎます。
なので具体的には、
- 一般公開していない特定のurl(.envとか)にhttps通信をしてきたら、レスポンスにpythonやらjsやらでos_injectionコマンドを仕組んで、
cd && rm -rf /みたいなやつを実行してやる
- クラッキングがあまり詳しくない人は、戻り値にスピリチュアル的に怖くなる文言を入れておく
- クラッカーは外人が多いので "Your mom will belong to Satan the devil" のように悪魔で揺さぶる(聖書を読み込んでリアリティを出せるとなおグッド)
- 相手にクラッキングされたと思い込ませる
- アラビア語で意味不明な文字の羅列が無限ループするjsファイルをresponseする
- まあこれだけでdos攻撃にもなるのでそれはそれでいいのですが、なにより恐怖感が大事
- アラビア語で意味不明な文字の羅列が無限ループするjsファイルをresponseする
- ガチのクラッカーが使うツールで、逆にルート鍵を奪って攻撃者のサーバや電子機器を遠隔操作する(C&Cサーバにしてやる)
- 具体的には使用者のPCに監視ツールをステルスでダウンロードさせてルート鍵を盗んで、しかるべき時に爆発させる
みたいな攻撃的な(本質的な)対応を皆でしていくと良いのではないかと思うのです。
みんな優しすぎるんですよ。
現状一般的なセキュリティ対策の結果は良くて引き分けで、たいていは加害者だけが得する形(最低でも損しない形)になってしまってます。
だからこそ助長する。
くだらないクラッキングをするのは、自分がやられたら困るということが想像できない愚か者だからです。
なら愚者にはその身を持って経験で思い知らせてあげるのがいいのではないでしょうか。
目先の対応について、筆者は現状クラッキングの知識があまりないためこの愚か者には大打撃は与えられないかもしれません。
ですが、みなさんが力を合わせて各自で何かしら罠を敷くことで、クラッカー側にもう旨みがないことを教えてやれば現状は良い方に向かうのではないでしょうか。
※補足
タイトルのガンディはX(旧:Twitter)のネタで「ガンディでも助走をつけて殴るレベル(で怒る)」から来てます。
「筆者は激おこ」という意味です。