1000万人が見た鍵開け動画でYouTuberを訴えた鍵会社が大炎上 まさかの墓穴を掘る
引用元:https://news.ycombinator.com/item?id=45720376
このYouTubeショート動画見てみて。
https://www.youtube.com/shorts/YjzlmKz_MM8
Proven社は訴訟を取り下げ、裁判記録の封印を求めたんだ。まるでいじめっ子が尻尾巻いて逃げたみたいだね。自分たちの訴訟が騒動の原因なのに、会社はなんで気づかないんだろう?これはStreisand Effectの典型例だよ。情報を検閲しようとすると、かえって注目を集めちゃうってやつね。会社のオーナーも含め、SNS担当者はよく考えないとね。
記事がどんどん面白くなるね!
Provenの社員が”ネットの情報を鵜呑みにするなんてリベラルみたい”って言ってたけど、
製品が良くなくても、共和党員が作ったってだけで良い製品になるの?って皮肉だよね。
Provenの言いたかったことは鍵開け動画がフェイクってことかもだけど、社員のコメントはやっぱり変だよ。
”liberal”を罵倒語として使う人もいるなんて、政治的分断は深刻だね。
もっとひどい例として、SacramentoのSirclesってスタートアップがあるよ。7年以上経つのに売上100kドル以下で900万ドルの負債だって。創業者はRedditのu/Sirclesappで暴言吐いたり、弁護士から脅迫状送ったりしてるんだ。radradioと組んでWeFunderで600万ドル集めたみたいだけど、7年で売上100kドル、負債900万ドルじゃ、株はたぶん紙くずだね。
政治的分断には両者に責任があるだろうけど、特定の政治家が反対者を犯罪者呼ばわりして、監禁を叫び始めてから、こんな状況になったんだよね。
Sirclesの話、少し脱線するけど、業界によっては売上出るまで時間かかるのは普通だよ。例えばバイオテックとかね。負債も株式と同じで有効な資金調達方法だよ。詳しくはhttps://en.wikipedia.org/wiki/Modigliani%E2%80%93Miller_theo…を見てみて。
”Basket of Deplorables”って言葉、何か思い当たる?
SNSから会社のオーナーを引き離すべきって意見、わかるけどね。記事の内容からすると、典型的な”強腕創業者が経営してる会社”っぽいから、創業者がSNSで反論するのを止めるのは無理だろうね。
Proven社は、裁判所に提出した文書でオーナーのパートナーの名前を伏せず公開しちゃった、お粗末なミスもしてたんだ。プライバシーを気にするなら簡単に名前を隠せたはずなのにね。
これ、マジクール!こういうちょっとした豆知識、超好きだよ。ありがとうね。
これってまさに「愚行を重ねる」とか、「三重にアホなことをする」ってやつだよね。
すごいけど、Sirclesってバイオテック企業じゃなくてソーシャルネットワークなんだよね。核融合を現実にしようとしてるわけでもないし。
「業界によっては収益が出るまで時間かかるのは普通」ってのは確かだね。でも、Sirclesってただのソーシャルレコメンデーションアプリみたいだし、それってそういう業界じゃないでしょ。
隠蔽によるセキュリティが、あの会社を救う唯一のチャンスだったってこと?皮肉が効いてるね。
ああ、間違いないね。俺はただ金融オタクしてただけだよ。うん、Sirclesはかなり怪しいと思うな。
改善するより他者を悪者にする方が楽なんだって。昔の哲学の教授が教えてくれたんだけど、20年以上経った今の方がその言葉の重みがわかるよ。
彼を訴えた会社、詐欺師とかいじめっ子だってバレたのに、まだ恥ずかしげもなくSNSで活動しようとしてるよ。
https://m.youtube.com/@provenindustries8236
最近だと、AutomatticとWordPressの件がまさにそうだったよね。創業者がHNで自分の訴訟に不利になる投稿しまくってて、みんな弁護士と話せって止めてたのにさ。
元妻の窓にレンガ投げさせたやつが、脅されたとキレてるってこと?なんか鍵会社の行動がこれと似てて皮肉だね。
俺Sacramento出身だけど、Sirclesで働いてた奴を知ってるんだ。あそこ、滑稽なぐらい経営がずさんで、まるでコミックの悪役みたいな社長が仕切ってるらしいよ。
セキュリティ対策として「知られざることで安全を保つ」って戦術はよくあるけど、いつも有効なわけじゃないし、それだけで万全ってことはないよね。
ここに訴訟書類のスクショが投稿されてて、その中に創業者のHacker Newsコメントのスクショまであったの、マジで最高だったね。
これ、「Randy Pitchford」っていう人のソーシャルメディア戦略として知られてるやつだね。
それって例えるなら、その文書を他のと適当に混ぜたり、Wordで白いページに白い文字を使うみたいなものだよね。
鍵会社Provenは、泥棒がピッキングしようとしたら訴えるぐらい安全だってさ。信じられないね!
うわー、この製品の目的ってYelpへの不満が元になってるみたいだね。別にYelpのファンじゃないけど、この人、チャンスがあればもっと搾取しそうだなって雰囲気を感じるよ。
相手が誤解してるだけで悪意はないって信じてるなら、この考え方は有効だよ。でも、相手がわざと嘘をついて、お前は犯罪者だ、捕まえろって言ってるなら、改善なんてできるのかな?協力は、常に悪用しようとする相手とは成り立たないゲームだよね。
それすごいじゃん!ちょっとオタク発言しちゃってごめんね。
そうだね。ドライバーだってハンマーと同じくらい有効な道具だよ。使い方はいつも同じじゃないけどね。
もっとコメントを表示(1)
これさ、2003年のMatt Blazeによる物理ロックセキュリティの研究を思い出したよ。彼は一つの鍵から建物のマスターキーを導き出す方法を見つけたんだって。公開したら鍵屋から『俺らみんな知ってたのに秘密にしてたんだよ!』ってクレームが殺到したらしい。コンピュータセキュリティの脆弱性開示原則と物理鍵屋の企業秘密文化の衝突が面白かった。詳しくはこちら:
https://www.mattblaze.org/masterkey.html
https://www.mattblaze.org/papers/kiss.html
映画『コンドル』でRobert Redford演じる主人公が、鍵屋に行って『この鍵がどこのホテルのどの部屋のものか?』って聞いて、鍵屋に『お前、同業者か?』と聞かれたら『いや、でも本はよく読む』って答えて、自分を追うヒットマンのホテルの部屋を突き止めるんだ。
数ヶ月前にそれ見たよ。すごく良い映画で過小評価されてるよね!Robert Redfordのご冥福を祈る。
多分一番重要な違いは、ソフトウェアは購入して使った後でも比較的簡単にパッチを当てられるけど、物理的な鍵はそうじゃないってことだね。
正直言って、それは比較的新しい考え方だよ。2003年はWindows XPの時代でMetasploitの初期。Microsoftとか他の企業はまだこのインターネットってやつを理解してる途中だったから、ほとんどのコンピュータは未パッチの脆弱性だらけ。当時はゼロデイなんてものもなくて、何年も後で使えるエクスプロイトがたくさんあったんだ。
実際、『コンドル』は本格的なハッカー映画だよ。Redfordはソーシャルエンジニアリング、鍵開け、MaBellの回線をかく乱、CIAの悪者を倒す、まさに究極のハッカーだったね。
それが過小評価されてるっていうより、かなり古くて定番じゃないってことなのかな?まあ、大体同じ意味かもね。
海賊版コンテンツへのリンクを喜ぶ人もいるだろうけど、Hacker Newsにはふさわしくないと思うよ。
2001年に俺が最初の家を建ててた頃、業者キーから自分のキーを作ったんだ。引っ越してからは自分のキーで業者キーを使えなくしてたんだけど、鍵を分解してみたら、近所の家全部が開くキーが8つくらいあったんだよね。もちろん、この脆弱性対策で家中の鍵を交換したけど、理論的には近所の人たちの家にはそのまま残ってるんだ。この脆弱性は誰にも言わなかったよ。
この映画の功績に関しては異論があるな。70年代には、今の観客にはあまり知られてないけど、あのジャンルで面白い(そしてユニークな)映画がいくつかあるんだよ。ほとんどはウォーターゲート事件の頃、74年くらいに出て、当時は話題になったけど、その後忘れ去られちゃったんだ。
The Kremlin Letter, 1970 (https://www.imdb.com/title/tt0065950/) - これは諜報機関の醜い裏側を本当に見せてくれると誰かが言ってたね。面白くてかなり暗くて、ちょっと衝撃的な映画だよ。これはウォーターゲートより前で、冷戦時代のスパイ映画だから、Smiley’s Peopleが暖かく可愛らしく見えるくらいだ。
The Conversation, 1974 (https://www.imdb.com/title/tt0071360/) - Gene Hackmanのキャラクターは20年後にEnemy of the State (1998)で再登場する。
The Parallax View, 1974 (https://www.imdb.com/title/tt0071970/)
The Tamarind Seed, 1974 (https://www.imdb.com/title/tt0072253/) - 表面上はロマンスに見えるけど、繊細な映画だよ。
これは俺の頭に浮かんだものだけどね。どれもすごく観る価値のある映画だし、いくつかはクラシックになり得る作品だと思うよ。
でも当時Windows Updateは間違いなくすでにあったんだから、「Microsoftがまだインターネットを理解していなかった」ってのは通用しないと思うな。ソフトウェアはいつも更新されてたけど、鍵で同じことをするのはもっと難しいよ。
異なる文化や情報の非対称性には理由があるんだよ。ほとんどの国では鍵師になるには犯罪歴のチェックが必要だけど、キーボードを操作するのには必要ないからね。
ああ、Bugtraqの時代ね。小学生でも0day POCをダウンロードして、クラスメイトのノートPCを強制的に再起動できたんだ。(って聞いたよ)
「脆弱性を報告した俺が、脆弱性自体を引き起こしたと勘違いする人も何人かいるけど、Richard Feynmanがマンハッタン計画の時に話した逸話で気が楽になるよ。簡単な脆弱性(とユーザーインターフェースの問題)で、ロスアラモスで使われてた金庫のほとんどが簡単に開けられたんだ。彼は最終的に担当の陸軍将校にその問題を見せたら、彼らは恐れおののいて対策を約束したんだ。結果?スタッフにFeynmanを金庫に近づけるな、というメモが出ただけだったってね。」
当時の建設業者キーについては知らないけど、今の業者キーはこんな問題は抱えてないよ。業者キーはピンの一部が深くカットされてるだけだから、持ち主のキーはかなりユニークであるべきなんだ。唯一の本当の条件は、業者キーが機能するために十分な高い番号のカットが少なくとも1つあることだね。良い動画があるよ:https://www.youtube.com/watch?v=GUCW4OnE6Mc
もしかしたら、彼らはマスターキーシステムを使っていたのかもしれないね。
「あなたは誰で、どうやってここに入ったんですか?」「私は鍵師です。そして、私は鍵師です。」
00年代に小学生がノートPCを持ってたなんてこと、なかったでしょ。
コンピューターオタクの俺でも、コンピューター文化ってたまに過激すぎるって思うことがあるよ。
長い目で見たら、透明性が常に勝つんだ。
昔ドアロックシステム設計してた時、ベンダー製ならどんな鍵でも開けられる脆弱性見つけたんだ。会社は知ってたけど内緒にしてた。Mahmoud al-Mabhouh暗殺時も鍵が普通だったのには驚かなかったよ。これは陰謀じゃなく、古いシステムのファームウェア更新や交換が難しいからなんだ。
メディア会社のおかげで97年頃に支給されたものがあってさ。それでサイバーセキュリティやエミュレータ設定(あとHarvest Moon)について学んだ子がたくさんいたんだ。結果的には良かったんじゃない?
本当だよね。ソフトウェアはパッチできるって言っても、パッチ自体がないことだってあるし…。メンテナンスされてないけど便利なソフトウェアって山ほどあるんだよな。
ほとんどの鍵はコアを交換するのに数秒しかかからないんだ。
XPの頃はハッキングが当たり前だったし、ITセキュリティはまさにワイルドウェスト状態だったんだ。当時のDBは致命的な脆弱性だらけ。Shodanはなかったけど、MSFのおかげでセキュリティ意識はすごく高まったんだよ。
暗殺後に部屋の内側の物理的な鍵を確保したのは、なかなか良い一手だったね。
Windows Updateはあったけど、昔はパッチ適用は自己責任で、ダイヤルアップじゃダウンロードも大変だったんだ。Vistaのリリースが遅れたのは、XP SP2に人員を割いたせい。VistaのUACがXPのソフトを動かなくさせたのも、嫌われた原因の一つだよ。昔はパッチなしのソフトを使うのが普通だったんだ。
今、秘密の取引について学んでる最中なんだけど、これについては話せないことになってるんだ。でも、会社のパソコンを個人のネット利用に使えるのは助かるよ。
現代の電子ツールやデジタルコードブックの話をしてるけど、昔は物理的な本を買って鍵開けできたんだよな。これはそれとは関係ない話でしょ。
Police Squad! だな!
“memory holed”って言葉、単に“忘れられた”って意味じゃなくて、マスメディアとか権力者が意図的に情報を消すって意味だからね。使い方間違ってるよ。
もっとコメントを表示(2)
昔、働いてた会社で金庫の鍵をなくして、結局、大型ハンマーでこじ開けたんだよ。セキュリティチームは「これでいいんだよ、金庫は時間を稼ぐだけだから」って言ってて、目から鱗だったね。
結局、どんなセキュリティも
銃を持った奴らが来たら終わりだろ。
恒例のxkcdだね。これ読んどけ→https://xkcd.com/538/
鍵ってのは、攻撃を遅らせることもあるけど、ほとんどの場合、封筒みたいに不正開封の痕跡を残すためのものなんだよな。
もっともっとこれ(xkcd)を話題にしてくれよ。セキュリティオタクは月に一回はあのコミックを見るべきなんだから!
俺の家も頑丈なドアがあるけど、隣の窓からレンガで簡単に侵入できるんだよね。でも、どっちにしても痕跡は残るから、家の保険で損害はカバーされるはず。
鍵会社のセキュリティはかなり弱いみたいだね。「…カバーされるはず…」に頼ってるけど、それってテストしたことないでしょ?それに、保険が現金価値で証拠が必要なこととか、更新されてないとか、コンプライアンス違反とか、よくある間違いを無視してるしね。これじゃあ、いざって時に何の補償も受けられないようなもんだよ。まるで、戦場で敵と対峙して初めて武器の品質を確認するみたいだ。
理論的には、どんなに強固な暗号でも時間を稼ぐだけだよね。それが太陽の寿命より長い時間だったとしても、ただ時間を稼ぐだけ。鍵や金庫も同じだよ。俺は自転車盗難がよくある街で一度も盗まれたことがないんだけど、その秘訣は、他の似たようなものの鍵より、自分の鍵を破りにくくすること。良い鍵+古い見た目の自転車=盗難なし。特別なものや賭け金が高いものじゃない限り、普通の泥棒は周りのものがもっと面白くて簡単なターゲットに見えるから、選ばないよ。
その通りだね、彼らは全ての窓を板で覆うか、コンクリートの箱の中で生活するべきだ。
なんで?これには実際役立つ教訓があるよ。一つは、セキュリティシステムにおいて人が弱点だってこと。組織のセキュリティがたった一人の人が折れないことに頼ってたら、その人が標的になるのは当然。文字通りの「5ドルレンチ」を使うか、買収するかは関係ない。だから、秘密を分散させるなどして、これに耐性のある組織の形を考えるべき。一人の人間に「5ドルレンチ」を渡す代わりに、一度に複数の人を説得する必要があるから、検出されずに成功する可能性ははるかに低くなるよ。
なんで?みんな「ゴムホース暗号解読」については知ってるだろ。暗号化の目的は、相手をそこまで追い詰めることなんだよ。俺たちの情報が欲しいなら、奴らは暴君になって、武装した男たちを送り込み、人権を侵害して手に入れるべきだ。コンピュータのボタン一つで、監視網にアクセスしてプライベートな生活が丸裸になるようなことじゃない。誘拐されて拷問されれば人は屈する。それはニュースじゃない。そこまでさせるのが設計の全てだ。状況がそこまでエスカレートしたら、自己防衛のために殺しても正当化されるよ。
月に一回だって??マジで2日に一回は見るよ。セキュリティ、暗号、安全、ブロックチェーン、CIAとか、ちょっとでも関連するコメントは全部この特定の投稿に触れてる気がする。
「家に窓があるのはセキュリティが弱い」ってのは、利便性とセキュリティのトレードオフを体現してるよね。
サイト内検索したら、700件以上のコメントがこれにリンクしてるのを見つけられるよ。HNの歴史上、一番頻繁にリンクされてるページでも驚かないな。
みんな知ってるって?xkcd 1053のリンクを貼らせないでね ;)
’ワンタイムパッド’暗号は、キーがないと無限の時間があっても解読できないんだって。
YouTubeの金庫エンジニアが、政府のキャビネットに使われるダイヤルロックについて話してたよ。数分でドリル開けできるけど、侵入がバレないように修理するのに数時間かかるって。この合計時間がセキュリティの’強度’なんだってさ。金庫に開閉センサーを付けるのも良いかもね。
s/wrench/social engineering/ってすれば、なぜそれが効果的な攻撃手段なのか分かるはず。唯一の防御策は、そもそも秘密を持たないことだよ。
タイトルのYouTuber、McNallyがシミングやワッキングで簡単に開けられる質の悪い鍵を実演してるのは致命的だね。力ずくで壊すのはいつでもできるし、ピッキングは熟練が必要だけど、シミングやワッキングはスキル不要で証拠も残さず、再ロックもできる。これじゃ鍵の保護機能が全く意味ないよ。
https://xkcd.com/538/ を見てみて。
