Special GRC.comがクラッカーと戦った話


					Copyright © 2000-2005 eazyfox. All Rights Reserved.


HOME\| Firewall \| Security\| 製品紹介\| SecuTool\| Forest\| Hello\| Link\| 掲示板\| 雑談掲示板\| SiteMap\| Contact

grc.comのドキュメントをeazyfoxが適当にイデオムも単語も無視して雰囲気だけで訳してみました。
原文はここにあります。明らかに間違っている個所もあるかと思いますが笑って許してください。

世にも不思議な話

に立ち向かったGRC.COM

この13歳のハッカーがあっちこっちのサイトやユーザを突っついたり、サーバを止めたりするとはなぁ
気まぐれでもひどすぎるよ

私はあなたがこのの攻撃分析レポートと、続いて起こったネットワークへの潜入とアクティブなハッカーたちの技術の結果に魅了され心配されだろうと信じている。

なにが起こったのか？
2001年5月4日の夕方、GER.COMは突然インターネットから消えていった

Floodに立ち向かう我らのISP

「最初1分間の攻撃」私たちはその攻撃がパケットFloodingと分類されるのもだ分かった。私たちの問いかけに対してCiscoルーターはインターネットに繋がっている2つのT1トランクインターフェイスへの外部からトラフィックがほぼ最大転送速度の1.54Mになり、出て行くトラフックがゼロ近くまで落ち込んでいると回答してきた。攻撃以外の正規トラフィックは私たちのサーバにはしばらく到達できないだろう。つまり私たちのサーバがサービスできない状況（Denied our Services)になっていることに気がついたのだ。

とりあえず2つのことを優先してやろうと思った。まずこの攻撃を調べること。そしてなによりもサービスを再開することだ。

ただちにトラフィックの内容を調べるためにキャプチャを開始して攻撃の内容をリアルタイムにログに出力するように設定した。まず膨大な量のFlood UDPパケットから一部を取り出して覗いて見るとオープンしていない666番ポートを狙っているネット中でフラグメント分割された1500バイトの猛吹雪のような数百万のIPパケットとICMPの大きなPingパケットが分割された破片が混ざっていることがわかった。私たちは溢れくるFlood攻撃のトラフィックに溺れて、正規のパケットはこの攻撃に立ち向かうことも出来なかった。 ついにT1トランクが死んだとき、ローカルルータとFirewallは何も異常を示さなくなった。そう私たちのマシンは何の反応も示さなくなったのだ。なぜ？そう、この攻撃が私たちのマシンを混乱させようと試みるものではなかったからだ。つまり、これはインターネットに接続するための全ての帯域を使い切ってしまおうとするシンプルなBrute Force Flood攻撃だったからだ。そしてそれはしっかりと成功してしまった。

当研究所はT1トランクをペアでインターネットに繋いでいる。合わせて3.08Mの帯域幅で日ごろのサービスを提供するには充分な量である。
上にあるネットワーク図を見てもらうとVerio(私たちのISP)ルータはゴアが作ってくれた100Mのぶっとい幹線に私たちのT1を繋いでいるのがわかるだろう。しかし私たちのトラフックは全て2本のT1からこのルータを経由しなければならない。ということはこのルータで攻撃パケットをフィルタすれば、私たちのT1はいやらしいパケットから解放されるはずだ。これで行こう！Flood攻撃に対抗するにはT1より上流の帯域が広いところでフィルタすればいいのだ。そうすれば私たちのT1は正規のパケットだけ流れてきて攻撃パケットは無くなり、T1は元の平和な状態になる。

そうされるまでの間に

金曜日の夜なんてタイミングで攻撃してこられたので、まるでコメディのように電話の局番を変えたり、電子メールのアドレスを打ち間違えたり、ポケベルは静かに動かない。Verioに「仕事が出来ないのはこのせいさ！と言い訳するためにうちのシステムの」正規の帯域を通せと引き続き要求していた。17時間Verioのちゃんとしたエンジニアとの電話が終わらない間に通過することが出来た。しかし一度はVerioのちゃんとしたエンジニアに攻撃の内容をちゃんと分析したものを突きつけて電話していたのだが・・・
2分でこの防備用のICMPとUDPを全部通さないフィルタは適用された。そしてGRC.COMはインターネットに復活したのであった。 しかしそんなに喜んで入られない。私たちはいまだに攻撃にさらされている。でもなんとか攻撃は押さえ込まれている。Verioのルータによって雑草は引っこ抜かれ私たちは日頃の仕事に戻ることが出来た。

フィルタは攻撃を押さえつけた？

そう、幸運にも－なぜかって？以下を見てもらったわ分かるよ－攻撃してきたマシンはすべて侵入されたwindowsベースのPCであった。怠惰のおかげで幸運にも、数え切れないくらいの不幸からインターネットは守られている。マイクロソフトのエンジニアはUnixのSocketのスペックをWindows2000を含めて以前のバージョンではフルに満たしていない。その結果Windowsマシンは(Unixマシンと比べて)幸運にも不正なパケットを生成する能力が制限されているのだ。つまりWindowsマシンではSynやAck Floods攻撃パケットを生成するときに偽装IP(Spoof)を造ることが出来ない。その結果インターネットのセキュリティ関係者の間ではSpoofしていない不正攻撃の多くはもっぱらWindowsベースのPCで行われていることが知られている。攻撃用マシンのIPを偽装する(spoof)のは平凡なUnixライクなマシンで、spoofにより攻撃用マシンを隠蔽することができるマシンが現れたときはハッカー絶対に逃したりしない。しかし信じられないほど偶然ではあるがインターネットに接続しているマシンはほとんどがWindowsマシンであり、Spoofingという楽しみを得ることが出来ないのだ。
しかし悪いことに次期Windows2000とXPではこの機能がリリースされるというニュースがある。なぜそのことが悪いのかというとMicrosoftはwindows2000とXPにどんなアプリケーションにも不正なトラフィック(Spoofingした完璧なDoS攻撃を含む)を発生させる能力を身に付けさせるつもりでいる。
私がリサーチを指揮した間、DoS攻撃が連続発生しているハッカーの世界では、私は遭遇したアタックツールのソースを証拠として、ハッカーたちは既にこの能力に充分気づいているということが言える。そしてこの完璧なDoSができるWindows2000とXPのhomeバージョンがエンドユーザーに拡がるのをいらいらしながら待っている。

このwindows2000やXPマシンたちはブロードバンドに接続されて、以前のレベルとはまったくスケールが違うインターネットテロリズムを生むことだろう。

もしこの機能を次期Windowsから外そうとしている私の計画(MicrosoftのXP開発やセキュリティチームの責任者にこの機能を入れるなと提案している)が失敗すれば、インターネットの不正攻撃の歴史的な問題として来年リリースされるwindowsXPのリリースのニュースが霞んでしまうくらいのできごとになるだろうことを確信している。

WindowsPCのアタック艦隊は私たちの80番ポートにSynパケットを送って完全に麻痺させることが出来ない。そして唯一可能なのはUDPやICMPのFloodパケットを送ることぐらいだ。私たちはISPからT1トランクにつながるところに悪意のあるパケットをフィルタしたと報告を受け取っている。そのおかげでTCPベースのサービス(Web,FTP,News)を攻撃の元でも提供できるのだ。

攻撃者の実態

攻撃のパケットがどうやって造られているのかちゃんと知っている。だが何所から来ているのかは判らない。最初の攻撃から17時間の間に16.1Gのパケットデータのログを採取して666ポートへ来るUDPを抽出した。それによると474のWindowベースのPCから攻撃されていた。これは古典的なDDoS攻撃をするように仕向けられた数百の個人のPCから発せられたものだった。

どこにいるのか？
だれなのか？
ISPはどこか？
WindowsPCにはびこっている攻撃のZombiesは何なのか？

攻撃マシンのドメインを追跡して明らかにすることは想像できないくらいハードな作業だ。474のマシンのドメインがバラバラに散らばっているのがこの表から判るだろ！

104
51
20
20
17
14
14
14
14
9
9
8
7
7
6

home.com
rr.com
aol.com
mediaone.net
uu.net
btinternet.com
shawcable.net
optonline.net
ne.jp
chello.nl
ntl.com
videotron.ca
ad.jp
psi.net
uk.com

5
5
5
4
4
4
4
3
3
3
3
3
3
3
3

inreach.net
telus.net
gtei.net
tpo.fi
rcn.com
isoc.net
uswest.net
dialsprint.net
a2000.nl
grics.net
linkline.com
eticomm.net
prestige.net
warwick.net
supernet.com

3
3
3
2
2
2
2
2
2
2
2
2
2
2
2

voyager.net
lvcm.com
co.uk
cdsnet.net
enter.net
cgocable.net
knology.net
com.au
fuse.net
lrun.com
dialin.net
bellsouth.net
psnw.com
pacificnet.net
tds.net

たぶん、TOP2にあるUSのCATVインターネットプロバイダ（＠HOMEとRoad Runner）でばら撒かれた悪いハッカーが作った帯域を一杯にしてしまう攻撃用トロイの木馬から来たのだと思う。
そこでIRCのスパイプログラムを自分で作って、ネット上のハッカーの溜まり場を覗いてみた。ときどきハッカーたちが沢山の"ケーブル用プログラム"を持っているのを見かけたし、かれらは"CATVにいくらこれが仕掛けられてるか知ってるか？"って言っていた。
ケーブルプログラムとは、CATVに繋がっているWindowsマシンを自在に操作でき、それが動いているマシンの所在もわかっているのだ。

その後の5日間

最初の5月4日で攻撃は終わることなく、まだ8日間も残っていたことを後から知ることとなった。DoS攻撃は他のサイトが経験したのと同じように一時の催し物のよう繰り返された。しかし静かだったのに5月12日の深夜までで、突然再開された攻撃は8時間に及び5月13日まで続いた。

5月4日最初の攻撃
ISPにフィルタを設定する17時間の間攻撃された。ルータのフィルタによって攻撃は防いでいるが衰えてはいない

5月13日 2度目の攻撃
最初の攻撃と同じであっちこっちのWindowsマシンから攻撃を受ける。Verio経由の帯域はまだ疑わしい(ベストではないと言うこと)。ルータの設定をまたフィルタしてもらうまでの8時間もインターネットから蹴り出された。不幸にも私はVerioの広告し約束した24/7のサービスは8/5だったことを学び始めた。

5月14日 2回に分けて3度目の攻撃
Verioがgrc.comのサーバへの攻撃をフィルタして以来、今回3度目は私たちのFirewallのIPに対しての攻撃であった。これは一つのマシンをインターネットから締め出すものでT1トランクの片側をつぶすものであった。攻撃のトラフィックで再びT1が飽和して私たちはインターネットから追い出された。私たちはVerioの主要エンジニアである<Grain>の家の電話番号を知っていたのでgrc.comを再びインターネット上によみがえらせるためにFirewallのIPをルータのフィルタルールに追加してもらった。どうやってハッカーは私たちの対処を見ることが出来たんだろう？2時間後に再び攻撃が再開したとき、次はCiscoルータのもう片側のT1トランクに対して攻撃してきた。おかげでまたまたT1トランクが飽和してインターネットから締め出されてしまった。再びVerioに電話してそのT1を完全にシャットダウンすることを決断した。そのためインターネットには戻れたがT1の片側運転になってしまった。

5月15日 4度目の攻撃
片側運転になってからすぐ(夕方5時に)また6時間30分も(11時30分まで）インターネットから叩き出された。Ciscoルータのファームのバグのせい(これについてはまた後日きっちりと書かせてもらうつもりだ)であった。この攻撃に対応するための包括的なフィルタルールは猫とねずみの結婚の方がよっぽど簡単だと思うくらい不可能であった。もうインターネットのことは忘れることにした。ログを集めてサーバのDiskのデフラグでもすることにした。

想像どおりかな？
この最初からの攻撃はインターネットのセキュリティを考える上で興味のあるもので、大切な気晴らしでもありうるさいものになった。5月16日(水)からVerioのエンジニアと電話で系統だってgrc.comのドメインを守るために、接続しているT1インターフェイスのCiscoルータの設定とテストを行うことが出来た。このときわたしは攻撃をしてくるものがどうやっているのかのプロファイルを正確に組み立ててみた。攻撃はセキュリティを破られたWindowsベースのマシンから来ていることがフィルタのルール作りとCiscoルータのバグ(これは本当に頭痛の種であったが)によって経験し確認できた。最後に新しいフィルタをこっそりいれて攻撃が再開する夜をひっそりと待ち受けた。

5月16日 5回目の攻撃
私たちは絶対に仕返しがあるものと覚悟していた。grc.comドメインはVerioルータの片側で強烈な攻撃を受けずに動いていた。そして次の日Verioの技術者にUDPで666番ポートの攻撃をどれくらい防いだのか尋ねたところ12,248,097と返答された。

攻撃してくるWindowsPCは最大64KのサイズのUDPパケットを生成できる。しかし1500バイトに分割されて666番ポートに到達してくる。ということは666番ポートにくるパケットはだいたい43バイトのヘッダを加えたとして計算してみるとルータで堰き止めた分割前の攻撃パケットの数は538,916,268個になる。

5月17日～20日 6回目の攻撃
Verioのルータで完全に遮断しているので正確なデータと時間はわからないが、ルータの666番ポートで堰き止めたパケットの数は以前確認した5月16日の1200万から54,528,114に跳ね上がっていた。最終的にこの期間でのルータにより堰き止めたパケット数は2,399,237,016だった。まさに24億ちかい数である。

もし攻撃にWindows2000やホームユーザ対象のWindowsXPが使われていたら(来年からはそうなるのだが)私たちは攻撃に対してまったく手が出なかっただろうし、すぐにインターネットから蹴り出されていたはずだ。このことはインターネットを利用する人なら誰でも想像できることだ。

Wickedが言うには
5月15日 DDoS攻撃に耐えきった後で、私たちのニュースグループサーバに対して grc.comが攻撃に対して責任と名声を主張する投稿があった。

やぁ、おれだよ。Wickedだ。おれがサーバにUDPとICMPパケットを打ち込んでるんだ。Ciscoルータはいいなぁ。ところでおれは13歳なんだ。このハンドルは新しく付け加えたものだから、ハンドルから追跡は出来ないぜ。あんたはT3に上げたらいいよ。おれたちはいつでもあんたらの中に入っていけるし、おれたち"Script Kiddies"を止められない。だっておれたちはあんたより優れているんだ。素直でシンプルなんだからな

ようこそ！13歳のインターネットテロリストの勇士よ

わたしは直ぐに礼儀正しくWickedにニュースグループ経由で返答した。そして何でも彼が選んだ好きな匿名電子メールで連絡をくれるようにお願いした。わたしはなんとしてもこの分散攻撃が沈静化させる方法と、彼らを止める方法をみつけたかったのだ。

WickedはしばらくしてYahoo.comのメールを使って連絡してきた。

よう！あんたはこれが匿名だと考えちゃいないだろう。でもこれは偽の情報さ。盗んできたEarthlinkのアカウントで送ってるんだぜ。いいよぉこれ。攻撃の実行について話そう。そう、おれがやった。理由はおまえが前におれ達のことをニュースの投稿で"Scripts Kiddies"って呼んだからで、おれともう2人の同調者でやったんだ。それでおれは言ったよな。おれはチームを組んであんたのCiscoルータを地獄に突き落としてやるって。・・・それでおれはもっとすごいBotを自分で組んだんだ。Sub7みたいな中途半端なトロイの木馬じゃなくてな、もっと強烈なやつだ。あんたのバックボーンは糞が詰まったみたいにすごいことになってるだろう。ICMP Pingをもっと送るか、落とすかだが、バックボーンとおれ達を静めようと思ったらあんたがおれ達に"No"って言わないとダメなんだよ。おれ達はいつもあんたやT3まで見張ってるんだよ。今日はうまいこと止めたじゃないか。おれたちゃまた違う方法を見つけてこのゲームを続けられるんだぜ。今日はもっと面白いものを見つけたんだ。"地獄の炎"や"DrGreen"に手伝ってもらわずにな。そう、Sub7の"地獄の炎"だよ。おれ達はあんたが今でもバカにしているような"ScriptKiddie"じゃねぇよ。あんたがおれとじかに話したいんならIRCを使いな。Wickedでちゃんと出てくるぜ。じゃぁな

Wickedからわたしへの返信ではわたしが全部悪いんだと丁寧に説明してある。わたしはNanoProbeという製品のページの中の「全世界のハッカーへの感謝する」という文の中で、「その世界がエリートハッカーとScripts Kiddieの2つに別れると思う」と指摘している。いつもどこかでエリートハッカーが他の人の我侭のために骨を折っていることに敬意を表しているのだ。でも、それは有り得かもしれないが、怒らせること無しに、偶然にだれかがそれを見ても傷ついたりしないだろう。わたしは彼といくつかの週にニュースグループの一つで彼の友人の"地獄の炎"と"DrGreen"を巻き込んでもっとレベルの高い論争をしていた。でも論争の中でそれを示したことも、それについて争ったことも無いんだけれど。

Wickedの返答からたぶん彼は「私が間違っている」とその言葉が出て以来ずっと思ってるようだった。彼は友人たちと自発的に話していたし、攻撃を中止した。彼らはこれ以上攻撃を続けることは無いと約束したが、言ったすぐ後で5月16日の夕方に攻撃を再開した。

他の方法はな、セキュリティをついてあんたに近づいてやる。いまDDoS攻撃してるけど別にあんたをバカにはしてないぜ。おれを追跡してFBIに通報する最初のチャンスに賭けてるんだ。あんたには話をしてる方が興味深い人物に見えるだろうけどな

今ちょうどDDoS攻撃してるんだ・・・ちくしょう！

幸運にも、それはルータのフィルタを強固に設定した最初の夜だった。私たちはVerioのルータで5億4000万の帯域を食い尽くすような攻撃パケットを防いでいたので何も不具合を感じていなかった。わたしの"Wicked"とのダイアログでは、"この繰り返しの攻撃は彼にとっては面白いだろう。まるで"蜘蛛の足を引っこ抜いて、蜘蛛がもがきながら逃げようとする様を見ながら、どうしてやろうかって考えている"って見ている子供みたいだと。それに彼は後悔という必要な経験をしていないし、この結果がどういうことをもたらすのかも考えていない。かれを捕まえることも出来ないし、絶対に捕まらないと信じている。インターネットが作り出した匿名性の後ろにいれば大丈夫だと思っているし、その匿名技術を信じている。また彼は社会の常識を持っていないことを示している。

これを読んだ全ての人が、13歳の子供だからインターネットのサービスを勝手に拒否しても自由だし罰を受けないとしたら、インターネット経済なんていつまで経っても安定しないということを認識してくれることを希望する。

私はこれまでのような攻撃が止まってくれることを望んだ。でもWickedに言うことを親みたいに聞く気はない。ルータのフィルタに守られた裏側にいる間は本質的な機能を提供することは不可能だ。ShieldUpサービスで提供しているようなPingも、trace routeもUDPのフラグメントも送受信することができない。つまりインターネットの全ての機能が使えないからだ。この永い期間grc.comの提供するインターネットセキュリティサービスは重要な問題があるフリをして行かないといけない。

もっとましな解決方法を見つけたぞ

EarthLinkは見てみないフリをする
わたしはまだこの13歳の問題児に何をしたらいいのか見つけられなかった。とりあえず私が持っているオプションに手を掛けた。まずWickedが私たちのニュースグループに投稿した内容とYahoo.com経由で送ってきたメールはどれもオリジナルのIPは同じ狭いアドレスの範囲にあり、それはGunuity、BBN Planetというウィスコンシン州ケノーシャにあるISPに割り当ててある。これはEarthLinkの再販会社だ。ここでWickedが犯罪を犯した"EarthLinkの盗んだアカウント"と完璧に一致した。

わたしがWickedの正確な日付、時間、接続してきたダイヤルアップのIPを収集してから、もしかしたらEarthLinkでFBI捜査するための資料としてダイヤルアップの接続記録などを保存できたんじゃないかと感じていた。もし彼の自宅の電話番号が特定できたら彼を見つけることができる。でもEarthLinkはわたしにそんな記録を見せないだろう。でもわたしが今欲しいのは対抗した証拠でこの先必要になる可能性がある。

この事件の2ヶ月前、EarthLinkのプライバシー担当者のLes Seagraves氏と特殊なEarthLinkブラウザタグの理解と探求でとてもよい関係を持っていた。でも不幸なことにLes氏のボイスメールには今月は出張で居ないと説明がしてあった。そこでわたしはEarthLinkの広報担当重役という肩書きのKurt Rahn氏にアポイントをとった。彼にはたくさんの鳴り響くような動機をしたためた刺激的なメールをもらった。しかしあれから何も起こらない。その後望みを持って数日間待っていたが、最後にはkurt氏に電話して、Bitを不安定にするサウンドの私自身への許可を与えた。それはちゃんとわかるような効果は無かったそこれKurt氏はたくさんの約束をした。決して証拠にはならないが誰かが一人で接続したらEarthLinkのセキュリティ担当者からわたしへ連絡するようにと。。

ハッカーズメモ

光は見えたのだろう、でも＠Homeには誰もいない
100を超えるセキュリティを突破され攻撃ゾンビのトロイの木馬を仕掛けられた＠HomeのユーザーのIPを記録から数えることができた。それらのマシンは大変攻撃的なSub7サーバの最新版がインストールされているはずだ。こういった犠牲マシンへの授与は"ゾンビマスター"と呼ばれるハッカーによって完全にコントロールされている。Sub7Serverが侵入して起動している間は全てのキー入力は監視されている。たとえばオンラインで入力するパスワードやクレジットカードの番号、インターネット銀行のパスワードや口座名などである。

いま、これは大変なことだと考えてみたのではないか？@Homeのセキュリティチーフも同様に・・・でもそうではなかった。わたしは彼に電話とボイスメールでこの詳細を伝えようとした。でもわたしはシステムの中に押し込んでしまった、そしてabuse@home.comのIPをメールで尋ねた。遮断していた記録してあるマシンのIPは現れなくなってそれが誰であったのか知るすべもなくなってしまった。もし何かが、何かをしたのに違いない。わたしに次の日Toddから返事の電話がかかってきた。わたしはなぜなのか判らないが、彼は深入りせずに、もうこの問題は片付くんじゃないかと思うよ、もう終わりさと言ってきた。わたしもそう思いたい。

わたしは説明した多くの侵入されてしまいゾンビに感染した@Homeユーザーのマシンは*.sfba.home.comのドメインで、これはサンフランシスコの港湾地帯を示していると推測して、このことは彼もこれはしぶしぶ了承した。@Homeから来ているのはペニンシュラの湾岸地帯にあるRedwood市にある。わたしは多分それらゾンビに侵入されている@Homeユーザーを見つけ出してそのうちの数件には連絡できるのではないかと考えた。

ここ2週間しつこく悩ませてきた不愉快な悪魔のような経験を分けてやっと理解することができると思うとイライラと落ち着かなかった。

Toddにゾンビを解析した後に@Homeの全ユーザーにスキャンしてゾンビを見つけたいと言った。そして見つけて追い出してやる。もう二度とToddや@Homeを悩ませたりしないように。でもかれは「どんな分類も協力できない、普通はFBIを加えてやるもんだし、いまはFBIが居ないだろ」と断ってきた。そして次にはこんな恐ろしいポリシーは変えないはめになるだろう。このすばらしい返事は

とりあえず今日はここまで

-------------------------
ZoneAlarm

最後にわたしはみんなが使っていると言うZoneAlarmがFirewallとして機能するかをテストした(フリーとプロと両方)。囮のマシンに常駐させてIRCのZombieとBot、Sub7を効果的に止められるか判断してみる。
Freeのカレントバージョンをダウンロードしてインストールをする。リスタートして即座にZombie/botが外部のIRCサーバに接続しようとしていると言う警告が出てきてうれしくなった。
その一方でSub7は静かに外部からの接続を待っている。そこで他のマシンからTelnetでSub7に対して接続をしてみた。ポップアップがあがってめちゃくちゃな名前のアプリに外部から接続しようとしているが許可するか？と聞いてきた。

完璧だ！つぎはBlackICEを同じ環境で試してみよう

BlackICE

わたしは最新バージョンのBlackICEは持っていない。しかし新バージョンをテストすることが大切だと痛切に思っている。それなので$39.95を用意してインターネット経由で購入できるのを待っているのだ。すでにZoneAlarm関連は削除したマシンを用意してBlackICEをインストールした。インストールが完了するのを待ち、となりのマシンにSnifferプログラムを動かしてマシンをRestartした。
しばらくして私は、BlackICEは囮PCで動いているZombiesやトロイの木馬の動作に対して絶対にわずかの効果も無いということを知った。BlackICEは中途半端なPersonal Firewallだと知っている。しかしこの事実に私をあらためて驚いた。
ちゃんとZombieやBotはさらに恐ろしい命令を実行するためにIRCサーバとの接続を何の障害も無く保っている。Sub7は待ち受けているIPとポートをeMailで送っている。それは繰り返し暴露されたSub7のIRCサーバのIPアドレスとポートに接続していた。警告も出ない、タスクトレイのアイコンがフラッシュすることも無いのである。トロイの木馬を妨げるものは無いし、怪しい兆候があることも知らされなかった。

わたしはLeaktestをテストしたときBlackICEが簡単に通過させるのを見てとても悲しかった。NetworkICEは誰にでもLeakTestは完全な良性のトロイの木馬なので通過を許可してしまうのさと言っていた。わたしは機能を盛り込めば重くなることは知っている、しかしそれは本当に重要なことではない、それは別の意味であり肯定できない。今はそう思っている、あなたもそう思わないか？

最後にもう一度テストしてみた。
ZoneAlarmでしたように囮マシンでSub7を起動しIPとポートを指定してTelnetで接続を試みた。するとSub7のパスワードダイアログが目の前にちゃんと現れた。

「誰かいっぺんしか使っていないBlackIce欲しいってやつはいないか？」本当に使ってないから大丈夫だよ！

BlackICE信仰者は未だにこれで充分だと言い張るが、私に文句は言わないで欲しい。わたしはただの研究者であなた方の信仰や意見を聞きたいのではないし、あなた方の信仰を妨げるつもりは無い

この追跡の締めくくりとして

The contents of this page are Copyright (c) 2001 by Gibson Research Corporation.
SpinRite, ChromaZone, ShieldsUP, NanoProbe, the character 'Moe' (shown above),
and the slogan "It's MY Computer" are registered trademarks of Gibson Research
Corporation (GRC), Laguna Hills, CA, USA. GRC's web and customer privacy policy.