Hatena::ブログ(Diary)

mmasudaのはてな日記 このページをアンテナに追加 RSSフィード

[告知]

月曜深夜-火曜の(日本時間)ESPN Sports Center USA を元にもどしてくれ!という呼びかけを行っています。NFLファン・アメフトファンの方是非 J Sportsの問い合わせ窓口より適宜抗議&要望を送信しましょう!

[注意]

  • こんな チラシの裏 みたいな ページに有益な情報がある訳がありません。2次3次情報に頼らず、まずはマニュアル/ソースコード/規格書/RFC/代理店/メーカ等に問い合わせしましょう。
  • 当日記は個人的な見解を述べものに過ぎず筆者の所属・勤務している団体の見解とは一切関係ありません。
  • 当日記の内容を実行したことによる損害等に関しては筆者は責任を負いませんので、読者自身でご判断願います。
  • 当日記は、筆者の日常の全てが記述されているわけではありません。また予定は全て未定です。
  • リンク・コメント・トラックバックはご自由にどうぞ。但しコメントおよびトラックバックは当日記の筆者が適切でないと判断したものは適宜事前事後の通告なしに削除します。また"自動化ツールによるトラックバックスパム"と思われるものに付いては削除した上で晒し上げますので、晒し上げられても問題ない方だけどうぞ。
  • 当日記には「linkを張っているだけ」という記事が多々ありますが「linkを張っているだけ」と言う状態はあくまで「linkを張っているだけ」というだけでそれ以上でも以下でもありません。勘違いしないでください。
  • リンク先にはまれに職場等で開くには不適切なリンクがある場合がありますのであらかじめご注意ください。
  • NFLの試合結果等は国内TV放映のスケジュールを配慮せずにどんどん書き込む方針ですので、「結果をいち早く知りたくない人」はお気をつけください。 っつーかNFL GAME PASS HDで高画質ネット生中継ぃぇぃ。
  • "たのみこむ"でNFL国内放送の充実!というリクエストをやっております。NFL GAMEPASSで要望の大部分は満たされつつありますが、まだ完全に満たされていない点も多いので是非投票のほどよろしくお願いします。
  • Kevin Matthews(matthews@artifice.com)氏がFlash Player のFreeBSD 対応について 署名を募集 しているようです。
  • "これはひどい" アイコン を導入しました。[これはひどい]というエントリがありましたら容赦なく"これはひどい" 追加アイコン width=をクリックしてください(参考link その1,その2)。
  • "これはひどい" アイコン は"スター"でも"拍手" でもありませんので、そのような使い方は止めてください。あくまで[これはひどい]と思われるものだけクリック願います(特にひどい箇所を範囲指定してからクリックすると参考になります)。
  • イスラエル・パレスティナ及び関係諸国は今一度オスロ合意の原則に立ち戻り、対話・和平・和解のプロセスへ立ち戻るべきである。
  • パケットの気持ちになって考えよう。:-)

2008-06-12 6月度の雇用統計上の失業者にカウントされた一日

[][] 例のさくらの件  例のさくらの件 - mmasudaのはてな日記 を含むブックマーク  例のさくらの件 - mmasudaのはてな日記 のブックマークコメント

サポートで色々やりあっていたが"GWアドレスが乗っ取られたら直ぐにアラートを出すようなシステムを構築・運用を開始した"旨報告を本日付けでもらう。

とりあえずはこれでcloseかな。

2008-06-05 久しぶりに動き回った一日

[][] (終)ホスティングでは同一セグメントのマシンセキュリティと一蓮托生  (終)ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記 を含むブックマーク  (終)ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記 のブックマークコメント

個人的には自明過ぎてばかばかしいのだけど、世間の反応を見るにつれ書いておかないといけないかなぁと思いつつ書いておく。べつに当該ISPの方を持つわけじゃなくて一般論としてな。

FAQ

VLAN切ればよかったんじゃ?

上記の問いは技術的には

  1. /30 でセグメントを切る
  2. セグメントの切り方はそのままに "マルチプルVLAN*1" とか "プライベートVLANエッジ*2"をつかってエンドノードはGWへの通信しか出来ないようする

という二つの意味がとれるわけだけど

  • 1.も 2. も VLAN ID や VRRP(HSRP)の消費量が格段にあがる>コストに跳ね返る
  • 2.に関しては" ホスティングでたまたま同じセグメントに居るからアクセスできないとか速度がアホみたいに遅いなんてサービスだったら普通暴れるだろ常考" とだけ書いておく

arp spoof という言葉に気をとられている人ばっかりのようだが

MITM攻撃という観点からすればべつにarp spoof(arp cache poisoning)じゃ無くてもいいという論点が抜けていないか?というのが諸方面の反応を見たときの感想

ホスティング環境内という枠だけで考えても

  • VRRP(HSRP)的にふがほげしてRouter 乗っ取り詐称
  • (いろんな手法ありすぎ)して TCP Session Hijack

とか、ねぇ?

ホスティング環境じゃなくて、無線LAN環境とかホテル/マンションインターネット環境等とか"如何に中間攻撃を仕掛けることができるか"と今一度考えてみるといいんじゃないか、と言うのがおれなりの今回の教訓かと感じてますわ。

というわけで

急募: さくらの専用サーバーと同等以上のサービスメニュー*3サービス水準・値段で/30で収容しているホスティング業者。

……そんなところ本当にあるのかしらんが。

過去の記事

追記

弊社ネットワーク内ホスティングサーバへの攻撃による影響について

閲覧者向け警告。

*1:アライドテレシス用語

*2Cisco用語?

*3:個人的にはFreeBSDホスティングは必須

2008-06-04 くたばっていた一日

[][] (続)ホスティングでは同一セグメントのマシンセキュリティと一蓮托生  (続)ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記 を含むブックマーク  (続)ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記 のブックマークコメント

To: support@sakura.ad.jp 宛でメールが飛んできた。公益性が高いと判断したので以下全文転載(確信犯)。

Message-Id: <200806040838.m548cxkZ055751@mail.sakura.ad.jp>
Date: Wed, 04 Jun 2008 17:38:59 +0900
From: SAKURA Internet <support@sakura.ad.jp>
To: support@sakura.ad.jp
Subject: 専用サーバ10Mスタンダード(219.94.145.0〜127)障害のご報告
Sender: support@sakura.ad.jp
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
X-Mailer: Becky! ver. 2.21.03 [ja]


                                           さくらインターネット株式会社
                                       代表取締役社長 兼 最高経営責任者
                                                              田中 邦裕


    [ 専用サーバ10Mスタンダード(219.94.145.0〜127)障害のご報告 ]


平素はさくらインターネットをご利用いただき、誠にありがとうございます。

2008年6月1日(日)01時52分から6月2日(月)17時23分にかけて、弊社ネット
ワークに対する外部からの攻撃により、専用サーバ10Mスタンダードの一部の
範囲において障害が発生いたしました。

具体的には、IPアドレス「219.94.145.0〜127」ネットワーク内の一台のサーバ
に不正な設定がなされ、ARPスプーフィング(ARP Spoofing)と呼ばれる手法に
よる弊社ゲートウェイの不正利用と、不正な設定がされたサーバより、一部の
通信へ攻撃コードが挿入されるという事象を確認しております。また、これに
伴い同一ネットワークの通信が不安定となりました。

本件について、障害対応およびお客様へのご報告が遅れまして大変申し訳ござい
ませんでした。以下に経緯のご報告をさせていただくと共に、深くお詫び申し
上げます。


【発生日時】

 2008年6月1日(日)01時52分 〜 6月2日(月)17時23分


【影響範囲】

 専用サーバ 10M スタンダード(219.94.145.0 〜 219.94.145.127)


【障害1】
 お客様ご利用サーバと同一ネットワーク内に設置されているサーバの一台が、
 ゲートウェイIP アドレス(219.94.145.1)を不正利用いたしました。
 この影響によりお客様サーバからインターネットへ向けられる通信が、問題の
 あるサーバへと誘引されてしまう事象(ARP Spoofing)が発生しました。

【障害2】
 問題のあるサーバ内では、不正利用により悪意のあるプログラムが実行され、
 経由した通信に対し、<iframe> タグを利用した不正な攻撃コードを挿入し、
 閲覧者環境へのウイルス攻撃などを起こした可能性がございました。


障害1(ARP Spoofing)
●通常の動作

+------------+  [Request]   +--------+              +--------------+
|            |──────→|        |──────→|              |
|   閲覧者   |              | ゲート |              | お客様サーバ |
|    (*a)    |←──────| ウェイ |←──────|     (*b)     |
+------------+              +--------+   [Response] +--------------+




●ARP Spoofing による通信経路

+------------+  [Request]   +--------+              +--------------+
|            |──────→|        |──────→|              |
|   閲覧者   |              | ゲート |              | お客様サーバ |
|    (*a)    |←──────| ウェイ |  ┌─────|     (*b)     |
+------------+              +--------+  │[Response]+--------------+
                                ↑      │
                                │      │詐称により誘引される。
                                │      │
                                │      ↓
                                │    +------------+
                                │    |            |
                                └──| 問題サーバ |
                                      |    (*c)    |
                                      +------------+



1.  インターネットを通じてお客様サーバ上のウェブサーバに寄せられた
    アクセス要求 (上図中の [Request]) は、さくらインターネットの
    ゲートウェイ・ネットワークを通り、目的のウェブサーバへと送られます。

2.  リクエストを受けたウェブサーバは、アクセス元に対する応答 (上図中の
    [Response]) を返します。

3.  同一ネットワーク中に、ゲートウェイの IP アドレス(219.94.145.1)を詐称し
    ていた問題のサーバ (*c) が存在するため、応答のパケットは ゲートウェイ 
    もしくは 問題サーバ のいずれかを経由します。

    ※ 問題発生中は、いずれに対してパケットが送信されるか、不定な
       状態にあったと考えられます。




障害2(iframeタグの挿入)

+------------+  [Request]   +--------+              +--------------+
|            |──────→|        |──────→|              |
|   閲覧者   |              | ゲート |←──?───| お客様サーバ |
|    (*a)    |←──────| ウェイ |  ┌─?───|     (*b)     |
+------------+              +--------+  │[Response]+--------------+
                                ↑      │
                                │      │
        [malformed Response]    ※      │
        問題サーバを経由した    │      ↓
        通信に攻撃コードが混入  │    +------------+
                                │    |            |
                                └──| 問題サーバ |
                                      |    (*c)    |
                                      +------------+



1.  問題サーバ (*c) は、受け取ったパケットのデータコンテンツに
    <iframe> による攻撃コードを挿入していたと考えられます。

    ※ お客様サーバから、ゲートウェイを直接経由して閲覧元に返された
       レスポンスに問題はありません。


   *a : 閲覧者
             お客様サーバへアクセスした一般のインターネットユーザーです。

   *b : 影響を受けた専用サーバ(219.94.145.0 〜 219.94.145.127)
             これらサーバ上のウェブサーバにアクセスした場合に、閲覧者が
             ウイルス攻撃などを受けた可能性がございます。
             お客様サーバ自体は、不正侵入やウェブページの改竄などの被害は
             受けていないと考えられています。

   *c : 今回の障害の原因となった問題のサーバ
             不正利用によりゲートウェイ IP アドレスを詐称しており、この
             サーバ上で悪意のあるプログラムが実行されておりました。
             *b と同様に専用サーバとして提供しておりましたが、クラッキン
             グにより加害サーバとなった。


【原因について】

 219.94.145.0 〜 219.94.145.127 のネットワークに収容されている一台の
 サーバがクラッキングにより不正利用される被害が発生しました。その影響に
 より該当サーバのネットワーク設定において、弊社ゲートウェイの IPアドレス
 (219.94.145.1)を不正利用した状況となり、同一ネットワーク内に収容され
 ているサーバは断続的に通信が不安定となる状況が発生しました。

 該当サーバをネットワークから隔離することにより障害は解消しましたが、
 問題となったサーバの内部調査を実施したところ、該当サーバはウイルス
 感染を起こしていたことが判明しました。

 ウイルス感染の影響によって、該当サーバでは不正なプログラムが実行されており、
 発生時間帯において、外部から影響範囲のネットワーク中のウェブサーバへの
 リクエストを受けた際、アクセスを受けたサーバから閲覧者へ送信された
 レスポンスが、弊社ゲートウェイの IP アドレス(219.94.145.1)を詐称していた
 問題となるサーバを経由する場合がある状況が発生いたしました。
 問題のサーバは不正に中継したデータに対して、<iframe> による不正な攻撃
 情報を付加した可能性が高いと考えられます。
 閲覧者の端末にてウイルス対策ソフトなど防御策を講じていない場合、ウイ
 ルス感染など被害を受けた可能性がございます。



【障害経緯】

  2008/06/01(日)
   01:52   :ゲートウェイ IP アドレスの不正利用発生(ログによる)

  2008/06/02(月)

   16:00   :お客様からの問い合わせメールにより、ウェブサーバ接続時に
             不正な <iframe> タグが挿入されるという報告を確認

   16:30   :お客様からの問い合わせメールにより、ゲートウェイIPアドレスが
             不正に利用にされている可能性の報告を確認
             ※この段階では上記<iframe>と関連している問題と認識できず

   16:45   :不正に利用している問題のサーバの特定作業を開始

   16:55   :ゲートウェイIPアドレスの不正利用と、<iframe> による攻撃の関
             連性について情報収集を開始

   17:13   :ゲートウェイIPアドレスを不正利用している問題のサーバを特定

   17:23   :問題のサーバをネットワークから隔離
             ※この時点で今回の障害は復旧 

             以降、当該契約者と連絡を行い、問題サーバの内部調査と、
             事実確認などを実施
             現状に至る


【対応状況及び対策について】

  原因となったサーバのネットワークからの隔離と、ご契約者様およびサーバの
  調査を継続して行っております。現時点では悪意のある第三者からの不正アク
  セスが原因である可能性が高いと判断しております。

  ネットワーク配下の専用サーバが他のサーバのIPアドレスを不正利用する場合
  と異なり、本件のようなネットワーク配下の専用サーバが不正利用され、ゲー
  トウェイIPアドレスを詐称した場合の検知システムが整っておらず、長時間に
  わたり障害が発生する結果となりました。

  今後は、社内フローの見直し及び検知システムの整備を進め、再発防止に徹底
  して取り組んで参ります。

  この度は多大なるご迷惑をおかけ致しましたことを心よりお詫び申し上げます。



ご不明な点やご質問等ございましたら、本メール返信にてお問い合わせください。

今後ともさくらインターネットをよろしくお願いいたします。

─── さくらインターネット株式会社 ─────────────────

■カスタマーセンター (ご利用サービスについてのお問い合わせ窓口)
  URL    : http://support.sakura.ad.jp
  TEL    : 0120-775-664 (通話料無料) 平日 10:00〜18:00

───────────────────────────────────




関連

さすがひろみちゅの人は本質を分かっている。

個人的には"さくらインターネットの監視体制の甘さ"以外は問題にしていないです。当該セグメントにサーバーを借りていた一人としては。

2008-06-02 初めてのクラッキング被害な一日

[][] ホスティングでは同一セグメントのマシンセキュリティと一蓮托生  ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記 を含むブックマーク  ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記 のブックマークコメント

notwork.jpおよびunixluser.org サーバを稼働しているマシン(asuma.notwork.jp)のH/W及びOSのバージョンが古くなっているので、その代替として準備していたサーバ(carla.notwork.jp) のあるセグメントでGW router のarp spoof によるhttp中間攻撃*1が発生していた模様。

ISP側対処の最終報告が合ったのちに当該サーバの処遇に付いては考えます。

あまりサービスを移管していなかったのが幸い。

追記捕捉)

上記だけでは理解できない人もいるであろうから追記捕捉。当該セグメントで私が借りていたサーバ(carla.notwork.jp)に侵入されたとかそういうことでは無いので念のため。

一応ひと通り見て回ったけれども特におかしなところは無い(ように見受けられる)ことは明記しておきます。

さらに追加愚痴?

この手の中間攻撃は別にarp spoof に限ったことじゃないんだけど、対岸の火みたいな反応になっているのが何だかなぁと言う感じ、kjm さんのところでもarp spoof の側面しか取り上げてないように見えるし。

*1:Man in the Middle Attack. MITM Attack, 中間者攻撃とも言う

gtk042gtk042 2008/06/04 22:13 arp spoofingによるMITM攻撃、とか正確に書いたほうがよかったですね…
手法のキーワードだけが先走りして、そのインパクトがちと適切に伝わってない気がするのは同意です。
(それもあって、おいらのmixi日記は「被災」という表現をしました)