wakatonoの戯れメモ このページをアンテナに追加 RSSフィード

たわいもないこと(日々の妄想とも言う)をつらつらと書いてます。断じて壊れメモではありません。ましてや「穢れメモ」でも爛れメモでもありません(涙)。
が、時により一つのことを掘り下げる傾向が見られるので、article数は少ないカモ。
ちなみにSlashdot Japanの日記もあります。個人的な連絡がある方はwakatono@todo.gr.jpまで("@"は2バイト文字になってるんで、てけとうに書き直してください)。GnuPG公開鍵はこちら

他のあたり:PFSEC - Systems Platform and Securityアマゾンのレビュー

強いWindowsの基本 WebDAVシステム構築ガイド(萌えバナーその1)
WebDAVシステム構築ガイドの方のバナーの絵柄は、内容とは何の関係もありません(汗)
アクセス探偵IHARA

おとなり日記はこちら

2013-06-22 やっと激多忙な1週間+αが終わった…

出張+イベントが重なり,ほとんどライフ0状態だったりw.

寝て起きたら,だいぶ回復したけどねw

[]セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(1) セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(1)を含むブックマーク セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(1)のブックマークコメント

年齢的にギリな方々もいらっしゃるので,あまり参考にならない人もいるかもしれない.それでも,今後のステップアップもしくは爆発的成長の糧になればということで,エントリを書いてみる.

大きくは,以下の2つについて触れる.

  • 「やる気を重視する」のオレ的解釈
  • 1年あるとどこまでできるか

[]セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(2)〜「やる気を重視する」のオレ的解釈 セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(2)〜「やる気を重視する」のオレ的解釈を含むブックマーク セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(2)〜「やる気を重視する」のオレ的解釈のブックマークコメント

応募用紙に書いてある「やる気を最も重視する」ってのは,今も昔も変わらない.

「これ以上ないくらいにやる気を込めた!」という応募者(落ちたけど)という人も相応数いるのではないか?と感じている.

それではいったい,「どこで差が出るのか?」を書いてみようか.

  • 「やる気」と「実力」はある程度比例する
  • 書いてある内容を見ると「実力」はある程度推し量れる

「やる気はあるんだ」と主張する人は多いが,それを他の人に見えるようにしてくれている人は多いようで少ない.落ちた人のうち,来年も応募しようと考えてくれている人は,「自分の書いた内容のどこに不足があるのか」を全力で見直したほうがよいだろう.

あと,「やる気があっても内容についていけるか」というところも重要だ.

やる気があっても内容についていけないと,当人にとっても不幸なのである.

あと,同じ「やる気がある」と言ってくれてるのであれば,自分を参加させたほうがいいぞ,と思わせてくれる人を参加させたいのは普通の考えである.ところが「自分を参加させたほうがいい」と思わせるためには,いろんなやり方がある.たまにひたすら「やる気がある」とだけ主張する人がいるが,残念ながらそれだけでは何の判断も行えないし,通った人は何らかの形で「その主張を具体的に示す」ということをやってくれている.

具体的に示すための手がかりは,その年に各クラスで行う実施内容であり,応募用紙の設問にも示されている.そういうところできちんと自分の考え方や手がけていること,そして自分を参加させたほうが面白いということを主張してほしい.

[]セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(3)〜1年あるとどこまでできるか セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(3)〜1年あるとどこまでできるかを含むブックマーク セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(3)〜1年あるとどこまでできるかのブックマークコメント

ある年でダメでも,次の年,そしてまた次の年に応募してきて,参加できた人もいる.

そういう人は,1年間本当にがんばってきたんだな,というような内容を応募用紙に書いてきてくれている.

それこそ,1年ということは,次回の応募開始までは300日程度を取れる.

その間,ひたすらバイナリと戯れてもいいだろうし,パケットデータを読み解き続けてもいいだろう.自分でWebアプリを作って攻略して,という日々を送ってもいいだろうし,あらゆる開発を行ってもいいだろう.

1日1日は長いようで短いが,それでもちょっとした情報を漁り,ファイルを読み,1つでも2つでも知見を積み重ねることが可能だ.そういうオレも,(応募者のみんなと比べると)だいぶ歳は離れてるけどw,そういう日々を送っていたし,今もそういう日々を送っている.手がけてる分野や興味範囲についてはいろいろと広いので,すべてについて語ることは難しいがw,それでも世の中で見られたインシデントについて考えを巡らせ,検証し,ということは日々やっている.

[]セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(4)〜自分の目的のために手を動かすということ セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(4)〜自分の目的のために手を動かすということを含むブックマーク セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(4)〜自分の目的のために手を動かすということのブックマークコメント

まだ「これ」という分野に行き着いていない,もしくは自分でそういう分野があると自覚していない人は,そういう分野を見つけてほしい.

あくまで個人的な感覚ではあるが,そういう分野を見つけた人が,さらなる知見や見方を身に着ける手伝いをするのが講師陣の役割であると心得ている.

お金も人も潤沢にあれば,あらゆる人に対してそういった手伝いを行えるとは思うのだが,残念ながらセキュリティ・キャンプという取組にはそんなに大きな力はないw.

となると,日々何かを追い求めて自分なりの蓄積を行い,講師陣に対して応募用紙というインタフェースを通じて見せてくれた人に対しての取組となる.これはもはやしょうがないところといえる.

セキュリティ・キャンプは最終目的ではなくあくまで手段であり,通過点である.キャンプのために何かをするというよりは,自分が取り組んでいることに有用であるものを得るためにキャンプに参加する,というように考えてほしい.セキュリティ・キャンプという取組のために何かをするのではなく,自分がやっていることをさらに加速させるためにこの取組に参加する,という考え方を持ってほしい.

やる気があって手を動かしている人に対しては,現時点で提供できる最高のものを渡せるはずだ.今回選に漏れてしまった人は,そう考えて動いてもらえれば幸いである.

[]セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(5)〜まとめ セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(5)〜まとめを含むブックマーク セキュリティ・キャンプ2013の応募で残念な結果だった方々へ(5)〜まとめのブックマークコメント

いろいろ書いたが,まとめると以下のところに集約される.

  • キャンプはあくまで手段であり,通過点である
  • やる気をわかる形で見せてほしい
  • キャンプの期間中にやることについていけると思わせてほしい
  • 主張するポイントや手がかりは,きちんと提示されている
  • 1年でやれることは意外とある.考え,手を動かしてほしい

…1年間,がんばってほしいと切に願う.

2013-06-18 DEFCON CTF Quals の write up 書いてみた

[][]3dub 4 rememberme write up - to know to do 3dub 4 rememberme write up - to know to do を含むブックマーク 3dub 4 rememberme write up - to know to do のブックマークコメント

You access to the URL below:

f:id:wakatono:20130618010932p:image

Then you see 3 links to other pages in the server below:

usernames.txt, passwords.txt, login form

links to username.txt and passwords.txt has same structure like below:

access to usernames.txt looks succeed, but access to passwords.txt looks failed

f:id:wakatono:20130618010933p:image

accesscodes in the link to usernames.txt and passwords.txt are same, but only access to the link of usernames.txt is succeeded.

Specified access code was 60635c6862d44e8ac17dc5e144c66539.

This value is the MD5 hash of filename ( in this case, MD5 hash value of string "usernames.txt" ).

You can obtain the value of this filename string as the example command below(I executed the command on the Linux):

$ echo -n usernames.txt | md5sum

you will get the value 60635c6862d44e8ac17dc5e144c66539 as a result.

You can obtain the file by using getfile.php .

[][]3dub 4 rememberme write up(2) - obtaining getfile.php source code by using getfile.php. 3dub 4 rememberme write up(2) - obtaining getfile.php source code by using getfile.php.を含むブックマーク 3dub 4 rememberme write up(2) - obtaining getfile.php source code by using getfile.php.のブックマークコメント

Next step: you can get getfile.php by using itself.

Acecss to URL like below:

http://rememberme.shallweplayaga.me/getfile.php?filename=getfile.php&accesscode=[result of `echo -n getfile.php | md5sum`]

You can obtain the result like below:

Acces granted to getfile.php!




$value = time();

$filename = $_GET["filename"];

$accesscode = $_GET["accesscode"];

if (md5($filename) == $accesscode){

echo "Acces granted to $filename!

";

srand($value);

if (in_array($filename, array('getfile.php', 'index.html', 'key.txt', 'login.php', 'passwords.txt', 'usernames.txt'))==TRUE){

$data = file_get_contents($filename);

if ($data !== FALSE) {

if ($filename == "key.txt") {

$key = rand();

$cyphertext = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $data, MCRYPT_MODE_CBC);

echo base64_encode($cyphertext);

}

else{

echo nl2br($data);

}

}

else{

echo "File does not exist";

}

}

else{

echo "File does not exist";

}

}

else{

echo "Invalid access code";

}

?>

f:id:wakatono:20130618010934p:image

You know your mission is to read key.txt .

[][]3dub 4 rememberme write up(3) - decode the key.txt by guessing the key for encryption 3dub 4 rememberme write up(3) - decode the key.txt by guessing the key for encryptionを含むブックマーク 3dub 4 rememberme write up(3) - decode the key.txt by guessing the key for encryptionのブックマークコメント

When reading key.txt, getfile.php adds process after reading key.txt as below:

<blockwupte>

if ($filename == "key.txt") {

$key = rand();

$cyphertext = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $data, MCRYPT_MODE_CBC);

echo base64_encode($cyphertext);

key for encrypt looks random, but you can guess the key by the description as below:

$value = time();

// (snip)

srand($value);

Random seed is the result of time(), and you can guess the parameter of srand() execution, and you can get the time on the Web server because of raw response data contains the time of Web server like below:

f:id:wakatono:20130618012656p:image

you could get the time value on the server to get the key and cipher text to be decrypt.

you can try the time value on the server , before a few seconds, and after a few seconds as srand() parameter for safe.

[][]3dub 4 rememberme write up(1) - 何をやるかを知ろう 3dub 4 rememberme write up(1) - 何をやるかを知ろうを含むブックマーク 3dub 4 rememberme write up(1) - 何をやるかを知ろうのブックマークコメント

まずは以下のURLにアクセスしてみよう.

すると,usernames.txtに対するもの,passwords.txtに対するもの,loginフォームに対するものと3つのリンクがあることに気づくはず.

f:id:wakatono:20130618010932p:image

usernames.txtとpasswords.txtは,以下のような構造のリンクを持っている.

ところが,usernames.txtへのアクセスは成功するが,passwords.txtへのアクセスは失敗する.

f:id:wakatono:20130618010933p:image

usernames.txtとpasswords.txtの両方へのリンクで指定されているアクセスコードが同じ値になっているが,この値,実はファイル名(文字列)のMD5値である.

実際に以下のコマンドラインLinuxなどで実行すると,60635c6862d44e8ac17dc5e144c66539 という値を得られるはず.得られない場合は,文字を打ち間違えているか,echo コマンドの-nオプションを指定していないために,文字列に改行も含めた形でMD5値の算出が行われているかのどちらかだろう.

$ echo -n usernames.txt | md5sum

このことに気づくと,getfile.phpそのものも取ることができるようになる.

---

[][]3dub 4 rememberme write up(2) - getfile.phpを使って,getfile.phpソースコードを取得しよう 3dub 4 rememberme write up(2) - getfile.phpを使って,getfile.phpのソースコードを取得しようを含むブックマーク 3dub 4 rememberme write up(2) - getfile.phpを使って,getfile.phpのソースコードを取得しようのブックマークコメント

次は,getfile.phpを実行してgetfile.phpを取得する.

余談だが,ファイルへのアクセスを行わせるCGIやWebアプリケーションの脆弱性の中に,任意のファイルへのアクセスを許してしまうこともある.任意のファイルということは,CGIやWebアプリケーションを構成するファイルにもアクセスを許すということにつながり,さらなる脆弱性の発見につながる.

具体的には,以下のようなコマンドラインになる.

accesscodeでの指定値は,適宜計算すればOKだろう.

http://rememberme.shallweplayaga.me/getfile.php?filename=getfile.php&accesscode=[result of `echo -n getfile.php | md5sum`]

すると,以下のような結果を得られる.

スクリプトとしては少しだけ不十分だが,まぁ読むには十分だ.

Acces granted to getfile.php!




$value = time();

$filename = $_GET["filename"];

$accesscode = $_GET["accesscode"];

if (md5($filename) == $accesscode){

echo "Acces granted to $filename!

";

srand($value);

if (in_array($filename, array('getfile.php', 'index.html', 'key.txt', 'login.php', 'passwords.txt', 'usernames.txt'))==TRUE){

$data = file_get_contents($filename);

if ($data !== FALSE) {

if ($filename == "key.txt") {

$key = rand();

$cyphertext = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $data, MCRYPT_MODE_CBC);

echo base64_encode($cyphertext);

}

else{

echo nl2br($data);

}

}

else{

echo "File does not exist";

}

}

else{

echo "File does not exist";

}

}

else{

echo "Invalid access code";

}

?>

f:id:wakatono:20130618010934p:image

ここで"key.txt"という言葉が出てくる.これを読み出せばOK,なのだが,さらに一工夫が求められる.

[][]3dub 4 rememberme write up(3) - 暗号鍵を推測してkey.txtをもらおう 3dub 4 rememberme write up(3) - 暗号鍵を推測してkey.txtをもらおうを含むブックマーク 3dub 4 rememberme write up(3) - 暗号鍵を推測してkey.txtをもらおうのブックマークコメント

スクリプトを見ると,以下のようにkey.txtの時だけは,特別な処理を入れていることがわかる.

When reading key.txt, getfile.php adds process after reading key.txt as below:

if ($filename == "key.txt") {

$key = rand();

$cyphertext = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $data, MCRYPT_MODE_CBC);

echo base64_encode($cyphertext);

要は「ファイル名がkey.txtだったらば,乱数を鍵にして暗号化する」というものだ.

ところがこの鍵,以下に示すようにとっても推測しやすいものであるw

rand()の前に関連する処理を見てみると,以下のとおりである.

$value = time();

// (略)

srand($value);

srand()のパラメータに,time()の実行結果を指定している.

Webサーバのレスポンスに,サーバの時刻情報が含まれるために,time()の値は推測が容易である*1

f:id:wakatono:20130618012656p:image

ここまでやっていくことで,鍵と暗号文が入手出来た.

ということで,時刻データ±数秒程度のデータからsrand()+rand()で鍵をいくつか生成し,暗号鍵を作って解いてやると,それっぽい文字列が出てくるだろう.

[][]login.phpは完全にひっかけw login.phpは完全にひっかけwを含むブックマーク login.phpは完全にひっかけwのブックマークコメント

おまけでlogin.phpの内容をざっと見る.

f:id:wakatono:20130618013202p:image

…POSTメソッドでリクエスト飛んできたら失敗させるというスクリプトであり,他の処理が一切書かれてないw

ワロタw

*1:処理のタイミングによっては,time()の値が1秒程度ずれることもありうるため,「推測が容易」と書いている

2013-06-14 いろいろとSAN値が下がったりライフを削られたり

そんな日々ですが,生きている(たぶん).

[]とあるWebサイトのおはなし とあるWebサイトのおはなしを含むブックマーク とあるWebサイトのおはなしのブックマークコメント

ふらふらとあちこち行ってると,とあるWebサイトの最近のお知らせに,以下のような記述が….

緊急メンテナンスしてました.

今後ともよろしくお願いします.

ちょっと気になるところがあったので,上記のWebサイトがホストされてるWebサーバを見たら,以下のような画面が….

f:id:wakatono:20130614021243p:image

…このままだとこのサイト,忘れたころにまたやられると思う….

[]参考:旧バージョンの Parallels Plesk Panel の利用に関する注意喚起 参考:旧バージョンの Parallels Plesk Panel の利用に関する注意喚起を含むブックマーク 参考:旧バージョンの Parallels Plesk Panel の利用に関する注意喚起のブックマークコメント

Parallels Plesk Panel ライフサイクルポリシーにもあるが、現在サポート対象なのは以下の2つ。Parallels Plesk Panel 9は2013年6月9日に、Parallels Plesk Panel 8は2012年9月1日に延長サポート終了日を迎えている。

  • Parallels Plesk Panel 10(サポート終了(EOL)&延長サポート期間の開始日:2014年11月3日,延長サポート終了日:2015年5月3日)
  • Parallels Plesk Panel 11(サポート終了(EOL)&延長サポート期間の開始日:2016年6月13日,延長サポート終了日:2016年12月13日)

ということで、以下の画面があまりにお約束すぎて…

f:id:wakatono:20130614024021p:image

[]上記のようなサイトを放置しとくのか? 上記のようなサイトを放置しとくのか?を含むブックマーク 上記のようなサイトを放置しとくのか?のブックマークコメント

いや,もちろん放置する趣味はまったくない.

ただ,whoisなどで調べた結果,「まるでとりあってもらえそうにない」とか「指摘したこちらが嫌な気分になる」というシナリオしか見えなかったという感じなのであるよ….

2013-06-11 セキュリティ・キャンプ2013の応募は締め切られました

予告通り(?),6月10日の17:00(日本時間)をもって,応募は締め切られた.

おつかれさま!,と言いたいところなんだけどw,応募した(と思ってる人)には,まだ大事なことが待ってるんだな,これが(!)

[]セキュリティ・キャンプ2013に応募した後にやることは? セキュリティ・キャンプ2013に応募した後にやることは?を含むブックマーク セキュリティ・キャンプ2013に応募した後にやることは?のブックマークコメント

応募して後は待つだけ,といえばそのとおりなのだけど,選考結果が通知される前に,そもそもその応募がきちんと受理されているのか?の確認が必要だ.ということで…

「事務局からの確認メールの到着を確認する」こと.

応募要領には,以下のような文言がある.

応募された方には、担当より「セキュリティ・キャンプ中央大会2013 応募用紙受領」というタイトルの確認メールを送信します。

応募用紙送付後、2日間経過しても確認メールが届かない場合には、応募用紙が受領されていない場合がありますので、窓口まで必ずお問い合わせください。

締切が2013年6月10日(月)17:00なので,6/13(水)中までに確認メールが届かない人は,必ず6/14(木)中に窓口まで問い合わせてほしい

[]チューターに応募した人は? チューターに応募した人は?を含むブックマーク チューターに応募した人は?のブックマークコメント

チューターに応募した人も,何らかの確認メールが届くはずなので,届いてない人はその旨を申告のこと.

[][]暗号で大事なこと〜大変限定的にオレが感じるところ〜 暗号で大事なこと〜大変限定的にオレが感じるところ〜を含むブックマーク 暗号で大事なこと〜大変限定的にオレが感じるところ〜のブックマークコメント

ちょうどぷらぷらと新聞記事読んでたら,「暗号のままデータ分析 NTT、漏洩リスク減らす」というネタが.

このテの話が出てくると,「技術的にすげえ」と感じる一方で,組み込まれる先のシステムなどの「設計」「実装」「運用」で台無しになりかねないとも感じる.

これはセキュリティ全般そんな感じなのだが,すばらしい研究成果を実用化する段階,もしくは実用化された技術を実際のシステムなりに導入するところ,そしてそのようなシステムの運用で,その意義を問われかねないようなフローが存在すると,全部パーになりうる危険がある.

これは別に,暗号のまま〜というこのネタに限らず,何でもおこりうることである.例えば,「AESで暗号化したデータと暗号鍵を同じストレージに保存しておいた」なんてのは,やっちゃいけない運用の1つ.暗号がどれだけ強力であっても,鍵が一緒じゃダメだろという感じで.

ということで,これを有効に使えるようなケースやプロトタイプを示し,あるべき運用の姿も提示できるようになる,てのが,次のステップなんだろなと感じる.

[]研究がお金に結びつく時〜運用に渡せるようになるということ 研究がお金に結びつく時〜運用に渡せるようになるということを含むブックマーク 研究がお金に結びつく時〜運用に渡せるようになるということのブックマークコメント

研究成果すべてが実用化に供するものではないにせよ,実用化されることを考えるのであれば,最終的には運用でどう使われるか?という視点も持つべきかなとは考えている.もちろん,狙ってすごい研究成果を出せるか?といわれると,自分なんかはそんな才覚はないのでw,あれこれ考えながら「こうあるといいな」というものを見つけ,調べ,作っていくわけだけどね.

研究から運用までを軽く分解してみると,以下のような感じになる.

  • 実用化されることを見越した,もしくは実用化しやすい研究成果
  • 実際の開発で使われることを目指した実用化
  • 運用をきちんと考えた開発

たいていの場合,素の研究成果がそのまま運用までストレートにつながることってのは考えづらい.となると,研究成果を運用までつなげるためには?ということを考えなきゃいけない.これは正直,研究だけやってても身につかない.よく「絵に描いた餅」といわれるが,ある程度自分で設計,開発,運用をやれる技量およびやった経験がないと,餅すらも描けないことになる.

経験的には,ここに研究者の考え方と実運用を行う者の考え方の間のギャップが見られるのではないか?と考えている.

システムとして作られたものは,最終的に運用をまわせて初めてお金を産み出せるようになるが,この「まわせる運用」を実現出来ないと,入ってきたお金が全部運用のための工数に消えて,利益すら取れないか,もしくは利益を取るために運用費用が高止まりし,結局使われないということになりがちだ.これは,システムの設計や作りがよくないとそうはならないし,コア技術として導入されるものの筋がよくないと,そもそもシステムの設計や作りをよく出来ないのではないか,という疑念が浮かぶ.

ということで,すべての研究が運用を意識する必要はないのだが,実用化やお金を産み出すことを想定した研究成果は,運用でどのように使われるのか?ということを意識したものでないと,とてもじゃないけど危なくて使えない〜既存の方法論や技術を採用する〜ということになりがちだ.

[]手離れの良い研究〜自分以外にも理解者を作ること〜 手離れの良い研究〜自分以外にも理解者を作ること〜を含むブックマーク 手離れの良い研究〜自分以外にも理解者を作ること〜のブックマークコメント

研究に限らないが,自分以外の人にもその意義を認めてもらい,その後を引き継いでもらえるようにする,というのは大事なことだ.

このために必要なことは,

  • 一見して意義をわかってもらえそうなケースを想定する
  • 見た目もきちんと作る
  • 他者が使えるようになるまでは,きちんと支援を行う

ということだろう.

こういう話をするとたいていの場合,「大量のドキュメント」がセットになると思われがちなのだが,個人的には「大量のドキュメントを読まないと理解できないような研究や技術/実装」ほど苦痛なものはない.

大量のドキュメントはあくまで「使い方を理解するのに役立つもの」であって,理念やケースについてはそれこそ1枚絵とか,数枚程度の資料で充分理解を促せるものでなくてはならない.

他者をその気にさせて,やる気を出してもらえた後に「これ使えるようになるためには…」とステップバイステップでネタを出していくことが必要なんだろうと感じる.

…さて,オレもこういうモンを作らなきゃと思うわけだ.

2013-06-10 セキュリティ・キャンプ2013、本日17:00が応募締切ですー

夏のアレの話で(ry

[]あと4時間ちょいで何が出来るのか? あと4時間ちょいで何が出来るのか?を含むブックマーク あと4時間ちょいで何が出来るのか?のブックマークコメント

あらかた書ける内容は書いたよー、という人向け。

また、出したけど…という人向けでもあるかな。

  • 見直し/推敲
  • 回答の内容を損なわない範囲で、新たな価値を付けられないか?
  • 読む側に「オレを落としたら損だぞ」と思わせる内容になっているか?

「もう出したよ」という方々も、見直したら「やべ!」という部分が出てくるかもしれない。

その場合、見直しの上(必要に応じて)修正して、時間内であれば再提出というのはアリだ。

あと、当然のことだが、時間内に送信することじゃなくって「時間内に到着する」ことが必要だ。

[]応募メール出したけど届かないという人向けのお願い(重要!) 応募メール出したけど届かないという人向けのお願い(重要!)を含むブックマーク 応募メール出したけど届かないという人向けのお願い(重要!)のブックマークコメント

「出してから2日過ぎたけど確認メールが届かない」人は、即刻問い合わせること!

本日出した人は水曜日まで待つことになるかと思うが、水曜日に届いてないとわかったら、木曜日中には問い合わせてほしい。

届いてたけど見落とされてたとかいう話になると、開催する側も応募する側も不幸である。

あと、この木曜日は、選考に入る前のギリギリのタイミングである。「出した」だけではなく、「確認メールを受け取った」時にはじめて「応募出来た」ということがわかるので、出しただけでなく「確認メールを受け取った」と認識してから安心してほしい(とりあえず応募完了したという点では)。

でないと、「通ったとか通ってないとか」いう以前の話にしかならないので、ご注意を…。

2013-06-09 あと1日ないけど,まだ締切前!

ということで,セキュリティ・キャンプ2013の夏のアレは,参加応募もチューター応募も6月10日の17:00が締切です.

[]必要に応じて講師は増えたりすることもあります 必要に応じて講師は増えたりすることもありますを含むブックマーク 必要に応じて講師は増えたりすることもありますのブックマークコメント

手続きその他の理由により,まだWebに書かれてないけど講師として依頼させていただいてる方もいらっしゃいます.

特に今回は,ネットワーク・セキュリティクラスではファジングに近い内容も扱う予定なので,ファジングを専門にやってる方にも講師を依頼してます.

[]ファジングって? ファジングって?を含むブックマーク ファジングって?のブックマークコメント

ブラックボックステスト(もしくはグレーボックステスト)の手法の一つと認識してます.

機械的に作った大量の(不正な)データをテスト対象に食わせ,挙動の変化を見たりという,なにげに地道なテスト手法です*1

詳細は,専門書をみてくださいませw

[]設問に答えられないときはどうするの? 設問に答えられないときはどうするの?を含むブックマーク 設問に答えられないときはどうするの?のブックマークコメント

もう1つ1つ調べていくしかないよね.

というか,それを調べて,自らの知識に(不完全でも)していける人ってのは強いよ.

それを知恵袋とかに丸投げして解いてもらってコピペして,というのは,そういう調べるとか学ぶとかいう話ではなくって,単なるクレクレ君でしかない.

確かに「参加したい」という意気込みは買いたいし,そのためにあらゆる手段を尽くす,というのもわからないではないけど,他の人からも参照可能なメディアに書かれた回答は,いつでもそのままパクられる.あまりよい手とはいえないよね.

あと,意気込みは買いたいし,熱意も買いたいけど,意気込みと熱意を感じられるような方が多くいたら,見られるのは回答そのものの内容とか考え方だろうと考える.

となると,きちんとした知識を身につけたり,身につけるだけの手順ってのを踏めることを求めるんじゃないかな.

過去には,「1年前は今一つ」だった人が,「大化けして誰もが文句を言わないレベルの人」になっていたということもあったときく.

簡単にあきらめないでほしいし,もし今年ダメでも(リトライできる人は)来年もトライしてほしい*2

*1:というか,テスト手法を実装して,華々しいモノなんぞ見たことがないですぜ.

*2:今の感触であれば,よっぽどのことがない限り,来年も実施される,と思います

2013-06-08 現在,改ざんされたWebサイトが修正されている最中らしい

まだ相応数残ってる可能性も高いわけだけど,一部で気がついて修正にとりかかってるところもあるようだ.

[]D-Grip社長の日記で,今回多発したWebページ改ざんに関連するおわびとおもわれる内容が D-Grip社長の日記で,今回多発したWebページ改ざんに関連するおわびとおもわれる内容がを含むブックマーク D-Grip社長の日記で,今回多発したWebページ改ざんに関連するおわびとおもわれる内容がのブックマークコメント

この5〜6月に多発したWeb改ざんの一部は,D-Grip社が管理していると思われるWebサイトもかなりの数含まれている.先日目grepしてみたwコンテンツを取得したのも,このD-Grip社が管理していると思われるWebサイトからだ.

本日確認したら,修正されていた.例によって可視化wしてみよう.

以下は,修正されたJSPによる出力である.

f:id:wakatono:20130608173948p:image

参考までに以下は,改ざんされた時の出力を可視化wしたものである.

f:id:wakatono:20130605014542p:image

改ざんされたものと比べると,あからさまに真っ赤になっている部分が減っていることがわかると思う.

[]D-Grip社長のおわびを読み解く D-Grip社長のおわびを読み解くを含むブックマーク D-Grip社長のおわびを読み解くのブックマークコメント

別に読み解くシリーズを始めたわけじゃないんだけどw,気になるところはあるので.

おわびには,以下のような文言がある.

弊社管理のホームページ、数百社様がハッキングとウィルス投下という状況になっております。

お客様には大変なご迷惑をお掛けし申し訳ございません。


通常のセキュリティソフトをなんなりと、かいくぐった最新のウィルスによる攻撃です。

実際,D-Grip社のWebサイトには,D-Grip社のお客様とおもわれるWebサイトへのリンクが掲載されていた(2013年6月8日時点ではメンテナンス中).

オレは実際に感染したブツを入手したわけではないので,あまり断定は出来ない.が,ウィルスに感染したのがひとつのトリガであるとするならば,かつて流行したGumblar攻撃のように,ドライブバイダウンロード攻撃により感染させられたウィルスで,Webサイトの更新のための情報を窃取され,その情報を使った不正なコンテンツの挿入が行われた,と考えるのが自然だ.

一つ注意したいのは,以下の部分.

通常のセキュリティソフトをなんなりと、かいくぐった最新のウィルスによる攻撃です。

この攻撃による不正改ざんコンテンツが読み込ませるのは,こちらのblogによると,FakeAV系のランサムウェア(?)という情報もあり,なんともしょぼい.となると,ウィルス自体は最新なのかもしれないが,そのウィルス自体は決してゼロデイなどを多用したものとは思えない.

[]最新のウィルスが最新の脆弱性を投入しているとは限らない 最新のウィルスが最新の脆弱性を投入しているとは限らないを含むブックマーク 最新のウィルスが最新の脆弱性を投入しているとは限らないのブックマークコメント

以前も参考にさせてもらった「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」(TrendLabs SECURITY BLOG)には,以下の記述がある.

一例では、Adobe Reader および Acrobat の古い脆弱性である「CVE-2010-0188」を使用した不正なPDFファイルがダウンロードされ、閲覧したPCが攻撃被害にあうことが確認されています。

本当にこれは一例でw,よく使われるとされるJava脆弱性も古いものであることが多い.ところが,このような古い脆弱性は,新しいバージョンでは脆弱性対応が行われていることがほとんどであるか,脆弱性に対応するための根本的な技術が導入されることがほとんどである.

なので,よく言われる「ソフトウェアは最新化を」というのは,脆弱性に付け入られる隙を減らすという観点では,とっても大事なことである.

セキュリティソフトウェア自体にも脆弱性がある,ということも考えられ,いわゆるパターンに反映されるまでのタイムラグがあることも考えあわせると,「ウィルススキャナを入れる」というのは「必要ではあるが十分ではない」ということがわかるだろう.

セキュリティソフトウェアを入れるまえに,使っている環境が既存の脆弱性に対応して最新化されているというのは,セキュリティを考える上で最低限の条件といえる.

ソフトウェア脆弱性を放置しておくということを人間の身体に例えるならば,本来は運動したり食事する時の栄養バランスに気をつけるなどの健康的によいとされることを行わず,体調を崩したり病気にかかったりした時に医者に行けば良い,ということと似ている.

普段から自分の環境をチェックして,最新化を心がけてほしい.

[]そのソフト,本当に必要ですか?〜要らないものは消そうw そのソフト,本当に必要ですか?〜要らないものは消そうwを含むブックマーク そのソフト,本当に必要ですか?〜要らないものは消そうwのブックマークコメント

こんなこと書いたけど,ソフトウェアを入れるということは,管理対象が増えるということだ.

アップデートなどのしくみをきちんとしている「とおもわれる」ソフトウェアを使っていても,古い脆弱性を突かれることが多いわけだ.

ということで使わないようなモンを延々入れとくくらいならば,とっとと消してしまうのが吉である.

これは,メーカー製PCのプリインストールソフトなども同じことが言える.というか,そういうものこそとっとと抹殺してしまったほうが,動作は軽くなるし隙は減るし,良いことずくめだと思うんだが….

2013-06-07 6月10日17:00(日本時間)までまだ3日くらいある

えーと,セキュリティ・キャンプ2013の参加者およびチューター募集締切までの話.

[]なんで今年はこんなに募集開始と終了が前倒しなのか?(1)〜チャレンジ&締切が遅いとその後がいろいろと厳しい なんで今年はこんなに募集開始と終了が前倒しなのか?(1)〜チャレンジ&締切が遅いとその後がいろいろと厳しいを含むブックマーク なんで今年はこんなに募集開始と終了が前倒しなのか?(1)〜チャレンジ&締切が遅いとその後がいろいろと厳しいのブックマークコメント

なんというか,これも私らのチャレンジの1つ…とも言えるのだけど,それだけだと少し不親切なので,ちょっと書いてみる.

単に事務上の都合ではなく,運営を行う側として「参加者に対してよりよい内容を提供したい」ということを考えた結果,こうなったと考えてほしい.

2012年までは,だいたい7月に締切&応募者選考をやっていた.しかし,ここまで締切なり結果の送付を引っ張ると,「応募してくれた方々が夏休みの予定をギリギリまで立てづらい」というマイナス面がいろいろと際立ってくる.また,学校によっては「期末テストがかぶる」というところも出てくる.

となると,応募の結果が早めに出るのは,その結果がどのようなものであれ,参加者の方々が夏休みという時間を有効に使うのに寄与するのではないか?という考えに至る.これは,チューターを希望する人たちにも同様のことが考えられるだろう.

とはいえ,「こうすべき」という話と「その話を現実にする」という話の間には,大きな壁がある.このあたりはきわめてシビアなオトナの話が出てくるわけだがw,募集の前倒しは,IPAセキュリティ・キャンプ実施協議会双方によるチャレンジといえる.この2者のご理解とご尽力があって,実現したといっても過言ではない.これはホントに感謝したい.

[]なんで今年はこんなに募集開始と終了が前倒しなのか?(2)〜日次の応募数が偏る傾向 なんで今年はこんなに募集開始と終了が前倒しなのか?(2)〜日次の応募数が偏る傾向を含むブックマーク なんで今年はこんなに募集開始と終了が前倒しなのか?(2)〜日次の応募数が偏る傾向のブックマークコメント

これまで9回の応募状況を見ていると,「期間全体にわたってコンスタントに応募が届いた」ということは一度もなかったw.これは「応募した!」という話が世の中に出てくる頻度が増えるのが,だいたい締切近いあたりから,というところからも推し量れるだろう.

となると,おおよそ4週間程度の募集期間を設定する,というのが落とし所になってくる.

ただ,この募集開始時期と期間の設定は,「募集開始時に,応募者がいろいろと参加クラス等を判断する材料を提示できている」ということを前提に成立すると考えている.このため,応募時に提示する内容(実施概要)や応募用紙の設問を講師側で作成できるのは,どんなに時間をやりくりしても,4月いっぱいという話になってくる.マネジメント上しょうがないとはいえ,かなり講師側にもハードな要求を行う必要が出てくるわけだ.

ここについては,講師陣各位のご尽力に感謝したい.

[]なんで今年はこんなに募集開始と終了が前倒しなのか?(3)〜事前の指導を行えるようにしたい なんで今年はこんなに募集開始と終了が前倒しなのか?(3)〜事前の指導を行えるようにしたいを含むブックマーク なんで今年はこんなに募集開始と終了が前倒しなのか?(3)〜事前の指導を行えるようにしたいのブックマークコメント

これはどちらかというと,講師側からの要望だったりする.

可能であれば,キャンプ当日を迎える前に,よりよい形での指導を行いたいという講師側の声が見られた.そういうのもあり,「じゃあ前倒しにしてみますか?」という案を出すに至ったわけだ.

これは別に「事前の宿題を山ほど出して解いて来い」というものではなく,「キャンプは当日より前に始まっている」というように認識してもらったほうがわかりやすいかと思う.

そして,当日を一緒に過ごす仲間として,チューターの面々がいるわけだが,彼らとも事前に打ち合わせたり,チューターに対する事前指導を行ったり,参加者への事前指導を手伝ってもらったり,作業分担をよりよい形で行えたりと,よい効果をもたらす公算が大きいと考えた.

[]なんで今年はこんなに募集開始と終了が前倒しなのか?(4)〜どの時期に設定しても,みんなにとって都合の良い日程はない なんで今年はこんなに募集開始と終了が前倒しなのか?(4)〜どの時期に設定しても,みんなにとって都合の良い日程はないを含むブックマーク なんで今年はこんなに募集開始と終了が前倒しなのか?(4)〜どの時期に設定しても,みんなにとって都合の良い日程はないのブックマークコメント

これまでの締切は,「学校の期末試験と時期がかぶる」というものだったが,今度は「学校の中間試験とかぶる」という意見も見られた.

しかし,1ヶ月という期間を設定していることを考えると,1ヶ月まるまる誰にとっても都合がよいということはありえないし,ましてや6月〜7月のどこに締切を設定しても,結局どこかに試験なりのイベントがかぶってくる.

であれば,「マイナスはあれどそれ以上のプラスを見込める時期」に設定するのが,まだ幸せになれるのではないか?というように考えるようになった.

[]なんで今年はこんなに募集開始と終了が前倒しなのか?(5)〜とにかく時間がほしい! なんで今年はこんなに募集開始と終了が前倒しなのか?(5)〜とにかく時間がほしい!を含むブックマーク なんで今年はこんなに募集開始と終了が前倒しなのか?(5)〜とにかく時間がほしい!のブックマークコメント

前倒しにすることで,一部の作業はかなり早い時期に締切なり成果物を出すことを求められる.しかし,この作業についてはどこかで必ず発生する上に,後になればなるほど他のタスクとも実施時期がかぶってくるという代物である.

タスクごとに割り当てる時間を増やしつつ,各人ごとにかかる負荷をある程度ならすためには,どうしても時間が必要である(タスクの総量をかけられる時間で割れば,1時間あたりにこなすべきタスクの分量が見える).しかも,タスク間の依存があり,時間がタイトだったりすると,依存関係の解決だけでアクロバティックな方法を取らなければならない可能性もある*1

[]なんで今年はこんなに募集開始と終了が前倒しなのか?(6)〜まとめ なんで今年はこんなに募集開始と終了が前倒しなのか?(6)〜まとめを含むブックマーク なんで今年はこんなに募集開始と終了が前倒しなのか?(6)〜まとめのブックマークコメント

いろいろ書いたが,募集開始と終了を前倒しにすることは,以下のような利点が出てくると考えられる.

  • 参加者視点
    • 夏休みの予定を立てやすい
  • チューター視点
    • 事前の情報共有やレクチャ,指導などを期待できる
  • 講師視点
    • 事前指導に時間をかけられる
    • チューターとの意思疎通を図りやすい
  • 運営視点
    • 余裕をもって,各種連絡等をはじめとする事務作業を行える
    • 事前検討や調整に必要な時間を確保できる

もちろん,すでに挙げたような課題などもあるわけだが,それらの課題をすべて勘案しても,上記のような利点を考慮できるのであれば,可能な範囲で前倒しにすべきだろう,という結論に至ったと考えてほしい.

そして,どこか1つの視点から見たプラスのみを重んじるわけではなく,総合的にプラスとなると判断出来たためにこうなったとご理解いただきたい.

[]Parallels Plesk Remote Exploit(ちなみにZero-Day) Parallels Plesk Remote Exploit(ちなみにZero-Day)を含むブックマーク Parallels Plesk Remote Exploit(ちなみにZero-Day)のブックマークコメント

Parallels Plesk Panel(以下Plesk)とは,Webサーバのコントロールパネルを提供するソフトウェアだと思えば間違いないだろう.

Parallelsといえば,仮想マシンモニタのParallels Desktopを思い出す人も多いが,このベンダはいわゆるクラウドコンピューティングに関連する製品やサービスを発表・展開しているところである.その一環で,Webベースのコントロールパネルソフトウェアをリリースしているように見える.

で,表題のExploitは,Pleskが動作しているWebサーバに対してリモートで任意のPHPコード実行を引き起こすというものだ*2

開発者はこのExploitPlesk 9.5.4, 9.3, 9.2, 9.0, 8.6で確認したとあるが,これらのバージョンはかなり古い.そして,Parallels Plesk Panelのサポートライフサイクルを見ると,上記バージョンのうちサポート対象となっているのはPlesk 9系であり,最新バージョンは9.5.4.そのPlesk 9系も延長サポート終了が2013年6月9日となっている.要は「もうすぐ終了」というものだったりする.

ちなみにPlesk 8は,2012年9月1日に延長サポート終了となっている.

いきなりZero-Dayを送りつけるのはどうよ?というのはあるのだが,もうすぐ(というかあと数日で)サポート終了というのが1つのトリガになっているように見えなくもない.

*1:実際過去には,台湾のカンファレンスに参加した面々の間で協調作業を行い,プロジェクト管理でいうところのクラッシングに近いことを行った.カンファレンスは楽しかったのだが,同時にあれこれ作業を行うハメになったため,調整作業と聴講を同時にやるというていたらくにw

*2:とはいえ,full-disclosureでは,「動かねえよ」という投稿も見られる.

2013-06-06 雨がざあざあ降ってきて

という童謡(?)が昔あったなーw

[]改ざんパターン2の考察&訂正追加 改ざんパターン2の考察&訂正追加を含むブックマーク 改ざんパターン2の考察&訂正追加のブックマークコメント

ちょっと違うかもしれねえ…というところが出てきたので,補遺と追加を.

昨日,書いたところのうち,以下の記述は多分正しい.

これは改ざんのために,何らかの処理系やコマンドプロセッサに含まれるビルトインコマンドの"echo"を動作させたかったというように見える(実際,スクリプトの終わりに,”キャラクタを確認出来た).

実際,検証用に(かなり省略したシェルスクリプトを)書いて動作させたら,エスケープ等が取れた形で<script language="text/javascript" language="javascript">〜</script>を表示させることが出来た.

しかし,以下の部分は違う可能性が高い.

これはおそらく,Webアプリ等の脆弱性を突いて内容を送り込んだつもりが,内容を送り込む機能のエスケープ機能が有効に働いた結果,このような中途半端な改ざんに終わったのではないか?と考えている….

実際は,Webアプリ側での内容を送り込む機能におけるエスケープ処理などは通過しておらず(汗),攻撃者が送り込んだ改ざん「のためのスクリプト/コマンドの内容」がそのまま反映されたようにしか思えない*1

[]上記の間違いに気付いた結果,さらにおもしろい仮説が… 上記の間違いに気付いた結果,さらにおもしろい仮説が…を含むブックマーク 上記の間違いに気付いた結果,さらにおもしろい仮説が…のブックマークコメント

それは,「改ざんのためのツールを作る側」と「改ざん内容を作る側」の間で意思疎通を取り切れていないのではないか?ということ.例えば以下のような感じ.

  • 改ざんのためのツールを作る側:「もらった内容を埋め込むよ」
  • 改ざん内容を作る側:「サーバ上で実行して,改ざん内容を反映する内容を作ったよ」
  • 改ざん攻撃を実行する側:「ツールとデータ使って改ざんしたよ!でも思うようなことが起きない!」

あと,不幸にして改ざんされてしまったところの内容を見ても,「手当たり次第片っ端から改ざんできそうなところに改ざん内容を反映している」というようにも見える.

それも,改ざんされるコンテンツがどのようにサーバサイドで処理されるかを念頭に置いていないため,JSPコンテンツも通常のHTMLコンテンツも同じように改ざんした結果,同じような効果を得られない,という状態になっている.

これは,「改ざんツールを作る人=改ざんデータを作る人=改ざんを実行する人」だったら,まず発生しないはず.というのも,攻撃対象を定めたら,手段を決めて,どのような内容を埋めるか?もあわせてツールを作り,攻撃を実行するであろうことを連想できるから.

でもこれって,おそらく過渡的なものだろうとも取れるので,油断は出来ないわけだ.

[]可視化で使ったツール 可視化で使ったツールを含むブックマーク 可視化で使ったツールのブックマークコメント

目grep職人推奨ツールwのStirlingです.

全部英語だと全部真っ赤となるわけですが,日本語がそれなりにあり,かつ改ざん箇所の大きさがだいたい全部いっしょくらいなので,オレみたいなヌルい目grep初心者未満wでもアタリを付けられるわけです.

[]カード情報漏えいのおわびが届いたよ カード情報漏えいのおわびが届いたよを含むブックマーク カード情報漏えいのおわびが届いたよのブックマークコメント

以下読めばわかるけど,なんというか「最大3000円」という風.とはいえ近日中に出かける出張には,このクーポンの金額範囲だけでは調達は出来ないなー*2

  • クーポンコードの有効期限は、2014年5月31日まで
  • 一度に使えるクーポンコードは一つだけ
  • 払いだされたクーポンコードを使えるのは一回だけ
  • 利用時の金額が3000円に満たない場合はそれで完了
  • クーポンコードは、譲渡可能

…使うのにまたカード情報預けるのは嫌だな….SIMフリースマートフォン持ってるので,今回は現地でSIM調達することに決定!

[]改ざんを受けた際の対策/改ざんされてないサイトの要確認内容 改ざんを受けた際の対策/改ざんされてないサイトの要確認内容を含むブックマーク 改ざんを受けた際の対策/改ざんされてないサイトの要確認内容のブックマークコメント

piyokangoさんのところに書かれている内容でおおよそいいのかな?とも思うけど,なにげに玄人向けなところもあるので,少しだけ観点ごとにひらいてみる.

とはいえ,昔から言われてることばかりなので,書いてて今更感が出てきたのは内緒だw

  • Webサーバ管理を行う端末の観点
    • OSWindows)とアプリケーション(Adobe製品,Javaなど)の最新化を行い,Exploit撃たれても感染しづらいようにする
    • ウィルススキャナを最新化しておく
    • できればWebサーバ管理を行う端末は専用のものにする.仮想マシンでもOKかと思うけど,母艦がやられて通信内容パチられる可能性ってのもあるので,できれば独立させておいたほうが吉
  • Webサーバ構成の観点
    • OSOSのパッケージ管理ソフトウェアにより管理されるソフトウェアは最新のものにしておくのは当然として,パッケージ管理ソフトウェアで管理していないものがある場合は,これもアップデートを行う.例えば,Javaアプリケーションサーバの中には,パッケージになっていないものもある(例:Tomcat).これは,Oracle Javaを使っている場合は同じことが言える..htaccessを改ざんされるパターンも確認されてるようだけど,これはコンテンツ改ざん可能な状況であれば普通に有り得る.mod_rewriteなどを使っているのであればしょうがないけど,使わないのであれば,無効にしておこう(仮に改ざん成功しても攻撃は失敗するので,不幸は最小限にできる).
    • アカウント管理はきっちりと.ただ,権限昇格の脆弱性が残存していたりすると,一般ユーザ権限で入られた時点でアウチなので,前述のとおりOS環境の最新化を.
  • Webアプリの観点
    • 穴ありのWebアプリはすでに論外.せめてWebアプリケーションのセキュリティ試験はしておこうよ…
    • オープンソースとして配布されているCMSなどを使うのはよいとしても,不要なもの(例:ドキュメント類)などは消しこんでおこうよ…
  • コンテンツの観点
    • コンテンツのバックアップ重要.書き戻せるように.
    • コンテンツの保護重要.そもそも書き換えられないように.Webコンテンツを書き換えるだけの権限があっても,システム管理全体を行うのでなければ,アカウントを「コンテンツ更新のために必要最小限の権限を割り振ったものだけを使う」ようにしていれば,無効にしてあるモジュールを有効にするためにはまだ一枚壁がある.めんどくさいから全部rootでとかいうのは勘弁してほしい….

[]Gumblarの時と最近のヤツと何が違う? Gumblarの時と最近のヤツと何が違う?を含むブックマーク Gumblarの時と最近のヤツと何が違う?のブックマークコメント

最近のドライブバイダウンロード攻撃に直結する改ざんは,コンテンツや.htaccessを直接改ざんする手段に加え,例えば以下のような手段を用いることもある.

  • 悪意あるカーネルモジュールをinsmodする
  • Webサーバに対し,悪意ある機能追加モジュールを追加の上,有効化する

幸い,まだこの2つの手段を併用しているものは(この数日で見られたものの中には)ないようにも見えるが,穴を塞いだつもりが別の扉が開いていた,なんてことも普通にありうるので,油断は禁物.

[]クレームなり何かを申し立てる際のパターン&アンチパターン クレームなり何かを申し立てる際のパターン&アンチパターンを含むブックマーク クレームなり何かを申し立てる際のパターン&アンチパターンのブックマークコメント

ほぼ今更ながらという感じはするが,一応自分で実践している範囲のことなので,まぁいいだろう.

だいたいこういう時に思い出すのは,山崎はるかさんの書かれた記事「もちろん本気・はじめてのイタメール犯告発」の中の以下のくだりだ.

郵便局が「口頭」で貯金から現金を引き出せないのと同じように、「警察署への訴え」も当然「所定の書類」が必要である。

すくなくとも、手ぶらで「ギャーギャー」苦情を陳べに行くところではない。

実はこの内容は,警察に何かを訴える以外にも,あらゆるところに応用が効く.

上記の中で「警察署への訴え」に対応して「所定の書類」と書かれているのが,「○○」に対して「××」というコピペ風に入れ替わるくらいのことだとオレは認識している.

なので,「○○」に必要な「××」を準備するということを念頭においておくのがよいだろう.

さらに,たいていの場合「××」の準備にあたって必要となるのが「事実」であり,その事実から合理的に推測される「おこりうること」だったりする.少なくとも「事実」は必要だ.

そして,その事実に対応して「何をしてもらいたいのか」というのも重要である.単に事実を言うだけだと「ご意見拝聴いたしました」というコピペレスポンスが返ってきておしまい,ということにもなりかねない.

せめて「こういう事実があるのだけど,どうしたらいい?(もしくはおたくはどういう対応をとってくれる?)」という質問形式にしておくことをおすすめする.こうすれば,よほどのカスい内容やデムパな内容でもない限りは,(相手の忙しさ等にもよるだろうが)何らかのお返事が返ってくるかもと期待できる.

逆に,やってはいけないこと〜アンチパターンとでもいうか〜は,以下のようなこと.

  • 対応相手の人格否定
  • 感情に任せて怒鳴る
  • 延々ととりとめのない苦情とも愚痴とも付かない内容を並べ立てる

ちゃんとした対応を求めるのであれば,いずれも論外.特にサポート窓口に対してこれをやっては,窓口の人のモチベーションを下げるばかりで何もいいことがない.どうせならば,窓口の人もこちらの味方に付けるくらいの丁寧さがあってもよいくらいだろう.

基本,どんなにひどいことをされたからといって,自分を貶めることはない.いかなる時も冷静に*3

とはいえ,自身の生命の危険や(物理的な)危害を加えられる予感を感じた時は,「とりあえず逃げろ」としか言いようがないわけだがw

*1:自分でなんでそんな思い違いをしたのか?というのはあるが…反省

*2:あんだけのことをされて,まだ使いつづけると?w

*3:もちろん,されたことや受けたしうちにもよるが,感情に任せるばかりではたいていロクなことにならない

2013-06-05 あちこちで改ざん?

日本各地で改ざん被害が相次いでるようで…

piyokangoさんの2013年6月4日の日記に,良い感じでまとまってますが,それを紹介するだけだとそれで終わってしまうのでw,自分なりに読み解いてみたよ!

[]少し改ざんを読み解いてみる 少し改ざんを読み解いてみるを含むブックマーク 少し改ざんを読み解いてみるのブックマークコメント

といっても,難読化された内容を読むんじゃなくって,「改ざんされた結果取得されるネタがどういうパターンか?を読み解く」というだけだがw

[]改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターン 改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターンを含むブックマーク 改ざんパターン1〜HTMLが改ざんされ,キレイにscriptタグが機能するパターンのブックマークコメント

この場合,改ざんされて埋め込まれたスクリプトが動作し,悪意あるネタをダウンロードする,というように仕向けられる.トレンドマイクロさんの場合は,JS_BLACOLE.MTとして検出されるが,オレのところはKaspersky Internet Security 2013を使っているので,Trojan-Downloader.HTML.JScript.cfとして検知された.

f:id:wakatono:20130605014536p:image

ちなみに今回のケース,機械的だが何らかの内容解釈を行うプログラムによって放り込まれてる感がある.というのも,内容をパースして,適切に解釈されると思われるところに放り込まれているからだ.オレが見たパターンは,コンテンツの先頭とおもわれる部分(要素)が終わる,divタグを閉じた直後に,0c0896という内容を含む内容が入り,そのあとにスクリプトが延々続く,というものだ.

なお,このパターンの場合には,悪意ある(感染を引き起こす)スクリプトブロックは1つしかない.まぁ,1つあれば充分だろう.

f:id:wakatono:20130605014537p:image

f:id:wakatono:20130605014538p:image

[]改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターン 改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターンを含むブックマーク 改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターンのブックマークコメント

これは,HTMLの改ざんに成功してはいるものの,中身が一部エスケープされており,このままでは動作しない.

これはおそらく,Webアプリ等の脆弱性を突いて内容を送り込んだつもりが,内容を送り込む機能のエスケープ機能が有効に働いた結果,このような中途半端な改ざんに終わったのではないか?と考えている….

さらに,改ざんされたとおもわれる内容に,謎の"echo"が含まれている.

f:id:wakatono:20130605014539p:image

これは改ざんのために,何らかの処理系やコマンドプロセッサに含まれるビルトインコマンドの"echo"を動作させたかったというように見える(実際,スクリプトの終わりに,”キャラクタを確認出来た).

f:id:wakatono:20130605014540p:image

[]改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターン 改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターンを含むブックマーク 改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターンのブックマークコメント

図のように,scriptタグがなくて延々スクリプトが記述されているようなコンテンツを得られることがある.

オレはJSP(というかServlet)には疎いので,なぜこうなるのかはよくわからないw.でも,(おそらく)元のJSPファイルにはscriptタグが入っていたとおもわれる.

f:id:wakatono:20130605014541p:image

[]改ざんは成功しているが目的は達成していないパターン2と3を見てみる. 改ざんは成功しているが目的は達成していないパターン2と3を見てみる.を含むブックマーク 改ざんは成功しているが目的は達成していないパターン2と3を見てみる.のブックマークコメント

ちなみにパターン2とパターン3の場合,攻撃者がムキになっているのかわからないが,同じように難読化されたJavascriptのブロックが複数箇所あることがわかる.

視覚化wすると,ほぼ数字と","のみで構成された部分が真っ赤になるわけだがw,パターン3の改ざんされたJSPの1つを見ると,これが大きく4ブロック存在することがわかった.

f:id:wakatono:20130605014542p:image

この改ざんを行った攻撃者は,おそらく4回改ざんを試みたんだろう,という見立てがつく*1

[]やられたクチは一体どこか? やられたクチは一体どこか?を含むブックマーク やられたクチは一体どこか?のブックマークコメント

すでに述べたところもあるが,改ざんのパターンを見ていると,

  • Webアプリの脆弱性を突かれた(パターン2)
  • Apache Tomcatの管理機能をヤられた(パターン1と3)

というように見える.あくまでオレからはそう見える,というだけだが….

パターン2で,Webアプリの脆弱性を突かれて任意の内容を差し込まれたとなると,当該Webアプリの入力チェックは一部はうまく機能していたと考えるのが妥当だが,それでも悪意ある入力やリクエストに完全に対処しきれているとは言い切れず,改ざんにつながったとかんがえられる.

パターン1と3で,Apache Tomcatの管理機能をヤられたと仮定すると,JSPデプロイ以外にも,静的コンテンツの書き換えも行えそうである.改ざんされたJSPHTMLが置かれていたのは,同じWebサイトだったという事情もある.

ただ,個人的には「やられてもしょうがない状態だったのでは?」とも感じる.

[]なぜソフトウェアを最新状態に?〜アタリマエというなかれ なぜソフトウェアを最新状態に?〜アタリマエというなかれを含むブックマーク なぜソフトウェアを最新状態に?〜アタリマエというなかれのブックマークコメント

で,なんで「日本のWebサイト改ざんを複数確認:PCは常に最新状態に!」(トレンドマイクロさん) なのか?

これは,誘導される先のマルウェアが,古い脆弱性を使っていることを確認出来たからであろう.このblogでは,CVE2010-0188を使った攻撃を確認出来た,とある.この脆弱性は,Adobe ReaderおよびAcrobatの8.2.1以前および9.3.1以前で利用可能なものであるが,(言うまでもなく)かなり古い.他の脆弱性が悪用されたとして,古いことは同様に想像できる.

それ以前に,ここまで大々的に使われる脆弱性は,おそらく使い古されたモノであろう.

なので,とっととアップデートを!という話になる.

仮にマルウェアをウィルススキャナで検知出来なかったとしても,脆弱性対処を行ったソフトウェアを使っていれば,そもそも感染しない*2

ということで,ソフトウェアはアップデートを.

*1:それでもうまくいかなかったわけで

*2:自分から動かせば話は別だが

2013-06-04 あと6日くらいかな?

セキュリティ・キャンプ2013参加者およびチューターの募集締切は,6月10日(月)17:00です!

[]セキュリティ・キャンプ2013の応募 セキュリティ・キャンプ2013の応募を含むブックマーク セキュリティ・キャンプ2013の応募のブックマークコメント

まだ期日はある.というか,迷うくらいならば前向きに悩んでみてほしい.応募用紙は逃げないから!*1

Twitter上で,いろんな方がいろんなコメントをしてくれてるけど,共通するのは「自ら手を動かせ」ということと「自ら考えろ」ということ.

別に何かの試験みたいに「何も見ないで答えろ」などという気はないし,むしろ(トライアンドエラーを繰り返して)手を動かしてみないとわからない内容ばかりだからw,手を動かすこと推奨.

坂井さんの2012年7月1日の日記が参考になるので,そちらもあわせて読んでみるといいかもしれない.

ただ…丸投げはいかんよw.

丸投げしても,(正解みたいなものは返ってくるかもしれないけど)丸投げの結果返ってきた内容が正しいとは限らないし,その内容が正しいことを誰が担保するのかもわからない.

少々厳しいことを言うが,「やったから報われる」とは限らない.でも,自分が何もない状態で何もやらなければ,得られるものは何もない.オレとかが求めるのは,今できる人というよりは「明日なろう」と手を動かし,最善を求めることができる人であり,今の時点でその最善が「これならこっちの考えてる内容についてこれるかな」と思わせる人である.少なくともそこまでは最低限求める.

そういう人が多い場合には,相対評価という形になってしまう.これは限られた人数しか受け入れられない以上はしょうがないところだ…*2

[]セキュリティ・キャンプ2013の特別講師 セキュリティ・キャンプ2013の特別講師を含むブックマーク セキュリティ・キャンプ2013の特別講師のブックマークコメント

今年の特別講師は,以下の方々.

大橋検事は,ハッカー検事という名前のほうが通りがよいのかもしれないがw,セキュリティ・キャンプの黎明期からお世話になっている方であり,サイバー犯罪の実情や技術に造詣が深い法曹実務系の方である.

井上さんは,nicterNIRVANA,そしてDAEDALUSと,攻撃の可視化を進化させてきた中心人物の一人と認識している.また,ビューティフルビジュアライゼーションに「付録A サイバー攻撃のビジュアライゼーション」を寄稿して,サイバー攻撃見える化を紹介している.

なんでこの時期に特別講師の公開をしたのか?というと,「どうしようか悩んでいる人たち」の背中を押すためとしか言い様がない.さまざまな形で準備作業を前倒しにしている中で,出せる情報は出していこうという試みの一環と捉えていただいても構わない.

こちらとしては,こういう準備をしてます.こういう準備をしている取組にあなたも参加してみませんか?という呼び掛けを,具体的に経過や状況を示すことで行なっているわけだ.

[]募集は前倒しになり,締切も前倒しになった理由 募集は前倒しになり,締切も前倒しになった理由を含むブックマーク 募集は前倒しになり,締切も前倒しになった理由のブックマークコメント

理由は簡単で,「どれだけ期間を取っても,ほとんどの応募が最後の数日に集中する」という経験則があるからw.

ただ,募集期間があまりに短すぎたり,主だった情報が出揃うのが締切ギリギリだったりすると,応募する側も困る*3

なので,応募するかどうかを判断するために必要な,各クラスでの実施内容は,募集開始時には全部出せるようにした(そして全部公開した).

特別講義はどちらかというと,クラスの実施内容とは独立した部分である.もっとも,各クラスの内容と並行して検討するだけのリソースも時間も確保が難しい状態だったので,「そちらが落ち着いてから」いろいろと取組を開始した,というのもあるが….

[]こちらは最高のものを提供する用意がある こちらは最高のものを提供する用意があるを含むブックマーク こちらは最高のものを提供する用意があるのブックマークコメント

応募するあなたたちは,今のあなたたちが出せる最高の内容を応募内容に含めてほしい.

今はただ,それだけしか言えない.

*1:悩んでるうちに締切は迫り,そして過ぎていく

*2:昨年のネットワーククラスの倍率は,10倍超えていた…(要は100人超えてたということ)

*3:そして,応募数に影響が出る(というか出た実績が過去にある)

2013-06-03 世の中はネタに溢れてる

いや,わかっちゃいたことではあるけどw

[]「ハッカーの人材育成」という話を以前より耳にするようになった 「ハッカーの人材育成」という話を以前より耳にするようになったを含むブックマーク 「ハッカーの人材育成」という話を以前より耳にするようになったのブックマークコメント

まぁ,それ自体は喜ばしいことwではあるのだけど,パブコメ募集にあたり,また色んな意見が出てくるようになった.これもまた喜ばしいこと.そして,今年の白浜シンポジウムでも夜はこういう話が出てきてたというのを聞いてたり.

その一端として,北野さんの日記(2013年6月2日)に表される危惧とかもあったりする.これについて少し掘っていこう.ちなみに北野さんの意見にはおおよそ賛同はできるんだけど,そうでない部分も少しだけ存在する.そこについては後で明らかにしていくことに.

[]セキュリティ人材の育成(1)〜育成された人材の出先や待遇は充足しているか?(概要) セキュリティ人材の育成(1)〜育成された人材の出先や待遇は充足しているか?(概要)を含むブックマーク セキュリティ人材の育成(1)〜育成された人材の出先や待遇は充足しているか?(概要)のブックマークコメント

えーと,個人的には,まったく充足していないね!という一言に尽きる.

この一点において,北野さんとオレの意見は一致を見たw

で,この意見は,サイバーセキュリティ戦略(案)の中に文言として出ている

人材の発掘・育成を、採用・活用につなげていくことも必要である。そのため、政府機関が率先して、情報セキュリティ人材の外部登用を行う。

というところが端的に表していると感じた.

ただ,登用にあたって「発掘/育成された人材が,その能力に見合った待遇を得られる」か?といわれると,これまた疑問である.これは政府機関のみならず,民間も同様である.

あとで書くけど,今,業務で従事している人たちの数が足りないとか,従事してる人たちのスキルが足りないとかいう話とも絡んでくると感じている.

[]セキュリティ人材の育成(2)〜人数は足りてるのか?足りてないならばその理由はどこに? セキュリティ人材の育成(2)〜人数は足りてるのか?足りてないならばその理由はどこに?を含むブックマーク セキュリティ人材の育成(2)〜人数は足りてるのか?足りてないならばその理由はどこに?のブックマークコメント

この点については,以前日本記者クラブの記者会見とかJIPDECでの講演でも触れさせていただいたところではあるが,人材がなんでいないのか?(不足してるのか?)というところで(仮説混じりではあるけど)触れている.

元ネタは,「情報セキュリティ人材の育成に関する基礎調査」報告書(2012年)で述べられている数字.

「人が2.2万人たりない」「いまセキュリティに従事している人数が約23万人だが,そのうち必要なスキルを持っている人材が9万人」と述べられているけど,これは結構深刻.なにせ,セキュリティ関連業務に従事している人の半数以上が必須スキルを満たしてないということなんだから.

[]セキュリティ人材の育成(3)〜育成された人材の出先や待遇は充足しているか?(詳細?) セキュリティ人材の育成(3)〜育成された人材の出先や待遇は充足しているか?(詳細?)を含むブックマーク セキュリティ人材の育成(3)〜育成された人材の出先や待遇は充足しているか?(詳細?)のブックマークコメント

かなり直感的な話になるけど,セキュリティ人材の育成〜育成された人材の出先や待遇は充足しているか?(概要)にて,「個人的には,まったく充足していないね!という一言に尽きる.」と書いた.

そりゃ,出先や待遇が充足していないところに,「セキュリティのスキルを磨いて」という人はそうそう出てこないし,今セキュリティ関連業務に従事している人も,待遇や評価がついてこないのであれば,自身の知識を増やしたり業務関連スキルを向上させたりということにはなかなかつながってこない.また,セキュリティ関連のスキルを持っている人は,自然と他の分野についてもスキルフルであることも多い.となると,評価されないセキュリティ関連業務に従事するよりも,評価される分野の業務に従事するほうが,自分のためになると考えるのは自然だ

結局,自身が必要とされるかどうかわからない,もしくは自身が磨いたスキルや蓄えた知識がどう活きるかわからないところに,自身が持つ資源を投資してというのは,そちら方面の知的好奇心に旺盛か,よっぽど先を見て危機感を抱いているか,バクチ打ちのいずれかであろう.オレがどれか?というのは想像にお任せするが,もしかしたら全部かもしれないw

[]セキュリティ人材の育成(4)〜人材発掘・育成を行う側は出先を考えているか? セキュリティ人材の育成(4)〜人材発掘・育成を行う側は出先を考えているか?を含むブックマーク セキュリティ人材の育成(4)〜人材発掘・育成を行う側は出先を考えているか?のブックマークコメント

外からはどう見えるかはわからないけどw,やってる側の一人としてはこういう話もきちんと考えながらやっている.ただ,発掘・育成を行う側としては,そこを通ってきた人たちがどんな方々なのか?というのを正しく伝え,これから行くであろう先の方々に訴求していくというのがメインになるのだが….

ただ正直なところ,人材の出先(これから働いたりする場など)にあたるところ(会社)としてどうするか?というのはやっぱこれからなんだろう,と感じている.

[]セキュリティ人材の育成(5)〜人材発掘・育成と出先の足並みはこれから揃えて行かないと セキュリティ人材の育成(5)〜人材発掘・育成と出先の足並みはこれから揃えて行かないとを含むブックマーク セキュリティ人材の育成(5)〜人材発掘・育成と出先の足並みはこれから揃えて行かないとのブックマークコメント

卵が先か鶏が先か,といういつもの議論になりかねないところを先に進めるためには,何らかの施策を決めて実行していく,という話と,出先の議論を施策実行を行う前提で進めていく必要がある,と感じている.

例えばオレが関わっているセキュリティ・キャンプとかは,セキュリティ・キャンプ実施協議会という民間企業の集まりからなる団体も開催に関わるようになったこともあって,出先の議論については意識しているというように感じているし,JNSAインターンシップ制度も,出先について強く意識した結果の施策だろうと認識している.JNSAのインターンシップ制度は,産学情報セキュリティ人材育成検討会による検討を経て実現したものであり,育成と雇用の2つを強く意識したものであると感じている.

なので,北野さんの日記にある

どれもこれも育成する側の体制やプログラム作りのみが行われていて、「育成される側」の視点に基づいた施策が欠けているという気がしています。

ってのは,育成される側だけではなく,「育成される側を受け入れる先」も含めた施策とするのが自然である.

これまでのステークホルダーは「育成する側」「育成される側」という2者しかいなかったが,さらに「育成された側を受け入れる側」というステークホルダーが増えた状態というのが今だとオレは認識している.

もちろん,それぞれのステークホルダーが数と質の両方を兼ね備えているか?といわれると,まだこれからかなぁという認識は持っているのだが,今後取組が進んでいって,さらなる課題が明らかになるとともに解決され,だんだん取組として成熟していくと信じたい*1

[]セキュリティ人材の育成(6)〜一方で経営者のマインドは? セキュリティ人材の育成(6)〜一方で経営者のマインドは?を含むブックマーク セキュリティ人材の育成(6)〜一方で経営者のマインドは?のブックマークコメント

あまり多くは語らないけど,「口では重要」といいつつ,それに見合うお金も出さなければ人もロクに手当しない,というようにしか見えない.

もしそうでないというのであれば,具体的な事例がほしいし,ちゃんと経営課題の1つとしてそういう部分を認識してる人が多くの企業の経営者として就いているというのでなければ,IPAの2012年の報告書にあるような「人数足りないし,いまいる人の半分以上は使えねえヤツ」という状況にはならないはず….

あと,業務を行うにあたってマネジメントは必須だし,その重要性は身にしみているつもりだが,マネジメント側に偏重しすぎてないか?というのが個人的な所感である.

いろんな会社の人と話をしていると,「マネジメントをする人はきちんと処遇されるパスがあるけど,エンジニアについてはそんなパスねえよ」というパターンがあまりにも多い.また,いろんな会社でマネジメントを行う立場の人とも(年齢的にw)話をする機会があるのだが,マネジメントに偏った人から出てくる話は「技術は買ってこれる」というようなこと.

いやまぁ,確かにそうなんだけどw,「買ってこれる」と「適切なものを買って使いこなせる」ってのは,全然違うでしょwと言いたいわけでして.

あと,適切なものを買うには,相応の技術者がお相手をしないとそういうものは出てこない,というのもポイントだったりする.ここできちんとお相手できる人をアサインできないと,変なモンをごてごて売りつけられた挙句,使いこなせないという結末に陥りかねない.

自社で使うものとかかかわるものくらいは,きちんと自社で把握せえよ,というのがオレの持論であり,ITがノンコアであるというならばまだしも,ITがコアになってる企業でIT技術を外出しにするなんていう本末転倒なことはやめたほうがいいよ,と言いたい.

何の技術やシステムを自社の売りにしているのか,てのもあるだろうけど,少なくともシステム開発をしたり運用したりとかいう会社は,それをメインにするのか業務上必要だからやっているのかにかかわらず,ちゃんと把握しときなさいよ,と言いたい.

[]セキュリティ人材の育成(7)〜まだまだ続くよw セキュリティ人材の育成(7)〜まだまだ続くよwを含むブックマーク セキュリティ人材の育成(7)〜まだまだ続くよwのブックマークコメント

チトいろいろ書いたけど,本件は一度書いたからどうという話ではなくて,ことあるごとに振り返ってみないといけないネタだと感じている.

なので,(次いつになるかしらんけど)まだまだ続くよwと書いておく.

*1:って他人事じゃないんだけどw

2013-06-02 ホントにあちこちで発生してるなぁ…

チト旧聞ではあるけど,こんなネタも出てきた….

[]不正アクセスによるお客様情報流出に関するお知らせ(RAGTAG Online) 不正アクセスによるお客様情報流出に関するお知らせ(RAGTAG Online)を含むブックマーク 不正アクセスによるお客様情報流出に関するお知らせ(RAGTAG Online)のブックマークコメント

別にこの類の情報を専門に追っかけてるわけではないのだけど,エクスコムグローバルさんのネタもあって少しだけ考察してみた….

[]RAGTAG Online不正アクセス被害考察(1)〜漏れたものは何&手段は? RAGTAG Onlineの不正アクセス被害考察(1)〜漏れたものは何&手段は?を含むブックマーク RAGTAG Onlineの不正アクセス被害考察(1)〜漏れたものは何&手段は?のブックマークコメント

5月7日深夜1:59までの間にご登録いただいた、合計30,568名の会員情報のうち,以下のものが漏洩したとある.

  • メールアドレス(全部)
  • パスワード(全部)
  • 会員ID(一部)

メールアドレスはそれだけで「こいつだ!」と個人を特定できる情報ではないため,それ単体では個人情報としては扱われないとされる.会員IDも同様.

不正アクセスによるお客様情報流出に関するお知らせによると,SQLインジェクションで豪快に抜かれたように読める.当該脆弱性は修正されたようであり,そのことはよい.

ここまで読んで,安心した人は甘い.それ以外の記述でイマイチ(かなり?)不安が残る.

[]RAGTAG Online不正アクセス被害考察(2)〜そんな対処や注意喚起内容で大丈夫か? RAGTAG Onlineの不正アクセス被害考察(2)〜そんな対処や注意喚起内容で大丈夫か?を含むブックマーク RAGTAG Onlineの不正アクセス被害考察(2)〜そんな対処や注意喚起内容で大丈夫か?のブックマークコメント

周知内容を確認すると,以下のような対処を行った,とある.

  • WEBシステムのセキュリティの見直しを行った上でのプログラム修正実施
  • 安全性確認のため,サイト再開前にすべてのプログラムを精査

そして今後の予定は以下のとおり.

  • データベース内に保存されたパスワードの暗号化
  • 外部機関による更なるセキュリティ安全性診断の実施
  • 調査・原因の究明・対策の実施継続
  • 解明された内容、追加の対策等の随時報告

これは充分か?といわれると,この時点では不安が残る.もちろん,追加実施する対処によってはいろいろと解消する可能性もあるわけだが.

[]RAGTAG Online不正アクセス被害考察(3)〜「大丈夫だ.問題ない」とは言い切れない… RAGTAG Onlineの不正アクセス被害考察(3)〜「大丈夫だ.問題ない」とは言い切れない…を含むブックマーク RAGTAG Onlineの不正アクセス被害考察(3)〜「大丈夫だ.問題ない」とは言い切れない…のブックマークコメント

まず,漏れてしまったもののうち,「暗号化します!」と言ってるのはパスワードだけというのが気にかかる.

そして,不正アクセスによるお客様情報流出の経緯に関するお知らせには,以下の記述がある.

クレジットカードについては、管理システムが今回問題になったサーバーとは異なるため、そちらのサーバーについては影響範囲外となります。そのためクレジットカード情報については流出していないことをサーバー管理業者が確認しました。

クレジットカード情報の安全性は確保されています。

ところがこれらの確認および報告は,すべて「サーバー管理会社」によるものであり,どのように実施したのか(もしくは第三者機関による確認が行われたのかどうか)が明記されていない.

よいほうに捉えると,このサーバー管理会社から外部機関への確認依頼を行い,結果を受け取って精査したと考えられなくもないが,それならば「外部機関」というプレーヤーが今後の対処のところで初めて出てくるのは少し不自然だ.

また,カード情報の取り扱いに関する内容が不明瞭であることも気にかかる.攻撃で漏洩していないのは事実だとして,「カード情報をどう管理している」とは書かれていない.穿った見方をすると,エクスコムグローバル社と同じように,暗号化もなにもしない状態で管理されているのではないか?とも捉えられかねない.

「オマエ考えすぎ」と感じる人もいるかもしれないが,そもそも「パスワード暗号化してませんでした」という一言があるあたりが,「そんな対策で大丈夫か?」という突っ込みドコロになっている.

[]RAGTAG Online不正アクセス被害考察(4)〜「そんな周知で大丈夫か?」「大丈夫だ,問題ない」とは(ry RAGTAG Onlineの不正アクセス被害考察(4)〜「そんな周知で大丈夫か?」「大丈夫だ,問題ない」とは(ryを含むブックマーク RAGTAG Onlineの不正アクセス被害考察(4)〜「そんな周知で大丈夫か?」「大丈夫だ,問題ない」とは(ryのブックマークコメント

ということで,周知の内容にも触れておこう.

このような事態を起こし、情報が流出してしまった会員の皆様には、多大なご迷惑、ご心配をおかけいたしますことを、深くお詫び申し上げますとともに、メールアドレスとパスワードが悪用されてしまう可能性を考え、当社サイトおよび他社で登録されているパスワードの変更をお願い申し上げます。

実はこの周知を見て不思議に思ったことが,上記で赤字にした部分だ.まとめると以下のような感じだ.

  • IDはユーザが任意に設定できるため,この部分が漏れている場合,IDとパスワードの組も悪用される可能性がある
  • 悪用される可能性を認識しているならば,運営側でなぜパスワードの無効化などを行わないのか

前者については,確かにリスト型アカウントハッキング攻撃に使われることが多いのは,メールアドレスとパスワードの組だが,別にメールアドレスでなくともIDとパスワードの組でもトライは可能だ.

後者については,悪用されている可能性を認識しているならば,その前にやるべきことはパスワードの無効化と再設定のお願いを送信することのはずだが,上記周知を見て「なんでそうしないのか」と疑問に感じていたのだが,少し触ってみてその疑問は「もしやそれができないのではないか」という疑念にかわった.

さらに言うならばこのサイト,実際に登録してみてわかったことがあるが,それはちょっと伏せておく….

あと,以下のような可能性を列挙しているが,これもまた…という風である.

≪悪用されてしまう可能性について≫

・悪意のあるフィッシングサイトへ誘導するメールや、ウイルスに感染したメール、出会い系などの迷惑メールが届いてしまう可能性があります。

・メールアドレスとパスワードでログインできる別のサイト(FacebookTwitter、他社様のオンラインショップなど)に、同じメールアドレスやパスワードを登録している場合、なりすまし投稿・なりすまし注文のほか、そのサイトに登録している他の個人情報(お名前・ご住所・電話番号など)を盗まれてしまう可能性があります。

この中で,「メールアドレスとパスワードでログインできる別のサイト」とあるが,そもそも「IDが漏れている人の場合は自サイトも対象になる」という可能性を述べていない(忘れただけかもしれないが).

ちなみにカード情報については,このサイトに保存するのが怖いので,自分では確認できていない….

[]RAGTAG Online不正アクセス被害考察(5)〜それでもこの件で評価できること RAGTAG Onlineの不正アクセス被害考察(5)〜それでもこの件で評価できることを含むブックマーク RAGTAG Onlineの不正アクセス被害考察(5)〜それでもこの件で評価できることのブックマークコメント

ネガティブなことをあれこれ書いたが,それでも評価できることは少なくとも2点ある.

それは以下のとおり.

  • 2013年5月7日に発生した事案に対し,5月9日には公開と注意喚起を実施している
  • 事実をもとに取ったアクションについて報告を行っている

システムの作りは正直アレだがw,このアクションの早さは評価できる.どっかの会社とは大違いだw

[]リスト型アカウントハッキング攻撃の目的に関する考察〜価値の高いカモリスト作成 リスト型アカウントハッキング攻撃の目的に関する考察〜価値の高いカモリスト作成を含むブックマーク リスト型アカウントハッキング攻撃の目的に関する考察〜価値の高いカモリスト作成のブックマークコメント

リスト型アカウントハッキング攻撃とは,通常のブルートフォース攻撃とは違い,準備したIDとパスワードの一覧を用いてログイン試行を片っ端から行なっていく攻撃,と認識している.

IDを固定してパスワードをあれこれトライしていくタイプのブルートフォース攻撃の場合は,ログイン試行回数を超えると当該IDの利用は停止される(アカウントロックされる)ため,当該IDの持ち主は何らかの攻撃対象になったことに気付く.

ところが,リスト型アカウントハッキング攻撃は,同じIDで複数のパスワードというわけではなく,IDとパスワードの組を複数回試していく.このため,試行回数で縛ろうとしても無理,という話になる.

このあたりの話は,徳丸さんの日記に詳しいので,省略する*1

このところ,「大量のアカウントに対して不正にログインされた」という話は多く耳にするが,「それによって(不正ログインされた以外の)実害が発生した」という話はあまり聞かない.

オレがこの話を聞いて感じるのは

  • 入手したリストの確度を確認するために攻撃を繰り返している
  • アカウントごとにログイン成功したサイト数を確認し,より価値の高い(ログイン成功&攻撃に使える)アカウントリスト(=カモリスト)を作成している

ということだ.

  • 入手したアカウントとパスワードのリストは,何もしなければただの文字列の塊である.
  • かといって,実際に何かを仕掛ける時に初めて使うというのも(攻撃側にとって)リスキーである.
  • 攻撃側が(実害を発生させない程度に)認証トライし,リストの品質を確認する

ということを行った結果が,ここのところよく聞かれる攻撃の裏側にあるのではないか?というのがオレが持っている仮説の1つ.なんというか,タダで教えてくれるんだから,これほどおいしいテストシステムはないよねw

で,対策についてはよく言われているが,サービスやサイトごとにパスワード変えてねとしかいいようがない.

機械的に来るアクセスをシステム側で弾くためには,(これまたよく言われてることだが)CAPTCHA認証を入れて,(強制的に)人手を介するようなつくりにすることなどが挙げられる.

…確かに破綻してると言われるわけだわ.

[]それは robots.txt の問題じゃなくて...を読んで感じること それは robots.txt の問題じゃなくて...を読んで感じることを含むブックマーク それは robots.txt の問題じゃなくて...を読んで感じることのブックマークコメント

書いてあることはおおよそ同意.

ただ,それに加えてオレが感じるのは,「攻撃者に無用な情報を与えすぎている」というところ.

特に,残存しているCHANGELOG.txtなんかは,使っているソフトウェアのバージョン推測を容易たらしめる情報であり,残しておくことに対して何のメリットも感じられないどころか害しか思い浮かばない.

[]セキュリティレベルを高くするためには,攻撃コストを高く設定する必要がある セキュリティレベルを高くするためには,攻撃コストを高く設定する必要があるを含むブックマーク セキュリティレベルを高くするためには,攻撃コストを高く設定する必要があるのブックマークコメント

きょうび攻撃者が嫌がるのは,「バレること」「捕まること」「おカネがかかること」なんではないかと思う今日このごろ.

裏を返すと,攻撃者が好むことは「バレないこと」「捕まらないこと」「おカネがかからないこと」なんではないかなと.

「バレなきゃ捕まらない」なんてコトバがあるので,「バレない=捕まらない」として,この部分をなくしていくためにはもうなんというか「監視」とか「検知」とかいうところを精度上げたり研ぎ澄ましていくしかない.このあたりはオレも興味あるところの研究分野.

あとは「おカネがかからない」という話をいかにして潰していくか?という話を考える必要があるのかなと感じている.要は「攻撃にかかるコストをいかに上げるか」ということ.この場合のコストは単純におカネだけの話ではなく,時間や工数もこのコストに含まれる.

変な話だが,大量の試行をするのに人手をかけさせるように仕向けるなんてのは,立派なコスト上昇の要因だ.人手をかけることで,時間もかかれば(人を使えば)人件費もかかる.法的な観点からも公序良俗の観点からもまっとうとはいえないけど,攻撃行為をビジネスと見立てるならば,ビジネスを遂行するための経費がかさんでもやるという判断は普通は行わない.

ユーザに手間はかけさせないけど攻撃に手間はかかるようにする,というのは,セキュリティの観点からはアリかなと考えます.

ちなみにこの検討,攻撃側の視点が不可欠です.オレが「攻撃側の視点をもって防御を考える」といってるのは,こういう話もあるからなのです.

*1:ボロが出るから書かないwとも言うw

2013-06-01 土曜日なので

大学に顔出しに言ってました(ぁ

[]上野 宣さんのblogが… 上野 宣さんのblogが…を含むブックマーク 上野 宣さんのblogが…のブックマークコメント

TrustedSourceというサイトでURL評価を行えるということで,少し調べてたら,上野 宣さんのblogで以下のような結果がw

f:id:wakatono:20130601190843p:image

要は「このサイトはリスクの高い悪意あるサイトです」ということを言いたいんだろうけど,これはひどい

ということで,カテゴリ修正の要求を送っておきましたw.

f:id:wakatono:20130601190844p:image

[]TrustedSourceってなんだろ? TrustedSourceってなんだろ?を含むブックマーク TrustedSourceってなんだろ?のブックマークコメント

少し調べたらわかりました.

McAfeeさんが運営してる,URLの属性とかをチェックしたりする,いわゆるReputation Systemのようですね.

0000 | 00 | 01 |
2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 04 | 05 | 06 | 07 | 08 |
2011 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 12 |
2012 | 01 |
2013 | 05 | 06 | 07 | 08 | 09 | 12 |
2014 | 03 | 06 | 08 |
2015 | 02 | 04 | 08 | 10 |
2016 | 02 | 03 | 04 | 07 | 08 | 10 |
2017 | 05 | 07 |
hacker emblem
ページビュー
1909797