Securityの最近のブログ記事
FBIに報酬をもらって、10年前にOpenBSD実装のIPsecに多数のバックドアを仕掛けたと、作業を行った本人(NETSEC元CEOのGregory Perry氏)がOpenBSDのプロジェクトリーダーに告白している。
2000年から2001年あたりのIPsec初期コードだと言うことだが、FBIの非開示契約が最近切れたため、告白するに至ったということだ。
OpenBSDプロジェクトは以前、DARPAから補助金が出る話が急にキャンセルになったことがあったのだそうだ。その当時は理由がわからなかったようだが、どうも、DARPAがこのバックドアに気づいたことが原因ではないかとも言われている。
しかし、OpenBSDのIPsecは独自実装で、FreeBSDやNetBSDはKAMEによる実装が採用されている。MacOSやLinuxもKAME由来の実装やFreeS/WANから派生したOpenswanやstrongSwanなどだし、なんと言っても、すでにこの10年間にIPsecスタックやコードそのものがかなり変更・修正を経てきているので、どのくらい影響があるのか未知数のようだし、もしかすると、既に直接的な影響は無いのかもしれない。
いずれにしても、続報が待たれる注目すべきニュースだ。
Twitterが、米国時間9月21日、太平洋夏時間午前2時半ごろから午前7時(日本時間21日午後6時半ころから午後11時ころ)にかけて、クロスサイトスクリプティング(XSS)が原因のセキュリティ攻撃を受けたと発表。
修正作業により午前7時頃解決、さらに関連する問題を同9時15分ころに修正したとのこと。
問題は単純なXSSだったようだが、JavaScriptのコードがプレーンなテキストとしてツイートされるとそのツイートがユーザー側ブラウザで実行可能だったようだ。
8月に1度対応していたにもかかわらず、最近行ったアップデートで再度顕在化することになったとしている。
Twitterによると
「まず、何者かによりあるアカウントが作成され、そこで、ツイートの色を変更し、そのツイートの上にカーソルを置くとポップアップが表示されるように問題が悪用された。今回の問題が『onMouseOver』の脆弱性と呼ばれるのはこのためで、リンク上にマウスを置くと攻撃が発生する」
とのこと。
ここに他のクラッカーによるコードが追加され、オリジナルのツイートが本人の意志と関係なくリツイートされるようになったという。
今回の攻撃はTwitter.comのみでモバイル系のコンテンツには影響しなかったということと、ユーザーアカウントの情報も影響外とのことなので、まずは一安心かと。
でも、なんでこんな簡単にXSSの穴が開いちゃうかな。
アップデート対象のコードのみに注力して、根本的な最終チェックが行われてない見本だろうな。
数年前に起こった、ウイルスバスターの午前一番のアップデートで軒並み起動不可になったサーバが続出した事件があったが、手っ取り早い対処法はOSの再インストールだったというお粗末ぶり露呈のこの一件も、アップデートソフトを一切検証せずいきなり実戦配備した結果だった。
IT化が叫ばれて久しいが、世の中、スピードアップと即利益性のみが正義とされる風潮で、現実には信頼性・安全性・確実性が犠牲になっている。
表に出ている派手な部分だけが評価され、裏方で頑張っているヒト・モノ・コトが軽視される風潮は、確実に間違っているぞ。
コスト削減の名の元にこういった裏方が間引かれ続けるからこんな根本的な問題が発生するのだ。
この4月1日に発症が危ぶまれたワーム conficker ですが、表だった攻撃などの症状は見られないようでしたが、自動アップデートが行われたり、P2Pによる他の感染マシンとの連携、独自ネットワークの構築など、何でもありの環境が着々と準備されているという事実が公表されてます。
う〜ん、
本当に危ないのは実はこれからなのだ。という事実が徐々に不安を募らせてきますね。
TCP/IPに脆弱性が発見されたと10月2日の段階で報道がなされました。
これは、OSを問わず、TCP/IPの根本を原因とする脆弱性で、ほんの少しのトラフィックでDoS攻撃(Denial of Service Attack)を引き起こさせるものだそうです。
フィンランドのセキュリティ会社が発表したのですが、修正パッチ等の適用を促すため、詳細は明らかにされていません。
この手法は今年夏にDNSのキャッシュポイズニングに関する問題を指摘した手順と同じなのですが、世界的にはこの手法を由としない研究者たちによって、問題点がリークされてしまい一人歩きしていく傾向がありますね。
16日からのカンファレンスでデモを行うそうですが、問題が問題だけに、早々に収束してくれることを願います。
ちなみに、あみすはこの問題を報道する記事を昨日(8日)PS3のLife with PSをさまよっているときに見つけました。たぶん一般にはあまり報道されてませんね。
Life with PSはまだ開始されたばかりですが、なかなか期待できるサービスですよ。
