Securityの最近のブログ記事

IPsecのバックドアはあり得ない

2010年12月27日 09:32 | | コメント(0)
ということだそうだ。

まず、関係者として名前が挙がっていた人々が口々に関与の否定()を表明しているし、なにより、このカテゴリのFBIの守秘義務期間は通常25年で、10年で切れることはないのだそうだ。
さらに名前が挙がっていたJason Wright氏によると、OpenBSD Crypt Frameworkの開発中、Gregory Perry氏はNETSECの業務には就いていなかったという。

都市伝説的なガセネタだったようだが、では、いったい誰が何のために?
やはり疑問は残る。

OpenBSDのIPsecに多数のバックドアの影

2010年12月19日 01:16 | | コメント(0)
FBIに報酬をもらって、10年前にOpenBSD実装のIPsecに多数のバックドアを仕掛けたと、作業を行った本人(NETSEC元CEOのGregory Perry氏)がOpenBSDのプロジェクトリーダーに告白している。

2000年から2001年あたりのIPsec初期コードだと言うことだが、FBIの非開示契約が最近切れたため、告白するに至ったということだ。

OpenBSDプロジェクトは以前、DARPAから補助金が出る話が急にキャンセルになったことがあったのだそうだ。その当時は理由がわからなかったようだが、どうも、DARPAがこのバックドアに気づいたことが原因ではないかとも言われている。

しかし、OpenBSDのIPsecは独自実装で、FreeBSDやNetBSDはKAMEによる実装が採用されている。MacOSやLinuxもKAME由来の実装やFreeS/WANから派生したOpenswanやstrongSwanなどだし、なんと言っても、すでにこの10年間にIPsecスタックやコードそのものがかなり変更・修正を経てきているので、どのくらい影響があるのか未知数のようだし、もしかすると、既に直接的な影響は無いのかもしれない。

いずれにしても、続報が待たれる注目すべきニュースだ。

認定証が届いた2

2010年10月22日 01:05 | | コメント(0)
いやまさか、二日連続で配達されるとは。
そこいらへんの柱の影であみすの独り言を聞いていたのではないかと言うほどのタイミングで・・・

cisco.jpg
届いたのは4種
CCNA
CCNP
CCDA
CCDP
認定証のほか、カード。
以前のモノはラミネートだった。
せこかったが、かさばらず。
今回のモノは意味もなく分厚いカード。LPICと同等かそれ以上。
これは別のカード入れを考えなくては。

認定証が届いた。

2010年10月20日 14:17 | | コメント(0)
LPIC.jpg
とりあえず、3種
そういや、Ciscoはどうしたのだろう。
ただで認定証くれるっていってたのに。

11/14追記
4種の写真に更新

onMouseOver

2010年9月24日 09:22 | | コメント(0)
Twitterが、米国時間9月21日、太平洋夏時間午前2時半ごろから午前7時(日本時間21日午後6時半ころから午後11時ころ)にかけて、クロスサイトスクリプティング(XSS)が原因のセキュリティ攻撃を受けたと発表。
修正作業により午前7時頃解決、さらに関連する問題を同9時15分ころに修正したとのこと。

問題は単純なXSSだったようだが、JavaScriptのコードがプレーンなテキストとしてツイートされるとそのツイートがユーザー側ブラウザで実行可能だったようだ。

8月に1度対応していたにもかかわらず、最近行ったアップデートで再度顕在化することになったとしている。

Twitterによると
「まず、何者かによりあるアカウントが作成され、そこで、ツイートの色を変更し、そのツイートの上にカーソルを置くとポップアップが表示されるように問題が悪用された。今回の問題が『onMouseOver』の脆弱性と呼ばれるのはこのためで、リンク上にマウスを置くと攻撃が発生する」
とのこと。

ここに他のクラッカーによるコードが追加され、オリジナルのツイートが本人の意志と関係なくリツイートされるようになったという。

今回の攻撃はTwitter.comのみでモバイル系のコンテンツには影響しなかったということと、ユーザーアカウントの情報も影響外とのことなので、まずは一安心かと。

でも、なんでこんな簡単にXSSの穴が開いちゃうかな。
アップデート対象のコードのみに注力して、根本的な最終チェックが行われてない見本だろうな。
数年前に起こった、ウイルスバスターの午前一番のアップデートで軒並み起動不可になったサーバが続出した事件があったが、手っ取り早い対処法はOSの再インストールだったというお粗末ぶり露呈のこの一件も、アップデートソフトを一切検証せずいきなり実戦配備した結果だった。

IT化が叫ばれて久しいが、世の中、スピードアップと即利益性のみが正義とされる風潮で、現実には信頼性・安全性・確実性が犠牲になっている。
表に出ている派手な部分だけが評価され、裏方で頑張っているヒト・モノ・コトが軽視される風潮は、確実に間違っているぞ。
コスト削減の名の元にこういった裏方が間引かれ続けるからこんな根本的な問題が発生するのだ。

ご注意警報

2009年4月 6日 08:46 | | コメント(0)
この4月1日に発症が危ぶまれたワーム conficker ですが、表だった攻撃などの症状は見られないようでしたが、自動アップデートが行われたり、P2Pによる他の感染マシンとの連携、独自ネットワークの構築など、何でもありの環境が着々と準備されているという事実が公表されてます。

う〜ん、
本当に危ないのは実はこれからなのだ。という事実が徐々に不安を募らせてきますね。

TCP/IPに脆弱性

2008年10月 9日 09:47 | | コメント(0)

TCP/IPに脆弱性が発見されたと10月2日の段階で報道がなされました。

これは、OSを問わず、TCP/IPの根本を原因とする脆弱性で、ほんの少しのトラフィックでDoS攻撃(Denial of Service Attack)を引き起こさせるものだそうです。

フィンランドのセキュリティ会社が発表したのですが、修正パッチ等の適用を促すため、詳細は明らかにされていません。

この手法は今年夏にDNSのキャッシュポイズニングに関する問題を指摘した手順と同じなのですが、世界的にはこの手法を由としない研究者たちによって、問題点がリークされてしまい一人歩きしていく傾向がありますね。

16日からのカンファレンスでデモを行うそうですが、問題が問題だけに、早々に収束してくれることを願います。

 

ちなみに、あみすはこの問題を報道する記事を昨日(8日)PS3のLife with PSをさまよっているときに見つけました。たぶん一般にはあまり報道されてませんね。

Life with PSはまだ開始されたばかりですが、なかなか期待できるサービスですよ。

 

« Linux 覚え書き | メインページ | アーカイブ | 四角 »

検索

このアーカイブについて

このページには、過去に書かれたブログ記事のうちSecurityカテゴリに属しているものが含まれています。

前のカテゴリはLinux 覚え書きです。

次のカテゴリは四角です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

2010年12月: 月別アーカイブ