11月14日のtwitterセキュリティクラスタ

もはや数年前からオワコンなWEPですが、少しは安全に使える方法があるようです。気になるのはWEPを使わざるを得ない状況ですが、そんなのあるんですね。

zusanzusan :「既存鍵回復攻撃を困難にするＷＥＰの運用とその評価」 塚畝・藤堂・森井（神戸大） #isec201111

zusanzusan :ＷＥＰの脆弱性が指摘されている一方で、依然としてＷＥＰは使用されている。本発表では、妥協策として、ＷＥＰを安全に運用するための鍵更新法を提案する。 #isec201111

zusanzusan :鍵回復が困難なＩＶ（Strong IV)を使用するのがポイントかな #isec201111

zusanzusan :「ＷＥＰは依然として深刻な脆弱性を有するため、より強固なプロトコルであるＷＰＡやＷＰＡ２などへの早急な移行を推奨する。本稿はあくまでもＷＥＰを利用せざるをえないユーザがＷＥＰを安全に利用するための妥協策であることに注意が必要である。」 #isec201111

UDPの連続フローが送られ続けるとオーバーフローするらしいけど、途方もなく時間がかかりそうな脆弱性のPoCを試みている人がいらっしゃいます。これはちょっと結果が気になります。

kaito834 :とりあえず心向くままms11-083のPoCを実行し続けよう。丸一日経過。

ucq :@kaito834 たぶん普通にやると数日かかるとおもいますよ

kaito834 :@ucq あ、一応覚悟のうえですw 何日かかるか知りたくて。

ucq :@kaito834 2**32パケットほど送らないといけないので結構時間かかりそうですね。どこかでは50日とか見たような気もしますが。。。

a4lg :@ucq その脆弱性は詳しく見てなかったけど、その数からして整数オーバーフロー?

kaito834 :@ucq PoCのコメントですね、それ。52日。テスト環境のVictimで実際にダンプしてみたら、1000/secでUDPパケット受信できたので、諸々計算してみると5日程度でいけないかなぁと思ってます。

ucq :@a4lg YES。内部の参照カウンタだったかがあふれる

a4lg :@ucq なるほど～。それでカーネルが攻略されうるわけだ。

ucq :@kaito834 おお。数日後の結果を楽しみにしてます:)

kaito834 :@ucq なんだかんだダメだったら、「最低でもXX日ではダメ」という実証結果にしようと思ってます :D

kaito834 :目算があってるかどうかがあやしくはあるけど...面倒くさくて誰もやらないと思うから、一人ぐらいはやる人がいてもいいでしょう。

その他に気になったことはこのあたり。

ockeghem :“11月24日(木)トレンドマイクロ&KCCS共催セミナーで講演します - ockeghem(徳丸浩)の日記” http://htn.to/zQZ1qt

expl01t :これ網羅してるとは思えないけど良記事。ポリシー決め、社員教育、問題想定した事前準備、パスワード管理、SPAMリンクに注意。Reading: 5 Ways Enterprises Can Stay Safer On Facebook informationweek.com/thebrainyard/n… #fb

MasafumiNegishi :久しぶりにブログ書いたー。「APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ！」 d.hatena.ne.jp/ukky3/20111114…

tamiyata :セキュリティ・ダークナイト連載の辻さんによるおしごと。日本においてExcelの脆弱性は要注目かもしれません。： Excelにおける変数初期化処理の脆弱性（CVE-2011-0105, MS11-021）に関する検証レポート http://ow.ly/7sp4h

s_hskz :#AVTokyo web-talkで私が使ったスライドをアップしました。内容がスッカスカでもうしわけありませんが、よろしければどうぞ。 ( d.hatena.ne.jp/st4rdust/20111… )

bulkneets :AVTokyoのパネルディスカッションで喋ったのだけど、セキュリティと利便性がトレードオフであるというの、正論っぽく聞こえて便利なんだけど、両立させる方法を思いつかない人が安易に使ってしまう。本当にトレードオフになるような状況ならオプトインで提供すべき。

bulkneets :セキュリティと利便性が両立しない時に、リスクについて周知させた上で、CSRF上等とかクリックジャッキング上等、利便性のほうが大事という人のみ有効にする実装はありうるけど、実際はそういうことが行われない。何でかというとリスクについて周知する=脆弱性、悪用方法を公開することになるから