スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月22~25日のtwitterセキュリティクラスタ

連休ですっかり早めの冬休み気分ですが仕事がまだ残ってたりするのですね。

アメーバの会員が5万人強制退会させられたそうです。不正アクセスがあったそうですが、大本営発表だけなのでなんとも。
asahi :アメーバに不正アクセス 5万人退会状態になるトラブル http://t.asahi.com/5172

nekomata_nya :アメーバ、不正アクセスで勝手に退会にしといて、メルマガが定常運転ってのがすごいなぁ。尊敬するよ、まったく。 http://yfrog.com/ocqxbjtj

tiesak :アメーバに不正アクセス、利用者が退会状態に(RBB TODAY) - Y!ニュース

nescafegoldblen :アメーバの退会トラブルは不正アクセスが原因だった http://dlvr.it/124Xst

yutoriseizinn :アメーバに不正アクセスされて5万人が退会状態とかどうしようもねえよwwwっていうか昨日の11時から判明したのに今日の午後3時から復旧作業始めますとか言ってたんだが遅すぎね?よりによってクリスマスの日とか、謝罪文たらたら書き連ねるんだろうなぁ。明日の8時までかかるしドンマイとしか…


DoCoMoのSPモードのなぜか他人のメールが届く事故について高木せんせいが原因を推測して対応策を述べられてます。IPアドレスを識別子に使うなら1ユーザーごとに固定のIPv6アドレスを割り振ればいいじゃないですかヘ(゚∀゚ヘ)アヒャ
HiromitsuTakagi :spモードを試した。以下、初期所見。①設定のために spmode.ne.jp/setting/ に行くことになるが、この時点で既にユーザ識別されている。URLパラメタもPOSTデータもなく直にアクセスしても、cookieをクリアしOFFに設定していても識別される。

HiromitsuTakagi :②HTTPSなのでGWでヘッダに何か挿入することはできないし、ブラウザが端末識別番号を送信しているとは考えにくい。③そうすると、この時点で既に、Webサーバでユーザ識別する手段は、IPアドレスを用いるしかないのではないか。

HiromitsuTakagi :④ユーザ識別はこの図

の「パケット交換機」で電話網の信号からIPパケットが再構成される際にはIMSIか何かで可能となるが、それを他のサーバに伝えたくともIPパケットに載せる手段はない。よって、IPアドレスの登録と参照を使うことになったと。

HiromitsuTakagi :⑤iモードでは、「パケット交換機」がHTTPストリームを再構成する際にその場で直接、(IMSI等で識別しているユーザに対応する)ユーザ識別子(uid又はiモードID)を埋め込んで、他のサーバにHTTPで送信することができた。(そのためHTTPSでは使えなかったのだが。)

HiromitsuTakagi :⑥spモードはスジが悪い。目的がアプリレイヤでのend-to-endの認証済み識別であるはずなのに、下のレイヤの中継地点で認証と識別の提供をしようとしている。(もし「パケット交換機」でHTTPSを解くなら一般的なリバースプロキシと同様で変ではない。⑤のヘッダ挿入もそれに類する。)

HiromitsuTakagi :⑦正しい設計はこう。「パケット交換機」上で接続のIMSIが確認された際にセッションIDを発行して端末側アプリに(何らかのプロトコルで)返す機能を用意。アプリはそのIDをHTTPSなどアプリレイヤでend-to-endの通信に載せてサーバに送信。サーバはIDからユーザ識別子を得る。

HiromitsuTakagi :⑧auのスマホはそれ(⑦のこと)っぽいことをやっている感じに見える。(未確認)(「au one-ID設定」のとき) ⑨結局、「一般にシングルサインオンの実現方式は、ID連携方式かリバースプロキシ方式」と言われるように、どっちかしかないところ、spモードはどっちでもない斬新方式。

HiromitsuTakagi :⑨スマホから使う spmode.ne.jp/setting/ はインターネットから接続できないようにされている。このことがカスであることの証と言ってよい。これが解消されたらば(つまり、Webの隠し画面など存在しなくなったとき)、抜本的な問題解決が図られたと見てよいだろう。

HiromitsuTakagi :⑩その暁には、何らかのアプリが⑦のセッションIDを取得してWebブラウザに引き回して spmode.ne.jp/setting/ にパラメタ付きでアクセスするようになるはず。(よって、その画面はインターネットから見えていて何ら問題ない。)

HiromitsuTakagi :以上、こんなところではないかと推測。

HiromitsuTakagi :というわけで、今回の事故はメールだけではなく、あらゆるspモード関係機能に及んだ可能性あり。記事 でも、「一時停止した21項目のspモードサービスはIPアドレスを使っているので…実際に何が起きたかを確認しているところ」と言われている。

HiromitsuTakagi :図にした。先の⑥を図にしたもの。

HiromitsuTakagi :一方、先の⑤の図はこうだった。

HiromitsuTakagi :そして、先の⑦を図にするとこう。
HiromitsuTakagi :昨日の⑦ twitter.com/HiromitsuTakag… は取り消し。図で言うと websequencediagrams.com/cgi-bin/cdraw?… が取り消し。理由:テザリングを許した時点でアウト。結局、携帯電話通信のレイヤから利用者を識別してアプリレイヤで使うという発想自体がオワっとる。無理。やめるべき。


うちではいきなりマルウェア扱いされたので詳細は不明です。
PhysicalDrive0 :Exploit Pack - Happy new year! | Open source security tool 4 exploit writers and security researchers http://goo.gl/0bVtM


クラウドすげー。
SecurityTube :[Video] WPA Cracking ON EC2 GPU Instance 50000 PMKs/s

WPA Cracking ON EC2 GPU Instance 50000 PMKs/s from J0k3rr on Vimeo.


by j0k3rr


bulkneets :ローソンガジェットのXSS修正されました(報告して1日半ぐらい)


その他に気になったことはこのあたり。
mayahu32 :[バイナリ解析]マルウェアを自動で解析する仮想マシン「Zero Wine Tryouts」


MasafumiNegishi :なんとなく年末モードで今年の主要なトピックを考えてみると、(1) APTの拡大(いろいろな意味で)、(2) Hacktivismの台頭 (おもに Anonymous)、(3) CAの信頼ガタ落ち (Comodo, DigiNotarなど)、この3つかなぁ。


kitagawa_takuji :中国拠点のハッカーに企業秘密筒抜けの恐れ-出張中の社員が標的に ホテル向インターネット接続サービス iバーンのシステムを企業ネットワークへの入り口として利用し、出張中の社員を通じ企業秘密が漏れていた恐れ < 出口対策だけでは不十分な例


ntsuji :不正送金総額3億円のうちフィッシングによる犯行が約2000万円、不正プログラムによる犯行が約2億8000万。 / インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等について[PDF] - http://bit.ly/rPud3y


ockeghem :日記書いた/タイトルのtypoを修正しました / “大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記” http://htn.to/oj8nfX
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。