2月8日のtwitterセキュリティクラスタ

iPhoneはAndroidと比べると検閲があるからある程度安全だと思ってたのですが、実はそうでもないみたいですね。それにしてもひどいなあ。

minesweeper96:パスしちゃったかー / “ソーシャルサービスPathがユーザーに無断で連絡先データを収集 - ITmedia ニュース” http://htn.to/Lr3KK3

bulkneets:アドレス帳送るの、バレなきゃいいと思ってやってるのではなく、SSL通信その気になればキャプチャできるのなんて開発者は知ってる。バレて困るならもっと巧妙にやる。迷惑メール送らなければいい、名簿売らなければいい、目的外に使わなければ良い、OSから許諾なく取れるデータは使って良い、では

bulkneets:OS作ったりセキュリティポリシー作る人とアプリのデベロッパーの感覚は違うし、エンドユーザーの感覚も違う。「ひどいことしやがって、信用できない」ではなく、どういうポリシーで設計されているのか感覚を共有するための努力をすべき

bulkneets:あれ、Pathってひょっとして証明書入れなくてもMITM攻撃できた？ disqus.com/twitter-149045…

bulkneets:私はとても驚いています

bulkneets:この記事、手順おかしいなーと思ってたら、端末側に証明書追加しなくてもSSLキャプチャできた mclov.in/2012/02/08/pat…

bulkneets:PathはSSL証明書エラーを無視していて、端末に自前で証明書を追加するなどの手順を取らなくても、通信キャプチャ出来る。アドレス帳送ってただけじゃなくて、信用できない回線を使うと第三者から送信内容を読み取られる可能性があった。

徳丸さんが「Android Security」のスマートフォンアプリにおける暗号化についての感想を述べてらっしゃいます。スマホが注目され始めて、これまで海外の研究者の発表は多いものの日本ではあまり注目されていなかった感のある組み込み端末やICカードのセキュリティについて研究する人も増えていくのでしょうか。

ockeghem:Android Security（通称タオ本）の暗号化の章を読んだ。@haruyama が「暗号についてはだめだめ」と評していたけど、確かに良くないね。スマートフォンアプリケーションにおいて暗号鍵管理は難しいとは思う。タオ本にも有効な方法は示されていない

ockeghem:スマートフォンアプリの暗号化が対処しなければならない問題はネットワーク経由の盗聴ではなく、端末を操作できる人による窃視。なので、リバースエンジニアリングされると結局鍵もばれてしまう。アプリの難読化と同じ強度でしか暗号化できない

ockeghem:タオ本P233には「共通鍵の生成」として、IDやインストール時刻を元に鍵生成が最有力な方法として紹介されているけど、これは代表的なダメ実装ですね。初期のNetscapeの有名な脆弱性と同じ。ja.wikipedia.org/wiki/Transport… の「乱数の品質」などを参照

ockeghem:タオ本P232には、暗号鍵をハードコードする方法は絶対ダメと書いてあるけど、結局アプリの難読化に依存している以上、鍵をハードコードする方法と他の方法は大差なく、かえってハードコード（難読化の工夫はするとして）の方がマシという場合も十分あり得る

ockeghem:じゃあ、徳丸は次善の策が示せるかというと、示せません。商用難読化ツールを買ってくるくらいではないですか? もっとよいのは、ローカルストレージに機密情報を置かないこと

y_aki:@ockeghem 公開鍵暗号を併用することで少しは緩和出来るのかなーというぐらいですかね

ockeghem:@y_aki 公開鍵暗号が有効に使える応用ならば大丈夫ですよ。でも、アプリには平文を得られれ、攻撃者には平文は見せないという用途には使えませんので。暗号化してサーバーに放り投げるだけ、とかならOK

urchinhead:セキュリティチップ対応はダメですか？ RT @ockeghem: じゃあ、徳丸は次善の策が示せるかというと、示せません。商用難読化ツールを買ってくるくらいではないですか? もっとよいのは、ローカルストレージに機密情報を置かないこと

ockeghem:@urchinhead セキュリティチップでも難しいです。攻撃者はセキュリティチップ付きの端末を持っているわけです。チップに保存された鍵は抜けませんが、チップのAPIを叩いて暗号化・復号はできる。リバースエンジニアリングされる前提で、正当な要求と攻撃を区別することが難しいです

ockeghem:タオ本には、鍵のハードコードの欠点として、１つ解読されれば他のファイルも全て解読可能になる…とありますが、他のファイルは端末上にあるわけで、暗号文を持っている攻撃者は端末を持っているわけですよ。だから、一台一台同じ操作で解読するだけなので、結局脅威は同じ

ockeghem:そうそう、僕が今想定していない脅威として、SDカードに保存された暗号化データについてはあまり考慮していません。他のアプリから抜かれるという奴ね。そもそもSDカードに機密情報を（暗号化していても）おくのはどうかということですが…これだけを考慮すればいいなら、別の方法もあるね

ockeghem:タオ本の批判をしましたが、全体としてタオ本はとても貴重な本だと思いますよ。これだけの情報がまとめた本は他にありませんので

ockeghem:タオ本P232には、暗号鍵をハードコードする方法は絶対ダメと書いてあるけど、結局アプリの難読化に依存している以上、鍵をハードコードする方法と他の方法は大差なく、かえってハードコード（難読化の工夫はするとして）の方がマシという場合も十分あり得る

data_head:@ockeghem この方法であれば、鍵の実体はアプリの外のパーミッションで保護された領域なのでapkの解析には耐性があります。rootを取られた場合のリスクは、スマホ以外(PC、サーバ)も同じなのでここでは考慮しません。

ockeghem:@data_head 前提次第ということですね。タオ本の10章の前提には、root化された端末による窃視も含まれています。「本章で説明する内容だけでは、データを完全には保護できない」ともちゃんと書いてありますので、これは立派だと思います

ockeghem:一応の結論としては、他アプリからの窃視には安全な乱数で鍵生成してパーミッション設定したローカルファイルに保存する、root化された端末からの窃視には、ソース上に鍵をちりばめた上で商用難読化ツールで難読化するくらい‥・ですかね。あるいは、これらの組み合わせ

その他スマートフォンがらみがいろいろと。

yohgaki:Android Webkit XSS / Cross Domain Issues ? Packet Storm http://ow.ly/8Xv87これ、古いAndroidのブラウザは修正されないな。多分。

hasegawayosuke:"Android Multiple Vulnerabilities" 80vul.com/android/androi… / 6 of 0day issues for Android, via @80vul

youten_redo:端末仕様確認ツール NTT DOCOMO market.android.com/details?id=com… さすがにこのパーミッションはちょｗｗｗｗおまｗｗｗと言いたい

jssec_org:企業で増えるモバイル利用、セキュリティへの懸念も高まる――チェック・ポイント調査 | ITmedia http://goo.gl/yxXq9 (Y

ockeghem:やはり、悪意の第三者からは盗聴を許さず、アプリの監査は可能という、SSLの普通の使い方がバランスが取れているのですよ。iOSと比べてAndroidは監査が難しいのが難だけど、可能ですので。

いよいよ学生向けCTF始まりますね。

kensukesan:seccon.jp でアクセスできます！ RT @hasegawayosuke: http://seccon.jp SECCON CTF 競技コンテスト開催！

その他に気になったことはこのあたり。

ntee:"Windows Mediaの脆弱性（MS12-004）を悪用する攻撃の検知状況" http://ibm.co/xNnZjJ Vista Home系のサポート終了後はこんな攻撃への対応をセキュリティ更新プログラム以外の方法でやらないといけなくなるわけでどういう事態になるのかな？

kitagawa_takuji:動画サイトで感染１００万人超 | Reuters jp.reuters.com/article/jp_cyb… 府警は８日、ウイルスに感染し料金請求画面が消えなくなった被害者が、約１０カ月で延べ１１０万人に上ることを明らかにした。関連口座には約６億円が振り込まれていたという。

nikkeibpITpro:「情報セキュリティガバナンス協議会」が発足、知識共有や啓蒙活動を実施（ニュース） http://nkbp.jp/zRXTkA #itprojp

tentama_go:千葉県警のサイバー部門が対策室から「サイバー犯罪対策課（仮）」に昇格するそう。「サイバー犯罪」倍増、「児童ポルノ法違反」で全体の３割、「ファイル共有ソフト」が多いなど、サイバーの危険性てんこ盛りな内容。この先よく名前を聞くことになりそう chibanippo.co.jp/c/news/nationa…

yohgaki:Does NoSQL Mean No Security? - Dark Reading http://ow.ly/8WdKl いろいろセキュリティ対策の要素が抜けているのは確か。運用でなんとかする部分とも言えるけどツールがないと困る企業もある。

kitagawa_takuji:サイバー犯罪の基礎知識?『アイスマン』を10倍楽しく読むために wired.jp/2012/02/08/bas…

gohsuket:マルウェアの使うTCP / UDPポート一覧 RT @CyberGhost_EN Trojan, Malware, Virus, and Application Ports List | GSO http://bit.ly/yeyVCa

piyokango:プロレクシックなど3社が出したレポートより、最近のDDoSの傾向について。 / “Mas DDoS: More Powerful, Complex, And Widespread - Dark Reading” http://htn.to/nefVcp

yohgaki:Mas DDoS http://ow.ly/8Wd2J Half of DDoS attacks we helped ISPs work on were ideologically motivated. < 最近多いな、と感じてた通りだったのか

jpcert:Weekly Report 2012-02-08を公開しました。^YK

jpcert.or.jp/wr/2012/wr1205…

piyokango:“【ベトナム・インドシナ】越ネットセキュリティー最大手、サイバー攻撃でＫＯ［ＩＴ］/NNA.ASIA” http://htn.to/NHnHsg