2008年10月21日
セキュリティーのお話し Mac編Part2
本題に入る前に、まず新しいメインランド土地供給のお話し。
簡単にSLPC公式ブログにて。^^
http://slpcofficialblog.blogspot.com/
それと、コメントでもお答えしましたが、MONOというモノはなにか?ですが、MONOは環境のことではなく、そもそもがマイクロソフトで提供する.NETというソフトウェア群はウィンドウズ以外ではライセンス上使用できないことになってますが、コレをマルチプラットフォームでも使えるように共通言語基盤 (CLI) の実装やC#のコンパイラなどを含めて、クロスプラットフォーム・ソフトウェアを造ろうではないかというプロジェクトで、初めはGNOMEプロジェクトの創始者であるMiguel de Icaza氏らによって創業された企業Ximianで開発、元々はLinux側ではありましたが、その後ライセンス上のゴタゴタありまして、現在ではノベルが引き継いでいます。
要するに環境ではなくて、クロスプラットフォームの開発のためのソフトウェア群の総称です。そこでJAVA VMと同じようなモノを開発したのがMONO VM。コレをリンデンはシュミレーターに応用しようと考えてるわけです。
===============================
さて、前回からの続きですが、Macのビュワーのキャッシュフォルダは、環境設定で確認できますが、
このパスの/Usersとは、MacのHDアイコンをクリックすると以下のような所に格納されています。
このcasheというフォルダの中身ですが、Macの場合、SLビュワーのユーザーデーターは通常ウィンドウズのようにOS自体は管理していません。というのも、Macの場合、UNIXのシステムと同じでカーネルの上でアプリケーションは独自で動作するよう設計されており、ネットワークのように共通のサービスは、ソレとは別にrootと呼ばれる管理者モードで設定され、ウィンドウズのように共通でアプリが使うDILLというモノは存在しません。よって純粋にSLビュワーに関するモノはここ以外にフォルダが無いと見ていいわけです。
ビュワーに初期化方法として、リンデンに報告したことのあるApplicatin DataにあるSL関連のフォルダがビュワー削除後にも残されるという問題はないわけ。
Windowsでは、複数のアプリケーションソフトが共通して利用出来るよう、汎用性の高いプログラムを部品化してファイルとして保存しておき、必要に応じてメモリに呼び出して利用する手法としてDILLという小さなプログラムを使用します。
従い、ウィンドウズのアプリケーション削除は、フォルダごと削除してもダメで、アンインストール作業はソレ専用プログラムで削除しないとOSが不安定になりますが、Macの場合、フォルダごとゴミ箱でOKですよね。
セキュリティーを考えた場合、ウィンドウズではウィルスをこのDILLを使って操作する事も可能なので、タスクとして常駐させるプログラムとしてウィルスを感染させたアプリを登録させてしまうことがよくある手法です。そうなると、性能の悪いセキュリティーソフトウェアでは、通常プロセスとして認識され、特定が困難になる場合もあります。
また前回書いたMacの設定ファイルPreferences.plistファイルは、主にネットワークサービスに関するもので、書き換えるにもターミナルからrootという管理者モードでないとできません。
要するにMacではアプリは独自プロセスなので、OSのカーネルに影響をさせるようなプログラムを仕込むには、あくまでもユーザーがインストールさせていないとダメ。ウィンドウズはDILLがあるので、明示的にインストールしなくても、ネットでばらまいたウィルスで操作できればいいというわけで、画像などに小さなスクリプトやリダイレクトを行ってブラウザから操作させるようなことが使われる場合もあります。
よくリンクウェというのがありますよね?これはイラストをダウンロードさせず、特定サイトにリンクしてそこから呼び出して使うバナーなどがそうです。
例えば以下のバナー。
上記はソラマメに画像をアップロードしているわけではなく、http://getfirefox.jp/b/125x125_square_orangeという場所から読み込んで表示させています。URLをクリックすると画像が表示されますが、これはそのサーバーに置かれたファイルに直接アクセスして、ダウンロードページにアクセスさせているわけです。
平たくいえば、画像は別の所に置いてあり、その画像にリンクが張ってあるということですね。上記の場合、a href=指定なので、別にどうということもありませんが、ここにスクリプトを仕込んであると話は別です。
そこにHTMLタグ”<”で囲んでhttp://getfirefox.jpをa href=で指定すれば、サイトに飛ぶというわけですが、ブラウザはタグに囲まれた内容を表示しませんので、この中にPHPなどのスクリプトを仕込む事は可能。
お察しして頂けるかも知れませんが、つまりはここのリンク先がリダイレクトになってると・・・。
問題なのは、前回お話ししたリダイレクトによって改竄された偽サイトに訪問して、その一時ファイルやキャッシュがPCに保存されていた場合、次にブラウザを立ち上げてもブラウザは最初そのファイルを使用するので、フォームデータなどSSLなどの通信を使用していないサイトでは、フォームデーターを盗まれる危険性が残っています。
Macで脅威なのは、ウィンドウズと同じネットワーク側からの攻撃、ブラウザやビュワーの機能を使った手法ということがまず考えられます。
最近の最新ブラウザでは、リダイレクトや偽サイトに誘導されないような機能を搭載できるモノがあります。FireFoxはアドオンという拡張機能でコレが実現できますね。
https://addons.mozilla.org/ja/firefox/addon/722
これは安全でないスクリプトを使用したページを表示させない機能があるアドオンで、このソラマメ投稿ページで”実際の表示をプレビュー”を見ようとすると、以下のようになって閲覧できません。
画像はタグの解釈で表示するんですが、安全でないと判断して表示しないのです。つまりここでは使われてるURL先(リダイレクト先)が安全ではないと判断され、表示をしないことになってるわけ。^^
ソラマメスタッフさん、そういうことみたいですよ^^。
右上のオプションから「安全ではない再読込」を選択すると警告がでて、表示できます。^^
IE7も同じように、安全ではないスクリプトを使用したサイトの表示は警告が出るようになっていますが、FireFoxの場合は、サイトによって「このサイトは悪質サイトとして登録されています。この警告を無視して表示した場合、リスクはあなたに伴います。このままブラウザを閉じるか、サイトを移動して下さい」というような赤いページが前面に表示されます。
Macの場合、PCを操作して情報を盗み出すというより、こうしたサイトからのフィッシングの様な手法で、攻撃を行うことに対し決して「安全」とは言えないのは、ウィンドウズと全く同じ。
Mac OS Xの脆弱性を悪用し、感染を拡げるトロイの木馬型ウイルス「MP3Concept」というのも、過去にありましたが、これは最新OSでは既に対処されています。
Macの場合、UNIXシステムと同じで、管理者権限であるrootの奪取が一番の脅威。
Mac OS Xに実装されているmDNSResponderのNATゲートウェイで、ポートマップを作成するために使われているUPnP IGD(Internet Gateway Device Standardized Device Control Protocol)コードに存在するバッファオーバーフローの脆弱性をついたもので、リモートからrootを取ることができるコードが2007年見つかってますが、やはりネットワークに関するモノでありました。
SLビュワーに関係するQuickTimeでは、Appleでは今年の中期に脆弱性を指摘し、アップデートを呼びかけていました。
http://support.apple.com/kb/HT2047?viewlocale=ja_JP&locale=ja_JP
これはWindows共通です。
Macの場合ウィルスによる脅威というより、こうしたフィッシングに近い行為がある種最大の脅威といえます。まあこの辺りの話題は、またおいおいお話しすることにしましょう^^。
簡単にSLPC公式ブログにて。^^
http://slpcofficialblog.blogspot.com/
それと、コメントでもお答えしましたが、MONOというモノはなにか?ですが、MONOは環境のことではなく、そもそもがマイクロソフトで提供する.NETというソフトウェア群はウィンドウズ以外ではライセンス上使用できないことになってますが、コレをマルチプラットフォームでも使えるように共通言語基盤 (CLI) の実装やC#のコンパイラなどを含めて、クロスプラットフォーム・ソフトウェアを造ろうではないかというプロジェクトで、初めはGNOMEプロジェクトの創始者であるMiguel de Icaza氏らによって創業された企業Ximianで開発、元々はLinux側ではありましたが、その後ライセンス上のゴタゴタありまして、現在ではノベルが引き継いでいます。
要するに環境ではなくて、クロスプラットフォームの開発のためのソフトウェア群の総称です。そこでJAVA VMと同じようなモノを開発したのがMONO VM。コレをリンデンはシュミレーターに応用しようと考えてるわけです。
===============================
さて、前回からの続きですが、Macのビュワーのキャッシュフォルダは、環境設定で確認できますが、
このパスの/Usersとは、MacのHDアイコンをクリックすると以下のような所に格納されています。
このcasheというフォルダの中身ですが、Macの場合、SLビュワーのユーザーデーターは通常ウィンドウズのようにOS自体は管理していません。というのも、Macの場合、UNIXのシステムと同じでカーネルの上でアプリケーションは独自で動作するよう設計されており、ネットワークのように共通のサービスは、ソレとは別にrootと呼ばれる管理者モードで設定され、ウィンドウズのように共通でアプリが使うDILLというモノは存在しません。よって純粋にSLビュワーに関するモノはここ以外にフォルダが無いと見ていいわけです。
ビュワーに初期化方法として、リンデンに報告したことのあるApplicatin DataにあるSL関連のフォルダがビュワー削除後にも残されるという問題はないわけ。
Windowsでは、複数のアプリケーションソフトが共通して利用出来るよう、汎用性の高いプログラムを部品化してファイルとして保存しておき、必要に応じてメモリに呼び出して利用する手法としてDILLという小さなプログラムを使用します。
従い、ウィンドウズのアプリケーション削除は、フォルダごと削除してもダメで、アンインストール作業はソレ専用プログラムで削除しないとOSが不安定になりますが、Macの場合、フォルダごとゴミ箱でOKですよね。
セキュリティーを考えた場合、ウィンドウズではウィルスをこのDILLを使って操作する事も可能なので、タスクとして常駐させるプログラムとしてウィルスを感染させたアプリを登録させてしまうことがよくある手法です。そうなると、性能の悪いセキュリティーソフトウェアでは、通常プロセスとして認識され、特定が困難になる場合もあります。
また前回書いたMacの設定ファイルPreferences.plistファイルは、主にネットワークサービスに関するもので、書き換えるにもターミナルからrootという管理者モードでないとできません。
要するにMacではアプリは独自プロセスなので、OSのカーネルに影響をさせるようなプログラムを仕込むには、あくまでもユーザーがインストールさせていないとダメ。ウィンドウズはDILLがあるので、明示的にインストールしなくても、ネットでばらまいたウィルスで操作できればいいというわけで、画像などに小さなスクリプトやリダイレクトを行ってブラウザから操作させるようなことが使われる場合もあります。
よくリンクウェというのがありますよね?これはイラストをダウンロードさせず、特定サイトにリンクしてそこから呼び出して使うバナーなどがそうです。
例えば以下のバナー。
上記はソラマメに画像をアップロードしているわけではなく、http://getfirefox.jp/b/125x125_square_orangeという場所から読み込んで表示させています。URLをクリックすると画像が表示されますが、これはそのサーバーに置かれたファイルに直接アクセスして、ダウンロードページにアクセスさせているわけです。
平たくいえば、画像は別の所に置いてあり、その画像にリンクが張ってあるということですね。上記の場合、a href=指定なので、別にどうということもありませんが、ここにスクリプトを仕込んであると話は別です。
そこにHTMLタグ”<”で囲んでhttp://getfirefox.jpをa href=で指定すれば、サイトに飛ぶというわけですが、ブラウザはタグに囲まれた内容を表示しませんので、この中にPHPなどのスクリプトを仕込む事は可能。
お察しして頂けるかも知れませんが、つまりはここのリンク先がリダイレクトになってると・・・。
問題なのは、前回お話ししたリダイレクトによって改竄された偽サイトに訪問して、その一時ファイルやキャッシュがPCに保存されていた場合、次にブラウザを立ち上げてもブラウザは最初そのファイルを使用するので、フォームデータなどSSLなどの通信を使用していないサイトでは、フォームデーターを盗まれる危険性が残っています。
Macで脅威なのは、ウィンドウズと同じネットワーク側からの攻撃、ブラウザやビュワーの機能を使った手法ということがまず考えられます。
最近の最新ブラウザでは、リダイレクトや偽サイトに誘導されないような機能を搭載できるモノがあります。FireFoxはアドオンという拡張機能でコレが実現できますね。
https://addons.mozilla.org/ja/firefox/addon/722
これは安全でないスクリプトを使用したページを表示させない機能があるアドオンで、このソラマメ投稿ページで”実際の表示をプレビュー”を見ようとすると、以下のようになって閲覧できません。
画像はタグの解釈で表示するんですが、安全でないと判断して表示しないのです。つまりここでは使われてるURL先(リダイレクト先)が安全ではないと判断され、表示をしないことになってるわけ。^^
ソラマメスタッフさん、そういうことみたいですよ^^。
右上のオプションから「安全ではない再読込」を選択すると警告がでて、表示できます。^^
IE7も同じように、安全ではないスクリプトを使用したサイトの表示は警告が出るようになっていますが、FireFoxの場合は、サイトによって「このサイトは悪質サイトとして登録されています。この警告を無視して表示した場合、リスクはあなたに伴います。このままブラウザを閉じるか、サイトを移動して下さい」というような赤いページが前面に表示されます。
Macの場合、PCを操作して情報を盗み出すというより、こうしたサイトからのフィッシングの様な手法で、攻撃を行うことに対し決して「安全」とは言えないのは、ウィンドウズと全く同じ。
Mac OS Xの脆弱性を悪用し、感染を拡げるトロイの木馬型ウイルス「MP3Concept」というのも、過去にありましたが、これは最新OSでは既に対処されています。
Macの場合、UNIXシステムと同じで、管理者権限であるrootの奪取が一番の脅威。
Mac OS Xに実装されているmDNSResponderのNATゲートウェイで、ポートマップを作成するために使われているUPnP IGD(Internet Gateway Device Standardized Device Control Protocol)コードに存在するバッファオーバーフローの脆弱性をついたもので、リモートからrootを取ることができるコードが2007年見つかってますが、やはりネットワークに関するモノでありました。
SLビュワーに関係するQuickTimeでは、Appleでは今年の中期に脆弱性を指摘し、アップデートを呼びかけていました。
http://support.apple.com/kb/HT2047?viewlocale=ja_JP&locale=ja_JP
これはWindows共通です。
Macの場合ウィルスによる脅威というより、こうしたフィッシングに近い行為がある種最大の脅威といえます。まあこの辺りの話題は、またおいおいお話しすることにしましょう^^。
2008年10月20日
セキュリティーのお話し。MAC編
先日、とある知り合いから相談をお受けして、そのなかで「Macは安全だからと聞くけど、本当なのか?」という質問と、ソレに関係したようなお話しをお友達から聞かれました。
ことSLに関係したことによれば、去年リンデンではブラウザからビュワーを直接起動させる方法として、secondlife://とURLをフォームに打ち込むと起動できるが、その方法は非常にキケンであるとアナウンスされてました。
http://blog.secondlife.com/2007/09/18/second-life-url-handler-exploit/
これに関するソラマメの記事:http://biz.slmame.com/e37711.html
で、この問題に関することで既に現在のビュワーは、対処済みとなってるらしいのですが、その他にSLビュワーは音楽やストリーミングにQuickTimeを使用していますが、ここにも脆弱性が潜んでいたようで、これはそもそもがQuickTimeのアップデートである程度回避できたようです。
Second Lifeの住人が所有するリンデンドルの略奪を可能にするセキュリティ上のエクスプロイトを発見、このエクスプロイトが可能なのは、Second Lifeではユーザーが自分のキャラクターや仮想世界での所有物に映像や画像を組み込めるからで、仮に(Second Life内で)ユーザーがある物体に近づき、その物体が見える位置まで来ると、Second LifeソフトウェアがQuickTimeを起動し、その物体の映像や画像を再生する。それらが再生されている間、QuickTimeはSecond Lifeソフトウェアをウェブサイトに誘導。ハッカーたちはこの仕組みを利用し、QuickTimeの脆弱性を利用することにより、他のユーザーがSecond Life内で使用するアバターを乗っ取る目的で作られた悪意あるウェブサイトにSecond Lifeソフトウェアを誘導するというもの。
俗に言うフィッシングといわれる方法ですね。
しかしコレも過去のお話し。
しかし最近になって、Appleは約40ものセキュリティーパッチを提供したそうで、かなり深刻なセキュリティー・バグを発見したそうです。ここはアップデートをこまめにしないといけないということでしょうか。
Mac OS Xにパッチ:40件のセキュリティホールを修正
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381850,00.htm?ref=rss
この中にあるクロスサイトリクエストフォージェリとは、
Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで,Webサイトに被害を与える攻撃手法でサイトをまたがってリクエストを偽装する攻撃というもの。
2005年4月,ソーシャル・ネットワーク・サービスの「mixi」がこの攻撃を受けたそうです。
mixiは,会員の日記に勝手な書き込みがされるという被害を受けたことで、対策を余儀なくされたそうで、過去にもDDos攻撃(ディードス攻撃)を度々うけていたそうですが。
{DDoS攻撃(協調分散型DoS攻撃、分散型サービス拒否攻撃、Distributed Denial of Service attack)とは、踏み台と呼ばれる複数のコンピュータが、標的とされたサーバ等に対して攻撃を行うこと。大体の場合、バッファオーバーフローを目的としたコードをその後実行して、サーバーを再起動させることが多い。ボンクラな管理者だと、その後バックドアを仕掛けられサーバー自体をクラッカーが手中にしてしまう}
手法は、クラッカが悪意のあるスクリプト付きのWebページをユーザーにダウンロードさせる必要があるので、まず、有名なサイトに気を引く言葉とともに罠を仕掛けたリンクを仕込んでおく。リンクのURL は、検索サイトを示すドメイン名で始まっているので、URLをちょっと見ただけでは,検索結果が表示されると勘違いしてしまいますが、このリンクは、検索サイトのリダイレクト機能を使っています。
検索サイトのリダイレクト機能とは、例えば例えば、Googleが提供するリダイレクト機能の場合、特定のWebサイトに誘導するリンクを、「https://www.google.com/」から始まる文字列にできるので、https://www.google.com/url?sa=U&start=4&q=http://isc.sans.org のように、https://www.google.com/と打ち込むと、上記の様な別のサイトに誘導し、全くあたかも同じhttps://www.google.com/のサイトのような偽装サイトへ誘導できます。
この手法は現在ではGoogleなどでは通用しませんが、MacはデフォルトでApacheがインストールされています。ApacheはWEBサーバーです。そういえば、私がWebDAVサーバーとして使ってるといったことを書いたら、反論コメントが来ましたが、これは私が使ってるMacMINIはPantherであり、Apacheのバージョンが古く、セキュリティー上問題があるのです。ご存じのようにAppleはPantherのサポートを打ち切る事を考えると、単純にWEBサーバーとして動作させるのならまだしも、ある種ドラック&ドロップで転送できるWebDAVに旧バージョンを使うのはドーモ・・って事で、Apache2.0を別ディレクトリにインストールし、WebDAV専用としているわけです。
話が横道に・・^^;;
今回のアップデートは、コレに関するApacheがバージョン2.2.9にアップデートされ、深刻なクロスサイト・リクエスト・フォージェリの脆弱性に対処したのが最も大きなセキュリティー対策だったようです。
Macは誰でもWEBを配信できることがなんというか、ある種売りでもあるのですが、その分専門知識がないとあまり手を出さない方が良い機能もあるということでしょうか。^^
で、肝心のMacのセキュリティーソフトですが、私の経験上ではUNIXとほぼ同等のモノが多く使われてきたようです。
ClamXav(ClamAVというUNIX互換OS用フリーアンチウィルスソフトのMAC版)
http://www.clamxav.com/
ウィンドウズと異なり、Macの場合のユーザー定義ファイルはXMLで記述されたperferences.plistというファイルですが、これはターミナルからコマンドで呼び出さないと読めません。それにはUNIXとおなじコマンドを使ってrootと呼ばれる管理者モードになる必要があり、通常のユーザーはまずいじることは無理でしょう。
Macのサービスの起動や管理に関することは、このファイルに記述されています。
ところでウィンドウズもMacも共通のこととして、WEBの一時ファイルやキャッシュを利用したスパイウェアがあります。これはブラウザで見ると、それが何かについてよくわかるでしょう。
Internet Explorerで一時ファイルを見ると以下のようになっています。
ここにはかつて見たWEBページの様々な画像、例えばウェブサイトのリンクボタンや、小さなアイコン、ページそのものまで保存されています。
試しに以下をクリックしてみます。
警告が出ますが、構わず表示。^^
すると私がかつて閲覧したWEBページが表示されます。
実はコレは、WEBページそのものというより、HTMLですからページを表示するために画像そのものを呼び出す必要があります。ではネットを切断してみましょう。^^
すると画像を使ったところが表示されません。
しかし、ネットにイチイチ読み込みにいったのでは、トラフィックが多く効率よくないので、この画像をPCに予め保存する事が出来ます。そうすると、読み込みが早く、最新画像を読み込まなければならない場合、HTMLにその部分だけ画像のURLを仕込めばいいわけです。
この読み込みが必要な画像のURLにスクリプトを仕込んでおくことも出来ます。これがよく言われるフィッシング手法に使われます。
同じようにSLビュワーもこうした方法と同じく、キャッシュと呼ばれる小さなコードをキャッシュとしていつも保存しています。
そのうちの1つname.casheを開いてみましょう。
これはXMLで記述された定義ファイルでした。わたしのSLのお友達の名前が書いてあります。^^
つまりキャッシュの中にはこうした単純なテキスト形式のファイルも含まれていますので、コードといってもタダのテキストで書かれていますから、キャッシュを利用してコードを実行させることは容易と言えます。
もしキャッシュをビュワーから削除するよう設定しても、ログアウトした後まだここにファイルが残っていたとしたら、どうでしょうか?
ちょっと怖いですよねぇ・・^^;;
というわけで、次回はMACのユーザーSL設定ファイルについて考えてみましょう^^。
ひっぱるわよねぇ・・^^。
ことSLに関係したことによれば、去年リンデンではブラウザからビュワーを直接起動させる方法として、secondlife://とURLをフォームに打ち込むと起動できるが、その方法は非常にキケンであるとアナウンスされてました。
http://blog.secondlife.com/2007/09/18/second-life-url-handler-exploit/
これに関するソラマメの記事:http://biz.slmame.com/e37711.html
で、この問題に関することで既に現在のビュワーは、対処済みとなってるらしいのですが、その他にSLビュワーは音楽やストリーミングにQuickTimeを使用していますが、ここにも脆弱性が潜んでいたようで、これはそもそもがQuickTimeのアップデートである程度回避できたようです。
Second Lifeの住人が所有するリンデンドルの略奪を可能にするセキュリティ上のエクスプロイトを発見、このエクスプロイトが可能なのは、Second Lifeではユーザーが自分のキャラクターや仮想世界での所有物に映像や画像を組み込めるからで、仮に(Second Life内で)ユーザーがある物体に近づき、その物体が見える位置まで来ると、Second LifeソフトウェアがQuickTimeを起動し、その物体の映像や画像を再生する。それらが再生されている間、QuickTimeはSecond Lifeソフトウェアをウェブサイトに誘導。ハッカーたちはこの仕組みを利用し、QuickTimeの脆弱性を利用することにより、他のユーザーがSecond Life内で使用するアバターを乗っ取る目的で作られた悪意あるウェブサイトにSecond Lifeソフトウェアを誘導するというもの。
俗に言うフィッシングといわれる方法ですね。
しかしコレも過去のお話し。
しかし最近になって、Appleは約40ものセキュリティーパッチを提供したそうで、かなり深刻なセキュリティー・バグを発見したそうです。ここはアップデートをこまめにしないといけないということでしょうか。
Mac OS Xにパッチ:40件のセキュリティホールを修正
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381850,00.htm?ref=rss
この中にあるクロスサイトリクエストフォージェリとは、
Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで,Webサイトに被害を与える攻撃手法でサイトをまたがってリクエストを偽装する攻撃というもの。
2005年4月,ソーシャル・ネットワーク・サービスの「mixi」がこの攻撃を受けたそうです。
mixiは,会員の日記に勝手な書き込みがされるという被害を受けたことで、対策を余儀なくされたそうで、過去にもDDos攻撃(ディードス攻撃)を度々うけていたそうですが。
{DDoS攻撃(協調分散型DoS攻撃、分散型サービス拒否攻撃、Distributed Denial of Service attack)とは、踏み台と呼ばれる複数のコンピュータが、標的とされたサーバ等に対して攻撃を行うこと。大体の場合、バッファオーバーフローを目的としたコードをその後実行して、サーバーを再起動させることが多い。ボンクラな管理者だと、その後バックドアを仕掛けられサーバー自体をクラッカーが手中にしてしまう}
手法は、クラッカが悪意のあるスクリプト付きのWebページをユーザーにダウンロードさせる必要があるので、まず、有名なサイトに気を引く言葉とともに罠を仕掛けたリンクを仕込んでおく。リンクのURL は、検索サイトを示すドメイン名で始まっているので、URLをちょっと見ただけでは,検索結果が表示されると勘違いしてしまいますが、このリンクは、検索サイトのリダイレクト機能を使っています。
検索サイトのリダイレクト機能とは、例えば例えば、Googleが提供するリダイレクト機能の場合、特定のWebサイトに誘導するリンクを、「https://www.google.com/」から始まる文字列にできるので、https://www.google.com/url?sa=U&start=4&q=http://isc.sans.org のように、https://www.google.com/と打ち込むと、上記の様な別のサイトに誘導し、全くあたかも同じhttps://www.google.com/のサイトのような偽装サイトへ誘導できます。
この手法は現在ではGoogleなどでは通用しませんが、MacはデフォルトでApacheがインストールされています。ApacheはWEBサーバーです。そういえば、私がWebDAVサーバーとして使ってるといったことを書いたら、反論コメントが来ましたが、これは私が使ってるMacMINIはPantherであり、Apacheのバージョンが古く、セキュリティー上問題があるのです。ご存じのようにAppleはPantherのサポートを打ち切る事を考えると、単純にWEBサーバーとして動作させるのならまだしも、ある種ドラック&ドロップで転送できるWebDAVに旧バージョンを使うのはドーモ・・って事で、Apache2.0を別ディレクトリにインストールし、WebDAV専用としているわけです。
話が横道に・・^^;;
今回のアップデートは、コレに関するApacheがバージョン2.2.9にアップデートされ、深刻なクロスサイト・リクエスト・フォージェリの脆弱性に対処したのが最も大きなセキュリティー対策だったようです。
Macは誰でもWEBを配信できることがなんというか、ある種売りでもあるのですが、その分専門知識がないとあまり手を出さない方が良い機能もあるということでしょうか。^^
で、肝心のMacのセキュリティーソフトですが、私の経験上ではUNIXとほぼ同等のモノが多く使われてきたようです。
ClamXav(ClamAVというUNIX互換OS用フリーアンチウィルスソフトのMAC版)
http://www.clamxav.com/
ウィンドウズと異なり、Macの場合のユーザー定義ファイルはXMLで記述されたperferences.plistというファイルですが、これはターミナルからコマンドで呼び出さないと読めません。それにはUNIXとおなじコマンドを使ってrootと呼ばれる管理者モードになる必要があり、通常のユーザーはまずいじることは無理でしょう。
Macのサービスの起動や管理に関することは、このファイルに記述されています。
ところでウィンドウズもMacも共通のこととして、WEBの一時ファイルやキャッシュを利用したスパイウェアがあります。これはブラウザで見ると、それが何かについてよくわかるでしょう。
Internet Explorerで一時ファイルを見ると以下のようになっています。
ここにはかつて見たWEBページの様々な画像、例えばウェブサイトのリンクボタンや、小さなアイコン、ページそのものまで保存されています。
試しに以下をクリックしてみます。
警告が出ますが、構わず表示。^^
すると私がかつて閲覧したWEBページが表示されます。
実はコレは、WEBページそのものというより、HTMLですからページを表示するために画像そのものを呼び出す必要があります。ではネットを切断してみましょう。^^
すると画像を使ったところが表示されません。
しかし、ネットにイチイチ読み込みにいったのでは、トラフィックが多く効率よくないので、この画像をPCに予め保存する事が出来ます。そうすると、読み込みが早く、最新画像を読み込まなければならない場合、HTMLにその部分だけ画像のURLを仕込めばいいわけです。
この読み込みが必要な画像のURLにスクリプトを仕込んでおくことも出来ます。これがよく言われるフィッシング手法に使われます。
同じようにSLビュワーもこうした方法と同じく、キャッシュと呼ばれる小さなコードをキャッシュとしていつも保存しています。
そのうちの1つname.casheを開いてみましょう。
これはXMLで記述された定義ファイルでした。わたしのSLのお友達の名前が書いてあります。^^
つまりキャッシュの中にはこうした単純なテキスト形式のファイルも含まれていますので、コードといってもタダのテキストで書かれていますから、キャッシュを利用してコードを実行させることは容易と言えます。
もしキャッシュをビュワーから削除するよう設定しても、ログアウトした後まだここにファイルが残っていたとしたら、どうでしょうか?
ちょっと怖いですよねぇ・・^^;;
というわけで、次回はMACのユーザーSL設定ファイルについて考えてみましょう^^。
ひっぱるわよねぇ・・^^。
