2008年10月20日
セキュリティーのお話し。MAC編
先日、とある知り合いから相談をお受けして、そのなかで「Macは安全だからと聞くけど、本当なのか?」という質問と、ソレに関係したようなお話しをお友達から聞かれました。
ことSLに関係したことによれば、去年リンデンではブラウザからビュワーを直接起動させる方法として、secondlife://とURLをフォームに打ち込むと起動できるが、その方法は非常にキケンであるとアナウンスされてました。
http://blog.secondlife.com/2007/09/18/second-life-url-handler-exploit/
これに関するソラマメの記事:http://biz.slmame.com/e37711.html
で、この問題に関することで既に現在のビュワーは、対処済みとなってるらしいのですが、その他にSLビュワーは音楽やストリーミングにQuickTimeを使用していますが、ここにも脆弱性が潜んでいたようで、これはそもそもがQuickTimeのアップデートである程度回避できたようです。
Second Lifeの住人が所有するリンデンドルの略奪を可能にするセキュリティ上のエクスプロイトを発見、このエクスプロイトが可能なのは、Second Lifeではユーザーが自分のキャラクターや仮想世界での所有物に映像や画像を組み込めるからで、仮に(Second Life内で)ユーザーがある物体に近づき、その物体が見える位置まで来ると、Second LifeソフトウェアがQuickTimeを起動し、その物体の映像や画像を再生する。それらが再生されている間、QuickTimeはSecond Lifeソフトウェアをウェブサイトに誘導。ハッカーたちはこの仕組みを利用し、QuickTimeの脆弱性を利用することにより、他のユーザーがSecond Life内で使用するアバターを乗っ取る目的で作られた悪意あるウェブサイトにSecond Lifeソフトウェアを誘導するというもの。
俗に言うフィッシングといわれる方法ですね。
しかしコレも過去のお話し。
しかし最近になって、Appleは約40ものセキュリティーパッチを提供したそうで、かなり深刻なセキュリティー・バグを発見したそうです。ここはアップデートをこまめにしないといけないということでしょうか。
Mac OS Xにパッチ:40件のセキュリティホールを修正
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381850,00.htm?ref=rss
この中にあるクロスサイトリクエストフォージェリとは、
Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで,Webサイトに被害を与える攻撃手法でサイトをまたがってリクエストを偽装する攻撃というもの。
2005年4月,ソーシャル・ネットワーク・サービスの「mixi」がこの攻撃を受けたそうです。
mixiは,会員の日記に勝手な書き込みがされるという被害を受けたことで、対策を余儀なくされたそうで、過去にもDDos攻撃(ディードス攻撃)を度々うけていたそうですが。
{DDoS攻撃(協調分散型DoS攻撃、分散型サービス拒否攻撃、Distributed Denial of Service attack)とは、踏み台と呼ばれる複数のコンピュータが、標的とされたサーバ等に対して攻撃を行うこと。大体の場合、バッファオーバーフローを目的としたコードをその後実行して、サーバーを再起動させることが多い。ボンクラな管理者だと、その後バックドアを仕掛けられサーバー自体をクラッカーが手中にしてしまう}
手法は、クラッカが悪意のあるスクリプト付きのWebページをユーザーにダウンロードさせる必要があるので、まず、有名なサイトに気を引く言葉とともに罠を仕掛けたリンクを仕込んでおく。リンクのURL は、検索サイトを示すドメイン名で始まっているので、URLをちょっと見ただけでは,検索結果が表示されると勘違いしてしまいますが、このリンクは、検索サイトのリダイレクト機能を使っています。
検索サイトのリダイレクト機能とは、例えば例えば、Googleが提供するリダイレクト機能の場合、特定のWebサイトに誘導するリンクを、「https://www.google.com/」から始まる文字列にできるので、https://www.google.com/url?sa=U&start=4&q=http://isc.sans.org のように、https://www.google.com/と打ち込むと、上記の様な別のサイトに誘導し、全くあたかも同じhttps://www.google.com/のサイトのような偽装サイトへ誘導できます。
この手法は現在ではGoogleなどでは通用しませんが、MacはデフォルトでApacheがインストールされています。ApacheはWEBサーバーです。そういえば、私がWebDAVサーバーとして使ってるといったことを書いたら、反論コメントが来ましたが、これは私が使ってるMacMINIはPantherであり、Apacheのバージョンが古く、セキュリティー上問題があるのです。ご存じのようにAppleはPantherのサポートを打ち切る事を考えると、単純にWEBサーバーとして動作させるのならまだしも、ある種ドラック&ドロップで転送できるWebDAVに旧バージョンを使うのはドーモ・・って事で、Apache2.0を別ディレクトリにインストールし、WebDAV専用としているわけです。
話が横道に・・^^;;
今回のアップデートは、コレに関するApacheがバージョン2.2.9にアップデートされ、深刻なクロスサイト・リクエスト・フォージェリの脆弱性に対処したのが最も大きなセキュリティー対策だったようです。
Macは誰でもWEBを配信できることがなんというか、ある種売りでもあるのですが、その分専門知識がないとあまり手を出さない方が良い機能もあるということでしょうか。^^
で、肝心のMacのセキュリティーソフトですが、私の経験上ではUNIXとほぼ同等のモノが多く使われてきたようです。
ClamXav(ClamAVというUNIX互換OS用フリーアンチウィルスソフトのMAC版)
http://www.clamxav.com/
ウィンドウズと異なり、Macの場合のユーザー定義ファイルはXMLで記述されたperferences.plistというファイルですが、これはターミナルからコマンドで呼び出さないと読めません。それにはUNIXとおなじコマンドを使ってrootと呼ばれる管理者モードになる必要があり、通常のユーザーはまずいじることは無理でしょう。
Macのサービスの起動や管理に関することは、このファイルに記述されています。
ところでウィンドウズもMacも共通のこととして、WEBの一時ファイルやキャッシュを利用したスパイウェアがあります。これはブラウザで見ると、それが何かについてよくわかるでしょう。
Internet Explorerで一時ファイルを見ると以下のようになっています。
ここにはかつて見たWEBページの様々な画像、例えばウェブサイトのリンクボタンや、小さなアイコン、ページそのものまで保存されています。
試しに以下をクリックしてみます。
警告が出ますが、構わず表示。^^
すると私がかつて閲覧したWEBページが表示されます。
実はコレは、WEBページそのものというより、HTMLですからページを表示するために画像そのものを呼び出す必要があります。ではネットを切断してみましょう。^^
すると画像を使ったところが表示されません。
しかし、ネットにイチイチ読み込みにいったのでは、トラフィックが多く効率よくないので、この画像をPCに予め保存する事が出来ます。そうすると、読み込みが早く、最新画像を読み込まなければならない場合、HTMLにその部分だけ画像のURLを仕込めばいいわけです。
この読み込みが必要な画像のURLにスクリプトを仕込んでおくことも出来ます。これがよく言われるフィッシング手法に使われます。
同じようにSLビュワーもこうした方法と同じく、キャッシュと呼ばれる小さなコードをキャッシュとしていつも保存しています。
そのうちの1つname.casheを開いてみましょう。
これはXMLで記述された定義ファイルでした。わたしのSLのお友達の名前が書いてあります。^^
つまりキャッシュの中にはこうした単純なテキスト形式のファイルも含まれていますので、コードといってもタダのテキストで書かれていますから、キャッシュを利用してコードを実行させることは容易と言えます。
もしキャッシュをビュワーから削除するよう設定しても、ログアウトした後まだここにファイルが残っていたとしたら、どうでしょうか?
ちょっと怖いですよねぇ・・^^;;
というわけで、次回はMACのユーザーSL設定ファイルについて考えてみましょう^^。
ひっぱるわよねぇ・・^^。
ことSLに関係したことによれば、去年リンデンではブラウザからビュワーを直接起動させる方法として、secondlife://とURLをフォームに打ち込むと起動できるが、その方法は非常にキケンであるとアナウンスされてました。
http://blog.secondlife.com/2007/09/18/second-life-url-handler-exploit/
これに関するソラマメの記事:http://biz.slmame.com/e37711.html
で、この問題に関することで既に現在のビュワーは、対処済みとなってるらしいのですが、その他にSLビュワーは音楽やストリーミングにQuickTimeを使用していますが、ここにも脆弱性が潜んでいたようで、これはそもそもがQuickTimeのアップデートである程度回避できたようです。
Second Lifeの住人が所有するリンデンドルの略奪を可能にするセキュリティ上のエクスプロイトを発見、このエクスプロイトが可能なのは、Second Lifeではユーザーが自分のキャラクターや仮想世界での所有物に映像や画像を組み込めるからで、仮に(Second Life内で)ユーザーがある物体に近づき、その物体が見える位置まで来ると、Second LifeソフトウェアがQuickTimeを起動し、その物体の映像や画像を再生する。それらが再生されている間、QuickTimeはSecond Lifeソフトウェアをウェブサイトに誘導。ハッカーたちはこの仕組みを利用し、QuickTimeの脆弱性を利用することにより、他のユーザーがSecond Life内で使用するアバターを乗っ取る目的で作られた悪意あるウェブサイトにSecond Lifeソフトウェアを誘導するというもの。
俗に言うフィッシングといわれる方法ですね。
しかしコレも過去のお話し。
しかし最近になって、Appleは約40ものセキュリティーパッチを提供したそうで、かなり深刻なセキュリティー・バグを発見したそうです。ここはアップデートをこまめにしないといけないということでしょうか。
Mac OS Xにパッチ:40件のセキュリティホールを修正
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381850,00.htm?ref=rss
この中にあるクロスサイトリクエストフォージェリとは、
Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで,Webサイトに被害を与える攻撃手法でサイトをまたがってリクエストを偽装する攻撃というもの。
2005年4月,ソーシャル・ネットワーク・サービスの「mixi」がこの攻撃を受けたそうです。
mixiは,会員の日記に勝手な書き込みがされるという被害を受けたことで、対策を余儀なくされたそうで、過去にもDDos攻撃(ディードス攻撃)を度々うけていたそうですが。
{DDoS攻撃(協調分散型DoS攻撃、分散型サービス拒否攻撃、Distributed Denial of Service attack)とは、踏み台と呼ばれる複数のコンピュータが、標的とされたサーバ等に対して攻撃を行うこと。大体の場合、バッファオーバーフローを目的としたコードをその後実行して、サーバーを再起動させることが多い。ボンクラな管理者だと、その後バックドアを仕掛けられサーバー自体をクラッカーが手中にしてしまう}
手法は、クラッカが悪意のあるスクリプト付きのWebページをユーザーにダウンロードさせる必要があるので、まず、有名なサイトに気を引く言葉とともに罠を仕掛けたリンクを仕込んでおく。リンクのURL は、検索サイトを示すドメイン名で始まっているので、URLをちょっと見ただけでは,検索結果が表示されると勘違いしてしまいますが、このリンクは、検索サイトのリダイレクト機能を使っています。
検索サイトのリダイレクト機能とは、例えば例えば、Googleが提供するリダイレクト機能の場合、特定のWebサイトに誘導するリンクを、「https://www.google.com/」から始まる文字列にできるので、https://www.google.com/url?sa=U&start=4&q=http://isc.sans.org のように、https://www.google.com/と打ち込むと、上記の様な別のサイトに誘導し、全くあたかも同じhttps://www.google.com/のサイトのような偽装サイトへ誘導できます。
この手法は現在ではGoogleなどでは通用しませんが、MacはデフォルトでApacheがインストールされています。ApacheはWEBサーバーです。そういえば、私がWebDAVサーバーとして使ってるといったことを書いたら、反論コメントが来ましたが、これは私が使ってるMacMINIはPantherであり、Apacheのバージョンが古く、セキュリティー上問題があるのです。ご存じのようにAppleはPantherのサポートを打ち切る事を考えると、単純にWEBサーバーとして動作させるのならまだしも、ある種ドラック&ドロップで転送できるWebDAVに旧バージョンを使うのはドーモ・・って事で、Apache2.0を別ディレクトリにインストールし、WebDAV専用としているわけです。
話が横道に・・^^;;
今回のアップデートは、コレに関するApacheがバージョン2.2.9にアップデートされ、深刻なクロスサイト・リクエスト・フォージェリの脆弱性に対処したのが最も大きなセキュリティー対策だったようです。
Macは誰でもWEBを配信できることがなんというか、ある種売りでもあるのですが、その分専門知識がないとあまり手を出さない方が良い機能もあるということでしょうか。^^
で、肝心のMacのセキュリティーソフトですが、私の経験上ではUNIXとほぼ同等のモノが多く使われてきたようです。
ClamXav(ClamAVというUNIX互換OS用フリーアンチウィルスソフトのMAC版)
http://www.clamxav.com/
ウィンドウズと異なり、Macの場合のユーザー定義ファイルはXMLで記述されたperferences.plistというファイルですが、これはターミナルからコマンドで呼び出さないと読めません。それにはUNIXとおなじコマンドを使ってrootと呼ばれる管理者モードになる必要があり、通常のユーザーはまずいじることは無理でしょう。
Macのサービスの起動や管理に関することは、このファイルに記述されています。
ところでウィンドウズもMacも共通のこととして、WEBの一時ファイルやキャッシュを利用したスパイウェアがあります。これはブラウザで見ると、それが何かについてよくわかるでしょう。
Internet Explorerで一時ファイルを見ると以下のようになっています。
ここにはかつて見たWEBページの様々な画像、例えばウェブサイトのリンクボタンや、小さなアイコン、ページそのものまで保存されています。
試しに以下をクリックしてみます。
警告が出ますが、構わず表示。^^
すると私がかつて閲覧したWEBページが表示されます。
実はコレは、WEBページそのものというより、HTMLですからページを表示するために画像そのものを呼び出す必要があります。ではネットを切断してみましょう。^^
すると画像を使ったところが表示されません。
しかし、ネットにイチイチ読み込みにいったのでは、トラフィックが多く効率よくないので、この画像をPCに予め保存する事が出来ます。そうすると、読み込みが早く、最新画像を読み込まなければならない場合、HTMLにその部分だけ画像のURLを仕込めばいいわけです。
この読み込みが必要な画像のURLにスクリプトを仕込んでおくことも出来ます。これがよく言われるフィッシング手法に使われます。
同じようにSLビュワーもこうした方法と同じく、キャッシュと呼ばれる小さなコードをキャッシュとしていつも保存しています。
そのうちの1つname.casheを開いてみましょう。
これはXMLで記述された定義ファイルでした。わたしのSLのお友達の名前が書いてあります。^^
つまりキャッシュの中にはこうした単純なテキスト形式のファイルも含まれていますので、コードといってもタダのテキストで書かれていますから、キャッシュを利用してコードを実行させることは容易と言えます。
もしキャッシュをビュワーから削除するよう設定しても、ログアウトした後まだここにファイルが残っていたとしたら、どうでしょうか?
ちょっと怖いですよねぇ・・^^;;
というわけで、次回はMACのユーザーSL設定ファイルについて考えてみましょう^^。
ひっぱるわよねぇ・・^^。
Posted by arado at 03:42│Comments(0)
│セキュリティー
