2008年01月11日

MBRに感染するrootkit

むかーしのウイルスとかはこういうの多かったとおもうけどね。

http://www.itmedia.co.jp/enterprise/articles/0801/10/news014.html


しかし、これ、感染した場合、どうやって復旧すんだ?
fdisk /fixmbr の隠しコマンドとか
パーテンションマネージャー みたいな市販ソフト使うとかか。
いや、rootkitに支配されてるわけで、そのマシン上では何も信用できんくなる。

やっぱ、OSの入れ直しなのかなぁ。
復旧用の救済BOOTDiskとか持ってるならそっちからBOOTしてってのも
有りか…、うーむ。

紹介してくれるのは結構だけど、対策方法や
防衛手段についても報じないとただ不安を煽るだけにしか
ならないと思うんだけど、どうだろうね。

一応記事にはマザーで制御してみたら、とは書いてあるけどさ。
posted by koteitan at 17:54| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年09月24日

[セキュリティ] 100%防げるらしい(w

この記事なんだが。
http://enterprise.watch.impress.co.jp/cda/security/2007/09/20/11213.html


SyncLock というものらしい。

2要素認証で、別の接続経路を用いた2要素とでも言えばいいのかなぁ。
同一経路じゃないから、一気に乗っ取られることはないと。。。?
まぁ、そうなんだろうけど・・・。

以下、私見ですが、
原則として、中継攻撃してくるようなフィッシングを防ぐ手段は無いと
思っている。正規サーバー側からしてみればそれが通常の業務リクエストと、フィッシング行為であることとの区別が全く付かないからだ。
ユーザー側からしてみても、できることはアドレスバー確認ぐらいか?
最悪のケースだと、アドレスの確認やSSL証明書の確認も全て中継できちゃうし。
(X509証明書のでっち上げでできるみたい(要proxy経由+偽証明書仕込み)この本とかに書いてあったよ)

この2要素も中継攻撃すれば携帯認証も信じてしまうだろうしなぁ。
普段から用心深くしておかないとね。

と思っていたら、既に高木先生のブログに非常に詳しく書いてありましたよ。

しかし、なんで、こういうお役所というかなんというかは言い切っちゃうんでしょうなぁ。

以下余談
posted by koteitan at 07:29| Comment(0) | TrackBack(1) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年09月20日

総合的Exploitツール MPack

まぁ、なんといいますか、詳しくはこの辺りの記事を
読んで貰うとしてですな

http://japan.cnet.com/news/sec/story/0,2000056024,20351098,00.htm
http://www.itmedia.co.jp/enterprise/articles/0707/23/news022.html
http://www.itmedia.co.jp/enterprise/articles/0706/01/news033.html
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html

(´-ω-`)…、以下私見です。
exploitコード、それもBOF系のコードはそりゃあもう
芸術のレベルなわけですよ、コンピューターアーキテクチャ、
OSの内部動作、APIの挙動に精通し、CPUを操るわけですよ。

 スタックでのメモリの動き、レジスタへのpopを完全に先読みして
限られた空間へ出来る限り小さな、且つ0x00を用いないshellcodeを
ショートコーディングで埋め込むわけですよ。
そりゃあ、まぁ、技術の誇示としてならまだ理解できんこともないが。
商売にしても大して儲かるものでも無いと思うんだけど…。

何という才能の無駄遣い(w

ちなみに動作の解析などのPDFがトレンドマイクロ関連会社の中の人の
ブログで読めます。
http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf

これによると…、netscapeは安全ぽいなぁ(w
枯れてるとも言う。プラグイン系には気を付けて、
XSSされなきゃOKて感じ。

posted by koteitan at 12:02| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

winscp4.04

SFTP クライアントとして有名なwinscpが更新されています。
セキュリティ対応とのことです。

バージョンアップというと設定の保存や鍵の入れ直しなど
('A`)マンドクセと思っていたのですが、自動でupdateしてくれる模様。

インストーラーのダブルクリックで、Update インストールなのか
新規で別の場所に入れるのか、を選べます。ラクチンラクチン。

http://winscp.net/eng/docs/history#4.0.4
posted by koteitan at 11:27| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年08月20日

[セキュリティ]ホットスポットを考える

まず、この記事をよんでみよう。

http://journal.mycom.co.jp/articles/2007/08/06/blackhat1/index.html

暗号化などの制限が無いため、AirSnortなどで簡単に
スニフできるので、ハイジャック可能、というだけの話なので
別に目新しい技術では無いんだが、詳しい知識無しでも
ハイジャックできてしまうツールである、というところに
注目して欲しい。
個人的な考えだが、高度な技術を持った人は愉快犯的なことは
行わない傾向にあると思う。
しかし、ここまで簡単だと愉快犯を呼び寄せてしまう恐れが
あるのではないだろうか。


よって、ホットスポットで通信する時はSSLやVPN等で暗号化しましょう、
という話なんだが。PCならまだ注意のしようもあるが、
PSPやDSのネットワークゲームのログインなどは
どうなっているんだろう?
posted by koteitan at 17:33| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年08月13日

[セキュリティ]WEBアプリケーションセキュリティ



XSSやCSRF等のWEBアプリ独特のセキュリティについて、
技術的に詳しく解説されている良本。

CSRFやXSSについて一通り勉強したい人向け。
ただし、同じくデータハウスから刊行されている
愛甲 健二さんの本と同じく、
ハードカバーで豪華な装丁、ページ数はかなり多い。
電車で読むにはちょーっと辛い。上下刊とかいしてくれりゃいいのにな。
posted by koteitan at 09:55| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年07月18日

ドライブバイ・ファーミング

名前はかっこいいシリーズ。

http://itpro.nikkeibp.co.jp/article/COLUMN/20070713/277482/

ファームウエアのCrackっぽい名前だが実際には
フィッシングの一種である。

管理下にある全てのPCが対策を取っているユーザーばかりとは
限らないので、ルーター側が防御する必要がある。

…、なんだけど、これって普通の人は意識していないところで
且つ、「ルーターがあるから安心」という人だと余計に危険だと
いうことですなぁ。記事ではローカルIPを調べるとあるけれど、
ローカルをヘンテコなネットワークアドレスに変えている方が
珍しいわけで、192.168.0.1の決めうちでもOKだろう。
となると、ActiveXの動かないブラウザでも危険…ということになる。
ご用心、ご用心。



以下、個人的対策案
posted by koteitan at 19:14| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年07月09日

情報セキュアドの試験対策にこの本を買ってみた。
右の本は衝動買いだ。

コンパクトなので通勤本としては最適だが、詳細な解説は無い。
あくまで試験対策の確認本という位置づけで考えたほうがいいな。
構成は、「まとめ、要点解説」→ 「過去問」な感じ。
セキュアドの試験は筆記もあるので、もう1冊ぐらい勉強すべきかなぁ。
余談だが、この本の作者はすごい。後書きの所に保有資格一覧があるが
もはや趣味のレベルとしか言いようがないほど、大量の資格保有者。
履歴書書くの大変でしょうなぁ。
posted by koteitan at 14:33| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年07月02日

不正アクセス調査ガイド―rootkitの検出とTCTの使い方

不正アクセス調査ガイド―rootkitの検出とTCTの使い方 という本を
読んでいる。


この秋は情報セキュアドでも受けてみようかと。
フォレンジックに着目した切り口の内容で、こういう本はどちらかと
いうと、Unix系に重きがあるが、この本はWindowsも
カバーしてくれているので、その点は非常に評価できると思う。

不正アクセスを検査するということは、まず敵を知らねばならぬ
わけで、そういった類の話題もチラリホラリとありますが。

posted by koteitan at 10:06| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年06月06日

インターネット美化運動

こんなのがあると某MLで拝見した。
http://www.soumu.go.jp/joho_tsusin/security/bika2007/bika2007_top.htm

で、PFWの章
http://www.soumu.go.jp/joho_tsusin/security/bika2007/taisaku02.htm

(゜∀。)ワヒャヒャヒャヒャヒャヒャ ナニコレ。
まぁ、ハッカーとクラッカーを間違うなってお約束なのは
目をつぶるとしてだな

・windowsにもFWは有ります
・FWはイージスの盾じゃありません

まぁ、そういうことだ。
こういう文書を書く時に便利なキーワードなんだろうな。>FW
横文字でかっこいいからなー。
しかし、これ、すごい誤解招きそうな表現じゃね?(´-ω-`)

posted by koteitan at 17:45| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2007年01月05日

PDF on Xss

正月早々、景気のいいことですなぁ。(ぉぃ)

フラグメント識別子以降をごにょごにょするとXSSできてしまう、と。
いろいろ英語ばっかりと格闘してみたが、AdobeReaderを8へVerupするしか
対策方法がないっぽい。

動的ページなら大丈夫だと思ってたんだが。
こりゃぁ影響範囲多いやろうなぁ…。
ローカルファイルを指定して読み込ませると任意のファイルを
リモートへ送信とかもできちゃうわけで。
説明書とかはPDFで決まった場所にインストールされているケースが多いから
やべぇよ。Script切ってれば問題無いだろうけど、最近はAjaxだとか
なんだとかで、ScriptOffだとまともにページが見れない、使えないしね。
posted by koteitan at 11:08| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年12月28日

サイドチャネル攻撃

なんか名前がかっこいいよな。
FFのサイドアタックみたいね。(・∀・)
まぁ、動きを|д゚)カンサツして解析してみましょうってのに
名前を付けただけなんだが。

http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%89%E3%83%81%E3%83%A3%E3%83%8D%E3%83%AB%E6%94%BB%E6%92%83
posted by koteitan at 16:51| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年10月31日

リバース

リバースと言っても、呑み会でよくあるアレではない。

「国内でもリバース・エンジニアリングの議論を」,米eEyeの鵜飼氏

鵜飼氏といえば、まぁ、セキュリティ界隈で昔から有名な人で、
本人リバース系の書籍を発行している
(著者名はちょっと違うが知っている人なわわかるだろう。)

まぁ、一般的にはいきなり逆アセとかし出す連中は、変人扱いだけどな。
少なくとも私の職場においては。 orz


posted by koteitan at 10:55| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年05月18日

組込Hack!

新たなシステム脅威の可能性とWinnyの脆弱性〜米eEyeの鵜飼氏講演
http://internet.watch.impress.co.jp/cda/event/2006/05/15/11957.html

鵜飼氏の講演まとめ

(1)組み込み機器にデバッグピン残すな!
(2)ファームの脆弱性検査徹底

組込も経験したけど、どうしてもCとかASMの低級寄りになるし
オーバーフローも起きやすいよなぁ。あとは納期が短い、
商品の賞味期限が短いこともあり、検査に時間が割けないってのもあるよね。
(そういうスケジュール自体がおかしいんだけど…)

昔はファームの更新なんて出来ないから、ファームで不具合出すと、
製品回収なんてことになるしね…。

でもまぁ、考え方だけど、組込Hackって出来る(環境に居る)人間の絶対数が
その他のソフトのそれとかなりの差があるんじゃないかな。

つまり

Windowsのソフト解析できる人 >> 組み込み解析できる人

が成り立ってるから、同じオーバーフロー脆弱性でも
危険度の関係が

Windows >> 組み込み

になるのではないかな…。
Windowsやlinuxなどでは解析ツール(ollydbgとか)は簡単に手に入るし
それこそ解析本とかもあるけど、組み込みではデバッグピンに
ICE繋ごうにも、ICE自体が10万とかするしね…。
何かの組織とかならわかるけど、個人でそこまでやるかな…。
posted by koteitan at 14:20| Comment(0) | TrackBack(1) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年03月28日

Client Security Software(CSS)

仕事で使うマシンはThinkpad …なわけだが、堅牢なThinkpadも
たまにはクラッシュする…orz

表題のソフトはThinkpadに内蔵されたセキュリティチップにて、
ファイルを暗号化したり、パスワードを管理してくれる便利なもの
なのだ。
昨今の個人情報保護法においては重要な機能なのだ。

windows online crash dumpでこのソフトが問題でクラッシュしました、
との報告が。早速Updateしておいた。
該当者の方々も、私のように、windows休止状態から復帰出来ずに
BOし、ウワァァァァァァヽ(`Д´)ノァァァァァァン! となる前に更新を。

http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/MIGR-61449
posted by koteitan at 10:57| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年02月08日

弱い暗号化の排除

昨日の戦国自衛隊の終わり方、ありゃなんだ?
あんなゴールデンの番組で、悲しい終わり方はイカンだろ…。

最近セキュリティ関連サイトで議論されていた、「弱い暗号化の解読」。
SSLにはダウングレードの問題があり、弱い暗号化で接続してしまう場合がある。
サーバー側の設定のようだが、そんなものはブラウザ側で排除しましょう、というお話。

nn_sec.PNG

私は仕事以外ではNetscapeしか使わないので、IEの設定はしらない。
NNでは上図のように、128bit未満の接続を拒否すれば、大体OKでしょう。
(むろん、SSL2.0はまるごと拒否)
本当は168bit以外は拒否すべきなんでしょうけど、そこまでガチガチにすると
利用できないサイトもあるわけで…。

自己責任でどうぞ。


posted by koteitan at 10:51| Comment(0) | TrackBack(1) | セキュリティ | このブログの読者になる | 更新情報をチェックする