カテゴリー
Security

グラフィックテキストも安全ではない

昨日に引き続き「絶対安全」と誤解されているかもしれないセキュリティ対策の話です。

CSRF(クロスサイトリクエストフォージェリ)対策、アカウント作成ボット対策としてグラフィック上に書かれたテキストを読み取らせるサイトが多くあります。普通のOCRで読み取れるような簡単なグラフィックテキストでもコメントスパムなどのボット対策としては(今のところ)十分有効ですが、認証用のグラフィックテキストを生成するプログラムにはCAPTCHAが有名です。

単純なグラフィックテキストだとOCRで機械的に読み取られてしまう事は明白です。昨日、IRCで話をしていてOCR技術はかなり向上してきており単純な物は100%認識できてしまうようなってしまっている事を知りました。この分野はあまり気にかけていなかったので昨日PWNTHAと言うCAPTCHAなどで作成されたグラフィックテキストを読み取るツールを知りました。リンク先を見ると分かりますが、今では結構OCRで読み取りが難しいと思われるようなグラフィックでもかなりの高確率で読み取れるようです。

仕掛けは多少大掛かりになりますが、グラフィックテキスト情報を人間に読ませる攻撃方法も考案されています。例えば、こんな感じです。

前準備:音楽、映画、アダルトコンテンツなど多くのネットユーザが参照したくなるWebサイト(以下、「解読サイト」)を用意する。

1. プログラムで攻撃対象のWebサイトのグラフィックテキスト付きページを開きページを保存する。
2. グラフィックテキストを解読サイトのコンテンツダウンロードの認証キーとしてユーザに解読させる。
3. ユーザが解読してくれたテキストを攻撃対象のWebサイトの認証キーとして利用する。

このような手法を用いられた場合、グラフィック上に記述されたテキストや写真情報を使った防御策も完全とは言えません。

カテゴリー
Other

JPUGでスタッフ募集中です

どこでも状況は似ているとは思いますが、JPUGの活動を支えてくださるスタッフを募集中です。東京近郊の方は是非ご協力下さい。

カテゴリー
Security

セキュアキーボードは安全ではない

SSLが流行しはじめた頃、「このサイトはSSLを使っているので安全です」とうたっていたサイト多く見かけました。これが大嘘であった事は周知の事実となっていると思います。

最近セキュリティ対策として「セキュアキーボード」と呼ばれている「ソフトウェアキーボード」が流行しつつあります。特に金融機関を中心に急速に浸透してきています。ソフトウェアキーボードとはWeb画面上に口座番号・暗証番号などを入力するボタンを表示してID情報を入力する仕組みです。残念ながら「セキュアキーボードを使っているので安全です」とうたっているサイトも大嘘をついている事になります。

セキュリティ関連MLではどのようにセキュアキーボード(ソフトウェアキーボード)を破るか話題になっていました。この対策は簡単に敗れる事が知られています。スクリーンラッパーという名称になる(?)ようですが、クリックした瞬間の画面イメージを攻撃者に送信する、という単純な手口でセキュアキーボードは破られてしまいます。すこし考えれば直ぐに破り方くらい分かると思うのですが何故か「セキュアキーボード」(安全なキーボード)と言う名称が付いているサイトが多くあります。

スクリーンラッパー付きのスパイウェアがいつ頃出回り始めるかな、と思っていたらもう出回っているようです。セキュアキーボードは”古い”キーロガーだけを使うスパイウェアには有効ですが、新しいスパイウェアには無力です。「セキュア」キーボードという名称は利用者に「安全である」と錯覚させる呼び名と思います。直ぐにセキュアキーボードや安全と思わせるような名称は使わないようにした方が良いと思います。

やはり基本に忠実にスパイウェアをインストールされないようにするしか本当に有効な方法は無いです。しかし、クライアントにスパイウェアをインストールされていない事をWebサイト側から確認することは不可能です。サービスを提供しているサイトは非常に悩ましいですね。

追記:ちなみにスパイウェアを植えつけるWebサイトと認知されているサイトは900ちょっとだそうです。私が見た統計情報にはjpドメインのサーバはありませんでしたが、用心は必要でしょう。

カテゴリー
Other

帰宅

盆休み終了。休み中にするつもりの仕事がはかどっていないので今週は大変…

カテゴリー
Other

ちくせい(竹清)でうどん

ちくせいが有名、という事は知っていたのですが土曜日が休みなので今まで食べた事がありませんでした。kazさんが高松にいらしていたのでちくせいだけご一緒しました。こののてんぷらはうわさどおり上手に揚がっていました。moriqさんとも久しぶりに会いました。その後、全日空ホテルでお茶しました。楽しかったですが娘が走り回ってご迷惑を….
# moriqさん、時間が長くてすみません

今日はこれから蒜山に行ってきます。娘が馬に乗るを楽しみしていて、さっき起きたのですが「行くよー!」と大声で言っています。さすがに今すぐは出れません(汗

カテゴリー
Computer Linux

FedoraCoreのメイン開発プラットフォームはx86_64?

PentiumDを購入したのですがMomongaのカーネルでは945/955チップセットのSATAデバイスは現状のカーネルでは認識しませんでした。少し前のブログにパッチを当てたらとりあえず認識したと書きましたが、素直に最新のカーネル使ってみようとFedoraCore develのカーネルをCVSから拾ってきました。

x86_64でビルドしたところ問題なくビルド&動作しました。やはり基本には忠実でないと…
i686でビルドしたところ簡単なシンタックスエラーでビルドに失敗しました。FedoraCoreの開発者のほとんどはi386からx86_64に移行しているのかも知れませんね。

DJB先生の標準PCもAthlon64ですが、

The 2005.05.14 standard workstation costs $552. Notes on the price:

http://cr.yp.to/hardware/advice.html

とたったの$552です。香川ではECCメモリは店頭で売っていないですし、通販で買っても結構高い(前回買った時はDDR2-533 1GBが24,000円ちょっとが最安値)での普通のメモリを買えばこれくらいで作れそうです。私も最近Athlon64のPCをMomongaビルド用のPCとして作りました。Athlon64 3200、nVidia gForce FX5200、メモリ3GB、250GB+400GB HDDという感じで作ったので$552とは行きませんでしたが、むかーしDynabook386SX用に買った60MB(60GBではありません)HDDと同じ程度の値段で作れました。

しかしスーパーマルチドライブ安くなりましたね。バルクなら5000円切ってました。

カテゴリー
Other

セキュリティ専門家のほうが問題な時もある

Oracleのセキュリティ責任者の記事です。最近Oracleは2年以上も深刻なセキュリティホールを放置していた疑惑をもたれています。それに対する広報活動の一環だと思われます。Oracle程になると恐喝的なセキュリティ問題の報告も多いようようですね。非常に短い時間での対応を求めるのは問題と思いますが、2年は長すぎると思います。この問題を提起したセキュリティ専門家は評判が良い方だったらしいです。どちらにしても、パプリシティを利用したこの記事、Oracleとしてなかなか良い対応だったと思います。