カテゴリー: Security

Firefoxはしばらくjavascript off!

このblogでFirefoxを薦めているので念のため。気づいている方も多いとは思いますがFirefoxは1.0.4がリリースされインストールするまで、しばらくソフトウェアのインストール機能とJavaScriptを無効に設定するべきです。

次の2つ無効に設定します(チェックをはずす)

ツール>オプション>Web機能>Webサイトによるソフトウェアのインストールを許可する
ツール>オプション>Web機能>JavaScriptを有効にする

間違いは起きるもの

米軍の機密情報、「コピーアンドペースト」操作で流出、だそうです。
どの程度の機密性がある文書であったかは分かりませんが、イラク検問所でイタリア人が殺害された事件の報告書、とあるので安全保障に大きく影響するような機密情報ではなかったと思います。

PDFの文書に機密情報部分が黒塗りの■を付けただけであった為、テキストを選択しペーストすると機密情報が参照できてしまった、という話です。

これと似たような話でMS WORDの履歴機能で情報が漏洩してしまった、と言う話も時々聞きます。記憶に残っている物ではSCOの訴状がMS WORDで作成され、履歴が残っていた為どの会社に対して訴訟を検討していたか判明した、等があります。会社などで見積書など作る場合には履歴機能には十分注意する必要があります。

ここでふと思ったのですが日本ではWebサイトの脆弱性を利用して情報を参照する事は違法と判断される可能性が非常に高いです。(1審の1例だけでは確定してる、とは言えないので)日本ではPDFに機密文書と記載されているにも関わらず「コピーアンドペースト」で情報を参照してしまうと罪になるのでしょうか? 先の判決からすると「コピーアンドペースト」で情報を参照する行為も犯罪と判断されるかも、と一瞬思ってしまいました。適用された法律は他人のIDを不正利用する事を禁止する法律だったはずですから自分のPCでPDFを見ても問題無しですね。

もしパスワードがあるPDFファイル等ならどうなんでしょう?クラックすると無罪?有罪? 第三者がクラックしたパスワードと知らずに使用したら無罪?有罪? どちらなのでしょう?

会社などでキーロガーを導入してセキュリティを確保している場合もあると思います。PC本体をサーバルームに設置するブレードPC等では簡単にハードウェアレベルのキーロガーを導入できると思います。この場合、従業員が圧縮したファイルにパスワード付けて送信し、その圧縮ファイルをキーロガーから取得したパスワードを使用して解凍したら有罪でしょうか?

キーロガーを利用したフィッシング詐欺が急増

随分前からキーロガー(キー入力を記録するソフトウェアやハードウェア)を利用した攻撃の可能性は指摘されていましたが、ついに流行するようになったようです。

この攻撃では、Microsoftの「Internet Explorer」ブラウザに存在する脆弱性を悪用することが多い。

とのこのですが、このサイトにアクセスされている方の26%(2005年4月)はまだInternet Explorerを利用されているようです。最新にしていれば大丈夫だろう、というのは甘いかも知れません。先月もあまりにMSの対応が遅い事を理由にパッチがまだ無いセキュリティホール情報が公開されていたりします。

Firefoxの最新版以外にもセキュリティ上の問題があるので古いFirefox利用されている方も直ぐにバージョンアップする方が良いでしょう。

Websenseの2月および3月の調査では、毎週のように、キーロガーの新しい亜種が約10個、そしてキーロガーをユーザーPCに植え付けるために新たに設置されたウェブサイトが100件以上発見されたという。2004年11月および12月の調査では、各週平均1個から2個の新亜種が、さらに10~15 件のウェブサイトが発見されていた。

とありますが、今のところは海外サイト、特にブラジルが多いようですが転ばぬ先の杖としてIEは利用しないほうが良いと思います。

IEでないと見れないサイトがあって不便と言う場合はFirefoxのUser Agent Switcherを利用すると良いでしょう。多くの場合、あまり問題無く利用できるようになります。例えば、DELLのサイトはIEかNetscape 4.7(古すぎて危ないですが)しかサポートしていませんがUser Agent Switcherでユーザエージェントを切り替えれば問題なく利用できます。

中には本当にIEの事しか考えていないサイトもあるとは思いますが、そのようなサイトにはアクセスしないほうが良いと思います。

2ポートディスク?

この記事に書いてある「2ポートディスク」ですが、個人的にはあまり必要性が感じられませんが何か見落としているのでしょうか?

「2ポートディスク」とは2つのポート(I/F)を持つHDDの事だそうです。一つは読み込み専用、もう一つは書き込み専用だそうです。Linuxの場合、同じパーティションを何度でもマウントできます。例えばApacheは読み込み専用でマウントされたマウントポイントを利用し、コンテンツの編集者は読み書き可能にマウントされたマウントポイントを使用すれば良いように思えます。
# SELinuxにすれば、という話もありますが。

同じCPUに接続されているHDDが2つポートを持っていてもマウントオプションで読み込み専用と読み書きを使い分ける方法と違いがあまり無いので、共有ディスクにして、という話なのでしょうね。詳しい情報が書いてないのでメモとして。

クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ(Cross-Site Request Forgeries – CSRF)の話。名前はともかくこれが新しい攻撃ではないことは高木さんも書かれている通り。誰でも思いつくセキュリティ上の不備ではないでしょうか? 私はもう何年も前からこういった事が起きないようライブラリ化しています。

HTTP Response Splitting Attackの時もHTTPヘッダに出力する値を確実にコントロールするのは当たり前。おかしなヘッダを送信させられるとキャッシュがおかしくなる事はまっとうなWebシステム開発者なら解っていて当たり前、と思っていたのですが…

セキュリティ関係の話をする時にはいつも言うことですが、「間違いを探すのではなく正しい事を確認するように」を実践していれば、なんだか訳の分からないセキュリティ用語が飛び出してきても慌てることは無いはずです。

参考:
http://d.hatena.ne.jp/hoshikuzu/20050130
いろいろリンクがあって参考になります。

追記:
入力済みの値の再検証を防ぐ方法(つまり期待したとおりの入力であること保障する方法)をいくつかのセミナーで説明したと思います。前のフォームに入力された値をメッセージダイジェストで確認していればCSRF問題は発生しません。フォーム毎にIDを発行し、再投稿を防ぐなど処理を行っていれば完璧です。

プライバシー保護の難しさ

PCが期待通りに動作しないとフラストレーションが溜まりますよね。特に理由も分からずクラッシュるのは腹立たしい限りです。オープンソース製品ばかりであればデバックオプションを付けてビルドしてデバッガーでバックトレースをとって確認する事は簡単です。

Windowsの場合、利用してるアプリケーションのほとんどはオープンソースでは無いですしWindowsアプリの開発者でもない限り開発環境は持っているはずもありません。

Microsoftはクラッシュレポートの機能を強化したいようです。クラッシュ時に動作していた全てのアプリケーションやアプリケーションが利用していたデータ等を含むさらに詳細な情報を収集できるようにするようです。この機能が会社等でどの様な意味を持つかはCNET Japanの記事に記載されています。

この機能、このままリリースされる事になるのか興味深いですね。

追記:
プログラムのディバックをした事がある方なら誰でも理解できると思いますが、クラッシュした時のデータが全てそろっているのと全く無いのでは効率が全く異なります。データがあれば一目で解ることが、データが無ければ見当がつかない場合も多くあります。この仕組みを取り入れれば製品品質の向上につながる事は確実と思います。クラッシュ情報から会社の社員がクラッシュした際に何をしていたか解ってしまう、という仕組みは会社でのPCの乱用を防ぐ効果があってある意味良い事かも?

RFIDの普及と健康の因果関係?

FUD(Fear, Uncertainty and Doubtの事)を流したい訳ではないのですが、この記事はFUDと思って読んでください。専門家ではないので詳しい事は知りません。

さてRFIDのチップから情報を読み取るには電波を当てる必要がありますが、生体への影響って研究が進んでいないような気が… 大丈夫なのかな?と思い簡単に調べてみる事にしました。

調べるきっかけになったのは、どこの国か忘れましたがヨーロッパのどこかでは保育園は高圧線から結構離れた場所でないと作れないとか、直ぐしたには家が作れないとか規制されている事を知っていたこと、大阪の高圧線が非常に密集している地域では白血病や癌の発病率が高い事、冷戦時代旧ソ連がアメリカ大使館に対してマイクロ波を照射していた事などを知っていたからです。携帯電話の電波が数分で脳細胞の細胞膜を破壊していることはニュースで大きく取り上げられたので広く知られていると思います。

RFIDと言っても色々種類があり読み取り距離は色々あります。読み取り距離が短い場合はRFIDのリーダ/ライターが健康への影響はないと思います。しかし、読み取り距離の長い物には出力がかなり大きな物もあります。

周波数 通信距離 電波法
UHF帯(860M〜960MHz) 日本は利用不可*1,米国は7m,EUは3m 米国は4Wまで,EUは0.5Wまで
2.45GHz帯 日本は1m,米国は2m,EUは0.7/2m 日本は0.1〜1W,米国は4Wまで,EUは屋外0.5W/屋内4Wまで

出典:ITPro

無線LANの出力がピーク値22mW程、PHSが80mW、携帯電話が200~800mWであることに比べると大きな出力である事が分かります。電池を持たないICチップに電流が流れICチップの情報を読み取れるだけの電波出力を得る為には大きな電波をあてる必要があるのは当然と言えます。

無線電波の人体への影響についてによると、電磁界による健康ヘの影響を指摘する報告は統計精度が低い、結果に一貫性が無いなどの問題があるため信用性が低いとしています。イギリスで発表され話題になった「携帯電話で脳腫瘍になる」という説もラットによる実験で脳腫瘍の発生に及ぼす影響は無いとしています。このレポートを作成した社団法人日本電気制御機器工業会はRFIDを推進する立場にあるので健康に影響があるとするレポートを公開するとは思えませんが…

確かに一定以下の出力で適切な距離、離れていれば問題は少ないかも知れません。しかし、違法な電波出力で個人情報収集やマーケティングを目的にRFIDチップ情報の読み取りを行う人達が必ず現れると思われます。これなら大丈夫というデータではなく、ここまでやると影響があるというデータを取りこれくらいなら大丈夫、と言えるデータを取らなければ信憑性を疑いたくなります。

セキュリティ面でRFIDの危険性を指摘されている場面は頻繁に聞くのですが、健康面ではどうなんでしょうか?九州総合通信局の基準によるとかなり高出力でも生体への影響は大きくないとも読めますね。時間があるときにこれらのリンク先を読んでみることにします。

リンク:
電磁界と健康
電磁波ナビ

電磁波が健康に及ぼす影響について
電波防護ための基準

電波の生体への影響

天災にも負けず、人的ミスにも負けない重要インフラ防護策を——政府委員会

政府の情報セキュリティ基本問題委員会は4月22日、電力やガス、金融や情報通信をはじめとする重要インフラのセキュリティ強化策を「第二次提言」として取りまとめ、公開した。

基本的には歓迎しますが効率的に実施される事を望みます。専門家ではないので具体的な数値はないですが日本は同じ事をするにはアメリカに比べて多くのコストがかかり過ぎているように思えます。

NSA
の予算は確か4000億円/年くらいだったと思います。アメリカの交通信号の同期化はあまり進んでいないらしくアメリカ全土の信号を同期化するには1000億円くらい必要とニュースで言っていました。どちらも日本で同じ事を行うとすると、この金額の数倍は必要!となるように思えます。

# アメリカの信号は交差点の真中に一つあるだけの場合が
# ほとんどなので日本より安くなっても当り前と言えば当
# り前ですが。

安全性(それも求められる最低限の安全性)、リスクそしてコストとのバランスを良く考え、実効性がある対策をお願いしたいです。

参考:
内閣官房情報セキュリティセンター(NISC;National Information Security Center)

phpbbにまたセキュリティーホール…

セキュリティホールの指摘は良いことですが、パッチする前はルール違反ですね… 内容をよく確認していませんがクロスサイトスクリプティングの様です。Low Riskという認識にも問題があるかと…

いろいろ異論があるとは思いますがクロスサイトスクリプティングのリスクは中程度とするべきと考えています。アカウントの乗っ取りが可能なリスクですから。phpbbは何年も前になるのですがソースをざっと見て直感的に危ないと感じたこと、実際にバグが多すぎなこと、などからphpbbを使った事がないので分かりませんが管理者のアカウントが乗っ取られても登録されている個人情報(メールアドレスなど)が盗めないような仕組みにはなっていないと思いますがどうなんでしょう?

/*
——————————————————–
[N]eo [S]ecurity [T]eam [NST]ョ – Advisory #14 – 17/04/05
——————————————————–
Program: phpBB 2.0.14
Homepage: http://www.phpbb.com
Vulnerable Versions: phpBB 2.0.14 & Lower versions
Risk: Low Risk!!
Impact: Multiple Vulnerabilities.

-==phpBB 2.0.14 Multiple Vulnerabilities==-
———————————————————

– Description
———————————————————
phpBB is a high powered, fully scalable, and highly customizable
Open Source bulletin board package. phpBB has a user-friendly
interface, simple and straightforward administration panel, and
helpful FAQ. Based on the powerful PHP server language and your
choice of MySQL, MS-SQL, PostgreSQL or Access/ODBC database servers,
phpBB is the ideal free community solution for all web sites.

– Tested
———————————————————
localhost & many forums

– Explotation
———————————————————
-==Bad Filter of HTML Code==-
phpBB2/profile.php?mode=viewprofile&u=\[]\
phpBB2/viewtopic.php?p=3&highlight=\[]\
#########################################################
-==XSS==-
POST /admin/admin_forums.php?sid=7bd54a5a9861ef180af78897e70 HTTP/1.1
forumname=<script>alert(‘NST’)</script>&forumdesc=<script>alert(‘NST’)</script>&c=1&forumstatus=0&prune_days=7&prune_freq=1&mode=createforum&f=&submit=Create new forum

Some people cannot find it interest someones yes but well i dont care because if you put some effort you know that
you can do a lot with this, like fooling the Admin of the Hosting to get his cookie & and then get access to whm…

– References
——————————————————–
http://neosecurityteam.net/Advisories/Advisory-14.txt

– Credits
————————————————-
Discovered by HaCkZaTaN <hck_zatan@hotmail.com>

[N]eo [S]ecurity [T]eam [NST]ョ – http://neosecurityteam.net/

Got Questions? http://neosecurityteam.net/

Irc.gigachat.net #uruguay [NeoSecurity IRC]

– Greets
——————————————————–
Paisterist
Daemon21
LINUX
erg0t
uyx
CrashCool
Makoki
KingMetal
r3v3ng4ns

And my Colombian people

@@@@”’@@@@’@@@@@@@@@’@@@@@@@@@@@
‘@@@@@”@@’@@@””””@@”@@@”@@
‘@@’@@@@@@”@@@@@@@@@””’@@@
‘@@”’@@@@””””’@@@””@@@
@@@@””@@’@@@@@@@@@@””@@@@@
*/

/* EOF */

ウィルスバスターの定義ファイル更新で、CPU使用率が100%になる不具合

ウィルスのパターンファイルや検索エンジンは自動更新になっている事が多いのでこういったリスクは付き物ですね。WindowsUpdateでも同じリスクはありますが、前にも書いた利便性とリスクをどう考えるかが問題ですね。自動更新のリスクの捉え方次第では「自動更新はダメ」としてしまいそうです。

しかし一般のユーザは、ほとんどが適切なタイミングで更新をしません。こういった問題があった事によって自動更新を止めるユーザが出なければよいのですが…

利便性とリスク

確か佐賀県で無毒化した河豚の肝を料理に出せるよう特区申請したらしいですが、あえなく不許可。理由は「100%安全か保障できないから」だそうです。河豚肝の毒は食べ物から来るらしく、5000匹の無毒化河豚からは毒は検出されなかったにも関わらず不許可だそうです。

アメリカ産の牛肉輸入禁止問題も2歳以下の牛(2才以下に見える牛)からは異常プリオンがほとんど検出できないので検査を省略しよう、と言う件も「100%安全と保障できないから全て検査しないとならない」との主張があるらしい。そもそもBSE問題が表面化してから予防対策はかなり厳しくなったのではないかと思います。2才以下に見える牛はかなり安全であるような気がします。

「100%安全と証明されていない」という理由で不許可なら遺伝子組み換え食品、ほぼ全ての医薬品は100%安全でないので不許可となるはずですが…

「コンピュータを100%安全に利用できるか?」と聞かれたので「人間は100%安全に生きれるか?」と聞き返しました。「生きている限り100%安全はありえないのと同じ、使用する限りコンピュータを100%安全に使う事は不可能です」と答えました。

何事も利便性とリスクのバランスをよく考える必要があると思います。

カードの暗証番号入力を拒否できるか?(続き)

暗証番号入力の拒否が面倒、と言う場合三井住友VISAカードなら、miniカードを利用するのも良いかも知れません。限度額が10万円なのでPCを買う場合などに利用できないですが申し込みました。

miniカードのカード番号は別の番号になるようです。写真からはICチップは付いていない様なので暗証番号入力を求められる事も無いはずです。
# 三井住友VISAの規約にはICチップ付きカードの場合、
# 暗証番号をサインの代わりに入力することもある、と
# 書いてあります。つまりICチップが無ければ、サイン
# でのみ利用可能と言うことですね。

しかしこの小さいカードを使うと店の人が使えるかどうか不安になったりするかも知れませんね ;)

カードの暗証番号入力を拒否できるか?

これのつづきです。

世の中は防犯カメラが100%設置されている銀行のATMでさえ暗証番号入力は危ないので生体認証を採り入れようか、という時にも関わらず加盟店のレジでクレジットカードの暗証番号を入力させるという時代錯誤の加盟店が急増中に思えます。

レジで清算する際には真後ろや真横に他人が待っていて暗証番号を見るのは非常に簡単です。レジには防犯カメラが付いている事も多いと思いますが、その映像の管理は銀行等のATMに比べて十分安全に管理されているか?には大きな疑問符が付くと思います。
# 通上、利用規約上は暗証番号の入力を伴う取り引きの全て責任は
# 利用者にある、と書かれているはずです。ただし、判例などでは
# 明らかに不正利用と思われるケースでは暗証番号の入力があって
# も被害が保証される場合もあるようです。

そこで三井住友VISAカード、セゾンMASTERカード、ニコス郵貯VISAカードで暗証番号を拒否しサインで利用することは可能か聞いてみました。3社ともカードの暗証番号入力を拒否してサインで利用できます、と回答がありました。

セゾンにはより詳しく調べて頂き、判っている限りではJRのみどりの窓口以外は暗証番号を入力せずに利用できる、と詳しい回答を頂きました。答えて頂いた方の説明によるとJRのシステムが暗証番号無しで取り引きが出来ないように作られてしまった事が原因のようです。
# これは許される間違い(?)なのかな…

クレジットカード利用時に無意味かつ不必要な電話番号の記入を強要する加盟店でも電話番号を書いたことはほとんどないのですが、こんどは暗証番号入力を拒否する手間が増えるとは…

多分他のカード会社も同じ様に取り引き時の暗証番号入力は拒否できると思われます。クレジットカードの暗証番号記入に不安を覚える方はどんどん暗証番号入力を拒否しましょう。