ミイラ取りがミイラに – Zone-H Defaced

ミイラ取りがミイラに – Zone-H Defaced

Zone-Hのページが改ざんされたそうです。詳しくはこのエントリタイトルのリンク先を見て頂くとして

In a short recap, our faults were:

1) Having a staff member who was not wise enough to recognize a Hotmail XSS attack.

2) Not finding the uploaded, but useless at that time, php shell. Zone-H contains 80 gigs of files, but this no excuse.

3) Not acknowledging in time the JCE component advisory (and we all make our living by reading tons of advisories every day…)

だそうです。

攻撃には

HotmailのXSS
http://lists.grok.org.uk/pipermail/full-disclosure/2006-August/048645.html

Joomlaのローカルファイルインクルードバグ
http://secunia.com/advisories/23160/
(XSSとされていますがローカルファイルインクルードが可能なようです)

が利用されたようです。実際に攻撃を受ける場合の例として参考になると思います。

HotmailのXSSは

Hotmail/MSN Cross Site Scripting Vulnerability

Author: Simo64
Contact: simo64_at_morx_dot_org
Discovered: 07/25/2006
Published: 08/10/2006
Vendor: MSN.com
Service: Hotmail.com Webmail Service
Vulnerability: Cross Site Scripting (Cookie-Theft)
Severity: Medium/High
Tested on: IE 6.0, firefox 1.5 and Opera (should work on all
browsers)

と2006/7/25に発見され8/10には公開されていますが12月になっても修正されていなかったのですね… XSSはWebアプリにとって致命的な問題です。これほど長く放置されるのは問題ですね。

# 私はWebメールを信用していないので、メジャーなサービスの
# アカウントは持ってはいますが使っていません。
# Gmailも今年だけでも何回かXSS脆弱性が見つかっています。
# Webメールは便利ですがリスクも高い事を知るには良い事例
# です。
#
# 追記: http://www.itmedia.co.jp/enterprise/articles/0612/25/news019.html
# こんな意見もあるようです。さすがにこの手のフィッシングに騙されるとは
# 思いませんが、騙されないと思っている人の方が騙されやすい傾向にあるの
# で注意が必要?!

権限昇格の問題

権限昇格が可能な脆弱性がWindows Vistaにもある、と言う話。

The PoC reportedly allows for local elevation of privilege on Windows 2000 SP4, Windows Server 2003 SP1, Windows XP SP1, Windows XP SP2 and Windows Vista operating systems.

セキュリティメモの方が早かったですね。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2006/12.html#20061225_CSRSS

関連
「Vistaの攻撃コード、5万ドル」——明かされる闇市場の相場
http://www.itmedia.co.jp/news/articles/0612/19/news006.html

Vistaのマルウェア感染はメーラーの実装による――Microsoftが検証結果公表
http://www.itmedia.co.jp/enterprise/articles/0612/25/news021.html

SkypeにWorm

SkypeにWormが発生しているらしい。ただし、脆弱性を利用した攻撃ではなく、大規模な感染も発生していないようです。チャットで問題のある「バイナリ(sp.exe等)をダウンロードして」とメッセージが送られ、ダウンロード&実行すると感染するそうです。(亜種あり)

Skypeに脆弱性か!と思いましたが脆弱性を使った攻撃ではないようです。チャットメッセージからダウンロードしたファイルから感染するのであれば日本では問題にならないでしょう。

以下、F-Secureのブログから

* There is something spreading on Skype, but only in limited numbers
* It is not exploiting a vulnerability in Skype but simply sending chat messages asking you to download and run the infected executable

しかし、Bot作りも大変ですね。この手のWormでそれほど多くのBotが作れるとは思えないのですが… Botではなく別の目的かな?

# ところで、これワームと言うよりトロイの木馬ですよね。

Full 64bit PPC Linux

テスト版ISOイメージはPS3へは普通(?)にインストールできていたようですが、私のPower Mac G5 Dualにはインストールができませんでした。最新版はインストールに成功(テキストモードですが)し、nvドライバを使ってXも使えるようになりました。取り合えず、ビルドだけは参加できる環境が整いました。
# パッケージの調整などは時間的に無理…

http://dist.momonga-linux.org/pub/momonga/test/PS3/

YDLは昔からフル64bitのPPC Linuxを有償で提供していたと思いますが、FC6などPPC64をサポートしているディストリビューションでもカーネルだけ64bitでアプリケーションは32bitパッケージになっていました。コミュニティで開発されているRPM系LinuxディストリビューションでフルPPC64はMomonga Linuxくらいだと思います。

以下はビルドしたパッケージのリスト。ppc.rpmでなくppc64.rpmとしてビルドされている。

-rw-r–r– 1 yohgaki yohgaki 682690 May 31 2006 rpm-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 788533 May 31 2006 rpm-build-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 1431640 May 31 2006 rpm-devel-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 1127865 May 31 2006 rpm-libs-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 70281 May 31 2006 rpm-python-4.4.2-5m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 2631610 May 31 2006 ruby-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 550121 May 31 2006 ruby-devel-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 640791 May 31 2006 ruby-doc-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 118636 Jun 1 2006 ruby-rpm-1.2.0-19m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 348576 May 31 2006 ruby-tcltk-1.8.4-7m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 197165 May 31 2006 sharutils-4.6.2-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 370292 Jun 2 2006 sqlite-2.8.17-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 230806 Jun 2 2006 sqlite-devel-2.8.17-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 471272 Jun 2 2006 sqlite3-3.3.5-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 461554 Jun 2 2006 sqlite3-devel-3.3.5-1m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 602679 Jun 1 2006 tar-1.15.1-2m.ppc64.rpm
-rw-r–r– 1 yohgaki yohgaki 999627 Jun 1 2006 tcl-8.4.12-1m.ppc64.rpm

ブラウザのシェア

このブログの場合はおよそ3割がFirefoxでIEのシェアは6割ほどです。もちろんほとんどが日本国内からのアクセスです。普段Firefoxを使っていますが自分のアクセスは計算されないようになっています。(実はアクセスが増えてきてIE比率が上昇していたります)

ブラウザのシェア(blog.ohgaki.netへのアクセス)

Hatenaなので一般的ユーザとは言えないかもしれませんが、今はFirefoxは2割超、IEは5割強。2005年12月でもFirefoxが1割以上ですね。
http://counter.hatena.ne.jp/sample/report?cid=11&date=2006-12-01&mode=summary&target=browser&type=monthly&view=

現時点ではIEのシェアはおよそ75%。
http://www.w3counter.com/globalstats/

セキュリティ系のサイトの場合、IEのシェアは半分以下の場合も多いと思います。
http://security-protocols.com/2006/12/10/my-firefox-vs-internet-explorer-statistics/

その他、検索して見つけたブラウザシェア情報を書いたページ
http://www.kkoba.com/blog/archives/2005/10/20059.shtml
http://www.spreadfirefox.com/node/23850
http://www.seo-equation.com/www/cat25/browser_market_share
http://lovesolid.com/nuc/item/243
http://salo919.lar.jp/modules/wordpress/index.php?p=48
http://taisyo.seesaa.net/article/28702371.html

2005年には依然日本ではIEが9割以上のシェアを持っているというレポートもあります。
http://www.websidestory.com/products/web-analytics/datainsights/spotlight/05-10-2005.html

こちらは2005年12月でおよそ10%のシェアとしています。
http://japan.internet.com/webtech/20060110/12.html

2006年1月の時点で12%のシェアがFirefoxとするレポートもあります。
http://internet.watch.impress.co.jp/cda/news/2006/01/23/10575.html

日本に限ればFirefoxなどのシェアはまだ低く、確かに日本では欧米に比べてFirefoxのシェアの伸びは遅れています。2006年になってから一般への普及も広がってきているように思います。

データが少ないので想像に近い値ですが、現在の日本のユーザのブラウザシェアは7割強がIE、2割がFirefox、1割弱がその他といったところが現実に近いシェアではないでしょうか?

ちょっとWebのことを知っている方(Web開発をメインでやっていないIT系の方など)は未だに「IEのシェアは国内では90%+で圧倒的、Firefoxは数%」と思っている方も多いようです。2005年にはメディアで「日本は欧米に比べFirefoxのシェアは低い」という情報が多かったことも原因と思われます。

どうもブラウザのシェアがどうなっているか、認識にずれが生じてきていると思います。

QuickTime XSS Howto

QuickTimeを利用してXSSを行えることはMySpaceのWorm

http://www.f-secure.com/v-descs/js_quickspace_a.shtml

で有名になりました。

http://www.gnucitizen.org/blog/backdooring-quicktime-movies/
はQuickTimeを利用したXSSの手順を解説しています。

XSSのサンプル

http://www.gnucitizen.org/blog/backdooring-quicktime-movies/sample_backdoored.mov

上記のリンクを開くとJavaScriptのダイアログ(Windows XP SP2 + Firefox2.0)が開きます。NoScript拡張等、JavaScriptを無効にしている場合はダイアログは開かない

QuickTIme XSS

QuickTIme XSS

# b2evolutionのHTML解析正規表現に不具合があるようでリンク
# が正しく表示されないので自動リンク(URLだけ書いてリンクにする)
# にしています。イメージを貼り付けた事が原因かな?

Zero3の名刺リーダ

W-Zero3 esの 本体アプリケーションを1.50a
にアップグレードしました。

携帯風のメニューや使い勝手がよくなっているようです。使い勝手で気が付いたのはパスワードロックを利用し、数字のみのパスワードで同じ数字が連続している場合はフルキーボードの方から入力しないと入力できなかった不具合が解消されているようです。

携帯風メニュー
の方も割りと使いやすいです。

名刺リーダの読み込みだけ対応しているバージョンも付いていました。あまり使えない、と聞いていたのですが私が使ってみたところ、認識率も良く、速度も遅くないと感じました。もう少し試してみて大丈夫そうだったら購入します。

DNS: 短いTTLのリスク

TTLが短いとDNSキャッシュサーバがドメイン権限を持ったDNSサーバにクエリに行く機会が増える(当たり前ですがDNSキャッシュサーバはTTLで指定された時間だけレコード情報をキャッシュしてドメイン権限を持つDNSサーバにクエリしない)ので危険と言う話。1秒に一回キャッシュを更新するほうが1時間に一回キャッシュを更新するよりDNSキャッシュ汚染が行いやすくなる、という当たり前の事です。DNSキャッシュが汚染可能である事、その汚染の仕組みを知らない方には思いがけないリスク増加かもしれません。

7ページ目に記載されている数式だけではどれが何だか分かりませんが、Nはポート数を表しているはずです。ポートが固定されていると16^2の組み合わせしかない、と言う話は良く知られていると思います。DNSを管理している人なら誰でも知っていると思いますが

にも記載されている通りBINDはポートが固定されていたのでdnscache(djbdnsのDNSキャッシュサーバ専用のプログラム)に比べてかなり脆弱だったのは有名な話です。
# 最近はBINDを使ってないので今のBIND9の実装がどうなっている
# か知りません。

気にした事が無かったですがTTLを短くした場合、ネームサーバを増やすのは良い考えですね。DNSはラウンドロビンでIPアドレスを返すのでネームサーバが増えた分だけ細工したパケットでDNSキャッシュ汚染できる確立を低下できます。そのうちネームサーバが100個登録されているドメインとか出てくる(?)かも知れません。そうなるとBINDのNOTIFY/AXFERではちょっと困りますね。djbdnsのrsync方式の方が信頼性が高い&直ぐに同期できるのでBINDではちょっとやりづらいと思います。

ここで余談を一つ。djbdnsには昔から面白い機能があります。データセンターの変更などでWebサーバ等のIPアドレスが変更される場合があります。移行前にTTLを短くしておくなどの対処を行いますが、djbdnsには「指定した時間になったらIPアドレスを変更する」機能があります。この機能はtinydns(djbdnsのDNSサーバ)は指定されたtai64n形式の時間(qmail等でも利用されている厳密に時間表記が行える表記形式)に合わせてリクエストがくる度に自動的TTLを変更することによって実現されています。データセンターの変更だけでなくWebサーバのメンテナンスにも便利です。

参考:

更に余談をもう一つ。少なくとも先月はYahoo! BB、DoCoMoのMTAはネームサーバが停止しているとメールが送れない場合があったようです。ネームサーバは1台でも稼動していれば名前解決ができるのですが、Yahoo! BB、DoCoMoのMTAは稼動していないネームサーバのIPアドレスを引いてしまうと名前の解決に失敗した旨のエラーでメール送信に失敗していたようです。単なる想像ですがDomain Keyと関連があると思っています。
# ネームサーバを増やすと思わぬリスクを増やすかも
# と言う話でした。

Zero3 es修理から戻る

壊れたZero3が修理から戻ってきました。修理には2週間くらい必要かな、と思っていたのであまりに速いことに驚きました。シャープのサポート素晴らしい :)

W-SIM,本体とも無料でした。(W-SIMは壊れていなかったはずです)電源部分の調整(何を調整したかは不明)OSの再インストールをしたようです。

修理前のZero3は電源を入れているとアンテナマーク横のLEDはほとんど「青」が点燈していたのですが、修理後は「緑」になりました。外側の傷等は修理前と同じだったので中身をまるごと替えたのかな?と思ったのですが「青」で点燈する場合もあるようです。

私はZero3を発売と同時購入したので初期ロットのはずなので、最近Zero3を購入した知人に聞いてみるとLEDは「緑」で点燈しているとのことでした。初期ロットのファームウェアには微妙な違いがあったのかも知れません。

それ Unicode で – TEXT HACKS

クロスサイトスクリプティングに利用可能なテキストハックが簡潔にまとめられている。

目新しかったのはUnicodeのBidi機能(テキストの記載方向が異なる言語、たしかアラビア、イスラエルなどの言語)を使ってWindowsの拡張子をごまかせる事です。
# 他のOSでも問題になるかも。もし同じ問題があったとしても、UNIX系
# OSの場合は実行ビットが有効でないと実行バイナリであっても実行さ
# れないので影響は少ないですが。

ファイルマネージャ、コマンドラインなどはBidi機能はロケールのみよって有効・無効を設定できるようになっていないとセキュリティ上問題です。

文書の途中で「アラビア語の文字列を書く」必要がある場合もあると思うのでシステム全体としてBidiを無視することは良くありません。しかし、文書中でBidiが有効になっていてファイル名にBidiが混じっていてそのファイルをクリックすると意図しないバイナリを実行、という攻撃方法もアプリケーションによっては行えそうです。とにかく気を付ける(ってどうするの、という話もありますが)しかないです。

Ultramonky L7 0.5.0リリース

最近時々Users-MLにメールが流れています。Ultramonky L7(L7:Layer7スイッチ、HTTPプロトコル・Webアプリケーションレベルでの負荷分散機能)はがんばってもらいたいプロジェクトなので転載します。

ultramonkey-l7-usersの皆様へ

こんにちは。
渡丸と申します。

UltraMonkey-L7のSNMP対応版(Ver.0.5.0
)リリースの
公開につきまして、以下の通りお知らせします。
(先ほどSourceForge.jpのUM-L7ニュース欄にも掲載しました。
http://sourceforge.jp/forum/forum.php?forum_id=10716 )

追加のプロトコルモジュールとして、以下のモジュールを追加した
– l7vs-0.5.0-0
– l7directord-0.5.0-0
を作成しました。

cpassive … Cookieパーシステンスpassiveモジュール
        振分先サーバにてcookie情報を付与することで
        セッション管理するモジュール
crewrite … Cookieパーシステンスrewriteモジュール
        振分先サーバにて空のcookieを付与し、
        UltraMonkey-L7でcookie情報を変更することで
        セッション管理するモジュール
cinsert  … Cookieパーシステンスinsertモジュール
        UltraMonkey-L7でcookie情報を付与することで
        セッション管理するモジュール
chash   … Cookieパーシステンスhashモジュール
        振分先サーバにてcookie情報を付与し、
        UltraMonkey-L7でcookie情報の一部を管理することで
        セッション管理するモジュール
urla   … URLパーシステンスモジュール
        HTTPレスポンスのボディ部のURL情報より
        セッション管理するモジュール

また、追加機能として、以下の機能を追加しました。

閾値による振分回避機能 … 設定している閾値を超えた場合、
              他のサーバ(Sorryサーバ)へ振り分ける機能

レプリケーション機能  … セッション情報を冗長化しているサーバと
              同期をとる機能

ドキュメント類は、後日修正して、ご連絡させていただきます。
ご要望、コメント等ございましたら、ご連絡願います。

_______________________________________________
Ultramonkey-l7-users mailing list
Ultramonkey-l7-users@lists.sourceforge.jp
http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users

Zero3 es壊れる

車に乗っている間にZero3が固まっていました。

いつものことなので取り合えずリセットボタンを押す。再起動しようとするのですが起動中の画面から先に進まず… 仕方ないのでバッテリカバーを外してフルリセットボタンを押し、電源投入、しかし同じ状態…

完全に壊れていると判断してそのままWillcomショップに直行し代替機を貸してもらって帰ってきました。この忙しい時にこれだけで半日使ってしまいました。7月発売の機種なので多分無料修理になるとは思いますが、「W-SIM(PHSの本体・心臓部)は最大でも2100円で修理できます」とショップの方が言っていました。本体とW-SIM、別々に修理申込書を書きました。いつ帰ってくるのかは不明ですが、数週間は必要なようです。

カウンター後ろの棚には修理受付したと思われるZero3 esが2台ありました。もしかして結構壊れやすいのかも?

追記:Zero3 es用のワンセグチューナーが発売になってたようですね。値段は思ったよりもリーズナブルで14,800円。

http://arena.nikkeibp.co.jp/rev/20061207/120089/

このワンセグチューナーを見て思ったのは「USB充電できないが電源を別にしておいて正解」と思いました。USB接続するのでUSB充電では長時間視聴できません。クレードルも使いづらいので別電源にしていた事がメリットになっています。

新手のBlogスパム

前のバージョンから「ひらがな」フィルタを使って海外からのコメント・トラックバックスパムを削除していたのですが、敵も気が付いてきたようでタイトルのコピーを入れたスパムを送ってくるようになりました。

スパムを送ってくる業者はページランクが上がれば良いので同じ言語であるかどうか関係なくスパムを送っていると思われます。日本語サイト以外でも言語フィルタをつけたサイトが増えてきているのかも知れません。

「ひらがな」フィルタの効果は絶大だったのですが、タイトルのコピー・本文の一部をコピーされたスパムの場合、ほぼ無力に近いです。blogアプリをアップグレードしてる半日程度の時間、平仮名フィルタが無かっただけで900くらいのトラックバックスパムが着てしまいました。半分だけでもタイトルや本文のコピーをつけてSPAMを送られてきたらモデレートなんて不可能です。そのうちまた新しい手法が必要になりそうです。やはりGeoIPかな… あまりやりたくない手法ですが…

Blogアプリをバージョンアップ

このBlogはb2evolutionなのですが、一応安定版となっているとはいえ随分前からアップグレードしていませんでした。調べてみたら2年間アップグレードしていませんでした。

1.9.1Betaにアップグレードしました。基本的にconf/_basic_conf.phpの文字エンコーディングを”utf-8″に設定するだけでそれなりに日本語環境でも動作するようです。メールのエンコーディングはダメなようで修正が必要です。一部には明らかな不具合もありますがBetaなので次の最終版では直っている事を期待したいです。

改行文字がファイルによってCR/LFとLFが利用されている部分などは修正されているのかな?と期待していたのですが直っていないようです。ほぼ同じ内容のコードを含むファイルが複数ある等、改善した方が良い箇所があるのですが気長に待つ事にします。
# ずっと直っていないのですぐに直る
# 事は期待できないでしょうね。

バージョンアップに伴いコメント・トラックバックのモデレートができるようになりました。デフォルトがモデレートなのでコメント・トラックバックが即座に反映されません。面倒ですがスパムの量を考えると仕方ないです。