4 core CPUは来年はじめ

Blackwormの分析

メモ。ブラックウォームの分析。かなり詳しい。日本は少なくともTOP12には入っていない。

PHPのSession Fixation問題

PHPのセッション管理はセッションの固定化（Session Fixation）に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。

セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です。

1. メールによる攻撃

PHPアプリケーションで作成されたアカウントの乗っ取りは非常に簡単です。例えば、攻撃対象のアプリケーションのURLが

http://example.jp/

だとします。このページはセッション管理が必要なページだとします。攻撃者は

http://example.jp/?PHPSESSID=abcdefg

の様なURLをメールに送信し攻撃対象者にクリックさせます。これだけでセッションIDが
abcdefgになります。攻撃対象者がこのサイトのアプリケーションにログインするとabcdefgがセッションIDになるので攻撃者もセッションIDをabcdefgに設定してアクセスするだけで攻撃対象者のアカウントでWebサイトを利用できるようになります。

2. WebのURLによる攻撃

ログインが必要なサイトのURLが次のURLだとします。

http://example.com/login/

攻撃者はURLにセッションIDを記述したURLリンクを作成します。

http://example.com/login/?PHPSESSID=abcdefg

攻撃対象者がこのリンクをクリックするとセッションIDがabcdefgに設定されているので攻撃者はこのセッションIDを利用してサイトにアクセスできるようになります。

攻撃手法2を利用した場合、複数のユーザが同じセッションIDになってしまい攻撃されている事が直ぐに判明してしまうのでは?と思われるかも知れません。攻撃者が攻撃に利用するサイトでセッション管理を行い、各ユーザ毎に別のセッションID（攻撃者が生成したID）を割り当てれば同じユーザが同じセッションIDにならないので攻撃されている事は分からなくなります。攻撃者は既に判明しているセッションIDが利用可能（アカウントが乗っ取れる状態。つまり攻撃対象がログインしていないか)になっていないか後で確認するだけです。

http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession

のパッチは上記の攻撃全てを防ぐ事が可能なパッチなのですが、このブログを書いた時点では30ダウンロード（そのうち2回くらいは自分自身）しかありません。

自分の作ったアプリケーションでは独自に保護しているのでPHPのセッション管理がセッションの固定化に脆弱であっても影響を受けませんが、全てのPHPユーザが同じような対策を行っているとは思えません。オープンソースのPHPアプリケーションのほとんどがセッションIDの固定化攻撃に対して全く防御対策を施していない事からも多くのPHPアプリケーションがセッションID固定化に脆弱な状態で運用されていると容易に予想できます。

セッションIDの固定化に脆弱なPHPアプリケーションを利用している友人や同僚のアカウントを拝借する（特定のターゲットを目的とするスピアフィッシングですね）のは非常に簡単です。

もしかして私の予想に反して多くのPHPユーザはPHPがセッションIDの固定化問題に対処済みなのでしょうか?それともほとんどのユーザはPHP4?

追記：
ログイン後にのみ重要なデータを参照したり処理するアプリ（普通のアプリはそうだとは思いますが）の場合、ログイン後にsession_regenerate_id()でセッションIDを作り直せばログイン後のセッションは保護されるのでセキュリティ上の問題はほぼ発生しません。session_regenerate_id()は比較的最近に実装された関数ですが、この為に作られています。このパッチはURLのセッションIDは全て受け入れたくない場合に有効です。

PHP用のDefacing Tool

PHPで記述されたDefacing（Webページの改ざんのこと）Toolsの利用が増えてきている、という話です。

http://www.philippinehoneynet.org/charts_2006-01-20/defacingtool.txt

これがそのスクリプトです。読んで見ると、まずこれをなんらかの形でサーバ上で実行させてそれから攻撃、という使い方をするようです。

ファイルが消える前に!2月3日までにはやっておく事!

Blackwormと呼ばれているMalwareをご存知でしょうか?

このマルウェア、ある意味かなり古典的です。毎月3日になると

*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp

などのファイル全部 *消して* くれるそうです。（正確(?)には上書きされるそうです）ディスク資源の節約を狙ったマルウェアは最近は少なくなってきているのですが、このマルウェアはかなりの台数のPCが感染しているそうです。当初は180万台ほどと推測されていたようですが、今は30万台程度ではないか、と予想しているそうです。このワームは感染したPCの台数を掲載しているサイトがあり、感染すると登録される仕組みになっているのでその数字によると180万とか30万と言う数字だそうです。

PCからこれらのファイルがなくなると、かなり悲しい事態になる方も少なくないと思われます。アンチウィルスソフトのシグニチャを更新してスキャンはもちろん、万が一の為にもバックアップが大丈夫か確認するのも悪くないかも知れません。

各ウィルスベンダーのソフトでは以下の名前で検出されるそうです。

AntiVir Worm/KillAV.GR
Avast! Win32:VB-CD [Wrm]
AVG Worm/Generic.FX
BitDefender Win32.Worm.P2P.ABM
ClamAV Worm.VB-8
Command W32/Kapser.A@mm (exact)
Dr Web Win32.HLLM.Generic.391
eSafe Win32.VB.bi
eTrust-INO Win32/Blackmal.F!Worm
eTrust-VET Win32/Blackmal.F
Ewido Worm.VB.bi
F-Prot W32/Kapser.A@mm (exact)
F-Secure Email-Worm.Win32.Nyxem.e
Fortinet W32/Grew.A!wm
Ikarus Email-Worm.Win32.VB.BI
Kaspersky Email-Worm.Win32.Nyxem.e
McAfee W32/MyWife.d@MM
Nod32 Win32/VB.NEI worm
Norman W32/Small.KI
Panda W32/Tearec.A.worm
QuickHeal I-Worm.Nyxem.e
Sophos W32/Nyxem-D
Symantec W32.Blackmal.E@mm
Trend Micro WORM_GREW.A
VBA32 Email-Worm.Win32.VB.bi
VirusBuster Worm.P2P.VB.CIL

出典：AV-Test.org

参考リンク：
http://sunbeltblog.blogspot.com/2006/01/february-3rd-is-possibly-d-day.html
http://sunbeltblog.blogspot.com/2006/01/blackworm-worm-over-18-million.html
http://isc.sans.org/diary.php?storyid=1067

Thunderbird 1.5のフィッシング対策ツール

数日前に思い切ってThunderbird 1.0から1.5にアップグレードしました。フィッシング対策ツールが付いてくるのは知っていましたがどの様な場合に知りませんでした。

調べて見ると

– URLがIPアドレスの場合
– URLのリンク先として表示されたアドレスと実際にリンク先が異なる場合

にフィッシングメールと判定されるようです。

シンプルな機能ですが役には立ちます。ただしエンドユーザはこの手のセキュリティ機能に不可能はほどの性能を期待している事がおおいので多少心配な機能でもあります。

HTMLメールのリンクをクリックする場合は実際のリンク先がどうなっているかチェックする習慣はついていますがあると便利なのは確かですね。
# この機能があると頼ってしまいそうですが。