北朝鮮サイトが改ざん? [不正アクセス]
しかし、読者投稿サイトへの書き込みとの情報もあり、不正確な状況です。
現在当該サイトは停止しているので不明です。
Serversman@vpsのSSH接続 [不正アクセス]
向こうが行うので、ユーザ側もサーバのSSH設定を変更して下さいとのこと。
ホストOSとゲストOS間の通信を変更したのだろうか。
ハイポートに設定したため、nmapのデフォルトスキャンでは検知しなかった。
一応の対策にはなっているかな。
しかし、この説明はいただけない。
*******************************************************************************
・セキュリティ対策
SSHのポート番号は一般的に22番が使用されており、サーバーの攻撃を
行うプログラムでは、22番ポートが空いている場合、IDとパスワードを
ランダムに登録してくることがあります。
ポート番号を22番以外に設定することで、不正プログラムからの攻撃を
防ぎます。
*******************************************************************************
IDとパスワードをランダムに登録する、ではなく、ランダムに試行する、若しくは、ランダムにログインを試みる、ではないだろうか。
BuffaloのWebアクセスサービス [不正アクセス]
http://buffalonas.com/
これは、自宅にあるBuffalo製品へのDDNSアクセスを実現するもののようです。
http://buffalo.jp/products/catalog/storage/nas/web-access.html
ここに、適当な名前を入れるとつながる場合があります。
認証設定されているようで、IDとパスワードが必要になりますが、この設定をスルーしている場合には、認証できる可能性があります。
何より、現在登録されているIPアドレスとポート番号が判明します。
Buffalo以外にも公開している機器等があり、認証機能を設定していないのであれば、アクセスできてしまうおそれがあります。
家電ネットワークの危険性はこういうところにも存在します。
なんで、直接飛ばしてしまうんでしょう?
いったん、上記サイトで認証してから飛ばした方がいいと思うのですが…。
自分向けに公開するのがメインなのでしょうから。
政府機関のWeb/メールサーバー、計2900台を集約化して半減へ [不正アクセス]
http://internet.watch.impress.co.jp/docs/news/20090624_296285.html
政府機関は山のようにありますから、有名なサーバから、放置されっぱなしのサイトまで。
2006年からメンテナンスしていないページもたくさんあります。
ただ、集約化することによって、当然デメリットもあるわけで。
昨日も韓国で起きましたが、大量のDoSをやられるとそこにぶら下がっている全部の政府機関がストップします。
ただの一般的な情報ならいいですが、電子申請とか、入札情報とか、試験結果発表とかありますからね。
また、政府機関だけではなく、大学、教育機関の端末やサーバを特に解決してほしいです。
放置がほとんど。大量にパケットが飛んでくるし。
週に1回ぐらい、どこかの大学のサーバが改ざんされています。
クライアントハニー [不正アクセス]
「コンピュータに損害が・・・」
の文字が出てきて、そのあともおかしいと思い、検索したら全部がその文言が書かれてて
でかいバグだろうなぁと思って、そのまま寝ました。
そしたら、次の日色々なところであの事件に遭遇した人たちがその内容を書いていて、
月曜日に大きなニュースとなってました。
ところで、その情報を提供しているStopBadware.orgは悪意あるサイトを検索して
検出しているということは、大きなクライアントハニーポットを飼ってるのですね。
色々なサイトをアクセスしていって悪意あるサイトかどうかを判断しているという意味で。
判別として実際に何らかの攻撃を受けたから悪意としているかどうかは分かりませんが。
丸紅インフォテックの情報漏洩 [不正アクセス]
丸紅インフォテックのネットショップに不正アクセスによる情報漏えいの可能性。
http://internet.watch.impress.co.jp/cda/news/2007/10/12/17170.html
2年間放置ですよ。
管理者はチェックなんかなしの予感です。
これについて手紙が来てしまいました。
私は該当者のようです。
とりあえず確認の電話をしました。
しかし、対応してくれた人があたふたしていました。
相手「この度は申し訳ございません。クレジットカードの情報が漏れた可能性があるので、変更して下さい」
私「それだけですか?」
相手「こちらからはその提案だけです」
私「うーん、可能性があるだけとしかないのですが、漏えい確認後の連絡は?」
相手「責任者に確認を取りますのでお待ち下さい。」
相手「現在、第三者機関に調査を依頼し、調査の結果、漏えいがあった場合に連絡します」
私「調査の結果、漏えいがない場合は連絡をくれないのですか?いつ調査が終わるかわからないので不安なのですが。」
相手「責任者に確認を取りますのでお待ち下さい。」
相手「連絡します。」
私「IDとパスワードも漏れたとあるが、変更は必要か?」
相手「責任者に確認を取りますのでお待ち下さい。」
相手「サイトを閉じているので、変更はできませんのでご安心ください」
私「???危険はないのですね。」
相手「現在アクセスできませんのでありません。」
私「その後の対応はどうするんですか?」
相手「責任者に確認を取りますのでお待ち下さい。」
相手「現在未定です。」
なんか不安な対応でした。
対応マニュアルがないので、仕方ないのでしょうけどね。
どのクレジットカードが漏れたかがわからないので、再度連絡しました。
向こうはカード番号を言うわけにはいかないので、こちらから今手持ちのカードの最初4桁を言ってみましたが、どれも当てはまらないそう。
当時使用したクレジットカードの有効期限がおそらく切れているやつなので、漏えい後に有効期限切れまでに不正に使用されていなければ問題ないでしょうが、上記ニュースによると2005年6月13日から2007年7月28日までなので、結構な間があります。
それにしても、有効期限が切れたカードの番号なんか知らないよ~。
今まで、不明な明細はないハズのですが、安心はできませんし。
Etherealの脆弱性 [不正アクセス]
http://online.securityfocus.com/bid/15148
http://secunia.com/advisories/17254/
Etherealの脆弱性が出ています。
0.10.13が修正版です。
・NULLポインタのエラー
・unicode_to_bytes関数のエラーでBOF(Buffer Overflow)が発生。TCP427番ポートへの送出パケット。
・WindowsバージョンでPCREライブラリに脆弱性があるようです。
これをつかれるとクラッシュしたり、コード実行の危険性があります。
脆弱性のバージョンは0.7.7から0.10.12までです。
Skypeの脆弱性 [不正アクセス]
http://secunia.com/advisories/17305/
Skypeに3つの脆弱性
が発見されています。
ITMediaの記事
http://www.itmedia.co.jp/enterprise/articles/0510/25/news116.html
callto://とかskype://とかの何らかの特別のURIによるBOF(Buffer Overflow)のようです。コード実行の危険性があるようです。
VCARDインポート(コンタクトリストのインポート)でBOFが発生し、コード実行の危険性があるようです。
最後は、特定のトラフィックパケットで、ヒープのBOFが発生します。これは、Skypeが落ちるようです。
これのExploitコードが公開されていました。UDPの1パケットDoSのようです。
http://online.securityfocus.com/archive/1/414519/30/0/threaded
修正版のSkypeの1.4.0.84が出ています。
朝日新聞 [不正アクセス]
http://www.yomiuri.co.jp/main/news/20051019it15.htm
朝日新聞のサイト広告サイト「キャンパス・アサヒコム」がクラックされたようです。
どんな手法だったのか、詳しく報道されると今後の対策にもなると思うのですが、多分公表しないでしょうね。
DoSをするから金をくれ [不正アクセス]
http://tb.japan.cnet.com/tb.php/20088605
『ハックしたPCは10万台以上--「ボット使い」がオランダで逮捕』
いつも思うのですが、この記事に
『「ボットネット」と呼ばれるコンピュータネットワークを使って、ある米国企業に対して強請(ゆすり)を働いた疑いも持たれている。彼らは内部者から「ボット使い」と呼ばれ、サービス拒否(DoS)攻撃を仕掛けてこの企業のウェブサイトを停止に追い込むと脅したと考えられていると、検察当局は述べている。 』
とありますが、本当にこれに対して管理者、経営者が金を払い込むのか疑問です。
無線LANに気をつけろ2 [不正アクセス]
捕捉
昨日の無線LANタダ乗りの発言は、タダ乗りされると疑われるのがイヤだ、気分的にイヤだという人は、
きちんと対策をしてセキュリティを高めれば良いんじゃないでしょうか。
言いたいことは、自分にとっての危険とは何が危険かを認識して、それに対する対策をするかしないかの意識だということです。
無線LANに気をつけろ1 [不正アクセス]
無線LANのタダ乗り
無線LANのタダ乗りで、自分のマシンの共有とか、脆弱な状態でなければ、ただ乗りさせることの
デメリットって世間で言われているほど、問題じゃないような気がするというのは、まずいのでしょうか?
危険なのは、共有ファイルなどが見れるなどの内側の問題であって、タダ乗りされるだけなら、そんなに問題じゃないですよね。
例えば、踏み台にされてどこかに対して攻撃していても疑われるだけであって、自分の端末じゃなければ訴えられないでしょう。
無線LANのセキュリティに問題あるから過失があるって言われてもおそらく認定されないんじゃないでしょうか?
無線LANのセキュリティ対策をしておかなければならないという義務はありませんし、乗っ取った相手を
探して下さいというだけですよね。
他にも同じようなことがいえることが結構あるかもしれません。
危険なのは、個人情報等が抜かれることで、それがないサーバ等の踏み台って結構関係ないかもしれません。
そこから内部ネットワークに侵入してくると危険なんですが。
ssh-scan [不正アクセス]
sshへのログインを狙った攻撃ツールとして、ssh-scanというのがあります。
中身は、
ユーザ名とパスワードの組合せを一つのファイルにするスクリプト、
sshポートが開いているかどうかをチェックするスキャンツール、
その結果をファイルに書き出し、
それを利用してssh-scanツールで先ほど作成したユーザ名とパスワードファイルを元にsshスキャンを行う。
見事ログインに成功したら、ID:Pass:IPアドレスをファイルに吐き出す。
ログイン成功後は、スキャンするユーザとパスワードの組合せが終了したらセッションを終了する。
設置しているおとりサーバへクラッカーがダウンロードしたのをゲットしています。手に入れたのは、ルーマニア語のツールです。
かなり同じものをクラッカー仲間で使用しているようです。
連絡をいただきましたら、ほしい人に(信頼できる方なら)添付メールでお送りします。
ちなみにメインのスキャンツールはソースではなくLinuxのコンパイル済みバイナリです。
ボットネットの現状 Part I [不正アクセス]
ボットネットの現状 Part I
ハニーポットから色々調査した結果の一部を書きます。
ボットネットはIRCのbotで元はRobotの略のハズです。特定の言葉が発信されたら、特定の言葉を返すなど、自動でチャットの
やり取りを楽しくしてくれる機能です。
ボットネットを構築している輩がIRCを利用していることから、ボットネットと呼ばれていますが、IRC以外の機能を利用している
ものもあるので、それらをまとめてゾンビPCともいうようです。
最近はボットネットという言葉しか見かけなくなりました。
さて、色々な記事を読んで誤解を受けやすいのがこのIRCを利用していることですが、実際にはボットネットとなるPCにはIRCの
Proxy(p*yB*C等)がインストールされています。
つまり以下のような環境です。
[attacker]-->[irc proxy pc]-->[irc server]
目的は二つ
一つ目は、IRCサーバへ接続してアングラな会話をするのに元IPを晒すのは嫌だから経由して匿名化する。いわゆるWeb Proxyと同様。
二つ目は、DDoS攻撃のため。
例えば、以下のような動きをします。
#実際にbotを構築しているスペイン人とマケドニア人に聞きました。
main:fuckin
bot1:MONDAY
bot2:TUESDAY
bot3:WEDNESDAY
bot4:THURSDAY
とあるチャネルでfuckinというNICKが命令を出すと
(fuckin)./say a
(MONDAY)a
(TUESDAY)a
(WEDNESDAY)a
(THURSDAY)a
このように決まったコマンドを送ることで、botネットワークが指令に従う動作を行います。このような動作をさせるツールは上記の
IRCのProxyとは異なるようなので、現在検索中です。
他の目的として、ボットとは関係なく、ゾンビPCとして稼動させて…をします。
さて、DDoS攻撃をして脅迫するなんていう記事も見かけますが、それは架空の話です。実際に自分が管理者ならそのような脅しに
あって実際にネットワークが麻痺しても金銭を振り込むことは有り得ないでしょう。
本当にそのような脅しに乗る管理者あるいは経営者はいるのでしょうか?
#また、時間ができたら次のを書きます。
snort誤検知大量発生ツールを公開中
滋賀県サーバ改ざん [不正アクセス]
http://www.itmedia.co.jp/news/articles/0508/05/news097.html
滋賀県のホームページが改ざん
多分、IRCリレーチャットサーバをインストールする不正アクセス者は中身に興味しない輩が大半です。
私が捕捉した7件の不正アクセスは全てそのような行動でした。
滋賀県だからとかは多分全然関係ないですね。
インシデントレスポンス [不正アクセス]
インシデントレスポンスについての気になった点
私が無知だけかもしれませんので、そんなことは当然の前提となっているのでしたら、下記の記述は
無意味ですのでご了承下さい。
インシデントレスポンスではよく揮発性情報保存のために稼働中のマシンにCD-Rに焼いたコマンドから
netstatやddを実行して保存するなんていわれていると思うのですが、これってその情報だけでは、
そもそも信頼性の面で低いと思います。
というのも、その侵入されたマシンにLKM-rootkitが仕込まれている可能性は否定できないので、
それを証明できない限り揮発性情報の信頼性は低いと思います。
#LKM-rootkitで色々詐称できますよね。
じゃあ、LKM-rootkitが仕込まれているか確認して、仕込まれていなければ、信頼性は高まるか?
そうともいえません。なぜなら、検知できるのは、既知のLKM-rootkitだけですよね。
未知のは現在のウィルス同様確認が必要ですね。
じゃあ、どうするのか。信頼性はゼロなのか。
そうでもありません。冒頭にその情報だけではと書いたのは、他の情報と相まって信頼性が
高まると考えられるからです。
つまり、各拠点にあるログを収集して(侵入されたマシン以外のマシン及びその被侵入組織以外の第三者)、
矛盾がないことを証明すれば、その揮発性情報も信頼性が高まるというわけです。
skypeの秘匿性 [不正アクセス]
skypeの秘匿性について
MACアドレスを変更したノートPCを用いて、ウォードライビングで見付けた他人の脆弱な無線LANあるいは、
フリーで公開しているホットスポット等から接続。
海外の秘匿性の高いプロキシを選択し、ノートPCに入っているパーソナルファイアウォールはそのプロキシ以外との接続は拒否。
そんで、いたずら電話を掛けるための音声を録音し(これはなくてもリアルタイムでも良いかも)、
ボイスチェンジャー等で音声を変換。
具体的には、コンプレッサーで圧縮して抑揚を減らし、フェイザーやフランジャーで周波数を揺らがせる。
そんで、パライコ(パラメトリックイコライザ)でなくグライコ(グラフィックイコライザ)で色んな周波数帯を
ブーストしたり、カットしたり、ピッチシフトで周波数も変化させ、元の音声を分からなくする。
それで、skypeから電話を掛けて、音声を流す、あるいはリアルタイムで音声を変換する。
これで、声紋分析も発信者特定も不可能になって、秘匿性が出るのかなぁ。
#skypeがプロキシ経由で電話が掛けられるかは知りませんが、企業が導入していること
#を考えるとおそらくできるのでしょう。
office氏 有罪 [不正アクセス]
地裁レベルですが、office氏の判決がでましたね。
ACCSの個人情報漏洩事件で、元京大研究員に有罪判決~東京地裁
残念です。
ネット上でのクレジット決済 [不正アクセス]
最近気になっていること。
ネット上でのクレジット決済等が結構当たり前のようになっていますが、例えば、倒産(あるいは閉鎖)した企業の顧客データ情報はどうなっているのか気になりますね。
倒産した企業がネット上で入手した個人情報(含クレジット等情報)をきちんと削除処理をしているとは考えにくいですし、色々と悪用されてしまう危険性をはらんでいる様な気がします。
