  |
はてなキーワード: JPCERT/CCとは
http://jvn.jp/jp/JVN81094176/index.html Android OS がオープンリゾルバとして機能してしまう問題
ってやつね。
報告者の森下さんが「とある方から私個人宛で報告をいただき」と言っているので、その「とある」人として少し背景を書いてみようと思う。
https://twitter.com/OrangeMorishita/status/581314325853306882
発見のタイミングは、Android 4.2 のソースコードが出て少しして、ぐらい。この時点では、Android全てが修正されていなかった。当時、 CVE-2012-3411 (dnsmasq が libvirt の特定の config で使うときにオープリゾルバとなる) が発表されていて、これと同じ問題があるのでは、と調べた結果だった。Android のテザリングは、framework の指示を netd という daemon が受け取りネットワークの設定を変更して実現されている。で、テザリングのクライアントにDHCPでプライベートアドレスを配りDNSのリゾルバを提供するために、必要に応じて netd から dnsmasq が起動される。
そのころ、Android端末の製品開発で、スケジュールに珍しく余裕があり、わりと好き勝手できる状況だったので、AOSPのソースコードを精査していた。
いくつか、セキュリティ問題をみつけて、ものによって単に修正、修正と並行して Google に会社から報告、あるいは単に Google に会社から報告、ぐらいの対応をした。
この問題は、Google に報告だけ、の対応をとった。なぜかといえば、 次のような事情があった。
で、この報告の結果なのか、他の報告もあったのか分からないが、Android 4.3 のリリースに修正が含まれていた。もっとも、国内のほとんどのスマートフォン端末は Android 4.3 はスキップした。森下さんへの個人的な連絡の最初は、Android 4.3 発表より前。
正直、この問題のリスクは、端末ベンダ、および端末ユーザにとっては相当に低いものに見えた。3GやLTEの国内キャリアで、外から端末へ DNS query を許すところはほとんどないだろう、というのは直感的には思っていた(これが間違っている場合は、影響がケタ違いに大きくなるところだった。上流も下流も Wifi という構成のテザリングをAndroidは持っていないので、上流を Wifi と仮定すると、残るのは USB と Bluetooth だけになる) 。NAT される場合ならなおさら。
ただ、ネットワークインフラにとってのDDoSというのは、個々にとってはリスクが低くても、それが何百万台、何千万台とあれば影響が出てくるんじゃないか、という気もした。ちょうどそのころ、森下さんが DNS リフレクション攻撃に関してベンダ等への啓発を始めていたのが目に留まったので、森下さんに連絡してみた。脆弱性対応としてハンドリングするのがIPA や JPCERT/CC になるとしても、ネットワークインフラへの影響ということであれば、表に出ない話も扱える方が報告したほうが適切だと思った。私は原理的には分かってもネットワーク運用に関しては業界の外にいるからね。
事情は知らないけど。
ひとつの可能性としては、「対応未定」の端末、おそらくは対応しないことになるのだろうけど、それらの現役感がなくなってきたからじゃないかな。Android 4.2系が端末のラインナップとして長生きしすぎたせいで、けっこうOSバージョンアップではなくセキュリティ修正としての対応をする製品が多くなったのかなぁ、という気もするけど。
もうひとつの可能性としては、当初よりもインフラへのリスクが上がっているのかもしれない。Android 4.2系の端末で修正リリースが去年の秋とか、これからの近未来とかのが多い、という状況からするとね…。
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関する調査の経過を報告します
http://bookmark.hatenastaff.com/entry/2014/11/06/101514
で、下記やったけど不明でした。という報告だ。
なのに、この下の段落を入れることで、まるで最近話題のDNSハイジャックでした。みたいな空気にしてる。
一連の調査結果より、JPCERT/CCと日本レジストリサービス(JPRS)は11月5日付で、国内組織が使用する .com ドメイン名の登録情報が不正に書き換えられるドメイン名ハイジャックに関する注意喚起を発表しました。
http://bookmark.hatenastaff.com/entry/2014/11/06/101514
これなら、天下の日経新聞と同じじゃしょうがないと、情強気どってるブクマカをだませる
http://www.nikkei.com/article/DGXLASDZ05H3S_V01C14A1000000/
はてなの件は、DNSハイジャックとは異なる可能性が高い。現在も進行中だ!
はてなの件は、DNSハイジャックとは異なる可能性が高い。現在も進行中だ!
DNSハイジャック被害を受けた日経新聞のセーフブラウジング診断
http://www.google.com/safebrowsing/diagnostic?site=www.nikkei.com
このサイトで過去 90 日間に Google がテストした 19027 ページのうち 0 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-05 で、過去 90 日間にこのサイトで不審なコンテンツは検出されていません。
このサイトは 3 個のネットワーク(AS9593 (NIKKEI), AS15169 (GOOGLE), AS13414 (TWITTER-NETWORK) など)でホストされていたことが判明しました。
Google が最後にこのサイトを巡回したのは 2014-11-05 で、過去 90 日間にこのサイトで不審なコンテンツは検出されていません。
http://www.google.com/safebrowsing/diagnostic?site=st-hatena.com
このサイトで過去 90 日間に Google がテストした 2533 ページのうち 122 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-05 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-05 です。
不正なソフトウェアには 110 scripting exploit(s), 19 exploit(s), 6 trojan(s) などがあります。感染先のコンピュータで平均 3 個のプロセスが新たに発生しています。
不正なソフトウェアは 40 個のドメイン(fn84.fr/, wkdjfgka.ddns.me.uk/, javaterm.com/ など)でホストされています。
15 個のドメイン(muramoto.net/, meomore.com/, fn84.fr/ など)がこのサイトの訪問ユーザーに不正なソフトウェアを配布する媒体となっていたようです。
このサイトは 29 個のネットワーク(AS9370 (SAKURA-B), AS701 (UUNET), AS209 (QWEST) など)でホストされていたことが判明しました。
st-hatena.com は、過去 90 日間に 59 個のサイト(vip2ch.com/, blog.goo.ne.jp/nakazato-hitoshi/, netouyomilitary.com/ など)への感染媒体となっていた形跡があります。
Google が最後にこのサイトを巡回したのは 2014-11-05 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-05 です。
まったく、違うでしょ。
Google が最後にこのサイトを巡回したのは 2014-11-05 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-05 です。
とあるクローズドで期間限定なサイトで、会員にルート証明書のインストールをさせているんだが、これが見事にオレオレ証明書だった。
インストール時にセキュリティの警告が出ても無視して下さいときたもんだ。
運用事務局に連絡しても暖簾に腕押し、ヌカに釘状態。
こういう場合、一体どうしたらいいんだろうか?
JPCERT/CCに連絡したら「個別システムの運用ポリシーには対応しません」だって…。
このサイト、少なくとも3100人位参加してる筈なんだけどね…。
産総研も受け付けてくれないだろうしなぁ。
でも、個人に情報流して「情報漏洩だ」とか「営業妨害だ」とか言われたらたまらんし…。
気づいた自分だけ守れれば、見知らぬ3000人は見捨てるべきなんだろうか?
http://b.hatena.ne.jp/entry/http://d.hatena.ne.jp/Rockridge/20090504/1241415765
http://b.hatena.ne.jp/HiromitsuTakagi/20090505#bookmark-13284789
HiromitsuTakagi セキュリティ, 事件, Firefox, NoScript うわ、最悪。NoScriptはどうも嫌な感じがすると前から思ってたが、作者が信用ならないことが明るみに出た。こんなのを一般の人に推奨するJPCERT/CCとかおかしいだろと前から思ってる。(US CERTも推奨しているが。) 2009/05/05
http://b.hatena.ne.jp/entry/http://www.jumperz.net/texts/csrf.htm
http://b.hatena.ne.jp/HiromitsuTakagi/20090527#bookmark-1662791
HiromitsuTakagi セキュリティ, ニセ脆弱性, CSRF, 金床問題, bad ↓今もたくさん読まれているようだけど、根拠レスだらけの有害記事なので注意。当時沢山の指摘があったのにいまだに訂正していないのね。http://slashdot.jp/developers/comments.pl?threshold=-1&mode=thread&commentsort=0&sid=309361 2009/05/27
昔からそうなのかは検証してないが、後出しジャンケンで「俺は前から全く信用できないクソだってことを知ってたんだけどね(キリッ」と言ってくる芸風が目立ちつつあるな。
