アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
噂の真相
日本 Windows NT ユーザ会 (JWNTUG)
Event Planning Working Group
小島 肇
今日のおはなし
■噂 1: Linux は Windows よりも安全だ
■噂 2: Apache は IIS よりも安全だ
■噂 3: Netscape / Mozilla, Opera は IE より
も安全だ
■噂 4: Microsoft はセキュリティ fix が遅いし
セキュリティ情報も開示しない
■ まとめにならないまとめ
念のため
■このプレゼンテーションは、JWNTUG を代
表するものでも、JWNTUG の総意でもあり
ません。あくまで小島個人の意見に基づく
ものです。
■このプレゼンテーションから得た情報は、
あくまで at your own risk でご活用ください。
噂 1:
Linux は Windows よりも安全だ
実態事例 (1)
■Eiji James Yoshida 氏がまとめられている「改ざん
されたサイトの Open Port (TCP) ランキング
(2002.05.01-31) 」 [*] より
ОS 件数(/1111)
────────────────────
Linux 316
Linux を除いた UNIX 系 314
その他 (不明含む) 303
[*] http://www.geocities.co.jp/SiliconValley/1667/index.htm
実態事例 (2)
■SecurityFocus.com の 2002 Q1 TOP 10 attacks [*]
1.Code Red - MS Indexing Server/Indexing Services ISAPI Buffer Overflow Attack
2.Nimda - Microsoft IIS 4.0/5.0 Extended UNICODE Directory Traversal Attack
3.Matt Wright Formmail Attack
4.WU-FTPD File Globbing Heap Corruption Attack
5.SSH CRC32 Compenation Detection Attack
6.Generic CDE dtspcd Buffer Overflow Attack
7.Generic System V Derived Login Buffer Overflow Attack
8.Generic SNMP PROTOS Test Suite Attacks
9.Shaft DDoS Client To Handler Attack
10.PHP Post File Upload Buffer Overflow Attack
[*] http://www.securityfocus.com/corporate/research/top10attacks_q1_2002.shtml
Re:第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
■2002.01.01~2002.06.10 のセキュリティ fix の数
OS / ベンダー patch 数
────────────────────
Microsoft 26
RedHat Linux 7.2 46
Debian GNU/Linux 35
Sun 6
FreeBSD 27
注意! 上記の数字は一概に比較できない:累積的 patch の
存在、セキュリティアナウンスが不十分なベンダー (Sun) 等
真相: Linux だから安全、
ではない
■どんな OS であっても、日々発見される security
hole を随時 fix していく必要がある
-B レベルの "Trusted OS" にすら security hole はある
■不要なソフトウェアはインストールしない、不要な
サービスは起動しない
-インストールしなければ fix も必要ない
■ファイアウォール等による防衛は有効
-ただし限界もある
-web サーバ、web ブラウザ…
類似の噂: Open Source なら
Closed Source より安全だ
■「多くの目がある」神話
-絶対数
-商売 nOpen Source なら安全、ではない
-Open Source ならベンダーに依存せずに安全性を確認できる
-Open Source ならベンダーに依存せずに fix できる
-自分自身 and/or コミュニティの力
-Use the source, Luke!
噂 2:
Apache は IIS よりも安全だ
実態事例
■続々と発見される IIS の弱点
-MS00-078/086/01-026: UNICODE BUG
-MS01-023: IPP ISAPI buffer overflow
-MS01-033: Index server buffer overflow
-MS01-035: FrontPage Server Extensions buffer overflow
-MS01-044: cumulative patch (SSI buffer overflow 等)
-MS02-018: cumulative patch (ASP chunk encoding /
HTTP header / SSI / .HTR buffer overflow, CSS 等)
■いずれも危険性が高い
Web開発者の声
- JWNTUG アンケートから -
IIS
信頼性 :1.2
セキュリティー:0.9
作業行程 :4
アプリの対応 :3
開発工数 :2.2
Apache
信頼性 :2.9
セキュリティー:2
作業行程 :2
アプリの対応 :1.4
開発工数 :1.8
注)グラフチャートを目分量で変換(4点満点かと)
IIS
*信頼性がある 7%
*セキュリティがある 2%
*管理が容易 34%
*アプリの対応 26%
*開発が容易 18%
Apache
*信頼性がある 22%
*セキュリティがある 13%
*管理が容易 14%
*アプリの対応 7%
*開発が容易 12%
管理・開発が容易な IIS vs. 信頼性・セキュリティの高い apache という意識
Re:第一回STPPセキュリティー対策セミナー (スコア:4, 参考になる)
■何度か重要な修正が行われている
-1.3.12: クロスサイトスクリプティング脆弱性の fix
-1.3.14: 大規模な virtual hosting サイトにおいて Host:
ヘッダ処理に問題があり攻撃者が任意のファイルに
アクセス可能、CGI ソースの漏洩
-1.3.22: 特殊な Host: ヘッダにより任意の .log ファイルを上書き可能
■古い Apache を動かしている hosting 業者は多い
-1.3.13 以前は特に危険 nWin32 版にはさらに、致命的なものも含む、さまざまな弱点が
-1.3.24: Win32 Apache Remote comman execution
Apache は bug free ではない (続)
■よく使われる 3rd party モジュール
-PHP
≫PHP 4 .htaccess attribute transfer vuln. (bid 2206)
≫PHP 4 engine disable source viewing vuln. (bid 2205)
≫PHP post file upload buffer overflow (bid 4183)
-WebDAV
≫mod_encoding (20011026a, 20011211a)
-mod_ssl
≫buffer overflow (bid 4189)
-Apache tomcat
≫クロスサイトスクリプティング脆弱性 (bid 2982)
web application の弱点
■web サーバに依存しない
-SSI, CGI, ASP, JSP, PHP, ColdFusion, …
■情報漏洩
-特定ファイルを get するだけで漏洩するパターン多し
■なりすまし
-安易な「認証」
-cookie の漏洩→セッションハイジャック
■クロスサイトスクリプティング脆弱性
-cookie の漏洩→セッションハイジャック
-サイトの (virtual な?!) 改ざん
真相: IIS は確かにアレゲだが Apache で安心してはいけない
■IIS もきちんと設定すれば Apache 並にはできる
-file/directory パーミッションを修正
-不要なサンプルを削除 -不要な ISAPI を削除
-IIS Lockdown, URLScan, guard 3 による防衛
-patch は速やかに適用
■セキュリティ情報を注視し、適切に対応する必要があるのは IIS も Apache も同じ
-IIS 6 で少しは楽になるといいな (^^;;)
噂 3:
Netscape / Mozilla, Opera は IE
よりも安全だ
実態事例
■続々と発見される IE の弱点。
-今年だけでも MS02-005 / 008 / 009 / 013 / 015 / 022 / 023
≫多くが累積的 patch なので、実数は遥かに多い
≫厳密には、MS02-022 は MSN チャットコントロールの問題だ
し、02-013 は Java VM の問題だが、ユーザからは IE の問
題に見える
-まだ patch が発表されていない弱点も散見
≫ローカル HTML リソースのクロスサイトスクリプティング脆弱
性 (MS02-023 未 fix 分)
≫gopher:// buffer overflow (bid 4930)
≫ftp:// クロスサイトスクリプティング脆弱性 (bid 4954)
≫patch が出るころにはさらなる弱点が…
■正直言ってこの多さはシャレにならない。
Re:第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
安心なのか?
■IE ほどではないがセキュリティホールが発見されている。
-Netscape 6.1~6.2.2 / mozilla 0.9.7~1.0RC1 でローカルファイル漏洩
-Opera 6.01 以前で cookie / ローカルファイル漏洩
-Opera 6.01, 6.02 で任意のローカルファイルが漏洩
■Opera はセキュリティ情報が公開されない!
-どんな問題があったのか、また本当に fix されたのか
がベンダー情報からはわからない
-日本語版配布元が独自にセキュリティ情報を発信中
■Netscape は日本語情報が維持されていない
-英語情報はそれなり
現状の IE は、bug だけでなく…
■危険なデフォルト値 -スクリプトからクリップボードを操作できてしまう
-MIME Content-Type: を無視する
≫Content-Type: text/plain な文書によるクロスサイトスクリプ
ティング脆弱性
≫fusianasan アタック (.gif による攻撃)
≫ユーザが挙動を変えられない→Opera は選択できる
-セキュリティゾーンのデフォルト設定
≫少しずつ安全側に来ているが…
■アクティブスクリプトを無効にすれば多くの場合弱点を回避できるが…
-microsoft.com 自身すらきちんと 操作できない (苦笑)
真相: 現状ではそのとおりだが Netscape, Opera にも注意
■インターネット = WWW 時代に IE の現状は許容できない
■メインが Netscape / Opera でサブブラウザが IE?
-セキュリティ情報には注意。特に Opera はベンダー情
報が信用できないため、初心者に勧めていいのか疑
問。Netscape も日本語情報は心もとない。
-IE コンポーネントを利用する 3rd party ブラウザは?
■今こそ「web ブラウザは OS の一部です」の実現を! (半分本気)
-OS 並の安定性・安全性が必要
-意図しない停止 (ブラウザクラッシャー等) も許容できない
噂 4:
Microsoft はセキュリティ fix が遅いしセキュリティ情報も開示しない
実態事例
■ftp:// クロスサイトスクリプティング脆弱性 (bid 4954)
-IE 詳細設定「FTP サイト用のフォルダビューを使用する」
-Explorer フォルダオプション「フォルダで web コンテンツを使う」
-上記 2 つが同時に有効な場合 (デフォルトで有効) に ftp:// URL
でクロスサイトスクリプティング脆弱性が発生、
マイコンピュータ権限でスクリプトが実行されてしまう
■半年も前に連絡したにもかかわらず、いまだに「調査中」だという
ある程度時間がかかるのは
仕方がない (らしい)
■なにしろシェアが違いすぎ
-ちょっとでも互換性がなくなればたちまち大顰蹙
-数多くの OS 種類、PC98x1 版、各国語版
-本当にいろいろな使われ方をしている
■ストレステストの実施
-48h
■とはいえ半年棚ざらしはないだろう…
-IE 関連は、たいていは 1.5~2 か月くらいで fix できているようだ
-OS だと 3~4 か月?
ときどき発生する変な対応
■事例: LAC 発見の「Content-Disposition 脆弱性の新しい変種」
-Microsoft からの修正がなかなか出ないので LAC が問題の存在を公開
http://www.lac.co.jp/security/intelligence/SNSAdvisory/48.html
-Microsoft は 3rd party software の問題であると反論
http://www.microsoft.com/technet/security/topics/snsrprt.asp
-ところがこの文書は唐突に Microsoft TechNet Security ページから
link されなくなってしまう。この際何の説明もない。
-MS02-023 で fix された
Microsoft の情報提供
■情報提供は最高水準
-web page での日本語情報提供 (時差ほとんどなし)
-mail での日本語情報提供 (時差ほとんどなし)
-肝心の情報が隠蔽されているきらいはあるが…
≫書いたら書いたで「わからない」と言われる (らしい)
≫どこまで公開するのか?
≫CVE (脆弱性情報データベース) 対応
■セキュリティ問題の対応窓口
-日本語で e-mail できない; secure@microsoft.com
-無料電話あるが時間が限られ (平日のみ 9:30-12:00 13:00-19:00「昼休みあり」)<修正済み
≫説明が CodeRed / Nimda 時代のまま
-MSKK セキュリティ担当自体は 24h 対応しているようだが…
情報公開についての
いくつかのことがら
■脅威度判定は自分で行うしかない
-Microsoft が示すのはあくまで目安
-その目安も少しずつ変化している
≫きつ目に変化 (歓迎すべき)
■OEM ベンダーからの情報も watch
参考になります (スコア:1)
# mishimaは本田透先生を熱烈に応援しています
Re:第一回STPPセキュリティー対策セミナー (スコア:1)