アカウント名:
パスワード:
なんというか、他人事と考えるには怖かったのでたとえば職場を思い浮かべながら、攻撃されうるポイントを考えてみた。
たとえば、(まだ本格運用はしてないが) ChefServer が攻撃された場合容易にマルウェアをしこんだサーバーが大量発生できるなぁとか。そもそも、apt, yum などパッケージ管理システムなんかもDNSキャッシュポイゾニングで汚染されたパッケージをインストールする可能性もあるんじゃないのとか。vagrant なんかも拾ったboxは危険性があるので、veewee使うか、完全にboxを自前で作成するかはした方が良さそうだなとか。社外向けサービス、社内向けサービス、開発環境その他が、これによって汚染されうる。
今回の攻撃事例同様に、アンチウィルスやソフトウェアの構成管理、WUS なんかも当然攻撃されうるだろうから、十分に注意が必要だろうし。
github:Enterprise などのソースコードリポジトリなんかも攻撃されたりすると、gitリポジトリが何らかの形で汚染されうるのではないか?壊されるだけならば別のリポジトリでバックアップを取っておくとかの対策でなんとかなるかもしれないが。Github社のサポートしっかりしてるみたいだから、セキュリティ的には安全性が高い事を期待したいが…。
グループウェアなんかも何らかの攻撃手段はあるかもしれない。
他は何があるだろうなぁ…。
apt/yumは署名検証があります。パッケージ作成側を乗っ取られれば、当然ヤバいですが。gitはタグに署名を付けておきましょう。
ウィルス対策に攻撃されることは、まぁあるでしょうね。Symantec Web Gateway 5.0.2 Remote LFI Root Exploithttp://www.exploit-db.com/exploits/18932 [exploit-db.com]McAfee LinuxShield <= 1.5.1 Local/Remote Root Code Executionhttp://www.exploit-db.com/exploits/14818 [exploit-db.com]
WUSがWSUSの事なら、個々が電子署名されてるので検証で引っかかるような気がする。aptとかもそもそもSSLで繋ぐとか落とした後もパッケージの電子署名の検証とかもやってたりしますね。アンチウィルス系も昔の物は署名のチェックが甘くてMITMを許したのもあったけど今なら大丈夫だと思いたい。
Windows系でAD環境を構築してれば、グループポリシーでスタートアップスクリプトの配布が超簡単に出来るので要注意なのかな。まぁ、そんなサーバーは管理が強固だから管理が甘い奴を狙ったのかもしれませんが。
# 自分が最近作った奴は電子署名つけてます。全くの気休めですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
他人事じゃないだろうなぁ (スコア:1)
なんというか、他人事と考えるには怖かったのでたとえば職場を思い浮かべながら、攻撃されうるポイントを考えてみた。
たとえば、(まだ本格運用はしてないが) ChefServer が攻撃された場合容易にマルウェアをしこんだサーバーが大量発生できるなぁとか。そもそも、apt, yum などパッケージ管理システムなんかもDNSキャッシュポイゾニングで汚染されたパッケージをインストールする可能性もあるんじゃないのとか。vagrant なんかも拾ったboxは危険性があるので、veewee使うか、完全にboxを自前で作成するかはした方が良さそうだなとか。社外向けサービス、社内向けサービス、開発環境その他が、これによって汚染されうる。
今回の攻撃事例同様に、アンチウィルスやソフトウェアの構成管理、WUS なんかも当然攻撃されうるだろうから、十分に注意が必要だろうし。
github:Enterprise などのソースコードリポジトリなんかも攻撃されたりすると、gitリポジトリが何らかの形で汚染されうるのではないか?壊されるだけならば別のリポジトリでバックアップを取っておくとかの対策でなんとかなるかもしれないが。Github社のサポートしっかりしてるみたいだから、セキュリティ的には安全性が高い事を期待したいが…。
グループウェアなんかも何らかの攻撃手段はあるかもしれない。
他は何があるだろうなぁ…。
Re:他人事じゃないだろうなぁ (スコア:1)
apt/yumは署名検証があります。パッケージ作成側を乗っ取られれば、当然ヤバいですが。
gitはタグに署名を付けておきましょう。
ウィルス対策に攻撃されることは、まぁあるでしょうね。
Symantec Web Gateway 5.0.2 Remote LFI Root Exploit
http://www.exploit-db.com/exploits/18932 [exploit-db.com]
McAfee LinuxShield <= 1.5.1 Local/Remote Root Code Execution
http://www.exploit-db.com/exploits/14818 [exploit-db.com]
Re:他人事じゃないだろうなぁ (スコア:1)
WUSがWSUSの事なら、個々が電子署名されてるので検証で引っかかるような気がする。
aptとかもそもそもSSLで繋ぐとか落とした後もパッケージの電子署名の検証とかもやってたりしますね。
アンチウィルス系も昔の物は署名のチェックが甘くてMITMを許したのもあったけど今なら大丈夫だと思いたい。
Windows系でAD環境を構築してれば、グループポリシーでスタートアップスクリプトの配布が超簡単に出来るので要注意なのかな。
まぁ、そんなサーバーは管理が強固だから管理が甘い奴を狙ったのかもしれませんが。
# 自分が最近作った奴は電子署名つけてます。全くの気休めですが。