OpenSSHにトロイの木馬 36
ストーリー by yourCat
おいおい誰だよ 部門より
おいおい誰だよ 部門より
bairo 曰く、 "CERTによと、OpenSSHの配布元に置かれたパッケージの内いくつかがトロイの木馬入りのものに置き換えられていた模様 (CA-2002-24 Trojan Horse OpenSSH Distribution)。 対象となるバージョンは以下の3つ。
- openssh-3.4p1.tar.gz
- openssh-3.4.tgz
- openssh-3.2.2p1.tar.gz
既にミラーサイトにも出回っている可能性があるということで、これらのバージョンを使っている人はchecksumを再チェックしましょう。"
jeff2曰く、 "筆者が最初に見つけたのはfreebsd-securityなのだが、元ネタはこちらからのforwardということらしい。
IRCでの会話によると、8/31夕方の時点までは正常なMD5の値のtar ballが置かれていたらしいが、8/1のあるタイミングからトロイの木馬入りのものと置き換わってしまったらしい。OpenSSLのセキュリティホール絡みで、OpenSSHもついでに再コンパイルしよう、なんて思った人は、トロイの木馬入りのソースコードを掴まないように、MD5の値等をしっかりチェックしましょう。
ここのところセキュリティ関連の大物ソフトウェアに脆弱性が立て続けに見つかっていて、システム管理者は寝る暇も無く悲鳴の毎日ですが、がんばりましょう^^;"
OpenSSHからOpenSSH Security Advisory (adv.trojan)も出ている。
電子署名も (スコア:4, 参考になる)
電子署名をチェックした方が良いでしょう。
openssh-3.4p1.tar.gzに対する署名はここ [openbsd.org]。
djm@mindrot.org による署名です。
公開鍵はPGP公開鍵検索 [nic.ad.jp]などで検索できます。
Re:電子署名も (スコア:1, 参考になる)
Re:電子署名も (スコア:0)
> 電子署名をチェックした方が良いでしょう。
じゃなくて
電子署名もチェックした方が良いでしょう。
のつもりでした。
# ぜんぜん違うなこりゃ
せっかく2系統の検証手段があるんだから、両方やった方がより
安全だろうということです。
んでついでにフォローしておくと、電子署名を乗っ取るためには
暗号化された秘密鍵ファイルと秘密鍵を外すパスフレーズを入手
する必要があります。OpenBSDのFTPサーバ内にこれらの情報を置
いているとは考えにくいので、電子署名をすり替えるのはFTPサー
バ内のファイルをただすり替える
Re:電子署名も (スコア:5, 参考になる)
そうとは限りません。crackerは"djm@mindrot.org"を勝手に名乗る秘密鍵・公開鍵の対を作ることができ、それを用いてtrojan horse archiveに署名をつけ、trojan horse archiveとともに置いておくことができます。この勝手な公開鍵も一緒に置いておくのも良いし、さらにどこかの鍵サーバに勝手に登録しておくこともできるでしょう。
というわけで、電子署名を検証する際には、それが本当に「本物の」djm@mindrot.orgの鍵で署名されているかどうか(自分がどこからか入手したdjm@mindrot.orgの公開鍵が、本当にdjm@mindrot.org本人のものなのか)を確認しなくてはいけません。また、djm@mindrot.org自身が信用でき、trojan horse archiveに盲判を押すように電子署名をつけてしまったりせず、本人がその秘密鍵を保存しているディスクや、パスフレーズを入力するマシンに触れる人間が他に無く、それらが常に安全で信頼できる状態にあり、そしてまた、そしてまた、そしてまた、……という確認ができて、はじめて、MD5以上の価値を持つものとなるわけです。
「電子署名」という言葉から、何かMD5より信頼できそうな印象を受けてしまいますが、上のような状況に確認がとれない限りは、それはMD5以上の信用を与えてくれるものではないのだ、ということは忘れてはいけません。(鍵自体が信頼できるかどうか分からない時は、技術的には電子署名はまさにMD5と同等の意味しか持ちません。)
ま、複数のチェックサムなりMD5なりで確認できれば、それなりに信頼できる方向に漸近できるという意味で、元コメントを書いた人は分かって書いていると思いますが。あとでコメントを読んだ不馴れな人が「へぇ、電子署名てので確認できれば安全なんだな」と勘違いしてしまわないように、念のためコメントしておくものです。
日付 (スコア:3, 参考になる)
7/31ですね(^^;
これだけじゃなんなんでITProのこの記事 [nikkeibp.co.jp]だと
7/30-7/31って書いてあります。
重蔵。
Re:日付(自己フォロー (スコア:1)
良く記事みたら米国時間って書いてありますね。
スンマセン
重蔵。
こういうサイトは集中的に狙われるのか (スコア:1)
狙いをつけて勧誘するように、セキュリティ関連の団体サイトも
海千山千なクラッカーに集中して狙われているものなのかな。
--------------------
/* SHADOWFIRE */
Re:こういうサイトは集中的に狙われるのか (スコア:1)
は(太い回線の確保などの諸事情があるのは知っているが)SunOSだが、
ここは頑張ってOpenBSDで運用し、セキュリティの高さを実証して
もらいたいものだ。
Re:こういうサイトは集中的に狙われるのか (スコア:1)
がクラックされるなんて、医者の不養生もいいとこだ。
Re:こういうサイトは集中的に狙われるのか (スコア:0)
Re:こういうサイトは集中的に狙われるのか (スコア:0)
Re:こういうサイトは集中的に狙われるのか (スコア:0)
たしかに「ベースインストール」では入らないけどさぁ。
なんというか、全米ナンバーワンって宣伝している映画と同じような胡散臭さを感じる。
Re:こういうサイトは集中的に狙われるのか (スコア:0)
「アップされていたデータが不正に改竄されていただけで、
OpenSSHのコードにバグが含まれていたわけではない」
ってなことかと・・・
あまり変わらんか。
Re:こういうサイトは集中的に狙われるのか (スコア:0)
>「アップされていたデータが不正に改竄されていただけで、
> OpenSSHのコードにバグが含まれていたわけではない」
言われてみればその通りやね。
過剰反応すまそ。
クラックの理由 (スコア:1, 興味深い)
侵入できるほどのスキルの技術者が、逮捕された際の
リスクを省みずクラックを実行に移した理由はなんだ
ったのだろうか。ただの興味本位?オープンソース攻撃?
それとも?
Re:クラックの理由 (スコア:3, 参考になる)
つまりは、パケットを暗号化してLoginするソフトを使ってLoginした人の情報とかを窃 取出来れば、色々な情報が入りますので…例えば、秘密鍵やメールなどの情報は情 報をあつめたいCrackerにとって非常においしいブツになります。
これらの個人情報を使う事で、私信の盗聴に留まらず、なりすましや「安全な」踏台作 りやアタックや人間関係の破壊などが非常に楽になりますからね…Source IP詐称攻撃と、木馬で入手した情 報を使ったなりすましを一緒に使うだけでも、これらの悪事を姿を隠して行える。
私はCracker的な事はやった事がないので外しているかも知れませんが、素人がちょっ と考えてみただけでも、これだけの事をやれる可能性が出来る事になる。謂わんやその 筋のエキスパートにおいては…
Re:クラックの理由 (スコア:0)
なんでもっとベスト(ワーストともいう)タイミングを選んでないの?
そういう目的のクラッカーがいてもおかしくないですが、
とりあえず今回
Re:クラックの理由 (スコア:0)
# 腹減ったのでAC
どんな方法でやられたの? (スコア:1)
ftp.openbsd.org がやられたのは、なんか既存のセキュリティーホールを狙われたんでしょうか?もし、そうだったら対策できるからいいんですけど、まだほとんど知られていなくて、しかも塞がれてない穴を狙われたんだったらと思うと、とても怖いです。
誰かクラックされた方法について情報持ってません?
Re:どんな方法でやられたの? (スコア:2, 参考になる)
http://www.jpcert.or.jp/tr/cert_advisories/CA-99-01.txt
http://www.cert.org/advisories/CA-1999-01.html
こういうのを確認するうまい方法ってないもんですかね。配布サイトにMD5の値が書いてあってもそれが改ざんされていたら元もこもないし…。
Re:どんな方法でやられたの? (スコア:0)
# 秘密鍵を盗まれたり、公開鍵を改ざんされない限り安全
Re:どんな方法でやられたの? (スコア:1)
#138279のリンク先より引用 ダウンロードした人間が署名がないことに疑問を持たなければどうしようもないですな。
それともアーカイブを丸ごと秘密鍵暗号化しろと?正気ですか?
うじゃうじゃ
Re:どんな方法でやられたの? (スコア:1)
も選択肢の中にはいるかもしれませんね。
もちろん「誰が」「なんのために」という点からすれば
そんなことがあるとは思えない(思いたくない)ので
すが、サイトの人間を抱き込んでor脅迫して、ファイル
を入れ替えさせる、というのがクラックするより簡単な
こともありますから。
---- sinbo
BugTraqで流れてるものによると (スコア:1)
7/30-7/31のいずれかの時点で、トロイの木馬が仕込まれた OpenSSHがftpサイトに置かれたようです。
8/1 7AM(MDT)の時点でオリジナルのものに置き直したそうです。
ここからは、私の想像。
しかし、ミラーサイトにはオリジナルがまだ行き渡っていない可能性があります。(いつものことですが、)md5sumを忘れずチェックしましょう。(^^
Re:BugTraqで流れてるものによると (スコア:1, 参考になる)
ports on FreeBSD (スコア:0)
# ちょとビビっているので AC
Re:ports on FreeBSD (スコア:2, 参考になる)
ただし、ソースが改竄されていることにportsの作成者が気づかず、改竄されたソースをもとにportsを作ってしまったらアウトですね。
-------- tear straight across --------
Re:ports on FreeBSD (スコア:1, すばらしい洞察)
今の所は何も分からない。
# 雷が来そうなんでAC
Re:ports on FreeBSD (スコア:0)
Re:ports on FreeBSD (スコア:0)
OpenSSH_3.4p1 FreeBSD-20020702, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
ってモロ・・だけど
myhost# uname -a
FreeBSD myhost 4.6-STABLE FreeBSD 4.6-STABLE #0: Mon Jul 29 09:52:04 JST 2002 root@myhost:/usr/obj/usr/src/sys/GENERIC i386
よかったぁ・・
Re:ports on FreeBSD (スコア:0)
陰謀説 (スコア:0)
アーカイブを置いた、というのは穿ち過ぎでしょうか。
失礼すぎるか。
Re:陰謀説 (スコア:1)
ため、弊社の製品はわざとセキュリティレベルを落としてきた。
かなり意識改革が進んだので、今後は通常のセキュリティレベル
の製品を出荷するよう方針転換した」なんて言い訳しちゃうよ。
Re:陰謀説 (スコア:0)
実際にできるのであれば、これ以上望ましいことはないですが :-)
Re:陰謀説 (スコア:0)
という陰謀があるのかも!
Re:陰謀説 (スコア:0)
もしその陰謀が真だったうえで今回の事件が起きたなら、オープンソース自体が信頼するに足りない。