無保護無パッチのWindows XP SP1は4分で侵入される 168
パッチはまめに 部門より
sillywalk曰く、"InternetWatchの記事によれば、PCをブロードバンド回線に接続し2週間放置したところ、最短4分で侵入されるという実験結果が紹介されています。USA TODAY紙の依頼で実験を行ったのは、米Avantgarde社とセキュリティコンサルタントのKevin Mitnick氏ら。
実験は(A) Windows Small Business Server 2003, (B) WindowsXP SP1, (C) WindowsXP SP1 with ZoneAlarm 5.1, (D) WindowsXP SP2, (E) Mac OS X 10.3.5, (F) Linspire の6種類を用意し、これをセキュリティ設定がデフォルト状態のままファイアウォールなしの回線に接続。すると4分後にまず(B)が侵入され、(A)も8時間後には侵入されました。
また侵入されなかった場合でも理由は各々異なっていた。まずアタックされた回数の少なかった(F)および(C)は、ICMP pingリクエストを遮断し且つポートを閉じていた。(D)もデフォルト設定でFirewallが機能しており、内向きのトラフィックは全て遮断していた。しかし特異だったのは(E)で、侵入こそ許さなかったがアタックを受けた回数は非常に多く、これはクラッカーがMacを対象としていなかったに過ぎないからでMac向けの攻撃コードを使われたら間違いなく侵入されていただろうとのこと。
こうした実験結果から、Avantgarde社幹部とMitnick氏らは「ファイアウォールアプリケーションを使用することが攻撃を防ぐための最良の方法である」と結論づけています。"
ここでいう「アタック」とは特定のポートに接続し、Exploitコードを送り込もうとすることのようだ。
試しに実験。 (スコア:3, おもしろおかしい)
とりあえず大丈夫っぽいんですがうわなんdjfk##!f@4@
転送が中止されました!
Re:ネタじゃなく (スコア:2, 参考になる)
したのですが、パッチをダウンロードしている間に
ウイルスが混入していました。
ここから得た教訓は、別PCかLinuxブートCDを使って無料のファイアウォールを
落としてくるか、金を出してセキュリティソフトを買ってくる。
その上でパッチ適用ということですね。
まあ、TCP/IPの設定からIPフィルタリングを有効にして
Messengerサービスを停止させてからなら、高速回線ユーザー
であれば安全性は高くなるかもしれません。
自分はNortonを入れてからパッチを当てるようにしたのですが、
侵入検知が突然無効になっており、有効にしようとすると「設定を保存できません。Windowsアカウントの制限がないことを確認してください。」と表示されます。 [goo.ne.jp]
という問題が発生して、一瞬驚きました。
時間の問題かな… (スコア:3, 興味深い)
オブジェクトで各CPU、各OSで発症するウイルスとか、ワームがそろそろ作られてもおかしくないような。
/* Kachou Utumi
I'm Not Rich... */
Re:時間の問題かな… (スコア:1)
既にPEとELFに感染するものは昔からあります。
ICMP を遮断すれば良いという物ではない。 (スコア:3, すばらしい洞察)
ネットワーク管理者へお願い。
アタックされた回数が少なかったのが「ICMP pingリクエストを遮断し」って
一言に反応して、安易に閉じないでね。まあ、個人用のPC程度なら良いのだけ
ど、公開されているサーバで閉じられたり、プロバイダの出入り口で閉じられ
ると困ります。
ところによってはICMP全部閉じたルーターとか有って、それなんかかなり顰蹙
ものです。
RFC2979(2000年)によるとICMPの扱いは (スコア:2, 参考になる)
1) ICMP Echo とEcho Reply
2) 正規の外むきトラフィックに対応していない ICMP Don't Fragment と Fragment Needed
3) ICMP Redirect
個人的には組織のファイアウォールでない、つまり ISP のルータ等では ICMP Echo / Echo Reply には応答してほしいですね。traceroute で見えなくなっちゃうし。まぁ中には TTL すら変化させず完全にステルスになってるルータもあるわけですが。
屍体メモ [windy.cx]
Re:ICMP を遮断すれば良いという物ではない。 (スコア:3, 参考になる)
ICMPによって、到達ホストへの最大MTU長がわからない場合
MTUサイズが違う回線同士で通信する場合にブラックホール現象が
発生し、転送データの消失となる場合があります。
PINGやTRACEROUTE対策なら ICMP ECHO でよかったはず。
高橋名人 (スコア:2, おもしろおかしい)
Re:高橋名人 (スコア:1)
Re:高橋名人 (スコア:1, おもしろおかしい)
えっ (スコア:2, すばらしい洞察)
>> 侵入こそ許さなかったがアタックを受けた回数は非常に多く、
>>これはクラッカーがMacを対象としていなかったに過ぎないからで
>>Mac向けの攻撃コードを使われたら間違いなく侵入されていただろうとのこと
>>ここでいう「アタック」とは特定のポートに接続し、Exploitコードを送り込もうとすること
--
攻撃コードがネットワーク上で流通していない
=脆弱性につけ込まれる確立が低い
=セキュリティが高い
--
では? そしてまた
Macだとわかったらあきらめたor興味を失ったとすれば
MacOSであるということ自体がある種のファイアウォールである
とも言えるのでは?
脆弱性があろうがなかろうが、
「侵入される確立が低い」=「実用面でセキュリティが高い」
が事実では?
もっと分かりやすく言えば、泥棒に入られない為に
窓や壁を強化するという方法と、
そもそも泥棒が少ない地域に引っ越してしまうという方法。
MacOSは後者であると言えるのでは?
玄関あけっぱなしでも泥棒が来ないなら、そのほうが良いのです。
OSX (スコア:1, すばらしい洞察)
Macを擁護するつもりはないが、UNIXベースなのだから侵入の仕方も世間一般のUNIXとそうは変わらないはず。
それでも侵入されなかったのはそれなりにほめるべきなのでは?
それに最初から侵入の対象になっていないなんて、素晴らしいサーバじゃないですか。
Re:OSX (スコア:3, 参考になる)
よって、ApacheやPostfixやSSH等の脆弱性があっても動いていないものは
攻撃に利用出来ない訳なのです。そういう部分は褒められて然るべきでしょう。
Re:OSX (スコア:2, すばらしい洞察)
最近の Linux ディストリビューションを使っていないからでしょう。
Re:OSX (スコア:1)
まあ、そう思って大量に導入したりすると、クラッカーが調べだしてOSX向けのExploitコードが蔓延したりする罠。
OS9 (スコア:2, おもしろおかしい)
もう起動するマシンは売ってないんだった・・・orz
#しかも今どきクラックできる奴がいたら神だな。
Re:OSX (スコア:1, おもしろおかしい)
Re:OSX (スコア:1)
# 大量導入されないから「それなり」で十分とか…
Re:OSX (スコア:1)
アタックの対象をOSの上で動くアプリケーション、例えばApacheやMySQL、SNMPサーバ等とするならばOS非依存の脆弱性も含まれて来ますが、親コメントさんがイメージしてるのはこういうアプリケーションの脆弱性なんでしょうか。そうであれば、「世間一般のUNIXとそうは変わらない」と私も思います。
# けど、今回のレポートはそういう部分が対象ではないでしょうね。
Re:OSX (スコア:2, 参考になる)
今回の実験では、Mac OS Xのファイアウォールは有効にはしていなかったようです。それで、「アタック」を受けた回数が多かったと。でもクライアント版のMac OS Xのデフォルトではほとんどポートが開いていませんので、「(F)および(C)は、……且つポートを閉じていた」ということなら、Mac OS Xについてもこのあたりを評価してもよいのではないかという気もします。
自己暗示 (スコア:1, すばらしい洞察)
なんとなく慢心しそうなもんで。
次は是非... (スコア:1)
結果が出るまで何年かかるかは知りませんが(^^;
Re:次は是非... (スコア:2, おもしろおかしい)
管理者が、ですか?
Re:次は是非... (スコア:1)
だったら、専任のクラッカー張り付かせて。
#ソーシャルハッキングまでふくめると管理者個人の資質への
#依存が大きすぎて統計には成らないでしょうね。
Re:攻撃方法は? (スコア:1)
パッチ当てる前にPCが乗っ取られてしまう。
>ワームで穴の開いてるPCを探してそこから手動で侵入するのかな?
なんか、無作為にIPアドレスを叩いていって返って来るリクエスト
からOSを特定、それに合わせたコードで攻撃を開始、とかいうボット
があるんじゃないかって思ってしまうんですが。
#流石にそこまでアレゲじゃないかな?
-----
スケーター12号〜(┌ ┌ ┌ ´Д`)┘
Re:攻撃方法は? (スコア:2, 参考になる)
昔なんかだとIRIXに穴が多かった(バグもそうだが,何もしないと
デモ用のアカウントが管理者権限で有効になってるとか)んで,
片っ端からIRIXのホストを探して,存在したら各種アタックをかける
ツールとか良く落ちてたり使ってる人とか居ましたね.
もちろんIRIXに限らず各種OS用が出回ってましたので,今でもそういう
ツールパックはあるんじゃないでしょうか.
#ツールパックを統合してOSにあわせたアタックをするようにする
#なんてのも簡単な作業ですし.
仕掛けて仕事や学校やら行って帰ってくるといくつものサーバが
使える状態になってるそうで(苦笑)
そういう人達は,自分ら用のFTPサーバもメールサーバもどっかのを
借りて(ってのもあれですが)使ってましたね.
Re:攻撃方法は? (スコア:1)
人間をScript Kiddyと呼ぶ
#日本語で発音するとスクリプトキティかなぁ…サンリ(ry
Re:攻撃方法は? (スコア:1)
周りでは昔から略してキディとか呼んでましたし.
#いや,多分わかってて書いてるんだとは思いますが.
Re:攻撃方法は? (スコア:1)
全盛期のときはパッチ落としている間に感染したという
報告があった覚えが。
いまでも、apacheログみると結構活動しているから
4分で感染してもおかしくないかと
間違えた (スコア:1)
Re:攻撃方法は? (スコア:1)
この時はYBBでルーター無しの直接モデム接続だったので一発でした。
Re:SP2あてるのが (スコア:1)
NATルーターが陥落しない限りWindowsへの直アタックはされないでしょうし、なにより不注意でパッチの当たっていないWindowsPCをルータ管理下のネットワークに接続しても攻撃にさらされる事がありません。
まぁこの手のソフト&ハードは、導入するだけでなく使いこなしてこそ意味があるので、FireWallソフトいれろとかLinuxいれろとか言う結論はあんまりだなぁと
適切に管理すればどんなOSでも問題無いし、不適当な管理&設定であればどんなハード&ソフトを使っていても意味無いのですから
Re:SP2あてるのが (スコア:2, 興味深い)
適切に管理するためのコストは各々違いますし、適切の基準も場合のよって異なりますので難しいんですが、まぁNATルータないしFirewallの裏に置いた上で SP2 もきっちりあてる程度の事は前提としてやっておくべきかと。出来ればパーソナルFWなりのPC上で動く防御ソフトも欲しいところ。
NATやFWの裏側にいたとしても
PCを持ち出してモバイルでじかに繋ぐ → 感染 → そのPCがLAN内に持ち込まれる → LAN内全滅
なんていうのは割と普通に起こりうるシナリオです。
Re:SP2あてるのが (スコア:2, 参考になる)
>なんていうのは割と普通に起こりうるシナリオです。
個人向けの記事だと思ったのでNATルータ止まりでしたが
会社だとありがちのパターンですね、特に長期休暇とか長期出張開けは要注意です
というか、毎夏休み明けごとに何処かで問題が起きてるようなきがするなぁ~(うちの部署じゃないけど(苦笑))
会社なら...
1.MBSA [microsoft.com]等のパッチ適応状況を確認できるツールで各端末の状況を確認
2.未登録端末が接続されないようにするツールの導入
3.1項で未適応対象者が居た場合は警告
長期保留者はネットワーク登録を2項のツールで切断
くらいはしないと安全に運用できないでしょうね
うちはとりあえずDHCPで登録端末のみ接続可能,固定IP設定は検知次第警告、パッチ未適応も同様に警告&登録削除してますね
無論パッチ適応で動作不良を起こす等の報告のある場合は、対策打って切断はしませんけどね(苦笑)
徹底したおかげで、この頃はパッチ未適応者は激減したなぁ
Re:SP2あてるのが (スコア:2)
これは、NATルータにも当てはまるので、NATルータが最良の方法
とは思えません。SP2のファイアウォール機能は導入するだけで
特別な設定が無くとも動的フィルタと同等の機能を実現できる
ので、Win XPには最適だと思いますね。アプリケーションレベル
のトラッキングまでは出来ないのが難点ですが。
Re:SP2あてるのが (スコア:2, 興味深い)
いやMSのサポートに電話してCD取り寄せるとかすればいいのですが、それまでPCをネットワークに接続できません。
SP2適応済みのPCが有ればいいんですけどね
ダウンロード中に感染とかよく聞くので、SP2よりはNATルーターのが良いでしょう
無論NATルーターとて、接続端末にたいしアタックできるようにも設定できますが、意識的に設定しないと出来ない物と意識しないで接続すると感染してしまう可能性のある物では前者の方が安全です
#ルーターの設定をアタック可能なようにして、その上で感染したのなら自業自得です。
また、SP2未適応orセキュリティホールが新規に見つかったPCをうっかりネットワークに接続してしまった場合でも、ルータの使っている場合は..
1.ルーターがその時点でクラックされている
2.配下端末をアタックするツールが動作しているか、クラッカーがそのルーターを使用中
の2点を満たさないとクラックされないと思いますが、直結の場合は、クッションなしに危険にさらされます。
人間はうっかりするもですから、SP2未適応マシンがまだ販売されている現在では、それを考慮に入れないわけにはいかないでしょう
ルーターもPCと一緒でセキュリティホールもでますし、管理する必要性がありますが、ルーターとPCが双方同時にクラックされる可能性を考えるとWindowsPC単体より別ハード&別環境であるルータに私は軍配を上げます
なお、ルーターもSP2適応PCも適切に管理運用しなければ問題がでる可能性があるのは一緒です。
Re:SP2あてるのが (スコア:1)
ただ、一般的なPCにインストールされたサーバーOSと異なり
不要なサービス機能は排除されているのが普通です。
WAN側からのログインとかは基本的に出来ないでしょう。
無論、排除されてなくてWAN側からログインできたようなルーターも過去ありましたが(苦笑)
Re:SP2あてるのが (スコア:2, 参考になる)
ファームの中身も公開していました
Re:SP2あてるのが (スコア:1)
Re:SP2あてるのが (スコア:1)
--- #660588.orig 2004-12-02 18:47:31.000000000 +0900
+++ #660588 2004-12-02 18:47:27.000000000 +0900
@@ -1,5 +1,5 @@
-i = 4;
+i = 3;
while(1) {
- SP{1}が出たらSP{i}あてて、そして、
+ SP{i}が出たらSP{i+1}あてて、そして、
i++;
}
Re:SP2あてるのが (スコア:1)
# スレッドよごしてごめんなさい
Re:SP2あてるのが (スコア:2, 興味深い)
ということは,OSにムリやりファイアウォール機能を作るよりも,仮想ネットワークのNAT機能の方を作って頂く方が有効なのかも知れないです.
まあ,VMware とかで運用することで,サンドボックスネットワーク上で動かしている,なんてのは珍しくもないわけですけど.
#たまたま私のWindowsはVirtual PCの上:)
みんつ
Re:ファイアウォールってルータの事ですか? (スコア:2, 参考になる)
単にネットワーク用語としてのファイヤウォールだったらば、
それは外部ネットワークからの侵入を防止する仕組みを指します。
この機能を実現するソフトウェアや、ハードウェアをそう呼ぶ場合もあります。
いわゆるブロードバンドルータは、ファイアウォールではありませんが、
中にはそういった機能を持つものもあります。
Re:ファイアウォールってルータの事ですか? (スコア:1)
そこに穴がないならとりあえずは大丈夫でしょう.
#とりあえずなだけで完璧ではありません.
でもそのルータが外部からログオンできるたわけた設定(まあさすがに
最近の機種だとないでしょうけど)になっていたり,セキュリティー
ホールがあってしかもそれを放置していた場合などはこの限りではありま
せんが.
Re:ファイアウォールってルータの事ですか? (スコア:1)
FW:ファイアウォール:壁
GW:ゲートウェイ:門
Re:ファイアウォールってルータの事ですか? (スコア:2, おもしろおかしい)
FW:ファイア・ウィーク:ケツから火が…
GW:ゴールデン・ウィーク:やっぱりケツから火が…
同じ、じゃん。
どちらかと言うと・・・ (スコア:1, 参考になる)
とは言いつつ、ブロードバンドルータには最低限度やっておかないと
いけないフィルタリングがありますので
ブロードバンドルータを使うことによって結果的に
外部からの不正アクセスによる乗っ取られるリスクは減ります。
若干、古めのブロードバンドルータには
ルーティング設定がたこだったり 外部からアノニマスで
ルータの設定が変更できるものも存在していますので
絶対とはいえませんけど・・・・
Re:ファイアウォールってルータの事ですか? (スコア:1)
Re:ファイアウォールってルータの事ですか? (スコア:1)
/*-+/*-+/*-+/*-+/*-+/
Allez! Allez! Allez!
Re:ファイアウォールってルータの事ですか? (スコア:1)