セキュリティ

終日参加。

明日の別イベントとあわせて、話題は矢張り標的型攻撃。人が防ぐというには限界がある(というか、限界になるまで試してくる)ので、あとは人の介在なく防ぐか、発見するか悪影響を防衛するか。そこに色々な考えかたが出てくる。

うちの会社は…まあ部署ごとに微妙にカバー範囲に応じて結論は違うんだろうな。

JVN#50227837: 東方緋想天におけるサービス運用妨害 (DoS) の脆弱性

JVNに似合わない名前をみつけた。ベンダ補足ではなく、珍しくJPCERT/CCからの補足情報があるということは、ハンドリングしている人もしっかりどのような製品かを認識していたのだろうか。

よく考えれば、パートナーシップにおける製品の脆弱性関連情報の取り扱いは、フリーソフトウェアだろうが、旧来のOLS/FSW/PDSだろうが関係はない。そして、ネットワーク越しに攻撃可能ならば、なるほどゲームでも含まれる。ならば、それが同人ゲームであろうとも、サイトをかまえ、パッチを配布でき、製作者が明確ならば何の問題もない。

というものの、普通の製品が並ぶ中で東方の名前を見ることになろうとは…。東方シリーズは二次創作のガイドラインがあるから良いが、市販データ流用とか違法性がありそうな製品の届出がきたら、関係諸氏が延々困るんだろうなあ、きっと。

はてなの脱「自作サーバー」宣言から「さくらのクラウド」の未来まで　はてな×さくら座談会2011夏 – はてなブックマークニュース

自作サーバの自主運用で有名だったはてなが、さくらのクラウドでの業務委託に切り替えたとの事。安価に入手できる、用途にあわせつつ適応で組める、といった自作のメリットがクラウドで享受できるようになってきたからなのだろう。サーバ機器のおもりをするにしても、昨今は節電もあれば人件費も相対的に高くなるし、結局のところ運用費用がかかるということだ。

個人ではどうかと言うと、私は以下の点をクリアできれば自宅サーバをクラウドに移しても良いと考えている。なお、価格優位性とか保守体制とか会社の信頼度とか安定度とか、あたりまえの話は省略。

まずは可用性ということで「データが引き揚げられること」。データをベンダロックインされるのではなく、適当な単位で手元にバックアップしておきたい。Amazonなど世界各国で分散すれば1箇所落ちても大丈夫、などというのもあるが、古い人間なのでデータは手元に届くようにしておきたいし、手元が壊れてもリモートがあるという状態にしておきたい。

つぎにいささか職業病的だが「機密性が約款で担保されていること」。元々通信事業者には縛りがかかっているが、クラウドサービスの場合どこまで適用されるのかがいまいちわかりにくい。そのため、オペレータが中身を覗けません、安いからといってマーケティングに利用されません、という保証が欲しい。その分、いざとなったら約款の壁でデータが取りだせませんよとなってもＯＫ。そのための可用性条項だ。

最後に、できれば身元確認を取るサービスであること。クラウドによるサービスの利点は支払いさえあればすぐに取れるような利便性にあることは承知しているが、住所を同定する必要があるISPサービスとの連携、あるいはクレジットカードでも良いので身元や信用の確認を行った上で利用可能なサービスである方が、Pinboardのように◯◯な方々避けとしては望ましい。

実際に移すとしたら、まずはウェブとDNSまわりで様子見して、最後にやっとメールサーバという事になるだろう。IPv6が自宅までなかなかきちんと届かないので、クラウドで試せるならば色々やってはみたい。Vyatta等も気になる。

そして、ここまで書いてやっと気がついたが、どっちみち家庭内でファイルサーバとか動かすと大して消費電力がかわないのではないだろうか。せいぜいISPを移動しやすくなる程度? …まあ気にしない気にしない。

夕方から雷雨なので外出できず、Instapaperで溜めているものを消化する。

長いので後まわしにしていた日本文化チャンネル桜のインタビュー。そういうチャンネルで、警察庁の標的型攻撃のニュースとあわせて見るとなかなか興味深い。

【伊東寛】サイバー戦に関わる最近の動向・国がなすべきこと[桜H23/7/26]

いくつかの視点が参考になった。警察行動は、相手の脅威に応じた対応しかできない。戦争は、相手の脅威に依らずどこまでも行使できる。これが、日本の話なのかそれとも比較的普遍的な話なのか、どちらなのだろう。

戦争に関わる対象は歴史ごとに増えている。つい前までは軍隊だけでなく爆撃などで後方の民間人も巻き込まれるようになった。それが、ロシアのグルジア進行のように民間が勝手に参加(サイバー攻撃)するようになった。というのは納得。

一昔前は愛国者有志(?)の類が「んじゃ、ちょっと敵国いって勝手に戦ってくるわ」とはできなかったが、今はできるということなのだろう。流石にまだ交戦のきっかけにはならないだろうけれど、Stuxnet等を見ていると必ずしもできないわけではない、と思う。

そう考えると、Windowsのゼロデイ脆弱性一つで色々できるので、政治的にはともかく方法的には攻めるのが有利な時代なのかもしれない。

ドクターT(仮名)他の先生方と、仕事で歓談。業績はある程度追っていたのだけれども、この話を受けるまで、古巣に戻ってきているとは知りませんでした。というのはさておいて。

10年も経つと色々あるものですが、基本的に人はかわっていないわけで、研究内容の紹介の時にはあらかじめ何も言うなと釘をさされたりしてしまいました。見慣れた資料もあるので色々と余談を話し続けられたり、そもそもお互い院生の時代の話までしか知りませんから、エピソードはそれなりにあるわけですし…。

という妙な警戒がありつつも、他の方々を含めて色々と情報交換できて実に有意義な時間でした。

【海の向こうの“セキュリティ”】 第57回：脆弱性情報の標準記述形式「CVRF」バージョン1.0公開 -INTERNET Watch

ベンダが「うちの製品にこんな脆弱性があるよ」と公表するための標準形式が公開された。

もちろん独自にいくらでも情報を公開するのは良いけど、標準記述にしておくと他の情報との連携もとれるし、「標準PCに標準のソフトウェアを入れて標準形式で管理、アップデートの情報も標準形式で入手して、影響範囲の算出とかバージョン管理も標準」的なツールまかせの自動化ができると、お役所世界で助かる。

実際、セキュリティ設計の標準化と自動化のための仕組み(SCAP)がアメリカ政府関連で進められており、国内でもIPAがCVE, CCE, CPE, CVSS, XCCDF, OVALなどを展開している。当然、今回のCVRFもそれらの情報と連携することが期待されている。

とはいえ、記事の中にあるように近い情報のOVALですらまだ完全に連携はできず、今後の展開待ちでしょうか。ML、Twitter, Facebookなど数々の情報源からはこういう礼儀の良いデータはでできそうにないですし。CVSSのTMとの連携も気になるところです。

たまには流行のネタにのってみる。

モテる女子力を磨くための4つの心得「オムライスを食べられない女をアピールせよ」等 – Be Wise Be Happy Pouch［ポーチ］

Continue reading

PlayStation®NetworkおよびQriocity™（キュリオシティ）への不正アクセスに関する現状と今後の対応について

早速換算した会社がいたようで。意外と安いと見るべきか、思ったよりも高いというべきか。

TRPGゲーマーとしてはルーマニア/モルドバの運転免許や身分証明書、イスラエルのパスポートの値段を見て、「プレイに使えるな」と考えてしまうのが性か。

JVN55714408 IPの実装におけるサービス運用妨害(DoS)の脆弱性について

外部から攻撃してDoS可能な脆弱性か。CVSSも良い値がついている。

で、手持ちのRTはファームウェアが更新されないんですけど、どうしませう。

fladdict » ０円の広域負荷分散システムCloudFlareが素晴らしい件

CloudFlareというサービスが良い値段の分散サービスらしい。稼働率からして安値でも採算があるということらしいが、実際はどうなのか。セキュリティも強調しているので気になるところだ。

実際、クラウドサービスのセキュリティというものは色々面倒なもので、社内でも何人も調べて講座にしていたりする。上物は同じなんだけれども仮想化レイヤが絡んでくるのでそこをどこまで「制度化」するのかというのがキモな気がする。ESXiとかVMMに徹しているものはまだわかるが、Vyattaとかからむと内部でさらに複雑なネットワークとなるのでネットワーク方面のセキュリティまで必要となる。

NISTのSP800-125があるので、一般的にはこのあたりでポリシーレベルを決めれば良いのかな。日本の省庁で出しはじめれば基準になると思う。

2011年版 10大脅威 進化する攻撃．．．その対策で十分ですか？

なんだかんだといいつつも、今年もレビューとして関わったので。

今年はマイナーだった技術がメジャー化するにつれて顕在化してきた脅威が多いかなー、などと言ったりしていました。スマートフォン系の携帯端末の問題も、そしておそらく今年・来年あたりきそうなIPv6の問題も、量が出ないと表にならない問題って結構ありますよね。ちらと触れられている図書館問題なんかもそのきわのところかと。

そういうわけで、普通の人も2011年度のネットワークセキュリティまとめとして見ておくと良いと思います。

Dan Walsh’s Blog – selinux-polgengui

SELinuxで、デーモンやCGIのサンドボックスポリシーを作成するためのGUIツール。Fedora 15で使えるらしい。

SELinuxは使ったことはあるが、デーモンを隔離しようと1からポリシーを作ろうとしただけでも、非常に広範囲な知識と、旧い文献と違う箇所がありすぎる現状と、入念な調査・検証が必要だった。GUIでさくさくできるようになるならば、これ以上に望ましいことはない。

しばらく試してみて、Safari Standとの相性を除けば特に問題もなさそうだったので1Passwordを同社ウェブページから購入。一応クーポン利用で20%引きでした。Paypal分の金利を考えても、act2価格の半額程度になるのかな。

葉っぱ日記を参考に、ApacheでX-XSS-ProtectionとX-Content-Type-Optionsを指定した。

<IfModule headers_module>
        Header append X-XSS-Protection 1
        Header append X-Content-Type-Options nosniff
</IfModule>

書いておくと、一部の攻撃が通用しにくくなるので、まあ気休めですね。

iPod touchで1Password/同Pro(無料時期に入手した。)を遊ばせておくのももったいないと思い、スタンダードなパスワード管理ソフトウェアであるし、試してみることにした。

まずは、従来使っていたKeePassXからデータをエクスポートして1PasswordのインポートでKeePassXを指定して実行。XML形式では駄目で、txt形式でエクスポートしないといけないという事に気がつくまで、すこしはまってしまった。

インポートしたとはいっても、乱雑にIDとパスワードとメモの組があるだけの情報なので、1Password本来のカテゴリわけにはまるわけもない。そもそも、1Passwordはウェブブラウザ^[1]と連携して入力するところにあるので、URIや入力対象の要素情報が無いと実質的に使いにくい。

このあたりは徐々に入力しなおして移行して行くしかないだろう。iPod touchとの同期もシンプルだった。フォルダ単位で同期するかどうか選べるので、最重要な情報は携帯しないでいられるのが嬉しい。

1ヶ月程試用できるようなので、問題がないようならば適当にクーポンを探して払うか。

1. そういえばいつの間にか「携帯」同様に「ブラウザ」でほぼ一意に通じる。本来は注釈が必要な言葉が代表一位だけで占められ、結果として他の項目で補足が必要となるというのは面白いものだ。 [↩]