ここ最近は脆弱性情報で、プロトコル上の問題で…ってのが多く、インパクトもものすごく大きい。
当然、各メディアもセンセーショナルに報じるが、あっという間に忘れ去られそうになる。
今回のKRACKsについては、Windowsはすでに対応済み、MacOS・iOSは間もなく、Androidも11月にリリース予定、Linuxはリリース進行中。
その他クライアント機器やルーターはこれから…という状況。
この攻撃の大きなポイントかつ問題を緩和する要素としては、
ハックするためには、攻撃者はWi-Fiの電波を直接受信できる場所に行かなくてはならない。
というのがある。
Wi-Fiの通信に直接介入する問題なので、当然といえば当然でありとあらゆるWi-Fiクライアントに脆弱性があるとは言え、全ての通信が傍受されるかといえばそうではない。
(攻撃者にとって、そこまで出向く価値あるかどうか)
脆弱性は当然修正されなくてはならないが、どうしたら緩和されるか、今後どうなるかをもっと追跡するのも必要じゃないかと思う。
この件はちょっと前に出たBlueBorn問題(Bluetoothの脆弱性)についても同様。
ニュースが正しく継続的に報じることが重要なんだけど、進展がないと流す機会は減るよなぁ~。
2017年10月27日金曜日
2017年10月18日水曜日
Wi-Fi暗号化の主要プロトコルWPA2に脆弱性(KRACKs)10/18更新
Wi-Fiに暗号化通信の主流となっているWPA2について、プロトコルレベルの脆弱性が公開。(キー再インストール攻撃=)。
詳細は以下に記載されている。
・Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/
発表までの流れと対応状況についてはpiyologがわかりやすい。
・WPA2の脆弱性 KRACKsについてまとめてみた(piyolog)
http://d.hatena.ne.jp/Kango/20171016/1488907259
攻撃の対象となっている4HandShakeの流れは以下の通り。
[]がハンドシェイクの部分。
図はWikipedia(en)より。
(2)PSKを元にそれぞれ(=ペアワイズトランジェントキーPTK)を生成。
(3)[1]APからメッセージ(ランダム文字列 Nonce=ANonce)を送付
(4)STAはANonceを元にテンポラリキー(PTK)を生成
(5)[2]STAはAPに自身のNonce(SNonce)にMIC(Message Integrity Code)を添付したものを送付
(6)APはSNonceを元にPTKを生成。
(7)[3]APはGroup Temporal Key(GTK)を生成、MICを添付してSTAに送付。
(8)[4]STAはキーをインストール後ACKを返送。
(9)AP側はACKを受信してキーをインストール、ハンドシェイク完了。
今回の脆弱性では、(8)の段階で再送信されるとキーが再インストールされ、Nonceがリセットされるという仕様が原因となっている。
つまり偽のおかわり(再送信)を出すことで、暗号化キーを攻撃者が取得可能となる脆弱性があったというもの。
さらに、LinuxやAndroidに至っては、実キーの再インストールではなく、オールゼロキーがインストールされるため、さらに傍受が容易になる問題点をもっており、Androidデバイスの50%(Android6.0以降)にこの問題点がある。
対策としては、クライアント側のパッチ対応でどうにかなるようなので随時提供されるであろうパッチ待ちとなる。
現在のところ
Windows:提供済み(詳細は後日アナウンス)
Andorid:数週間以内に提供(あとはベンダー次第)
MacOS/iOS:調査中
ということらしい。
(10/18追記)------------------------------------
国内メーカーの各製品ごとの脆弱性有無に関して、JVNに掲載された。
JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
http://jvn.jp/vu/JVNVU90609033/index.html
余談になるが…
セキュリティの観点から言うとPCはともかく、Androidを搭載した多くのモバイル端末では、ベンダーのサポートすらまともに提供されず放置されている端末が山のようにあり、しかもそれらが普通に売られていることが大問題。
昨年ウチの親がジャパネットで購入させられたY!mobileとのセット契約でタブレット(ファーウェイ製)はなんとAndroid4.2(笑)
高齢者のタブレットブームに脆弱性のあるすでにサポートの終わっている端末を平気で売る姿勢にちょっと怒りすら感じる。
Androidでも、下位互換性をなくす→脆弱性のある端末更新を促すという流れにならないかな。
2017年10月12日木曜日
Facebookの偽アカウントがだんだん凝ってきた
ここ最近、いきなり友達リクエストが飛んでくる数が微妙に増加中。
プロフィールには、直接会った方もしくはメッセージやコメント等のやり取りなど会った方以外は原則として受けませんって記載しているのですが、いきなり飛ばしてくる人は…
・操作がよくわかってない人(これはこれで迷惑なケースもありますが…)
・外国人(プロフィールを読めない・自動翻訳で意味が通らず理解できていない可能性)
・偽アカウント
なので、自分の場合にはまずプロフィールを検証します。
メッセージが来た人の友人リストを見ると、共通の友達には1000以上友達がいる方(基本的に来る人拒まずタイプ)が多いのですがそれ以外の友人もよく検証しましょう。
基本は『プロフィール画像をGoogleの画像検索にかける』です。(Chrome等では右クリックで簡単に検索できます)
サンプルの例(実際に飛んできたリクエスト)を見ると、結構すごいです。
吉岡某を名乗るアカウントはプロフィール画像がアート系販売サイトから引っ張ってきています、この時点でクロに近いグレーゾーン。
明らかに不自然な名前やこういうのをプロフィール画像にするか?というような自撮り画像などはよそのブログから引っ張ってきたケースが大多数。
偽アカウントの友人リストを偽アカウントの友人で盛っているケースも多いです。
(サンプルA 不自然な名前の例)
プロフィール画像の更新(自動で公開設定になる)日が1~2ヶ月前ってのがゴロゴロしていますので、画像検索にかけると色々出ますよ
(サンプルB、使い回しの例)
ということで、これら偽アカウントはまとめて運営に報告と相成ります。
10/17追記
その後Facebookから返信が来ましたが、多くのアカウントについては作成者に打診、一部は問題なしの回答。
明らかな偽アカウント(プロフィールは関係ない個人のものを持ってきた)といえども辻褄があっていれば問題ないとみなすらしい。
※画像の整合性など詳しい検証はしない(…というか確証が持てないものは放置)するスタンスの模様。
2017年10月3日火曜日
Google Android 10月の更新提供開始(10/3更新)
なお、今月からNexus/Pixelと一般のAndroidと分けて掲載されるようになりました。
今月のアップデートではメディアフレームワークの脆弱性、カーネルの更新など緊急5件、危険度高8件、危険度中2件の脆弱性が修正が提供されています。
また機種別脆弱性として危険度高5件、危険度中32件、危険度低2件の修正がアナウンスされています。
パッチレベルはOct 05, 2017で統一されています。
ビルド番号はAndroid8.0.0、7.1.1でOPR3.170623.007/008/009,N6F27M,N9F27M,N4F27Pが最新のビルド番号となります。
Android Security Bulletin (October 2017)
https://source.android.com/security/bulletin/2017-10-01
Pixel / Nexus Security Bulletin—October 2017
https://source.android.com/security/bulletin/pixel/2017-10-01
OTAファイルのリンクが判明次第、この記事を随時アップデートします。
◆各OTAファイルへのリンク(2017/10/3更新)
※Nexus6はグローバル版のリンクです
OTA Images for Nexus Devices
https://developers.google.com/android/nexus/ota
●機種別リンク
・Pixel 8.0.0(OPR3.170623.008):Link
・Pixel XL 8.0.0(OPR3.170623.008):Link
・Nexus5X 8.0.0(OPR4.170623.009):Link
・Nexus6 7.1.1(N6F27M):Link
・Nexus6P 8.0.0(OPR5.170623.007):Link
・Nexus9(Wi-Fi) 7.1.1(N9F27M):Link
・Nexus9(LTE) 7.1.1(N4F27P):Link
・Nexus Player 8.0.0(?):Link
OTA(差分)ファイルを利用したアップデートの場合、SDKツールのadbコマンドを利用して手動更新すれば現在の設定を保持したままアップデートできます。
※設定→端末情報→システムアップデートで更新する方法と同じ。
※adbコマンドの利用方法はこちらを参考にしてください。
それが待てないという方は、先行して公開されたファクトリーイメージからインストールしてください。
※本体は初期化されますので、設定が面倒という場合にはOTAアップデートをお待ち下さい。
※アーカイブのバッチファイルを加工(fastboot -wの部分の-wを削除することでユーザーデータは保持したまま更新されます)することにより、そのまま更新されます。ただし、ブートローダーのアンロック必須です。
Factory Images for Nexus Devices
https://developers.google.com/android/nexus/images
Apple IDを狙ったフィッシングメール出回る(10/3更新)
送信元のメールアドレスが、service@appleids.co.jpとこれまた明らかに実在しないURL(笑)なのでこの時点で嘘って確定なんだけど一応詳細もチェック。
リンク先は短縮URLになっている
http://z33.io/***wD
この短縮URLを展開すると以下のURLが得られた。
https://www.jp-login.***.apple.com-supp-acc-renew-91580.net
(一部伏せ字)
リンク先のURLはそれっぽいURLになっているけど、よく読むと末尾がcom-supp-acc-renew-91580.netというアップルとはなんの縁もゆかりもないURL。
------------------------------------
[9/8追記]短縮URL別パターンもあり(リンク先は以下)。
http://go2l.ink/***QH135
https://www.jp-login.***.apple.com-accntjp-verf-09186.services
(一部伏せ字)
------------------------------------
[9/18追記](リンク先は以下)。
新パターンというか、海外のホスティングページに直接アクセスさせる雑な方法。二匹目のドジョウの可能性もあり。
https://squaredrive.org/wp-content/JPI***6624.php
(一部伏せ字)
------------------------------------
[10/3追記]だいぶ雑になってきた(笑)
これまでそれっぽいURLだったんだけど、レンタルサーバーへのリンクを隠さなくなってきた。もしかしたら模倣犯だろうか?
http://jirsm.com/images/SupportJPID*****.php
(一部伏せ字)
------------------------------------
このリンク先をチェックしたところ、通常のappleIDログイン画面を真似た画面で、このページでappleIDを入力するとappleIDやパスワードを抜き取って、その後正規のappleのサイトへリダイレクトするように作られている。
この手のフィッシングに騙されないように。
※スマホ受信だと確認がだいぶ困難な上に、マルウエアを打ち込まれる可能性も大きいので注意。
登録:
投稿 (Atom)
