ブログ - セキュリティカテゴリのエントリ
先日ウィニーの本を読んだとブログに書いてたら,IBMでの事例について教えてもらいました.
事の発端は,以下のサイトにまとめられています.
IBM 個人情報流出に関するお詫び
要約すると,IBMがらみで神奈川県教育委員会で持っているデータが漏洩し,ShareやWinnyによって拡散しているというものです.
興味深いのは,現在の最新のこの記事.
IBM 個人情報流出に関する対応状況お知らせ
ここでは,流出データを共有しているユーザをプロバイダ協力のもとに割り出し,削除を依頼して拡散防止対応をしているという所です.
事の発端は,以下のサイトにまとめられています.
IBM 個人情報流出に関するお詫び
要約すると,IBMがらみで神奈川県教育委員会で持っているデータが漏洩し,ShareやWinnyによって拡散しているというものです.
興味深いのは,現在の最新のこの記事.
IBM 個人情報流出に関する対応状況お知らせ
ここでは,流出データを共有しているユーザをプロバイダ協力のもとに割り出し,削除を依頼して拡散防止対応をしているという所です.
データベースセキュリティコンソーシアム(DBSC)という団体が提供しているセルフチェックサービスがあります.
データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/
上場を控えた某社のシステムをターゲットとして診断してみましたが,なかなか厳しい結果になっていました.
ただし,これは結局日本語の解釈というか,「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて,「その必要がない」という基準もありますよね. そういう視点を入れて実施すれば,結構良い点になったりします.
システム監査的にはそれでOKなんですが,先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね.
ただ,セキュリティ対策は貯蓄と同じで,どこまでやっても満足できないので,ある指標を元に対策を行ったという事で,決着をつけるのが落としどころになるですよね.
データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/
上場を控えた某社のシステムをターゲットとして診断してみましたが,なかなか厳しい結果になっていました.
ただし,これは結局日本語の解釈というか,「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて,「その必要がない」という基準もありますよね. そういう視点を入れて実施すれば,結構良い点になったりします.
システム監査的にはそれでOKなんですが,先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね.
ただ,セキュリティ対策は貯蓄と同じで,どこまでやっても満足できないので,ある指標を元に対策を行ったという事で,決着をつけるのが落としどころになるですよね.
某所で,Virutというウイルスに感染しているのを発見しました.
Windowsマシンで,ファイアウォールソフトが外部へ接続しようとする不明なアプリケーションとして発見され,ウイルススキャンをするとVirutというものでした.
IPAやトレンドマイクロによると,最近流行っている様です.
ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ
http://internet.watch.impress.co.jp/cda/news/2009/03/03/22650.html
ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台(トレンドマイクロ)
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html
ちょっと怖いのは,次の様なアンケートです.
W32.Virut スパイウェアについて
http://www.shareedge.com/spywareguide/product_show.php?id=3515
「不明-知らない間に」感染したのが100%です. いつの間にか常駐しているかもしれません.
Windowsマシンで,ファイアウォールソフトが外部へ接続しようとする不明なアプリケーションとして発見され,ウイルススキャンをするとVirutというものでした.
IPAやトレンドマイクロによると,最近流行っている様です.
ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ
http://internet.watch.impress.co.jp/cda/news/2009/03/03/22650.html
ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台(トレンドマイクロ)
http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html
ちょっと怖いのは,次の様なアンケートです.
W32.Virut スパイウェアについて
http://www.shareedge.com/spywareguide/product_show.php?id=3515
「不明-知らない間に」感染したのが100%です. いつの間にか常駐しているかもしれません.
たくさんある,マイクロソフト製品のセキュリティ更新が必要なプログラムの情報を検出したり適用したりするソフトウェアや仕組みについての説明です.
Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja
簡単に説明すると,ソフトウェアのアップデートは以下の方法で行われます.
Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool
検知方法と配布方法の種類によって8種類あるのですが,こっちではできなくてあっちでできてみたいな機能制限があって,結局の所全てに置いてこれ1つでOKというものが無いようで複雑性を増しているようです.
検知方法は1つで,適用方法は個人用,企業用の2つで十分だと思うのですが.
Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja
簡単に説明すると,ソフトウェアのアップデートは以下の方法で行われます.
Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool
検知方法と配布方法の種類によって8種類あるのですが,こっちではできなくてあっちでできてみたいな機能制限があって,結局の所全てに置いてこれ1つでOKというものが無いようで複雑性を増しているようです.
検知方法は1つで,適用方法は個人用,企業用の2つで十分だと思うのですが.
PHPの新しいバージョンが出た様です.
PHP:セキュリティホールを修正した新バージョンが公開
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20389087,00.htm?tag=zdnw
もう5.2.9か...このバージョンアップする都度,対応して行くのは疲れますね. なんせ,リリースノート(Change log)に書かれていない変更が,たまーに潜んでいるので. APIが全く無くなったなんて事もあります.
よって,ステージング環境は大切ですよ.
PHP:セキュリティホールを修正した新バージョンが公開
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20389087,00.htm?tag=zdnw
もう5.2.9か...このバージョンアップする都度,対応して行くのは疲れますね. なんせ,リリースノート(Change log)に書かれていない変更が,たまーに潜んでいるので. APIが全く無くなったなんて事もあります.
よって,ステージング環境は大切ですよ.
以下のサイトにアクセスすると,利用しているJavaの環境でバージョンアップが必要か否かが分かる様です.
Verify Java Version
http://java.com/en/download/installed.jsp
Macでアクセスすると,次の様に表示されます..
Mac Users: Use the Software Update feature (available on the Apple menu) to check that you have the most up-to-date version of Java for your Mac.
Macの場合はOSのアップデート機能に内包されているのでSoftware Updateしていれば問題ないですね.
一昨年だったか,仕事でWindows Vistaが動作しているThinkPadを用意したのですが,毎月1回起動させてアップデートを実行させていました.
Windows UpdateとJava UpdateとThinkpadのソフトのアップデートの3つが必要で,Core2duo 2GHzマシンでしたが,メモリ1GBマシンだったので,ただそれだけをしているだけで1日かかりました.
まぁ,UAC(User Account Control:ユーザーアカウント制御)でインストール毎にパスワードを入力しなければならず,そのダイアログで入力待ち時間というのも含まれていますけど.
Verify Java Version
http://java.com/en/download/installed.jsp
Macでアクセスすると,次の様に表示されます..
Mac Users: Use the Software Update feature (available on the Apple menu) to check that you have the most up-to-date version of Java for your Mac.
Macの場合はOSのアップデート機能に内包されているのでSoftware Updateしていれば問題ないですね.
一昨年だったか,仕事でWindows Vistaが動作しているThinkPadを用意したのですが,毎月1回起動させてアップデートを実行させていました.
Windows UpdateとJava UpdateとThinkpadのソフトのアップデートの3つが必要で,Core2duo 2GHzマシンでしたが,メモリ1GBマシンだったので,ただそれだけをしているだけで1日かかりました.
まぁ,UAC(User Account Control:ユーザーアカウント制御)でインストール毎にパスワードを入力しなければならず,そのダイアログで入力待ち時間というのも含まれていますけど.
ペネトレーションテストの計画を立てているのですが,その一環でクロスサイトリクエストフォージェリ(フォージュリと記載の場合あり)について調べてました.
Wikipediaに仕組みが詳細に書かれているのですが,その中でこの脆弱性が応用された例としてmixiで発生した「ぼくはまちちゃん」騒動というのがあります.
http://ja.wikipedia.org/wiki/クロスサイトリクエストフォージェリ
ぼくはまちちゃんは,
・ぼく,はまちちゃん
・ぼくは,まちちゃん
のどちらが正しいのかというと,「ぼく,はまちちゃん」だそうです.
それにしてもどうやってペネトレーションテストしよう,思案中...(いまいち理解できてない・・・)
Wikipediaに仕組みが詳細に書かれているのですが,その中でこの脆弱性が応用された例としてmixiで発生した「ぼくはまちちゃん」騒動というのがあります.
http://ja.wikipedia.org/wiki/クロスサイトリクエストフォージェリ
ぼくはまちちゃんは,
・ぼく,はまちちゃん
・ぼくは,まちちゃん
のどちらが正しいのかというと,「ぼく,はまちちゃん」だそうです.
それにしてもどうやってペネトレーションテストしよう,思案中...(いまいち理解できてない・・・)
Redhat 5.2で動作しているSSHDのログに,以下のようなものが記載されていました.
reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)
これはIPアドレスとFQDNが一致してない場合に出るものとの事.
1.IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
2.逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合
この1番は,良くありがちな気がしますが,2番の動きは危険な香りがしますね.
BREAK-INとは,直訳すると侵入するという意味だそうです.
reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)
これはIPアドレスとFQDNが一致してない場合に出るものとの事.
1.IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
2.逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合
この1番は,良くありがちな気がしますが,2番の動きは危険な香りがしますね.
BREAK-INとは,直訳すると侵入するという意味だそうです.
2009年1月14日(水)以降にウイルスバスター2009にアップグレードを行った環境において再起動を促すメッセージが繰り返し表示される現象がでているようです.
アップデートが繰り返し実行される
ウイルスバスター2009を再インストール等で修復される様ですが,ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です.
アップデートが繰り返し実行される
ウイルスバスター2009を再インストール等で修復される様ですが,ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です.
続いてフィッシング詐欺対策等について調べているのですが,このような団体があったのですね.
フィッシング対策協議会
http://www.antiphishing.jp/
今年の9月10日に,サービス事業者と消費者への対策ガイドラインが発表されていますので,是非参考に.
フィッシング対策ガイドライン(PDF:1,454KB)
http://www.antiphishing.jp/information/information258.html
フィッシング自体に関しては,セキュリティ対策の中ではじみ〜な感じがありませんか? クロスサイトスクリプティング等と違って瑕疵部分が少ないからでしょうか.
それでも,ちゃんと警視庁にも窓口は用意されています.
フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
フィッシング対策協議会
http://www.antiphishing.jp/
今年の9月10日に,サービス事業者と消費者への対策ガイドラインが発表されていますので,是非参考に.
フィッシング対策ガイドライン(PDF:1,454KB)
http://www.antiphishing.jp/information/information258.html
フィッシング自体に関しては,セキュリティ対策の中ではじみ〜な感じがありませんか? クロスサイトスクリプティング等と違って瑕疵部分が少ないからでしょうか.
それでも,ちゃんと警視庁にも窓口は用意されています.
フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
最近も大きく?騒がれていますが,フィッシング詐欺も後を絶たない様です.
「パスワードの期限が切れました」――ニフティをかたるフィッシング2008年10月に引き続き注意喚起、不審なメールにはご用心
http://itpro.nikkeibp.co.jp/article/NEWS/20081201/320425/
フィッシング詐欺情報について調べていたら,次のような情報提供サイトがありました.
フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/
見つかった詐欺サイトがどんどん掲載されているサイトですが,ほぼ毎日情報が追加されています.
ウィキペディアフィッシング (詐欺)によると,特定の団体や個人を特定したものをスピア型(spear)と呼ぶ様です. spearとはヤリの事で,phishingとはfishingを語源としていますから,そのイメージから名付けられたのでしょう.
振り込め詐欺と同じで,フィッシング詐欺も巧妙に作っていると思いますから,その見分け方・対策についてどのようにすれば良いか,補助的な内容としていますが参考になるので紹介します.
フィッシング詐欺サイト情報|防御方法
http://www.rbl.jp/phishing/index.php?mode=page&aim=CBC9B8E6CAFDCBA1
このページでは,ユーザとしての注意点の他にサイト運営側としての考慮点についても考えてあるので,参考になりそうです.
「パスワードの期限が切れました」――ニフティをかたるフィッシング2008年10月に引き続き注意喚起、不審なメールにはご用心
http://itpro.nikkeibp.co.jp/article/NEWS/20081201/320425/
フィッシング詐欺情報について調べていたら,次のような情報提供サイトがありました.
フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/
見つかった詐欺サイトがどんどん掲載されているサイトですが,ほぼ毎日情報が追加されています.
ウィキペディアフィッシング (詐欺)によると,特定の団体や個人を特定したものをスピア型(spear)と呼ぶ様です. spearとはヤリの事で,phishingとはfishingを語源としていますから,そのイメージから名付けられたのでしょう.
振り込め詐欺と同じで,フィッシング詐欺も巧妙に作っていると思いますから,その見分け方・対策についてどのようにすれば良いか,補助的な内容としていますが参考になるので紹介します.
フィッシング詐欺サイト情報|防御方法
http://www.rbl.jp/phishing/index.php?mode=page&aim=CBC9B8E6CAFDCBA1
このページでは,ユーザとしての注意点の他にサイト運営側としての考慮点についても考えてあるので,参考になりそうです.
色々なプロバイダにてDNSキャッシュ・ポイズニングに対応が行われていますが,自分が利用しているDNSサーバが,その脆弱性に対応しているかを検証するサイトがありました.
DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
このサイトにアクセスして,画面にある"Test My DNS"をクリックするだけです.
しばらくすると,次のような画面が表示されます.
UJPで利用しているDNSは,問題ないものになりました.
DNSキャッシュ・ポイズニングとは,ドメイン情報を不正に書き換えてしまう攻撃方法で,この脆弱性を使うと特定のドメインを無効にしたり,別のIPアドレスに紐付けたりする事ができる様になります.
関係ないドメインの情報を送ってくるDNSサーバがいても受け取ってしまうという性善説で昔のDNSの仕様が作られていましたが,これを悪用する攻撃です.
古いDNSの仕様で動いている場合は,この仕様が残っているので注意が必要となります.
この脆弱性に対応しているプロダクトやベンダの対応状況は,以下のURLにあるデータで参照可能となります.
複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html
JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性(緊急)
http://jvn.jp/cert/JVNVU800113/
DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
このサイトにアクセスして,画面にある"Test My DNS"をクリックするだけです.
しばらくすると,次のような画面が表示されます.
UJPで利用しているDNSは,問題ないものになりました.
DNSキャッシュ・ポイズニングとは,ドメイン情報を不正に書き換えてしまう攻撃方法で,この脆弱性を使うと特定のドメインを無効にしたり,別のIPアドレスに紐付けたりする事ができる様になります.
関係ないドメインの情報を送ってくるDNSサーバがいても受け取ってしまうという性善説で昔のDNSの仕様が作られていましたが,これを悪用する攻撃です.
古いDNSの仕様で動いている場合は,この仕様が残っているので注意が必要となります.
この脆弱性に対応しているプロダクトやベンダの対応状況は,以下のURLにあるデータで参照可能となります.
複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning.html
JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性(緊急)
http://jvn.jp/cert/JVNVU800113/
ISO 9126というのを聞いたので,忘れる為にここにメモ.
機能性 functionality
信頼性 reliability
使用性 usability
効率性 efficiency
保守性 maintainability
移植性 portability
ソフトウェア品質に関する国際規格. 品質モデルを定義する際のフレームワークとして定義されているのですが,さらにそれぞれが下位の特性,副特性が含まれています.
開発系の仕事から離れて久しいのですが,最近はテスト専門のエンジニアの地位も確立されているんですね.
昔はテストは計画する人はSEで,実施する人はテスターという位置づけで,技能量はテスターは新人等がアサインされる等比較的低いポジションだった覚えがあります.最近はブラックボックステスト的なものを出すだけでなく,開発はしないけど仕様書,ER図の読み取りから行う様な人が居るのだそうです. 第三者チェックとして求められている技術要素も高いので,昔とは立ち位置が違うんですねー.
まぁ,ネットワークはネットワークエンジニアが分離独立している事を考えると,各工程は守備範囲毎にスペシャリストがいても不思議じゃないですな.
ただし,エンジニアとして何を自分の強みとして生きて行くかの選択も難しくなりそうですね.むかしは範囲が広かったので,色々とやってみて自分に合っている道を選ぶ事もできたかもしれませんが.
最近思うのは「いきなりネットワークエンジニア」は成り立つのか?という事です. 卒業して直ぐネットワークエンジニアみたいな経歴の人. 若い子で,プログラム作成を知らないままのネットワークエンジニアというのをたまに見かけるのですが,ちょとと違和感があります.
機能性 functionality
信頼性 reliability
使用性 usability
効率性 efficiency
保守性 maintainability
移植性 portability
ソフトウェア品質に関する国際規格. 品質モデルを定義する際のフレームワークとして定義されているのですが,さらにそれぞれが下位の特性,副特性が含まれています.
開発系の仕事から離れて久しいのですが,最近はテスト専門のエンジニアの地位も確立されているんですね.
昔はテストは計画する人はSEで,実施する人はテスターという位置づけで,技能量はテスターは新人等がアサインされる等比較的低いポジションだった覚えがあります.最近はブラックボックステスト的なものを出すだけでなく,開発はしないけど仕様書,ER図の読み取りから行う様な人が居るのだそうです. 第三者チェックとして求められている技術要素も高いので,昔とは立ち位置が違うんですねー.
まぁ,ネットワークはネットワークエンジニアが分離独立している事を考えると,各工程は守備範囲毎にスペシャリストがいても不思議じゃないですな.
ただし,エンジニアとして何を自分の強みとして生きて行くかの選択も難しくなりそうですね.むかしは範囲が広かったので,色々とやってみて自分に合っている道を選ぶ事もできたかもしれませんが.
最近思うのは「いきなりネットワークエンジニア」は成り立つのか?という事です. 卒業して直ぐネットワークエンジニアみたいな経歴の人. 若い子で,プログラム作成を知らないままのネットワークエンジニアというのをたまに見かけるのですが,ちょとと違和感があります.
先日OpenOffice3.0の正式リリースも行われ,プロレタリアの見方として色々な定番ソフトウェアが無料で手に入る世の中になっていますが,アンチウイルスの世界も同じ様です.
日本では,早くからこの業界に着目していたという事で,シマンテックとトレンドマイクロが企業向けユースでは定番のようになっているのですが,無料とされているソフトウェアも幾つかあるので,調べてみました.
・Avast! 4 home edition
・AVG Anti-Virus Free Edition
・AVIRA AntiVir Personal Edition
・BitDefender
・KINGSOFT Internet Security U
・Comodo AntiVirus
・Moon Secure AV
これらのソフトウェアは「無料」とされているのですが,よくよく利用条件を確認するとほとんどの場合は個人利用以外での使用は不可となっています. 色々な表現があるのですが,面白い表現だったのは次の通り.
日本では,早くからこの業界に着目していたという事で,シマンテックとトレンドマイクロが企業向けユースでは定番のようになっているのですが,無料とされているソフトウェアも幾つかあるので,調べてみました.
・Avast! 4 home edition
・AVG Anti-Virus Free Edition
・AVIRA AntiVir Personal Edition
・BitDefender
・KINGSOFT Internet Security U
・Comodo AntiVirus
・Moon Secure AV
これらのソフトウェアは「無料」とされているのですが,よくよく利用条件を確認するとほとんどの場合は個人利用以外での使用は不可となっています. 色々な表現があるのですが,面白い表現だったのは次の通り.
ちょっと調べものをしていて,Anti VirusソフトウェアのComparatives(比較)サイトがある事が解りました.
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%
Virus Bulletin
http://www.virusbtn.com
今回は解りやすく評価結果がランキングされているAV-Comparativesをみてみます.
AV-Comparatives
http://av-comparatives.org/
ここに今年の9月19日付けの評価レポートがPDFで公開されていました.
Anti-Virus Comparatiive No.19
http://av-comparatives.org/seiten/ergebnisse/report19.pdf
ウイルスの発見,誤検知,オンデマンドのスピードに関してテストしていて,その方法は次のドキュメントにあります.
Testing Methodologies & Frequently Asked Questions
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf
このサマリーから取り出すと,ランキングは次の通り.
1.AVARA 99.2%
2.GDATA 99.1%
3.Symantec 97.9%
4.McAfree+artemis(Enterprise) 97.8%
5.Avast 97.3%
グローバルIPアドレスを持ったSSH可能なマシンを設置して,何分で不正侵入の試み(ここではアタックと表現)を受けるか,試してみました.
ログイン失敗が記録されるbtmpファイルから,lastbコマンドで取り出した物で確認してみます.
設置完了して9時53分にメモの為にaaaでログインを試して最初のログを記録して,最初のアタックが11時ジャストなので約70分という事になります.
ちなみに,ここではマスクしてAtackとしていますが,この攻撃者は最初の接続から15分間のうちに345回のアタックを行ってきました.
そしてUJP IDSを導入する迄の5日間のうちに38127のアタックが行われ,平均すると,約11秒に1回のアタックを受けていることになります.
ログイン失敗が記録されるbtmpファイルから,lastbコマンドで取り出した物で確認してみます.
root ssh:notty Atack Sun Sep 21 11:00 - 11:00 (00:00)
root ssh:notty Atack Sun Sep 21 11:00 - 11:00 (00:00) ←これ
aaa ssh:notty 192.168.0.140 Sun Sep 21 09:53 - 09:53 (00:00)
aaa ssh:notty 192.168.0.140 Sun Sep 21 09:53 - 09:53 (00:00)
設置完了して9時53分にメモの為にaaaでログインを試して最初のログを記録して,最初のアタックが11時ジャストなので約70分という事になります.
ちなみに,ここではマスクしてAtackとしていますが,この攻撃者は最初の接続から15分間のうちに345回のアタックを行ってきました.
そしてUJP IDSを導入する迄の5日間のうちに38127のアタックが行われ,平均すると,約11秒に1回のアタックを受けていることになります.
無料のアンチウイルスソフトが公開されました.
iAntiVirus
http://www.iantivirus.com/
早速使ってみたのですが,同じフリーのClamAVよりも快適にスキャンしてくれるようです.
しかし,Macの中に置いてある,ウイルス感染ファイルを検知した所でエラーがでて止まってしまって,そのまま起動しなくなってしまいました...
iAntiVirus
http://www.iantivirus.com/
早速使ってみたのですが,同じフリーのClamAVよりも快適にスキャンしてくれるようです.
しかし,Macの中に置いてある,ウイルス感染ファイルを検知した所でエラーがでて止まってしまって,そのまま起動しなくなってしまいました...
クロスサイトトレーシングという攻撃方法があり,その対策としてApacheでは1.3.34以降と2.0.55で,TRACEメソッドをオフにする設定が追加されていました.
具体的には,httpd.confに以下の記述をして,Apacheを再起動するだけです.
TraceEnable Off
これはスクリプトやFlash等からTraceメソッドを発行する事で,基本認証のパスワードを盗み出すことができるというもののようで,WhiteHat Securityという機関が2003年1月に発表した攻撃手法なのだそうです.
CROSS-SITE TRACING(XST)
※PDFがダウンロードされます
TRACEメソッドはHTTP/1.1で導入されており,クライアントが自分が送信したリクエストメッセージがそのまま返ってくるというもの. 名前の通りでバッグ様ですな.
ということで,これをOffにしておくことで挙動に問題がでる可能性は低いと考えられます. よって,初期設定で最初から入れておくべきなのでしょう.
古いApacheをお使っている場合は,mod_rewriteでレスポンスを返さない様に設定できるようです.
具体的には,httpd.confに以下の記述をして,Apacheを再起動するだけです.
TraceEnable Off
これはスクリプトやFlash等からTraceメソッドを発行する事で,基本認証のパスワードを盗み出すことができるというもののようで,WhiteHat Securityという機関が2003年1月に発表した攻撃手法なのだそうです.
CROSS-SITE TRACING(XST)
※PDFがダウンロードされます
TRACEメソッドはHTTP/1.1で導入されており,クライアントが自分が送信したリクエストメッセージがそのまま返ってくるというもの. 名前の通りでバッグ様ですな.
ということで,これをOffにしておくことで挙動に問題がでる可能性は低いと考えられます. よって,初期設定で最初から入れておくべきなのでしょう.
古いApacheをお使っている場合は,mod_rewriteでレスポンスを返さない様に設定できるようです.
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
