2005年03月04日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 自治体サイトがなりすましの温床に〜問題知るも関係機関は対策せず[http://itpro.nikkeibp.co.jp/free/NC/TOKU2/20050228/1/][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

日経コンピュータ[http://itpro.nikkeibp.co.jp/NC/] の記事から。
中には高知県のように、自らが構築したテスト用認証局を本番使用している県もある。本人が「私は正しい」と主張しているだけなので、第三者認証の必要性を理解しているのかどうかにすら疑問符が付く。
と指摘されている。 この問題、以前に、 「安全な通信を行うための証明書」[?200501b&to=200501172#200501172] と題して取り上げた問題だ。
日経コンピューター本誌(2005.3.7 no.621 pp.125)によると、
認証局証明書を組み込むためにブラウザ・メーカー各社が掲げる条件をLGPKIは満たしていないからだ。
という。 高木先生の懸念[http://www.takagi-hiromitsu.jp/diary/20050115.html#p02] は当たっていた様だ。

残念ながら記事では、偽の証明書を組み込むことによる、もっと重大な被害の方に関して触れられていなかった。一旦、偽の証明書を組み込んでしまうと、自治体サイトに一切近寄らなくても、利用者は危険にさらされ続ける。
2005年1月17日の調査[?200501b&to=200501174#200501174] によれば、11もの県が、ハッシュの比較の重要性も説明せずに、ダウンロードしたルート証明書を組み込めと言っている。
ある県に至っては、ハッシュの確認どころか、 デタラメな確認方法[?200501b&to=200501172S11#200501172S11] を指示して、 「これで接続先が間違いなく徳島県であり、安全な通信が行われていることが確認できました。」[https://www.tok-j.info/navigate/public/mu1/bin/egovweb/contents/cert_site.htm] 等というウソを流布させている。
この問題、自治体のシステムだけで済む問題ではなくて、日本全体のPKIに関わる問題なのだ。
記事によれば、

4月以降、運営協議会が専門部会を設置して、LGPKIの課題を協議する可能性はある

ということだが、それまでの間に、信頼できないLGPKIの証明書と称する何かを組み込んでしまった利用者は危険にさらされ続けるし、一旦組み込んでしまった利用者は、どうやって証明書チェーンを信頼できる状態に戻せば良いのだろうか。
「課題を協議する可能性がある」等と悠長なことを言っている場合では無いはずだ。

■ 関連記事

■2今日のメンテナンス[freebsd]<< 前の記事 このエントリーをはてなブックマークに追加

今まで、費用対効果の面から *1 メールサーバでのウイルスフィルタリングはやっていなかったのだけれども、最近数が多くて、いちいち消すのが面倒になってきた。
しばらくは.procmailのルールを追加してしのいでいたが、さすがに限界を感じて、ある程度減らしてくれる様な何かを探したら、 ClamAV[http://clamav-jp.sourceforge.jp/] というものを見つけた。
Clam AntivirusはTomasz Kojm等によって開発・メンテナンスされているLinuxやBSD、Mac OS Xなど各種UNIX系のシステムで動作するアンチウイルスソフトです。シグネチャによるパターンマッチング方式を採用していて、2004年5月27日の時点で約21,694種類のウイルスに対応しています。GPLライセンスに従って利用することができるオープンソースのソフトウェアです。
素晴らしい。ということで、早速導入。
この手のソフトは、サーバに負荷を掛ける傾向にあるので、net-snmpを導入してmrtgでロードをしばらく見ていくことにする。
*1: いくつかの商用製品を検討したのだけれども、FreeBSDで動かすことができることと、実ユーザー数の割にメールアカウント数がものすごくあるために、ライセンス料が結構な金額になる問題があって、導入したいという製品が無かった。OSを増やすと、管理しないといけない対象が増えて負担になってしまうので、それは避けたかった。

■ 関連記事

詳細はこの日の詳細から

2002年03月04日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1bindへのpoisoning[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

namedへの問合せが急増したので何かなと思ったら、どうもpoisoningを狙った攻撃だったらしい。 最初は、他所へのDoSへの踏み台にされてるかと思った。
バラバラな(ウチに関係のない)ドメインの正引きを引こうとしてるんだけど、 パケットをサンプリングしてざっと調べると、
  • 発アドレスは恐らくランダムに生成
  • TTLもランダムに生成
という感じ。DDoSだとすると、発アドレスはもう少し恣意的なアドレスになる筈で、 生成された発アドレスにpingが通らないところが多いところをみると、 1個所の拠点から、アドレスとTTLをランダムにして送出してると推察される。
上流のISPの内外を問わず発アドレスが使われていることを考えると、 ISP網内からではないかと思うのだけど、上流のどこでどうフィルターしてるか分からないと、 これ以上は追えないかな。

■ 関連記事

■2 FreeBSD 4.5-RELEASE 用 スタックプロテクション対応パッチ[http://www.nmt.ne.jp/~yamamoto/StackProtection4FreeBSD/][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

Masudaさんとこ[http://unixluser.org/diary/?200203a&to=200203042#200203042] から。
GCC extension for protecting applications from stack-smashing attacks[http://www.trl.ibm.com/projects/security/ssp/] をざっと眺める。
戻りアドレスと一緒にシグネチャを積んでおいて、そいつが書き換えられていたら戻りアドレスは信用ならん。 というような方法が色々提案されているみたい。 いずれにしても攻撃は相当に難しくなる筈だけれども、 全ての攻撃から守ってくれる *1 訳ではないので、 コードを書くときに気をつけないといけない原則は変わらない。
*1: ためには、全てのポインタ経由のアクセスをチェックしなきゃいけないので、大変すぎ。 そういう処理系があったら開発時には有効かも知れない。

■ 関連記事

■3 http://www.@stake.com/[http://www.@stake.com/]<< 前の記事 このエントリーをはてなブックマークに追加

某チャンネルから。
なるほど。 @なんとか.com[http://www.@nantoka.com/] みたいな。URL目立つかも知れない。
けい@なんとか.com[http://kei@nantoka.com/] ってのもできるね。

■ 関連記事

詳細はこの日の詳細から

以上、9 日分です。

指定日の日記を表示

前月 2020年01月 翌月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project