多くのメールサーバで使われるEximにまた脆弱性
パスワード漏洩確認サービス「Have I Been Pwned」、新チェック方式導入
Have I been pwned API v2
「パスワードがハクられているかチェックしよう ― サーバへの送信なしで」
「新ツールでパスワード漏洩チェックが格段に簡単に」
セキュリティ研究者Troy Hunt氏が運営する、漏洩したパスワードを収集して、そこに含まれるかをチェックできるパスワード漏洩確認サービス「Have I Been Pwned」が、第2バージョンのAPIを公開しました。
API v2全体は広範囲にまたがりますが、1つの特徴的な機能は、従来と違って「パスワードを送信せずに漏洩確認できる」ことでしょう。要するにパスワードのSHA-1ハッシュを送信して確認するというものです。SHA-1は一方向性関数なので、ハッシュから元のパスワードを直接求めるのが困難となります。
しかし、そもそも漏洩したパスワードのハッシュを求めているわけですから、(正しい保証はないものの)ハッシュからパスワードが推測できるのも事実。
実はAPI v2には「SHA-1ハッシュの先頭の5文字」を送信すると、「5文字が一致するハッシュ全体とリスト上での出現回数」の一覧を返してくれるものもあります。つまり、受信側はローカルでハッシュ全体が同一かをチェックできます。
既に1password(パスワードマネージャ)は、この機能でパスワード漏洩チェックができる機能が追加されていますし、このサービスは以前から多数のOSSツールも連携しているので、API v2によりさらなる充実が期待されます。
memcachedによるDDoS問題、1.7Tbpsに到達。一方お手軽な対策も登場
memcachedが不正なUDPパケットを送りつけることで5万倍以上の強烈な増幅率になってしまう件についてです。
Shodanなどで見つかった、ネットに露出したmemcachedサーバを使ったDDoS攻撃は、ついに新記録1.7Tbpsに到達しました。攻撃を受けた対象は非公開です(その前の1.3Tbps攻撃はgithub向けでしたが)。なお、memcached以前の最高記録はMiraiによる2016年秋の1Tbpsです。
「DDoS攻撃の新記録、1.7Tbps」
この時点では「2Tbpsはいく」とみられていました。また、複数のPoCも出ています。中には1ツイートに収まるものも(Perl用に見えます)。
「Memcached DDoS攻撃の実証(PoC)コード、公開」
まあ、既に攻撃が行われていたので、それほど重大ではありませんが、それでも技術力のない者が攻撃できてしまう問題はあります。
一方、攻撃を受けた場合の対策も発表されています。
「Memcached DDoS攻撃を緩和するテクニック発見」
そのテクニックは、攻撃元に対して"flush_all\r\n"と送ること。さらに"shutdown\r\n"と送るのも有効だとか。この対策は既に「Memfixed」という名前でpythonのスクリプトになっています。
Memfixed
「MemcachedベースのDDoS攻撃を緩和する新ツール、Memfixed」
(なお、Memfixedはshutdownコマンド送信機能をオプションでもっていますが、BleepingComputerのCimpanu氏は「他者のサーバを落とすのは有罪になりかねない」として使わないことを推奨しています。というか、UDPパケットで本当にシャットダウンできるんですね……)
また、各地のサーバ業者が警告を出している模様です。おかげで、ポート11211(今回のMemcached問題での標準待機ポート)が開いているサーバの数は3月1日から3月5日までで3分の2(18000→12000)まで減少したそうです。
Memcached自身も、デフォルトでUDP接続を無効化(有効化は明示的な指定が必要)されたバージョン1.5.6を公開しています。もっとも、こういう更新を素早く適用できるところは、そもそもMemcachedをインターネットに晒さないとは思いますが……。
トルコで、あるアプリ群の1つ以上を入れた人々が誤認逮捕される
「秘密主義で知名度の低いスマホアプリは、いかにしてトルコ反乱後の弾圧の中心になったか」
ByLockというメッセンジャーアプリがあるそうです。とりあえず検索しても見つかりませんが、公式ストアではなく、単体でダウンロード、インストールするものというトルコ語での記述もみられます(google翻訳による)。
これが、2016年7月の反乱の後で着目されることになりました。ByLockは、米国に帰化した元トルコ人が公開したそうですが、本来の作者(リリースした人物のルームメイト)が、トルコの反体制派とされるギュレン派の人物なのだそうです。2017年9月には、トルコの法廷で「ByLockのインストールには、ギュレン派との関わりを疑う十分な証拠」という判断が出たこともあり、ByLock狩り(インストールした人の逮捕)が進みました。
しかし、この「ByLock狩り」では、ByLockを使ったことがない人物も多数逮捕されました。実は、ByLockとは全然違うアプリ(Spotify風の音楽アプリやドイツ語-トルコ語辞書アプリなど)が、(それらアプリ作者が意図した通り)ByLockのサーバにアクセスしており、トルコ当局はこの通信をもってByLockをインストールしたと認識、即逮捕していたようです。
12月27日に公開された情報によれば、1万人以上が誤認逮捕だったとされており、しかも、いまだに一部は釈放・名誉回復されていないそうです。
最近のロシアからの攻撃ネタ:五輪と独政府
「米政府言及:五輪をクラックし、北朝鮮の犯行に見せかけたのはロシアのスパイ」
平昌五輪の開会式を狙った攻撃(通称「Olympic Destroyer」)について、米国の諜報関係者が「ロシア軍に属するスパイによるもの」と述べた、とワシントン・ポストが報じています(ただ、この記事は本筋の重要情報が少なく、ソースは全体的に不明瞭なもので、かなり政治的な記事という印象も受けます)。
なお、この攻撃はIPアドレスや使われたツールなどから、攻撃元が北朝鮮、あるいは中国に見えるものでした。
「悪名高いロシアのサイバー攻撃集団、ドイツ政府をクラック」
ドイツで外務省や防衛省、首相府などのネットワークに侵入がありました。攻撃元はロシア軍の諜報部門GRU配下のAPT28とみられています。
広告ブロッカーを回避するマイニングスクリプト
「広告ネットワーク、DGAアルゴリズムを使って広告ブロッカーを迂回、ブラウザ内でマイニング」
広告ブロッカーはiOSで正式採用されたあたりから普及が進み、対策も進んだ感がありますが、一部の広告業者が入れてくる暗号通貨のマイニングは本格的な迂回策を行っています。
ここで使われているのはDGA(ドメイン生成アルゴリズム)です。これ自体は別に新しいものではなく、例えば下記のトレンドマイクロの記事(2010年)でも取り上げられています。
https://blog.trendmicro.co.jp/archives/3799blog.trendmicro.co.jp
業者側は極めて多数のドメインを取得できるため、広告ブロックされた場合はそのプールから新たなドメインを取得します。ブロッカーから見ると、初見のドメインということになるため、ドメイン単位でのブロックでは追いつけないというわけです。