DefConで.NETのデシリアライズの脆弱度が発表(※ライブラリにより違います)
「深刻なデシリアライズ問題、Javaだけでなく.NETにも影響」
元の論文
https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf
名前がアレですが、しばらく前にJavaで話題になったデシリアライズ(外部からのデータを取り込んで内部オブジェクトに変換する処理)の脆弱性が、.NETのライブラリでも発見されたという話です。本質的にはデシリアライズするデータは何でもいいのですが、ここでは主にJSONを扱っています。
論文冒頭付近では、リモートコード実行(RCE)を起こすライブラリの条件として次の2点を挙げています。
- ライブラリが、ユーザ(潜在的には攻撃者)が指定可能な型のメソッドを実行できること。この「メソッド」にはデフォルト以外のコンストラクタやプロパティへのset、デシリアライズ時コールバックやデストラクタが含まれる。
- 悪用可能なコードを探せるだけの広さをもった空間が利用可能なこと(正確に理解できていませんが、後の記述からは悪用可能なクラスにアクセスできること、といった意味と思われます)
論文では.NET標準の JavascriptSerializer
や DataContractJsonSerializer
、超有名ライブラリのJSON.NETなどJavaと.NETのライブラリ10個(と比較参照のためにJavaのFlexSON)を調査しています。
- Json.NETの場合、基本的には
TypeNameHandling
をNone
以外にすると脆弱になりやすい - .NET標準の
DataContractJsonSerializer
の場合、型指定を任意指定できてしまうと脆弱になる(論文ではCookieから型名を取得する例を書いています)
といった感じです。中には(ネットの向こうから来るような)信頼できないデータに対して扱うべきではない、と結論されるライブラリもあるので、気になる場合は論文をチェックしてみるといいでしょう。
超音波によるスマートデバイスへの攻撃手法が発表
「まずいもの聞こえちゃったね:研究者達、『超音波銃』によるスマートデバイスへの攻撃デモを公開」
記事タイトルは「Sounds bad」をなんとかやったんですが、下手ですみません……。
Black Hat USAにおいて、アリババのセキュリティ研究者から、超音波や可聴域の音波を用いた攻撃手法のデモがありました。
これは加速度計やジャイロ、各種のMEMSセンサを用いた機器に音波をぶつけることで値を狂わせて異常動作を励起させるものです。特にターゲットの共振周波数などにあわせることで大きな影響を与えることができます。
デモでは、ライブでiPhone7とGalaxy S7、ビデオではVRヘッドセットやドローン、ホバーボード、自律的にバランスをとるおもちゃをターゲットに音波をあてて異常を起こしています。
「パスワードの定期的変更」、発案者が後悔を表明
「パスワードのベスト・プラクティス、元々の筆者の後悔の後に改訂」
「パスワードは定期的に変更しましょう」といえば「勘違いセキュリティ」として有名ですが、元々の発案者へのインタビューがWSJに掲載されていたようです(上記はそれをもとにしたThe Vergeの記事)。
かつて米NISTに勤めていたこの人物は「かつて行ったことの多くを後悔している」と述べています。ちょっとかわいそう。
代表的な後悔している項目は2つ。
- パスワードは記号や数字を入れた複雑なものにすべし
- パスワードは90日ごとに変更すべし
パスワードに記号や数字を入れること自体は強度を増す意味はありますが、覚えづらくなるのが問題です。定期的変更は言い尽くされてますが、そもそもセキュアにならない上に、変更を強要することで安易なパスワードに流れやすくなる問題があります。
現在ではNISTも指針を改訂していますが、考え方の改訂が広まるのには時間がかかりそうです。
ところで、記事中で引用されているxkcdの「単語の組み合わせ」も忘れやすいと思いますけどね。個人的には(環境により判断基準が異なりますが)パスワードは素直にマネージャ使うのがベストだと思います。
Mandiantのセキュリティ研究者、保持するデータを暴露される
WannaCryの被害を一部食い止めた研究者、FBIに逮捕される
「WannaCryランサムウェアを止めた研究者、Def Conの後で米国により拘束」
「MalwareTech氏、Kronosバンキング・マルウェア作成容疑でFBIにより逮捕」
WannaCryが流行した時、これを解析して「特定のURLからの応答があればファイルの暗号化を行わない」ことを発見し、その「キル・スイッチ」を作動させて被害を一部抑えたセキュリティ研究者「MalwareTech」氏(英国人)が、米国で開かれていたBlackHatおよびDef Conへの出席後にFBIにより逮捕されました。
容疑は「Kronosマルウェアの開発と更新」です。
FBIや英サイバーセキュリティーセンターなどからは、現在の彼の所在などは一切明かされていません。
Kronosはネット・バンキングを利用したマルウェアで、少なくとも2014年7月には存在し、2000~7000ドルで販売されていました。これが販売されていた場所の1つは、先日米国が押収したAlphaBayです。
セキュリティ関係者の間では、彼がKronosを作ったという容疑への疑いや、正当な法的保護が得られるかへの懸念などの声が出ています。