「深刻なデシリアライズ問題、Javaだけでなく.NETにも影響」

www.bleepingcomputer.com

元の論文

https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf

名前がアレですが、しばらく前にJavaで話題になったデシリアライズ（外部からのデータを取り込んで内部オブジェクトに変換する処理）の脆弱性が、.NETのライブラリでも発見されたという話です。本質的にはデシリアライズするデータは何でもいいのですが、ここでは主にJSONを扱っています。

論文冒頭付近では、リモートコード実行(RCE)を起こすライブラリの条件として次の2点を挙げています。

• ライブラリが、ユーザ（潜在的には攻撃者）が指定可能な型のメソッドを実行できること。この「メソッド」にはデフォルト以外のコンストラクタやプロパティへのset、デシリアライズ時コールバックやデストラクタが含まれる。
• 悪用可能なコードを探せるだけの広さをもった空間が利用可能なこと（正確に理解できていませんが、後の記述からは悪用可能なクラスにアクセスできること、といった意味と思われます）

論文では.NET標準の JavascriptSerializer や DataContractJsonSerializer 、超有名ライブラリのJSON.NETなどJavaと.NETのライブラリ10個（と比較参照のためにJavaのFlexSON）を調査しています。

• Json.NETの場合、基本的には TypeNameHandling を None 以外にすると脆弱になりやすい
• .NET標準の DataContractJsonSerializer の場合、型指定を任意指定できてしまうと脆弱になる（論文ではCookieから型名を取得する例を書いています）

といった感じです。中には（ネットの向こうから来るような）信頼できないデータに対して扱うべきではない、と結論されるライブラリもあるので、気になる場合は論文をチェックしてみるといいでしょう。

「パスワードのベスト・プラクティス、元々の筆者の後悔の後に改訂」

www.theverge.com

「パスワードは定期的に変更しましょう」といえば「勘違いセキュリティ」として有名ですが、元々の発案者へのインタビューがWSJに掲載されていたようです（上記はそれをもとにしたThe Vergeの記事）。

かつて米NISTに勤めていたこの人物は「かつて行ったことの多くを後悔している」と述べています。ちょっとかわいそう。

代表的な後悔している項目は2つ。

• パスワードは記号や数字を入れた複雑なものにすべし
• パスワードは90日ごとに変更すべし

パスワードに記号や数字を入れること自体は強度を増す意味はありますが、覚えづらくなるのが問題です。定期的変更は言い尽くされてますが、そもそもセキュアにならない上に、変更を強要することで安易なパスワードに流れやすくなる問題があります。

現在ではNISTも指針を改訂していますが、考え方の改訂が広まるのには時間がかかりそうです。

ところで、記事中で引用されているxkcdの「単語の組み合わせ」も忘れやすいと思いますけどね。個人的には（環境により判断基準が異なりますが）パスワードは素直にマネージャ使うのがベストだと思います。

「WannaCryランサムウェアを止めた研究者、Def Conの後で米国により拘束」

motherboard.vice.com

「MalwareTech氏、Kronosバンキング・マルウェア作成容疑でFBIにより逮捕」

www.bleepingcomputer.com

WannaCryが流行した時、これを解析して「特定のURLからの応答があればファイルの暗号化を行わない」ことを発見し、その「キル・スイッチ」を作動させて被害を一部抑えたセキュリティ研究者「MalwareTech」氏（英国人）が、米国で開かれていたBlackHatおよびDef Conへの出席後にFBIにより逮捕されました。

容疑は「Kronosマルウェアの開発と更新」です。

FBIや英サイバーセキュリティーセンターなどからは、現在の彼の所在などは一切明かされていません。

Kronosはネット・バンキングを利用したマルウェアで、少なくとも2014年7月には存在し、2000～7000ドルで販売されていました。これが販売されていた場所の1つは、先日米国が押収したAlphaBayです。

mokake.hatenablog.com

セキュリティ関係者の間では、彼がKronosを作ったという容疑への疑いや、正当な法的保護が得られるかへの懸念などの声が出ています。