StackOverflowの開発者アンケート(2018年版)
ソフトウェア開発者なら、ほぼ確実にお世話になっているサイトStack Overflowの2018年アンケート結果が公開されました。
個人的にはSOのアンケート結果をちゃんと見たのが初めてで興味深かったので、取り上げてみたいと思います。
ただし、あくまで「個人的に気になった部分」だけなので、言及すらしてない項目があります。ちゃんと知りたい方は、ぜひ元記事へ(英語だけど調査結果を読むだけなら困らないと思います)。
なお、見出しのカッコ内は元記事の項目名なので、元データを調べたい時にページ内検索用にご利用ください。
続きを読む中国CNNVD、脆弱性情報データベースを書き換えていることが判明
「中国、公的脆弱性データを改変。国家安全部による影響の隠蔽のため」
以前からCNNVD(中国の脆弱性情報データベース)については、脆弱性によって公開タイミングが違うことが指摘されていました。
この調査元であるRecorded Futureによる続報が出ました。要するに「CNNVDは脆弱性情報の公開日付を改変している」というものです。
前回、MSS(国家安全部)が脆弱性情報の公開について管轄し、有用な項目はあえて公開を遅らせて利用しているのでは、と指摘していましたが、今回の公開日付改変は、それを裏付けるものとしています。
米国のNVDは、こういったことは(直接には)ないものの、システム的に公開があまり早くないことは前回の報告で言われていたところです。実務では、こういった国家レベルのデータベースは後追いであり、他の情報源を日常的に使う必要がある、ということでしょう。
きわめて高レベルなAPT「Slingshot」が報告される
Slingshot APTのFAQ(よくある質問)
Kasperskyは、高度なマルウェア群による攻撃(APT)を「Slingshot」と名付け、その詳細を発表しました(冒頭記事の末尾に25ページの報告書へのリンクがあります)。
Slingshotは、少なくとも2012年から活動していたとみられます。また、SauronやReginといったものと並ぶ非常に洗練されたソフトウェアが使われています。文字列を全て暗号化して保存したり、ハードディスクの未使用領域に暗号化ファイルシステムを作るなど、手間もかかっています。
Slingshotの目的は情報窃取です。侵入経路としてはWindows PCや、ラトビアMicroTik社のルータ(または、その管理ツール)などが使われた模様です。また侵入対象は西アジアやアフリカ(特にケニアとイエメン)の、主に個人(ただし一部は組織)というのが意外なポイントです。
複雑さや洗練具合、活動内容などから国家(あるいは同等水準の組織)による可能性が高いものの、それ以上の推測は困難な模様です。
多くのメールサーバで使われるEximにまた脆弱性
パスワード漏洩確認サービス「Have I Been Pwned」、新チェック方式導入
Have I been pwned API v2
「パスワードがハクられているかチェックしよう ― サーバへの送信なしで」
「新ツールでパスワード漏洩チェックが格段に簡単に」
セキュリティ研究者Troy Hunt氏が運営する、漏洩したパスワードを収集して、そこに含まれるかをチェックできるパスワード漏洩確認サービス「Have I Been Pwned」が、第2バージョンのAPIを公開しました。
API v2全体は広範囲にまたがりますが、1つの特徴的な機能は、従来と違って「パスワードを送信せずに漏洩確認できる」ことでしょう。要するにパスワードのSHA-1ハッシュを送信して確認するというものです。SHA-1は一方向性関数なので、ハッシュから元のパスワードを直接求めるのが困難となります。
しかし、そもそも漏洩したパスワードのハッシュを求めているわけですから、(正しい保証はないものの)ハッシュからパスワードが推測できるのも事実。
実はAPI v2には「SHA-1ハッシュの先頭の5文字」を送信すると、「5文字が一致するハッシュ全体とリスト上での出現回数」の一覧を返してくれるものもあります。つまり、受信側はローカルでハッシュ全体が同一かをチェックできます。
既に1password(パスワードマネージャ)は、この機能でパスワード漏洩チェックができる機能が追加されていますし、このサービスは以前から多数のOSSツールも連携しているので、API v2によりさらなる充実が期待されます。
memcachedによるDDoS問題、1.7Tbpsに到達。一方お手軽な対策も登場
memcachedが不正なUDPパケットを送りつけることで5万倍以上の強烈な増幅率になってしまう件についてです。
Shodanなどで見つかった、ネットに露出したmemcachedサーバを使ったDDoS攻撃は、ついに新記録1.7Tbpsに到達しました。攻撃を受けた対象は非公開です(その前の1.3Tbps攻撃はgithub向けでしたが)。なお、memcached以前の最高記録はMiraiによる2016年秋の1Tbpsです。
「DDoS攻撃の新記録、1.7Tbps」
この時点では「2Tbpsはいく」とみられていました。また、複数のPoCも出ています。中には1ツイートに収まるものも(Perl用に見えます)。
「Memcached DDoS攻撃の実証(PoC)コード、公開」
まあ、既に攻撃が行われていたので、それほど重大ではありませんが、それでも技術力のない者が攻撃できてしまう問題はあります。
一方、攻撃を受けた場合の対策も発表されています。
「Memcached DDoS攻撃を緩和するテクニック発見」
そのテクニックは、攻撃元に対して"flush_all\r\n"と送ること。さらに"shutdown\r\n"と送るのも有効だとか。この対策は既に「Memfixed」という名前でpythonのスクリプトになっています。
Memfixed
「MemcachedベースのDDoS攻撃を緩和する新ツール、Memfixed」
(なお、Memfixedはshutdownコマンド送信機能をオプションでもっていますが、BleepingComputerのCimpanu氏は「他者のサーバを落とすのは有罪になりかねない」として使わないことを推奨しています。というか、UDPパケットで本当にシャットダウンできるんですね……)
また、各地のサーバ業者が警告を出している模様です。おかげで、ポート11211(今回のMemcached問題での標準待機ポート)が開いているサーバの数は3月1日から3月5日までで3分の2(18000→12000)まで減少したそうです。
Memcached自身も、デフォルトでUDP接続を無効化(有効化は明示的な指定が必要)されたバージョン1.5.6を公開しています。もっとも、こういう更新を素早く適用できるところは、そもそもMemcachedをインターネットに晒さないとは思いますが……。