[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:00649] Re: 運動会はどうでしたか?
- To: <connect24h@xxxxxxxxxxxxx>
- Subject: [connect24h:00649] Re: 運動会はどうでしたか?
- From: Yasuhisa Ishikawa <ishikawa@xxxxxxxxxxx>
- Date: Wed, 25 Oct 00 16:31:58 +0900
石川です。長文失礼します。
2000.10.25 10:59 office office@xxxxxxxxxxx
>officeです
>
>昨日FireWall Defendersの秋の運動会があったようですが、
>参加なさった方お疲れ様です。
私も初心者ながら防御側で参加しておりました。内訳は、
○Defense side:for Script Kiddies
・Mac OS 9.0.4(以下、9.0.4)
・Mac OS X Public Beta 日本語版(以下、OS X pb)
・Darwin 1.0.2
の3台です。どれも割り当てられたIPを振って、ハブを介して
ネットワークに直繋ぎ状態です。
当日立ち上げたhttpdで公開していたのが↓です。
http://www.vinet.or.jp/~ishikawa/macos904/index.html
http://www.vinet.or.jp/~ishikawa/macosx/index.html
※↑に上げる際にcgiは稼働してないので、カウンター、掲示板等動きません
Darwin 1.0.2はデフォルトだと何もサービスを提供しないので、
ftpとtelnetを空けておきました。
どれもサーバというよりは、いつも自分が使っている状態を想定して、
クライアントでサービスを稼働させて、ネットに直結したらどうなるか?
を調べるためのものでした。
Webデザインの仕事などしているとイントラネット内で、クライアントで
直接httpdを立ち上げて、確認作業を行いつつ、と言う事がままありますので。
ネットワークに直繋ぎなので、実世界ですとルータでなく、
フィルタも何もないTAで常時接続しっぱなしに近いのかな、と思っております。
後は「sshって何?」位の知識で、サーバを立ち上げてしまう状態の
想定でもありました。
ただしuser=passwordほど安易ではなく、AnonymousなFTPも
立ち上げてはおりませんでした。
>
>きいた噂によればはこのML主催のまもとさんはアタックに
>成功していたとか。
当日は、誰がどういう手法でアタックに成功したのか
アナウンスが無かったので、私も、はまもとさんにうかがいたいと
思っておりました。
# 本当は会場でご挨拶しようかと思ったのですが...。
# そう言えば、サポセンの方や、port139の伊原さんなど、私でも
# 名前を存じ上げている方もいらっしゃいましたね。
>
>あつかましいお願いですが、できれば参加されていた方々から
>FWDだけじゃなくてこちらでも報告なぞ頂けると嬉しいのですが。
FWDでは当日取ったアンケートに基づいてこれから情報提供が
為されると思います。
# あくまでも回答者の公開可能な情報だけでしょうが。B-)
全体の情報はまるっきり提供されていないので、私も知りたい事が
多々あります。
以下、私の所感です。ただし、私自身にログを読みとる力が
不足していると思うので、正確ではないかもしれません。
・自分の問題点として、準備期間がほとんど設けられず、
ログ解析ツールや侵入検知の仕組みを導入できなかった。
また、Netbarrierのログでは、あまりにも物足りない。
・httpdに対してのアタックは主にツールを用いたと思われる
cgi-binへの探りが多かった。
→9.0.4とOS X pb
・ftpdに対しては、Anonymous loginの失敗や、適当なアカウントの
試行が見られたが、さほど多いとは感じられなかった。
→9.0.4とOS X pbとDarwin
・telnetに対しては、さほど量の無い、loginの試行が見られた。
→OS X pbとDarwin
・9.0.4とOS X pbとは、TCP/IP経由でのファイル共有を稼働していたが、
恐らくそこにアタックをかけた人はいなかったのではないか。
(アタック側に一人だけPowerBookの方がいたが...)
・9.0.4で稼働していたカウンターcgiの管理者用パスワードが平文で
保存されていることに途中で気付き青ざめたが、そのままにしておいた。
(その点では、Netbarrierの文字列へのフィルタ機能は心強い)
・DarwinとOS X pbは、同等なのかと思っていたが、/etc/inetd.confの
違いに少々驚いた。(これはアタック側の方で個人的にOS X pbを
使用してらっしゃる方も同じ事を言っていた。)
・OS X pbとに関しては「まだFingerprintが無い」と言っている方がいた。
(当然な気もするが)
・楽勝なアカウントやAnonymous FTP、甘めのcgiなど設けるべきだった
のだろうか???
・両サイド共に相手のIP、OSは公開されておらず、5時間強という
時間の中では、アタックサイドは辛かったのではないか。
・防御側で希望する人は、予めOSを公開しても良かったのでは?
・この催しが、参加費無料かつボランティアによる運営だった事は
(文字通り)有り難く、感謝したい。
その他は、これから仕事の合間にでも残ったログでも見ながら楽しみたいと
思います。
# それとも、OS X のapacheや/var/logでもどこかのWebに上げた方が、
# 皆さんが見れて良いですかね...。
# 今、上げたもんかどうか迷ってるんですが。
それから、OS X pbとDarwinに関しては別であるが、9.0.4に関しては、
やはりかなり乗っ取りにくいOSであり、仮に要塞ホストとして公開しても
・ゲストアカウントの無効化(ファイル共有もFTPも)
・安易なパスワードは設けない
・定期的な不可視ファイルやバックドアの検査
・そもそもセキュリティホールのあるソフトを使用しない
・OpenTransportを出来るだけ新しくしておく
と言った極基本的な事に加えて、Netbarrierなどパーソナルファイアウォール
を導入することで、かなり堅く仕上がるのではないかと感じました。
# ちょっと甘いかも知れませんが。
ただし、当然の事ながら個人の常時接続ではフィルタ機能の無いTAなどでなく、
せめてフィルタの有るダイヤルアップルータを使うべきだろうとは
思います。
また、OS X pbは、/usr/sbinにsshdがあるにも関わらず、なぜシステム設定の
コントロールパネルのボタンひとつでtelnetdを起動できるようにしているのか
が謎です。
--
Virtual Monkeys
石川 泰久
ishikawa@xxxxxxxxxxx