8月 31

Wiresharkによる無線LAN通信の復号手順メモ

本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、一切責任を負いかねます。ご了承ください。

ひょんなきっかけで接続されているパスワードが設定されており、暗号化された無線LANを流れる自分以外の通信を復号できるかどうかということの再確認を「Wireshark」を用いて行ったのでそちらの手順のメモです。前提条件として、その無線LANに接続しているユーザはWPA2 Personalで共通のパスワードで接続しているというものです。
また、今回、Wiresharkを動作させているコンピュータはMacOSです。

まず、「Wireshark」を起動してメニューバーの

[Capture]→[Options]

を選択し、[Capture Options]ウインドウを表示します。
01

表示されたウインドウ内に表示されている中からパケットを収集するネットワークカードを選択して、ダブルクリックをします。すると下図のように[Edit Interface Settings]ウインドウが表示されますので
02

[Capture packets in promiscuous mode]
[Capture packets in monitor mode]

のそれぞれにチェックをします。

[Edit InterfaceSettings]ウインドウを[OK]で閉じ、[Capture Options]ウインドウを[Close]で閉じます。

次にメニューバーから

「Edit」 → 「Preferences…」

を選択し、[Preferences]ウインドウを開き、左ペインの[Protocols]を開き[IEEE 802.11]を選択します。
そうすると右ペインの表示が変化するので
[Enable decryption]にチェックを付けて
[Decryption Keys:]の[Edit…]ボタンをクリックします。
03

すると[WEP and WPA Decryption Keys]ウインドウが開きます。
04-1

そして、[New]ボタンをクリックし、復号したい通信が流れる無線LANアクセスポイントの暗号化方式[Key Type]とパスフレーズとSSIDを入力をします。今回は[WPA-PWD]の通信を復号するため[Key]の部分は

Passphrase:ssid

という形式で入力します。
04-03

上記ウインドウ、[WEP and WPA Decryption Keys]ウインドウ、[Preferences]ウインドウを[OK]で閉じます。

これで準備は整いました。後は通信をキャプチャするだけで、条件に合致した通信は復号されて読むことができるようになります。
05

下図は、復号を行った状態と行っていない状態での通信の内容を表示したものです。
復号後のものはアクセスしたサイトのアドレスが表示されています。

【復号前】
09

【復号後】
07

Category: memo | Wiresharkによる無線LAN通信の復号手順メモ はコメントを受け付けていません
8月 25

模倣サイトと呼ばれている「3s3s」について

各所から「模倣サイト」に関する注意喚起が出されています。多くの注意喚起は
「コンピュータウィルスに感染するなどの恐れがあり」といったような文言を添えて注意喚起をしています。模倣サイトとされているサイトのドメインは伏せられていることが殆どですが一部の発表によると「3s3s.org」というドメインのようです。
このあたりについてはpiyokangoさんがまとめを作られているので参照いただければと思います。

さて、この「3s3s」は一体どのようなサイトなのか?ということなのですが、それについてはトップページに書かれています。

3s3s01

Your favorite site someone has blocked? You do not like censorship?
Enter the site address in the text box below and click “Unblock”.

「あなたのお気に入りのサイト誰が誰かにブロックされましたか?あなたは検閲を好みませんか?
以下のテキストボックスにサイトのアドレスを入力し、「ブロックを解除する」をクリックしてください。」
といったところでしょうか。

この言葉通りであれば、何かしらの理由でユーザが見たいサイトがブロックされている場合、この「3s3s」を経由することで目的のサイトを見られるようにするというものだと考えられます。
「http://n.pentest.ninja/」というアドレスがブロックされているとすると「3s3s」を経由することで「http://n.pentest.ninja.3s3s.org/」というアドレスになり、閲覧できるようものだということです。つまり、誰かが意図的に作成したサイトではなく、元のサイトのまま表示させているため注意喚起のようにコンピュータウイルスの感染は考えられないということになります。もし、「3s3s」のほうにコンピュータウイルスに感染する危険性があるのであれば、元のサイトにもコンピュータウイルスに感染する危険性があるということになりますので本末転倒です。

また、この「3s3s」を経由すると「3s3s」が指定したサイトにアクセスを行ってきますので「3s3s.org」からのアクセスを「.htaccess」やファイアウォールなどでブロックすれば、各サイトで呼ばれているような「模倣サイト」の作成は防ぐことができるようになりますので、どうしても防ぎたいという場合は注意喚起をする前にそちらを実施すればいいのだと思います。
「.htaccess」によるブロックの方法は、Yuta Hayakawaさんがブログに書いてくださっています
さて、「模倣サイト」という言葉なのですが、こちらはこの言葉でいいのでしょうか。
ボクははじめ注意喚起していたことにTwitterで以下のようにつぶやきました。

これは「模倣サイト」という言葉に対して「コピー」という表現を使ったのですがこれに対してご指摘をいただきました。


※ また、北河拓士さんはTogetterにもこの件についてのまとめを作成してくださっています

おっしゃる通りで、このとき完全にコピーするよりも、プロクシのような仕組みのほうが「3s3s」自身の負荷も減らすこともできるのでこちらの可能性が高いかもしれないと思いました。

その後、piyokangoさんが「3s3s」の管理者に質問をしてくださったようでProxyであると明言されていますね。

何れにしてもこの「3s3s」は現在のところ仕組み上コンピュータウイルスに感染するようなものではないということが言えます。
もちろん、このサイトの管理者やこのサイトを乗っ取った攻撃者がある日「3s3s」を経由してのアクセスしたユーザに不正なスクリプトを埋め込むということをすれば、その瞬間からコンピュータウイルスに感染するというようなものに変更できなくはありませんが現在、各所で注意喚起されているものと
現在の「3s3s」の挙動は合致しない説明であると言えると思います。

ここまで書いてふと思い出したのですが過去にも似たようなことがありました。
昨年の4月11日にボクは以下のようなツイートをしています。

このつぶやきは、中国のドメインでフィッシングサイトらしきものが作成されているという注意喚起がされたときのものです。しかし、こちらも今回と似ているもので携帯電話でアクセスするためにサイトを携帯用に変換して表示してくれるサービスだったのでした。

また、このサイトを「3s3s」経由でアクセスしてみてソースコードを確認したのですが気になる表記がありました。下図の「blacklist.3s3s.org」の部分です。3s3s02

このアドレスにアクセスするといくつかのドメイン名とその管理者らしき方のメールアドレスが列挙されていました。試しにblacklistに記載されているドメインを入力してみたところ下図のようなポップアップが表示されました。
3s3s03

おそらく、「3s3s」にコンタクトを取りブラックリストに入れてもらうことでこのように対処してもらうことが可能なのでしょう。しかし、ポップアップにもある通り、OKを押すとすぐに「http://anonymouse.org/」にリダイレクトされました。
3s3s04

この「anonymous.org」も「3s3s」と似たサイトでここを経由して目的のサイトを閲覧するというものです。

だらだらと書いてきましたが簡単にいうと現在の「3s3s」は有害ではないと言えます。
どれくらい有害ではないかというと翻訳サイトで閲覧したいサイトのURLを打ち込むのと同様と考えていただければいいかもしれません。
参考までに下図はエキサイト翻訳のウェブページ翻訳で「http://n.pentest.ninja」を入力した結果です。
excitewebftans

日本に住んでいると検閲を受けてサイトをブロックされたりする機会はかなり少ないのであまりピンとくる方は多くはないのかもしれませんが、そのようなことが行われることが当たり前の国は世界中にあります。「3s3s」はそのような方のために作られたサービスなのかもしれません。
もちろん、普段から模倣サイトには気をつける必要があり、それと疑わしきものについては注意喚起すべきであるということにはボクも賛成ではありますが今回の件は「模倣サイトが作成されており、コンピュータウイルスに感染する恐れがある」といったような注意喚起そのものが不適切な表現であると言えます。とは言うものの「3s3s」側でも元のサイトと見た目に全く同じというわけではなく、元のサイトを表示するにはこちら。といったようなリンクなどをページ上部にでも表示してくれると親切設計で誤解を招きにくいのかもとも思いました。

今回の件で、正しく理解し、正しく伝え、正しく怖がるということの大切さを改めて考える事ができました。

Category: memo | 模倣サイトと呼ばれている「3s3s」について はコメントを受け付けていません
8月 19

ANAの「Webパスワード」導入で思ったこと。

fly_01

全日本空輸(以下、ANA)から「Webパスワード」の導入に関する発表がありました。

これは、今まで数字4桁だったログインパスワード(と呼べる強度かどうかは別にして)から

任意の英文字(大小)と数字で構成する8桁以上16桁以下のパスワード

を設定できるようになるというものです。
実施開始予定は

2014年9月4日(木)午前 5:00(日本時間)より

とのことで

2014年12月3日まで

は案内、移行期間として

2014年12月4日以降

はこのポリシーの「Webパスワード」のみの利用に切り替わる予定だそうです。

設定できるパスワードと認証方法に関してはまだまだ万全というわけではなく

・使用できる文字種に「記号」を使えるようにする。
・設定可能な文字数を長くする。
・二要素(段階)認証を設定可能にする

など個人的には、改善の余地のあるものだと思います。

しかし、元々が数字4桁のみと脆弱極まりないと言えるものだったということもあるにはあるのですが
今回の「Webパスワードの導入」は大きな進歩だとも言えると思います。

ANAは、2014年3月11日、「ANAマイレージクラブ」のWebサイトに不正ログインがあり、
顧客9人のマイレージ・112万マイル(現金に換算すると、最大で65万円分)が「iTunesギフトコード」に不正に交換されていたこと発表しています。

この事実から以下のように考えることもできるのではないでしょうか。

65万円分の補填を行うことと、今まで数字4桁で構築してきたシステムを「Webパスワード」を設定できるように変更するコストを天秤にかけた場合、補填したほうが安い。(金銭的な)費用対効果を考えれば、決して誠意ある対応とは言えませんが、システムの変更を行わず、都度、補填を行うという選択をするという可能性も大いにあったのではないかと思います。

その中で改善点はまだまだあるものの
今回の選択をしたということは評価すべきことなのではないかと思います。

昨今、色々なところでセキュリティ事故が発生しています。
Web改ざん、不正ログイン、情報漏洩、サービス停止などなど。

もちろん、事故が起こるということは何かしらの不備があるからです。
それは、マイナスの評価をされて然るべきことだと思うのですが
その事故に対してどのような対応を取ったのかということは、事故を起こした事と別に評価すべきものではないかと思っています。

不正ログイン事故が発生した場合も可能な限りユーザに情報開示を行ったサービスと
そうではないサービスとでは違った評価がされるべきだと思っています。
前者は、きちんとプラスの評価をユーザもすべきだと思います。
その評価(マイナスだけではなくプラスの評価も)をTwitterなどでつぶやいてみることもいいと思います。地道かもしれませんが、そうした個々人のアクションがサービス提供側に伝わっていききちんと対応すれば、きちんと評価されるんだという空気が広がって良いサイクルが生まれていけばいいなって思います。

人は、誰でも誉められることは悪い気はせず嬉しいものだと思います。
そうすると「これでいいんだ。よかった。もっと頑張ろう」って思えるものだと思うんですよね。

今回のANAの対応を見て、ボクは「よくやってくれた!」と思いました。
今後、更なるレベルの向上も行ってくれることも期待したいと思います。

そして、今回のANAの対応を受けて
他のサービス提供サイトのセキュリティレベルの向上があると嬉しいと思います。

Category: memo | ANAの「Webパスワード」導入で思ったこと。 はコメントを受け付けていません
8月 14

WordPressのPHPのXML処理の不備によりサービス妨害(DoS)攻撃が実行される脆弱性に関する検証レポート

【概要】
WordPressに、リモートよりサービス妨害(DoS)攻撃が可能な脆弱性が発見されました。

この脆弱性は、WordPress内のPHPがXMLを処理する際の処理に不備が存在するため、リモートよりサービス妨害(DoS)攻撃を受ける問題が起こります。
これにより、攻撃者はリモートからサービス妨害(DoS)攻撃を行うことが可能になります。それにより、利用者がWebサービスに接続し難くすることが可能です。
今回、この脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■WordPress
– WordPress 3.5から3.9.2未満のバージョン

【対策案】
WordPress.orgより、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。
WordPress > 日本語

【参考サイト】
JPCERT コーディネーションセンター Weekly Report
WordPress › 日本語 « WordPress 3.9.2 セキュリティリリース
WordPress >WordPress › WordPress 3.9.2 Security Release

【検証イメージ】
image_140813_01

 

 

 

 
【検証ターゲットシステム】
Windows Server 2012 + XAMPP for Windows 1.8.3 / PHP 5.5.11 + WordPress 3.9.1日本語版

【検証概要】
攻撃者が作成した細工されたリクエストをサーバに送ることで脆弱性を利用した攻撃を行い、対象サービスを遅延させ、結果、通常の利用者からのアクセスを妨害するというものです。
これにより、サービス妨害(DoS)攻撃が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Windows Server 2012)のタスクマネージャです。黄線で囲まれている部分は、攻撃を実行する前のプロセスの状態です。
bf_attack

 

 

 

 

 
 

赤線で囲まれている部分が、リモートから攻撃者が、サービス妨害(DoS)攻撃をを実行した直後の状態が表示されています。
af_attack01

 

 

 

 

 

 
 

Webサービスの遅延が発生し、ページの参照が待機状態になりました。
af_attack02

※ 今回の検証にはWindows OSを使用していますが、Linuxなどの環境でも同様の現象を再現することが可能です。

 

 

 

 

 

 

 

 

 

reported by y.izumita, nao323, ntsuji

Category: exploit | WordPressのPHPのXML処理の不備によりサービス妨害(DoS)攻撃が実行される脆弱性に関する検証レポート はコメントを受け付けていません