Shellshock攻撃をリアルタイムで見つけてくれるシステムモニタSysdig

シスアドミンのみなさま、Sysdigがあなたの味方です。ファウンダのLoris Degioanniが、彼のオープンソースのシステムモニタをアップデートして、Shellshock攻撃をリアルタイムで見つけられるようにした。Shellshockが悪用するHTTPリクエストはとてもユニークな形をしているので、このモニタはbashシェルに対するその攻撃を自動的に見つけて、ハッカーが侵入しようとしてるぞ、と教えてくれる。

以下、DegioanniのWebサイトより:

Sysdigを使ってすべてのbashの実行を捕捉するのは簡単だが、もっと作業を容易にするために、2時間ほどかけてSysdigをアップデートし、shellshock_detect(Shellshock検出)と呼ばれる新しい刃先をつけた。そのコードは、環境変数がShellshockのシグネチャと合致するbashの実行をすべて見つけて、以下をプリントする。

・時刻
・被害プロセスの名前とPID(悪質なペイロードで攻撃されbashを実行するプロセス)
・注入されたファンクション(bashがこれから実行するもの)

この‘刃先’の、実際に攻撃があったときの出力は、かなり複雑だ:

13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd

このコードは、Webサーバ(Apache)を利用して、パスワードファイルを匿名で盗もうとしている。こわいね。

この攻撃はHeartbleedなどに比べるとかなり難解だが、危険な問題であることは変わらない。アップデート情報に気をつけて、自分のシステムを確実にアップデートしておこう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全

AppleがいわゆるShellshock脆弱性に対応する公開声明を発表し、OS Xのユーザはほとんどの場合、いかなる攻撃の可能性に対しても安全である、と確証した。Appleのスポークスパーソンは本誌TechCrunchに、この脆弱性に関する次のような一文を提供した。それは、AppleのデスクトップOSにも含まれているUNIXのシェル、bashに見つかった脆弱性だ。

大半のOS Xユーザは、最近報道されたbashの脆弱性のリスクにさらされていない。OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。

本誌もさきほど、読者のためのShellshock対策をポストした。しかしAppleがここで言っているように、OS Xでは高度なアクセスを構成していなければ安全だ(だから読者のほとんど全員が安全)。Appleは、このセキュリティホールを塞ぐためのOS Xのアップデートをもうすぐ提供するはずだから、それまではUNIXの高度なオプションを有効にしないように。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


心拍認証のBionymが早くもシリーズAで$14Mの大金を獲得…パスワード離れが一大産業に?

トロントのBionymがシリーズAで1400万ドルの資金を獲得した。主な投資家はIgnition Partners、Relay Ventures、MasterCard、そしてSalesforce Venturesだ。このラウンドはほかにいわゆる戦略的投資も多くて、たとえばExport Development Canadaはこのプロダクトの、企業向けのセキュリティ機能に着目している。

Bionymの技術は、高度な心電図(electrocardiogram, ECG)センサをNymiと呼ばれるリストバンド(腕輪)に組み込む。そのリストバンドは装着者のECGを自分が保存しているプロフィールと比較して彼/彼女の本人性を確かめる。そして本人がそのリストバンドを着けている間はずっと、無線通信でそのほかのデバイスを認証する。いったん外したら、再度ECGによる再認証が必要だ。

Nymiは同社の最初の製品にすぎないが、すでにデベロッパたちの手に渡って、この秋の終わりごろを予定している消費者向けローンチの準備が進められている。Nymiの予約キャンペーンでは、これまで1万を超えるオーダーが来ている。今回の資金で生産と発売を確実にするとともに、新たな雇用も行う。2011年に創業したBionymは現在社員数が約40名に増えており、最近トロント都心部の大きなオフィスに引っ越したばかりだ。

Bionymの最初の資金調達は2013年8月に終了した140万ドルのシードラウンドで、そのときはRelay VenturesやDaniel Debow、およびそのほかのエンジェルたちが投資した。今回はMasterCardやSalesforce、EDCなどが参加したことにより、戦略的パートナーシップの色彩も濃くなっている。Nymiは商業方面のアプリケーションに多大なる可能性があり、ほかにも、ホスピタリティー産業や、さまざまなエンタプライズアプリケーションで機会がありそうだ。

Appleは同社のTouch ID技術のAPIを公開することにより、これを、さまざまなアプリケーションやサードパーティサービスにおける中核的な認証方式にしたいらしい。しかしBionym社はNymiのようなバイオメトリックな方法の将来性に賭けており、そのセキュリティは指紋を使う方法にまさる、と考えている。また応用製品はリストバンド以外にもいろいろありえるので、今後の製品の多様化にも着目したい。

Bionymという特定の技術の行く末はともかくとして、パスワードの時代は明らかに去りつつあるようだ。ハードウェアとデバイスに基づく技術が台頭しており、今回のBionymへの投資も、パスワード無用化に向けての関心が大きくなっていることの表れだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある

Appleは数ヶ月ごとにセキュリティー・スキャンダルに巻き込まれねばならないようだ。

Heartbleed脆弱性にはやられなかったものの、 今年2月には初歩的なプログラミング・ミスでSSL接続確認を無効にするgoto failバグが発覚した。昨年10月には 接続ポートを使ってiOSデバイスからデータが盗む方法がみつかった。ちょうど1年前にはセキュリティー専門家が AppleユーザーのIDにアクセスできる脆弱性を発見し、Appleに通報したにもかかわらず何の反応もなかったため、情報を公開して注意を促すという事件が起きた。

愚かなミスを繰り返す

そして今回のセレブ・ヌード流出事件だ。このスキャンダルはiCloudバックアップのセキュリティーをもっと高めてあれば防げたかもしれない。

どのケースでもAppleは脆弱性を修正し、サポート情報を発表している。しかし上記以外のケースも含めて、ほとんどあらゆるケースでAppleはできるかぎり情報を小出しにして、状況を不透明なままにしようと努力しているようにみえる。

この方針は改める必要があると思う。

Appleはユーザーのプライバシーには特に注意を払ってきた。たとえばAppleはiPadマガジンの購読者情報でさえ発行元と共有しようとしない。しかし、ことセキュリティー問題となると、このようなユーザー重視の姿勢が見えなくなる。Appleはプロダクトのあらゆる細部に神経を使うことで知られている。Appleはデザインについてはボタン一つにも異常なくらいこだわるのに、セキュリティーとなると愚かなミスを何度も何度も繰り返してきた。

透明性と対話の欠如

脆弱性を報告し、修正を助けようとした際のAppleの対応について私は多くのセキュリティー専門家から不満を聞いている。Apple側に透明性が不足しており、会話しようという意欲がないという。

「Appleには内部のセキュリティー専門家と外部の専門家とのコミュニケーションのチャンネルを開いてもらいたい。われわれ外部の専門家は、脆弱性に関してAppleに対策を促す唯一の道は情報を公開フォーラムに発表するしかないと感じている」とセキュリティー専門家の1人、Jonathan Zdiarskiは言う。 世界最大の企業の一つがこのような状態であってはならないだろう。”

最近ではAppleも外部からの脆弱性の指摘に積極的に反応する兆しをみせている。iPhoneのジェイルブレークを開発しているメンバーの1人がそもそもジェイルブレークを可能にしたバグを指摘したことに対してAppleは謝意を述べた。しかし多くのエンジニアやセキュリティー専門家がバグの発見に協力するようになるインセンティブをAppleは与えるべきだ。バグの発見に懸賞金をかけるなどもその方法一つだろう。.

同時に社内のセキュリティー対策も改善される必要がある。セレブ・ヌード事件の過程で知られるようになったiBruteスクリプトはFind my iPhoneログインの際にブルートフォース攻撃を許す脆弱性が存在することを利用したものだった。前述のSSLのgoto failバグも数ヶ月放置されていた。こうしたバグは厳重な内部監査が行われていれば、もっと早く修正できたはずだ。

なぜなのか?

Appleがセキュリティー・コミュニティーからの警告の声に耳を傾けていたら防げたはずの事件は数多い。 Appleのように優れたプロダクトを次々に生み出してきた会社で、どうしてこうしたことが続くのだろう? SSLのgo to failバグが発覚したときから私はこの問題について考えてきた。

その答えは(あくまで私の個人的な見解だが)、Appleはセキュリティーに関するコミュニケーションをプロダクトに関するコミュニケーションと同様に考えているのではないか、というものだ―つまり外部には最小の情報しか発表しないという方針だ。消費者向けプロダクトのマーケティングに当たってはAppleの情報統制はこれまで大きな成果を上げてきた。情報が少なければ好奇心が増し、注目が高まる。

しかしセキュリティーの分野ではこのような要塞に立てこもった態度は間違いだ。ことにスマートフォンが生活、ビジネスで中心的な役割を果たすようになり、そこに蓄積される情報の種類と量が巨大化している現在、セキュリティーはデバイスやサービスの最大のセールスポイントの一つとなってくる。業界のリーダーとしてAppleはセキュリティー問題に対する現在の態度を改めねばならない。透明性の高いオープンで率直なコミュニケーションを確立する必要がある。結局それがAppleのためにもユーザーのためにもベストの方向だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+