FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート

先週の金曜日(米国時間8/10)に、Internet Engineering Task Force(IETF)はTLS 1.3をリリースした。これはWebのセキュリティプロトコルTLS 1.2のメジャーアップデートで、HTTPS接続による暗号化を扱うレイヤなど多くのセキュリティ機能がこのプロトコルで定義されている。

今回のアップデートで、セキュリティが向上するとともにスピードもやや上がる。それはブラウザーとサーバーがセキュリティの設定を折衝するときに必要とされるラウンドトリップの回数を減らしたからだ。そしてMozillaの今日(米国時間8/13)の発表によると、Firefoxは現バージョンがすでにTLSの新しい規格をサポートしている。Chromeも、バージョン65から(初期のドラフトにより)新しいプロトコルをサポートしている。

TLS 1.3は策定にかなりの年月を要し、前バージョンのローンチから10年かかっている。TLS 1.2に問題があることは広く知られていたが、それらは主に実装のレベルの問題で、しかも遍在的だったためにハッカーの餌食となり、また悪名高い脆弱性バグHeartbleedのような傷口を広げた。しかしそれだけではなく、TLS 1.2のアルゴリズムの一部も、攻撃が成功されてしまった。

そこで当然ながらTLS 1.3は、現代的な暗号化方法へのアクセスにフォーカスしている(Cloudflareの連中がその技術的詳細を書いている)。

これはユーザーにとってはWebがより安全になることであり、また暗号化の方法に関するブラウザーとサーバーの折衝がはやくなるぶん、Webアクセスもややはやくなる。

TLS 1.3をすでにサポートしているFacebookは、トラフィックの半分近くが新しいプロトコルでサーブされている、という。GoogleやCloudflareも、サポート済みだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Mozillaがオープンソースコードのセキュリティアップのためにファンドを立ち上げ、次のHeartbleedを防ぐ

heartbleed

Mozillaが今日(米国時間6/9)、オープンソースのコードをよりセキュアにするためのファンドSecure Open Source(SOS)を立ち上げる、と発表した。このファンドは、Mozilla Open Source Support事業からの50万ドルの助成金を最初の資金とし、オープンソースのプロジェクトに監査と修正の機会を与えることによって、次のHeartbleed事件やShellshock事件が起きることを防ごうとするものだ。

Mozillaはまた、オープンソースの恩恵を受けている企業や教育機関、政府機関などに対して、ファンドへの参加を求めている。今日の声明の中で、“これらオープンソースの受益者たちに資金提供を求めることによって、よりセキュアなインターネットを築いていきたい”、とMozillaのChris Rileyが述べている。

具体的には、SOS Fundがセキュリティ企業に費用を払ってプロジェクトのコードを監査し、またプロジェクトのメンテナーと協力してコードの修正を実装、さらに情報の開示も正しく行っていく。修正の検証にも、必要ならお金を払う。

Mozillaによると、このやり方をすでに3つのプロジェクトでテストしている(PCRE, libjpeg-turbo, phpMyAdmin)。これら最初のテストによって、43のバグが見つかり、中には深刻な脆弱性もあった。最初のテストでMozillaは、Cure53NCC Groupと協働した。

“われわれが頼りにしているコードのあまりにも多くが、オープンソースのソフトウェアを使っている。それは商用製品にも埋め込まれ、インターネットのオペレーションの重要な部分を提供している”、Center for Strategic and International StudiesのSVPでディレクターでもあるJames A. Lewisが、今日の声明文の中でこう語っている。“それだけ重要なコードでありながら、オープンソースのコードはパッチやアップデートがお留守になることがきわめて多い。どのソフトウェアにも、悪用されうる欠陥がある。それは、コードの本質だ。そういうバグが放置されたら、犯罪と破壊行為のための機会を作り出す。MozillaのSOSファンドは、オープンソース中のバグ発見と修正のためのインセンティブを作って、サイバーセキュリティにおけるギャップを埋める”。

自分のコードのセキュリティ監査を申請したいデベロッパーは、ここで申し込む。それらのコードはオープンソースで、しかも現状でメンテナンスが持続しているものでなければならない。Mozillaは、それらのソフトウェアが広く利用されていることや、その機能性の継続がインターネットやWebにとって重要であることも検証する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

コンテナのセキュリティをモニタするオープンソースツールClairをCoreOSがローンチ

Container

データセンターのための軽量Linuxディストリビューションとして人気のCoreOSは、コンテナにも熱心だ。今日(米国時間11/13)同社は、コンテナのセキュリティをモニタするオープンソースのツールClairをローンチした。そしてその、まだベータのClairを、同社の有料のコンテナレジストリサービスQuayに統合する。その統合は、今後予定されているQuay Enterpriseでサポートされる。

コンテナはデベロッパの仕事を楽にしてくれるが、Linuxディストリビューションが脆弱性対策のためにたえずアップデートしているのと同じく、コンテナに収めたソフトウェアにも更新が必要な場合がある。たとえばCoreOSによると、同社のQuayサービスに保存されているDockerイメージの80%以上は、悪名高いHeartbleedバグへの対策をしていない。

coreos_clair_schema

Clairは、コンテナをスキャンして既知の脆弱性を探し、問題をデベロッパにアラートする。そのためにCoreOSは、Red HatやUbuntu、Debianなどの脆弱性データベースを参照する。

Clairのチームはこう書いている: “ソフトウェアには脆弱性がつきものだ。したがって、良質なセキュリティの実践によって事故に備えなければならない。とくに、セキュアでないパッケージを見つけ、それらをなるべく早くアップデートすることが重要だ。Clairは、コンテナの中にあるかもしれない、セキュアでないパッケージの発見を助ける”。

チームによれば、このツールの現状はまだまだ幼稚だ。Heartbleedは、このバグのあるOpenSLLのパッケージを使っているときにのみ、起きる問題だ。現状のClairは、コンテナにパッケージがあることは見つけるが、それが実際に使われているかいないかの判断はしない。“Clairにはそこまでの分析はできないので、その後のより深い分析が必要だ”、とClairのチームは言っている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

Heartbleedの再来を防ぐための共同事業をFacebook,Google,Intel,Microsoft,NetApp,Qualcomm,VMware,The Linux Foundationらが開始

OpenSSLのHeartbleedバグという大事件は、Webが依存しているオープンソースのプロジェクトの多くが資金的にもスタッフ的にも潤沢でない、という事実に多くの人びとの目を否応なく開かせた。次のHeartbleedを防ぐために、FacebookとGoogle、Intel、Microsoft、NetApp、Qualcomm、VMware、そしてThe Linux Foundationの各社が今日(米国時間4/24)、”Core Infrastructure Initiative”と名づけたオープンソース支援活動を発表した。この共同事業は、“援助を必要としている”重要なオープンソースプロジェクトに、資金やそのほかの支援を提供することが目的だ。

各社の貢献額は公表されていないが、この事業を創設したLinux Foundationによると、これは“数百万ドル規模のプロジェクト”であり、Heartbleedがもたらした危機に対する業界の集団的対応を示す動きだ。この事業の資金はThe Linux Foundationが管理する。

このフェローシップ(特別研究助成)的な資金の最初の行き先は、言うまでもなくOpenSSLプロジェクトだ。このフェローシップは、プロジェクトを担当している主要なデベロッパたちがフルタイムでプロジェクトに取り組めるために交付される。また資金以外にも、外部からのレビューやセキュリティの監査、コンピューティングや試験のためのインフラストラクチャ、出張研究のお膳立て、などの支援が提供される。

OpenSSLのようなプロジェクトの重要性を考えると、それがこれまで年額2000ドル程度の寄付しかもらってなかったことは、本当に嘆(なげ)かわしい。もちろん、お金があればHeartbleedバグを防げた、というものでもないが、今回の共同事業では十分な試験環境も助成対象プロジェクトに提供されるから、心強い。

Linux Foundationの事務局長Jim Zemlineは今日の声明文の中で次のように述べている:

“The Linux FoundationはLinus TorvaldsがLinuxの開発に100%集中できるための資金を支出している。それと同じような意味でこれからは、そのほかの重要不可欠なオープンソースプロジェクトにフルタイムのサポートが与えられるために、デベロッパやメンテナを支援することができる”。

オープンソースの基本的な考え方は、できるかぎりたくさんの人が関わる〔==目玉の数が多い〕ことによって、高品質でセキュアなコードを作っていくことにある。しかし私たちが日々依存しているプロジェクトの多くが、その成長に伴って複雑性を増し、少数のパートタイムのデベロッパが関わるだけでは十分な高品質とセキュリティを確保できなくなっている。The Linux Foundationも今日(こんにち)では、そのことを重々認めている:

“ソフトウェアの質に関するCoverity Open Scanの最新の調査によると、オープンソースコードの質はプロプライエタリコードの質を上回っている。しかし、すべてのソフトウェアが成長とともにより複雑になり、しかもその高度に複雑化したシステム間における相互運用性が今では標準として求められる。したがって、デベロッパサポートの必要性も増大している”。

今後に関してCore Infrastructure Initiativeは、危機への事後対応からその積極的な予防へと変わっていくことを計画している。これからこの事業は、重要なプロジェクトに対する強力な先行的レビューにより、それらのプロジェクトが必要とするものを早期に同定していく。つまり、次のHeartbleed危機が起きるよりも前に。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか

Bitcoinのウォレットやオンラインのウォレット、取引所などを使っている人にとってHeartbleedは、きわめて現実的で深刻な問題だ。しかし幸運にも、パニックは数日で収まり、比較的簡単な対策があることが分かってきた。

まず第一に、Bitcoinの転送に用いられているBitcoinのcoreプロトコルそのものは影響を受けない。

CryptocoinsNewsのVenzen Khaosanは、こう書いている:

“Bitcoin CoreのクライアントはOpenSSLの脆弱性対策として0.9.1にアップグレードされるが、coreのデベロッパたちは、BitcoinプロトコルそのものはHeartbleedバグの影響を受けない、と強調している”。

しかし取引所の多くは、念のために一部のサービスを停止している。昨日Bitstampは、同社のサーバへのHeartbleedの影響を調べる際、“認証と登録、ログイン、および仮想通貨のすべての引き出し機能”を遮断した。DDOS対抗サービスIncapsulaは、安全のために同社のサーバをアップデートした。Bitstampはその後、すべての機能をリスタートした。ハッカーがHeartbleedを悪用すると、サーバ上のメールアドレス、キー、ログイン情報などをすべて盗むことができる。

BitcurexBlockchain.infoなども、そのサービスにパッチをあててアップデートした、といわれている。

自分のマシンにウォレットのある人は、どうか。少々のアップデートが望ましい。 Bitcoin Coreのニューバージョン0.9.1が出たばかりだが、それはウォレットのセキュリティが改良されている。ユーザのOpenSSLはopenssl 1.0.1g以降のバージョンであること。それはBitcoin-Qt(Bitcoin Core)のHelp->Debugウィンドウで分かる。Multibitなど、アップデートしていないところは、元々影響のないサイトだが、暗号化とパスワードによってあなたのBitcoinを守ることは重要だ。

まとめると、あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。

Bitcoin FoundationのMike Hearnはこう書いている:

“影響は拡大しないと期待している。主要サイトはアップグレード後にSSLキーをローテートしなければならないだろう。ウォレットの秘密鍵は、このバグの影響が及ばない別のサーバプロセスに置かれているところが多い。ただし、一部の不注意なサイトで盗難事件が起きたとしても、それは意外ではない”。

.

被害は甚大ではなかったが、しかし完全に安心とも言えないのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))