List of Leak [text.Baldanders.info]tag:text.Baldanders.info,2017-03-25:/tags2017-03-25T13:57:44+09:00帰ってきた「しっぽのさきっちょ」https://text.baldanders.info/images/avatar.jpghttps://text.baldanders.info/images/avatar.jpg「隠すことによるセキュリティ」が何をもたらすかtag:text.Baldanders.info,2017-03-25:/remark/2017/03/security-by-obscurity/2017-03-25T04:57:44+00:002020-01-03T06:05:57+00:00よく「隠すセキュリティはダメ」と言われるが,目的はどうあれ脆弱性情報を秘匿することがどういう結果をもたらすか身に染みたのではないだろうか。Spiegelhttps://baldanders.info/profile/<p>例の <a href="https://text.baldanders.info/remark/2017/03/cia-hacking-tools-from-wikileaks/" target="_blank" title="WikiLeaks がリークした CIA ハッキングツール">Vault 7 絡み</a>の話。</p>
<ul>
<li><a href="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt" target="_blank">ニュース解説 - CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性:ITpro</a></li>
</ul>
<p>Cisco は相変わらず「遅い」なぁ。
まぁほかのネットワーク機器を販売している企業も似たり寄ったりなのだが。</p>
<p>それはともかく,今回の Cisco 製品の脆弱性は telnet 絡みのもののようだ。</p>
<figure>
<blockquote cite="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt">
<q>CMPとは、クラスターを構成する別の機器に、TELNETを使ってメッセージやコマンドを送信するためのプロトコル。今回見つかったCMPの脆弱性を突くと、攻撃者はアクセス権限のないシスコ製品にTELNETで接続できる。その結果、その製品を乗っ取ったり、製品上でウイルスを実行したりすることが可能になる。</q>
</blockquote>
<figcaption><div><q><a href="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt"> CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性</a></q>より</div></figcaption>
</figure>
<p>言うまでもないが,もはや telnet は使ってはいけない。
可能な限り無効にするべき。</p>
<figure>
<blockquote cite="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt">
<q>パッチ提供前の対策として同社が挙げているのが、IOS/IOS XEでTELNETを無効にすること。これにより、脆弱性がある機器でも攻撃されることを防げる。TELNETの代わりには、SSHを利用するよう推奨している。また、TELNETを無効にできない環境では、アクセス制御で対応するよう呼びかけている。</q>
</blockquote>
<figcaption><div><q><a href="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt"> CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性</a></q>より</div></figcaption>
</figure>
<p>その上で ssh を使えばいいのだが ssh でもパスワード認証は比較的破られやすいことが分かっているので必ず公開鍵暗号を使った認証を使うこと。
ついでに ssh の version 1 は使わないこと。</p>
<ul>
<li><span><a href="https://www.ipa.go.jp/security/fy15/reports/protocol/documents/protocol_2003.pdf">セキュアプロトコルに対する攻撃法等に関する技術調査 <sup><i class="far fa-file-pdf"></i></sup></a></span></li>
<li><span><a href="https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=10325&item_no=1&attribute_id=1&file_no=1">SSH パスワードユーザ認証の脆弱性とその考察 <sup><i class="far fa-file-pdf"></i></sup></a></span></li>
</ul>
<p>Vault 7 では脆弱性情報について PoC (Proof of Concept) や exploit code などの詳細情報がなく解析に時間がかかっているようだ<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>。</p>
<figure>
<blockquote cite="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt">
<q>ところが今回のケースでは、CIAから流出したとする機密文書Vault 7から脆弱性の存在が判明した。このためシスコは、詳細な情報やエクスプロイトを入手していない可能性がある。<br>
実際、シスコの公式ブログには、「(今回の脆弱性に関連する)ツールやマルウエアは公表されていないので、シスコが取れるアクションは限られている。より多くの情報を入手するまでは、脆弱性ハンドリングの観点でシスコができることはほとんどない」としている。</q>
</blockquote>
<figcaption><div><q><a href="http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032300899/?rt=nocnt"> CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性</a></q>より</div></figcaption>
</figure>
<div class="box"><p><strong>追記(2017-04-04)</strong></p>
<ul>
<li><a href="https://the01.jp/p0004740/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編) | THE ZERO/ONE</a></li>
</ul>
<p>この記事によるとちょっと状況が異なるようである。</p>
<figure>
<blockquote cite="https://the01.jp/p0004740/">
<q>それに対して今回のYear Zeroが公開したのは、CIAが利用しているサイバー兵器そのものの情報だ。「CIAはこんなツールを使っていますよ」ではなく、CIAの利用しているゼロデイ、マルウェア、エクスプロイトなどの現物の情報である。WikiLeaksは、「このスマートフォンの脆弱性を利用してインストールできるマルウェア」や、「あの暗号化通信のアプリケーションを迂回できるツール」をソースコードごと入手しており、閲覧しても問題のない形で(=他者から悪用されない形で)それらの情報を公開している。</q>
</blockquote>
<figcaption><div><q><a href="https://the01.jp/p0004740/">暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編)</a></q>より</div></figcaption>
</figure>
<p>つまり WikiLeaks 側は脆弱性情報に対して exploit code 等の詳細情報を持っていることになる。
であれば,後述のように,ベンダ企業にはその詳細情報が渡っている筈である(多分)。</p>
</div>
<p>WikiLeaks 側は製品のベンダ企業に対して脆弱性の一般公開まで90日間の猶予を設けているらしい(予告なしに公開はしないということ)。</p>
<figure lang="en">
<blockquote cite="https://motherboard.vice.com/en_us/article/wikileaks-wont-tell-tech-companies-how-to-patch-cia-zero-days-until-its-demands-are-met">
<q>WikiLeaks included a document in the email, requesting the companies to sign off on a series of conditions before being able to receive the actual technical details to deploy patches, according to sources. It's unclear what the conditions are, but a source mentioned a 90-day disclosure deadline, which would compel companies to commit to issuing a patch within three months.</q>
</blockquote>
<figcaption><div>via <q><a href="https://motherboard.vice.com/en_us/article/wikileaks-wont-tell-tech-companies-how-to-patch-cia-zero-days-until-its-demands-are-met">WikiLeaks Won’t Tell Tech Companies How to Patch CIA Zero-Days Until Its Demands Are Met</a></q></div></figcaption>
</figure>
<p>90日の猶予期間というのは Google の Project Zero などでもやっているので特に無理筋な設定ではないと思うが Cisco みたいな企業だと厳しいかもしれない。
一方で Android や iOS などでは発覚した脆弱性の殆んどは修正済みだったらしい。
そういった脆弱性情報の解析・対処の能力の違いはありそうである。</p>
<ul>
<li><a href="http://gigazine.net/news/20170310-apple-google-treat-cia-hucking/" target="_blank">「CIAハッキングの脆弱性のほとんどは対応済み」とGoogleやAppleは公表するものの依然として危険な状態は続いている - GIGAZINE</a></li>
</ul>
<p>この問題の根源は CIA などの諜報機関が脆弱性情報を「悪用」するために秘匿していたことである。
よく「隠すことによるセキュリティはダメ」と言われるが,目的はどうあれ脆弱性情報を秘匿することがどういう結果をもたらすか身に染みたのではないだろうか。</p>
<figure lang="en">
<blockquote cite="https://www.schneier.com/blog/archives/2017/03/wikileaks_not_d.html">
<q>Honestly, at this point the CIA should do the right thing and disclose all the vulnerabilities to the companies. They're burned as CIA attack tools. I have every confidence that Russia, China, and several other countries can hack WikiLeaks and get their hands on a copy. By now, their primary value is for defense. The CIA should bypass WikiLeaks and get the vulnerabilities fixed as soon as possible.</q>
</blockquote>
<figcaption><div>via <q><a href="https://www.schneier.com/blog/archives/2017/03/wikileaks_not_d.html">WikiLeaks Not Disclosing CIA-Hoarded Vulnerabilities to Companies</a></q></div></figcaption>
</figure>
<h2>ブックマーク</h2>
<ul>
<li><a href="https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp" target="_blank">Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability</a></li>
<li><a href="https://motherboard.vice.com/en_us/article/wikileaks-wont-tell-tech-companies-how-to-patch-cia-zero-days-until-its-demands-are-met" target="_blank">WikiLeaks Won’t Tell Tech Companies How to Patch CIA Zero-Days Until Its Demands Are Met - Motherboard</a></li>
<li><a href="https://www.schneier.com/blog/archives/2017/03/wikileaks_not_d.html" target="_blank">WikiLeaks Not Disclosing CIA-Hoarded Vulnerabilities to Companies - Schneier on Security</a></li>
<li><a href="https://technet.microsoft.com/ja-jp/library/2008.06.obscurity.aspx" target="_blank">Is Security by Obscurity a valid approach? (大論争 : 隠すことによるセキュリティ)</a></li>
<li><a href="https://the01.jp/p0004740/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編) | THE ZERO/ONE</a>
<ul>
<li><a href="https://the01.jp/p0004753/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編) | THE ZERO/ONE</a></li>
<li><a href="https://the01.jp/p0004767/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編) | THE ZERO/ONE</a></li>
</ul>
</li>
</ul>
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>Vault 7 のリーク元がロシアということもあって情報自体の信憑性を確認する必要もある。 <a href="#fnref:1" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
</ol>
</div>
WikiLeaks がリークした CIA ハッキングツールtag:text.Baldanders.info,2017-03-09:/remark/2017/03/cia-hacking-tools-from-wikileaks/2017-03-09T11:11:34+00:002020-06-21T03:18:08+00:00とりあえずブックマークを中心に。以後,追記予定。Spiegelhttps://baldanders.info/profile/<p>とりあえずブックマークを中心に。
以後,追記予定。</p>
<ul>
<li><a href="https://wikileaks.org/ciav7p1/" target="_blank">Vault 7: CIA Hacking Tools Revealed</a></li>
<li><a href="https://www.schneier.com/blog/archives/2017/03/wikileaks_relea.html" target="_blank">WikiLeaks Releases CIA Hacking Tools - Schneier on Security</a></li>
<li><a href="http://www.itmedia.co.jp/news/articles/1703/08/news062.html" target="_blank">WikiLeaks、CIAの“ハッキングツール”と多数の関連文書を公開 - ITmedia NEWS</a></li>
<li><a href="http://gigazine.net/news/20170308-wikileaks-vault-7/" target="_blank">「自動車をハッキングして暗殺する」「テレビで部屋の会話を録音する」などCIAの極秘諜報作戦の実態を暴露する機密資料「Vault 7」をWikiLeaksが放出 - GIGAZINE</a></li>
<li><a href="https://protonmail.com/blog/cia-wikileaks-encryption/" target="_blank">Wikileaks CIA Files - What this means for Internet security and encryption - ProtonMail Blog</a></li>
<li><a href="https://www.nytimes.com/2017/03/07/world/europe/wikileaks-cia-hacking.html" target="_blank">WikiLeaks Releases Trove of Alleged C.I.A. Hacking Documents - The New York Times</a></li>
<li><a href="https://www.schneier.com/blog/archives/2017/03/more_on_the_cia.html" target="_blank">More on the CIA Document Leak - Schneier on Security</a></li>
<li><a href="https://www.lawfareblog.com/few-observations-wikileaks-and-vault7-hacking-cia" target="_blank">A Few Observations on Wikileaks and Vault7: Hacking at the CIA - Lawfare</a></li>
<li><a href="http://www.fsight.jp/articles/-/42094" target="_blank">シリア内戦での米露協調にワシントンの政争は影響を及ぼすか:池内恵 | 池内恵の中東通信 | 新潮社 Foresight(フォーサイト) | 会員制国際情報サイト</a></li>
<li><a href="http://www.newsweekjapan.jp/stories/world/2017/04/post-7311.php" target="_blank">エクアドル大統領選に「介入」したアサンジの迷走 | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト</a> : WikiLeaks に対する批判記事</li>
<li><a href="https://the01.jp/p0004740/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編) | THE ZERO/ONE</a>
<ul>
<li><a href="https://the01.jp/p0004753/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編) | THE ZERO/ONE</a></li>
<li><a href="https://the01.jp/p0004767/" target="_blank">暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編) | THE ZERO/ONE</a></li>
</ul>
</li>
</ul>
<p>まずは <a href="https://www.schneier.com/blog/archives/2017/03/more_on_the_cia.html" target="_blank" title="More on the CIA Document Leak - Schneier on Security">“Schneier on Security” の記事</a>。</p>
<figure lang="en">
<blockquote cite="https://www.schneier.com/blog/archives/2017/03/more_on_the_cia.html">
<q>One, there is absolutely nothing illegal in the contents of any of this stuff. It's exactly what you'd expect the CIA to be doing in cyberspace. That makes the whistleblower motive less likely. And two, the documents are a few years old, making this more like the Shadow Brokers than Edward Snowden. An internal leaker would leak quickly. A foreign intelligence agency -- like the Russians -- would use the documents while they were fresh and valuable, and only expose them when the embarrassment value was greater.</q>
</blockquote>
<figcaption><div>via <q><a href="https://www.schneier.com/blog/archives/2017/03/more_on_the_cia.html">More on the CIA Document Leak</a></q></div></figcaption>
</figure>
<p>ロシア。
あぁ,ロシアか。
なるほど。</p>
<figure lang="en">
<blockquote cite="https://www.nytimes.com/2017/03/07/world/europe/wikileaks-cia-hacking.html">
<q>But James Lewis, an expert on cybersecurity at the Center for Strategic and International Studies in Washington, raised another possibility: that a foreign state, most likely Russia, stole the documents by hacking or other means and delivered them to WikiLeaks, which may not know how they were obtained. Mr. Lewis noted that, according to American intelligence agencies, Russia hacked Democratic targets during the presidential campaign and gave thousands of emails to WikiLeaks for publication.</q>
</blockquote>
<figcaption><div>via <q><a href="https://www.nytimes.com/2017/03/07/world/europe/wikileaks-cia-hacking.html">WikiLeaks Releases Trove of Alleged C.I.A. Hacking Documents</a></q></div></figcaption>
</figure>
<p>ニューヨーク・タイムズ紙だとあまりマジにとらないほうがいいかな?</p>
<p>不本意にも WikiLeaks で脆弱性を公にされてしまったツール群の状況は以下の通り。</p>
<ul>
<li><a href="http://forest.watch.impress.co.jp/docs/news/1048597.html" target="_blank">CIAが悪用していたセキュリティホールを埋めた「Notepad++」v7.3.3が公開 - 窓の杜</a></li>
<li><a href="http://forest.watch.impress.co.jp/docs/serial/yajiuma/1048726.html" target="_blank">機密文書“Vault 7”で有名フリーソフトを使ったCIAのスパイ手法が明らかに - やじうまの杜 - 窓の杜</a></li>
<li><a href="http://iphone-mania.jp/news-160957/" target="_blank">Apple、Wikileaksが公開したiPhone脆弱性「すべて修正済み」 - iPhone Mania</a></li>
<li><a href="http://gigazine.net/news/20170310-apple-google-treat-cia-hucking/" target="_blank">「CIAハッキングの脆弱性のほとんどは対応済み」とGoogleやAppleは公表するものの依然として危険な状態は続いている - GIGAZINE</a></li>
<li><a href="http://p2ptk.org/privacy/574" target="_blank">CIAはSignalやWhatsAppの暗号化を破ったわけじゃあない – P2Pとかその辺のお話R</a></li>
<li><a href="https://www.schneier.com/blog/archives/2017/03/the_cias_develo.html" target="_blank">The CIA’s “Development Tradecraft DOs and DON’Ts” - Schneier on Security</a></li>
<li><a href="http://gigazine.net/news/20170324-wikileaks-cia-mac-iphone-hacking-tool/" target="_blank">WikiLeaksがCIAの機密資料「Vault 7」からMacのハッキングツール文書を新たに公開 - GIGAZINE</a>
<ul>
<li><a href="http://iphone-mania.jp/news-162703/" target="_blank">Wikileaksが暴露したCIAの攻撃ツール、iPhone3G時代の話だった - iPhone Mania</a></li>
</ul>
</li>
<li><a href="https://www.schneier.com/blog/archives/2020/06/theft_of_cias_v.html" target="_blank">Theft of CIA’s “Vault Seven” Hacking Tools Due to Its Own Lousy Security - Schneier on Security</a> (2020-06-20 追記)</li>
</ul>
<h2>参考図書</h2>
<div class="hreview">
<div class="photo"><a href="https://www.amazon.co.jp/dp/4862486932?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1"><img src="https://m.media-amazon.com/images/I/41OTZHSZDXL._SL160_.jpg" width="96" alt="photo"></a></div>
<dl>
<dt class="item"><a class="fn url" href="https://www.amazon.co.jp/dp/4862486932?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1">日本人が知らないウィキリークス (新書y)</a></dt>
<dd>小林 恭子 (著), 白井 聡 (著), 塚越 健司 (著), 津田 大介 (著), 八田 真行 (著), 浜野 喬士 (著), 孫崎 享 (著)</dd>
<dd>洋泉社 2011-02-05</dd>
<dd>新書</dd>
<dd>4862486932 (ASIN), 9784862486936 (EAN), 4862486932 (ISBN), 9784862486936 (ISBN)</dd>
<dd>評価<abbr class="rating fa-sm" title="4"> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="far fa-star"></i></abbr></dd>
</dl>
<p class="description">WikiLeaks のインパクトと「WikiLeaks 以後」について分かりやすく解説した論説集。</p>
<p class="powered-by">reviewed by <a href='#maker' class='reviewer'>Spiegel</a> on <abbr class="dtreviewed" title="2014-10-23">2014-10-23</abbr> (powered by <a href="https://affiliate.amazon.co.jp/assoc_credentials/home">PA-APIv5</a>)</p>
</div> <!-- 日本人が知らないウィキリークス -->