Previous Topへ Next

OSXのtips3-2

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips


anchor

今度はMacOSXに新たなセキュリティホールが判明ということらしい。
リンク先の記事のタイトルは
『Mac OS Xの「Safari」ブラウザに危険なセキュリティ・ホール』
となっているが、訂正でセキュリティホールは SafariではなくOS本体のものだということだ。
それでその内容が、ある種の悪意あるシェルスクリプトを含んだZipファイルを展開する時にそのスクリプトが確認タグも無しに実行されてしまう問題点があるということだ。
これを悪用して何かの例えばフリーウエアや動画ファイルのような体裁にしておいて、そこに忍ばせたスクリプトでユーザのシステムをクラックするような命令を実行できる可能性があるという。

これに対応した悪意あるコードはまだ見つかっていない。
近日中にこれに対応したセキュリティアップデートは出るだろうが、昨年のセキュリティホール騒ぎでこの問題は解決したのではなかったのだろうか。

少しでも地雷を踏む確率を下げるためにSafariユーザは以下の設定変更をお薦めする。

環境設定に入って
「ダウンロード後"安全な"ファイルを開く」
の項目のチェックを外す。
これでダウンロードしたファイルを勝手に解凍することは無くなるので、"安全な"という括弧付きの実は安全かどうかわからないファイルを勝手に自動実行されることも無くなって、本当に安全かどうか考える時間は与えられる。

くれぐれも言っておくが、これをすれば安全ということではない。この設定変更をしても何でもかんでも考え無しにクリックしていれば危険なのは同じことだ。
出元が確かな安全と考えられるファイル以外はやたらとクリックしないことだ。

なおこの問題はSafari以外のブラウザでも起きるので同様の設定変更が必要だ。






Safariの環境設定に入って「ダウンロード後"安全な"ファイルを開く」のチェックを外す
これをしておけば、「自動ダウンロード」→「自動解凍」→
「スクリプト自動実行」→「感染」という連鎖は断ち切れる
考える時間は与えられるということだ




この問題についてのシマンテックのプレスリリースが先ほど発表されたので例によって転載しておく。


*****************
シマンテック緊急情報
*****************

シマンテック セキュリティ レスポンスは、本日、Macintosh OSX 10.4のOS の新たな脆弱性を特定しました。シマンテック セキュリティ レスポンスは 、この脆弱性を非常に深刻であると判定しましたが、現在この脆弱性を狙った 既知の攻撃コードはありません。

この脆弱性は、AppleのWebブラウザSafariのオプションである「"安全な"ファ イルをダウンロード後に開く」オプションに含まれています。デフォルトによ り、Webブラウザ用のセットアップは自動的にこのオプションがオンになって おり、「安全である」とみなされた内部のドキュメントを表示するために、画 像や映画、またはオープンZIPアーカイブを表示します。

シマンテック セキュリティ レスポンス、シニア エンジニアリング ディ レクタのアルフレッド フーガー (Alfred Huger) は、次のように述べてい ます。「今回のケースは、他のプラットフォーム上で動作する悪意のあるコー ドの継続的な拡散の一例です。現段階ではこの攻撃は知られていませんが、ユ ーザはSafariブラウザの""安全な"ファイルをダウンロード後に開くオプショ ン"をオフにしたうえで、Appleからの詳細情報を待機してください」。

この脆弱性は、先週特定された、Macintosh OSX 10.4のOSを狙った2件の低危 険度ワーム、OSX.Leap.AとOSX.Inqtana.Aに続いて公開されました。

この問題は、ファイルに関連したメタデータを実行しているときのエラーのた めに存在します。このメタデータは、アーカイブ内の「._<filename>」ファイ ルに含まれており、「_macosx」ディレクトリを復元します。攻撃が成功する と、ユーザにそのファイルを安全だということを信用させるために、悪意のあ るスクリプトファイルが安全な拡張子に書き換えられます。Safari Web ブラ ウザは、ダウンロードの際に自動的にオープンZIPアーカイブを開くため、こ の問題は、事実上、リモートでの攻撃が可能だと見られています。
Macintosh OSX 10.4は、この攻撃に対して脆弱であると報告されています。こ れ以前のバージョンも、影響される可能性があります。



anchor

Safairy
(Freeware)
OS10.4Tiger対応

そのMacOSXの脆弱性に対応するアプリが早速できている。

これはSafari専用ではあるが、ダウンロードしたファイルを自動的に開くシークエンスを無効にする。
設定で
「ダウンロード後"安全な"ファイルを開く」
のチェックを外して無効にすれば済む話だと思うし、こういう設定をデフォルトでオンにしているAppleの仕様の方にむしろ疑問を感じてしまうのだが、それでも自動でダウンロードしたファイルを開いてくれるという仕様は便利だと考えているユーザもいるかも知れない。

そういう場合にはこれを使えば、
「ダウンロード後"安全な"ファイルを開く」
のチェックを入れていても完全自動ということではなくなりダウンロードしたファイルにアプリが含まれている場合は
「開いても良いか?」
とアラートを表示してくれる。ユーザが知らない間に勝手に何かを開いて実行するということは無くなるはずだ。

「自動」が好きなユーザには、このいちいちアラートが出る仕様は不便だと思うかも知れない。
しかもこれは一度実行してしまうと元に戻すスクリプトが用意されていないので、このままになってしまう。
それでもチェックを外すか、このアプリを実行するかのどちらかはした方が良いと思う。
ほんのわずかな「便利」のために愛用のMacを大きな危険にさらすことは無いと思うのだ。

リンク先は表示するといきなりダウンロードを始めるのでここでテストしてみると良い。
(このサイトは問題ないが、このサイトのようなコードを書いてそこに悪意あるコードをダウンロードするように設定されるとまさに防ぎ様がない。この対策は必要だ)

ところでSafari以外のブラウザの場合だが、Firefoxの場合はダウンロードの段階でその後の処理をどうするか訊いてくる。
だから問題は少ないと考える。
他のブラウザはまだ検証していない。






SafairySafariのデフォルトでダンロードしたファイルを勝手に開く仕様を無効化する
この通り開いても良いかという警告タブをいちいち表示する
煩わしいがとりあえず安全ではある






セキュリティに関するtips

anchor

未公認だが存在するTerminalの認証の弱点を防ぐ



rooted
(Freeware)
OS10.3Panther対応OS10.4Tiger対応

OSXに現在でも残る脆弱性に関するデモ。

これはMyNetの作者さんのサイトで見つけた記事。
昨年にシステムのURIを突いた脆弱性が問題になってその実証コードまで発表されたためにMacOSXには重大なセキュリティホールがあるということが結構騒然と話題になっていた。
この脆弱性についてはいくつか対策ソフトがでたし、アップル自体からも対応したセキュリティアップデートが出たので一応事態は収束したようなことになっている。

しかしこの作者さんのサイトの記事によるとこのセキュリティの脆弱性の問題は完全に解決したわけではなく今でも同じ問題が残っているということを書いている。
書いているだけでなく作者さん自身が作った、それを証明するための実証コードがこのrootedということになる。

これを起動してテストしてみたところ、なんと確認なしにTerminalを起動してコマンドをそこに置こうとした。
私の場合、こちらの記事で書いた安全対策を施していたので、この実証コードはTerminalを起動したところで止まってしまった。

しかしもしこの安全策が施されていなかったらどうなるかというのがこのキャプチャー。この通りのことが起こるわけだ。
このアプリはあくまでただの実証コードだから、Terminal上で起こることは無意味な数列を表示して止まるだけの話だ。
だから安心して試してもらいたい。

この実証コードは何を実証しているかというと、この方法なら未知のアプリがはじめてTerminalを呼び出してコマンドを実行することができるということだ。
このコマンドはアプリの中のリソース
rooted/Rooted.app/Contents/Resources/expscreen
に記述されてアプリの実行ボタンのクリックでTerminalで実行される。

このコマンドは無意味な数列を表示するだけだが、この実証コードの「echo~」以下がもし
sudo rm -rf ~/
とかいうコマンドになっていたらどうなるだろうか。
ユーザ領域の全てのファイルは一瞬で消えてしまうかもしれない。
あるいはもし、
sudo rm -rf /
なんてコマンドを実行されたら一瞬で起動ボリュームの中身はすべて消えてしまう。
(実はこのコマンドは一度Linuxで試したことがあるのだが、システムの動作に支障があるところでコマンドは止まってしまうので実際には全てが消えてしまうわけではない。しかしシステムとユーザ領域に重大なダメージが残ることには変わりはない)

あるいは何かもっと狡猾なコードを書いて特定の場所にディスクの中の何かを勝手にアップロードするというようなこともできるかもしれない。

いずれにしてもこういうようなコードを悪用すれば、オンラインウエアを装ってシステムを破壊するようなコマンドを実行するアプリが作れてしまうわけだ。
作者さんが「この脆弱性の危機は去ったわけではない」と書いていた意味がよく分かった。

だからこのサイトを見ている皆さんは是非こちらの記事で書いたTerminalに関する安全対策を実行しておいてもらいたい。

これをやっておけばそういう悪質な偽装アプリをつかんだとしても
「世の中には気分悪いことをする奴がいるなぁ!」
と舌打ちするだけで済む。
しかしやっていなければ舌打ちだけでは済まないかもしれない。






rootedTerminalを起動してコマンドを実行するということを実証するだけのアプリだ
しかしもしこれが「webブラウズを最適化するアプリだ」とか書いてあって
「高速化」なんてボタンが下にあって実際には中身は悪質なコードだとしたらどうだろう?





私の場合は上記の記事の通りアプリやファイルがTerminalを 呼び出して
何かのコマンドを実行しようとしてもこういう確認が出る設定を施している
また確認に無自覚にOKを出しても結局そういうコマンドは実行せずに
「このパスにあるコマンドを実行しようとしたよ」という記録を表示するだけだ
だからここに悪質なコマンドが仕込まれていても問題はない
気分が悪いだけの話だ





しかしもしその安全策が施されていなかったらこの通り
コードに含まれたコマンドを全く確認無しに実行してしまう
このrootedのコマンドは無意味で長大な数列を表示するだけだ
しかしここにシステムを破壊するような悪質なコマンドが
仕込まれていたら一体どういうことになるだろうか?



ここまでの記述を読んで
「しかしsudoで実行するプロセスはrootのパスワードを要求するはずだからこのコードは実害がないのでは?」
と思われた方も多いと思う。

その疑問は正しい。
しかしこの作者さんが問題にしている部分はまさにそこのところなのだ。

作者サイトを要約すると
「sudoで実行された認証は以下の3つの事実によりその妥協的な仕様を悪用される可能性がある
1)デフォルトではsudoは一度認証されると5分間の猶予期間は次のsudoを実行する時にパスワードを要求しない
2)sudoはグローバルに設定されていてttyに関連づけられていない。これはユーザーやシェルウインドウに縛られていないということだ
3)sudoは全てのエントリーを/var/log/system.logに書き込む。これは全ての管理者ユーザから閲覧ができてしまう

これでどういう問題が起きるかというと例えばトロイの木馬を作成する時に、バックグラウンドで潜伏しているようなものを作れば良い事になる。
sudo認証のエントリーは/var/log/system.logに書き込まれるのでここを監視していればsudoが実行されたことを知ることができる
それでユーザがsudo認証、またはそれに準ずる認証をした時に
「ピギーバッキング(便乗)」
して5分以内にTerminalを起動しsudoコマンドを実行するようなスクリプトを書けば良い。
そうすればOSX上ではいかなる権限も乗っ取ることができる」

というのだ。

Appleにはこの可能性は警告したそうだが
「ユーザはそのような不適切なスクリプトを走らせることはないだろう」
ということでこれは問題ではないと回答されたそうだ。しかし作者さんはこのAppleの見解は
「到底受け入れがたい」
と書いておられる。

私もこの記事を読むまではこういう可能性は知らなかったが、いわれてみれば確かに危うい感じはする。






例えばセキュリティに関するログの/var/log/secure.logはGUIのコンソールでも見ることができない
これはroot権限で保護されているので見られないような仕様になっている





しかしこのログはTerminal上なら一度sudoでパスワード認証をしてしまえば
5分以内ならパスワード無しで管理者グループのアカウントから見えてしまう
またここで示したようにsudo ls /var/db/shadow/hashというようなコマンドを使えば
パスワードの暗号化ハッシュ値もこのとおり見えてしまう
これを先ほどの実証コードと組み合わせてバックグラウンドで
自動的に動くトロイの木馬を書くことができたらどうだろうか?
全てが可能になってしまうのではないだろうか?



この対策は上記のようにTerminalに勝手にログインさせないというbashrcの追記でおそらくは防げると思う。
しかしこれでは不安だという向きには、作者サイトに掲げられた対策をお勧めする。
それは以下の内容だ。


1)トロイの木馬が監視する可能性がある/var/log/system.logへのsudoのエントリーの書き込み先を認証がないと閲覧不可能な/var/log/secure.logに変更する

/etc/sudoersを開いて"Defaults"セクションに

Defaults:ALL !syslog
Defaults:ALL logfile=/var/log/secure.log

と追記する


2)5分間のsudoの認証猶予を無効にする

/etc/sudoersを開いて"Defaults"セクションに

Defaults:ALL timestamp_timeout=0

と追記する


3)sudo認証を全てTTYに関連づけて、他のアカウントやセッションが利用できないようにする

/etc/sudoersを開いて"Defaults"セクションに

Defaults:ALL tty_tickets

と追記する

この3つの対策のうちのいずれかを実行していればこの危険性は除去できるという。
これも可能なら実行しておいた方が良い。






sudoersの編集はTerminalを起動してvisudoコマンドで実行する
visudoはルートでログインしないと使えないが
そのコマンドはUNIXのスタンダードなエディタのviと同じだ
iで編集モードに入ってラインを書き込み:wqで保存して終了だ
これを実行するとsudoコマンドを入力するたびにいちいちパスワードを
要求されるようになってしまうが上記の未知のトロイの木馬の脅威はなくなる
それにポカミスでsudoでやってはいけないコマンドを実行してしまうのを
防ぐというフールプルーフにもなるので一石二鳥ではないだろうか






セキュリティに関するtips

anchor

ミスリーディングアプリケーションにご用心

こちらのサイトでこういう記事を見つけた。
要約すれば「あるサイトを見ていたところ突然『あなたのシステムはウイルスに感染している。問題を解決するために◯◯を今すぐダウンロードしてインストールせよ』という怪しげなポップアップウインドウが出てきた」というもので、このブログで取り上げられたSystemDoctor 2006は実はつとにかなり有名なものらしい。この記事では日本語版が登場したというから、少なくとも海外では定評を築き上げているに違いない。

それでこういう経験は私も結構あちこちでしていて、なかにはWindowsのフェイスに似せたJavaScriptのウインドウで
「ウイルス感染を感知したので至急対策せよ。今ならたった50ドルでセキュリティユーティリティのライセンスを購入できる」
というようなウインドウを表示しているサイトに出会って
「せっかくの労作だが、私のマシンはMacなのでそういうものには引っかからないのだよ」
と笑ってしまうようなものも見かけている。

しかしこういうアラートが出るということは結構引っかかっている人が多いということだ。
こういうミスリーディングソフトは、トロイの木馬のようなソフトウエア的に害があるものはほとんどないのだが、インストールするとシステムに無意味な負荷をかけるだけで「いかにも仕事してる」というふうに見せかけて、結局何の役にも立たないというものらしい。
むしろこれは有害なコードというよりもネット詐欺と言うべきか。
しかし最初からクレジットカード番号を抜くことを目的とした悪質な業者もいるので、危険度はトロイの木馬よりもむしろ破壊的かもしれない。

こういうミスリーディングソフトは増えているというシマンテックのリリースもたまさか来ていたので例によって転載しておく。
皆さんも注意してもらいたい。




Press Information
報道関係資料
株式会社シマンテック 広報室
2006年10月24日
****************************************************
「シマンテック コンシューマセキュリティトピック」 
- ミスリーディングアプリケーションについて - 
****************************************************

シマンテックでは、世界中に配備したセンサーが検出するインターネット上の
脅威に関して、半年に一度その分析情報をまとめ、「インターネットセキュリ
ティ脅威レポート(以下ISTR)」として報告しています。10回目となる2006年
上半期のレポートでは、新種のセキュリティリスクの中で上位を占めた「ミス
リーディングアプリケーション」について一般ユーザーの方に分かりやすくご
理解いただくため、「シマンテック コンシューマセキュリティトピック」と
してご紹介いたします。

■「ミスリーディングアプリケーション」とは
ミスリーディングアプリケーションとは、ユーザーのコンピュータ内のセキュ
リティ状態について偽の警告や誇張した警告を発し、その発見された「脅威を
削除する」と称するセキュリティソフトの購入やアップグレードを勧めて、ユ
ーザーに送金させようとする詐欺的なものを刺します。購入に同意したユーザ
ーのクレジットカード情報を入手し、後で犯罪目的に利用します。日本でも同
様の「セキュリティソフトの押し売り」などの被害が増加しており、情報処理
推進機構(IPA)でも注意を呼びかけています。

レポートでは、2006年上半期中の「新種のセキュリティリスクの上位10種」う
ち3つが、このミスリーディングアプリケーションであり、上位10種の報告件
数の50%を占めていると報告しています。また、報告件数の多い順でも上位3
種のうちの2つがミスリーディングアプリケーションとなっています。

株式会社シマンテック セキュリティレスポンスの主任研究員の林薫は以下の
ように述べています。「このようなミスリーディングアプリケーションは、技
術的な攻撃ではなく、ユーザーの不安な心理を突くタイプのものです。最近で
は技術的な対策が進化してきたため、ユーザーの心理的な弱点を狙うリスクが
再び増加してきました。インターネットを利用する人は誰でも、詐欺的なメッ
セージを見抜く防犯意識を持たなければなりません」。

シマンテックでは、このようなミスリーディングアプリケーションの可能性を
最小限にするために次のような対策を推奨しています。

1. ウイルス対策、ファイアウォール、侵入検知、脆弱性管理などの統合セキ
ュリティソリューションを利用する

2. 覚えのない、疑わしい添付ファイルやメッセージを開いたり応答したりし
ない

3. 怖がらせたり、判断を誤らせたりするようなメッセージを冷静に分析し、
安易に警告に従わない

4. 疑わしいウェブサイトに個人情報を入力しない

5. クレジット決済や送金の手続きは、信頼できる取引相手に限定して行なう






セキュリティに関するtips

anchor

FinderPopをアクティブにすると全てのアプリを起動する時「本当に起動してもいいか?」というアラートが出るようになってしまった。

FinderPopがOSXに対応して以来大喜びでインストールしていたが、結局使っていなかった。
readmeを読みこなしている時間がなかったという怠慢な理由だったのだが。
OS9時代にFinderPopを愛用していたのは、実はクリック長押しだけでコンテクストメニューが呼び出せるという便利な機能があったのが一番大きな理由だった。
この機能がOSX版では生きていないようなので、使っていなかった。
ところがこの機能はちゃんとOSX版でも実装していたようだ。

デフォルトではそのチェックが外れていただけで、先日アップデートを入れてこのチェックを入れたところ、クリック長押しでコンテクストメニューが呼び出せるようになった。
これは本当にうれしい。
最近は3ボタンマウスを常用しているのでデスクトップの時にはそれほどでもないが、特にモバイルの時には指一本でコンテクストメニューを呼び出せるのは、「通勤電車ライター」である私にとっては本当にありがたい機能だ。


ところがこれをアクティブにしてからというもの全てのアプリを起動すると以下のようなアラートを出すようになった。






全てのアプリを起動するとこのようなアラートが出る
FinderPopデーモンは外部プログラムコード◯◯は
セキュリティリスクがあると判断した」というLittleSnitchのアラートだ
どちらかを止めるとこのアラートは出ないのでこの組み合わせで出る連携機能のようだ



これは例のURIの脆弱性をついたプログラムに対する防衛策として、もっとも確実かつ有効な方法になるのだが毎回毎回、何かを起動したり開いたりするたびにこのタグのOKボタンをクリックしないといけないのは煩わしい。
個人使用のiBookはマルチアカウントではないので、そこまでセキュリティリスクに神経質にならなくてもいいと思うのでこの解除方法を探していた。

LittleSnitchFinderPopかどちらかを止めれば良いのだがどちらも使いたいという場合は、LittleSnitchの設定に入ってキャプチャーの
Enable Code Injection Alart
のチェックを外せばいい。
この設定画面には歯車マークのプルダウンから「Preference」で入れる






この煩わしいアラートを外すにはLittleSnitch
設定画面に入って一番下のチェックを外せばいい
それで「Save」ボタンをクリックすればすぐに変更は反映される











Previous Topへ Next





site statistics
青木さやか