Previous Topへ Next

OSXのtips3-5

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

IPv6入れっぱなしで公衆無線LANなんかに接続するとMACアドレスバレバレとな?

高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定をというエントリに注目。

詳細はリンク先を見ていただくとして、IPv6を稼働しているモバイルをIPv6サポートの公衆無線LAN、リファレンス会場の無線LANなどにつないでいると、IPバレバレで、必然的にMACアドレスもバレてしまうということらしい。

MACアドレスがバレると何がまずいかというと、最近ではMACアドレスで使用者を特定できるMACアドレスwhoisのような検索サービスも有ったりして、その使用者のヤサなんかも特定できてしまうことがある。
ヤサがわかって、IPアドレスもMACアドレスもわかってしまうと、いろいろとセキュリティリスクがでてくることは議論の余地がない。

IPv6サポートのホストに接続する場合、(こちら側の接続ホストもIPv6対応なら)やはりMACアドレスがさらされるリスクがあるという。(IPv6の普及率を考えると今のところその確率はきわめて低そうだが、ゼロではない)。

この問題の一番端的な対応策は
「IPv6を切る」
ということになる。
手順は
「システム環境設定」→「ネットワーク」→「内蔵Ethernet」や「AirMac」などのそれぞれの設定に入る→「詳細」→「TCP/IP」→「IPv6の構成」を「切」にする
という感じで結構深いところにある。
デフォルトでは「IPv6の構成」は「自動」になっている筈だ。
これがこのリンク先の指摘しているリスクになる。

IPv6なんてほとんどのMacユーザは気にしていない筈だが、こんなところにもセキュリティリスクがあるということは知っておいた方がいい。






気がついたら私の場合はIPv6の設定はすでに「切」になっていた
Safari3のベータをTigerに導入した時にもたつく問題を解決するために
「IPv6を切れば一発解決!」という2ちゃんねるのガセネタをテストしてそのままになっていたため
移行アシスタントでその戻し忘れた設定がLeopardにも引き継がれていたらしい
恐るべし!移行アシスタント



ところでIPv6を切ってしまえばこの話は簡単なのだが、IPv6を使いたいという場合はちょっと厄介だ。
IPv6にはMACアドレスを使わない一時アドレスで接続するRFC 3041に基づく設定があるのだが、MacOSXの場合GUI上でこの設定変更をすることができない。

ここにはこの設定を変更するTerminalのコマンドが出ている。

sudo sysctl -w net.inet6.ip6.use_tempaddr=1

ただこのコマンドは1回限りで揮発する設定変更で、再起動すると元に戻ってしまうそうだ。

これについてはこちらのclicklog- ip6.use_tempaddrというサイトに違うコマンドが出ている。

echo net.inet6.ip6.use_tempaddr=1 | sudo tee -a /etc/sysctl.conf

これで解決なのか私にはわからないが、心得がある人は試してみてはどうだろう。
よろしければその結果も教えてもらえると嬉しい。







セキュリティに関するtips

anchor

"インターネット全体に存在する致命的な欠陥"と喧伝されたDNSキャッシュポイゾニングの問題を改善するセキュリティアップデート

7月の中旬ごろに「インターネット全体にわたるセキュリティホール」が報じられた。 その公式な警告がこちらのJPCertのテキスト。
www.jpcert.or.jp/at/2008/at080013.txt

オリジナルはこちらの
Dan Kaminskyのサイト。

ただしこの両者には「DNSキャッシュにポイゾニングが可能な欠陥が発見された」というだけで具体的な内容や対策は何も書かれていなかった。
最初の紹介記事が「全てのインターネットユーザが影響を受ける重大なリスク」であり「インターネットの構造的欠陥に由来する」とセンセーショナルな書き方をしていたので、注目はしていたのだが内容が分からないので静観していた。

何だか出方がガセっぽかったのだが、これについては
悪用コード公開の影響:DNSの脆弱性問題でISPに被害:米AT&TのISPが運営するDNSキャッシュサーバが攻撃を受け、Googleへのトラフィックが別のサイトに誘導された。
というように実際に被害も出て、悪質なコードも出回り始めたのでガセではないことはわかった。

先月末になってやっと詳細が発表されたので取り上げることににした。
DNSシステム脆弱性問題、発見者がついに詳細情報を公開へ | エンタープライズ | マイコミジャーナル

またこれに関連するMacOSXのセキュリティパッチも配布されている。
About Security Update 2008-005

ただし、このパッチが有効なのは自宅でDDNSなどのネームサーバを立ち上げている人だけだ。
このセキュリティアップデートの説明にも詳細が書いてあるが、BINDの脆弱性を改善するアップデートで、BINDはOSXで標準にバンドルされて配布されている。(多分Windowsでも) ただしデフォルトではBINDは起動しない設定になっている。
BINDはISPでIPアドレスとホストネームの翻訳サービスを外向きに行うような時に必要となるもので、サービスプロバイダにとってこれのセキュリティホールは重大なものだが、一般のユーザが自宅で外向きにDDNSなどを立てるというケースが日本全国で何百人あるのか私は知らないが、全体で見れば非常にレアケースではないかと思う。
この脆弱性に対応したBIND9に準拠したのが今回のアップデートということらしい。
なのでサービスプロバイダの技術担当者の方は、これはOSXserver担当者だけでなくUNIX、DebianなどのLinux担当者もWindowsサーバ担当者も他人ごとみたいに思っていないで、この動向には注目してほしい。

逆にいうとこのセキュリティホールは個々のクライアントではほぼ無関係というか、DNSサーバとして自分のOSXを運用している人以外には無関係で、もっと厳密にいえば全ての人が無関係ではないのだが、個人では対策するすべがほとんどなく、せいぜい自分が利用しているISP業者にちゃんと対応してくれるように注意を喚起するぐらいしかできることはない。

ちなみにこちらの発見者のDan Kaminskyさんのサイトには、あなたが利用しているインターネット接続業者が安全かどうか診断してくれるサービスがあるので、試してみるといい。
この診断で
appears vulnerable to DNS Cache Poisoning
と出れば、あなたが利用している業者のDNSはまだ未対応で攻撃を受けると陥落しやすい状況だと言えるそうだ。

ただしこのDNSキャッシュポイゾニングの可能性についてはどうやら前々から警告されていたものらしく、今回のパッチでも完全にこの可能性が無くなるというものでもないらしい。
というか厳密にいうとDNSのような仕組みを使う限り完全無欠な対策は不可能らしい。
その意味では「インターネット全体の欠陥」という煽り記事のような最初の記事のセンセーショナリズムな書き方は全く間違っていたわけではない。
不安を煽ったという意味ではやはり罪はあると思うが、日常的に気をつけろとしか言いようがない。

このDNSキャッシュポイゾニングの成功の確率に関してはこちらのこれでいいのかTTL 短いDNS TTLのリスクを考えるというサイトに考察があった。
これを見る限りでは、完全な対策というのはなさそうな感じだ。

さっそくAppleのセキュリティパッチに関してはDNSキャッシュポイズニングに対するアップルのパッチは不十分?とこういうイチャモンもついている。
それがどの程度重要な対策なのかわからないのだが、上記のサイトを見ているとこのパッチの不足部分の「乱数化」に対応してもやはり本質的な解決にならないような印象を私は持ってしまったのだがまちがいだろうか?


またこの問題とは直接無関係だが、最近の悪質サイトは元は正規サイトを乗っ取ったものが大部分という「悪質サイト」の75%は、「元正規サイト」という記事も見つけてしまった。
最近使っていないSNSとかブログとかhtmlサイトとか時々は巡回して誰かに悪用されていないか確認してみよう。
この記事を読んでいて、元は真面目なMacのメンテナンスツールだったMac Sweeperというアプリが配布中止になって、そのあとに全く同名のMac Sweeperという偽セキュリティソフトが出てきたのを思い出した。
無関係だが、なにか感慨はある。






今回のセキュキティアップデートはBINDのセキュリティホールの改修パッチが含まれる





その説明がアップルのサイトにあるので参考に
ただし内容を読むとDNSのサーバ側の補修がその内容のようだ





ことの発端のDan Kaminsky氏のサイトにISPのDNSキャッシュポイゾニング危険度チェッカーがある
先日まで自宅で利用しているISP業者はappears vulnerable to DNS Cache Poisoning
という表示を出していたが先日こういう表示に変わったので対応したということらしい






セキュリティに関するtips

anchor

先日も触れたDNSキャッシュポイゾニング(毒入れ)の脆弱性の詳細も明らかになってもっと詳細なチェッカーサイトも現れた

先月「全てのユーザが危険にさらされるインターネット全体にわたる脆弱性」という驚くべき見出しでニュースがリークされ、詳細が見えないままちょっとイライラさせられた「DNSキャッシュポイゾニング」の詳細が見えてきた。

この問題は前にここでも触れた。
"インターネット全体に存在する致命的な欠陥"と喧伝されたDNSキャッシュポイゾニングの問題を改善するセキュリティアップデート

脆弱性のチェックについてはこちらのサイトを参照。
DNSの危機に対応を

それでこの「カミンスキーポイゾニング」のチェックをできるサイトがこちら
Web-based DNS Randomness Test | DNS-OARC

さっそくチェックしてみた。






「カミンスキーポイゾニング」のチェックをできるサイトがこちら
下の「Test My DNS」をクリックすると今接続しているDNSの脆弱性がチェックできる





こちらがその結果
「GREAT」と出ているなら問題ない
脆弱性がある場合は「POOR」と出るそうだ





勤務先のDNSもチェック
この内容を見ているとDNSのソースポートのランダマイズが
どれくらいバラけているかを評価しているようだ
つまり「カミンスキーポイゾニング」の対策はズバリ、
ソースポートのランダム化が決定打ということらしい
ソースポートのランダム化は望ましいということが
前に書いた記事のリンク先にも書いてあった
つまりこの問題は古くて新しいDNSの欠陥が露出したということだ






セキュリティに関するtips

anchor

クリップボードをジャックしてブラウザのアドレスバーにどこのURLをコピペしても有害サイトに誘導されてしまう脆弱性/MacもWindowsも均しく危険

スラッシュドット・ジャパン | クリップボードを乗っ取る悪質Flash広告が登場
という記事があり。

これはある種のサイトのリンクを踏むと、それ以降ブラウザのURLウインドウに何をコピペしても特定の有害サイトのURLしか入らなくなり、どうやってもそこのリンクに飛んでしまうという脆弱性がFlashにあるという。

問題のサイトは特定の偽セキュリティソフトのページに飛んでしまうのだとか。
偽セキュリティソフトというとあれか?・・・と私などはすぐにピンと来てしまうのだが、違うかもしれないがその類いらしい。

これは実はつとに知られたFlashの弱点らしいのだが、最近話題になったDNSの脆弱性といい、昔から指摘されていた脆弱性がまたここに来て表面化してきたということらしい。

この無害なテスト用のページでその動作を確かめることができる。

ある種のFlash広告を踏むとそれ以降そのウインドウが開き続けている限り、URLに何をペーストしても、クリップボードを乗っ取られURLウインドウにはその偽セキュリティソフトのURLしかペーストされず、そこにしか移動できなくなる。
ていうか、ブラウザに限らずテキストエディタであろうがなんであろうが、ペーストするとこの有害サイトのURLしかペーストできない。
そういう怪しいウインドは閉じればいいというたかのくくり方はしない方がいい。
特定のウインドウを開いたままにして、目くらましすることはできることをあのインチキソフトの会社が教えてくれた。
こうなったらブラウザを一度終了しないと脱出できないという場合だってあるかもしれない。

逆にいえばこの場合最悪ブラウザを終了すれば変なものはもらわないわけだし危険度が非常に高いともいえないのだが、この誘導広告の掲載されているページが怪しいページだけでなくMSNBCやDiggでも確認されているというのがなかなかイヤな感じだ。

こういうものはどこにでも潜ませることができる。
当たっても不快な思いをするだけかもしれないが、こういうのはなんとかしてほしいものだ。






問題のサイトはこんな感じの単純なリンクに見える
これはテストページなので何も飾っていないが
体裁を普通の広告ページのようにしつらえば何も怪しいと思わないだろう





その広告のリンク先もこういう普通のページであったりすれば何も怪しくは見えないに違いない





ところで何か他のサイトのURLをコピーする
あるいはテキストなどからコピーしてもいい
これをURLウインドウにペーストしてwebに飛ぶ
というのは普通にやることだと思う





それをURLフォームにペーストすると全然違うURLが入る
どこのURLをコピーしてもペーストするとこのURLになってしまう





それに気がつかないで習慣的にエンターキーを叩くとこういう別の悪質サイトに誘導される
最初の広告リンクページを閉じればこの影響は無くなるのだが
これでフィッシングなども考えられるだろうしイヤな感じの脆弱性ではある






セキュリティに関するtips

anchor

最近インターネットが急に遅くなった〜フィッシングサイトに誘導されるトロイの木馬OSX.RSPlug.A Trojan Horseに注意(追記あり)

こちらのアップルディスカッションボードの
Very Slow Internet On OSX 10.5.5 / Works Fine on XP
という記事を見ていて気がついたのだが、OSX.RSPlug.A Trojan Horseがまだ蔓延しているようだ。

元記事は
「最近OSXのインターネット接続がやたら遅くなった。同じモデムにつないでいるWindowsxXPには全く異常がない、これはLeopardのバグか?」
というトピで、実はアップデータのバグではなくOSX.RSPlug.A Trojan Horseというトロイの木馬に感染していたのではないかという話だ。

この「OSX.RSPlug.A Trojan Horse」というトロイの木馬は1年くらい前にMacOSXを狙ったトロイの木馬として初登場し、ついにMacもネット攻撃のターゲットにされ始めたと話題になったもの。
これに感染するとDNSの偽情報をかまされて、一部のセッションをeBay、PayPal、あるいは銀行の偽サイトに誘導されフィッシングの餌食にされるというもの。
(詳細はセキュリティアラート「OSX.RSPlug.A Trojan Horse(トロイの木馬)が 悪意あるDNSセーバへ転送するためにローカルDNS設定を変更」を参照のこと)

この感染経路は、主に動画サイトなど。
そういうサイトで動画を見ようとクリックすると
Quicktime Playerはこのムービーを再生できなかった
このムービーを再生するにはこのコーデックに対応したプラグインが必要である」

という表示が出て
「このコーデックをダウンロードするか? Y/N」
というような表示が出る。

Yesをクリックすると何かをダウンロードするが、なにも起こらず結局件のムービーも見ることができない。
(大抵はエロ系のムービーだと思われるが、その辺もウラをかいてくる可能性はあるので「エロサイトには逝かないからオレは安全さww」とかいうたかのくくり方はNGだ)

この問題はSafariの「安全なファイルをダウンロードした後で開く」という例のトチ狂った設定のおかげで自動的に感染してしまうという問題も関係していたりで、この問題はもういい加減にしてもらいたい・・・というかこの機能は便利だと思ったことは一度もないので、Safariやその他のブラウザから廃止してもらいたいと真剣に思っている。

もっともこの機能オフってあっても何も考えないでダウンロードファイルをクリックするユーザがいれば同じことなのだが・・・

それやこれやでこれに感染すると、上記のようにインターネットの接続が急に遅くなったりというような症状が出るらしい。
このトロイの木馬は昨年登場以来「MacOSX初の脅威」と騒がれながらも、その後あまり話題になっていなかったので終息したのかと思っていた。
しかしこのアップルディスカッションボードの記事は最新のもので、このトロイの木馬を削除したところ症状が治ったと書き込んでいる人が何人かいるところを見ると、今でもけこう出回っているらしい。

その診断法と対処法はこちらの
Mac OS X がターゲットの新しいトロイの木馬 OSX.RSPlug.A Trojan Horse
というエントリに詳細に書かれている。
リンク切れになったときのために念のために抄録しておくので、詳細はリンク先で確認してほしい。

まず感染しているかどうかの診断法はOS10.4以下の場合は
sudo crontab -l
というコマンドをTerminalに打つ。
何も設定していなければ何も出てこないが、
* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
という文字列を表示したら要注意だ。

この場合
scutil
というコマンドを打ってみる。

>
という記号が出て続きのタスクを要求されるので
show State:/Network/Global/DNS
と打ってみよう。

それで表示される文字列は以下の通り。






ここに見慣れないIPアドレスがネームサーバとして登録され、
そのIPアドレスが怪しいものであるなら感染している確率はかなり高い



またOS10.5Leopard以降ではこの診断はGUIで可能だ。

システム環境設定ペインの「ネットワーク」に入って現在つないでいるネットワークインターフェイスを選ぶ。その「詳細」ボタンをクリックすると詳細設定に入るので「DNS」というタブを選ぶ。
ここには通常参照するDNSサーバのIPアドレスと、ドメインネームが表示されている。
ここにグレーアウトした見知らぬIPアドレスなどが表示されていたら、要注意ということになる。






「システム環境設定ペイン」/「ネットワーク」/「現在つないでいるネットワーク」/
「詳細」/「DNS」と入っていくとDNSサーバのアドレスが見える
これはAirMacがDNSサーバなので10.0.1.1が割り当てられている





ここに見慣れないグレーアウトしたIPアドレスが見えて、しかもそのアドレスが
問題あるサイトのそれだとしたらDNSに問題を抱えたかもしれない



この対処法はまず
/Library/Internet Plug-Ins/plugins.settings
を削除すること。
これは特別にコマンドを使わなくても、Finderで削除すればいい。
一応念のために
~/Library/Internet Plug-Ins/
System/Library/Internet Plug-Ins/

にもplugins.settingsというファイルがないか確認すること。

さらにこのファイルを毎分読み込みにいく設定を
sudo crontab -r
のコマンドで削除する。
(これは全削除なので他に残したい設定があるなら引数-eを使い該当行を削除)



anchor

DNSChanger Removal Tool
(Freeware)
OS10.4Tiger対応OS10.5Leopard対応

さらに上記のトロイの木馬「OSX.RSPlug.A Trojan Horse」の感染の診断、削除までをワンクリックで実行するアプリもフリーウエアで配布されている。

詳細はキャプチャーで。

効果のほどだが、このアプリの出自を見て私はちょっと疑問に感じてしまったのだが、件のアップルディスカッションボードでは、このアプリを使って「症状が改善した」という書き込みが何人かあるので効果はあるのかもしれない。
問題のトロイの木馬を仕込んでいるサイトを知らないので、実際の効果を確認できないのだが一応持っておいてもいいと思う。






DNSChanger Removal Toolの起動画面はこの通りシンプルな操作感
ただし配付元が「MacScan」というところでちょっとイヤな予感がした
本体のMacScanアプリは私は「効果無し」と断定してアンインストールしてしまった
これはADBに何人かが「症状が改善した」と書いているので効果はあるかもしれない





異常がなければ一応このように「何も見つからない」という表示が出る



<追記>

いつもお世話になっているE-WAさんのサイトで
ClamXav を OSX.RSPlug.A Trojan Horse に対応させるComments
というエントリも発見。
この方法を使えばClamXavでもDNS Changerの防疫ができるようだ。最新のclamのデータベースがOSX.RSPlug.A Trojan Horseに対応しているかどうかは私は知らないが、私と同じようにMacScanに不安を感じていて、clamデータベースが対応しているかどうか確信が持てない人は試してみてもいいと思う。

方法は
1 シグネチャファイル(直リンク)をダウンロードする。
2 ダウンロードしたファイルの名前が"OsXHexSigs.db"であることを確認する。Safari でダウンロードした場合は末尾に".txt"がついてしまうので、削除する。
3 Finder の移動メニューから「フォルダへ移動…」を選択し、"/usr/local/clamxav/share/clamav/"と入力する。
4 /usr/local/clamxav/share/clamav/ 下へ OsXHexSigs.db をコピーする。
5 システムを再起動する(本当は clamd のみ再起動で OK だが、念のため)。


と簡単だ。




<さらに追記>

BBSに「SakiPapa」さんから情報をいただいた。
clamのデータベースはすでにDNS Changerに対応してるそうだ。
それを確認する方法も書き込んでいただいた。

BBSはやがて消えるので、こちらにも転載しておく。

Terminalを起動して
/usr/local/clamXav/bin/sigtool --list-sigs
と打ってenter。
これでclamが対応しているウイルス、マルウエアのリストが表示される。
このリストは膨大な量になりここから目的のトロイの木馬の名前を見つけるのはなかなか根気のいる作業だ。
(clamのデータベースにはMac、UNIX対象のウイルスだけでなくWindowsのみでしか感染しないウイルスも含まれるため膨大な量になる)

そこで
grep
という文字列が一致した行のみ表示するコマンドと合わせる。
コマンドは
/usr/local/clamXav/bin/sigtool --list-sigs | grep OSX.DNSChanger
と打つと
OSX.DNSChanger
という答えが返ってくる。
clamはOSX.DNSChangerに対応しているということだ。心強い話だ。
これでClamXavでもOSX.DNSChangerの駆除だけはできるということになる。
これを発見したら、駆除は所定の手順でやって、後は上記のように毎分そのファイルを読みにいく設定を解除すればいい。

「SakiPapa」様、情報ありがとうございました。






clamのデータベースは件のOSX.DNSChangerに対応している
/usr/local/clamXav/bin/sigtool --list-sigsというコマンドで
それを確認できるがスゴい量のマルウエアのリストが出てくるので探すのが大変・・・





そこで/usr/local/clamXav/bin/sigtool --list-sigs | grep OSX.DNSChanger
というコマンドでDNSChangerだけを表示させる
この通り対応済みとのこと






セキュリティに関するtips

anchor

紛失、盗難の憂き目にあったMacを泥棒から取り返すアプリ?


Adeona
(Freeware)
OS10.4Tiger対応OS10.5Leopard対応Windows2000~XP対応

コンピュータが盗難にあった場合、盗まれたパソコンから盗んだヤツのIPなどを取得して(・∀・)タイーホの手がかりを得られるかもというフィジカルなセキュリティアプリ。

「パソコンなんか盗まれるのはノートブックを持ち歩いているヤツだけ」
なんてたかのくくり方をしているバカなねらーは車でも自宅でもパソコンの盗難に遭う確率の高さを全く知らないでこういうものをバカにしている。
持ち歩いていれば勿論置き引きに遭う可能性も高いが、自宅や会社に置きっぱなしにしているパソコンだって結構な確率で盗難に遭っているのだ。

こういう趣旨では以前、Wimpというアプリをここでも紹介したことがある。
これも毎時IPアドレスを取得して設定したメールアドレスに送信するアプリだったが、いくつか問題があった。

盗んだヤツが上級者だったらメールデーモンの振る舞いを逆追跡されるというのは杞憂だとしても、剥き出しのメールでやり取りされるIPアドレスの安全性の問題もあるし、特定のサーバにデータが集中するのでそのサーバに負荷がかかりすぎるとサービスが維持できるのかとか、そのサーバがクラックされたらどうなるのかとかの問題があった。
さらに単純にIPアドレスだけで、そんなに盗んだヤツを特定できるのかという問題もある。
Wimpは意欲的な実験サービスとしてスタートしたが、残念ながらこれらの問題をクリアできないために結局継続が困難になったようだ。

それでこのAdeonaだ。

これも考え方は非常に似ている。
しかし、ワシントン大学の教育と研究のために開発されたというこのアプリは、最初からこの問題を解決することを目的としている。
つまり「盗んだヤツを捕まえる」ことが主眼ではなく、この個人情報を第三者だけでなくサービスの運営者からすら守り、見えなくしてしかもトレースの精度も上げるということが主眼になっている。

このアプリをインストールして運用するとアップロードされる情報は
ローカルIPアドレス
WANでのIPアドレス
アクセスポイント
経由する最寄りのルータ

などとなっている。
正直IPアドレスだけだと気休めみたいなもので、固定グローバルIPを持つ間抜けな泥棒がwebにつなぎっぱなしでMacを起動してくれればいいが、そうでない場合はIPアドレスで特定できる範囲は「県単位」というくらいで、他にヒントがあれば追跡できるかもしれないがIPアドレスだけではどうにもならない。
ところがアクセスポイントやルートまで特定できると、その所在をかなりの精度で特定できる可能性が出てくる。

このAdeonaはLinux版、Windows版が用意されているが、さらにMacOSX版のみの特典として面白い機能が追加されている。
毎時のアップロード(10〜30分のランダムな間隔で行われる、この不定期性も泥棒に発見されにくい工夫らしい)の度にiSightを搭載しているMacBookとMacBook Pro、iMacなどではこれが起動し、犯人の顔も撮影してアップロードする。
これらが決定的な証拠になって、泥棒はかなりの確率で特定できるだろう。
(このサービスにはisightcaptureのインストールが必要、これについては後述。
またiSightが動くたびにカメラ横のLEDが緑に光って、かえって泥棒に気づかれてしまうと考える人もいる。そういうカメラを使用したくない人にはカメラ機能無しバージョンも配布されている)

これはMacユーザの特典で決定的な証拠になって良いのだが、普段から動かしていないといざという時に役に立たないし、かといって普段は自分の顔を自分のIPアドレスやルート情報といっしょに流すわけだから一層のセキュリティが必要になる。

それに対してこのAdeonaは分散型・非集中型のネットワークにアップロードされる。アップロードの課程は暗号化される。これらがユーザのプライバシーを保証するということらしい。

実際使ってみた感想をいうと確かにこれはよくできている。
動きはなかなか確実だし、確かにIPアドレス、アクセスポイント、顔写真などを取得できる。
ルータに関しては私の環境では確認できなかったが、ランダムなIPアドレスを取得するDNSなら取得できそうだ。
しかもこの情報を取得するには、インストール時に生成される
adeona-retrievecredentials.ost
という鍵ファイルが必要だ。
これを持たない者はこの情報を傍受することはできない。

ただし開発者も注意しているが
「この情報を基に自分で泥棒を追跡しようと考えないこと、追跡は司法機関に任せなければならない」
ということなので、自分でやるのはこの保険を開いてみるところまでにしよう。


インストールはMac版とWindows版に関してはインストーラの指示にしたがってインストールしていくだけだ。
途中でパスワードの設定などを要求される。
このパスワードをハッシュ値化したものが、先ほども触れた
adeona-retrievecredentials.ost
だと思われる。


情報の取得はアプリケーションフォルダにインストールされるAdeonaフォルダの中の
adeona-retrieve.term
を起動する。
これは専用コマンドを実行するターミナルになっている。
この時に
adeona-retrievecredentials.ost
を選択するダイアログが出てくるので、指定することでパソコンの現在位置の情報を取得できる。
IP情報はすぐにアップロードし始めるが、その他の情報はやや時間がかかる。


アンインストールはやや複雑だ。
Adeonaクライアントの活動を止めるコマンドをTerminalで実行する。

sudo launchctl stop edu.washington.cs.adeona

sudo launchctl unload /Library/LaunchDaemons/edu.washington.cs.adeona.plist


さらにAdeonaの関連ファイル削除のコマンドをTerminalで実行する。

sudo rm -rf /usr/local/adeona

sudo rm -rf /Applications/Adeona

sudo rm /Library/LaunchDaemons/edu.washington.cs.adeona.plist

sudo rm -rf /Library/Receipts/adeona.pkg


このコマンドの下の3つはFinderでも可能だし、一番上のは不可視ディレクトリを扱えるアプリならGUIでも可能だ。






Adeonaをインストールする
元々はLinux用として開発されたようだがMac版はインストーラで簡単にインストールできる





必要な空き容量は692KBと表示される
最近の巨大化したアプリに比べると非常にコンパクトだ





この課程でAdeonaから情報を取得するときのパスワードの設定を求められる
このパスワードはシステムを管理する時に必要なrootのパスワードと一致していなくてもよい





インストールが完了するとデスクトップにadeona-retrievecredentials.ostというファイルが生成される
これが情報取得の鍵ファイルになる





このキーは自分だけが取得できて他のパソコンでも取得できるように自分あてのメールに添付しておくとか
自分専用のwebストレージやUSBメモリに入れておくなどの方法で保管すること
守りたいMacBookの中にいれるような車の中に鍵を入れておくような間抜けなことにならないように注意





受信は"/Applications/Adeona/adeona-retrieve.term"というアプリをクリックして起動
この時に先ほどのadeona-retrievecredentials.ostファイルを
要求されるのでダイアログで場所を指定する
次に出るこのフォームでいつからいつまでの情報を取得したいか設定(空欄でも可)





あるいはもっとも最近のものとか、直近の2つを取得というような指定もできる





取得に成功するとデスクトップにこういうフォルダが生成される





中を開くとこの通り
jpegで怪しいヤツの顔写真とテキストでそいつのIPアドレス、
アクセスポイント、最寄りのルータなどの情報が取得される
このキャプチャの場合は固定IPなのでアクセスポイント、ルータの情報は取得されていない





こちらは別の場所からつないでみた
アクセスポイントは無線LANネットワーク名になった
ランダムなIPアドレスをふられる場合はDNSサーバのIPアドレスも取得すると思われる
写真とあわせてこれでかなり犯人を特定できる





ちなみにテキストに出ているワシントン大学のcgiのURLにアクセスすると
ほとんどリアルタイムにIPアドレスだけは追跡できる
これはインストール直後のIPアドレス





すぐ別の場所に移ってみると同じcgiに出ているIPアドレスがそこのものに変わっている





もっと手っ取り早く動いているのか確認したい時には
ps aux | grep adeonaというコマンドをTerminalで打つ


anchor

isightcapture
(Freeware)
OS10.4Tiger対応OS10.5Leopard対応

TerminalからコマンドラインでiSightを起動させて写真を撮るコマンド

勿論そういう作業は通常は、GUIでムービーアプリなどから操作するのだが、例えばAdeonaのようなオプションから操作するにはCUIで動かす機能があった方がよい。
AdeonaのMacOSX版はMacを盗んだヤツの顔をパチリと撮影してアップロードする強力な機能があるが、この機能を利用するためにはisightcaptureのインストールが必要になる。

作者サイトにはインストール方法などの説明が一切ないが、作者さんは
「他の仕事で手一杯なのでこのisightcaptureについては私に質問するな」
と書いておられる。

インストールにはいくつかの方法があるが私は一番簡単な方法でやった。
つまりMainMenuCoelaなどの不可視ディレクトリのファイル操作を可能にするアプリを使って
"/usr/bin/"
isightcaptureというUNIX実行ファイルを直接放り込んでやった。

デフォルトでここはパスが通っているから、この方法なら後でパスを通す必要がない。
(「パスを通す」項目を参照)

写真を撮るには
isightcapture image.jpg
というコマンドをTerminalに打ち込んでやるだけでいい。
シェルは通常ホームディレクトリがカレントディレクトリになっているので
~/
に写真が生成される。
デスクトップに写真を生成させたい時には
cd ~/Desktop
というコマンドを最初に打っておいてカレントディレクトリをデスクトップに移動しておけばいい。

これをインストールすると上述のAdeonaのMac版写真ありバージョンは写真のアップロードをはじめる。






isightcaptureをインストールする
私はお手軽な方法でMainMenuを使って不可視ディレクトリを表示、
"/usr/bin/"にバイナリを入れてやった





isightcapture image.jpgというコマンドをTerminalに打ってやる





ホームディレクトリの最初の階層に怪しい男の写真が・・・ってそれは私です






セキュリティに関するtips

anchor

自宅無線LANをWPAに移行〜
iBookDualUSB+AirMacカードは締め出しに・・・(#゚Д゚) 凸

先日雑感でも書いたが、神戸大学と広島大学のグループの研究で現在無線LANに広く使われているWEPは数秒で破られてしまうことが明らかになった。

数分ならまだ気休め程度の役には立つかもしれないが、数秒では気休めにもならない。
おっつけこの先生達の研究結果をスクリプト化したものがアングラサイトとかに出回るだろうから、WEPは暗号化ソリューションとしてはもう死んだと考えるべきだ。

(このことに関して「前からあった話でしょ」とか「そんなプログラムを公開したら犯罪の助長になる」というような感情的な反応をしている人もいるが、この説明を見ていると「ガイシュツ」で済ませられるようなお気楽な話でもなく、TCP/IPについての氏の長年の研究の成果出てきたものらしいし、また公開しなくったってこういう脆弱性の指摘がされただけで結局はクラッキングツールが出回るのは時間の問題だ。「公開は犯罪の助長に繋がる」なんていっている方がなまぬるい)


それで自宅の無線LANをWPAに切り替えることにした。
子供達が使っているNintendoDSがWEPのみサポートなので、この場合DSはネットワークから締め出されることになる。
これが足かせになっていたのだが、もうそんなことを言ってられない。

これについては任天堂は「MACアドレスのフィルタリングでしのいでくれ」と説明しているらしいが、既に各所で触れられているように「MACアドレスのフィルタリング」とか「SSIDステルスモード」とかはWEPと同じように成田山のお札程度の意味しかない。
自宅ネットワークをWPAとWEPにわけてDSのみWEP使用という設定にできるということも聞いていたが、これもセキュリティ上まずい。

WEPが丸裸になって何が一番怖いかというと、DSをハックされるとかパソコンの共有フォルダの中身をのぞかれるとかそんなことよりも、WEPのネットワークからWANに接続されて2ちゃんねるなどに「殺人予告」などの書き込みをされるなど、「なりすまし」に使われることだ。

この場合2ちゃんねるのサーバやプロバイダの接続記録を照会されると「なりすまし」の踏み台にされた方のアドレスが浮上してくることになり、あらぬ嫌疑を受けて身に覚えのない脅迫罪、威力業務妨害罪で逮捕されるということも考えられる。

「数秒で破ることができる」ことがはっきりしてしまった以上、WEPはもう破棄するべきだと観念して、DSユーザの子供達の反対にあったが、ここはセキュリティ責任者として強権を発動してWEPを廃止することにした。






AirMac ユーティリティを使って無線LANのセキュリティをWPAパーソナル(T-KIP)に変更
WPA/AESにするとどうもiBookG4も対応できないような様子なのでこちらを選択した



ところで移行に際して若干問題があった。

どうせWPAにするならWPA/AESの一番堅牢なセキュリティに移行したかったのだが、iBookG4から設定を変更しようとすると
「変更後この機器からは接続できなくなります」
というアラートが出る。
どうもiBookG4ではWPA/AESには対応できないような雰囲気だ。
それはハードウエア的な問題なのか(AirMac Extremeカードなのであまりあり得ないが)、OSのバージョンの問題なのか、ファームウエアの問題なのか不明だが、とにかくダメなようなのでWPAパーソナル(T-KIP)に切り替えることにした。
まあ、これでも特に問題があるようなことは聞いていないのでよしとしよう。

エアポとAirMacExpress2台を切り替えに成功。
ところでここで、さらにパスワードを変更することに。
例の森井教授のサイトを見ると新しいクラック法では、クラックされているということを被害者は認識できないようなので、既にクラックされている可能性も考慮してのパスワード変更だ。

なぜかパスワード変更後、新しいパスワードで接続ができない。
理由は多分同じネットワークの名前で違うパスワードのベースステーションが複数あるからだ。
そこでAirMacExpressを停止してエアポから一台ずつイチから設定し直すことにした。
今度はうまくいって、ネットワーク全体をWPAに移行することができた。

ところがここでさらに問題が・・・
MacBook、iBookG4、Wiiの設定を変更し、それぞれ接続に成功。AirMacExpressも順調に繋がって作業は快調。
NintendoDSはやっぱり繋がらないが、これは想定通り。
ところがかつて苦楽をともにした歴戦のiBookDualUSBの設定が変更できない。
というか設定にそもそもWPAにあたるような項目がない。
それはハードウエア的な問題なのか(AirMacカードなのであり得る話だ)、OSのバージョンの問題なのか(やはりJaguarでは厳しいか?)、ファームウエアの問題なのか不明だが、とにかくダメなようなのでこちらは接続を諦めた。
これを使っている長男もあっさり納得した。(彼の今の関心事はPSPをつなげないかということだ)

これは古い機材だから仕方がないといえばいえるが、対応するとなるとAirMacカードを入れ替えてOSなどもバージョンアップしないといけないとなると、このiBookを購入した時期も考えると一概に任天堂を責めるのも酷かという気がしてきた。

DSをすべて対応させるとなると、ハードウエアの改修とファームウエアの更新で膨大なコストがかかるだろう。市場に出回った数はiBookとは比較にならない。
それにこの当時はWEPは不完全ではあってもある程度は、効果があるセキュリティだという評価だった筈だ。

任天堂が「MACアドレスフィルタリングで対応してください」とあたかもそれが安全であるかのようなことをいっているのはいただけないが、任天堂がひどいというよりは
「無線LANはまだ未完成な技術なのだ」
ということなのか。







セキュリティに関するtips

anchor

Windowsの「緊急」の脆弱性を突くウイルスも確認される〜Windowsのパッチを当てていない人は急げ!

ちょっと時間が経てしまったがPCon-lineで
Windowsの「緊急」脆弱性を突くウイルスが続出、PCを乗っ取られる恐れ マイクロソフトなどが相次いで警告、まだのユーザーはすぐにパッチ適用を
という記事が上がっていた。

前回のアップデートの「MS08-067」を当てていないと、ある種のボットにPCの管理権を乗っ取られる危険性があるという。
「W32/Conficker.worm」
というようなワームで特定のサイトからマルウエアをダウンロードさせるという手法で
「Win32/IRCbot.BH」
というようなウイルスに感染させられると、攻撃者にPCを乗っ取られる可能性ありとのこと。

Windowsではさすがに実際にテストしてみる気にはなれないので伝聞情報のみとなるが、要はセキュリティアップデートを怠るなということ。
私の場合Windowsの自動アップデートは信じていないので、毎回手動でアップデートしてすべてのパッチがちゃんと当たったか確認している。
皆そうすべきとは言わないが、Windowsの場合はそれくらいの慎重さがあっても良いと思う。












Previous Topへ Next





site statistics