DNSシステム脆弱性問題、発見者がついに詳細情報を公開へ
DNSシステム脆弱性問題、発見者がついに詳細情報を公開へ
7月初旬からインターネットとセキュリティ業界を騒がせていたDNS(Domain Name System)に関する脆弱性について7月24日(米国時間)、同脆弱性の発見者であるDan Kaminsky氏がその詳細について解説した。
このDNSで発見された脆弱性は、BINDからMicrosoft製品、Cisco IOSに至るまで、インターネット上で稼働しているほとんどのシステムに影響を及ぼすもの。
その存在はKaminsky氏によって7月9日に公にされ、ネットワーク管理者らに対して至急ベンダーからリリースされた対策パッチを充てるように通達が出されていた。
脆弱性の詳細についてはハッカーらの悪用を避けるために8月初旬に米ネバダ州ラスベガスで開催される「Black Hat」まで公開されない予定だったが、22日になり別の研究者により脆弱性の内容がオープンにされてしまったこともあり、
急遽24日での情報公開となったいきさつがある。
今回発見された脆弱性は「キャッシュ・ポイゾニング」と呼ばれるもので、インターネット上に存在するDNSサーバ同士が情報の中継を行う際、
悪意のあるサーバが偽の情報を相手のDNSレコードに送り込み、以後DNSに対して問い合わせを行ったユーザーに対して本来の意図とは別のサイトへと接続を誘導する。
ネットワーク上に存在する端末(ノード)は互いに通信を行う際、"ポート"と呼ばれる番号を指定して通信先のアプリケーションを指名する。ポート番号を明示することで通信の制御が行いやすくなるからだ。
だがこのような形でポートを開放することは不特定の第三者に攻撃の隙を与えることも意味しており、通常は必要ないポートをファイアウォールやノード側で閉じておいたり、ポート番号を初期設定とは別のものにする、
あるいは接続が発生するごとに動的に変更する手段が採られる。
だがDNSのサーバ同士の通信においては、ポートが初期設定、あるいは半固定の状態で運用されているケースがほとんどで、ハッカーがこの性質を利用してDNSサーバを攻撃することが可能となる。
Kaminsky氏は「(ポート番号の数である)6万5,000分の1の確率で攻撃が可能だ。こうした問題はほとんどのDNSサーバに存在しており、バグというよりは設計上の問題だ」と指摘する。
つづく
|
|
|
各ベンダから提供されたパッチでは、通信ポートが固定状態にある問題に着目し、この接続ポート番号のランダム性を高めることでハッカーによる攻撃成功確率を下げることを目的にしている。
ほとんどのメジャーなDNSサーバ製品で対策パッチが出ているが、BINDを含む旧バージョンの製品で対策が行われていないケースもあり、その場合にはバージョンアップが必要になる。
また接続先ポートが毎回ランダムで変動するため、ファイアウォール等のセキュリティ製品の設定を変更する必要がある。
同氏によれば、問題自体は2008年初頭の時点ですでに発見していたという。7月に初めて脆弱性が公開されるまでの段階では、DNS製品をリリースする各ベンダに秘密裏に通知を行い、対策パッチが登場するのを待つことに費やしていた。
Black Hat開催まで1カ月となった7月9日、ネットワーク管理者らに対して脆弱性の存在を公開、管理者らのカバーするDNSの脆弱性をテストし、至急パッチでの対策を促した。同氏としては対策が十分に浸透した段階で、
8月に改めて脆弱性の詳細を公開するつもりだったようだ。
だがセキュリティ研究者でBlack Hatでも登壇予定のHalvar Flake氏はKaminsky氏の秘密主義を非難、脆弱性の詳細に関する同氏の考察を自身のBlog上で公開した。
こうした経緯もあり、Kaminsky氏は予定よりも早い24日の段階で全情報の公開に踏み切ったものとみられる。
http://journal.mycom.co.jp/news/2008/07/26/013/index.html
ほとんどのメジャーなDNSサーバ製品で対策パッチが出ているが、BINDを含む旧バージョンの製品で対策が行われていないケースもあり、その場合にはバージョンアップが必要になる。
また接続先ポートが毎回ランダムで変動するため、ファイアウォール等のセキュリティ製品の設定を変更する必要がある。
同氏によれば、問題自体は2008年初頭の時点ですでに発見していたという。7月に初めて脆弱性が公開されるまでの段階では、DNS製品をリリースする各ベンダに秘密裏に通知を行い、対策パッチが登場するのを待つことに費やしていた。
Black Hat開催まで1カ月となった7月9日、ネットワーク管理者らに対して脆弱性の存在を公開、管理者らのカバーするDNSの脆弱性をテストし、至急パッチでの対策を促した。同氏としては対策が十分に浸透した段階で、
8月に改めて脆弱性の詳細を公開するつもりだったようだ。
だがセキュリティ研究者でBlack Hatでも登壇予定のHalvar Flake氏はKaminsky氏の秘密主義を非難、脆弱性の詳細に関する同氏の考察を自身のBlog上で公開した。
こうした経緯もあり、Kaminsky氏は予定よりも早い24日の段階で全情報の公開に踏み切ったものとみられる。
http://journal.mycom.co.jp/news/2008/07/26/013/index.html
3 : 星期五餐庁(千葉県):2008/07/27(日) 00:09:44.93 ID:qXe+5Jh+0
SEとして優秀かどうかを判定するための問題
・次の3つの画面を開発する必要がある。
1.ログイン画面。ログイン認証が成功したら、2の画面へと移る。難易度は中。
2.確認メッセージを表示し、ボタンが押されたら3の画面へと移る。難易度は一番低い。
3.入力、出力ともに多く、画面制御も複雑で、難易度が一番高い画面。
・プログラマは次の3人いる。
A.新人でスキルは無いに等しい。Bから教育を受けている。
B.入社3年目の中堅。スキルは中くらい。
C.ベテラン。スキルは一番高く、生産性が一番高い。
Q.それぞれの画面を、誰に担当させるか?
・次の3つの画面を開発する必要がある。
1.ログイン画面。ログイン認証が成功したら、2の画面へと移る。難易度は中。
2.確認メッセージを表示し、ボタンが押されたら3の画面へと移る。難易度は一番低い。
3.入力、出力ともに多く、画面制御も複雑で、難易度が一番高い画面。
・プログラマは次の3人いる。
A.新人でスキルは無いに等しい。Bから教育を受けている。
B.入社3年目の中堅。スキルは中くらい。
C.ベテラン。スキルは一番高く、生産性が一番高い。
Q.それぞれの画面を、誰に担当させるか?
4 : 夢特嬌(神奈川県):2008/07/27(日) 00:10:47.33 ID:aLg+rtOX0
今北産業なんだが、つまりどうすればいいわけ?
5 : 達美楽・比薩(香川県):2008/07/27(日) 00:11:13.79 ID:RZNOR4vj0
>>3
ベテランに丸投げする
ベテランに丸投げする
Lyin', cheatin', hurtin, that's all you seem to do.
Messin' around with every guy in town,
Puttin' me down for thinkin' of someone new.
Always the same, playin' your game,
Drive me insane, trouble is gonna come to you,
One of these days and it won't be long,
You'll look for me but baby, I'll be gone.
This is all I gotta say to you woman:
Messin' around with every guy in town,
Puttin' me down for thinkin' of someone new.
Always the same, playin' your game,
Drive me insane, trouble is gonna come to you,
One of these days and it won't be long,
You'll look for me but baby, I'll be gone.
This is all I gotta say to you woman:
7 : 豐田(静岡県):2008/07/27(日) 00:11:33.45 ID:NkE5lrRv0
ドコサヘキサエン酸がどうしたって?
8 : 真維斯(埼玉県):2008/07/27(日) 00:11:43.97 ID:EolfClrR0
き・・・・・・・・・・
9 : 柯達(大阪府):2008/07/27(日) 00:11:48.34 ID:xhbrE/sk0
ネットおわた
10 : 塞瑞克斯(京都府):2008/07/27(日) 00:11:49.72 ID:NQ7NAi5l0 BE:470115656-PLT(27188)
896 名前:root▲▲ ★[] 投稿日:2008/07/24(木) 18:16:29 ID:???0 ?DIA(100513)
>>895
ということで自分のプロバイダで、
Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
を踏んでみて、もし万一「POOR」って表示されたら、
そのプロバイダのDNSはセキュリティ的に「もうだめぽ」ということで、
すぐにパッチを当てろモルァって、メールとか連絡とかしたほうがよさげ。
>>895
ということで自分のプロバイダで、
Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
を踏んでみて、もし万一「POOR」って表示されたら、
そのプロバイダのDNSはセキュリティ的に「もうだめぽ」ということで、
すぐにパッチを当てろモルァって、メールとか連絡とかしたほうがよさげ。
11 : 起亜(アラバマ州):2008/07/27(日) 00:12:09.55 ID:n/645rYM0
896 名前:root▲▲ ★[] 投稿日:2008/07/24(木) 18:16:29 ID:???0 ?DIA(100513)
>>895
ということで自分のプロバイダで、
Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
を踏んでみて、もし万一「POOR」って表示されたら、
そのプロバイダのDNSはセキュリティ的に「もうだめぽ」ということで、
すぐにパッチを当てろモルァって、メールとか連絡とかしたほうがよさげ。
IIJはすべてGREAT
>>895
ということで自分のプロバイダで、
Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy
を踏んでみて、もし万一「POOR」って表示されたら、
そのプロバイダのDNSはセキュリティ的に「もうだめぽ」ということで、
すぐにパッチを当てろモルァって、メールとか連絡とかしたほうがよさげ。
IIJはすべてGREAT
13 : 可口可楽(dion軍):2008/07/27(日) 00:12:19.55 ID:VecPC0IB0
バリュードメインは?
14 : 麦当勞(長屋):2008/07/27(日) 00:13:01.13 ID:ExcaBGXx0
カスペルスキーのIntelのCPUに脆弱性って話はどうなったん?
15 : 美極(コネチカット州):2008/07/27(日) 00:13:25.80 ID:gxMqfe+jO
ネット終了のお知らせ?
16 : 宇宙公司(大阪府):2008/07/27(日) 00:13:28.14 ID:S8/OV5DM0
17 : 奥貝尓(西日本):2008/07/27(日) 00:15:05.40 ID:4QbdVwQv0
よく分からんけど、
>本来の意図とは別のサイトへと接続を誘導する。
って、IEデフォかアダルトサイトの話?
>本来の意図とは別のサイトへと接続を誘導する。
って、IEデフォかアダルトサイトの話?
18 : 夏普(長崎県):2008/07/27(日) 00:17:24.18 ID:9ZTx3/fA0
やほーBB全部GREAT
19 : 飛利浦(岡山県):2008/07/27(日) 00:18:26.74 ID:ff6vKjlI0
53番です
XserveのUNIX系モジュールのUpdate頻度ってどうなの?
実装の中途半端さみると、Appleの偽UNIXで鯖運用しようとは
思えないんだけど・・・今回の対応はどうなんだろな。
実装の中途半端さみると、Appleの偽UNIXで鯖運用しようとは
思えないんだけど・・・今回の対応はどうなんだろな。
21 : 獅王(樺太):2008/07/27(日) 00:21:31.88 ID:b8ESUrEKO
DION軍は?
簡単に説明すると
2chに繋ごうと2chのアドレスを入力→しかしDNSの脆弱性を利用したハック→任意のサイトに無理やり繋げさせることができる(ウイルスサイトなど)
www.2ch.netと入力したのに、何故かウイルスサイトに飛ばされるとかいうことが可能
もっとやばい使われ方としては、銀行の残高データ送信先を自分の鯖に無理やり書き換えて、金ゲットとか
こういう使い方も可能
2chに繋ごうと2chのアドレスを入力→しかしDNSの脆弱性を利用したハック→任意のサイトに無理やり繋げさせることができる(ウイルスサイトなど)
www.2ch.netと入力したのに、何故かウイルスサイトに飛ばされるとかいうことが可能
もっとやばい使われ方としては、銀行の残高データ送信先を自分の鯖に無理やり書き換えて、金ゲットとか
こういう使い方も可能
23 : 達美楽・比薩(埼玉県):2008/07/27(日) 00:27:03.06 ID:B6F5anQf0
OCNダメだなPOOR
予想通りの結果で最初の発見者涙目
25 : 百威(ネブラスカ州):2008/07/27(日) 00:29:03.55 ID:QHKUjJ+RO
26 : 星期五餐庁(沖縄県):2008/07/27(日) 00:39:46.71 ID:3G2LTrN70
27 : 健牌(長屋):2008/07/27(日) 00:40:21.11 ID:/Ta9WaEv0
e-access adsl
Source Port Randomness: POOR
Transaction ID Randomness: GREAT
これってどうなの?
Source Port Randomness: POOR
Transaction ID Randomness: GREAT
これってどうなの?
>>3
全部ベテランに
全部ベテランに
29 : 三得利公司(アラバマ州):2008/07/27(日) 00:42:14.93 ID:6IaU2OkF0
今回のパッチも根本的な解決じゃないから攻撃のリスクはぬぐえない
ポイズニングを足がかりに高度な攻撃を行われたらどうしようもないが
通常は罠サイトへの転送だから「正規サイト乗っ取り」時と同じ対処でおk
>>3
4人で作業分担の打ち合わせをするだろ常考
ポイズニングを足がかりに高度な攻撃を行われたらどうしようもないが
通常は罠サイトへの転送だから「正規サイト乗っ取り」時と同じ対処でおk
>>3
4人で作業分担の打ち合わせをするだろ常考
30 : 健牌(長屋):2008/07/27(日) 00:43:28.08 ID:/Ta9WaEv0
>>3
C.がプロジェクトマネジャとなり・・・
C.がプロジェクトマネジャとなり・・・
nifty 全部 GREAT
32 : 金融時報(愛知県):2008/07/27(日) 00:47:06.40 ID:25ZbskSD0
アドレスがみつかりませんになるけどヤバイ?
33 : 昇陽電脳(関西地方):2008/07/27(日) 00:48:05.24 ID:ShqrxUwb0
>>20
10.5から正式にUNIXになったわけだし
10.5から正式にUNIXになったわけだし
35 : ◆MiMIZUNCjA :2008/07/27(日) 00:56:38.23 ID:pWXRUl2W0 BE:236588459-BRZ(11236)
DNS Resolver(s) Tested:
211.9.226.5 (ns5.wakwak.com) appears to have GREAT source port randomness and GREAT transaction ID randomness.
211.9.226.69 (ns7.wakwak.com) appears to have GREAT source port randomness and GREAT transaction ID randomness.
211.9.226.5 (ns5.wakwak.com) appears to have GREAT source port randomness and GREAT transaction ID randomness.
211.9.226.69 (ns7.wakwak.com) appears to have GREAT source port randomness and GREAT transaction ID randomness.
36 : 美宝蓮(アラバマ州):2008/07/27(日) 00:58:22.44 ID:Eu8ge/BA0
OpenDNSでおk
>>31
greatだとなんなの?
greatだとなんなの?
>>34
でもBSD系とかLinux系とかのコンパイルしてそのまま動くわけじゃなし・・・
互換モードがないと辛いよね。それ以前に環境変数とかはちゃめちゃだし。
AppleはどんなポリシーでUpdate出してるんだろ。
でもBSD系とかLinux系とかのコンパイルしてそのまま動くわけじゃなし・・・
互換モードがないと辛いよね。それ以前に環境変数とかはちゃめちゃだし。
AppleはどんなポリシーでUpdate出してるんだろ。
40 : 昇陽電脳(関西地方):2008/07/27(日) 01:02:43.53 ID:ShqrxUwb0
自前のDNSだけの問題じゃないんでしょ?
>>38
OSXの成り立ちしらべろよw
OSXの成り立ちしらべろよw
>>41
NEXTだろ?NEXT由来のツールも入ってるし。それともニュー速
によくある答えと反論だけ用意して、自分の用意した答えじゃない
とボコボコに貶すってアレか?wさもしいな。
UNIXとして使いでないんだよね。いまのオープンソースの方が
メンテ早い現状だと。
NEXTだろ?NEXT由来のツールも入ってるし。それともニュー速
によくある答えと反論だけ用意して、自分の用意した答えじゃない
とボコボコに貶すってアレか?wさもしいな。
UNIXとして使いでないんだよね。いまのオープンソースの方が
メンテ早い現状だと。
43 : 士力架(東日本):2008/07/27(日) 01:09:55.31 ID:1/g7D/+b0
人格障害さんが質問ですw
高いだけの日本鯖解約してドメイン移管せねばー
ああ
ああ
自鯖なんで大丈夫そうだ。
dynamic.ppp.asahi-net.or.jp) appears to have GREAT source port randomness and GREAT transaction ID randomness.
dynamic.ppp.asahi-net.or.jp) appears to have GREAT source port randomness and GREAT transaction ID randomness.
46 : 柯達(神奈川県):2008/07/27(日) 01:42:36.35 ID:ST3+ngqR0
JPCERTのAlert 2008-07-24
[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起
ttp://www.jpcert.or.jp/at/2008/at080014.txt
技術的な解説
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
ttp://jvn.jp/cert/JVNVU800113/index.html
(緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)
ttp://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html
複数ベンダーのDNS のキャッシュ ポイズニングに対する脆弱性
ttp://www.isskk.co.jp/support/techinfo/general/DNS_cachepoison_298.html
スライド資料
DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して)
ttp://www.nttv6.net/files/DKA-20080723.pdf
これ読んでて思ったんだけど,ひょっとしてDNSって設計の根本的な部分で
「悪意のあるサーバにキャッシュデータを汚染される」危険性を抱えてるの?
[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起
ttp://www.jpcert.or.jp/at/2008/at080014.txt
技術的な解説
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
ttp://jvn.jp/cert/JVNVU800113/index.html
(緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)
ttp://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html
複数ベンダーのDNS のキャッシュ ポイズニングに対する脆弱性
ttp://www.isskk.co.jp/support/techinfo/general/DNS_cachepoison_298.html
スライド資料
DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して)
ttp://www.nttv6.net/files/DKA-20080723.pdf
これ読んでて思ったんだけど,ひょっとしてDNSって設計の根本的な部分で
「悪意のあるサーバにキャッシュデータを汚染される」危険性を抱えてるの?
47 : 伏克斯瓦根(愛知県):2008/07/27(日) 02:07:21.62 ID:3clWrV9K0
>>3
答えは?
答えは?
49 : 共同通信(アラバマ州):2008/07/27(日) 10:38:35.08 ID:ZvchsbS40
>>3
1-C 2-A 3-B だな
1-C 2-A 3-B だな
50 : 加爾文・克莱恩(catv?):2008/07/27(日) 11:08:39.86 ID:v7zws7JO0
51 : 31種美国風味冰淇淋(東日本):2008/07/27(日) 11:12:56.91 ID:6oRDbknh0
DNS Resolver(s) Tested:
143.90.65.12 (cns42.odn.ne.jp) appears to have GREAT source port randomness and GREAT transaction ID randomness.
Test time: 2008-07-27 02:11:24 UTC
143.90.65.12 (cns42.odn.ne.jp) appears to have GREAT source port randomness and GREAT transaction ID randomness.
Test time: 2008-07-27 02:11:24 UTC
52 : 雅瑪哈(北海道):2008/07/27(日) 11:29:10.44 ID:CEHQYLYK0
もう全部IP直打ちにしようぜ。
むかしチャットやってて退室した瞬間にエロサイトとブラクラサイトに飛ばされたのはそういうわけだったのね
54 : 共同通信(アラバマ州):2008/07/27(日) 13:15:44.23 ID:ZvchsbS40
裏でコソコソ対策するのは限界があるってのよ。
大体、数限りなくいる関係者の中には、必ずクラッカーも大勢いる。
無駄に長引かせることは、彼らにその脆弱性を教え、それを用いて活動する時間を与えるだけだ。
大体、数限りなくいる関係者の中には、必ずクラッカーも大勢いる。
無駄に長引かせることは、彼らにその脆弱性を教え、それを用いて活動する時間を与えるだけだ。
>>3
そもそも画面ごとに仕事振り分けようってのがバカ
そもそも画面ごとに仕事振り分けようってのがバカ
どうでも良いけどBINDってアップデート多すぎだろ
57 : 今日美国報(東京都):2008/07/28(月) 00:00:00.39 ID:Q/yBTm0U0
58 : 阿斯頓馬丁(catv?):2008/07/28(月) 06:24:49.40 ID:MhaIwlCD0
ここいらで根本から考え直さないといかんかもな。
昔と今では、ネットワークの目的自体が変わってしまっている。
まさにパッチ、パッチでしのいできたが、ものには限度があるかもしれん。
昔と今では、ネットワークの目的自体が変わってしまっている。
まさにパッチ、パッチでしのいできたが、ものには限度があるかもしれん。
これだったか・・・お陰で仕事が増えたですよ。
60 : 読売新聞(東日本):2008/07/28(月) 06:49:44.49 ID:NOR4qlb90
Black Hatとかまだ言ってんのかw
なんかヤオイと同じ香りだから放置で無問題なはず
なんかヤオイと同じ香りだから放置で無問題なはず
61 : 阿斯頓馬丁(catv?):2008/07/28(月) 08:14:26.10 ID:MhaIwlCD0
あほう、"はず"とは何だ"はず"とは。
あれ、djbdns使ってる人いないの?