【ネット】暗号化ソフト欠陥、NSAは2年前から認識−情報収集に利用
■暗号化ソフト欠陥、NSAは2年前から認識−情報収集に利用
インターネットで広く使われる暗号化ソフトに見つかった深刻な欠陥
「ハートブリード(心臓出血)」について、米国家安全保障局(NSA)は
少なくとも2年前から認識しておりながら放置し、情報収集のために
定期的に利用していたと事情に詳しい関係者2人が明らかにした。
安全保障上の利益を優先してこれを隠ぺいしたNSAの決定は、同機関の
役割をめぐる激しい議論を再び巻き起こしかねない。
ハートブリードは世界のウェブサイトの3分の2で使われている個人情報を
暗号化する基本的な安全システムを脅かし、インターネット史上最大の脅威を
もたらすバグ(欠陥)とされている。このバグは5日前に見つかり、各社・機関は
修正プログラムを用意し、消費者にパスワードの設定変更を呼びかけた。
カナダ政府は所得税の電子申告システムを停止。シスコシステムズや
ジュニパー・ネットワークスを含むコンピューター関連各社はシステム補修に追われた。
NSAはこのハートブリードを利用して、パスワードなどの基本データを入手する
ことができた。こうした活動はNSAの中心的任務である高度な情報ハッキングの礎を
成すものであるが、代償が伴った。数百万人もの一般のユーザーが外国の情報機関や
犯罪組織のサイバー攻撃を受けかねない状況が放置されていた。
http://www.bloomberg.co.jp/news/123-N3VTZQ6VDKIA01.html http://ai.2ch.net/test/read.cgi/newsplus/1397098877/456 依頼
2 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:26:49.21 ID:JcRIh2Kn0
3 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:27:22.02 ID:qhGjvoo60
ふーん、そーなんだ
こんなトコだめだったらサイトのっとりなんて楽勝やないけ?
4 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:27:28.61 ID:MsMEcMot0
ろくでもないなあ
5 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:27:51.70 ID:FpwumB8c0
知ったかってことで
6 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:28:14.71 ID:/C0M6/Nz0
犯罪やん
7 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:28:23.37 ID:tTdl4J7V0
他にも腐るほどあるだろ
NASAにクレームいれてくる
まぁ、NSAだしな
個人的には許容するが、ほかがどのくらい知ってたかだよな
10 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:29:17.14 ID:g2VSXfp10
データ送信前にブラウザレベルで暗号化すればいいんじゃね?
と、適当に言ってみる
ああ朝鮮人に生まれなくてよかった
12 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:29:47.38 ID:GEtuKLLf0
NSAにはすごい数学者・暗号学者がたくさんいるから十分ありえる話
すでにブレイクされてる暗号がほかにもあると言われてる
13 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:29:49.21 ID:F8XgqWvk0
これNSAが悪いと分析するのは池沼。
一つのオープンソースコミュニティの力不足が露呈したってことジャン。
それはつまりオープンソースの思想の限界を示したってこと。
時代が変わるで。
14 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:30:04.72 ID:4pH2bsdH0
単に発覚が増えてるだけでずっと同じ状態なんですよね
15 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:30:11.31 ID:C7tq4Wdd0
> インターネットで広く使われる暗号化ソフトに見つかった深刻な欠陥
>「ハートブリード(心臓出血)」
ハートブリード(心臓出血)って、もうちょっと他の表現はないもんかね
16 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:30:14.80 ID:MsMEcMot0
Nasaではないのか
18 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:31:12.64 ID:SIZuNJ2w0
知ってたっていうより、自ら仕込んだんだろ
19 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:31:44.42 ID:zrxNFTljO
他人が作ったツールを使う際の基本的なリスクだろwww
ウィンドウズでもマッキントッシュでも同じwww
>>15 heartbeat機能の脆弱性を突いたバグだから文字ってんじゃね
21 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:32:37.04 ID:pvs6woMj0
NSA 日本サーフィン連盟
22 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:33:09.37 ID:n6Pq6PBp0
NASAは氏ね
23 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:33:55.91 ID:3r3Jf6HM0
旧版には無い欠陥だから、
こいつらが仕込んだんじゃ?
25 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:33:59.01 ID:nIlYgKfy0
OpenSSLて知らないうちに使ってるもんなのか?
アメリカ人が銃を手放さない理由の一つがこれ。
新大陸へ渡ってきた人々は自らの所有権の保障と身の安全のために
仕方なくつくった人工国家がアメリカ合衆国。
個人の下に国家があるという考え。
まだまだあるのだろうな。一般に知られるまで知らないふりだろ。
28 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:35:55.14 ID:nyfSs6zI0
自分らが仕込んだんじゃないの
29 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:36:28.56 ID:g2VSXfp10
>>25 大手サイトなどでも普通に使われている
いろんなサービスの利用者全般に関係する
でも、わざわざOpenSSL1.01系使ってたところなんてあんまり無いんじゃね?
Redhat(CentOS)だって、1.01系になったのは昨年出た6.5からだし。
31 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:38:09.88 ID:bnWk/oL/0
>1
なに言ってるンすか
対象のPC盗み見やコントロールだって余裕っすよ
問題は組織が肥大化し過ぎて戦略を見失った戦術が横行して
国益失ってる事でやンすよ
32 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:38:11.47 ID:nyfSs6zI0
アマゾンとか知ってたんじゃないのかな?
NSAよワテの裸をみよ!
34 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:39:49.12 ID:oj+jtbHE0 BE:119783842-2BP(1000)
>>26 こんな政府なら信用できんから自分の身は
自衛するって考えになるのが自然だわな
35 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:39:56.72 ID:nIlYgKfy0
>>29 そうなのか。
通販サイトとか使ってるから心配になってきたわ。
NSAが、そんなことできていたとはおもえん
できてたかどうかも証明できんから言ったもの勝ち
38 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:43:31.03 ID:r8+HPusX0
(^ω^)
Nandemo Saguru Agency
ASAにクレームいれてくる
鯖缶してるんだけど、Webサービスやってなければとりあえず大丈夫?
RARの暗号は大丈夫なの?
>>25 例えばこれ
JaneViewで利用しているSSLライブラリ (OpenSSL)に脆弱性が発見されました。
JaneViewフォルダにOpenSSLライブラリ(libeay32.extおよびssleay32.ext)があり、
それらのファイル更新日時が2014/4/8よりも前の日付の場合、
JaneView140411以降の書庫に同梱のlibeay32.extおよびssleay32.extに置き換えてください
44 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:48:44.24 ID:fzG1/SV30
うちの会社もこれの対応でてんてこ舞いだったわ
45 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:54:30.31 ID:+yrNNEV30
スレが伸びず、米国のポチが擁護中ってことは、
日本ではなかったことにされんだろうな
46 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:55:14.50 ID:RgIFiIYI0
Heart beatなんて機能を入れようと思ったやつを吊るせよ
商用非商用なんでもそうだが、特に必要なさそうなものをドヤ顔で入れ込もうとするやつが多すぎる。
47 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:56:15.50 ID:qhGjvoo60
既にパッチは配布されてるしオープンソースじゃないと永遠に放置だったかもね
どうせNSAの関係者がオープンソースに入り込んで
脆弱性を潜ませたんだろ?
オープンソースはオープンという利点と同時にそれが弱点でもある。
49 :
名無しさん@13周年@転載禁止:2014/04/12(土) 13:58:26.00 ID:5DIYoYnU0
>>1 つまり、
× 欠陥
○ バックドア
ってことでつか?
>>13 そうか?でも内部告発がこうも続くって、組織としてかなりやばくね?もっとエグいこと隠している気がしてならんな。
これ開発にバグ教えたのスノーデンだったりな
53 :
名無しさん@13周年@転載禁止:2014/04/12(土) 14:13:49.08 ID:wtI/hl4L0
>>1 5日前といえば、ドネツクでデモ隊が庁舎を占拠した翌日。
ブラフ
>>51 そっとしとけよ
オープンソースの限界どうこうは置いておいても、
悪い事をしてるヤツを悪いヤツと思う事がダメだとか言ってるバカは話にならん
57 :
名無しさん@13周年@転載禁止:2014/04/12(土) 14:36:30.04 ID:NA1fzsjW0
この欠陥だけを針小棒大に報道するのは、どんな意図があっての事なんだろう?
宇宙開発のなんに利用するんだよ
60 :
名無しさん@13周年@転載禁止:2014/04/12(土) 14:48:58.90 ID:RgIFiIYI0
暗号が不安なら、暗号に暗号を重ねるといい
効率的に見つけるアルゴリズムがない暗号を用いて、
暗号したものに更に暗号を重ねる。
OpenSSLではランダム値の生成コマンドがあるので、そのランダム文字列をパスワードにすればいい。
完璧に覚えられないが。
OpenSSLというと脆弱性ガーとか思うかも知れないが
「Heartbeat」と「ローカルのランダム値生成」に関係があると思う素人は使わないでいい。
そもそもheartbeatが何なのか知らないだろ
アメリカは、NSAの清掃員やってた奴も関係者としてでてくる国。
NSAのWebサイトにアクセスしたことのある俺も関係者ですかね
iOSでなんか仕込んでたのとは違うの?
64 :
名無しさん@13周年@転載禁止:2014/04/12(土) 14:53:13.92 ID:ZXq01vNI0
暗号のロジックではなく、アプリの実装に問題があり、
メモリに直接アクセスすると、読めてしまうということだな
大手は既に対応済みとのこと。ただし、多くの通販サイトなどで使用されており
全てが対応するには時間がかかる、と報道されてるね。
NSAはそういう機関だから、批判しても無駄だけど、アメリカ自体への信頼性も
揺らぐことになるからマイナス面が多いと思う。当のアメリカ人だって影響がある
から議会は騒ぐだろうねえ。
アメリカ議会は、NSAに対しても監督権がある。日本と違ってアメリカ議会は
交戦権まで持っているよ。
>>57 OpenSSL使用者数を減らしたいからだろ。
>>60 前半は同意だが、後半は極論だろ。
せめて1.0.1と.1.0.2を使ってるヤツは気を付けろと。
ちなみに、0.9.8を使い続けている俺に死角はなかった。
67 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:08:09.03 ID:IuvUEF9Q0
DMMでエロDVDをたくさん借りたことが
誰かにばれてるってことなんでしょうか (;_;)
69 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:12:07.10 ID:gEkU40nn0
Torとかも漏れてたの?
暗号化じゃなくて匿名化にOpenSSLが使われてたか知らないが。
それより、もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトを公表してくれ。
その期間に漏れたのは仕方ないから、パスだけ変えとく。
>>10 暗号は単にかけるだけでなく正しい相手には解いてもらわえないと意味がない
暗号化を解除するためのキーはどうやってやりとりするつもりだね?
というか最終的には共通鍵でお互い暗号化し複合するがそのためのキーを
やりとりするためにSSLを使っているのだが
ああ。それで最近リクナビがYahooと切った訳か。
こりゃ、漏れてるな。
>>46 まーそこがオプソの欠点でもあり利点でもあるからな。
ソース管理者のガバナンスによるな。あとはどれだけの人間がチェックしてるか。
プロプライエタリならバグパッチで終わってたか、セキュリティ情報で小出しにして終わってた話。
新バージョンにアップデートしてね♪だけ。
73 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:34:02.91 ID:MQZNn+S90
GeoTrustからメール来たわ アウトだわ orz
74 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:40:13.11 ID:RgIFiIYI0
Torの何が影響を受けるかについて
android坂の orbotは現状はPC坂より危ないことは確定しており、修正版の1.0.1gテストビルドがあるが最新は逆に1.0.1fに戻ってしまっている。
クライアント:
Torブラウザのブラウザ部分はOpenSSLではなくlibnssを用いているため影響はないと思われる。
しかしTorクライアントにおいては "このセッションでどこのサイトを訪れたか" というような情報は知られる可能性はある。
もしTorブラウザバンドルを使っているなら新しいものがすぐにリリースする予定なのでアップデートされたい。
Torクライアント使用者は、OpenSSLのバグ修正版をインストールしてTorを再起動してほしい。
リレー及びブリッジ:
Torリレーおよびブリッジは中期間オニオンキー(週に一度切り替えられるキー) と 長期間リレー身元証明キー が漏れる可能性がある。
身元証明キーを手に入れることができた攻撃者は、あなたの居場所を示す情報を書き換えることができる (これは攻撃が容易になる危険はない)
身元証明キーに加えてオニオンキーを得られた場合は、あなたのIPアドレスに向けた通信制御に割り込むことで
あなたのリレー拠点そのものに成りすますことが可能となる (しかしながらTorの複数ホップ設計においては1つのリレー拠点だけを攻撃してもほとんど意味を持たない)
とりあえずはどのような場合でもOpenSSLをアップデートすることが最良と言え、すべてのキー及びデータディレクトリ内の全てを破棄しTorを再起動して新たなキーを生成して欲しい。
(もしあなたが複数同時リレーを行っているならMyFamily torrc行を編集する必要があるだろう)
hiddenサービス:
Tor hiddenサービスは "ついこの前起きた大きなOpenSSLバグ"と同じく 長期間hiddenサービス身元証明キーがガードリレーに漏れやすいが
これではhiddenサービスの位置を知ることはできない (追記: あなたがキーを展開する入口ガードを担っているならば知られてしまう)
また、身元証明キーが知られるとhiddenサービスの成りすましが行われる可能性がある。
取り得る対策はhiddenサービスアドレスを、どこか都合のいい場所へ移すことである。
75 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:42:53.49 ID:2evgrwYLO
そりゃ自分で仕込んだんだから知ってるわな(´・ω・`)
76 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:46:33.74 ID:F/ok4sY+0
なるほど、筒抜けなのはこれを利用してたからだな。
ウィキリークとなんちゃらって奴はなぜゲロっとかないんだ!
77 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:53:38.65 ID:htacC5dW0
恐怖! 日本は今、◆心不全パンデミック◆ by 心不全学会 「東北大震災後に増加」
【訃報】64 町田市の昭和薬科大学・増田和夫教授が心筋梗塞で急死
【訃報】62 ジャンボ秀克さん急死=路上で倒れ心停止―札幌
【訃報】49 鳥越泰彦氏が就寝中に心臓が急に停止
【訃報】49 南木顕生氏が急性大動脈解離で突然死 遺作「ニート・オブ・ザ・デッド」
【訃報】44 御堂岡啓昭さん、お店で倒れているのを発見、突然死の疑いが強い模様
【訃報】44 日大芸術学部の熊谷保宏教授が心不全
【訃報】38 水樹奈々作品を手がけた作詞家の園田凌士さんが急性心筋梗塞
【訃報】37 東進ハイスクールの吉野敬介講師の親戚が心筋梗塞
【訃報】27 井伊準氏(東京交響楽団。)心臓疾患
これほど連日連夜、膨大な突然死(大半が心筋梗塞)が起きているのに、マスコミは一切報道しない
チェルノブイリ事故の夏、日本で「扇風機の心筋梗塞死」が大宣伝された
一晩中扇風機をかけて寝れば心筋梗塞起こすと警報
首都圏だけで数十名の若者が死んだ
だが、この年だけだった
https://twitter.com/tokai ama/status/454131629129072640
渡辺謙さんが急性骨随性白血病になって闘病生活に入ったのが1989年、
松田優作さんが膀胱がんで亡くなったのが1989年、
勝新太郎さんが急性心不全で亡くなったのが1992年…。
チェルノ事故と無関係とは言えないと思います。1988年から私もアトピーになりました。
https://twitter.com/TIMER_RAINBOW/status/454483718703308800 川島なお美も癌になり、つんくも癌、TMの宇都宮隆も膵臓腫瘍。。。
昨年から「骨髄性白血病」で闘病中だった小室哲哉さんの父親が病死した
べつに愛国者法使えば情報提出強制できるし
面倒なことしなくていいでしょNSAは
79 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:55:05.30 ID:gEkU40nn0
>>74 ありがとう。
とりあえず最新版のTorブラウザバンドルを、安全に真正なのを手に入れられるようにしてみる。
これだって米軍の技術の払い下げなんだから、アメリカに逆らうような真似は素人には難しいのだろうが。
80 :
名無しさん@13周年@転載禁止:2014/04/12(土) 15:58:38.73 ID:jkMiCLzN0
2年?
もっと前からでしょ?
81 :
名無しさん@13周年@転載禁止:2014/04/12(土) 16:09:53.28 ID:taxRZx350
もう危ないからxpは
使わない
俺のOki Dokiポイントが盗まれちゃうのか
83 :
名無しさん@13周年@転載禁止:2014/04/12(土) 16:18:02.72 ID:VV2zN19v0
84 :
名無しさん@13周年@転載禁止:2014/04/12(土) 16:31:40.41 ID:cthhR07g0
>>43 JaneView更新しといた
こんなところでも関わってくるんだね
85 :
名無しさん@13周年@転載禁止:2014/04/12(土) 16:33:47.99 ID:ny2piS3V0
86 :
名無しさん@13周年@転載禁止:2014/04/12(土) 16:34:45.02 ID:uidBwt1B0
>>46 Heartbeats機能自体は RFC6520 でTLS/DTLSのヘッダー拡張として
正式に定義された規格だから個人の思いつきで実装したわけではないんだけどな。
その実装にバグがあったと。
だからバグじゃなくて仕込まれた穴だったんだって、誰でも分かることだわ。
んで、
今回、バグが公開されたってことは、アメリカは別の穴を既に確保・利用しているってことだ。
これも馬鹿でも分かる事。
windowsがなぜあんなに特権乗っ取りばっかりのバグが続くのか、それも同じ理由だよw
91 :
名無しさん@13周年@転載禁止:2014/04/13(日) 17:58:07.39 ID:13pHbrI20
Googleのオンラインセキュリティブログ(googleonlinesecurity.blogspot.com)によると、
Android 4.1.1ジェリービーンは、ハートブリードセキュリティの脆弱性を持っている。
92 :
名無しさん@13周年@転載禁止:2014/04/14(月) 10:48:48.60 ID:8uzmUly10
>>91 jailbreakしたいカスタム泥端末があるから期待してる
穴は、突破口でもある
素数の規則性もわかってんの?
具体的に heartbeat 利用してどんな状態が問題あって、どうやって漏れるのか、詳しく書いてあるものあったら教えてください
vrt-blog.snort.org/2014/04/heartbleed-memory-disclosure-upgrade.html
96 :
名無しさん@13周年@転載禁止:2014/04/14(月) 15:51:18.98 ID:UJmGv9r+0
あーあ
救いようの無い馬鹿
なんだ?
もし公開したら悪用されるじゃないか、なんて腑抜けたことならアホまるだしだぞ?
ciscoが公開してるし、普通の技術者ならこれ読めばもちろん悪用もできるが、対処も一目瞭然だぞ?