「実在には存在しない情報」をメモリキャッシュに埋め込むというセキュリティ対策 43
ストーリー by hylom
名前だけで無くWebサイトも色々とアレゲ 部門より
名前だけで無くWebサイトも色々とアレゲ 部門より
インテリジェントウェイブ(IWI)が、セキュリティ対策ソリューション「Deception Everywhere」を発表した(発表PDF)。
このシステムでは端末やサーバーのメモリキャッシュに実際には存在しないサーバーへのログイン情報や閲覧履歴などを埋め込むことで、実際には存在しないサーバーがネットワーク内にあたかも多数存在するように見せかけるという。これにより、攻撃者が実在するサーバーへ攻撃を行うことを防ぐという(ASCII.jp)。
この技術を開発したillusive networks(直訳すると幻影のネットワーク)社のWebサイトによると、この技術ではサーバーだけで無く、実在しない端末やユーザーについても作り出せるようだ。このような「幻のユーザーやサーバー、端末」への攻撃を行わせ、それを検出してアラートを出す、というものらしい。
性能が犠牲になるような? (スコア:0)
この方法だと性能が犠牲になるんじゃないの?
Re: (スコア:0)
メモリ1バイトは血の1滴、なんて言ってた時代なら兎も角、現代においてはログイン情報程度のデータは何ら問題ない気がする。
内部的な認証情報(IDとパスワード、接続先の組み合わせ)が10kbyteを越えることはあまり無いだろうし、そのダミーデータを100個持っても1MB、昨今の数GBのPCメモリから見たら数千分の1でしかない。
ただこの方法、メモリ内参照するタイプにはそれなりに有効かもしれないけど、ネットワーク監視するタイプのには全く意味がないんだよな。
ダミーデータをネットワーク上に投げたらそれこそ自分もクロ判定喰らうわけで。
しかもウイルス作者側からしたら、メモリの中をいちいちスキャンして「それっぽい情報」を見つけるよりも、ネットワーク側の通信を監視して目星をつけるほうが処理コスト的にも精度的にも高いので、どこまで意味があるのか微妙なところ。
# そもそも既知のプログラムではこの方法は通用しないし、どんな攻撃をターゲットにしてるんだろう
# 少なくとも標的型攻撃には無力だろうし、ヒューリスティック型の亜種程度の認識でいいのかな
Re:性能が犠牲になるような? (スコア:1)
ネットワーク監視型には無意味でしょうけど、端末のデータぶっこぬきもポピュラーな手法でありこれからも廃れることは当分なさそうなので「意味があるのか微妙」ってことはないでしょう。
どのキャッシュに偽データを仕込むのかはちょっと考え込みましたが、DNSのキャッシュとブラウザコンポーネントのキャッシュは攻撃者にとって狙う価値のある情報でしょうから、これらの部分の未知の脆弱性に対する備えとなるとはいえるんじゃないでしょうか。
サーバ側だとHTTPで接続するためにwebサーバ経由のアクセスが多いだろうし、LANならデータベースのキャッシュ情報も。
そんなところにどうやって「存在しない情報」を残すのか?については起動時にダミープロキシ立ち上げてダミーのリクエストを送り、ダミープロキシが偽情報を返すことでキャッシュに書き込み、みたいな方法ならできるのかな?上に挙げた例だとDBアクセスには使えなさそうですが
うじゃうじゃ
Re:性能が犠牲になるような? (スコア:1)
× メモリ1バイトは血の1滴
○ メモリ1ビットは血の1滴
Re: (スコア:0)
耐攻撃ソフトいれたらリソース食われるのは当たり前。
アンチウイルスやらファイアウォールでも同様でしょ。
かたや守るため、かたや破るため (スコア:0)
書き込み規制を回避して投稿するためにでたらめなアクセス情報を吐くツール [github.com]とは似て非なるものですなあ。
最後は (スコア:0)
方法まで発展するのですね
実在には存在しない情報 (スコア:0)
あーこれは「実際には存在しない」と「実在しない」が混ざっちゃった感じですねー
Re: (スコア:0)
昨今は当てずっぽうの誤用誤字脱字当字でも大体通じればOKなので、
そこまで理解されてるのなら正しい用法なのでしょう。
Re: (スコア:0)
正しくはない。
Re: (スコア:0)
測定方法が正しくなくても大体の燃費があってればOKなスズキメソッドですか?
Re: (スコア:0)
「実在には実在しない」じゃなくてちょっとガッカリしている。
感感俺俺を思い出した (スコア:1)
フルポケットガード! (スコア:0)
Re:フルポケットガード! (スコア:1)
※いしがなかにいる※
Re:フルポケットガード! (スコア:1)
結石の痛み思い出したんですけど謝ってもらえます?
Re: (スコア:0)
幸運だけ超高い冒険者にパンツを盗まれるかもしれないぞ
メモリキャッシュなんかより (スコア:0)
ログやBDに混ぜたほうが低コストで効果的なんじゃ・・・
散々既出で新規性がないからネタにならないだけ?
Re: (スコア:0)
パスワード.txtをドキュメントやデスクトップにたくさん置いておけばいいんじゃないですかね
ハンター。キャッツ (スコア:0)
あろひろしが'80年代中葉キャプtンで其のアイデアを披露してたな。 真逆、そんな負荷掛かり過ぎの手を実行に遷す者が現れ様とは。
晩餐会 (スコア:1)
フレッド・セイバーヘーゲンの「バーサーカー」でも似たようなアイデアはでてたな。
データベースに実在しないデータを紛れ込ませて云々。元ネタはもっと古いとか。
そういえば旧ソ連の地図には実在しない都市が書かれてたり、存在するはずの都市が書かれてなかったりしたとか。
一方で今でもこんな話が。
「インド当局、GoogleによるインドでのStreet View撮影を不許可・安全保障上の脅威になる恐れ」 http://business.newsln.jp/news/201606130652090000.html [newsln.jp]
Re:晩餐会 (スコア:2)
スパイ小説とかの情報管理がらみのフィクションでは「部署ごとにコードネームを変える、文書の内容を意味が変わらない程度に変化させる(パラグラフの区切り方を変えたり)」という方法で外部に漏れたときに流出元をある程度特定できるなんてネタは古くからあるので、同様に偽情報の内容を変えることでどのマシンから漏れたかを特定できそう
うじゃうじゃ
Re: (スコア:0)
DBに意味のないデータを紛れ込ませたり、地図に実在しない地名をつくり込んだり、辞書に存在しない言葉を忍ばせたりは、データを盗用された際にそれを証明するための常套手段です。地図アプリだったか乗り換えアプリだったかのデータの盗用に関する裁判で、証拠に採用されていた事も有ったと思います(うろ覚え)。
Re: (スコア:0)
Re: (スコア:0)
> そういえば旧ソ連の地図には実在しない都市が書かれてたり、存在するはずの都市が書かれてなかったりしたとか。
18年ほど前の話ですが、理論物理学ゼミの先輩が博士課程終了後に地図に存在しない都市に行ったそうです。
ダムを決壊させれば実際に消滅するんだとか。
Re:ハンター。キャッツ (スコア:1)
いわゆるデコイっぽいですね。
キャッシュに置いとくかログに混ぜとくだけなら負荷はほぼ無さそう。
hostsその他のmapに混ぜて適当に置いとくだけでも良いのかな。
今はもうない古いhostやdisk pathとかが屍累々状態で放置されているけど、あれはそういう意図だったのか(違
Re: (スコア:0)
屍累々?シカバネルイルイ?
このサイトにはデコイとなる日本語が多々あふれています。
Re:ハンター。キャッツ (スコア:1)
Typoはスラドの嗜みなんだから(強がり
Re: (スコア:0)
なにげにおっさんほいほいになってますね。
雲海の旅人の続きを読みたいだけの人生だった
hostsに偽情報 (スコア:0)
hostsに偽情報書いておいてそこにアクセスすると攻撃するようにしておいたことあった。
Re: (スコア:0)
「ワイに近づく奴は全員敵だ。ぶちのめしてやる。」ですね。
幸運にも全員が敵であり、全員から本気で反撃される状態になれば望みが叶う訳です。
神の祝福がありますように。
いわゆるハニーポットテクノロジ (スコア:0)
の一種です by MS
ダークネット (スコア:0)
ハニーポットというより、本物をたくさんの偽物の情報の中に隠すというだけです。
偽物=ダークネットと考えれば、そこへのアクセスはアノマリーなので、そこにハニーポットおいておけば早期発見ができていいですね。
木を隠すなら森の中作戦 (スコア:0)
実在しない幻影のような情報をばら蒔く事で、
攻撃者の目を欺く作戦。なるほど。
しかしその中には本物も含まれるんだよね?
全ナメされたら意味無いような。
Re:木を隠すなら森の中作戦 (スコア:5, すばらしい洞察)
実は、このソリューション自体が実在しなくても、攻撃者はこのニュースを読んで対策してしまうという作戦。結果、全ナメしたり何かしら挙動に特徴が出てしまって別の内緒の手段でやっぱり検知されてしまうのであった。
Re: (スコア:0)
そういう挙動が検知できる、ってことが重要なのですよ
クラック側が走査する前にピンポイントでそれが実機だ、とロックオンできない限り
侵入を検知できる機会が自分たちにある、というのが最大のポイントかと
Re:木を隠すなら森の中作戦 (スコア:4, 参考になる)
# Interop でデモを触ってきました。
たとえばダミーのマウント済みサーバにアクセスすると、マルウェア感染とか乗っ取りとかが判明します。アラートをあげるとともに、アクセスを遮断することによって早期発見早期治療となりますので、意味はありそうです。自動で遮断する機能はどうだったか…
もっともダミーは GUI からは見えないのですが、net use とかすると出てくるので、管理者のトラブル対応とか正規ユーザでもタイプによってははまりそうですが。
Re: (スコア:0)
ぶっちゃけ、通信先の入手手段がメモリダンプだと確定できればいいわけだから、別に実在してても問題ないんじゃないかな。本物の方には「直リン禁止です(^^)」って書いておけばいい。
Re: (スコア:0)
本物の情報だけでアクセスされたら、分からないが。
偽情報のアクセスがあれば、その時点で漏れたことが早急に分かるから、状況は少しだけマシだろ。
敵を欺くには味方から…?? (スコア:0)
「先輩!ログの見方なんですけど、やたらにいっぱいあってどれが本物のサーバなのかわかんないんです!」
「偽者のサーバにはデコイのdっていう文字がホスト名にはいっているんだよ」
「じゃこのdnsっていうサーバは偽サーバなんですね!」
「あ、いや、それは本物なんだ、ほら、昔からあるから名前が変えられなくてさ…」
ってなことはないんか?
Re: (スコア:0)
デバッグ時にDHCPまで排除して素人が繋げられなくなる問題が併発するところまで聞いた
Re: (スコア:0)
秘術「分身の術」を破るブルートフォース的基本技です。
イリュージョン? (スコア:0)
「ジンコウサーバー」かな?