アカウント名:
パスワード:
たいとるおんりー
外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。
パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。
あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。
まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。
> このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
違う。元のレポートにはマスターパスワード入力後にロックした場合しか指摘されていない。ITmediaの記事だけにマスターパスワード入力前云々と書かれていることから、そこの記者が記事にするときに紛れ込んだものと思われる。
原典にあたらずに翻訳記事だけ見て書き込むなら、このセキュリティコンサルタントが〜みたいにさも原典を確認したかのように書くのではなく、ソースすら確認していない孫引きのコメントだとわかるように書いて欲しい。
>「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」
さすがにソフトを立ち上げただけでマスターパスワードを入力してもいない状態からパスワードが漏洩することはない。それはパスワードファイルそのものに脆弱性があるということを意味するが、元記事ではパスワードファイル自体はどのアプリでも適切に暗号化されており、brute forceで破られるリスクは低いと結論づけている。
実際に指摘されている問題は、一度アプリを立ち上げて「マスターパスワードを入力した後に」起こるもの。1) マスターパスワードからファイルの解読キーを生成した後、平文のマスターパスワードをすぐ破棄せずにメモリに残しているアプリがある。2) パスワードはユーザーが現在閲覧中のものしか平文でメモリに置いておく必要はなく、古いのはすぐ破棄すべきだが、閲覧したもの全てが残っている場合が多く、ひどいのはファイル内のものをいきなり全部解読してしまうものがある。3) アプリを落とさずにロックを掛けた場合、マスターパスワード、解読キー、解読したパスワードをすべてメモリから消去しアプリを立ち上げたばかりと同じ状態に戻すべきなのに、それをしていないアプリが多い。
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなくキーロガー仕込まれてやりたい放題とかそのレベルの話になる変な話、パスワード管理ツールで管理してないのも漏れる。管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされるテキストファイルおいてりゃ同じ、ではない
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
は?Medium integrity levelのプロセスはMedium integrity levelとそれ以下のプロセス読めるし
WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?
読めますそれがWindows 3.1の伝統ですなんでもできる過去との互換維持のWindowsの自由度をなめないでいただきたい
逆にいうと過去のアプリ資産がWindowsの最大の魅力でそれを捨てるわけにはいかない
他のアプリのメモリ弄れなくなったら、例えばゲームの非公式MODみたいのも動かなくなって困る人大勢いるよ
> WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?
WILって、WINのtypeだよね?
Win32APIを使って動的に他プロセスのプロセスメモリを書き換える方法http://peryaudo.hatenablog.com/entry/20100516/1273998518 [hatenablog.com]
Linuxは知らないからよく分からないけど、Linuxでもユーザhogeが実行しているアプリのメモリ領域を、ユーザhogeの他のアプリから読み書きできないの?普通同じユーザなら好き勝手にできるから、空間を分離させたかったら他のユーザにするもんなんじゃないの?
Linuxだとその辺りの目的で使うのはptrace syscallだろうけど、ptrace_scopeがあるからね。system設定として、同一ユーザーならOKか、事前調停がいるのか、管理者権限がいるのか、不可能なのかが選択できる、みたいな話らしい。
メモリスキャンされてることはありうることとして(警察による押収とか)、そもそも、生データがメモリ上に存在している=マスターキーで開錠済みってことでの反論だと思うけど。
警察に押収された場合、パスワードアプリが起動している状態でスクリーンロックが外れているならメモリスキャンするまでもなく普通にアプリを操作してパスワードを読み取ることが出来るし、そうでない場合は管理者権限を取得出来るアカウントのパスワードも一緒に押収しないとそもそもメモリスキャンなどが出来ない。
なので、たしかに現実的な脅威は限られているとしか思えない。
別にBSoDさせてメモリダンプさせてもええんやで。
まぁ、フルダンプに設定されてる環境は限られてるだろうけど。
元記事をよく読んだらBSODのメモリダンプという手段が実際に示唆されてるね。「たまたまテスト中にWindows環境がクラッシュしたのでメモリダンプを調べてみたらパスワードが平文で入ってた」と書いてある。
ほんとこれそもそもDOSやWindows 9x時代ならいざ知らず、ALSR常識かつそこらのPCですら64GBとか積んでるこの時代にメモリスキャンって・・・それを脆弱性と呼ぶのなら、かのOpenSSHですら脆弱性だらけになりますわ
それですね!そこまでの情況を想定するなら、もっと大きな問題だと思う。
ISEはパスワード管理ソフトの使用は推奨していて、用が済んだらアプリケーションを終了すべきだということを提案しているんだけど・・・でも、発表の仕方に問題がある気がしますね。
「アクティブウィンドウでなくなってから15秒放置されたら自動終了」するアプリにしろとか、そういう事を言いたいのか。それとも、ユーザーに対して、都度終了する運用を喚起せよと言いたいのか。
ところがサイドチャネル攻撃の一般化でその前提は覆ったんだよね
PCを操作中に家宅捜索され、ロックされず動いたまま押収されても耐え得るこれなら意味があるだろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
メモリスキャンされてる時点で詰んでるのでは…… (スコア:2)
たいとるおんりー
外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:2)
パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。
あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。
このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。
そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。
まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。
うじゃうじゃ
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:1)
> このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
違う。
元のレポートにはマスターパスワード入力後にロックした場合しか指摘されていない。
ITmediaの記事だけにマスターパスワード入力前云々と書かれていることから、そこの記者が記事にするときに紛れ込んだものと思われる。
原典にあたらずに翻訳記事だけ見て書き込むなら、このセキュリティコンサルタントが〜みたいにさも原典を確認したかのように書くのではなく、ソースすら確認していない孫引きのコメントだとわかるように書いて欲しい。
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:1)
>「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」
さすがにソフトを立ち上げただけでマスターパスワードを入力してもいない状態からパスワードが漏洩することはない。
それはパスワードファイルそのものに脆弱性があるということを意味するが、元記事ではパスワードファイル自体はどのアプリでも適切に暗号化されており、brute forceで破られるリスクは低いと結論づけている。
実際に指摘されている問題は、一度アプリを立ち上げて「マスターパスワードを入力した後に」起こるもの。
1) マスターパスワードからファイルの解読キーを生成した後、平文のマスターパスワードをすぐ破棄せずにメモリに残しているアプリがある。
2) パスワードはユーザーが現在閲覧中のものしか平文でメモリに置いておく必要はなく、古いのはすぐ破棄すべきだが、閲覧したもの全てが残っている場合が多く、ひどいのはファイル内のものをいきなり全部解読してしまうものがある。
3) アプリを落とさずにロックを掛けた場合、マスターパスワード、解読キー、解読したパスワードをすべてメモリから消去しアプリを立ち上げたばかりと同じ状態に戻すべきなのに、それをしていないアプリが多い。
Re: (スコア:0)
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなく
キーロガー仕込まれてやりたい放題とかそのレベルの話になる
変な話、パスワード管理ツールで管理してないのも漏れる。
管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。
これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる
結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされる
テキストファイルおいてりゃ同じ、ではない
Re: (スコア:0)
#後苦労様
Re: (スコア:0)
Re: (スコア:0)
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
は?
Medium integrity levelのプロセスはMedium integrity levelとそれ以下のプロセス読めるし
Re: (スコア:0)
WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?
Re: (スコア:0)
読めます
それがWindows 3.1の伝統です
なんでもできる過去との互換維持のWindowsの自由度をなめないでいただきたい
逆にいうと過去のアプリ資産がWindowsの最大の魅力でそれを捨てるわけにはいかない
他のアプリのメモリ弄れなくなったら、例えばゲームの非公式MODみたいのも動かなくなって困る人大勢いるよ
Re: (スコア:0)
> WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?
WILって、WINのtypeだよね?
Win32APIを使って動的に他プロセスのプロセスメモリを書き換える方法
http://peryaudo.hatenablog.com/entry/20100516/1273998518 [hatenablog.com]
Linuxは知らないからよく分からないけど、Linuxでもユーザhogeが実行しているアプリのメモリ領域を、ユーザhogeの他のアプリから読み書きできないの?
普通同じユーザなら好き勝手にできるから、空間を分離させたかったら他のユーザにするもんなんじゃないの?
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:1)
Linuxだとその辺りの目的で使うのはptrace syscallだろうけど、ptrace_scopeがあるからね。
system設定として、同一ユーザーならOKか、事前調停がいるのか、管理者権限がいるのか、不可能なのかが選択できる、みたいな話らしい。
Re: (スコア:0)
メモリスキャンされてることはありうることとして(警察による押収とか)、
そもそも、生データがメモリ上に存在している=マスターキーで開錠済みってことでの反論だと思うけど。
Re: (スコア:0)
警察に押収された場合、パスワードアプリが起動している状態でスクリーンロックが外れているならメモリスキャンするまでもなく普通にアプリを操作してパスワードを読み取ることが出来るし、そうでない場合は管理者権限を取得出来るアカウントのパスワードも一緒に押収しないとそもそもメモリスキャンなどが出来ない。
なので、たしかに現実的な脅威は限られているとしか思えない。
Re: (スコア:0)
別にBSoDさせてメモリダンプさせてもええんやで。
まぁ、フルダンプに設定されてる環境は限られてるだろうけど。
Re: (スコア:0)
元記事をよく読んだらBSODのメモリダンプという手段が実際に示唆されてるね。
「たまたまテスト中にWindows環境がクラッシュしたのでメモリダンプを調べてみたらパスワードが平文で入ってた」と書いてある。
Re: (スコア:0)
ほんとこれ
そもそもDOSやWindows 9x時代ならいざ知らず、ALSR常識かつそこらのPCですら64GBとか積んでるこの時代にメモリスキャンって・・・
それを脆弱性と呼ぶのなら、かのOpenSSHですら脆弱性だらけになりますわ
Re: (スコア:0)
それですね!
そこまでの情況を想定するなら、もっと大きな問題だと思う。
ISEはパスワード管理ソフトの使用は推奨していて、用が済んだらアプリケーションを終了すべきだということを提案しているんだけど・・・
でも、発表の仕方に問題がある気がしますね。
「アクティブウィンドウでなくなってから15秒放置されたら自動終了」するアプリにしろとか、そういう事を言いたいのか。
それとも、ユーザーに対して、都度終了する運用を喚起せよと言いたいのか。
Re: (スコア:0)
ところがサイドチャネル攻撃の一般化でその前提は覆ったんだよね
Re: (スコア:0)
PCを操作中に家宅捜索され、ロックされず動いたまま押収されても耐え得る
これなら意味があるだろ