WiFi 上で他人のログイン情報を盗む Firefox の拡張機能が公開される 35
ストーリー by reo
ご利用は計画的に 部門より
ご利用は計画的に 部門より
Honey Pod 曰く、
暗号化の不十分な WiFi 上で Twitter や Facebook などのアカウントが容易に乗っ取られ得ることを実証する Firefox の拡張機能「Firesheep」をセキュリティ研究者 Eric Butler 氏が先週末、Toorcon 12 にて公開した (engadget 日本版の記事、ITmedia News の記事より) 。
記事中でも指摘されているように、これは従来から放置され続けてきた「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題であり、盗聴するクライアントが何で実装されているかは本質ではないし、警鐘が鳴らされるのも初めてではない。しかし今回の機能拡張とコードの公開を機に、本格的な対策が急務となってしまうことはもはや避けられないだろう。
危険性を抱えたまま放置されていた方が良かったか、混乱と引き換えに対策を強要される方がましなのか、/.J の諸君はどう思われるだろうか。
この間のヤマトの脆弱性のときは (スコア:2)
「ブラウザを動かせるiPhoneが悪い」なんて意見もあったりしてかなりげんなり。
Re: (スコア:0)
そこは問題の本質に無関係だし、ソフト本来の用途では無問題だろうと
Re: (スコア:0)
Winnyを動かせるWindowsが悪いなんて意見をスラドで読んだ記憶が
「キーは自動的に提供される」って? (スコア:2, 興味深い)
Windows XPだと「キーは自動的に提供される」っていうチェックボックスがあったんですが、これってIEEE802.1Xを使っている場合に限って使えた話だったんだろうか?手元にもうXPマシンがないので確認しようがないが。でも確か昔々WEPを使っていた時代にアクセスポイントの管理者からこのチェックボックスを入れろと指示された経験がある。
Windows 7のノートパソコンで「ワイヤレスネットワークのプロパティ」を見てみると、「セキュリティの種類」と「暗号化の種類」が個別に選択可能で、前者を「認証なし(オープンネットワーク)」後者を「WEP」にすることができるのだが、これに相当するのだろうか?今では殆ど使われることはないのだろうが、あのチェックボックスがなんだったのか今更ながら気になる。
屍体メモ [windy.cx]
IEEE802.1XやEAP-TLSで使うらしい (スコア:1)
マイクロソフトの文書「Windows XP ワイヤレス展開テクノロジとその構成要素の概要」Microsoft Corporation発行 :2002 年 6 月によると、
屍体メモ [windy.cx]
瞳を閉じた瞬間に世界が崩壊する (スコア:1)
見なきゃいけないものから目をそらして、
あたかもそこに存在していないかのように装うのは、
本来起るべき混乱に備えることもなく、
ただいつか浸食される日を待つどこかの9条教みたい。
ふつうに (スコア:0)
偽計業務妨害罪でないの?
全然 (スコア:2)
道具は道具。どう使うかはユーザの自由です。スニッファなしじゃできないお仕事だって沢山ありますよ。それに何より、犯罪が起こった後に対処して何か意味があるんですか? 「泥棒に入られて高価な壺を割られたけど、犯人は捕まったから問題ない」という風にはあんまり考えないと思いますけど。
Re: (スコア:0)
日本ではそうかもしれませんね。
先のヤマトの件もそうでしたが、相手は日本人とは限らないって視点を持っておかれた方が良いかと。
こんなストーリーも考えられますよね。
1. 旅行者が
2. 来日時にアカウントを収集し、
3. 帰国後にアカウントをクラック
2 が焦点になるとお考えかもしれませんが、収集のみで司法が動く事は無いと思いますよ。
Re: (スコア:0)
ストリートビューは規制しろってことですね。わかります。
Re: (スコア:0)
そうですね
あわせ技 (スコア:0)
これ、サイトの作りが悪いように書いていますが(実際悪いのですが)、それだけじゃなくて「暗号化の不十分なWiFi」が放置されていることも問題ですよね。某ハード [nintendo.co.jp]なんかの存在もそれに輪をかけているのかもしれませんが。
適切に暗号化されてないWiFiを運用することのリスクを周知するのも大切だと思うのですが……。
素性の分からないAPには接続しない (スコア:2, 興味深い)
素性の分からないAPには接続しない、というクライアント(ユーザー)側の啓蒙が優先すると思います。
他者の穴に不用意に物体を挿入してはいけないよ、ということを大人は本能的、あるいは社会的、経験的に分かっているせいか、屋内外に素性の分からぬハブやスイッチがあったからといって、不用意にケーブル突っ込む人をそれほど頻繁には見かけません。同様にやはり素性の分からぬアクセスポイントには不用意に接続しないのが大人として求められる態度だと思います。
とはいえご指摘のように子供が使うおもちゃの存在もありますから…いやまぁ子供には穴なんて見せちゃダメなはずなんですが、なにせ彼らは好奇心旺盛ですからねぇ。
じゃぁアクセスポイントの素性ってどうやって知るんだよ?という問題はやはりIEEE802.1Xを使うくらいのことしか今は思いつきません。
屍体メモ [windy.cx]
Re:素性の分からないAPには接続しない (スコア:1)
そもそもWPA2-PSKで暗号化されていても、事前共有キーを共有している者同士では通信が丸見えですからね。
やはり本命は802.1Xでしょう。
パスフレーズを共有してる者同士でも (スコア:1)
パスフレーズを共有してる者同士でも、鍵を生成するときの情報源にはMACアドレスを含めるしIVも定期的に変更するしリプレイ攻撃に対する体制も考えられているようなので、通常のユニキャスト通信では丸見えってことはないんじゃないでしょうか。マルチキャスト通信やブロードキャスト通信ではユニキャスト通信での鍵とはまた別の鍵であるGTKが使われるようですが、それとてPTKで暗号化されて配布されるそうですので。WPA PSK Crackers: Loose Lips Sink Ships By Lisa Phifer [wi-fiplanet.com]
屍体メモ [windy.cx]
Re:パスフレーズを共有してる者同士でも (スコア:1)
失礼しました。その通りです。
PreSharedKeyを共有(公開)していると、キーを知っている悪意のある者に
なりすましAPを作成され放題なので、APの真正性を別の方法で確認しなければならない
という問題と混同していました。
公衆無線LANならWPA(2)-PSKに接続した後にWebブラウザでのユーザ認証が
あるパターンも割とあると思いますので、そこでHTTPSのSSL証明書を検証すれば大丈夫ですね。
Re: (スコア:0)
Re: (スコア:0)
これはもちろんそうなんだけど、例えば家庭で誰かがこれを使えば家族のセッションも盗めちゃうわけで。サービス提供者が全HTTPS化するくらいしか解決策はないんじゃないかな。
これが (スコア:0, 興味深い)
> 従来から放置され続けてきた「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題
なら、WiFiで0円デジタルサイネージ [srad.jp]が叩かれたのはおかしくね? 少なくともヤマト運輸 [srad.jp]の事故はサイト側の問題とする立場と一貫性がない。
Re: (スコア:0)
Re: (スコア:0)
暗号化されていないWi-Fiが悪だと思っちゃったのか
サイネージサイトの信頼性のために勧められたSSL証明書と
SSLを使った経路の暗号化をどこか混同しちゃったのか
Re: (スコア:0)
なんか混同していないか?
WiFiで0円デジタルサイネージが叩かれた理由はなんだとおもっている?
従来から(中略)問題ってのはなんだと思っている?
それが同じことだと思っているならおまえさんの理解がおかしい
誤解を招くなぁ (スコア:0)
>「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題
って書いてるけど「または」って表現だと問題がぼやけちゃうんじゃない?
これって、認証はhttpsでやってるけど、
認証後はcookieにセッションID突っ込んでhttpでやってるから、
sniffingされるとcookie見られてセッションハイジャック完了って事ね。
Firefoxの拡張機能として実装した以外何の新規性もないし、
途中経路のハブに物理的に干渉出来るならWiFiも関係しない。
これまでもsnifferとBOOKMARKLETだけあれば簡単に実現出来てる話。
今更問題にするのもおかしいし
ログアウト状態を除いてすべてhttps化しろって話。
Re:誤解を招くなぁ (スコア:1)
その辺はopen SSOとか使って複数サーバーでのシングルサインオン環境を構築しようとするとキッチリ書いてありますね
クッキー取られると認証横取りされるからSSL使えって
またそのためにクッキーにsecure 属性を付けるオプションもあります
今時暗号化するだけの証明書なら$10/年位(最安値で$27/3年)からあるんだから
重要なところにはそれなりの有名どころの証明書
それ以外は安い証明書使って全部overSSLで良いと思うんですけどねぇ
安いところと高いところを使い分ければ、容易に実現出来る気がします
保険の問題でできないのかな?
SSL部分のサーバー負荷はロードバランサーとかについてる
SSLアクセラレータ使えば外だし出来るだろうし
Re:誤解を招くなぁ (スコア:3, すばらしい洞察)
よくわかっていないSEが頭のいいところ見せたがってるだけだと思う
「証明書なんて取らなくてもこーすれば安全ですよー」と車輪の再発明
被害総額が充分に積み上げられるまではこのままでしょう
Re:誤解を招くなぁ (スコア:1)
> 安い証明書使って全部overSSLで良いと思う
name based virtual host 使ってると単純にはSSL化できません。
SNI が十分広まったらいいんだけど、現状、XPのIE8とかだと非対応…
IPv4はアドレス枯渇が見えてる現状で、
このためだけに IP based にするというのも資源の無駄遣いな気がするし…
Re:誤解を招くなぁ (スコア:1)
その場合はちょっと高くなるけど、安いほうはワイルドカード証明書とって
使うくらいしか手が無いかなぁ
1ドメイン13K/年以上になっちゃいますけどね
subjectAltNameは安いところでは自由に設定できないだろうし
まぁ1つのIPで全部何とかするんだーって場合には使えませんけど
Re: (スコア:0)
Re: (スコア:0)
> 今更問題にするのもおかしいし
全然問題視してくれないから業を煮やして、誰でも使える
> Firefoxの拡張機能として実装
ということをやったんでしょ?
> 何の新規性もないし
この件に新規性がないということ自体に注目すべき。
他のサイトはどうでもいいけど(-1:フレームの元) (スコア:0)
ここ(/.j)は大丈夫なの?
なにせここはアカウントの削除も出来ない [srad.jp]サイトですしね・・・・
コンピュータセキュリティ屋の不思議 (スコア:0)
頼みもしないのに俺様が正しい的ドヤ顔でやってくるのがデフォなんでしょうか?
実生活における脅威度で言えば、玄関の鍵のピッキング脆弱性のほうが
はるかに上じゃないですか。
だからといって、鍵屋が第三者の家にいきなり来て勝手に開錠し
「ほら、あなたのうちはこんなに危険なんですよ」とか自慢げにいいませんよね?
というか、普通に逮捕されるし、それ。
求められてない限りは出てこなくていい役割だってのが、なんでわかんないのかなぁ…
というか、自作自演かもしれない盗聴バスターと同じ人種なのかな?
Re: (スコア:0)
>求められてない限りは出てこなくていい役割だってのが、なんでわかんないのかなぁ…
教科書通りの性善説型思考ですね!
「問題があっても実際に被害が出ない限り問題にしない」って考え方が全日空機ハイジャック事件を引き起こしたとお考えにならないのでしょうか?
Re: (スコア:0)
Re: (スコア:0)
> 全日空機ハイジャック事件を引き起こしたとお考えにならないのでしょうか?
なるほど。その事件を引き起こしたのは、以前から空港のセキュリティホールについて
(頼まれもしないのに)指摘し続けていた人でしたね。鋭い指摘です。
つまり、「頼みもしないのに俺様が正しい的ドヤ顔でやってくる」人物は
聖悪的思考に基づき、潜在的なセキュリティ脅威として問題にするべきという
意見だと理解しました。
貴重なご意見ありがとうございます。
Re: (スコア:0)
喩えがおかしくない?
今回のを鍵屋に喩えると、例えば、
・鍵を作って一般に販売しているメーカーがあって、
・そこの鍵を鍵屋が調べたら簡単に他人のスペアキーを作ることが出来ることがわかって、
・メーカーに製品の改善を要求している。
と、こんな感じじゃない?