オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 78
ストーリー by headless
偽物 部門より
偽物 部門より
insiderman 曰く、
やや旧聞になるが、人気のWindows向けSSHクライアント「PuTTY」で、マルウェア入りの非公式バージョンが出回っているそうだ(シマンテック公式ブログの記事)。
PuTTYはオープンソースソフトウェアなので、(知識と開発ツールさえあれば)誰もが改変したバージョンを作成して配布できる。シマンテックのブログによると、このマルウェア入りPuTTYは2013年後半から出回っているらしい。今のところあまり拡散していないが、検索エンジン経由でこのマルウェア入りPuTTYのダウンロードページに誘導されることがあるようだ。
この改変版PuTTYでは、サーバーへの接続時に接続情報が攻撃者のサーバーに送信される。これにより、攻撃者は被害者が接続しようとしたSSHサーバーへの接続が可能になるという。
SourceForgeがアドウェア入りGIMPインストーラを配布したことが話題になっているが、オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。
PuTTYは安全にダウンロードする方法がなかったらしい (スコア:1)
この状況では改造版が出回るのも仕方ない。
Downloading software safely is nealy impossible
https://noncombatant.org/2014/03/03/downloading-software-safely-is-nea... [noncombatant.org]
Re: (スコア:0)
そのとおり。
正規の安全な配布ルートじゃないところから落とせば、マルウェア感染リスクがある、って当然のことでしかない。
結局、オープンソースとかそうじゃないとか関係ない事案だよね。
問題にするべきは、そういう安全な配布手段がなかったことであって、「オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。」とか書いちゃうのはミスリードもいいところ。
Re:PuTTYは安全にダウンロードする方法がなかったらしい (スコア:3, 興味深い)
そうですよね。
オープンソースとかそうじゃないとかは関係ないですね。
プロプラなソフトでも、信用できない配布ルートで入手すれば(海賊版)、マルウェア感染リスクがありますし。
Re: (スコア:0)
というか、本家が感染したバイナリ配ったなんて事故もあったり。
Re: (スコア:0)
ソース公開されてて簡単に改変しマルウェア化できるオープンソースのほうが、改造に手間がかかる上にユーザーが製造元のサイトに簡単に到達できるプロプラよりマルウェア混入しやすいのは事実だろうに
Re: (スコア:0)
オフィシャルな所から入手しようとしたら飛ばされた先で広告踏んだり違うものインストールしたり
日本特有なのか知らんけど高齢者やあまり興味がないユーザーはそれでやらかす人多い
分かりづらい(間違えやすい)デザインのところもあるし
Re: (スコア:0)
真っ当な企業ならオフィシャルな場所にそんな紛らわしい広告置かないと思うぞ
まあプロプラでもAdobeの一部ソフトみたいにランタイムに余計なもの(マルウェアじゃないけど)をつけようとしてくるのはあるにせよ
Re: (スコア:0)
オフィシャルなサイトだけど、広告のダウンロードボタンの方が目立つなんてのはいくらでもありますね。
SRware Ironとか。
他の人の環境だと何が広告にでるかわかりませんが、
私の環境だと「ダウンロードを開始」という広告が紛らわしい位置に表示されます。
『> Download < (Installer for XP,Vista,7)』 というのが通常のダウンロードです。
http://www.srware.net/en/software_srware_iron_download.php
昔は広告のダウンロードボタンが緑のボタンだったんでわかりやすかったですが、
最近はページの色に似せて来たりするのでたちが悪い。
Re: (スコア:0)
ごめん、ちゃんとコメントの流れ読もうぜ
オープンソースとプロプラの比較の話をしてるのに企業は関係ないとか何を言ってるんだとしか
企業以外が作ってるプロプラなんて殆どないんだしさ
Re: (スコア:0)
別途ハッシュが入手出来るとかだと配布ルートはあまり重要じゃなくなる。
統一的なパッケージ管理システムが出来て、バージョンチェックとかダウンロードとかと合わせて健全性チェックとかってのが出来るとうれしいが、Windowsだと規模的にもイデオロギー的にもなかなか難しいだろうなぁ。
Re: (スコア:0)
既にありますが...
Re: (スコア:0)
お、マジですか。
知らないので教えてください!
Re: (スコア:0)
https://chocolatey.org/ [chocolatey.org]
PUTTYもあるね。
Re: (スコア:0)
OracleClientも最初は非公式版だった(いや、善意で上げてくれてたやつだと思うので非難するつもりはないけど)
bowerはangular2をインストールすると、よくわからない人のangular1.3がインストールされた。
どっから取得してるか見ないと結構危険だとは思う。
(つーかそのputtyはだれが登録したやつよ)
Re: (スコア:0)
chocolateyは先行のapt(linux)なりと比べるとパッケージとデジタル署名をいい感じに扱う仕組みがなくて、それを開発コミュニティもMicrosoftも認識してるという認識。
Re: (スコア:0)
配布ルートはさておき、まともな Windows のソフトウェアなら署名は付いてる。
インストーラの出所をチェックしてからインストールすれば良いだけ。
ソースレベルでの改ざんとか、内部の犯行だとどうしようもないけど。
Re: (スコア:0)
日本だと、いくつかあるパッチを適用したバージョンを使用している人の方が多いんではないだろうか。改良版がつくれるのはいいけど、この状況のままだと、署名のないバイナリは起動できませんと言われる日も近そう…
PFW (スコア:0)
なんとな~くポート番号指定して全通過にしてる子はいないかな?
(ポリシ策定時に)なんとな~くオープンソースだからって安心してる子はいないかな?
リポジトリーを建てるコストってどのくらい? (スコア:0)
Linux系OSでは、DebianとかUbuntuとか、RHELとかFedoraとか
ArchやGentooとかが、パッケージ配布のためのリポジトリーを持っていて
gpgとかmd5sumとかを使って、不当なパッケージがユーザーの元に届くことを防いでいるじゃん。
それが主目的じゃ無いわけだけどさ…
Windows用に、OSSのそれなりのポリシーを持ったリポジトリーと
パッケージ管理ツールを提供するとしたら
どのくらいの資金が必要で
それを集める有効な方法は、まだ発見されていないのかな?
それとも、Windowsでは
OSSと戦う姿勢を持つ企業や団体のほうが影響力を持っているの?
プログラマー以外のWindowsユーザーでは
SHA-256とかmd5sumとかの知名度の低さにも驚くけどさ
Re: (スコア:0)
PuTTYも、バイナリのハッシュは公式サイトで公開しているんじゃなかったかな?
シェル拡張でmd5なりshaなりチェックできる機能があるのだから、早く標準に取り入れて欲しいとは思いますけどね。
Windows 8 は標準でハッシュ値の確認が可能 (スコア:3)
Windows 8 ならシェル拡張なんて入れなくても、標準でハッシュ値の確認ができますよ。Power Shell (スタート画面から powershell で検索)に次のように打ち込めばチェックできます。
アルゴリズムは、SHA1 | SHA256 | SHA384 | SHA512 | MACTripleDES | MD5 | RIPEMD160 に対応しています。
なお、脆弱なため SHA1, MACTripleDES, MD5 の3つは使わない方が良いと思います。
Re:Windows 8 は標準でハッシュ値の確認が可能 (スコア:2)
> Windows 8 ならシェル拡張なんて入れなくても、標準で
いや、Windows 7 でも標準でできますが。
小文字でアルゴリズムが指定できないところが MS らしい手抜きを感じます。
エラーメッセージもなんとかならんのか…
Re:Windows 8 は標準でハッシュ値の確認が可能 (スコア:1)
いや、あのね、CUIでハッシュチェックできる機能じゃなくて、エクスプローラー上でできる機能を標準搭載しろと、元コメは言っているわけで。そこでPower Shellを持ち出すのは、いささか間違っているとは思わないかな?
Re: (スコア:0)
ところでなんだか、最近ここでのPower Shell布教がウザくなってきたんだけど。
何事にも限度ってものがあるんじゃないかな、と思うんだよね。
それは Power Shell が御膳上等だからです (スコア:2, フレームのもと)
致し方ありません。PowerShell は テキスト出入力のパイプといった Unix 的で原始的な手法を180度改め、cmdlet (基本的なプログラム) 間で、オブジェクトデータの受け渡しを可能とした先駆者なのです。CLI界の革命といっても過言ではないはずです。しかしながら、CLI を愛する Unix信者の多くは、PowerShell を WSH (Windows Script Host) と似たようなものだろうと決めつけ軽蔑し、その先進的な理念と構想を知ろうともしません。
プログラム・コマンド間でのデータの受け渡しに、いちいち、sed だの grep だの awk などの組み合わせてテキスト処理を行っているようでは CLI 界の未来には絶望しかないでしょう。現に、Unix信者が褒め称える Linux の CLI を使うことを極限まで嫌って、X だの Webmin だのを重用する稚拙なサーバ管理者の数が奔騰しているではありませんか。
CLI の未来のためにも、人類と電子計算機との間の対話からでもスクリプト言語・複雑なプログラミング言語からでも様々なコマンドレットを結合することで直接的にメソッドを適用することのできる PowerShell の荘厳さを人類が理解し、そのアトリビュートを Unix の CLI にも採納する必要があるのです。
Re: (スコア:0)
Re: (スコア:0)
当時はそれもHTTPSで提供してなかったんだよ。
チェックサムだってHTTPSで公開しない限り無意味だし、だったらバイナリそのものをHTTPSで提供するのと変わらん。
Re: (スコア:0)
リリースされるアプリの数が、Linux 系のディストリで管理される程度のものとは桁が違います。
一般に Windows の世界では、昔から電子署名を使って不当なパッケージやバイナリが手元に届くのを防いでいます。
まっとうな物であれば必ず電子署名されているといっても差し支えないくらいには普及していますよ。
Re: (スコア:0)
エンドユーザが特定の証明書を簡単に失効できない。
thumbs down な証明書は蹴ってほしいのだが。
インストーラに含まれるアドウェアはわりと同じ証明書が貼ってある。
Re: (スコア:0)
そもそもの問題はWindowsが最初からssh使えないのが悪い、ってのもあると思う。
Windows使ってた時はPuttyやらPoderosaやら使ってて、Macに初めて買い換えた時sshはどのアプリ使えばいいんだろうと思ってたけど、普通にTerminal(shell)でそのまま使えるんだよな。
Windowsのshellがもっとまともになればなと。
まぁshellというか、それに関連する基本的なソフトウェア群だけど。sshとかviとかrsyncとか。
パッケージ管理あると解決されるのかな。独占やらなんやらでMS自身はできそうにないけど、MacはMacportsやらHomebrewやら、Apple以外で実現してるんだよな。
Re:リポジトリーを建てるコストってどのくらい? (スコア:1)
パッケージ管理については、Windows 10のストアはどうでしょうか?Win32アプリも登録できるようになるそうですし。
Re: (スコア:0)
LinuxがRDP使えるようにすればいいじゃんって言い分かもしれませんし。
でもWindowsのバージョンが上がるごとにパス区切りにスラッシュが使える場所が増えてたりしますが。
今は亡き Services for UNIXにssh入れるとか、MINGWやcygwinあたりを使ってねってところでしょうね。
gitbash入れれば一応それだけで使えるとも思います(文字コード関係はわかんないですが)
パッケージ管理は ChocolateyやnuGetがありますね。これはMVPの人が作った奴だったと思います。
次期は OneGet で、MS手動だったような?
Re: (スコア:0)
UNIX信者はめんどくせーな。
エンジニアではない一般ユーザがたくさんいて、スパムメールに実行ファイルが添付されてくるようなWindows文化で、レポジトリなんぞセキュリティの観点からは無意味。
代わりに、WindowsにはAuthenticodeという電子署名の仕組みがあって、OSレベルでバイナリの真正性をチェックしてるんだから、これを使えばよいだけ。
>プログラマー以外のWindowsユーザーでは
あなたの世間の狭さに言葉もないよ。プログラマー以外でSHA-256なんて知ってる人はほとんどいない。
そんな世間感覚で、現実世界のユーザがセキュアに使えるソフトウェアは開発できないと思うぞ。
あなたじゃ、Microsoftが、エンジニアでない一般ユーザがセキュアに使える環境を提供するために、どれほど苦労してきたか理解できないだろうな。
Re: (スコア:0)
Authenticodeをフリーソフトで使うには証明書の値段がかなり痛い
英語圏で年間$99から$300、日本語での応対してくれるところで年間15000円から10万近いのまでピンキリだけどそこまでして署名する気にはならんですよ。
サイトの広告収入やオンライン販売でまかなえちゃうくらい有名どころなら良いんだろうけど。
Re: (スコア:0)
または別のリポジトリ追加しましょうとか。ソースはさておき、そのPPAは本当に信頼できるの?って話もあるでしょうに。
プログラマー以外のLinuxユーザーでも
SHA-256とかmd5sumとかの知名度は高くないと思うよ。
(そんなん逐一みましょうねってガイドしている本とか見たことない)
あれもどっちかっていうとダウンロードエラー出てないかっていう用途の方が強いと思うんだけどな。ハッシュ値は改竄されていないってわけもないだろうし。
git for windows 2.4 (スコア:0)
欲しかったんで軽く試してみたんですけど、たしかにVirusTotalでいくつかひっかかる。
issueにも上がっていて、そこでは作者が「自己解凍書庫にするソフトも昔から変えていないし思い当たらない。Virus対策ソフトの会社に言ってくれ。」みたいなやり取りを見かけました。
で、自分でダウンロードしてみて、自己解凍exeではなく普通に解凍してzipに再圧縮したらそれでも引っかかったんで導入するのやめました。
内容までは調べてないですが、ソースに作者も知らないうちに混入されてるんじゃないかとちょっと心配になりますね。
(ダウンロードする場合は注意してください)
https://github.com/git-for-windows/git/releases
Avastが検知するという issue
https://github.com/git-for-windows/git/issues/136
これだからオープンソースは (スコア:0)
駄目なんだよ
Re:今はまだいいけど (スコア:1)
オープンソースの欠陥でGPLの欠陥ではないな。
改変元のソースコードをしっかり読まないからそうなる。
Re:今はまだいいけど (スコア:1)
ユーザ側のコンピュータリテラシの問題じゃないかな。
1) 公式サイト以外からは入手しない。
2) (入手経路に関係なく)コード署名などを確認する。
オープンソースだから云々という話でいうと、(非オプソと比べて)改変や見た目の模倣の難易度が低いので、
似て非なるもの(俺カスタム版やマルウェア同梱版など)を再配布しやすい、ということはあるでしょう。
でも、それは「○○の欠陥」というほどのことではありませんね。
# 公式がコード署名などの検証方法を提示していない場合は...どうしよう。
Re: (スコア:0)
Re:今はまだいいけど (スコア:1)
気のせいでしょう。そのような事実はありません。
0.60~0.61の間は4年くらいリリースが無かったですが、リポジトリを見れば開発が続いていたのは判りましたし、
その間もセキュリティ的な問題は特に見つかっていなかったはずです。
また、セキュリティ的な問題が見つかった時は迅速に修正版が出ています。(0.62, 0.63, 0.64)
Re:今はまだいいけど (スコア:1)
> オープンソースの欠陥
その論法でいくと、嘘の情報や悪意の情報が書いてあることもあるのは、インターネットの欠陥だ、ということになってしまいますよ。
インターネットから入手した情報を鵜呑みにすると間違うこともあるのはみんな知ってるとおり。
Re:今はまだいいけど (スコア:1)
そのつもりで書きました。正確にはインターネットを含む現実社会の欠陥。
そもそもソースコードと公式が配布するバイナリの同一性が保証されているわけではないし(もちろん配布者はそう主張するだろうが)公式サイトが改変される可能性もある。そもそも公式が悪さをする可能性もあるし第一ソースコードやバイナリを書き換えなくてもインストーラに細工をすれば良いわけで。
//もーめんどーくさーいどーでもいー
Re: (スコア:0)
それ GPL と何の関係があるん?
Re: (スコア:0)
GPLだと、ソースさえ開示していればユーザーが望まない機能を追加して配布しても問題はない?みたいな論理だったりして。
Re:今はまだいいけど (スコア:1)
やっぱりGPL関係ないじゃん。BSDライセンス等々ではソースの開示すら必要ないのでは
Re: (スコア:0)
話の主旨はそこじゃないのになんで粘着してるの?
国によるだろうけど不正アクセスでアウトだからライセンスは関係ないだろうけど
Re: (スコア:0)
あなたのいう話の趣旨とは「とにかくGPL叩きたい」ですか?
Re: (スコア:0)
このツリーの一番上が「とにかくGPL叩きたい」に見えるなら小学校からやり直すか病院行った方がいいと思うよ
Re: (スコア:0)
ライセンス的には問題ないね。
そしてプロプライエタリなソフトは、勝手に改造しての配布をほぼ確実に禁止してるからそれをやればライセンス違反になる。
もちろん「ユーザーが望まない機能」の挙動如何では違法になる可能性は十分ある。