パスワードを忘れた? アカウント作成
12088964 story
ワーム

オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 78

ストーリー by headless
偽物 部門より
insiderman 曰く、

やや旧聞になるが、人気のWindows向けSSHクライアント「PuTTY」で、マルウェア入りの非公式バージョンが出回っているそうだ(シマンテック公式ブログの記事)。

PuTTYはオープンソースソフトウェアなので、(知識と開発ツールさえあれば)誰もが改変したバージョンを作成して配布できる。シマンテックのブログによると、このマルウェア入りPuTTYは2013年後半から出回っているらしい。今のところあまり拡散していないが、検索エンジン経由でこのマルウェア入りPuTTYのダウンロードページに誘導されることがあるようだ。

この改変版PuTTYでは、サーバーへの接続時に接続情報が攻撃者のサーバーに送信される。これにより、攻撃者は被害者が接続しようとしたSSHサーバーへの接続が可能になるという。

SourceForgeがアドウェア入りGIMPインストーラを配布したことが話題になっているが、オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年05月30日 17時20分 (#2822608)

    この状況では改造版が出回るのも仕方ない。

    Downloading software safely is nealy impossible
    https://noncombatant.org/2014/03/03/downloading-software-safely-is-nea... [noncombatant.org]

    • by Anonymous Coward

      そのとおり。
      正規の安全な配布ルートじゃないところから落とせば、マルウェア感染リスクがある、って当然のことでしかない。

      結局、オープンソースとかそうじゃないとか関係ない事案だよね。
      問題にするべきは、そういう安全な配布手段がなかったことであって、「オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。」とか書いちゃうのはミスリードもいいところ。

      • by Anonymous Coward on 2015年05月30日 18時09分 (#2822626)

        そうですよね。
        オープンソースとかそうじゃないとかは関係ないですね。

        プロプラなソフトでも、信用できない配布ルートで入手すれば(海賊版)、マルウェア感染リスクがありますし。

        親コメント
        • by Anonymous Coward

          というか、本家が感染したバイナリ配ったなんて事故もあったり。

      • by Anonymous Coward

        ソース公開されてて簡単に改変しマルウェア化できるオープンソースのほうが、改造に手間がかかる上にユーザーが製造元のサイトに簡単に到達できるプロプラよりマルウェア混入しやすいのは事実だろうに

        • by Anonymous Coward

          オフィシャルな所から入手しようとしたら飛ばされた先で広告踏んだり違うものインストールしたり
          日本特有なのか知らんけど高齢者やあまり興味がないユーザーはそれでやらかす人多い
          分かりづらい(間違えやすい)デザインのところもあるし

          • by Anonymous Coward

            真っ当な企業ならオフィシャルな場所にそんな紛らわしい広告置かないと思うぞ
            まあプロプラでもAdobeの一部ソフトみたいにランタイムに余計なもの(マルウェアじゃないけど)をつけようとしてくるのはあるにせよ

            • by Anonymous Coward
              オープンソースの話で真っ当な「企業」は関係ないかと。

              オフィシャルなサイトだけど、広告のダウンロードボタンの方が目立つなんてのはいくらでもありますね。
              SRware Ironとか。

              他の人の環境だと何が広告にでるかわかりませんが、
              私の環境だと「ダウンロードを開始」という広告が紛らわしい位置に表示されます。
              『> Download < (Installer for XP,Vista,7)』 というのが通常のダウンロードです。

              http://www.srware.net/en/software_srware_iron_download.php

              昔は広告のダウンロードボタンが緑のボタンだったんでわかりやすかったですが、
              最近はページの色に似せて来たりするのでたちが悪い。
              • by Anonymous Coward

                ごめん、ちゃんとコメントの流れ読もうぜ
                オープンソースとプロプラの比較の話をしてるのに企業は関係ないとか何を言ってるんだとしか
                企業以外が作ってるプロプラなんて殆どないんだしさ

      • by Anonymous Coward

        別途ハッシュが入手出来るとかだと配布ルートはあまり重要じゃなくなる。

        統一的なパッケージ管理システムが出来て、バージョンチェックとかダウンロードとかと合わせて健全性チェックとかってのが出来るとうれしいが、Windowsだと規模的にもイデオロギー的にもなかなか難しいだろうなぁ。

        • by Anonymous Coward

          既にありますが...

          • by Anonymous Coward

            お、マジですか。
            知らないので教えてください!

            • by Anonymous Coward
              元ACじゃないけど、Chocolateyとかか?
              https://chocolatey.org/ [chocolatey.org]
              PUTTYもあるね。
              • by Anonymous Coward
                Chocolateyにせよbowerとかにせよ誰が挙げてるかわかんないけどね。
                OracleClientも最初は非公式版だった(いや、善意で上げてくれてたやつだと思うので非難するつもりはないけど)
                bowerはangular2をインストールすると、よくわからない人のangular1.3がインストールされた。

                どっから取得してるか見ないと結構危険だとは思う。
                (つーかそのputtyはだれが登録したやつよ)
              • by Anonymous Coward

                chocolateyは先行のapt(linux)なりと比べるとパッケージとデジタル署名をいい感じに扱う仕組みがなくて、それを開発コミュニティもMicrosoftも認識してるという認識。

        • by Anonymous Coward

          配布ルートはさておき、まともな Windows のソフトウェアなら署名は付いてる。
          インストーラの出所をチェックしてからインストールすれば良いだけ。
          ソースレベルでの改ざんとか、内部の犯行だとどうしようもないけど。

    • by Anonymous Coward

      日本だと、いくつかあるパッチを適用したバージョンを使用している人の方が多いんではないだろうか。改良版がつくれるのはいいけど、この状況のままだと、署名のないバイナリは起動できませんと言われる日も近そう…

  • by Anonymous Coward on 2015年05月30日 18時59分 (#2822643)

    なんとな~くポート番号指定して全通過にしてる子はいないかな?
    (ポリシ策定時に)なんとな~くオープンソースだからって安心してる子はいないかな?

  • by Anonymous Coward on 2015年05月30日 23時06分 (#2822749)

    Linux系OSでは、DebianとかUbuntuとか、RHELとかFedoraとか
    ArchやGentooとかが、パッケージ配布のためのリポジトリーを持っていて
    gpgとかmd5sumとかを使って、不当なパッケージがユーザーの元に届くことを防いでいるじゃん。

    それが主目的じゃ無いわけだけどさ…

    Windows用に、OSSのそれなりのポリシーを持ったリポジトリーと
    パッケージ管理ツールを提供するとしたら
    どのくらいの資金が必要で
    それを集める有効な方法は、まだ発見されていないのかな?

    それとも、Windowsでは
    OSSと戦う姿勢を持つ企業や団体のほうが影響力を持っているの?

    プログラマー以外のWindowsユーザーでは
    SHA-256とかmd5sumとかの知名度の低さにも驚くけどさ

    • by Anonymous Coward

      PuTTYも、バイナリのハッシュは公式サイトで公開しているんじゃなかったかな?
      シェル拡張でmd5なりshaなりチェックできる機能があるのだから、早く標準に取り入れて欲しいとは思いますけどね。

      • シェル拡張でmd5なりshaなりチェックできる機能があるのだから、早く標準に取り入れて欲しいとは思いますけどね。

        Windows 8 ならシェル拡張なんて入れなくても、標準でハッシュ値の確認ができますよ。Power Shell (スタート画面から powershell で検索)に次のように打ち込めばチェックできます。

        PS C:\> Get-FileHash C:\test\test.txt -Algorithm SHA256 | Format-List

        Algorithm : SHA256
        Hash      : 961B6DD3EDE3CB8ECBAACBD68DE040CD78EB2ED5889130CCEB4C49268EA4D506
        Path      : C:\test\test.txt

        アルゴリズムは、SHA1 | SHA256 | SHA384 | SHA512 | MACTripleDES | MD5 | RIPEMD160 に対応しています。

        なお、脆弱なため SHA1, MACTripleDES, MD5 の3つは使わない方が良いと思います。

        親コメント
        • > Windows 8 ならシェル拡張なんて入れなくても、標準で

          いや、Windows 7 でも標準でできますが。

          c:\>ver
           
          Microsoft Windows [Version 6.1.7601]
           
          c:\>certutil -hashfile c:\autoexec.bat MD5
          MD5 ハッシュ (ファイル c:\autoexec.bat):
          d9 eb ec 66 68 a6 09 2f cb d1 71 3c 34 7a a5 e0
          CertUtil: -hashfile コマンドは正常に完了しました。
           
          c:\>certutil -hashfile c:\autoexec.bat SHA1
          SHA1 ハッシュ (ファイル c:\autoexec.bat):
          e8 f2 df 75 ac a9 3c bf 91 76 12 75 93 09 27 13 e8 bc dc 94
          CertUtil: -hashfile コマンドは正常に完了しました。
           
          c:\>certutil -hashfile c:\autoexec.bat SHA256
          SHA256 ハッシュ (ファイル c:\autoexec.bat):
          7e 96 3f ca 61 d4 65 0c 67 51 9f f2 66 9e da c3 25 81 36 21 39 20 40 93 0b c1 1a
            ec da 91 a4 98
          CertUtil: -hashfile コマンドは正常に完了しました。

          小文字でアルゴリズムが指定できないところが MS らしい手抜きを感じます。
          エラーメッセージもなんとかならんのか…

          c:\>certutil -hashfile c:\autoexec.bat sha1
          CertUtil: -hashfile コマンド エラーです: 0xd00000bb (-805306181)
          CertUtil: WsResetMetadata

          親コメント
        • by Anonymous Coward on 2015年05月31日 11時43分 (#2822884)

          いや、あのね、CUIでハッシュチェックできる機能じゃなくて、エクスプローラー上でできる機能を標準搭載しろと、元コメは言っているわけで。そこでPower Shellを持ち出すのは、いささか間違っているとは思わないかな?

          親コメント
          • by Anonymous Coward

            ところでなんだか、最近ここでのPower Shell布教がウザくなってきたんだけど。
            何事にも限度ってものがあるんじゃないかな、と思うんだよね。

            • by Printable is bad. (38668) on 2015年05月31日 13時21分 (#2822923)

              ところでなんだか、最近ここでのPower Shell布教がウザくなってきたんだけど。 何事にも限度ってものがあるんじゃないかな、と思うんだよね。

               致し方ありません。PowerShell は テキスト出入力のパイプといった Unix 的で原始的な手法を180度改め、cmdlet (基本的なプログラム) 間で、オブジェクトデータの受け渡しを可能とした先駆者なのです。CLI界の革命といっても過言ではないはずです。しかしながら、CLI を愛する Unix信者の多くは、PowerShell を WSH (Windows Script Host) と似たようなものだろうと決めつけ軽蔑し、その先進的な理念と構想を知ろうともしません。

               プログラム・コマンド間でのデータの受け渡しに、いちいち、sed だの grep だの awk などの組み合わせてテキスト処理を行っているようでは CLI 界の未来には絶望しかないでしょう。現に、Unix信者が褒め称える Linux の CLI を使うことを極限まで嫌って、X だの Webmin だのを重用する稚拙なサーバ管理者の数が奔騰しているではありませんか。

               CLI の未来のためにも、人類と電子計算機との間の対話からでもスクリプト言語・複雑なプログラミング言語からでも様々なコマンドレットを結合することで直接的にメソッドを適用することのできる PowerShell の荘厳さを人類が理解し、そのアトリビュートを Unix の CLI にも採納する必要があるのです。

              親コメント
        • by Anonymous Coward
          そこでCRCを用意しないのがMSらしいというか。C#でプログラム作るたびにCRC32計算するコード書いている気がする…
      • by Anonymous Coward

        当時はそれもHTTPSで提供してなかったんだよ。
        チェックサムだってHTTPSで公開しない限り無意味だし、だったらバイナリそのものをHTTPSで提供するのと変わらん。

    • by Anonymous Coward
      Windows 全般で集約的なリポジトリを作るのは、とてもじゃないけど現実的な話ではないでしょう。
      リリースされるアプリの数が、Linux 系のディストリで管理される程度のものとは桁が違います。

      一般に Windows の世界では、昔から電子署名を使って不当なパッケージやバイナリが手元に届くのを防いでいます。
      まっとうな物であれば必ず電子署名されているといっても差し支えないくらいには普及していますよ。
      • by Anonymous Coward

        エンドユーザが特定の証明書を簡単に失効できない。
        thumbs down な証明書は蹴ってほしいのだが。
        インストーラに含まれるアドウェアはわりと同じ証明書が貼ってある。

    • by Anonymous Coward

      そもそもの問題はWindowsが最初からssh使えないのが悪い、ってのもあると思う。
      Windows使ってた時はPuttyやらPoderosaやら使ってて、Macに初めて買い換えた時sshはどのアプリ使えばいいんだろうと思ってたけど、普通にTerminal(shell)でそのまま使えるんだよな。
      Windowsのshellがもっとまともになればなと。
      まぁshellというか、それに関連する基本的なソフトウェア群だけど。sshとかviとかrsyncとか。
      パッケージ管理あると解決されるのかな。独占やらなんやらでMS自身はできそうにないけど、MacはMacportsやらHomebrewやら、Apple以外で実現してるんだよな。

      • パッケージ管理については、Windows 10のストアはどうでしょうか?Win32アプリも登録できるようになるそうですし。

        親コメント
      • by Anonymous Coward
        まぁ、Windowsにはない機能ですからね。
        LinuxがRDP使えるようにすればいいじゃんって言い分かもしれませんし。

        でもWindowsのバージョンが上がるごとにパス区切りにスラッシュが使える場所が増えてたりしますが。

        今は亡き Services for UNIXにssh入れるとか、MINGWやcygwinあたりを使ってねってところでしょうね。
        gitbash入れれば一応それだけで使えるとも思います(文字コード関係はわかんないですが)

        パッケージ管理は ChocolateyやnuGetがありますね。これはMVPの人が作った奴だったと思います。
        次期は OneGet で、MS手動だったような?
    • by Anonymous Coward

      UNIX信者はめんどくせーな。
      エンジニアではない一般ユーザがたくさんいて、スパムメールに実行ファイルが添付されてくるようなWindows文化で、レポジトリなんぞセキュリティの観点からは無意味。
      代わりに、WindowsにはAuthenticodeという電子署名の仕組みがあって、OSレベルでバイナリの真正性をチェックしてるんだから、これを使えばよいだけ。

      >プログラマー以外のWindowsユーザーでは

      あなたの世間の狭さに言葉もないよ。プログラマー以外でSHA-256なんて知ってる人はほとんどいない。
      そんな世間感覚で、現実世界のユーザがセキュアに使えるソフトウェアは開発できないと思うぞ。
      あなたじゃ、Microsoftが、エンジニアでない一般ユーザがセキュアに使える環境を提供するために、どれほど苦労してきたか理解できないだろうな。

      • by Anonymous Coward

        Authenticodeをフリーソフトで使うには証明書の値段がかなり痛い
        英語圏で年間$99から$300、日本語での応対してくれるところで年間15000円から10万近いのまでピンキリだけどそこまでして署名する気にはならんですよ。
        サイトの広告収入やオンライン販売でまかなえちゃうくらい有名どころなら良いんだろうけど。

    • by Anonymous Coward
      そこから入れるとバージョン古いからソースから入れましょうっていうのがたまにあるけどね。
      または別のリポジトリ追加しましょうとか。ソースはさておき、そのPPAは本当に信頼できるの?って話もあるでしょうに。

      プログラマー以外のLinuxユーザーでも
      SHA-256とかmd5sumとかの知名度は高くないと思うよ。
      (そんなん逐一みましょうねってガイドしている本とか見たことない)
      あれもどっちかっていうとダウンロードエラー出てないかっていう用途の方が強いと思うんだけどな。ハッシュ値は改竄されていないってわけもないだろうし。
  • by Anonymous Coward on 2015年05月31日 3時45分 (#2822804)
    git for windows の 2系(公式ではなくてForkしたもの)も一部のウィルススキャンソフトで引っかかります。

    欲しかったんで軽く試してみたんですけど、たしかにVirusTotalでいくつかひっかかる。

    issueにも上がっていて、そこでは作者が「自己解凍書庫にするソフトも昔から変えていないし思い当たらない。Virus対策ソフトの会社に言ってくれ。」みたいなやり取りを見かけました。
    で、自分でダウンロードしてみて、自己解凍exeではなく普通に解凍してzipに再圧縮したらそれでも引っかかったんで導入するのやめました。
    内容までは調べてないですが、ソースに作者も知らないうちに混入されてるんじゃないかとちょっと心配になりますね。

    (ダウンロードする場合は注意してください)
    https://github.com/git-for-windows/git/releases
    Avastが検知するという issue
    https://github.com/git-for-windows/git/issues/136
  • by Anonymous Coward on 2015年05月31日 14時22分 (#2822951)

    駄目なんだよ

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...