NASA、誰かが無許可でネットワーク内に設置したRaspberry Pi経由で不正アクセスを受けデータ流出 28
ストーリー by hylom
これは恐ろしい 部門より
これは恐ろしい 部門より
NASAのジェット推進研究所(JPL)で、ネットワーク内に無許可で設置されていたRaspberry Pi端末を経由した外部からの不正アクセスがあり、それによってJPL内の多数のデータにアクセスされるという事件が発生していたことが明らかになった(ITmedia)。
この端末は2018年4月に接続されたもので、使用目的やその設置者は不明だという。
JPLのネットワークではネットワーク内に接続する端末をデータベースに登録して管理するルールだったが、問題の端末は登録が行われていなかったという。また、それ以外にもNASAのシステムではセキュリティ的な問題が多数存在しているとも指摘されているそうだ。
NASAに対しては、昨年サイバー犯罪集団による攻撃のターゲットになっているとの報道があった(CNET Japan)。
一昔前はUSBメモリだったのに…。 (スコア:4, 興味深い)
Stuxnet [wired.jp]の時には、USBメモリを使って、閉鎖されたネットワークの内側のマシンをマルウェアに感染させて機械を壊したりデータを抜き取って外のネットワークに流したりしてましたが、
とうとう、そこまでしなくても防火壁の内側に入るのが出始めたんですね。
これがラズパイだからまだしも、もっと小さなボードコンピュータ [buildinsider.net]だったりしたら、見つけるのも難儀でしょうね。下手すると、適当な部屋に潜んで、無線LANなどを通じて内側や外側と通信し、電灯の光で発電して蓄電した電力で内部を荒らしてデータを盗み取るくらい出来てしまうし、そうなると簡単には見つからないでしょうから。
Re:一昔前はUSBメモリだったのに…。 (スコア:1)
データを右から左へ流すだけならフリスクケース未満サイズでいけるからなぁ。
20年前とかマイクロマウスやってた頃はフットプリントが名刺カードサイズより少し大きいぐらいのZ80互換マイコンで十分すごかったのだけれども。
その頃のUV-EPROMサイズで今はフラッシュROMまで付いたマイコンが…
Re:一昔前はUSBメモリだったのに…。 (スコア:1)
ワンチップで無線LANまで入っているESP32もフリスクケースに入るかな?
入りますね
https://www.mgo-tec.com/blog-entry-frisk-ws-ssd1306-webnews.html [mgo-tec.com]
接続さえできれば踏み台には十分
Re:一昔前はUSBメモリだったのに…。 (スコア:2)
そいつは先代のESP8266です。ESP32はモジュールでは少し大きくなります。どっちみちスパイは技適なんか気にしないでしょうから、デキャップ/リキャップでもすれば技術的にはヨーロッパタイプのボールペン替芯に仕込むくらいまでは小型化できるんじゃないでしょうか。
いずれにしろ、Stuxnetの画期的だったのは、USBメモリのハードウェアやファームウェアに依存することなく破壊工作を実行したところじゃないかと思います。あれは汎用のUSBメモリ1本が管理区域内で差し回されて持ち出されればよく、極論すれば持ち込む/持ち出す主体がスパイである必要すらありませんでした。
Re: (スコア:0)
その時代別サイズ感に近い流れにいるのは無線などの特殊機能込みのモジュールや、
ワンチップ化に向かないアーキテクチャのMPU搭載モジュールの話ではないかなぁ……
既に出てしばらくになるけど、フラッシュ搭載ワンチップマイコンってだけなら米粒AVR(6ピンSOT23)とかもあるし、
1999年(20年前)以前でも、ホビーユースのマイコンで95年にはPIC流行始まってて、
99年にはフラッシュメモリ搭載済み。ワンチップマイコンだから小さくまとめるならすでに相当いけてる。
USBメモリのコントローラだってマルウェアに感染出来る程度には余裕のあるマイコンらしいし。
Re: (スコア:0)
「飼い主の分からない猫が数年前から居付いているが皆に人気なので特に問題視してない」
Re:一昔前はUSBメモリだったのに…。 (スコア:1)
それ、CIAのスパイ猫、アコースティックキティって奴ですね。
http://karapaia.com/archives/52235775.html [karapaia.com]
#「600万ドルの男」よりお高いとは...
Re: (スコア:0)
USBメモリは人任せ、有り体に言えば敵が勝手に嵌まってくれることをひたすら待つような手段だけど
今回のはスパイが物理的に中に入ったということかな?
訓練された外部の人間が忍び込んだのか、中の人がスパイに転向したのかはわからないけど
忍び込まれたのならもう何でもありな気がする
誰か教えてください (スコア:0)
勝手に取り付けたラズパイにグローバルIPが振られて(取付者が振ったのかは知らないけど)、そこ経由で保護エリアにアクセスが出来る状況だったという事なのでしょうか?
記事中に『新たに端末を接続する際はセキュリティデータベースに手動で登録することになっている』と書いてありますが、そのセキュリティデータベースとやらは単なるメモみたいなもんで、別に登録してあっても無くても構わないし、そのデータベースに載っていなくても内部にアクセス可能であったと。
もっと高度な話なのかも知れませんが、イメージが湧きません。どなたか教えてください。
Re:誰か教えてください (スコア:1)
ネットに転がってるアプリになんか変なもの仕込まれてたんじゃ。スピア型で狙われた可能性も。
文脈からはRasPiを踏み台にLANに侵入されたように読める。
外からは無理でも、内側からコネクション張られたらひとたまりもないもんね。
NASAだったら昔の大学みたいにグローバルアドレス大盤振る舞いしてるのかもしれないけど、
それだとRasPiはインターネット上にあるマシンと変わらないから、
それが原因で他の危機に影響が出るというのもなんか違う気がする。
Re: (スコア:0)
グローバルIPアドレスというかローカルIPアドレスで良い。
新たに接続する機器の登録って固定IPの登録表みたいのを人間が管理しているのだろうけど、パケットを監視して、使っていないセグメント内のアドレスを自動的に勝手に振られたら、ネットワークに接続できてしまう。って事だと思う。
インターネットへのルートがあることと外向けパケットの監視が甘いと装置を設置されただけでこれが起こる。
あと、ローカルネットワーク内で流れているパケットとかも特に暗号化されてないんじゃないかな?
Re: (スコア:0)
arpで登録済機器のMACか確認するアプライアンスありますが、そういうのではないですかね?
Re:誰か教えてください (スコア:1)
MACアドレスなんていくらでも書き換え可能ですよ
たとえば日中だけ電源ONで夜間はOFFになるような装置に対して
arpとかでMACアドレス調べれば
あとは夜間だけそのMACを自分に振るだけゴニョゴニョできます
Re: (スコア:0)
確かにMAC書き換えだけを見破るのは大変だが、OSの起動時など、本来のMACアドレスを使っている瞬間があったり、フィンガープリントやOSの挙動が突然変わったり、接続されている位置が動いたり、MAC以外にもいろいろ個性があるので、なりかわりを検出できないわけではない。ふつうそこまでやらないけど。
Re: (スコア:0)
元記事に
セキュリティデータベースに手動で登録することになっているが、更新機能がうまく動かないことがあり、そのまま登録を忘れることがあると語った
とあるから、普段から警告が出っぱなしで、誰も気にしてなかったかんじかな
Re: (スコア:0)
外部からLANには入り放題なんですかねぇ。
Re:誰か教えてください (スコア:1)
R2-D2が帝国軍の基地でやってるやつ
LAN内認証不要なんか (スコア:0)
644とかEVERYONE読み込み可な構築なんすかね
Webベースにしたって全ページ閲覧フリーなわけないし
来館一般向け部分にアクセスッテならわかるが
一体どんなポリシ設けてんだろう
Re: (スコア:0)
うちのLAN内は結構ゆるゆるだな。
アップデートもさぼってたり、ポートもガバガバだったりで脆弱性とか突かれたらヤバい気がする。
Re: (スコア:0)
リスク対策は発生確率や被害の大きさとのトレードオフだからね。
NASAなんていかにも狙われやすそうなんだからもっとしっかりしよろ、と。
LANケーブル接続を監視していないとだめなのか (スコア:0)
そういうアプリがあればいいのかな。
でもルータがsyslogなりで吐いてくれれば問題ない?そもそも対応してないといけないか。
しかもケーブルをミラーリングされてしまうと無理か。
企業の内側からは、やはり目視の確認しかないかもしれん。
掃除のおばちゃんにでも教え込むしかないのかなぁ。
Re: (スコア:0)
全機材をVPN通らないとサービス使えないようにしときゃいいんじゃねぇの
lanに外部の機材がつなぎ放題って前提で設計すりゃ多分なんとかなる
性能?知るかそんなの
Re: (スコア:0)
管理者が許可しない端末を弾くならMACアドレス認証使うとか、L2Blockerみたいなアプライアンス使うとか、ソリューションはいくつかある
Re: (スコア:0)
エンタープライズ版のセキュリティソフトスイートには、たいていLAN接続機器を検出する機能があるね。
セグメントを超えられないので、使い勝手はイマイチなのだが。
LAN接続機器は接続を隠すステルスな仕様になってない限り、しょっちゅうブロードキャスト吐いてるので監視は割と簡単。
でも勝手に繋いでるの見つけても、場所を特定するのがめんどくさすぎるという罠が。
本気で締め出したいならRADIUSとかで接続認証しないとだめっぽいね。
Re: (スコア:0)
802.1Xでググれ
文面から察するに (スコア:0)
データを読み取るために設置したのでしょうね、
スーパーハカー (スコア:0)
ラズパイで盗んだデータで世紀の大発見をする科学者の映画とかあったらいいのにな
シュタゲ?ああ、名前ぐらいなら・・
Re: (スコア:0)
で、ラズパイ持ってるだけで警察がやってくると