パスワードを忘れた? アカウント作成
15224142 story
Windows

1bitずらしたドメインを取得してトラフィックを盗み見る方法 124

ストーリー by nagazou
なるほど 部門より

PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという(remy氏のサイト)。

その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、

その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。

同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • どうも何かの通販と似た番号を取得してしまったらしく、
    間違ってかかってくる電話とか注文FAXとか
    弊社は海産物もパンも掃除機もやってませんからー
    今TVでやってるやつって言うと値引きなんですか?
    はやる気持ちはわかるけれど、落ち着いてかけてくださいね。

  • 14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。

    1アドレス1日当たりで約23回。
    プロキシの下に膨大なクライアントが居るとか、プロキシ自体が間違えたのをキャッシュしてるとかじゃないのか?

  • by hinatan (24342) on 2021年03月08日 18時08分 (#3990572) 日記

    使うから https については関係がないという認識。
    実験としては興味深いが、これで何かアクションを起こすようなものはあるでしょうか。

    >今回観測できたアクセスには文字入力ミスによるものも含まれており、
    >その多さにも驚いたという。
    って、ちゃんと書いてあった。

    • by Anonymous Coward on 2021年03月08日 18時20分 (#3990582)

      証明書をチェックする人はほとんどいないから問題になるという認識。

      親コメント
    • by Anonymous Coward

      その辺面倒だからNTPで実験したというのはあるだろうけど、じゃあ証明書のCN確認したり、証明書のピン留めしてんのか? と言われればしてないでしょ実際
      理論上はHTTPSでも有効だと思うよ

      • by Anonymous Coward

        それだと、理論上でなくて事実上だな

    • by Anonymous Coward

      「証明書を使うからhttpsについては関係がない」ってのが、証明書では防げないって意味ならあってるがそういう文脈には読めんな
      私には、証明書があるから大丈夫、と思ってる様に読める

      • by Anonymous Coward

        whndows.comの証明書取って突っ込んどけは、何の問題もなくアクセスできるしね。
        クロスサイトの制限に引っかかってブラウザで弾かれることのほうが多い気がする。

      • by Anonymous Coward

        これはビット化けを狙った話やろ
        ビット化けがそう都合よく起こるか?
        証明書やり取りしてたらエラーになると思うからhttps、っていうかtcpの時点でもう無理(ある意味大丈夫)でしょ
        NTPパケットがUDPだからできるんであって

        もちろんtypoの場合は別だけど

        • by Anonymous Coward

          UDPでもチェックサムで弾かれると思うんだけど、チェックサムも偶然合ってしまうってこと?

        • by Anonymous Coward

          これはネットワークに流れる前にPC内のメモリエラーで誤った内容で正常なパケットが作成されるパターンですね。
          TCP,UDP どちらもチェックサムがあるので、1ビット誤りなら破棄されるので。

          過去には JVM のような仮想マシンのセキュリティを突破する方法としてメモリのソフトエラーを
          利用するという研究がされていて、実際に現象が起きています。
          https://www.cs.princeton.edu/~appel/papers/memerr.pdf [princeton.edu]

        • by Anonymous Coward

          ビット化けはビット化けでもメモリ上の参照先がwhndows.comになるって話
          実質的に単にwhndows.comにアクセスしてんだから証明書のエラーもTCPのエラーも起こらん

    • by Anonymous Coward

      >>今回観測できたアクセスには文字入力ミスによるもの含まれており、
      >>その多さにも驚いたという。
      >って、ちゃんと書いてあった。

      > ビット反転の影響を受けたトラフィックをもっとも多く観測した

      全体をちゃんと読んでな

    • by Anonymous Coward

      どのタイミングで壊れるかに依るな。

      ・DNSリゾルバ内でbitflip→不正なウェブサイトととしてブラウザに蹴られる
      ・ブラウザ内でbitflip→ブラウザ内のどのタイミングで起こったかにも依るけど正常なアクセスとして通る場合もありそう
      ・ブラウザに渡す前に壊れ→ブラウザは単なるそこへのアクセスとして扱う。そのドメインに対する正しい証明書まで用意されてたら正常なアクセスと見なされる

      アップデートの自動更新機能が付いているようなアプリだと、
      内蔵ライブラリなりOS標準のコンポーネントに付いてるAPIなりでhttps経由でアップデートをダ

    • by Anonymous Coward

      DNSやNTPは今のところセキュアではないので。DoHなどが普及すればまた違うのかもしれんが
      それにネットワーク層へ到達する前にメモリ上で化けたらどうにもならん

  • by Anonymous Coward on 2021年03月08日 18時33分 (#3990589)

    一般のPC・スマホ・タブレットがECC使うようになれば、ビット化け被害はなくなるのでは?
    入力ミスはなくならないだろうが

    とくにメモリOCしたりアクセスタイミング切り詰めたりするデスクトップPCは、とくにECCが重要
    ノートPCやスマホでは、低消費電力化のために電圧下げてるので、これも信頼性低下の原因

    • by Anonymous Coward

      メインのメモリだけECCをつけても、ネットワークアダプタでビット化けしたら意味ないのでは?

      • by Anonymous Coward

        ネットワークアダプターなら、チェックサムで弾かれる事も有るかと

        • by Anonymous Coward

          スイッチの特定のポートを通すとNASに置いたファイルの特定位置のビットが数GBに1回程度化けるというのはあった
          スイッチだけではなくて複合原因だとは思うけど

        • by Anonymous Coward

          送信チェックサムオフロード直前、または
          受信チェックサムオフロード直後の段階でビット化けしたら弾かれない。
          セグメントオフロードが関わると、もっと複雑にパケット化けが発生する。

      • by Anonymous Coward

        CPU内キャッシュのECCも問題。
        i7/i9などの上位モノはECCを無効にして性能を上げているという疑惑もあるし。

  • by Anonymous Coward on 2021年03月08日 19時07分 (#3990620)

    「ドメイン名は手で入力しない・させない」を基本動作として徹底するべきだね
    本当油断ならない

    • by Anonymous Coward

      打ち間違いだと思ってるなら読み間違い

      • by Anonymous Coward

        ウチ、間違ってたわ

      • by Anonymous Coward

        まあでもタイトルとこの本文だけ読んでも
        ただのフィッシングに大仰な名前つけたようにしか見えんしな

        ソース読めならともかく、読み間違いと言い切れないところがnagaz

        • by Anonymous Coward

          打ち間違いなら1bitが1byteでも大差ないんだから、むしろタイトルからはビット反転の話としか思えないんだけど。

  • WIPOで訴えて強制的に移転しても、数年後にドメイン期限切れで再び詐欺師の手元に戻るのを繰り返してるとかいうね
    ドメイン利権構造が一番の問題

    同一の社名や人名を国際的に禁止して、nicとかを除いた全てのドメイン名部分を安い額で一括予約できるようにするべき。
    .comと.netで別組織がサイト運営してるとか、どう考えてもおかしい。

    • by Anonymous Coward

      .comと.netで別組織がサイト運営してるとか、どう考えてもおかしい。

      全部1つの組織に纏めると、その組織がNoと言ったらインターネットユーザーは逆らえない、みたいなことが起きるんだけど。
      そっちの方がどう考えても弊害が大きくておかしくね?

    • by Anonymous Coward
      typoならまだしも、amazon-jp.com みたいなURLのspamが来るぐらいだから、
      一定数が釣れてると考えると、ろくにドメインなんて見られてないんだと思う。
  • 「windows.comのアドレスは何?」「whndows.comはxxx.xxx.xxx.xxxだよ」「windows.comのアドレスはxxx.xxx.xxx.xxxか」ってなっちゃってるの?
    それとも、レスポンス内に何てドメインのアドレスかって情報は含まれてないんだっけ?

    • by Anonymous Coward

      「windows.comのアドレスは何?」と聞いたつもりが「whndows.comのアドレスは何?」と聞いてしまってたって話だよ。

    • by Anonymous Coward

      windows.comを君がクリックorシステムが参照(メモリ上にドメイン名を保持)
      宇宙線ビビビ
      まさにその時orクライアントTTL切れのタイミングなどでアクセスする所がそもそもwhndows.comに変わってる
      なので、問い合わせの段階で「whndows.comのアドレスは何?」って聞いちゃってる

  • by Anonymous Coward on 2021年03月08日 20時23分 (#3990662)

    昔はパソコンのメモリ不具合が多くて定期的に Memtest86 するのが常識だったのだが、最近のZ世代の若者は Memtest86 をしないばかりか、Memtest86 の存在すら知らない人が大半らしい。
    このストーリーでもビット反転の意味を理解していないの書き込みが目立つ。
    ビット反転とは、メモリ上の 1 もしくは 0 のビットが入れ替わってしまう、つまり 0 が 1 として扱われたり 1 が 0 として扱われたりしたり、特定のビットが不具合で常に 0 もしくは 常に 1 となるといった不具合。

    こういった不具合は Memtest86 をすれば発見できる。
    (ただし、温度が高いときしか再現しない場合もあるので、暖房をして Memtest86 を何周もループさせるといったケースでしか発生しない場合もある)

    新しいパソコンを買ったり組み立てたりメモリーを追加したりしたら、とにかく必ず Memtest86 をやって、エラーが出たら不良として返品すること。
    その後も、定期的に(1か月に1回は)Memtest86 をやって、エラーが出ないか確認しよう。

    • by Anonymous Coward on 2021年03月08日 21時34分 (#3990713)

      >昔は(以下略)
      若者よ、この最初の一言が全てを物語っている
      定期的なんか時間の無駄だからやらんで良いぞ

      親コメント
    • by Anonymous Coward

      常時Memtest回してるだけのPCならともかく、正常なメモリでも普通に使ってるうときに宇宙線の影響でビット反転したらどうしようもないだろ

      • by Anonymous Coward

        じゃあPCがなった時代に戻ることですね
        あ、電話もダメなので、170年前の生活にみんなで戻りましょう

        • by Anonymous Coward

          お前だけ勝手に戻れば?
          現代にはECCメモリってもんがあるのよ

        • by Anonymous Coward

          何食ってたらそんな意味も無い上につまらないコメント思いつくの?

    • by Anonymous Coward

      Windowsメモリ診断使ってるだけだったりして

    • by Anonymous Coward

      PC組み立てた時にはもちろんやるけど、そのあとは疑わしい時しかやらないなぁ

    • by Anonymous Coward

      Memtest86は全然関係が無い。
      宇宙線由来のソフトエラーなので、ランダムで発生するエラーの話。
      DRAMのソフトエラーを回避するには、Memtest86でのテストではなくECCが必要。

      Memtest86でチェックできるのは、メモリーの製造不良やアクセスタイミングマージン不足といったシステムの安定性だけ。
      ソフトエラーはMemtest86の普通のテスト量では検出できない。
      #大規模なシステムで何週間も評価すれば観測できなくはない。

    • by Anonymous Coward

      同じことを会社にも言われたが、定期チェックはちょっと・・・
      なので、CeleronG + ECCメモリのパソコン買ってもらった。

    • by Anonymous Coward

      ビット反転はメモリ上のみで起こりうるものじゃないからMemtestやっとけば大丈夫なわけではぜんぜんないけどな

  • by Anonymous Coward on 2021年03月08日 20時50分 (#3990685)

    アクセス数の多いドメインに関しては有効なのかもしれませんが、本当に桁外れにアクセス数が多いところじゃないと有意な情報取れないような。
    time.windows.com と比べられるようなアクセス数のデータで、sslなしに生で重要なデータを送るとも思えないし。

    • by Anonymous Coward

      DNSキャッシュポイズニングに使えるかな?
      ビット化けという意味では、隣接IPアドレスやポートにゴミが来るかも気になる。

    • by Anonymous Coward

      例えSSLでも関係ない話だぞ
      お前のPCのメモリがイカれてwhidows.comじゃなくて単にwhndows.comにアクセスしてるんだから
      証明書はwhndows.comからwhndows.com用のを持ってくるだけ
      whndows.comへのアクセスと論理的な差がない

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...