セキュリティウィーク07：Apple対FBI、グローバルglibcの脆弱性、暗号化ロッカー、医学

余分な就業日がある週は飽和状態でバランスが取れていました。 AppleとFBIおよび法務省に代表される米国政府機関との間の紛争を取り巻くイベントは発展を続けていますが、個人情報保護の観点からセキュリティ業界の発展に深刻な影響を与えることは明らかです。 この純粋に政治的な話とは異なり、glibcライブラリの重大な脆弱性は完全に技術的なニュースですが、直接的または間接的にすべての人に影響を与えます。



今週は、技術の発展に影響を与える機会、いわば、技術と人文科学の政治家の間で議論が激化したことを言いたいと思います。 前者は、ソフトウェアとハ​​ードウェアに1つまたは別の機能を実装する能力によって導かれ、後者は、さまざまな利害関係者と交渉する必要性によって導かれます。 実際、彼らはこれについて議論していません。 他の人が同意するかどうかに関係なく、テクノロジーは常に進化しています。 FBIとの紛争を公共の場に持ち込み、Appleはこのまさに技術開発の最前線にとどまるために戦っています。 言い換えれば、Appleが敗北し、会社のデバイスの実際の（または想像上の！）セキュリティが何らかの形で影響を受ける場合、これは兄が私たちすべてを追いかけるという意味ではありません。 これは、他の会社が「最も安全なスマートフォン」という碑文で条件付きペナントを傍受することを意味します。



ただし、これは仮説にすぎません。 暗号化されたデータのハッキングについて活発に議論している間、誰かが別のglibcの別の重要な穴を掘り、掘り下げると、セキュリティのトピックに関する他のすべてが一般的に無関係になる可能性があります。 両方のケースをより詳細に検討します。 すべてのダイジェストエディションはタグで入手できます。



Apple対FBI：iPhoneのブロック、テロリズム、1789年の法律

ニュース 。



2015年12月2日、カリフォルニア州サンバーナーディーノでテロ攻撃が発生しました。 パキスタン系のアメリカ人市民と共犯者は、彼の同僚を地区保健局から撃ちました。 攻撃者はなんとか逃げることができましたが、犯罪現場から3キロメートル離れた場所でブロックされました。 続く銃撃戦で、犯罪者は射殺されました。 調査中に、犯罪者の電話が発見されました。AppleiPhone 5cは、雇用主が公式に所有している企業のスマートフォンです。 おそらく、Appleは政府機関の要請で、クラウドサービスからのデータのバックアップコピーをiCloudで提供しました。 しかし、10月19日付のデータの古いコピーがクラウドにあり、その後、おそらく電話の所有者がバックアップ機能をオフにしました。



スマートフォンから完全にすべてのデータを取得するというFBIの意図は、Appleの裁判所命令（ソースは EFFをレイアウト ）で表明されました。 すなわち、（1）パスコードの入力を10回間違えた後に電話のデータを破壊する機能を無効にする（2）パスコードを電子的に入力する機能を提供する（3）入力の試行間の遅延を無効にする











言い換えれば、FBIは総当たりでパスコードを取得することを望み、Appleに選択を不可能にするすべての組み込み制限を回避することを要求します。 Intercept は 、このシナリオの成功はパスワードの長さに依存することに注意しています。4桁のピンコードでは数秒、7桁のピンコードでは7日、10桁のコードでは25年かかります。 しかし、これはAppleが従う場合ですが、これまでのところ会社はこれを望んでいません。 Apple CEOのTim Cookのクライアントへのアドレスで、同社は、調査に役立つ可能性のあるすべてのデータを州当局に転送したと述べました。 そして、彼は「バスティングプラン」をバックドアと正しく呼んでいました。











事実はそこで終わり、その後、激しい議論が始まりました。 しかし、私たちは技術と非常に遠い関係にある政治問題を扱っています.Appleの勝ち負けの可能性は、世論、法廷での弁護士の議論、メディアの利害関係者の声明などに影響された交渉から生じる可能性があります。 このような「議論」の主な（今日の）結果を質問と回答の形式で収集するのが最も簡単です。



米国法の観点からAppleの論理的根拠は何ですか？

非常に興味深い質問、ありがとう。 この要件は、すべての令状法として知られる1789年法に基づいています。 それは法律の一部であり、実際に米国の最初の大統領であるジョージ・ワシントンの署名後、米国の司法制度全体を作りました。 一般に、これは、200年以上後にAppleの本社が置かれ、前述のテロ攻撃が行われるカリフォルニアがスペインの植民地であり、米国の一部ではなかったカリフォルニアで当時起こりました。 すべてを完全に簡素化するために、この法律は、若いアメリカの州の不完全な立法制度に抜け穴を残しました。それは、すでに通過した法律を参照せずに必要な決定を下す自由を裁判所に与えました。



この物語の立法部分の詳細なレビューで、ギズモードはこの行為を使用して法学を引用しています。 現在、法律に問題がない場合、すべての令状法は頻繁に使用されず、定期的に使用されます。 たとえば、1977年に、通信会社が、不正行為に従事している犯罪集団の交渉の追跡を支援するように命じられました。 つまり、スマートフォンをハッキングするためのルールがどこにも記載されていないため、古代の法律が適用されていることがわかります。 米国議会がこの慣行を整頓することを気にしなかった場合、裁判所はこれらのショートカットを使用する必要があります。 Gizmodoの資料は、裁判官がこの行為の適用を拒否し、公正な質問を投げかけたまれなケースも引用しています（ただし、別の事件や別の問題において）。



FBIがAppleにiPhoneを独力でやるのではなくクラックするように要求するのはなぜですか？

明らかに、連邦政府自身はこれを行うことができません。 全体の状況は、アップルが導入した情報保護方法が機能していることを示唆しています。 昨日浮上した別のニュアンスがあります。 Apple は、前例のない状況で記者との電話会議を開催しました 。 会社の代表者は問題に対する彼らのビジョンを共有しましたが、ジャーナリストは彼らを逐語的に引用することを禁じられていました！ また、会社の代表者の名前さえも明らかにされていません。 匿名のAppleの従業員によると、FBIは自分の足を撃ち、スマートフォンが接続されたiCloudアカウントのパスワードを誤ってリセットしました。 これが起こらなかった場合、電話は、電源が入っていてもロックされていれば、iCloudと同期し、会社からデータを取得できると思われます。 リセット後、この機会は失われました。電話のパスワードが間違っており、 どちらが正しいのか 、誰も知らず、見つけることができません。



当事者の立場は何ですか？

Appleは2月16日にその立場を発表しました。提案されたソリューションはバックドアを作成することと同等であり、これはすべての顧客を危険にさらします。 さらに、声明は公共の場で行われました。 州の代表者は2月19日に応答し、公にではなく、この場合の裁判所への声明の形で応答した。 法務省の代表者によると、Appleはパスワード推測システムを実装する技術的能力を持っていますが、従うことを望まず、法律ではなく「マーケティング戦略」を優先します。 この場合の「従おうとしない」ことは、法廷で直接的な法的結果をもたらす可能性があり、脅威のように聞こえます。











Appleは保護システムを回避できますか？

不明 ティムクックの声明には、この質問に対する明確な答えが含まれていません。「危険です」、「持っていないものを尋ねる」などです。 Appleは、iPhone用のソフトウェアとハ​​ードウェアの両方の開発者として、多くのことができることは明らかです。 主な質問は、会社が従うかどうかです。



Appleの反対者によると、特に危険はありません。 裁判所の声明は、会社がこの汚いハックを単一の電話に添付できることを明示的に述べており、さらに、パスワード推測用に作成されたソフトウェアを州に転送する義務はありません。 一方、Appleがそのようなシナリオを実装できたという知識でさえ、国家または攻撃者が理論的に独自のバックドアを作成できるようにする可能性があります。 当然、Appleのスマートフォンのセキュリティに対する認識は、会社が従うと苦しみます。 誰もがそのことを知っています。その場合、状態はデータに到達します。



だから物語は本当に重要です。 これは、犯罪やテロ行為などの調査を含め、個人データの保護と国家の利益とのバランスがどこにあるかについての一般的な議論を背景に行われます。 昨年12月からの示唆的なニュースは次のとおりです。FBIは、特別な訓練を受けた人だけが裁判所の命令でアクセスできる場合、暗号化システムへのバックドアは正常であると主張します。 もちろん、データ保護の専門家は同意しません。誰でもバックドアを使用できます。 この文脈でのAppleとFBIの間の論争はその一例になります。その結果は、私たち全員が使用するデバイスのセキュリティに深刻な影響を与える可能性があります。 ポップコーンを買いだめしています。



Appleを失っても、強力な暗号化が利用できなくなる、または禁止されるわけではありません。 それは単に一般的ではなくなり、データ保護技術のさらなる発展において、アップル、グーグル、フェイスブック、ツイッター（紛争でサポートされた最後の3つのアップル）などの企業はより小さな役割を果たします。 そしてもちろん、彼らはこれを避けたいと思っています。



Cherry on a cake：ジョンマカフィーは、「主にソーシャルエンジニアリング手法」を使用して、3週間でiPhoneを無料でクラックすることを志願しました 。 インターネットは、マカフィーが3か月前に撃ち殺された電話の所有者にソーシャルエンジニアリングの手法をどのように正確に適用するのか疑問に思っています。



glibcに重大な脆弱性が見つかりました

ニュース 。



2008年にリリースされた2.9以降のすべてのバージョンに影響を与える重大な脆弱性がGNU Cライブラリ（glibc）で発見されました。 getaddrinfo（）関数は、DNSサーバーへのクエリを担当しました。 問題は、サーバーからの応答に任意のコードを追加し、バッファオーバーフローを引き起こした後、被害者のシステムでそれを実行できることです。 この脆弱性は、Googleの研究者によって発見されました。偶然、特定のサーバーにアクセスする際にセグメンテーションフォールトでSSHクライアントが絶えずクラッシュすることに注意が向けられました。 つまり、この脆弱性を使用して攻撃を行うには、DNSサーバーを特定の方法で構成し、何らかの方法で被害者に要求を行わせる必要があります。 これはそれほど難しくはありません。たとえば、中間者攻撃の過程で、正当なDNSサーバーの代わりにクエリパスで偽物であることが判明した場合に実装できます。



任意のコードを実行するのがどれほど簡単かについては、意見が異なります。 ASLRなどのセキュリティテクノロジーはこれに干渉する可能性がありますが、すべてのデバイスで機能する必要はありません。たとえば、従来の最小限のLinux環境を持つルーターでは、必要なすべての保護が利用できない場合があります。 Red Hatの従業員による脆弱性の詳細な説明は、任意のコードを実行するための現実的なスクリプトが存在することを示しています。











この脆弱性の深刻度は、glibcがどこでも使用されていることにあります。 このツイートを例として引用するしかありません。











標準関数のライブラリは、Linuxの膨大な数のプログラムとパッケージの依存関係です。 したがって、どのプログラムとこの脆弱性の影響を実際に評価することは困難です。 たとえば、Android（システム自体）は影響を受けません。これは、glibcの代わりにGoogleが開発したBionicの代替手段を使用するためです。 これは、すべてのネイティブAndroidアプリケーションが影響を受けないという意味ではありません。 GHOSTとして知られる以前の重大なglibcの脆弱性は同じ問題を引き起こしましたが、実際にリモートで悪用される機会はほとんどありませんでした。 結果：膨大な量のソフトウェアとハ​​ードウェアの開発者と管理者にとって多くの問題。 GoogleとRed Hatの研究者が互いに独立してバグを発見したことは注目に値します。 さらに、2015年7月にglibcのメンテナーがこの問題について学んだことが判明しました。 問題がそれほど長い間閉じられなかった理由、および脆弱性が出現したことが判明した理由は明らかではありません。 しかし、Appleの歴史とは異なり、ここで議論することは何もありません。まず、パッチを展開する必要があります。 ソフトウェアおよびハードウェアの最も予期しない場所にある多くのパッチ。



クリプトロッカーの攻撃後、ハリウッド病院は身代金を支払った

ニュース 。



まあ、まず第一に、普通のマルウェアの世界からの物語。 悲しいかな、トロイの木馬の暗号化業界は何百万もの損失をもたらしますが、通常のユーザーはそのようなサイバー離婚の典型的な犠牲者になります。 企業が攻撃されると、すべてがより複雑になります。 この場合、被害者はハリウッドの病院（同じ病院）でした。 どうやら、攻撃者はすべてまたはほとんどすべてのデータを暗号化できた後、病院管理者に記録的な身代金として300万ドル（正確には340万または9000ビットコイン）を要求しました。 または、彼らはそれを要求しませんでした-場所からのメッセージは矛盾しており、組織の公式声明はそのような膨大な量を要求するという事実に反論します。











それにも関わらず、詐欺師は身代金を受け取ったが、それよりも小さなもの-17000ドル。 病院は、これが病院のITシステムを迅速に復元する唯一の方法であると述べました。 悲しいことに、まず第一に、暗号作成者による攻撃を避けるべきであることは明らかです。 そして、それが起こった場合-損傷が1つのシステムのデータに限定されることを確認してください（すべてのネットワークフォルダーに同時にではありません）。 攻撃を受けた組織の詳細のため、このニュースは大きな注目を集めました。健康に関する最も機密性の高いデータを漏らしたい人はいません。 一方、病院のコンピュータネットワークは、通常のトロイの木馬に対して脆弱であり、それほど脆弱ではありません。 Security Analyst Summitカンファレンスで、私たちの専門家であるSergey Lozhkinがこれについて話しました。かなりシンプルなツールで、たとえばMRIソフトウェアなど、インターネットから入手できる脆弱な特殊ソフトウェアを検出することができました。



古物：

タイプブート



Brainメソッドを使用した危険なウイルスは、ハードディスクドライブとフロッピーディスクからの読み取り時にブートセクタに感染します。 ディスクは標準的な方法で配置されます。 8086プロセッサでのみ実行されるコマンド 'MOV CS、AX'（セグメント間JMP）が含まれているため、IBM PC / XTコンピューターでのみ動作し、int 13h、17hをフックします。 プリンターに表示される文字を置き換えます。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 103ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。