Mar 27, 2012

Lotus Notes 8.5 で Gmail POP3S接続

はまりかけたが、このサイト「Configuring Gmail POP on Lotus Notes」で救われた。感謝と敬意を表して、日本語意訳とコメントを付記します。私のノーツは英語表記ですので、その日本語訳が変かも。ご注意ください。

1.POP専用のノーツDBを作成
 訳注: GmailをWebメールとしてのみ使用している場合、
 すでに多数のメールがサーバに溜まっているわけで、
 ノーツの通常のメールとは別にしておくと良いかも。

2.ノーツのローカルアドレス帳で、Gmail専用の受信用、送信用の二つのアカウントを作成
 名前は任意でよい。この二つのアカウントの設定が重要。内容は以下の通り。

2-1. Gmail受信用のアカウント
 a. アカウント名 = 適当でよい
 b. アカウントサーバ = pop.gmail.com
 c. ログイン名 = Gmail email address 例、taro@gmail.com
 d. パスワード
 e. プロトコル = POP (SSL Enabled)
 f. 専用ロケーション = 特に何でもかまわないが、Domionoとは別に
  専用ロケーションを作っておくと、無駄なトラフィックを発生しない利点も。

2-2. プロトコル設定タブ 
 特に何でも良い

2-3. 詳細タブ ... 最重要
 a. ポート番号 995
 b. SSLサイト証明書を受け入れる = はい 
  多くの記事で「いいえ」を選ぶように、と説明されているが、
  「はい」で良い、とのこと。本当にその通りでした。
 c. 有効期限切れのSSL証明書を受け入れる = はい
 d. 要求されたらSSL証明書を送信する = いいえ
 e. アカウントサーバ名をリモートサーバの証明書と照合する = 無効
 f. SSLプロトコルバージョン = V3.0 with V2.0 handshake

3.保存をクリックし、保存してからExitする。
 ここまでだけでも、受信に成功した。

------------------------------------------------------
訳注: ここまでで、受信だけ試すには、、、

一度ノーツを終了してから起動すると確実。
「複製と同期」アイコンをクリックし、
一覧から、「インターネットメールを受信」をクリックし、
「アクション」、「選択アプリケーションの複製」をクリック。

------------------------------------------------------
さて、インターネットメールの取込日時が、受信日時として表示される件

Configuring Notes as a POP3 e-mail client for receipt time and date
http://www-01.ibm.com/support/docview.wss?uid=swg21224219
に解決策が提示されている。

それによると、DeliveredDate は、メッセージが物理的にメールファイルに取り込まれた日時なのだ、とか。

受信ボックスのDate/Timeカラムについて
・デフォルト
 @If(DeliveredDate != ""; DeliveredDate; PostedDate != ""; PostedDate;
@Created)
・訂正
 @If(PostedDate != ""; PostedDate; DeliveredDate != ""; DeliveredDate;
@Created)

とすれば、PostedDateが受信日として扱われる。
ただし、熟考すべき、とのこと。

------------------------------------------------------
送信設定が必要だが、私は試していません。

受信との主な違いは、以下の通りで、突破可能と思われます。
・Account server name: smtp.gmail.com
・Port Number: 587 or 465 (Both are SSL port and both work)

さらに、ざっくり要約すると、、、
この後、適宜、以下実施
4.専用のロケーション文書を作成する
5.以下、ロケーション文書作成の具体例

ローカルアドレス帳で、新規→ロケーション

5-1. 基本タブで
 a. ロケーションタイプ = ローカルエリアネットワーク
 b. ロケーション名 = 何でもよい(i.e. Gmail)
 c. インターネットメールアドレス = Gmailのアドレス
 残りの項目はデフォルトのまま。

5-2. サーバタブで、
 a. ホーム/メールサーバ = pop.gmail.com
 残りの項目はデフォルトのまま。

5-3. ポートタブ、そのまま
 ※ tcpipはチェックが入っていること。

5-4. メールタブ
 a. メールファイルロケーション = ローカル
 b. メールファイル = My_Gmail.nsf (手順1の通りに)
 c.インターネットに直接接続する場合のノーツアドレス用インターネットドメイン = gmail.com
 d. 送信メール = 直接インターネットに
 残りはデフォルトのまま

6.残りのタブは そのままで良い
 保存をクリックして、文書を作成保存する。
 新ロケーションにchangeする。Gmail設定がメールファイルにダウンロードされているのが見える。

以上

Mar 19, 2012

Wi-Fiの盗聴にご用心

スマートフォン購入をきっかけにWi-Fi機器を導入する方も多いだろう。Wi-Fiは有線に比べて目に見えない所に色々気をつけるべき。最近のWi-Fi APの急激な増加に伴い、セキュリティ対策の見直しも必要では? 以下、アタッカー視点での攻撃シナリオと、現状分析、対抗策を考えてみた。

------------------------------------------------------------------
■攻撃シナリオ
 (a)盗聴ツールで、アカウント情報を奪取
  firesheepというツールで、本人になりすまして悪事を尽くす
  例、銀行アカウントを悪用。Social Networkに書き込み、等

 (b)偽のAPによる個人情報奪取 or 不正プログラムインストール
  攻撃用dnsにより、攻撃用サイトに誘導

 (c)ターゲットのMACアドレスを取得
   広告サイトや検索エンジンに、アクセスし、
   ターゲットの嗜好をさらに深く調査・分析。

------------------------------------------------------------------
■前述firesheepを使ってみた

 (1)まずダムハブ下で、雰囲気を試してみた。
  ・2012.3月現在で、全てのコンテンツがHTTPS化されている
   FaceBookや、Twitterに対しては、リスクは低そう。
   (以前は、認証を終えればHTTPだったので、
    個人情報筒抜けだったと思われる)
  ・New York Timesは成りすまし可能。
  ・Yahoo.comは危うい所が残っていそう。


  ・Yahoo.comは、メール履歴のプルダウンを、HTTPS化すべき。
   でないと、メールのタイトルや送信者くらいなら、
   容易に奪取される恐れあり。


  ・プルダウンメニューから適当なメールをクリック。
   さすがにHTTPS化されている、メールの内容までは搾取できず
   HTTPSでのログインを求められた。








  ・Gmailは完全にHTTPS化されており、
   メール内容を盗聴される訳ではないようだ。


  ・今度は、手元のWi-Fiルータ(Buffalo製)でFireSheepを使ってみた。
   どうやら、最近のWi-Fiルータは対策済みで、
   接続ユーザの情報が駄々漏れという訳では無さそう。






  ・手元でパスワード不要な偽の(SSID共通の)Wi-Fi APを設定してみた。
   PCの場合は、すでに正規APのプロファイル登録済みなら、
   パスワード不要な偽APを「おっ、いつものSSID」とクリックしても
   認証エラーになった。   



 
※ 備考
  今回テストしたのは、firesheepで盗聴、なりすましが可能とされるサイトのごく一部。
HTTPセッションハイジャックを実行できるFiresheep登場」(マイナビニュース 2010/10/26)によると、盗聴、成りすまし可能サイトは次の通り。
    Amazon.com
    Basecamp
    bit.ly
    Cisco
    CNET
    Dropbox
    Enom
    Evernote
    Facebook
    Flickr
    Foursquare
    GitHub
    Google
    Gowalla
    Hacker News
    Harvest
    Windows Live
    New York Times
    Pivotal Tracker
    ToorCon: San Diego
    Slicehost SliceManager
    tumblr.com
    Twitter
    Wordpress
    Yahoo
    Yelp
しかも「今後のバージョンアップで対応するサイトが増える可能性もある」との事。
------------------------------------------------------------------
■盗聴Tool
 Windows: Firesheep
  http://codebutler.github.com/firesheep/
 Mac: Cocoa Packet Analyzer
  PoC(概念実証)のデモ
    http://www.youtube.com/watch?v=EgnKALSgy5Y

■Toolの機能
  ・パケット解析≒盗聴
     HTTPのみ可
     HTTPS盗聴は不可

  ・成りすまし
     セッションハイジャック。
     本人がログアウトしたら、セッションを閉じるように設計・管理されている
     サーバでは、ログアウト以降の成りすましは不可と思われる。

  ・参考
     http://www.security.gs/magazine/security/2010/11/20/story_3232/

■使用の前提環境(推定)
  ・有線&ダムハブ環境化や、
  ・Wi-Fiフリースポット (L2で、ダムハブに接続しているのと同レベルの管理
   状態)。

  ・以前話題になった「 WEP解読
     http://webdirector.livedoor.biz/archives/51758864.html
     http://gigazine.net/news/20081013_wep_morii/
  」とは別物で特にそんなことはやっていないと思います。

------------------------------------------------------------------------
■対策
 ・古いWi-Fi AP(Wi-Fi親機)は使わない。
  今回、評価したAPは、情報を漏らさない対策済み、と思われる。
  古いWi-Fi APは、接続した機器の情報を漏らしているかも。

 ・Wi-Fi APのSSID、パスワード(鍵)の設定見直し
  ググって、所属組織やメーカが如実に分からない、長いものに。
  SSIDはステルス設定して、攻撃者から隠蔽する。
 ・信頼できないWi-Fiフリースポットは使わない。
  特に、暗号化・パスワードの無いAPには接続しない。
  キャリアを騙る鍵マークの無いAPに出くわしたら
  詐欺専用APと思って良いかも。

  ・エンドツーエンドの暗号化を徹底する。
  ○スマートフォンでWi-FIを使う場合、
   一旦、自宅or勤務先のVPNに接続し、
   そのVPN経由でWebアクセスする。

     そうしたVPNに接続した上で、外部に接続すれば
   通信の安全性はずっと良くなる。

  ○HTTPSを使う。
   HTTPSを強制するオプションやアドオンを活用する。
        (執筆段階の2011年に HTTPSを使わないサイトも少なくなかった。
     現在、TwitterやFaceBookはコンテンツ配信も常時HTTPSの模様)、

  ※ HTTPSなら盗聴に強いかというと疑問符が付く。
   iFilterなるセキュリティソリューションのオプションではHTTPSをデコードしている。
   また攻撃用ルータで透過型Proxyを使われればURL位は筒抜けである。
   その場合はアクセス先のサーバでセッション管理にURLを用いていないことが重要。

  ・参考
     http://jp.techcrunch.com/archives/20101025firesheep/

■その他
  ・Firesheepを検知&邪魔するツール
    (一定の効果はあるものの、これだけでは防ぎきれないらしい)
     BlackSheep
     FireShepherd

  ・参考
     http://www.security.gs/magazine/security/2010/11/20/story_3232/

  ・似たようなMacの盗聴ツール
     Cocoa Packet Analyzer
        http://d.hatena.ne.jp/paraches/20101118
     このページの挿絵・説明が、この手のツールの説明として、
  分かりやすいです。

■その他の その他
  ・iPhoneの盗聴ツール登場
     http://www.itmedia.co.jp/news/articles/0812/19/news026.html
  ・無線LANのセキュリティ対策
     http://www.geocities.jp/hibiyank/mobile/sekyu/seku004.htm

//