------------------------------------------------------------------
■攻撃シナリオ
(a)盗聴ツールで、アカウント情報を奪取
firesheepというツールで、本人になりすまして悪事を尽くす
例、銀行アカウントを悪用。Social Networkに書き込み、等
(b)偽のAPによる個人情報奪取 or 不正プログラムインストール
攻撃用dnsにより、攻撃用サイトに誘導
(c)ターゲットのMACアドレスを取得
広告サイトや検索エンジンに、アクセスし、
ターゲットの嗜好をさらに深く調査・分析。
------------------------------------------------------------------
■前述firesheepを使ってみた
(1)まずダムハブ下で、雰囲気を試してみた。
・2012.3月現在で、全てのコンテンツがHTTPS化されている
FaceBookや、Twitterに対しては、リスクは低そう。
(以前は、認証を終えればHTTPだったので、
個人情報筒抜けだったと思われる)
・New York Timesは成りすまし可能。
・Yahoo.comは危うい所が残っていそう。
・Yahoo.comは、メール履歴のプルダウンを、HTTPS化すべき。
でないと、メールのタイトルや送信者くらいなら、
容易に奪取される恐れあり。
・プルダウンメニューから適当なメールをクリック。
さすがにHTTPS化されている、メールの内容までは搾取できず
HTTPSでのログインを求められた。
・Gmailは完全にHTTPS化されており、
メール内容を盗聴される訳ではないようだ。
どうやら、最近のWi-Fiルータは対策済みで、
接続ユーザの情報が駄々漏れという訳では無さそう。
・手元でパスワード不要な偽の(SSID共通の)Wi-Fi APを設定してみた。
PCの場合は、すでに正規APのプロファイル登録済みなら、
パスワード不要な偽APを「おっ、いつものSSID」とクリックしても
認証エラーになった。
※ 備考
今回テストしたのは、firesheepで盗聴、なりすましが可能とされるサイトのごく一部。
「HTTPセッションハイジャックを実行できるFiresheep登場」(マイナビニュース 2010/10/26)によると、盗聴、成りすまし可能サイトは次の通り。
Amazon.com
Basecampbit.ly
Cisco
CNET
Dropbox
Enom
Evernote
Flickr
Foursquare
GitHub
Gowalla
Hacker News
Harvest
Windows Live
New York Times
Pivotal Tracker
ToorCon: San Diego
Slicehost SliceManager
tumblr.com
Wordpress
Yahoo
Yelp
しかも「今後のバージョンアップで対応するサイトが増える可能性もある」との事。
------------------------------------------------------------------
■盗聴ToolWindows: Firesheep
http://codebutler.github.com/
Mac: Cocoa Packet Analyzer
PoC(概念実証)のデモ
http://www.youtube.com/watch?
■Toolの機能
・パケット解析≒盗聴
HTTPのみ可
HTTPS盗聴は不可
・成りすまし
セッションハイジャック。
本人がログアウトしたら、セッションを閉じるように設計・
サーバでは、ログアウト以降の成りすましは不可と思われる。
・参考
http://www.security.gs/
■使用の前提環境(推定)
・有線&ダムハブ環境化や、
・Wi-Fiフリースポット (L2で、ダムハブに接続しているのと同レベルの管理
状態)。
・以前話題になった「 WEP解読
http://webdirector.livedoor.
http://gigazine.net/news/
」とは別物で特にそんなことはやっていないと思います。
------------------------------------------------------------------------
■対策
・古いWi-Fi AP(Wi-Fi親機)は使わない。
今回、評価したAPは、情報を漏らさない対策済み、と思われる。
古いWi-Fi APは、接続した機器の情報を漏らしているかも。
・Wi-Fi APのSSID、パスワード(鍵)の設定見直し
ググって、所属組織やメーカが如実に分からない、長いものに。
SSIDはステルス設定して、攻撃者から隠蔽する。
・信頼できないWi-Fiフリースポットは使わない。
特に、暗号化・パスワードの無いAPには接続しない。
キャリアを騙る鍵マークの無いAPに出くわしたら
詐欺専用APと思って良いかも。
○スマートフォンでWi-FIを使う場合、
一旦、自宅or勤務先のVPNに接続し、
そのVPN経由でWebアクセスする。
そうしたVPNに接続した上で、外部に接続すれば
通信の安全性はずっと良くなる。
○HTTPSを使う。
HTTPSを強制するオプションやアドオンを活用する。
(執筆段階の2011年に HTTPSを使わないサイトも少なくなかった。
現在、TwitterやFaceBookはコンテンツ配信も常時HTTPSの模様)、
※ HTTPSなら盗聴に強いかというと疑問符が付く。
iFilterなるセキュリティソリューションのオプションではHTTPSをデコードしている。
また攻撃用ルータで透過型Proxyを使われればURL位は筒抜けである。
その場合はアクセス先のサーバでセッション管理にURLを用いていないことが重要。
・参考
http://jp.techcrunch.com/
■その他
・Firesheepを検知&邪魔するツール
(一定の効果はあるものの、これだけでは防ぎきれないらしい)
BlackSheep
FireShepherd
・参考
http://www.security.gs/
・似たようなMacの盗聴ツール
Cocoa Packet Analyzer
http://d.hatena.ne.jp/
このページの挿絵・説明が、この手のツールの説明として、
■その他の その他
・iPhoneの盗聴ツール登場
http://www.itmedia.co.jp/news/
・無線LANのセキュリティ対策
http://www.geocities.jp/
//
No comments:
Post a Comment