月別: 2010年1月

WAFの解説と、選定に際しての着眼点。
原文を見ると、後編は、WAFのべきとべからず集、になるらしい。
出典は「CSO Online」なのに、日本ではCIOにくくらないといけないのね。
Webアプリケーションへの攻撃をいかに阻止するか？（前編）｜巧妙化する攻撃への有効策として普及が進む「Webアプリケーション・ファイアウォール」。製品選定に際しての着眼点はココだ！ – CIO Online

　現在、WAFが導入される主な理由は2つある。1つは、PCIデータ・セキュリティ基準（PCI DSS：Payment Card Industry Data Security Standard）において、一般公開されているWebアプリケーションは、コード・レビューの実施か、もしくはWAFにより、既知の攻撃から保護することがセキュリティ要件として定められていることだ。もう1つは、セキュリティ攻撃の対象がネットワーク・レイヤからアプリケーション・レイヤに移行しているという認識が高まっていることである。なお、ホワイトハット・セキュリティが2006年1月から2008年12月までの3年間に行った877のWebサイトの評価調査では、82％のWebサイトに深刻度が「高い」、「重大」、あるいは「緊急」の問題が1つ以上あることが明らかになっている。
WAFが備えているべき特徴
●HTTP通信の完全な解析が可能
●ポジティブ・セキュリティ・モデルの提供
●アプリケーション・レイヤに対応したルールを持つ（SQLインジェクションなどの攻撃のあらゆる亜種を検出できる汎用的なルール)
●セッション・ベースの攻撃からの保護が可能
●きめ細かなポリシー管理が可能
OWASPが挙げるWAF製品の選定基準
●誤検出がほとんどない（正当なリクエストを決して拒否しない）
●初期設定状態でも強力な防御機能を発揮する
●堅固なセキュリティ設定が可能な動作モードと、設定の容易な動作モードが用意されている
●防御できる脆弱性の種類が多い
●個々のユーザー・セッションの改竄を防げる
●緊急パッチなどによって問題が生じないよう設定できる
●ソフトウェアかハードウェアとして提供される（一般にハードウェアが好まれる）
　

パスワードを調べた結果、相変わらず(ますます?)脆弱なパスワードが使われてるという記事。
人類の遺伝子レベルの欠陥、というのが面白い。
ニュースな英語 – goo辞書パスワードは「123456」

記事は昨年12月、FacebookやMySpaceなどにソフトウェアを卸している会社「RockYou」のデータベースがハッキングされた事件に端を発しています。このときネット上に流出した3200万個のパスワードを、「Imperva」というハッキング対策ソフトウェア会社が調査したところ、
利用者の20％が、人気のパスワード5000個を使っていたとのこと。つまり、大勢が使いがちポピュラーなパスワードがあるというわけです。逆に言えばハッカーは、そのポピュラーなパスワードを一分に何千個の速度で次々と試行すれば、かなり簡単に情報が盗み取れるのだと。
記事には、情報流出したRockYouユーザーの内、100万人が利用していたという32種類のパスワードが「人気」順で載っています。100万人が32種類ですから、単純計算して、同じパスワードを3万人以上が使っているというわけです。
一番人気（most popular)のパスワードは、前述したように「123456」。記事いわく、ネット黎明期の一番人気は「12345」。人類は20年近くかけてインターネットに慣れて、ネットの危険性をも承知するようになり、その結果とった安全対策と言えば、数字を一ケタ追加しただけだったという……。
そのほかの人気パスワードは、定番の「12345」。そして「1234567」に「123456789」。ちょっとひねって「654321」。
「password」というそのままやん！なものや、「iloveyou」とか「iloveu」（まあ嬉しい）。なぜか「princess」もポピュラー。RockYouというサービスのパスワードを「rockyou」にして、覚えやすさを何より優先してしまったものもあります。
「Imperva」社サイトのこちらによると、調べたユーザーの実に半分近くがパスワードとして「名前やスラング、辞書にある言葉、簡単な言葉（数字の連番や「qwerty」などキーボード上で並ぶ文字列そのまま）など」、推察しやすいものを使っているとか。
これはいったいどういうことなのでしょう？　人類はネットに慣れて賢く用心深くなったかと思いきや。むしろネットに慣れすぎてしまって安全ボケしているのかもしれません。記事では調査したImpervaの担当者が「人類の遺伝子レベルの欠陥なんじゃないかと思う（I guess it’s just a genetic flaw in humans）」とまで。
とするならばせめて、2種類のパスワードを使い分けてくださいというアドバイスに、なるほどと思いました。銀行やメールなど高いセキュリティーが必須なサービスについては、長くて複雑なパスワード（少なくとも12文字で、英数字や記号を組み合わせたもの推奨）。それほどセキュリティーを必要としない（つまり個人情報を提供していない）SNSやお遊びサイト用には、短くて単純なものを。

米ニューヨーク州の銀行、SCNBがSQLインジェクションで顧客情報漏洩。
8千件以上の顧客情報。credentials、とあるからパスワードのことか。
その情報が平文で保存されていたと指摘されている。
攻撃方法はSQLインジェクションではないかと思われる。
SCNB hit by breach – over 8,000 clear text credentials stolen – Security

According to Amichai Shulman, Imperva’s CTO, what is amazing about the case is not just the fact that the bank has taken until earlier this week to reveal that around 10 percent of its customers’ credentials were compromised, but that the data was stored as plain text.
“What I find astonishing about this hack is that you would think that a banking application would undergo much more stress testing than most and, as a result, the storage of user credentials in plain text would have been spotted and remediated early on in the system development process,” Shulman said.
“Although the full modus operandi for this banking hack has yet to be revealed, but given that the server was accessed and 8,378 credentials were stolen, I would assume the attacker gained access using an SQL injection approach,” he added.

米軍のサイトが侵入され、DBの情報がさらされた。
U.S. Army Website Hacked – DarkReading
犯人は、TinKode、ルーマニアのハッカーらしい。先月はNASAのサイトに侵入した人。
TinKodeのブログ上の報告記事。
TinKode Stuff ≫ Blog Archive ≫ Army.mil full disclosure
マイクロソフトSQLサーバーのSQLインジェクション脆弱性を利用した、とある。テーブルのリスト、平文で保存されていたパスワードなどが掲示されている。
テストから、攻撃ステップが報告されている。
1=1という古典的なパターンが成功、1=2にすると詳細なエラーメッセージを表示してしまっている。

SQLインジェクションでカード情報1億3千万件を盗まれたHeartlandがVisaに$60Mの支払いで合意。
Heartland To Pay Up To $60 Million In Breach Settlement With Visa – security breaches/Attacks – DarkReading