それでも「Passport」に登録しますか? 61
ストーリー by wakatono
オレは登録してませんが… 部門より
オレは登録してませんが… 部門より
Anonymous Coward曰く、"CNET Japanの記事です。
「悪意のあるコードを作るのが悪いのであって、穴があることには責任がない」
「安全なカギがかかる」金庫と宣伝して、実際にはカギがかからない場合、作成と販売の側に責任はなく、泥棒にだけ責任があるわけ?それとも、信じた客が馬鹿なのか?"
以前、MSKKの社長が「ウイルスに狙われるのはIIS浸透の代償」という名言を残しているが、それに匹敵する名言であるとも取れる。確かに、「悪意のあるコード」を「悪用」することについてはよろしくないというのはわかるだろう。しかし、作るだけで悪いとはまた乱暴だ。確かに、結果としてセキュリティホールができてしまうことだってあるだろう。でも、機能上の仕様などで「しょうがない」(実際しょうがないものもある)場合以外は皆バグだ。MSのマネージャ連中はバグ改修の義務すらも放棄しようというのだろうか…
「穴がある」とは書かれていない (スコア:3, 興味深い)
今回穴が見つかったとは書かれていませんよ。この記事で問題にされているのは、OS利用者が悪意あるプログラムを知らずにインストールしてしまう(トロイの木馬のインストール)場合で、その場合にトロイの木馬がWindowsのAPIでパスワードを平文で取り出せてしまう(Windows 98, Meの場合)という話。これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
今回問題にされているのは、
という点。Microsoftが、 と答えるのはある程度妥当。それ以外の回答をするとしたら、Passportのようなサービスを止めるとするか、あるいは暗号強度を高めるとするしかない。 もっとも、穴が今後見つかることは十分あり得るが。Re:「穴がある」とは書かれていない (スコア:2)
>これはUNIX系OSで /etc/passwd を読み出す話に相当するのでは?
ごく古いUnixならそうかもしれませんね。
現状、shadowなどの暗号化システムがあるので、たとえ/etc/passwdが読めても
脆弱性にはならないと思いますけど。
#shadowでの暗号化は一方向の暗号化であって、それからpasswordを
#再現するのはとんでもない計算量が必要なはずで、
#時間的に不可能だから。
#・・・と思うのですけど、記憶怪しいかもしれません(汗)。
#間違ってたらご指摘ください>all
Unixであっても、keyboardからの入力を監視されるとまずいのは確かでしょうが、
/etc/passwdなんて見えたところで脆弱とは言えないのでは?
#普通、userには見えますよ?
#login shellとかhome directoryの指定がここにあるし。
---- redbrick
Re:「穴がある」とは書かれていない (スコア:3, 興味深い)
> #再現するのはとんでもない計算量が必要なはずで、
> #時間的に不可能だから。
あり得るパスワードを想定して同じ一方向性関数にかけて一致判定をする処理を繰り返すという攻撃方法がありますよ。 Crack [dircon.co.uk] とかご存じないですか?
平文よりは暗号化した方がもちろんよいわけですが、暗号化したところで本質的に防げるわけではありません。論点を単純にするため(古いUNIXにおける) /etc/passwd を例に挙げました。元記事の最大の論点は、Passportほどの重大な情報を預かるシステムで、パスワードをクライアント側に保存してしまうことの問題ではないでしょうか。
また、元記事に
とあります。 まさにそのとおりで、例えば、ブラウザを自動操縦するトロイの木馬が動いてしまうと、パスワードそのものは盗れないにしても、アクセス後の画面で見られる情報(カード番号もあるかもしれない)のすべてを盗まれてしまうでしょう。もちろん画面に見えないところで動かすこともできます。Re:「穴がある」とは書かれていない (スコア:2)
>処理を繰り返すという攻撃方法がありますよ。
全組み合わせの総当たりと言う手法ですよね?
それは原理としては理解できますが、この場合に引き合いに出す意味が
わたしには分かりません。
#/etc/passwdが読み出せれば総当たりより確率が上がるってこと?
#・・・でも、無限に試行できるならどんなシステムでも同じでしょ?
#Unixのpasswdを引き合いに出す意味はなんだろう??
わたしの方でshadowに付いての誤解があったのですが、shadowは
passwordの暗号化結果を/etc/passwdとは別に保持しておくシステムで、
最近のものではこちらに暗号化結果があるようです。
#暗号化方式が一方向暗号化ってのは間違ってはいなかったようで。
だもんで、/etc/passwdではなく、こちらのファイルを読み出すという話
であれば、上記の総当たり式について、突破確率が上がるというのはありえますね。
#ただし、これはrootしか参照できないです。
#ここを突破して読み出すには・・・また別のテクニックが必要ですよね?
また、Unixは暗号化されたpasswordを平文に戻すことは出来ない、ということは
よいのですよね?
そして、基本的にUnixではシステム上、Passwordをクライアント上の
ファイルなどに保管しません(sshdは違うようです)が、そういう性質のものを
全く違った性質のPassportのシステムと同列に比較するのは妥当ですかね?
#password破りが出来るということしか一致してないように思えますが・・・。
#あ、ここではUnixはX端末の類をクライアントに、Unixサーバを
#サーバとして考えてます。
キー入力の監視については既に述べましたが、概ね同意です。
---- redbrick
Re:「穴がある」とは書かれていない (スコア:2)
/etc/passwd(/etc/shadow) を読まれて危険というのは、暗号化されたものから復号するわけじゃありません。
特定の暗号化されたパスワードの平文を見つけるために、一個一個文字を変えつつ総当りで暗号化してアタックするわけでもありません。
#そんな非効率なことしなくとも、線形推測とか、色々解読アルゴリズムあります。
あらかじめ辞書を使ってパスワード候補を作っておき、それを暗号化したファイルを作成しときます。
そして拾ってきた /etc/passwd(/etc/shadow) と比較してみればよろし。grep一発。
-- wanna be the biggest dreamer
Re:「穴がある」とは書かれていない (スコア:2)
>Crack [dircon.co.uk] とかご存じないですか?
と、同様に疑いを抱いてる人もいるようですよ。
ローカルリモートなどなど話を拡大すると発散するのでパス。
暗号化されて格納されてるからといって安全ではない、という基本から確認。
#一方向暗号かどうかも知らなかったらしいし。
-- wanna be the biggest dreamer
Re:「穴がある」とは書かれていない (スコア:0)
> 暗号化したところで本質的に防げるわけではありません。
それはそうです。
そんな「本質的に防ぐ」なんて無理じゃないでしょうか。
要は、Security を突破する Cost が、
突破したことによって得られる利益よりも
高ければいいのですよ。
もしくはその System の Security を突破する Cost が、
その他の System の S
Re:「穴がある」とは書かれていない (スコア:1)
/etc/shadowに切り分けたもんでしょ。で、/etc/shadowはrootの600だから、
一般ユーザはのぞけないということ。パスワードの暗号化方式にとくに違いはないはず。
Re:「穴がある」とは書かれていない (スコア:2)
---- redbrick
Re:「穴がある」とは書かれていない (スコア:0)
古い話はよく知らないのですが、
「ごく古い Unix」では /etc/passwd に Password が平文で
書かれていたのですか?
私が知る限り、Password は Scramble されていたと思います。
ただ、その Scramble された結果が、
誰でも読める /etc/passwd に書かれていたので、
Dictionary Attack や Brute Force Att
Re:「穴がある」とは書かれていない (スコア:1)
root,600,plain pass
root,644,scrambled pass
root,644,passフィールドなし、root,600な別ファイルにscrambled pass
みたいな流れだったかと。
まぁなんにせよ、今のところ、暗号化は安全を保障するものではないですからねぇ。
よく「読めない」といわれるLiberdade
平たく言うと (スコア:1)
と言うことでいいんですよね?
そういや、unixでも「suコマンドか何かに擬態して、管理者権限に 移行するときにパスワードを盗み取る」プログラムとかあったらしいですね。
#./をpathに入れるなとさんざん怒られた記憶があります。
Re:「穴がある」とは書かれていない (スコア:2)
伏流のように、インターネットの底を流れ続けてますよね。
#anonymous ftp → napstar もそうかも。
-- wanna be the biggest dreamer
参考までに (スコア:1)
しかもパスワード自体も 8 文字までだった。
いまは MD5 ハッシュを使ってる (使ってない Unix もあるけど)。
8 文字以上のパスワードも使える。
「パスワード自体の強度」というユーザに依存する点を除けば、
システムとしての強度は上がってると思うが。
# mishimaは本田透先生を熱烈に応援しています
Re:「穴がある」とは書かれていない (スコア:2)
クライアントにログインするための情報を読み出すことと、サーバーへログインするための情報を読み出すことを、一緒にしては行けません。
比べるなら、ブラウザのクッキーに平文でパスワードが書かれていることの方がいいです。もっともMozillaでは、パスワードマネージャーに登録するかしないかを選択できるけど、この問題になっているのは強制的に保存されてしまうのが問題でしょうね。
#IEは使ってないから、この辺りどうなっているか知りませんけど。
Re:「穴がある」とは書かれていない (スコア:0, おもしろおかしい)
Re:「穴がある」とは書かれていない (スコア:1, すばらしい洞察)
とか
Re:「穴がある」とは書かれていない (スコア:0)
Win98,MEは…… (スコア:1)
この場合は「大事に閉まっておかなくてはいけない鍵をテーブルの上に転がしておく」ようなもんですね。
いくらなんでもそりゃまずいでしょう。
Re:「穴がある」とは書かれていない (スコア:1)
Re:「穴がある」とは書かれていない (スコア:0)
Re:「穴がある」とは書かれていない (スコア:1)
今回って、
「金庫を買ったんだけど、そのドアにはまともな鍵がついていなかった。
金庫を換えるという手もあるけど、ドアの鍵だけ換えるという手もある。
ただ、どっちにせよ、最初に買ったのは鍵つきの金庫だと思っていたので、
期待が外れたことには驚いている。
ふつー金庫って鍵ちゃんと付いて売ってるものでは?」
…という感じかなと思ったんですが、合ってますか?
金庫なんて買ってない (スコア:0)
タンスを買ったら、メーカーがそのタンスでパスポートサービスなるものをやると言い出した。
といったところでは?
そもそもこれは... (スコア:3, 興味深い)
Un*x系には古くからMS-Passportと同じようにシングルサインインを実現するNISがあり、また、このNISの実装の脆弱性に対応するためのsshを使ったshostsというのもあります。
しかし、こういうシングルサインインという仕組みは便利な反面、一箇所が破られると被害が拡大してしまうため、NISなどをインターネットでアクセスできるような所で広範囲には使われて来なかったのです。
CNetの元記事はMS-Passportの実装自体の問題を取り上げていますが、MS-Passportを使っていなくても、OSへのログオンパスワードもISPのパスワードも、POPのパスワードもその他サービスのパスワードも全部一緒にしているユーザであれば、どれか一つのパスワードが盗まれると全サービスを盗用されてしまいます。
普通は、そういう事にならないよう「同じパスワードを使い回さないように」と言われている訳ですが、それを守ると「多くのパスワードを覚えておかなくてはいけない」という弊害が出てきて、それへの一つの回答としてMS-Passportが出てきた訳です。
しかし、結局このMS-Passportも本質的には全部同じパスワードにして、勝手に入力してくれる仕組みでしか無い。
要するにNISと同程度に脆弱で、それは危険と引き換えの便利さでしかないにも関わらず、便利さだけを強調し、危険性の面を隠したままに広範囲へプロモーションし、実際お金のやり取りなどにも導入していこうとしている所が問題なのではないでしょうか。
これでも、かなりMicrosoftへ甘く書きましたが、個人的にはシステム管理者が全てをコントロールできる範囲でしか使われないNISよりも、システム管理などと言う事を考慮していないようなユーザが使うWindowsマシンがセキュリティ機構の一部に組み込まれる点や、単にホストが不正使用されてしまうだけでなく、実世界での商利用にまで被害が及ぶ可能性を考えれば、NISよりは段違いに危険だと思います。
あくまでも仕組み自体の問題なので、Microsoftとしても悪い事をするヤツが悪いとしか言えなかったのでしょうねぇ...
Re:そもそもこれは... (スコア:1)
Kerberosは、すべての認証スキームをKerberos対応にする必要がありますが、そうしてしまうと非常に快適であるとものの本で読みました。 時間があれば試してみたい技術のひとつです。
Re:そもそもこれは... (スコア:3, すばらしい洞察)
もちろん、このサーバ間の相互認証もとても重要な問題ですが、 それ以前の入口となる本当にそのユーザが真正な許可すべきユーザか否かという判断をする部分が、 NISやWindows系のドメイン認証で行われていたネットワーク管理者の手を離れて、 セキュリティ確保が難しい個人ユーザのPCへ移行してしまったにも関わらず、 各ユーザの知識(記憶)だけに依存するパスワードという方法に頼っているのは問題なのではないでしょうか。
責任者として (スコア:1)
錠前自体に責任を持てないメーカーには呆れるしかないなぁ。
Re:責任者として (スコア:1)
と言いたいんでしょうね。
子供にクレジットカード (スコア:1)
GnuPG (スコア:1)
Re:GnuPG (スコア:2)
族議員(或いは、「賊」議員)どもの大好きな「インフラ」への投資ですしね(笑)
でも実際は、例のe-Japanとかってので、MSにだまくらかされてMS-Passportの下に日本国民台帳とかが収まっちゃいそうで怖いです…
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:GnuPG (スコア:1)
おかげで、いつの間にやら国民総背番号制が進んでいるわけだが。。。
で、この住基ネットには、たぶん、MS-Passportなんかは入り込んでないはず。
written by こうふう
オフトピ ちなみに住基ネットは(Re:GnuPG) (スコア:3, おもしろおかしい)
確かパスワードが数字4桁だったと思います。
あまり、複雑なパスワードにしたら運用に耐えないという理由で・・・(^^ゞ
日本国民の何パーセントが生年月日をパスワードにするかという壮大な実験です。
未使用のフィールドがあるようだが、アレは将来何に使うつもりなんだろ???
ちゃちゃ (スコア:1)
> プログラムは一般に、ユーザー自身ができることならどん
> なことでも実行できるように設計されている。ここでの本
> 当の問題は悪意あるコードであって、Passportではない」
> と書いている。
なぜ、このことが理解できているのに、外部から与えられた
プログラムを実行させてしまう脆弱性を量産しているのか不
思議でならないんですが…。(技術的な問題じゃなくてポリ
シーの問題として)
Microsoftは性善説に基づいている?だったらPassportなん
て要らないやん。
記事を読んだ (スコア:1)
しているように取れます。
一つのIDとパスワードで、多数の認証が可能な場合、それ
を奪取されると、たいへんなことになるわけです。
もうひとつは、Win 98/Me でパスワードが、平文でシステム
に保持するという問題。
Win98/Me が .NET に対応しているというのなら、とっとと直
すべきですな。
なんと無責任な・・・ (スコア:0)
(口座番号+αがわかれば偽造キャッシュカードが作れるっちゅーもの)
その時のどこぞの銀行側の対応も同じで、「銀行側に落ち度はない」って被害者への補償を拒否したんだけど、結局裁判で被害者勝訴になったんじゃないかな??
さすがにその後は暗証番号は磁気ストライプには書かれていない(ゼロ暗証方式とかいうんじゃなかったかな?)ようですけど。
さてさて、Passport で同じ同様の事件が起きたら司法はどう判断するんでしょうねぇ?
危険性はこれで指摘されたわけだし、米国お得意の「懲罰的賠償」ってやつでとんでもない額の判決が出るのを楽しみにするとしましょう。
Re:なんと無責任な・・・ (スコア:1)
それと、仕様の問題でいたしかたなかったとタレコミにかかれていますけど、ソレって仕様のバグも孕んでいる可能性もあるんじゃないかなぁ...
銀行のキャッシュカードといえば・・・ (スコア:0)
http://pc.2ch.net/test/read.cgi/sec/1007968094/ [2ch.net]
悪いことに違いはないけど (スコア:0, すばらしい洞察)
後のフォローが悪いから必要以上に悪く見られていて、悪く見られていることは仕方ないと思う。
だけどもそのセキュリティホールを突く悪意をもったコードを作る者を
無制限に義賊として扱うことには無理があるでしょう。
真面目な注意喚起として正義のハッカーをやっている人も多いでしょうが
実際には愉快犯の悪のクラッカーの行動がその殆どの被害を起こしているのだと思いたい。
平和ボケ日本人的考え方の典型と笑うなら笑え。
MSもどっちも悪だが比較的より悪なのは犯罪者をその気にさせる
”環境”よりも”実際の行動”だと思い続けていたい。
安全意識も反骨精神ももってないとだめですか?
セキュリティ向上を謳うのなら (スコア:1)
「知らなかった」と「やらない」じゃ雲泥の差ですからね。
#誰も「義賊」なんて思ってない……
Re:悪いことに違いはないけど (スコア:0)
そもそもPassportのような仕組みは必要なのでしょうか (スコア:0)
本当にその程度の利点しかなく、かつ今回問題になっているような危険が根本的にに回避不可能なのであれば、
Passportのような技術は不要と考えてしまいます。
私自身は、PassportおよびPassportに類似する他社の技術もすべて、ジリ貧でフェードアウトして頂きたいと
希望しておりますが、現在Passportを利用していて、これは便利だ!と感じているかたがおられましたら、
ぜひご意見を伺ってみたいです。
Re:そもそもPassportのような仕組みは必要なのでしょ (スコア:1)
(平たく言えば、毎度ありぃ)
毎回煩わしい入力をする事なく、素早く買物が出来る環境を構 築したいと店側は思っているものと思われる。
より早く、より便利に、というベクトルは、Microsoft の目指 す方向と一致しているだろう。
乱暴な言い方をすれば、店は客が財布を開いてくれればよく、 開けた財布が無防備かどうかは客の責任でしかないのではない だろうか。
Re:そもそもPassportのような仕組みは必要なのでしょ? (スコア:1)
想像しているのと少し違うな。
話は変わって、幕張メッセとかビッグサイトで開催される展示会で、新規顧客を 見つけようと、各ブースでは景品をチラつかせ、アンケート、名刺収集に懸命で ある。
これのスマートな形が、Interop のもので、入場者登録をした入場証にはバーコ ードが付いていて、各ブースでリーダーでもってピピッと読み取ればOK。
ただし、読み取った人の情報を主催者側から得るには結構なお金が必要なようで、 それを嫌って独自に客情報を収集しているブースもあるが、手軽さからいえば、 ピピッと一発だよね。
アンケートとか立ち姿勢でスラスラと名前や住所を記述できないので、手軽な方 が私は好きだな。
Passport って、このようなモノの Internet版と思っていたのだが。
俺が思い出したのは (スコア:0, 余計なもの)
> どのバージョンからでもサインイン情報は簡単に取り出せると言う。
X でも 'xhost +' とかやってると、キーストロークその他読み出しができたよなぁ。
# xhost のほうが最初から入っているコマンドだけに、よほど危険だという気もするが。
# mishimaは本田透先生を熱烈に応援しています
xhost (スコア:1)
最近は ssh(OpenSSH) を使ってるところも多いようですが、どうでしょう?
Re:xhost (スコア:2)
基本的にはそのマシンにloginした人間しかxhostは制御できないはずです。
#アクセス制御を掛けるとか外すとかの話ね。
で、xhostでアクセス制限を全解除してあるなら、X protocolが透過可能で
あれば、外部に画面を読み出すのは可能だと思います。
#言い換えれば、X protocolが通らないところからは読み出せないはず。
なので、通常、X protocolを透過しないfirewall内であれば、
問題はないのではないでしょうか?
#自分の画面にfirewall内の知らないマシンから割り込まれたり、
#画面を勝手に読み出されたりということはあると思いますけど。
---- redbrick
Re:xhost (スコア:1)
> #画面を勝手に読み出されたりということはあると思いますけど。
むかーし、若かりし新人の頃、他の同期のX端末に
xroach(スペル違ったかな、ウィンドウの影に隠れる
ゴキブリがうろちょろするやつ)とか出して遊んでました。
xpanic とかで仕返しされたり。# Sun-OS 4.1.Xの頃のお話
--
オフトピ御免
懐かしかったものでつい・・・
Re:xhost (スコア:2)
職場の環境は、sshを導入する意義があんまりないし、なにより
わたしはもうrootになれる環境を持たないもので・・・。
#職場は、firewallですっぽり囲んで、その中だけでデータをやり取りする形式なので。
#外部とのやり取りは専用のサーバを使っていますが、そこでsshの類はまだ見たことが
#ないです。在宅での接続は基本的に電番登録によるコールバック方式だし。
自宅の個人用環境を、面倒がってまったくいじってないのがいけないんですけどねぇ(汗)。
#この機会に手をつけてみるかな・・・。
だもんで、恥ずかしながらOpenSSHについてもほとんど知らないです。
---- redbrick
Re:xhost (スコア:1)
#社内では、隠しカメラや隠しマイクの方が怖かったりして。。。