Yahoo! BBでパケット漏洩 22
ストーリー by wakatono
今日はいつもより漏れております 部門より
今日はいつもより漏れております 部門より
renaissa 曰く、 "少し前から話題になっていたが、どうやら同一局舎内に接続されている
Yahoo! BBユーザに対してパケットが漏洩するという問題が発生しているようだ。(BizTechの既報、続報)
Yahoo! BBの回線提供を行っているBBテクノロジー社も事態を認めているが、現時点でも解決策は示されていないようだ。
元記事では「コストを抑えるため、スイッチング・ハブを使った巨大なLANのような構成になっている」のが要因の一つ、といった書かれ方がされているが。パケットが漏洩するとなると、さらにコスト削減のためバカハブを使っていたんじゃないかと思えてしまう。"
ユーザとしては早期解決を求むところだろう。が、それがならないのであればしばらくは自衛すべし。暗号化プロトコルを使う、平文で重要なデータは流さない、etc...
一応解決はしています... (スコア:4, 興味深い)
この問題は、去年の9,10月頃から指摘されていましたが、今年の1/20前後
に全国的に改善されたようです...つーか、改善した後なのでY!BBが認め
たというところでしょう。
が、ブロードキャストとマルチキャストはガンガン流れてきますから、
Y!BBは、これに関しては改善するつもりは無いようです(arpとかも)。
また、このパケット漏れ対策に前後して、Y!BBは1ユーザーが取れるIP
アドレスの数の制限もしています。前は、グローバルIPを取り放題だった
のが、現在は1 or 2個までに制限されるようになっています。
ところが、これらの制限などは、恐らくMACアドレスを見てやっている
んでしょうが、何がどうなっているのか分かりませんが、正規の、つーか
普通に使っているPCのMACアドレスがその制限に引っかかって、自分の
パケットがその制限を行っている機器から外に出ない人が出てきています。
そうした人は、DHCPサーバにパケットが届かないのでIPが取得できない
という現象となって現れていますが、IPを静的に与えても、パケットが
HUBだか何だかより向こうに行かないので、どーしようも無い状態に
なっているようです。
あっと、以上のことは、状況証拠による推測ですので、本当のところは
わかりません。
でわでわ
スイッチングでも (スコア:3, 参考になる)
Re:スイッチングでも (スコア:1, 興味深い)
経路を二重化しているSW-HUB間でVirtualMACアドレスを使用
↓
このアドレスが時間がたつとSW-HUBのテーブルから消えてしまう
↓
宛先わからないのでブロードキャストパケットになって漏洩
だそうです。
酒飲みながら聞いた話なのでちと記憶があいまいですが。
いつから? (スコア:3, すばらしい洞察)
インターネット上では他人からパケットを見られる可能性があるという前提で、APOPとかsshとかVPNとかのセキュリティを確保する仕組みができてきた訳で、素のままのパケットが他人に見られる事なんてそれ程問題にするような事かなぁ?
もちろん、他人のパケットが限られた帯域を浪費するためにサービス品質が下がるというのは問題だけど、これをセキュリティの問題と捉えるのはちょっと違う気がする。
って言うか、プロバイダが同一プロバイダ加入者から自分のパケットを守ってくれるだけで安心してるって事の裏返しだよね?これ。
そんな事で安心していいの?ちゅ~かそういう幻想は早々に捨てましょう
Re:いつから? (スコア:2, 興味深い)
お説ごもっともなんですが、どこからがインターネットなのかという問題もあると思います。
普通のユーザーの感覚として、ISPまでの経路は「インターネット」じゃ無いですよね。その意味ではこれはセキュリティ問題でしょう。
あ、もちろんY!BBがそれを問題だとしない変わりにコストを下げている=料金が安い....と言うのはアリですよ。ただしその点をきちんと明示するべきだし、ユーザー自身がセキュリティ守れる手段が可能になるようにすべきでしょうけどね(APOPが使えないとかでは....)。
Re:いつから? (スコア:2, 参考になる)
それに、この問題ってY!BB特有の事ではなくて、CATVなんかでも良くある事ですし...
Y!BBの肩を持つ訳ではないですし、そもそも私はY!BBなんか使う気も無いですが、今回の騒ぎはY!BBだから叩かれたという感じがします。
Re:いつから? (スコア:2, 興味深い)
普通のユーザーの感覚として、ISPまでの経路は「インターネット」じゃ無いですよね。
いやしかし、グローバルIPをもってたら「家の外=インターネット」だと
考えて欲しいと・・・。
というか、PPP回線上も自分の管理の範疇外なんだから
私の感覚ではそれより内側で、パケットを守るという感覚がありますが。
無理なんでしょうかねぇ・・・そう考えるのは?
人に見られて困るパケットを「自分の管理対象外」に流せばどうなるか
というのは、あくまで自己責任であって欲しいです。
それを考えられないということは「本人のセキュリティ意識」が
セキュリティ問題だと思います。
とはいえ、この文章は「Y!BBを肯定するものではありません」
こういったことが、ニュースになるのは他の問題点をたくさん抱えて
ユーザの不満がたまっているからでしょうね。
# なんでそれでもユーザが増えるんだろう?
Re:いつから? (スコア:1)
> # なんでそれでもユーザが増えるんだろう?
安くて、トラブルさえなければ早いからでしょう。まあバクチみたいなものですね。
Re:いつから? (スコア:1)
世の中というのは馬鹿。。。もとい、能力の弱い人に対して優しい
サービスを提供しなければならないということになってますから。
建前上。
現在のインターネットユーザーの一般層で、APOPとかsshを
使ってる。。。っていうかその存在自体を知ってる人がどれだけ
いるかってーと、たぶん10%前後がいいとこじゃないですかね。
根拠なしですけど。
だとすればYahoo!のような知名度の高い企業がISPをやる場合、
そういったユーザ層を考慮したシステムを創るというのは
義務に近いような気がするんですが。
メールのウィルススキャンをするとか。
ISP内部では他ユーザにパケットを漏洩させないとか。
ま、そういうことやらんと、いまの民度では結局自分らに
ツケが回ってくるだけだがな。今回のケースに限らず。
すんません、非常にレイヤの低い話になってしまって申し訳ない。
--rena
Re:いつから? (スコア:1)
危険性というのは、完全に排除できるのであれば排除すべきですが、完全に排除できないのであれば「一見安全そうに見える」ようにするより、「危険性を周知する」方がより民度の低い:-)ユーザのためになると思います。私は。
そういう意味では、自ISP内だけの安全性を考慮するなんて事を義務とは思いません。
もちろん、そういう考慮をした方が営業的にも利点があるでしょうし、多少はセキュリティも向上するのですから、「危険を知らせるためにもタレ流すべきだ」とは言いませんが、「それが義務だとユーザが思う事」は危険だと思います。
Re:いつから? (スコア:1)
もちろんこれはそうなのですが、
>APOPとかsshとかVPNとかのセキュリティを確保する仕組みができてきた訳で、
通信経路の暗号化は万能ではありません。ペイロードを暗号化したところでどこ宛のパケットなのかは隠蔽できませんし、現状では暗号化がそぐわないプロトコルも山程あります。あと細かいことですが、APOPで暗号化できるのはパスワードだけでメール本体は平文のままです。またsshやVPNは基本的に拠点間を結ぶためのものであり、赤の他人のサイトとの間を結ぶためには使えません。
そもそも今回の問題での盗聴可能な対象は同一局舎内の利用者であるので、盗聴内容と被害者の個人情報とのバインドが容易になる可能性が高いです。はるか彼方のルータでパケットが盗聴されるのとは意味合いが違います。
近所の人に自分がアクセスしたWebサイトを逐一記録されているとしたら、いい気分はしないでしょう?
>もちろん、他人のパケットが限られた帯域を浪費するためにサービス品質が下がるというのは問題だけど、
>これをセキュリティの問題と捉えるのはちょっと違う気がする。
DoS攻撃が可能であることを意味するわけですから、立派に(?)セキュリティの問題であると思います。
>って言うか、プロバイダが同一プロバイダ加入者から自分のパケットを守ってくれるだけで安心してるって事の裏返しだよね?これ。
安心はしていませんが、守っていないことが発覚したら即座に是正を求めます。YahooBBであろうがなかろうが。
>そんな事で安心していいの?ちゅ~かそういう幻想は早々に捨てましょう
警察があらゆる犯罪から自分を守ってくれるとは思っていませんが、もし仮に最善の努力をしてくれていないとしたら失望します。それと同じです。幻想ではありません。
Re:いつから? (スコア:1)
しかし,今回の問題では,何の責任もない個人が容易にパケットの盗聴ができます。巷で売られているクラックの手口を紹介した本などでへんな知識を付けた「厨房」が,パケットを盗み見て悪用するかもしれません。それを考えると不安になります。
(*1)経路上のサーバやルータにアクセスできる人間は技術的にも倫理的にもそれなりの教育を受けていて,むやみにパケットをのぞき見しない。
幻想になっているかもしれないけど。
スイッチでも有効なスニファ (スコア:2, 興味深い)
スイッチでも使えるスニファを使われちゃったのでは? ettercap [sourceforge.net]とか。
ネットワーク管理者がちゃんと見てれば十分気づくだけの副作用がありますが、 家庭向けサービスでそんなのに気づくレベルの人って皆無な気がします。 そもそも見つけても対処のしようがないですよね...。
ほかにも嘘付きDHCPサーバを建ててトラフィックをそっちに向けるとか、 RIPで怪しげなルーティングを流しちゃうとか、いろいろ技はありそうです。
セキュリティのことなんて何も考えず、「動けばいい」でエイヤと 作ったシステムに見えてしまいますねぇ...
-- Powered by NetBSD.
Re:スイッチでも有効なスニファ (スコア:1)
いやいや、単なるtcpdumpレベルでOK(だった)。
人によると、ポート6699(WinMXだな)の他人のパケットがガンガン
飛んでくるので、それに帯域使われちゃって、通常は数Mbpsぐらい
でるのが、100kbps以下になっちゃう何てこともあったよう..
でも、それらも一応過去形。でもでも、いつ元に戻るか分からない
ところがY!BB
でわでわ
APOP つかえないんですけど (スコア:1)
#arp spoof していい?
下らない問題だ (スコア:1)
インターネットで通信路が保証されていると考える方がいけない.
と私などは思っちゃうんですが, 世間というのはそういう物じゃないんでしょうか? 所詮安かろう悪かろうというのは, 明確に否定する理由が無い限り成り立つものだと思うのですが.
2ちゃんねるでは (スコア:1, 興味深い)
Yahoo BB の設定に注意(重大なセキュリティリスク) [2ch.net]
Re:2ちゃんねるでは (スコア:0)
なるほど2ちゃんねるを経由した情報だったからなのですね。
Re:2ちゃんねるでは (スコア:0)
2ch は基本的に視点がミクロで精度が低い(間違いが多い可能性が高い)情報が集積する所で、
マスメディアはマクロな精度が高い情報を提供する所。
もちろん、マスメディアでも間違ってる場合はあるけど、
2ch の場合、書かれてる全てのことを鵜呑みにするやついないでしょう?
そうやって精度が低い代わりに速報性はありますよね。
でっかいLANだから許される? (スコア:0)
経由して行くんですけど・・・
いまは表示されなくなりましたけど,表示されなくなっただけで,
まだ通っています。
Re:でっかいLANだから許される? (スコア:0)
ホストに到達できない、なんてことがよくありました。