侵入コンテスト、LeopardとVistaは陥落するもUbuntuは健在 93
ストーリー by Acanthopanax
安全第一 部門より
安全第一 部門より
hide.jikyll 曰く、
CNET Japanより。CanSecWestセキュリティカンファレンスでMac OS X 10.5.2(Leopard)搭載のMacBook Air、Windows Vista SP1搭載の富士通製ノート(U810)、Ubuntu 7.10搭載のソニーVAIOノート(VGN-TZ37CN)の3台を対象に侵入を試みるコンテスト「PWN to OWN」が催されたそうです。初日は成功者なし、標準的なアプリケーションまで攻撃対象を広げた2日目にLeopardがSafariの脆弱性を突かれて侵入され、一般的なアプリケーションまで対象を広げた3日目(最終日)にVistaがFlashの脆弱性を介して侵入されたそうです。一方、Ubuntuは3日目終盤の時点で侵入を許していないとのこと。
(つづく...)
記事に明確な言及はありませんが、「標準的なアプリケーション」はOS付属で標準でインストールされるもの、「一般的なアプリケーション」はOS付属ではないものの多くのユーザーに使われている定番アプリを指すものと思われます。主催者側としては成功者なしでは格好がつかないのかもしれませんが、Flashのせいで侵入されたVistaは少し可哀想な気が。ちなみに、CanSecWest公式サイトの右側にはスポンサーとしてAdobeのロゴが掲げられています。
関連記事 (スコア:4, 参考になる)
PWN 2 OWNハッキングコンテストはVistaも陥落、残ったのはLinux - Engadget Japanese [engadget.com]
後者の記事によれば、 ってことで、単に作業効率の観点からLinux以外が標的になった可能性もありそうです。
#というか、参加者の多くが知っているLinuxにも使えるバグって怖いぞ。
Re:関連記事 (スコア:4, おもしろおかしい)
> 実際にコンテストに勝つためのexploitコードを書く作業を嫌ったとのこと。
ライセンスですね! 分かります!!
Re:exploitコードを書く作業を嫌った (スコア:1)
#別のスレッドでいろいろ憶測されているが
Appleも真面目にセキュリティ対策を (スコア:4, 興味深い)
他のOSがセキュアになってきている現状では、OS XがセキュアなOSとは言えなくなってきていると思います。
これまでは、シェアの問題とか、ユーザ権限の関係とか、UNIXベースの関係とか、様々な状況により比較的セキュアなOSでしたが、現状は問題ありかと思います。
Appleもセキュリティに真面目に取り組む時期でしょうね。
Re:Appleも真面目にセキュリティ対策を (スコア:3, 興味深い)
iTunesとQuickTime(これも脆弱性だれけ)を一緒にダウンロードさせた会社ですから、最近でもセキュリティに不真面目なことは明白でした。Safariの半強制ダウンロードで商売しか考えていない会社であることも明らかになったと言えると思います。
# 管理職がセキュリティ解ってない、Jobsがセキュリティ解ってない
# のだろう... ありがちなパターンだ。
Re:Appleも真面目にセキュリティ対策を (スコア:1, おもしろおかしい)
競争相手に対してセキュリティの低いソフトを強制的に送り込んでおけば、相手のレベルを自分と同じ位置まで引きずり落とすことができますから。相対的に自社の製品のセキュリティが上がります。もちろんあくまで「相対的」でしかないですが
Safariだけに (スコア:3, おもしろおかしい)
猛獣に侵入されたわけですな。
Re:Safariだけに (スコア:2, すばらしい洞察)
Safari速いと宣伝している割には、Fusion上のIE7に負けてるときもある(こちらはgooglesyndication切っているんだけど -- そういう自由が効かないのも性能の一つですよね)ように思うし...。
Best regards, でぃーすけ
えっと (スコア:1)
Ubuntu(うぶんつ?よく知りませんがLinuxの一つ?)も同じ手順で侵入できなかったのかな?
なんとも歯切れが悪いように感じます
Re:えっと (スコア:1)
# Vistaでどうだったかちょっと自信ないけど。
なので、一応ありなんじゃないでしょうか。
個人的にはLinuxのディストリ間で差がそれなりにあるだろうと思うので、もうちょっと色々なディストリでのチャレンジがあったら...と思う。(アプリまで行くとあんまり変らないか? ex.Firefox)
Linux上のFlashのはどうなんでしょうねぇ。
「マイノリティが安全」神話(?)はいらないけど、多様性が最後の壁になる可能性はあるだろうし...
# というか、二日目もVista持ち堪えたのね。
# まあ0dayじゃなきゃだめという縛りがあるみたいなので、そういうもんかも。
M-FalconSky (暑いか寒い)
Re:えっと (スコア:3, 参考になる)
# いろいろ書かれてる割に明瞭なコメントがなかった。
Re:えっと (スコア:2, すばらしい洞察)
そういう問題ではないですよ。
Flashの脆弱性を突いて侵入できたのですから、Ubuntuだって同じなんです。
ただ、Flashの脆弱性を突いてWindowsに侵入するコードを書いた人がいただけであり、
Flashの脆弱性を突いてUbuntuに侵入するコードを書く人がいなかっただけらしい。
タレこみのタイトルは、作為的だと思う。
今回のイベントで言えるのは、Mac OSXはフルパッチ状態でも弱いってことです。
VistaもLinuxも、フルパッチ状態では侵入できなかったので、優秀だと思います。
Re:えっと (スコア:4, すばらしい洞察)
別の枝にセキュリティfixの件数の比較があるが、これもあまり意味が無い。実際に侵入可能な脆弱性の数、リモートで可能な脆弱性の数など、もっと厳密な条件で比較しないと意味が無い。
セキュリティというのは単体的なものではなくシステム全体を考えなければいけない。
Re:えっと (スコア:2, 興味深い)
Re:えっと (スコア:2, 参考になる)
Flash PlayerはIEの保護モードによる制限を受けないようです。
VistaであってもFlash Playerに穴があればなんでもやり放題というのが現実・・・
Re:えっと (スコア:1)
FlashはWindowsの標準コンポーネントではありませんよ。
素のWindowsを入れただけでは入りません、別途インストールが必要です。
このコンテストでいうとFlashは「標準的なアプリケーション」ではなく「一般的なアプリケーション」に分類されます。
Re:えっと (スコア:2, 参考になる)
確かに素のWindowsXP SP2を入れただけで相当古いFlash6が
強制プリインストールで入ってます
だからこそ
http://www.microsoft.com/downloads/details.aspx?FamilyID=b2b8f9a8-4874-405a-9f0c-768b2631673a&DisplayLang=ja
http://www.microsoft.com/downloads/details.aspx?FamilyID=93208e57-5f14-4fb2-bc0c-2c4f3c56274a&DisplayLang=ja
こいう更新が提供されるわけです
もちろん今回のような場では最新のFlash9にアップデートされてるので
結果的に「一般的なアプリケーション」に分類されますが。
Re:えっと (スコア:1)
自分はSP2プリインPC買ってたけどFlashは後から入れた記憶が…。
提示されているURLだって、
Flashを使っている場合に発生する脆弱性を回避するためのパッチであって、
Flashのパッチだとは書いてないよね?
(Flashを入れ替えなくてもOS側で対処しているだけかもしれない)
それに、通常Flashの脆弱性はFlashのアップデートで対応されているし。
#まあ、実際のところは良く分からないんだけど。
Re:えっと (スコア:1)
と思って調べてみたら
http://www.nikkeibp.co.jp/archives/141/141736.html [nikkeibp.co.jp]
えー、まずは今回のコンテストの基準はどんななのか、規約などを良く読んでみますね。
# 初回起動のツアー表示に利用されるみたいなんで、XPではデフォルトOnっぽいんですが...
# 詳細御存知の方解説プリーズ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
たしかに3日目の「一般アプリ」扱いなんですね。
お手数かけました。
--
M-FalconSky
Re:えっと (スコア:1)
自分のシステムにはflashが唯一バイナリ配布物として入っているので、
一刻も早くgnashなどに置き換えられるくらいまで成長してもらいたいものです。
というか、linux版の動作遅いし…。
Re:えっと (スコア:1, 興味深い)
こちらの記事だと、随分ニュアンスが違いますね。落としたPCが貰えるとのことなので、
Mac OSXのPCがMacBookAirじゃなくて、MacBookだったら、結果が違ったかもしれない、とか、
本当に「使える」脆弱性をどれだけ晒すか、とか、
exploitを書くための開発環境がどれだけ整ってるかとか、
純粋なOSの能力以外のファクタが多分に影響しているようです。
つまり人気順だとすると (スコア:1, おもしろおかしい)
ええと、Vaioは誰も欲しくなかったわけですね
Re:つまり人気順だとすると (スコア:1, すばらしい洞察)
Re:えっと (スコア:1)
Re:えっと (スコア:1)
賞金で MacBook Air が何台も楽に買えるのに、「たかだか MacBook Air 程度」のために優先的に攻撃するとでも思ってるんですか?
MacBook だから放置とか言っていると 3 日目の賞金はさらに半額になるので、差額で MacBook Air が何台か買える訳であって、MacBook Air だから真っ先に狙われた、なんてのは MacBook Air に幻想を持ちすぎです。
真っ先に攻撃されたのは「Mac OS X が一番簡単にクラックできるから [computerworld.com]」ですよ。
Re: (スコア:0)
まあ、ブラウザがIce Weasel(Firefox)で、かたやInternet Explorerである事が絡んで、
同じような手順では通用しなかったと推測しますが。
いくらなんでも同じ手順で通用するなら落としているかと。
疑問はもっともですが、OS関係ないとするとMacは先にSafari経由で落城したとはいえ、
Safari上のFlashではどうなのか?という疑問も持ち合わせるのが公正な態度かと思いました。
えっと知らない方がいるとも思わなかったので誰も触れないかと (スコア:1)
初心者には一番使いやすいそうなので、これを入れました。
なんとなく… (スコア:1, 興味深い)
Vista: MSモノはぶちやぶっておかんと。
Ubuntu: 破ると政治的にいろいろ…っていうかVAIOイラネ。
……ってとこでしょうか…?
# VAIO使いなんですけどね…。
# てれっててれっててー --- macohime(#cpdz)
結論 (スコア:0, フレームのもと)
Re:結論 (スコア:2, すばらしい洞察)
あとは、採用されているモデルが好きか嫌いか、潜在的な性能はどの程度なのかってとこですかね?
セキュリティに対する MS の取り組みは Vista 登場前に散々宣伝されてたんで、是非はともかく評価出来ると思うんですけど、
そーいえば、Apple の取り組みってどうなってるんだと思った。きちんとした Apple からの発表ってあるんですかね?
Re:結論 (スコア:2, 参考になる)
http://www.apple.com/jp/support/security/ [apple.com]
http://www.apple.com/jp/macosx/features/300.html#security [apple.com]
http://images.apple.com/macosx/pdf/MacOSX_Leopard_Security_TB.pdf [apple.com]
http://developer.apple.com/security/ [apple.com]
Re:結論 (スコア:1, 参考になる)
Windowsでも不十分だからUbuntuを使えってことです。
XP Vista XP + Vista Mac OS X
セキュリティホール数合計 34 20 44 243
月平均セキュリティホール数 2.83 1.67 3.67 20.25
これは、2007年にはAppleは月平均で見ると
Windows XPとVistaの5倍多くのセキュリティホールを抱えていたことを意味しており、その大半は深刻なものだった。
明らかにこれは、世間一般で考えられているものとは全く逆の状況であり、しかもその差は僅差でさえない。
Re:結論 (スコア:1, 興味深い)
Re:結論 (スコア:1, 興味深い)
数より内容が重要だし、Mac OS XのセキュリティールってApacheやBindやssh等、デフォルト
でオフの、しかもAppleのものでない(勝手に修正出来ない)ものを含めてるんじゃないすかね。
Re:結論 (スコア:1, すばらしい洞察)
その元記事は これ [zdnet.com] ですが、 へんにバイアスのかかった George Ou は置いておいて、 本家の ストーリー [slashdot.org] にもあるように、 セキュリティの優劣を脆弱性の数で判断するのは意味がないんじゃないかな
そもそも、セキュリティはコンピュータの管理者に大きく依存するので、 どの OS がセキュアかどうかなんて話は、結局、意味ないんじゃ…
Re:結論 (スコア:2, おもしろおかしい)
1つのパッチに1つの理由は必要だが、1つのパッチで1つの穴しかふさがない、なんて事はしなくていいことを忘れるな。
fjの教祖様
Re:結論 (スコア:1, おもしろおかしい)
MacOSでFirefoxでも使ってりゃいいんじゃね
それより、
>、「一般的なアプリケーション」はOS付属ではないものの多くのユーザーに使われている定番アプリを指すもの
数が少ないLinuxは有利でいいねぇ
AppleのCMを地でいってる感じだ
Re:結論 (スコア:3, 興味深い)
Re:結論 (スコア:1, 興味深い)
あらかじめ、知ってないとできないだろ、こんなこと
少なくとも、Apple自身が配布しているソフトの中に、
よく知られたセキュリティーホールがあり、修正を
していない例があることは事実だ。
それとも、今回のコンテストの結果は偶然の産物か?
逆に、
>>Appleは既知の穴を放置しすぎ
>根拠を述べよ。サポート対象のものを数ヶ月も放置しっぱなしってのは
>ほとんどないし、今回は0dayでそれとは無関係。
「ほとんど」、というのがどの程度か定義してもらうとともに、上記の根拠を
聞きたいですね。
少なくとも、何件のセキュリティーホールに対し、何件が解消しているか
それくらいは出してくれることを期待してます。
#なんか必死すぎ。コンテストの結果そのものをうけとればいいのに。
たかが、今回のコンテストのルールでは、一番セキュリティ的に貧弱だった
というだけだろ。
Re: (スコア:0)
Apple印のWindows PCでしか使えないならいらないけど。
Re:結論 (スコア:1, 興味深い)
それでも使う! (スコア:1, すばらしい洞察)
昔より優秀 (スコア:0)
Re:昔より優秀 (スコア:1, すばらしい洞察)
Re:昔より優秀 (スコア:2, 興味深い)
Win/Mac/Linux侵入コンテストはMacBook Air陥落で終了、所要時間2分 - Engadget Japanese [engadget.com]
「賞金は一日経過ごとに半分に減額。」ですが。
//Sinraptor
Re:昔より優秀 (スコア:1, すばらしい洞察)
0dayって縛りがきつかっただけで、既知の脆弱性を使っても良いって条件なら、どのOSもあっという間に陥落してたと思いますよ。
Re:昔より優秀 (スコア:2, 興味深い)
ゼロデイでない脆弱性(=パッチの出ている脆弱性)で陥落するとしたら、
それは「そのコンピュータにパッチが当たってないだけ」なので、OSのせいではないのでは?
それじゃ、コンテストとしてのレギュレーションが組めないような…。
ウィルスソフト (スコア:2, おもしろおかしい)
屍体メモ [windy.cx]
Re:こういうテストってあんまり意味がない気がする… (スコア:1)
どう読んでも Apple > Adobe > (越えられない壁) > Linus/Microsoft です。本当にありがとうございました。
# Office 2007 の「何度もクラッシュしまくるとファイル破損のチェックとかやりだす」とかを見ても、なんていうか無駄に頑張ってるなぁって感じがする。