ハッキング|XPWN

8月中旬のISC360/HackPWNにつづいて、8月末にはKCON/XCON+XPWNがたて続きに開催されました。

f:id:alienware:20160913224947p:plain

 

KCONのネーミングは主催者KNOWNSEC社の頭文字Kからとったもので、6月西安会場に続いて今回が北京会場、会場に約800人もが来場されました。朝一の開場式からロックバンドを入れてガンガンやったKCONと比較してXCONは比較的こじんまりとした感じで、人数も200人くらいと抑え気味でした。両カンファランスとも、ブラックハット主催者のジェフご一行が来場されまして、この2つのイベントが重要視されてることが示されました。

f:id:alienware:20160913224756p:plain

 

さてカンファランスはさておき、XCONの後半に行われたハッキング競技のXPWNに焦点を当ててみます。

f:id:alienware:20160913225649p:plain

 

昔と違って、このようなハッキング実演・競技の会場は派手になりつつあり、いろんなパフォーマンスの要素を入れております。

こちら入場のパネルですが、外人のモデル2名を設置し、幻想的な、ギリシアチック?な演出をしておりました。

f:id:alienware:20160913230022p:plain

 

今回の賞金は延べ500万人民元用意されましたが、換算すると約1億円!にも達してました。

f:id:alienware:20160913230302p:plain

 

XCON/XPWN主催者の王さん。相変わらずお元気でした。

f:id:alienware:20160913230516p:plain

 

ブラックハット主催者の Jeff Moss氏。彼の中国での知名度はなかなかのものでした。

f:id:alienware:20160913230616p:plain

 

壇上にはハッキング実演専用の台が設けられ、進行状況を即時で背面大スクリーンで中継。

f:id:alienware:20160913230802p:plain

 

そして今回ある意味会場で一番目立ってたのが、これらの「会場中継美女団」。各自自撮り棒を用意し、それぞれが主役になり会場の様子をSNSで中継しておりました。

勿論、各々美女がSNSでの「主役」で、会場はある意味「配役」と言う、これまでの報道とは真逆の視点の報道仕方ですが、ハッキングとかハッカーなど馴染みない人たちにとっても、女性の美貌に釣られて?このイベントに関心をよせるという、ある意味非常に斬新的なやり方に感心しました。

f:id:alienware:20160913230923p:plain

 

 

さていくつか実演された製品です。もちろん、対象になった製品のメーカさんにとってはあまり喜ばしいことではないかもしれませんが。。。

 

●シャオミXiaoMiのホーム・ゲートウェイ

名の通り、家電製品やXiaoMi社が販売している家庭内用の様々なセンサー(温感、ドアロック、湿度などなど)を一括してコントロールする装置です。

特筆すべき事項は、XiaoMi社のセキュリティ担当者も来場しており、ハッキング実演の後に次のようなアクションを行っておりました:

ー壇上で脆弱性発見者に謝辞を述べた

ー該当脆弱性に対しすでに対処済みであり、パッチ公開済みである

ーXiaoMiのすべての新・旧製品に対し自動更新でパッチを当ててある

たとえパフォーマンスにせよ、中国でもこのようなセキュリティに対しちゃんと責任を取るベンダーが増えることは実に喜ばしいことです。

f:id:alienware:20160913231521p:plain

 

●ルータ:iKuai&極

セキュリティ対策が施されていないルータはもはや脆弱性の宝庫、ウェブ系を始め、いろんな脆弱性がゾロゾロでてきます。

f:id:alienware:20160913231530p:plain

 

●ソ○ー VxIO

さて日本メーカの製品がついに出てしまいました。。。わかる方にはもはや文字隠しても意味が無いと思いますが一応。

f:id:alienware:20160913232032p:plain

 

この脆弱性というのは、BIOS画面でパスワード入力を設定すると、起動時パスワード入力が要求されます。

f:id:alienware:20160913232258j:plain

これを三回間違えると、ワンタイム・パスワード入力画面に切り替わると言うもの。

f:id:alienware:20160913234727j:plain

このパスワード生成アルゴリズムで使用されているKEYが64ビットで、破られてしまった模様。発見者はもっと強固な1024ビットあるいは更に長いKEYを使用すべきだ、と説明しておりましたが、そもそも1024ビットで生成された、人間入力が非常に困難な長いパスワードを使うのは非現実的なのではないか?という疑問は残ります。

 

●自販機(メーカ名などは伏せてました)

今回一番パフォーマンス・チックに満ちたのが自販機。

f:id:alienware:20160913232746p:plain

中国の自販機はサードパーティ(alipay, wechatpay)のオンライン決済機能を搭載しており、もはや大きなIoTと化しておる状態。実演では、細工した二次元バーコード情報を自販機スキャン・インターフェイスから 読み込ませ、料金を支払わない状態でドリンクを無尽蔵に引き出すデモンストレーションを行っておりました。

 

ジェフ氏も興味津々の模様でした。

f:id:alienware:20160913232758p:plain

ハッキング|HackPWN

【HackPWN】
昨年、豆乳メーカーやスマート洗濯機のハッキング実演で話題になりました、360社主催の HackPWN。今年は ISC 360セキュリティ大会と合併して開催されました。(ISC 360 会合自体は3万人も来場)

f:id:alienware:20160911214308p:plain

 

さて60万人民元(一千万円!)もの賞金が出されたこの HackPWNで、家庭スマートロボット、スマートロック、UFOキャッチャーなど幾つかの目玉ショーがありました。

f:id:alienware:20160911221241p:plain

 

家庭用ロボットでは「音声対話」部分が着目されました。音声対話の仕組みは、

1. 人間からの音声入力を文字列として識別

2. 識別した文字列をクラウドに送信

3. クラウドが処理し、応答をロボットに返信・出力

となってますが、実演者は音声入力部分で細工した音声をインプットし、それをクラウド側で処理する際に任意の応答を埋め込み、最終的にロボット応答で出力することに成功しました。

f:id:alienware:20160911222119p:plain

UFOキャッチャーは、2次元バーコード支払い(サードパーティ・ペイメント)部分で細工した情報を読み込ませ、好きなだけキャッチを繰り返せるようにした模様です。

 

そして 360 といえばやはりカー・ハッキング。

f:id:alienware:20160911222350p:plain

 

まずUnicorn Teamがスマート・キー・ハッキングを実演。

続いてテスラの自動運転に対し、カメラと超音波センサーに対し細工した信号を送信することで、自動運転うまく機能しないことが説明されました。

f:id:alienware:20160911223104p:plain

 

そしてカー・ハッキング競技では、参加チームに Vehicle Spy を含むツールが配られ、攻撃対象車両の Low Speed CAN125kbps)及び High Speed CAN (250 Kbps)に対し

攻撃を行うよう設定されました。

f:id:alienware:20160911223145p:plain

 

優勝を獲得したのはチーム「Lcesep」。

f:id:alienware:20160911223205p:plain

DD4BC|越境

日本での傾向同様、ここ2,3日多くの中国企業が DDoS 攻撃脅迫メールを受信しました。

f:id:alienware:20160906230813p:plain

メールの内容はこのようなものです:
-------------------------------------
我々は Armada Collective(無敵艦隊)である
貴組織のシステムにセキュリティ・テストを行った。お宅のシステムは実にダメで、非常に古いだけでなく、しかも深刻なセキュリティ・ホールがある。

我々は火曜(06-09-2016)夜八時(グリニッジ標準時)に攻撃を開始する!
耐 DDoS 攻撃能力を検証するためにいくつかの標的組織を選んだ。DDoS トラフィックは10から300GBになるであろう。我々はまたセキュリティ・ホールをチェックするスクリプトを実行し、直接データベースにアクセスするつもりである。

貴組織のイントラのすべてのパソコンはウイルス&ランサムウェアに感染するであろう。

攻撃が開始する前に1ビットコイン支払えば、攻撃から逃れることが出来る。
ビットコイン・アドレス:16fZWNeQ6rQLnYnfGHUciJaAUYowuAc4rh

攻撃が開始する前に支払がなければ、支払い額は20ビットコインに跳ね上がる。

今こそ決定する時だ!1ビットコインを上述アドレスに支払え。
-------------------------------------

f:id:alienware:20160906231038p:plain

 

Armada Collective(無敵艦隊)は長らく DD4BC の別名のように扱われてきました。

DD4BCとは"DDos for Bitcoin"の略で、名前通り企業に対し、「ビットコインを支払わないと DDoS 攻撃を仕掛けるぞ」、と脅迫します。
Armada Collectiveはかなり有言実行で、非協力的な企業には着実に DDoS 攻撃の波が襲いかかってます。知名度は確実に高い故に、同業者が偽り脅迫を行う事件も多く発生。一月にはユーロポールが関係者を逮捕したと報道されましたが、四月に別の事件でも DD4BC が逮捕されたとされ、よく調べたら同業の偽物だとわかりましたが、この偽物でさえも10万ドルを既に騙し取り入手したそうです。

 

大手クラウド事業者のアリババ(aliyun.com )も昨年末からこれら攻撃を意識しております。これまで最高453.8Gbpsの攻撃に対処したことがあると説明。

f:id:alienware:20160906231636p:plain

 

 

もう一社、大手のバイドゥ(yun.baidu.com)は更にアグレッシブな声明を。

f:id:alienware:20160906232252p:plain

「我々大漢(=中国)を侵すものに対しては、徹底的に戦う!」

今、世界で一番緊張している地域はどこだろう?
-トルコとシリアの国境線?
-パリ(国連気候変動会議)?(テロ)
-Armada Collectiveのサイバー攻撃を加えるべきだ!!
・・・・・

サイバー・ダークフォースには決して屈しない!!!

ネット右翼風な書きっぷりはどうかと思いますが、、

なんとも、頼もしいばかり?です。

脆弱性|告白

最近メディアさんの報道ですっかり有名になったWOOYUNですが、中国の脆弱性公開プラットフォームはなにも WOOYUNだけではありません。同じく有名なところは360の補天、Freebufの脆弱性ボックス=VULBOXがあります。


某読*さんの報道では、ホワイトハッカー達は有名な企業に迎え入れられるために、せっせと脆弱性発掘を行って嬉々と暴露掲載しているように受け取られますが、実態はちょっと異なります。

中国ハッカー、穴のあるサイト公表…日本関連も : 社会 : 読売新聞(YOMIURI ONLINE)

 

サードパーティによる脆弱性公開の仕組みは少々複雑に見えますが、目的は凄くシンプルで、ホワイトハッカーの脆弱性探索力を、脆弱性公開予告によって、ベンダーの問題修正へと向かわせる「圧力団体」です。


根底の考えは、「脆弱性はさっさと直すに限る。ベンダーの牛歩に合わせて脆弱性を隠蔽していると、そのうち本当の悪意のある者達に悪用され大きな破壊活動が始まってしまうかもしれない。ならいっそのこと脆弱性そのものを公開してしまえば、悪い人たちにもいい人達にも情報が知れ渡る。短時間内は少し不安定な状態になるかもしれないが、いずれ収束解決して落ち着く方向に向かうだろう」、ということです。

 

さて今回はちょっと変わったタイトルになりましたが、上述の VULBOXさんが昨日からあるキャンペーンを始めました:

「520 VULBOXが代わりに告白してあげます」

f:id:alienware:20160519223204p:plain

5月20日は日本では東京港、及び成田空港開港記念日となっておるようですが、520は普通話で「WU ER LIN」≒「我爱你」=アイ・ラブ・ユーとちなんでおりまして、最近この日をもう一つのバレンタインみたいな感じに扱っております。

 

そこでVULBOXさんはこのキャンペーン開催の趣旨をこのように述べてます:「技術発展が日進月歩な昨今において、68.3%のホワイトハッカーは依然として独身だというデータがあります。この中でも、好きな相手はいますが奥手で告白を遅々として行えない者が少なくなく、自分がロマンチックでないが故に、女性の心を感動させることが出来ないと諦めています」。そこでこのキャンペーンが登場しました。

f:id:alienware:20160519233019p:plain

■名称
「520 VULBOXが代わりに告白してあげます」

■内容
期間中に VULBOX 脆弱性&脅威情報で届出且つ「高度な危険性」と判定された者は、参加者が密かに恋心を抱いている相手に、VULBOX が代わりに告白カードとチョコレートを進呈いたします。

■期間
2016/05/19 00:00~2016/05/20 18:00

■ルール
1.届出の際にサブジェクトに【520】と記載し、キャンペーン参加と明示
2.脆弱性が高度な危険性と判定された者のみ、告白のチャンスが与えられます
3.脆弱性判定が通った方は、VULBOX本来の奨励プログラムに加え、VULBOX嬢が代わりに告白を代行します。VULBOX嬢より連絡が行きますので、告白する相手の名前・住所等を教えて下さい
4.同じく判定が通った方は、FreeBufトップページで各自の告白メッセージを掲載する機会が与えられます
5.リマインド:告白は一人の相手に絞ったほうが、成功確率が高くなります

■高度な危険性の脆弱性とは
1.脆弱性の発見及び使用方法が斬新
2.著名なベンダ製品・サービスの脆弱性
3.影響範囲が広大
4.脆弱性の危害が主観判断ではなく客観的に証明できるもの

 

 

・・・・・・さて こんかいはこころが和む?内容でしたが、いかがでしょう?

Struts2|血洗

今宵、中国セキュリティ業界は蜂の巣を突かれたのような大騒ぎです。

 

Apache Struts2 の脆弱性(S2-032/CVE-2016-3081)が。

S2-032 - Apache Struts 2 Documentation - Apache Software Foundation

f:id:alienware:20160427014425p:plain

 

遠隔からコードを実行される可能性があり、バージョン2.3.18-2.3.28が影響を受けます。最新バージョンへの更新、DMIの停止が推奨されます。

※中国国内ではバージョン2.3.16で運用されているものが少なくない模様

 

さて中国メディアでは「今宵、中国インターネット界は Struts2 により、血で洗われた」と大変恐ろしい表題を付け、2012年の大規模な Struts2脆弱性以来の影響になるであろうと表現しております。

 

news.mydrivers.com

事実を裏付けるように、 WOOYUN 上でもどんどん該当するサイトが投稿されて行ってます。WOOYUN管理者を含む、知人のセキュリティ関係者達が悲鳴を上げてますが、さてどうなるやら。。。日本のサイトもありますね。

f:id:alienware:20160427015254p:plain

 

ちなみにこの脆弱性を見つけ、届けたのも、中国セキュリティ会社(杭州安恒)の研究者です。

・杭州安恒

http://www.dbappsecurity.com.cn/

 

※安恒さんからオンライン検査ツールがでました。ご活用にどうぞ

Struts2 s2-32漏洞在线检测

 

さらに詳細原理は、同じく中国ベンダのNSFOCUSさんがご説明されてます:

Struts2方法调用远程代码执行漏洞(CVE-2016-3081)分析 | WooYun知识库

 

早く収まるように。

逸話|グレートファイアウォール

先日、サイバー空間セキュリティ協会の初代理事長に方濱興氏が就任されたと書きました。

さて本日、当の方濱興氏についてあちらこちらの台湾サイトでこのような記事が。

news.ltn.com.tw

disp.cc

要約整理すると、偉大な方氏はハルビン工業大学にスペシャルゲストとして、スペシャル授業講演を行いました。その授業で、国家ファイアウォールの必要性を示すために韓国を例として実演デモを行おうとしましたが、アクセスしようとしたサイトは逆に自分が作り上げたGFWに遮断されたそうです。

※韓国の国家ファイアウォール、と言うのは恐らくDNSポイズンにて不良サイトへのアクセスを警告ページにリダイレクトするものだと思います。

 

さて上述ニュース記事では伝わらない、当時の雰囲気を一番よくを体感することができるのは、授業を受けた学生がwechatした内容です。

f:id:alienware:20160404215917p:plain

意訳:「方氏の学校で行った講演は、韓国の国家ファイアウォールを実例として実演しようとしました。彼は韓国のサイトにアクセスしようとしましたが、御自分が作り上げたGFWに遮断され、万事休すお手上げなのでVPNを使いました。笑い転げました、人間はここまで恥知らずに出来るものだと。病魔(注1)が一日も早く方校長(注2)に勝つことを祈ります。

注1:方氏は数年前より病に悩まされてると噂されてます

注2:方氏は昨年まで、北京郵便電気大学の校長を務めてました

 

f:id:alienware:20160404221120p:plain

 

どの時代も若者達は率直な発言をされますが、それにしてもGFWを作り上げた、方氏が中国の若いネット世代にいかに好かれてるかがヒリヒリと伝わってきます。

 

 

丸見え|ガス燃料 SCADA

※ WOOYUN 公開情報より転載引用

チャイナ・リソース社が某市(毛主席の故郷に限りなく近い)に提供したガス燃料 SCADA システムがインターネットから接続可能な上、 Struts2 の脆弱性で中身が丸見えな状態に。

かなりよろしくない状態ですが、WOOYUNがベンダ通知(3/24)したにもかかわらずベンダは「無視」=対応しないことを決め込んだ模様なので、WOOYUNは3/29に内容公開に踏み切りました。

f:id:alienware:20160404000719p:plain

チャイナ・リソース=华润(集团)有限公司(China Resources (Holdings) Co.,Ltd.)の設立は1938年迄たどり着き、はかつて共産党中央事務局・中央貿易部(いまの商務部)に所属していた国営企業であり、不動産/電力/セメント/天然ガス/医療/金融/公共事業などの分野に展開しています。
今回の华润燃气(HK1193)は香港で上場している5関連企業の一つであり、フォーブス誌では世界企業ランキングで115位にランクされているほどの大企業です。

f:id:alienware:20160404000851p:plain

・华润燃气
http://www.crcgas.com/

 

■WOOYUNに届けられた内容

(引用分は画像下に標記)

 

さて某グローバルIPに接続するとこのような画面が。
xxx.xxx.xxx.xxx:5902/cs/main.jsp

f:id:alienware:20160404001000p:plain

しっかりと SCADAシステムのログイン画面が出ました。

 

さてJSP ということで、 struts2 脆弱性ツールで覗いてみると。。。中身が見える見える。パッチ当ててないですね。

f:id:alienware:20160404001302p:plain

 

コマンド(windows)も実行できちゃいます。

f:id:alienware:20160404001321p:plain

 

幾つか変わった名前のユーザもありました。公開されてから覗きに入った方々が残していったものの模様。

f:id:alienware:20160404001400p:plain

 

 

ここまでくるとDBのパスxxxxも見えてしまったような。。。

f:id:alienware:20160404001716p:plain

(wooyun.orgより引用)

 

さてユーザを作成し、堂々と正面よりログイン。もはやモザイクをかける意味はあまりないですが。。念のため。

電源/温度計/圧力計/ガス漏洩探知/緊急バルブ/ガス液面計・・・・もろにみえます

f:id:alienware:20160404002007p:plain

(wooyun.orgより引用)

 

IT化がここまで進められてるのには感服しますが、外部からアクセス可能に設定する必要性は本当にあるのでしょうか?

f:id:alienware:20160404002414p:plain

(wooyun.orgより引用)

 

ModBus のデータ受信とデータ送信が見えましたが。。。もはや見られるくらいいいだろう、を超えて SCADA を操作されてもいいだろう、の域に入っちゃってます。

f:id:alienware:20160404002804p:plain

(wooyun.orgより引用)

 

■あとがき

WOOYUN本サイトへの直リンクはあえて省略させていただきましたが、ご興味のある方は検索エンジンで探してみてください。

それにしても、フォーブス世界企業ランキング115位の企業がこのような対応(脆弱性を放置)。大企業に見られる通病として、時として風通しがかなり悪くなるのも致し方無いのですが、 WOOYUNのような圧力団体の気苦労も伺えます。