脆弱性|ハンドリング

6月18日に中国の電気通信&ソフトウェア産業管轄省庁である、工業情報化部より 「脆弱性ハンドリング規定」パブコメが公開されました。

www.tjcac.gov.cn

 

意見公募が始まったばかりですが、今後の中国国内の

・セキュリティ(ハッキング)カンファランス

・CTF競技

・ネットワーク接続製品/サービスの製造元(ベンダー)

への大きな影響はあるでしょう。 

 

----------------------------------------------------------------

网络安全漏洞管理规定(征求意见稿)

  第一条 为规范网络安全漏洞(以下简称漏洞)报告和信息发布等行为,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,根据《国家安全法》《网络安全法》,制定本规定。

→【目的】脆弱性届出及び公開などの行為に対し、ネットワーク接続製品・サービス・システムに関連する脆弱性がオンタイムで修正されることを催し、全体のサイバーセキュリティレベルを向上するため

  第二条 中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。

→【対象】中国国内にてネットワーク接続製品/サービスの提供及びネットワーク運営をしている者、並び脆弱性診断・評価・収集・公開・関連競技等活動を行っている組織・個人

  第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:

→対象者が該当製品・サービス・システムに存在する脆弱性を認知した後のアクション

  (一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;

→【製品/サービス/システムに対するアクション】直ちに脆弱性に対し検証を行い、製品が該当する場合は90日以内にパッチ或いは防護処置を行い、サービス或いはシステムが該当する場合は10日以内にパッチ或いは防護処置を行う。

  (二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

→【ユーザ/技術協業先に対するアクション】ユーザ或いは技術協業先のパッチ或いは防御処置の協力が必要な場合は、製品・サービス・システムがパッチ/防御処置を行った5日以内に、脆弱性のリスク及びユーザ・技術協力先に必要なアクションを社会向けに公開し、カスタマーサポートより全ての影響を受けるユーザ・技術協業先に連絡を行い、必要な技術サポートを提供する。同時に、工業情報化部「サイバーセキュリティ脅威情報共有プラットフォーム」にも関連情報の届出を行う。

  第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。

  第五条 工业和信息化部、公安部、国家互联网信息办公室等有关部门实现漏洞信息实时共享。

→【省庁間情報共有】工業情報化部・公安部・国家インターネット情報弁公室

  第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定:

→【脆弱性情報公開ルール】サードパーティ・研究者・セキュリティカンファランス向け

  (一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;

→ベンダーがパッチ/回避策をリリースする前に公開してはならない

  (二)不得刻意夸大漏洞的危害和风险;

→脆弱性の危害・リスクに対し誇大な記述をしてはならない

  (三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;

→セキュリティに危害を与える、脆弱性発掘専用ツールの公開・提供をしてはならない

  (四)应当同步发布漏洞修补或防范措施。

→脆弱性公開はパッチ/回避策とともに行われることが望ましい

  第七条 第三方组织应当加强内部管理,履行下列管理义务,防范漏洞信息泄露和内部人员违规发布漏洞信息:

→脆弱性研究者内部管理義務

  (一)明确漏洞管理部门和责任人;

→脆弱性管理部門及び責任者の明確

  (二)建立漏洞信息发布内部审核机制;

→脆弱性情報公開の内部審査プロセスを確立

  (三)采取防范漏洞信息泄露的必要措施;

→脆弱性情報漏洩防止に必要な予防処置を行う

  (四)定期对内部人员进行保密教育;

→定期的に組織内人員に対し機密保持教育を行う

  (五)制定内部问责制度。

→問題発生時の内部責任ありか・罰則を明確にする

  第八条 网络产品、服务提供者和网络运营者未按本规定采取漏洞修补或防范措施并向社会或用户发布的,由工业和信息化部、公安部等有关部门按职责依据《网络安全法》第五十六条、第五十九条、第六十条等规定组织对其进行约谈或给予行政处罚。

→【行政処罰】

  第九条 第三方组织违反本规定向社会发布漏洞信息,由工业和信息化部、公安部等有关部门组织对其进行约谈,或依据《网络安全法》第六十二条、第六十三条等规定给予行政处罚;构成犯罪的,依法追究刑事责任;给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。

→本規定に違反し脆弱性公開を行ったものは行政処罰・刑事責任・民事責任にそれぞれ問われる

  第十条 鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后,及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。漏洞收集平台应当遵守本规定第六条、第七条规定。

→【国の脆弱性DBへの届出】奨励で強制とはなっておりません

→国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)と2つ並べているのは、やはり同じ省庁管轄になって久しいとはいえ、CNCERTとITSECの間の垣根は高く、権力闘争は続きます・・・

  第十一条 任何组织或个人发现涉嫌违反本规定的情形,有权向工业和信息化部、公安部举报。

  第十二条 本规定自印发之日起施行。

 

ハッキング|XPWN

8月中旬のISC360/HackPWNにつづいて、8月末にはKCON/XCON+XPWNがたて続きに開催されました。

f:id:alienware:20160913224947p:plain

 

KCONのネーミングは主催者KNOWNSEC社の頭文字Kからとったもので、6月西安会場に続いて今回が北京会場、会場に約800人もが来場されました。朝一の開場式からロックバンドを入れてガンガンやったKCONと比較してXCONは比較的こじんまりとした感じで、人数も200人くらいと抑え気味でした。両カンファランスとも、ブラックハット主催者のジェフご一行が来場されまして、この2つのイベントが重要視されてることが示されました。

f:id:alienware:20160913224756p:plain

 

さてカンファランスはさておき、XCONの後半に行われたハッキング競技のXPWNに焦点を当ててみます。

f:id:alienware:20160913225649p:plain

 

昔と違って、このようなハッキング実演・競技の会場は派手になりつつあり、いろんなパフォーマンスの要素を入れております。

こちら入場のパネルですが、外人のモデル2名を設置し、幻想的な、ギリシアチック?な演出をしておりました。

f:id:alienware:20160913230022p:plain

 

今回の賞金は延べ500万人民元用意されましたが、換算すると約1億円!にも達してました。

f:id:alienware:20160913230302p:plain

 

XCON/XPWN主催者の王さん。相変わらずお元気でした。

f:id:alienware:20160913230516p:plain

 

ブラックハット主催者の Jeff Moss氏。彼の中国での知名度はなかなかのものでした。

f:id:alienware:20160913230616p:plain

 

壇上にはハッキング実演専用の台が設けられ、進行状況を即時で背面大スクリーンで中継。

f:id:alienware:20160913230802p:plain

 

そして今回ある意味会場で一番目立ってたのが、これらの「会場中継美女団」。各自自撮り棒を用意し、それぞれが主役になり会場の様子をSNSで中継しておりました。

勿論、各々美女がSNSでの「主役」で、会場はある意味「配役」と言う、これまでの報道とは真逆の視点の報道仕方ですが、ハッキングとかハッカーなど馴染みない人たちにとっても、女性の美貌に釣られて?このイベントに関心をよせるという、ある意味非常に斬新的なやり方に感心しました。

f:id:alienware:20160913230923p:plain

 

 

さていくつか実演された製品です。もちろん、対象になった製品のメーカさんにとってはあまり喜ばしいことではないかもしれませんが。。。

 

●シャオミXiaoMiのホーム・ゲートウェイ

名の通り、家電製品やXiaoMi社が販売している家庭内用の様々なセンサー(温感、ドアロック、湿度などなど)を一括してコントロールする装置です。

特筆すべき事項は、XiaoMi社のセキュリティ担当者も来場しており、ハッキング実演の後に次のようなアクションを行っておりました:

ー壇上で脆弱性発見者に謝辞を述べた

ー該当脆弱性に対しすでに対処済みであり、パッチ公開済みである

ーXiaoMiのすべての新・旧製品に対し自動更新でパッチを当ててある

たとえパフォーマンスにせよ、中国でもこのようなセキュリティに対しちゃんと責任を取るベンダーが増えることは実に喜ばしいことです。

f:id:alienware:20160913231521p:plain

 

●ルータ:iKuai&極

セキュリティ対策が施されていないルータはもはや脆弱性の宝庫、ウェブ系を始め、いろんな脆弱性がゾロゾロでてきます。

f:id:alienware:20160913231530p:plain

 

●ソ○ー VxIO

さて日本メーカの製品がついに出てしまいました。。。わかる方にはもはや文字隠しても意味が無いと思いますが一応。

f:id:alienware:20160913232032p:plain

 

この脆弱性というのは、BIOS画面でパスワード入力を設定すると、起動時パスワード入力が要求されます。

f:id:alienware:20160913232258j:plain

これを三回間違えると、ワンタイム・パスワード入力画面に切り替わると言うもの。

f:id:alienware:20160913234727j:plain

このパスワード生成アルゴリズムで使用されているKEYが64ビットで、破られてしまった模様。発見者はもっと強固な1024ビットあるいは更に長いKEYを使用すべきだ、と説明しておりましたが、そもそも1024ビットで生成された、人間入力が非常に困難な長いパスワードを使うのは非現実的なのではないか?という疑問は残ります。

 

●自販機(メーカ名などは伏せてました)

今回一番パフォーマンス・チックに満ちたのが自販機。

f:id:alienware:20160913232746p:plain

中国の自販機はサードパーティ(alipay, wechatpay)のオンライン決済機能を搭載しており、もはや大きなIoTと化しておる状態。実演では、細工した二次元バーコード情報を自販機スキャン・インターフェイスから 読み込ませ、料金を支払わない状態でドリンクを無尽蔵に引き出すデモンストレーションを行っておりました。

 

ジェフ氏も興味津々の模様でした。

f:id:alienware:20160913232758p:plain

ハッキング|HackPWN

【HackPWN】
昨年、豆乳メーカーやスマート洗濯機のハッキング実演で話題になりました、360社主催の HackPWN。今年は ISC 360セキュリティ大会と合併して開催されました。(ISC 360 会合自体は3万人も来場)

f:id:alienware:20160911214308p:plain

 

さて60万人民元(一千万円!)もの賞金が出されたこの HackPWNで、家庭スマートロボット、スマートロック、UFOキャッチャーなど幾つかの目玉ショーがありました。

f:id:alienware:20160911221241p:plain

 

家庭用ロボットでは「音声対話」部分が着目されました。音声対話の仕組みは、

1. 人間からの音声入力を文字列として識別

2. 識別した文字列をクラウドに送信

3. クラウドが処理し、応答をロボットに返信・出力

となってますが、実演者は音声入力部分で細工した音声をインプットし、それをクラウド側で処理する際に任意の応答を埋め込み、最終的にロボット応答で出力することに成功しました。

f:id:alienware:20160911222119p:plain

UFOキャッチャーは、2次元バーコード支払い(サードパーティ・ペイメント)部分で細工した情報を読み込ませ、好きなだけキャッチを繰り返せるようにした模様です。

 

そして 360 といえばやはりカー・ハッキング。

f:id:alienware:20160911222350p:plain

 

まずUnicorn Teamがスマート・キー・ハッキングを実演。

続いてテスラの自動運転に対し、カメラと超音波センサーに対し細工した信号を送信することで、自動運転うまく機能しないことが説明されました。

f:id:alienware:20160911223104p:plain

 

そしてカー・ハッキング競技では、参加チームに Vehicle Spy を含むツールが配られ、攻撃対象車両の Low Speed CAN125kbps)及び High Speed CAN (250 Kbps)に対し

攻撃を行うよう設定されました。

f:id:alienware:20160911223145p:plain

 

優勝を獲得したのはチーム「Lcesep」。

f:id:alienware:20160911223205p:plain

DD4BC|越境

日本での傾向同様、ここ2,3日多くの中国企業が DDoS 攻撃脅迫メールを受信しました。

f:id:alienware:20160906230813p:plain

メールの内容はこのようなものです:
-------------------------------------
我々は Armada Collective(無敵艦隊)である
貴組織のシステムにセキュリティ・テストを行った。お宅のシステムは実にダメで、非常に古いだけでなく、しかも深刻なセキュリティ・ホールがある。

我々は火曜(06-09-2016)夜八時(グリニッジ標準時)に攻撃を開始する!
耐 DDoS 攻撃能力を検証するためにいくつかの標的組織を選んだ。DDoS トラフィックは10から300GBになるであろう。我々はまたセキュリティ・ホールをチェックするスクリプトを実行し、直接データベースにアクセスするつもりである。

貴組織のイントラのすべてのパソコンはウイルス&ランサムウェアに感染するであろう。

攻撃が開始する前に1ビットコイン支払えば、攻撃から逃れることが出来る。
ビットコイン・アドレス:16fZWNeQ6rQLnYnfGHUciJaAUYowuAc4rh

攻撃が開始する前に支払がなければ、支払い額は20ビットコインに跳ね上がる。

今こそ決定する時だ!1ビットコインを上述アドレスに支払え。
-------------------------------------

f:id:alienware:20160906231038p:plain

 

Armada Collective(無敵艦隊)は長らく DD4BC の別名のように扱われてきました。

DD4BCとは"DDos for Bitcoin"の略で、名前通り企業に対し、「ビットコインを支払わないと DDoS 攻撃を仕掛けるぞ」、と脅迫します。
Armada Collectiveはかなり有言実行で、非協力的な企業には着実に DDoS 攻撃の波が襲いかかってます。知名度は確実に高い故に、同業者が偽り脅迫を行う事件も多く発生。一月にはユーロポールが関係者を逮捕したと報道されましたが、四月に別の事件でも DD4BC が逮捕されたとされ、よく調べたら同業の偽物だとわかりましたが、この偽物でさえも10万ドルを既に騙し取り入手したそうです。

 

大手クラウド事業者のアリババ(aliyun.com )も昨年末からこれら攻撃を意識しております。これまで最高453.8Gbpsの攻撃に対処したことがあると説明。

f:id:alienware:20160906231636p:plain

 

 

もう一社、大手のバイドゥ(yun.baidu.com)は更にアグレッシブな声明を。

f:id:alienware:20160906232252p:plain

「我々大漢(=中国)を侵すものに対しては、徹底的に戦う!」

今、世界で一番緊張している地域はどこだろう?
-トルコとシリアの国境線?
-パリ(国連気候変動会議)?(テロ)
-Armada Collectiveのサイバー攻撃を加えるべきだ!!
・・・・・

サイバー・ダークフォースには決して屈しない!!!

ネット右翼風な書きっぷりはどうかと思いますが、、

なんとも、頼もしいばかり?です。

脆弱性|告白

最近メディアさんの報道ですっかり有名になったWOOYUNですが、中国の脆弱性公開プラットフォームはなにも WOOYUNだけではありません。同じく有名なところは360の補天、Freebufの脆弱性ボックス=VULBOXがあります。


某読*さんの報道では、ホワイトハッカー達は有名な企業に迎え入れられるために、せっせと脆弱性発掘を行って嬉々と暴露掲載しているように受け取られますが、実態はちょっと異なります。

中国ハッカー、穴のあるサイト公表…日本関連も : 社会 : 読売新聞(YOMIURI ONLINE)

 

サードパーティによる脆弱性公開の仕組みは少々複雑に見えますが、目的は凄くシンプルで、ホワイトハッカーの脆弱性探索力を、脆弱性公開予告によって、ベンダーの問題修正へと向かわせる「圧力団体」です。


根底の考えは、「脆弱性はさっさと直すに限る。ベンダーの牛歩に合わせて脆弱性を隠蔽していると、そのうち本当の悪意のある者達に悪用され大きな破壊活動が始まってしまうかもしれない。ならいっそのこと脆弱性そのものを公開してしまえば、悪い人たちにもいい人達にも情報が知れ渡る。短時間内は少し不安定な状態になるかもしれないが、いずれ収束解決して落ち着く方向に向かうだろう」、ということです。

 

さて今回はちょっと変わったタイトルになりましたが、上述の VULBOXさんが昨日からあるキャンペーンを始めました:

「520 VULBOXが代わりに告白してあげます」

f:id:alienware:20160519223204p:plain

5月20日は日本では東京港、及び成田空港開港記念日となっておるようですが、520は普通話で「WU ER LIN」≒「我爱你」=アイ・ラブ・ユーとちなんでおりまして、最近この日をもう一つのバレンタインみたいな感じに扱っております。

 

そこでVULBOXさんはこのキャンペーン開催の趣旨をこのように述べてます:「技術発展が日進月歩な昨今において、68.3%のホワイトハッカーは依然として独身だというデータがあります。この中でも、好きな相手はいますが奥手で告白を遅々として行えない者が少なくなく、自分がロマンチックでないが故に、女性の心を感動させることが出来ないと諦めています」。そこでこのキャンペーンが登場しました。

f:id:alienware:20160519233019p:plain

■名称
「520 VULBOXが代わりに告白してあげます」

■内容
期間中に VULBOX 脆弱性&脅威情報で届出且つ「高度な危険性」と判定された者は、参加者が密かに恋心を抱いている相手に、VULBOX が代わりに告白カードとチョコレートを進呈いたします。

■期間
2016/05/19 00:00~2016/05/20 18:00

■ルール
1.届出の際にサブジェクトに【520】と記載し、キャンペーン参加と明示
2.脆弱性が高度な危険性と判定された者のみ、告白のチャンスが与えられます
3.脆弱性判定が通った方は、VULBOX本来の奨励プログラムに加え、VULBOX嬢が代わりに告白を代行します。VULBOX嬢より連絡が行きますので、告白する相手の名前・住所等を教えて下さい
4.同じく判定が通った方は、FreeBufトップページで各自の告白メッセージを掲載する機会が与えられます
5.リマインド:告白は一人の相手に絞ったほうが、成功確率が高くなります

■高度な危険性の脆弱性とは
1.脆弱性の発見及び使用方法が斬新
2.著名なベンダ製品・サービスの脆弱性
3.影響範囲が広大
4.脆弱性の危害が主観判断ではなく客観的に証明できるもの

 

 

・・・・・・さて こんかいはこころが和む?内容でしたが、いかがでしょう?

Struts2|血洗

今宵、中国セキュリティ業界は蜂の巣を突かれたのような大騒ぎです。

 

Apache Struts2 の脆弱性(S2-032/CVE-2016-3081)が。

S2-032 - Apache Struts 2 Documentation - Apache Software Foundation

f:id:alienware:20160427014425p:plain

 

遠隔からコードを実行される可能性があり、バージョン2.3.18-2.3.28が影響を受けます。最新バージョンへの更新、DMIの停止が推奨されます。

※中国国内ではバージョン2.3.16で運用されているものが少なくない模様

 

さて中国メディアでは「今宵、中国インターネット界は Struts2 により、血で洗われた」と大変恐ろしい表題を付け、2012年の大規模な Struts2脆弱性以来の影響になるであろうと表現しております。

 

news.mydrivers.com

事実を裏付けるように、 WOOYUN 上でもどんどん該当するサイトが投稿されて行ってます。WOOYUN管理者を含む、知人のセキュリティ関係者達が悲鳴を上げてますが、さてどうなるやら。。。日本のサイトもありますね。

f:id:alienware:20160427015254p:plain

 

ちなみにこの脆弱性を見つけ、届けたのも、中国セキュリティ会社(杭州安恒)の研究者です。

・杭州安恒

http://www.dbappsecurity.com.cn/

 

※安恒さんからオンライン検査ツールがでました。ご活用にどうぞ

Struts2 s2-32漏洞在线检测

 

さらに詳細原理は、同じく中国ベンダのNSFOCUSさんがご説明されてます:

Struts2方法调用远程代码执行漏洞(CVE-2016-3081)分析 | WooYun知识库

 

早く収まるように。

逸話|グレートファイアウォール

先日、サイバー空間セキュリティ協会の初代理事長に方濱興氏が就任されたと書きました。

さて本日、当の方濱興氏についてあちらこちらの台湾サイトでこのような記事が。

news.ltn.com.tw

disp.cc

要約整理すると、偉大な方氏はハルビン工業大学にスペシャルゲストとして、スペシャル授業講演を行いました。その授業で、国家ファイアウォールの必要性を示すために韓国を例として実演デモを行おうとしましたが、アクセスしようとしたサイトは逆に自分が作り上げたGFWに遮断されたそうです。

※韓国の国家ファイアウォール、と言うのは恐らくDNSポイズンにて不良サイトへのアクセスを警告ページにリダイレクトするものだと思います。

 

さて上述ニュース記事では伝わらない、当時の雰囲気を一番よくを体感することができるのは、授業を受けた学生がwechatした内容です。

f:id:alienware:20160404215917p:plain

意訳:「方氏の学校で行った講演は、韓国の国家ファイアウォールを実例として実演しようとしました。彼は韓国のサイトにアクセスしようとしましたが、御自分が作り上げたGFWに遮断され、万事休すお手上げなのでVPNを使いました。笑い転げました、人間はここまで恥知らずに出来るものだと。病魔(注1)が一日も早く方校長(注2)に勝つことを祈ります。

注1:方氏は数年前より病に悩まされてると噂されてます

注2:方氏は昨年まで、北京郵便電気大学の校長を務めてました

 

f:id:alienware:20160404221120p:plain

 

どの時代も若者達は率直な発言をされますが、それにしてもGFWを作り上げた、方氏が中国の若いネット世代にいかに好かれてるかがヒリヒリと伝わってきます。