2011年8月アーカイブ

日本の大手ショッピングサイトである楽天のテスト・リクエストがあり、楽天を調査してみることにします。楽天やYahoo!は、最近出てきたイケイケベンチャーと違うので、それなりのセキュリティ対策が期待されます。

＜準備＞
調査の方法は、いつものようにGoogle Chrome、WireShark、WebTasterの３点セットです。

＜調査＞
WireSharkで、パケットを盗聴しながら、Google Chromeで楽天にアクセスし、ログインします。
さすが、楽天は、ログインや登録回りは完全にＳＳＬになっていて、全く盗聴することができません。
ログイン完了後に表示される画面は、ＳＳＬではなく暗号化されていないページです。
期待通りセッションハイジャックできる予感です。

ここで、盗聴パケットを見ると、クッキーが取得できていますが．．．
クッキーのデータの中に、こちらのＩＰアドレスが埋め込まれています。
これにどの程度のセキュリティ効果があるのかわかりませんが、とにかくアクセス元の情報を埋め込んでいます。

WebTasterを起動し、楽天にアクセスします。
この状態では、楽天にログインしていません。
ここで、WebTasterを使って、クッキーを先ほど取得したデータに改竄書換、再度、楽天にアクセスすしてみます。

結果は、見事にセッションハイジャック成功です。

管理人の個人名と、現在のポイントが表示されています。
その他、カートの中身や、閲覧履歴などを、セッションハイジャック状態で見ることができます。

しかし、氏名以外の個人情報や買い物実行などでは、再度ログインを要求されるようになっています。

イケイケＩＴベンチャーとは違い、海外サイトと同等の対策がされています。

ユーザーセキュリティのランキング表に、昨日調査した楽天を追加しました。

調査対象のご希望などあれば、メールでご連絡ください。
※ただし、必ずしも対応できるというものではありません。

＜サービスプロバイダの皆様へ＞
ランキングに誤りがある場合や、その後に修正をした場合などは、P-SEC管理人宛にメールをいただければ、確認後にランキングを修正いたします。

メールアドレス：ｍｅｉｒｕ＠ｐ－ｓｅｃ．ｎｅｔ

楽天がクッキー盗聴によって、セッションハイジャックできるかどうかを実験しましたが、その時に、楽天のクッキーの中に、ユーザーのＩＰアドレスのようなデータが含まれていることを発見しました。

　Apache=122.24.129.222.95275512447477966;

このような「122.24.129.222」
このＩＰアドレスらしきを、逆引きして調べてみると

　C:\>nslookup 122.24.129.222
　Server:
　Address:  192.168.1.1
　Name:    p2222-ipbf1106hodogaya.kanagawa.ocn.ne.jp
　Address:  122.24.129.222

これは、管理人がインターネット接続しているＩＰアドレスです。

ユーザーセキュリティの視点で、これがセッションハイジャック対策の為だとすると、とても興味深いです。
クッキーを盗聴されて、それを使ったセッションハイジャックが行われたとしても、

"同じＩＰアドレスでないとハイジャックできない仕組み"

かもしれません。
このことを確認する為に、WebTasterを使って簡単な実験を行ってみます。

＜実験＞
１．WebTasterを使って、楽天にアクセスし、ログインします。
２．WebTasterのクッキー書換機能で、クッキーの中のＩＰアドレスらしきデータを別のデータに書き換えます。

このようにＩＰアドレスが実際にＩＰアドレスと違う状態で、楽天のセッションが維持できるのか？

＜結果＞
クッキーの中のＩＰアドレスは新しいものに書き換えられ、特に支障なくセッションは維持されました。

実験が終わってから良く考えてみれば、あたり前のことでした；；
家庭のＩＰアドレスにしてもWiFiアクセスポイントのＩＰアドレスにしても、アクセスする場所や時間によって、当然ながら変わっていきます。
その都度々々に、ログインを求められることはないですからね。

それにしても、WebTasterは、ブラウザのアクセスをそのままに、セッション限りのクッキーまで簡単に、自在に改竄できて、セキュリティ研究家には堪らない便利ソフトです。

iPadやiPod、PSP、ニンテンドーＤＳ、ノートパソコンなど、WiFi接続する機器が沢山あります。これらの機器は、外出先でもどこでも、近くにあるアクセスポイントを探して、そこに接続をすることができます。もちろん暗号化設定がされているアクセスポイントには、暗号キー（パスワード）が分からないと接続できませんが。

実は、このWiFiのアクセスポイントというのが、個人のセキュリティを考える上で大きな危険性を含んでいます。

何が危険かというと、そのアクセスポイントは罠かもしれないということです。

＜事例１＞
Ａ君は、喫茶店で、インターネットを使いたくなり、iPodで接続できそうなWiFiのアクセスポイントを検索してみました。
すると、暗号化をされていない「BBUser」というアクセスポイントを発見。
「ラッキー、セキュリティゆるゆるのオバカな人が、この近くに住んでるじゃん」
さっそくiPodでメールをチェック。

この場合、このアクセスポイントは罠かもしれません。最近では、個人がアクセスポイントを立てることは、とても簡単です。自宅にインターネット回線があれば、安いものなら１５００円くらいでアクセスポイントを立てることができます。
そして、「わざと暗号化なしのものを用意し、これに繋いでくる人をハッキングする」ということは、当たり前のように行われています。
あなたはラッキーと思うかもしれませんが、そこには、あなたの接続を待ち構えている犯罪者がいる可能性があるのです。

あなたのログイン情報やパスワードが盗まれたり、メールの内容を盗み見されないようにする為には、このようなアクセスポイントにむやみに接続してはいけません。

ミイラ取りがミイラになってしまいます。

実際のハッキングに挑戦して、Webセキュリティの基礎知識を高めようという、ハッキングの実験サイトが登場。

hack the eek

管理人の愛用しているWebTasterでのセキュリティ検査や、ハッキング、侵入などが体験できるようです。

基本は、SQLインジェクションでしょうか。

さっそく、管理人も挑戦してみます。

WiFiを使うと、友人や恋人をハッキングすることが簡単にできます。
前回の記事で紹介した通り、自宅にWiFiのアクセスポイントを開設しておけば、そこに接続した友人や恋人の通信パケットを盗聴することはとても簡単なことです。
お金も数千円しかかかりません。
とても現実的なストーキング（ハッキングとは言えないので）の方法です。
　
WiFiに暗号が掛かっていれば安全なのでしょうか？
　
　
これが、大いなる勘違いのポイントです。

WiFiの暗号化というのは、空中を飛んでいる間は暗号化しているというもので、ひとたびアクセスポイントに到達すると、そこから先は暗号は外されしまうので、備え付けのPC等からは丸見えの状態になります。
　
友達の家にいって、「暗号キーは１２３４だよ」と言われて、暗号化されているからと安心してWiFiに接続すると、あなたの通信は盗聴されているかもしれません。
（悪用厳禁）

ネットストーカーの方法を紹介することは、本来のパーソナルセキュリティの目的とは真逆になります。しかし、こんなに簡単にストーカーされる危険性があるということを認識してもらう意味であえて紹介します。

＜方法＞

ここでは、ipod touchを使っている彼女をストーキングする例で紹介します。

１．まず、パソコンショップに行って、ゲーム機をパソコンに繋ぐ為のUSB型のWiFiアダプタを入手します。１５００円程度です。

２．これをパソコンに接続し、無線LANのアクセスポイントとして設定します。
　この時、WiFiの暗号設定もします。
　（暗号化は、しなくても構いませんが、暗号設定すると相手が安心します。）

３．同じPCにWireSharkをインストールし、盗聴の準備をします。

　
４．友達が来たら、無線LANのアクセスポイントと暗号キーを教えて、ipod touchに設定してもらい、ipod touchでいろいろなネットにアクセスして見せてもらいます。

これだけで、あなたのPCの中には、彼女のログイン情報がたくさん収集されてしまいます。

どんなサイトが危ないのか？どんなことをされてしまうのか？

そのあたりは、徐々に解明して行きますが

ここで言いたいのは、１５００円のアダプタで、あなたがストーカーされる危険性がある。
彼氏や友達の家のアクセスポイントには、安易に接続してはいけない！
ということ。

この認識が重要なのです。

そしてこれは、ipod touchだけの問題ではなく、WiFi接続できるモバイル機器、PCやiphone、スマートフォン、携帯電話やゲーム機でも同様に発生する問題なのです。

パスワードについて、"推測されにくいもの"を使わなければいけないというのは、もはや常識です。

しかし、ここにあるハッキング手順などを読んでいると

　hack the eek （ハッキングチャレンジ）

推測されてはいけないパスワードだけではないことがよく分かります。

自分でＩＤをつける場合、あるいはデータベースを設計する場合、どんな場合でも、少しひねりを加えた文字列にしておくことが、セキュリティ向上のポイントと言えそうです。

最初の壁を乗り越えられた場合の安全を保つ為には、今までは意識していなかったところにも、ちょっとひねった情報を使うということ。

例えば、当研究会のＩＤを決めるなら

　p-sec

にはしないで

　p__sec_

などと、ちょっと捻っておくということです。