←変更前
←変更後
変更後は、SSL詐欺表示もなくなり、標準でSSLログインになっています。
当研究会の指摘なんて見ていただいたのでしょうか?
いずれにせよ、GREEさん、早速の対応ありがとうございます。
]]>
←変更前
←変更後
変更後は、SSL詐欺表示もなくなり、標準でSSLログインになっています。
当研究会の指摘なんて見ていただいたのでしょうか?
いずれにせよ、GREEさん、早速の対応ありがとうございます。
]]>
1.ログイン (2点)
標準でSSL
2.個人情報送信 (-3点)
なんと、いまだにSSLなしで、携帯メアド等が送信されます
3.サービス利用時 (0点)
SSLなし
4.個人情報アクセスで再認証要求 (-1点)
求めない
5.クッキー盗聴、セッションハイジャック (-3点)
サービスを成りすましで利用できる
総得点は、-5点
GREEさん、個人情報保護の見直しを是非お願いします。
]]>
予想通り、日本のイケイケベンチャー企業のランキングが低いのが気になります。
もっと、ユーザーの安全について配慮してくれることを期待しています。
サービスプロバイダの皆様へ
ランキングに誤りがある場合や、その後に修正をした場合などは、P-SEC管理人宛にメールをいただければ、確認後にランキングを修正いたします。
-------------------------------
<採点の基準>
1.ログイン
標準でSSL[2]
オプションでSSL[0]
SSLなし[-3]
2.個人情報送信
標準でSSL[2]
オプションでSSL[0]
SSLなし[-3]
3.サービス利用時
標準でSSL[3]
オプションでSSL[2]
SSLなし[0]
4.個人情報アクセスで再認証要求
求める[2]
求めない[-1]
5.クッキー盗聴、セッションハイジャック(SSLでない場合)
]]>ログインできない[3]
ログインできてしまう[0]
サービスなりすましで利用できてしまう[-3]
<準備>
調査の方法は、いつものようにGoogle Chrome、WireShark、WebTasterの3点セットです。
<調査>
WireSharkで、パケットを盗聴しながら、Google Chromeで楽天にアクセスし、ログインします。
さすが、楽天は、ログインや登録回りは完全にSSLになっていて、全く盗聴することができません。
ログイン完了後に表示される画面は、SSLではなく暗号化されていないページです。
期待通りセッションハイジャックできる予感です。
ここで、盗聴パケットを見ると、クッキーが取得できていますが...
クッキーのデータの中に、こちらのIPアドレスが埋め込まれています。
これにどの程度のセキュリティ効果があるのかわかりませんが、とにかくアクセス元の情報を埋め込んでいます。
WebTasterを起動し、楽天にアクセスします。
この状態では、楽天にログインしていません。
ここで、WebTasterを使って、クッキーを先ほど取得したデータに改竄書換、再度、楽天にアクセスすしてみます。
結果は、見事にセッションハイジャック成功です。
管理人の個人名と、現在のポイントが表示されています。
その他、カートの中身や、閲覧履歴などを、セッションハイジャック状態で見ることができます。
しかし、氏名以外の個人情報や買い物実行などでは、再度ログインを要求されるようになっています。
イケイケITベンチャーとは違い、海外サイトと同等の対策がされています。
]]>
調査対象のご希望などあれば、メールでご連絡ください。
※ただし、必ずしも対応できるというものではありません。
<サービスプロバイダの皆様へ>
ランキングに誤りがある場合や、その後に修正をした場合などは、P-SEC管理人宛にメールをいただければ、確認後にランキングを修正いたします。
メールアドレス:meiru@p-sec.net
]]>
Apache=122.24.129.222.95275512447477966;
このような「122.24.129.222」
このIPアドレスらしきを、逆引きして調べてみると
C:\>nslookup 122.24.129.222
Server:
Address: 192.168.1.1
Name: p2222-ipbf1106hodogaya.kanagawa.ocn.ne.jp
Address: 122.24.129.222
これは、管理人がインターネット接続しているIPアドレスです。
ユーザーセキュリティの視点で、これがセッションハイジャック対策の為だとすると、とても興味深いです。
クッキーを盗聴されて、それを使ったセッションハイジャックが行われたとしても、
"同じIPアドレスでないとハイジャックできない仕組み"
かもしれません。
このことを確認する為に、WebTasterを使って簡単な実験を行ってみます。
<実験>
1.WebTasterを使って、楽天にアクセスし、ログインします。
2.WebTasterのクッキー書換機能で、クッキーの中のIPアドレスらしきデータを別のデータに書き換えます。
このようにIPアドレスが実際にIPアドレスと違う状態で、楽天のセッションが維持できるのか?
<結果>
クッキーの中のIPアドレスは新しいものに書き換えられ、特に支障なくセッションは維持されました。
実験が終わってから良く考えてみれば、あたり前のことでした;;
家庭のIPアドレスにしてもWiFiアクセスポイントのIPアドレスにしても、アクセスする場所や時間によって、当然ながら変わっていきます。
その都度々々に、ログインを求められることはないですからね。
それにしても、WebTasterは、ブラウザのアクセスをそのままに、セッション限りのクッキーまで簡単に、自在に改竄できて、セキュリティ研究家には堪らない便利ソフトです。
]]>
実は、このWiFiのアクセスポイントというのが、個人のセキュリティを考える上で大きな危険性を含んでいます。
何が危険かというと、そのアクセスポイントは罠かもしれないということです。
<事例1>
A君は、喫茶店で、インターネットを使いたくなり、iPodで接続できそうなWiFiのアクセスポイントを検索してみました。
すると、暗号化をされていない「BBUser」というアクセスポイントを発見。
「ラッキー、セキュリティゆるゆるのオバカな人が、この近くに住んでるじゃん」
さっそくiPodでメールをチェック。
この場合、このアクセスポイントは罠かもしれません。最近では、個人がアクセスポイントを立てることは、とても簡単です。自宅にインターネット回線があれば、安いものなら1500円くらいでアクセスポイントを立てることができます。
そして、「わざと暗号化なしのものを用意し、これに繋いでくる人をハッキングする」ということは、当たり前のように行われています。
あなたはラッキーと思うかもしれませんが、そこには、あなたの接続を待ち構えている犯罪者がいる可能性があるのです。
あなたのログイン情報やパスワードが盗まれたり、メールの内容を盗み見されないようにする為には、このようなアクセスポイントにむやみに接続してはいけません。
ミイラ取りがミイラになってしまいます。
管理人の愛用しているWebTasterでのセキュリティ検査や、ハッキング、侵入などが体験できるようです。
基本は、SQLインジェクションでしょうか。
さっそく、管理人も挑戦してみます。
]]>
WiFiの暗号化というのは、空中を飛んでいる間は暗号化しているというもので、ひとたびアクセスポイントに到達すると、そこから先は暗号は外されしまうので、備え付けのPC等からは丸見えの状態になります。
友達の家にいって、「暗号キーは1234だよ」と言われて、暗号化されているからと安心してWiFiに接続すると、あなたの通信は盗聴されているかもしれません。
(悪用厳禁)
<方法>
ここでは、ipod touchを使っている彼女をストーキングする例で紹介します。
1.まず、パソコンショップに行って、ゲーム機をパソコンに繋ぐ為のUSB型のWiFiアダプタを入手します。1500円程度です。
2.これをパソコンに接続し、無線LANのアクセスポイントとして設定します。
この時、WiFiの暗号設定もします。
(暗号化は、しなくても構いませんが、暗号設定すると相手が安心します。)
3.同じPCにWireSharkをインストールし、盗聴の準備をします。
4.友達が来たら、無線LANのアクセスポイントと暗号キーを教えて、ipod touchに設定してもらい、ipod touchでいろいろなネットにアクセスして見せてもらいます。
これだけで、あなたのPCの中には、彼女のログイン情報がたくさん収集されてしまいます。
どんなサイトが危ないのか?どんなことをされてしまうのか?
そのあたりは、徐々に解明して行きますが
ここで言いたいのは、1500円のアダプタで、あなたがストーカーされる危険性がある。
彼氏や友達の家のアクセスポイントには、安易に接続してはいけない!
ということ。
この認識が重要なのです。
そしてこれは、ipod touchだけの問題ではなく、WiFi接続できるモバイル機器、PCやiphone、スマートフォン、携帯電話やゲーム機でも同様に発生する問題なのです。
]]>しかし、ここにあるハッキング手順などを読んでいると
推測されてはいけないパスワードだけではないことがよく分かります。
自分でIDをつける場合、あるいはデータベースを設計する場合、どんな場合でも、少しひねりを加えた文字列にしておくことが、セキュリティ向上のポイントと言えそうです。
最初の壁を乗り越えられた場合の安全を保つ為には、今までは意識していなかったところにも、ちょっとひねった情報を使うということ。
例えば、当研究会のIDを決めるなら
p-sec
にはしないで
p__sec_
などと、ちょっと捻っておくということです。
]]>
ウィルスやハッキングツールは、あなたのPC上でネットワークを盗聴モード(プロミスキャスモード)にして、あなたのPCが送受信するネットワークのデータを盗み見します。
その状態になっているかを、簡単に判定できるフリーソフトウェアがリリースされました。
「PromiScan-L」
★ダウンロードはこちらから
http://www.securityfriday.com/apdl/PromiScan/PromiScanL.zip
WireSharkなどのネットワークモニタを起動している状態で、検査をすると赤いランプが点灯します。
]]>
まず、盗聴デモセットをダウンロードして解凍したら、3つのファイルが出てきた。
http://www.securityfriday.com/apdl/PromiScan/PromiScanL_DemoPack.zip
まず、PromiScan-Lを起動して、テストしてみると
このように、緑色の表示になり、盗聴モードにはなっていない。
次ぎに、添付されているPacketSpyという怪しい盗聴ソフトを起動し、スタートしてみると、
このように、自分のパソコンの通信の内容が、丸見えで、パスワードまですべて盗聴されている。
この状態で、PromiScan-Lのスキャンボタンを再度、クリックすると
おおお、赤く表示されて、盗聴モード。
いろいろと試したくなってきた。
]]>