GUiLZ Project Personal & Experimental Blog

Monthly Archives: 11月 2005

■ [その他] アキバ系SNS 「Filn」 に対しての注意喚起

アキバ系SNSとして登場した、「Filn」だが、ご多分に漏れず自分も登録してみた。のはいいが、ちょっと致命的な問題が発生している。これは自分の環境的な問題ではなさそうなので、注意喚起として公開する。なお、この件に関しては本日付でFiln事務局へ報告済みである。

起こりうる事態:

個人情報の漏洩、日記などが書き換えられる可能性がある

対処方法:

当面の間、非公開設定にしていても、個人情報を登録しない

発生環境:

Windows XP+Mozilla Firefox 1.07

ただし、全ユーザーの個人情報の搾取が可能であるとか、何でもかんでも書き換えられるといったものではない。また、自分の場合は偶然そのような事態に巻き込まれたため、具体的に攻撃として成立はしづらいと思われる。しかし、愉快犯による他人のページ書き換えが起こる可能性はあるだろう。

自分の乏しい知識からはどうしてそのような事が起こるのか分からないが、セッション管理が不十分で、プログラム内部でセッションが重複し、こんな問題が起こっているのかもしれない。

少なくとも、自分の身に1日2回もこのような問題が発生した事を考えると、多くのユーザーにも同様の問題が発生している可能性がある。メールアドレスは仕方ないにしても、個人情報の登録などはしばらく控えた方がいいだろう。

■ [メモ] daemontools で SoftEther 2.0 Server (Linux版 RC1) を動かすメモ 2

昨日の日記で書いたdaemontoolsからのSoftEther Server起動では、tapデバイスとハブをブリッジしたら、SoftEtherプロセスがdaemontoolsによって再起動した場合、tapデバイスに設定したIPアドレスも初期化される事に気づいた(はじめから気づけよ俺)。

runスクリプトに色々書いてもうまくいかなかったので(勉強不足)、下のようなスクリプトを書いてcronで数分おきに回すことにした。数回テストしたが、とりあえず問題ない模様。

#!/bin/sh

# SoftEther Server 再起動チェックスクリプト

PATH=/sbin:/usr/bin:/bin:/usr/local/bin:/usr/local/sbin

# $tap_check の初期化

tap_check=0

# 現在のtapデバイスのIPアドレスを確認し、$tap_check へ出力

ifconfig tap_test | fgrep “inet addr” > $tap_check

# $tap_check の内容確認

if [ -s $tap_check ]

then

# 内容が空でなければ何もせず終了

exit 0

else

# 内容が空であれば以下のコマンドを実行

# IPアドレス設定

ifconfig tap_test 192.168.100.100 broadcast 192.168.0.255 netmask 255.255.255.0

fi

exit 0

■ [メモ] daemontools で SoftEther 2.0 Server (Linux版 RC1) を動かすメモ

1.0の記事は発見したけど、2.0は見つからなかったので試してみた。2.0はサービス動作のため、fghack が必要かなと思ったけど、単純に

/SoftEther 2.0 のインストールディレクトリ/vpnserver execsvc

みたいな感じでrunスクリプトに書けば動作した。接続も問題ない模様。

自分の環境だと、こんな作業手順。

su –

mkdir /service/.softether2

vi /service/.softether2/run

????? runスクリプトの内容 ?????

#!/bin/sh

exec 2>&1

/usr/local/softether2/vpnserver execsvc

????? runスクリプトの内容 ?????

chmod 700 /service/.softether2/run

mv /service/.softether2 /service/softether2

これで自動的にSoftEtherが立ち上がってくれる。

■ [メモ] SoftEther 2.0 でローカルブリッジを使い、Sambaと接続する

上記内容に引き続いてSoftEther 2.0の話。現在、サーバーはLinuxルーター兼サーバーとなっており、内部でSambaが動作している。これにSoftEther 2.0 Server(RC1)を入れ、外部からアクセスするためのメモ。

1. まずはServer Managerから適当なハブを作る。面倒ならデフォルトで。

2. [ローカル ブリッジ設定] ボタンを押して、ローカルブリッジ設定画面へ。

3. 下記のように設定する。

[新しいローカル ブリッジの定義]

作ったハブを指定

[作成する種類]

新しい tap デバイスとのブリッジ接続

[新しい tap デバイス名]

適当に。今回の例では 「test」 とする

4. tapデバイスの作成に成功し、動作中と表示されたら、Linuxにログインして、下記のように設定。

su –

ifconfig tap_test 192.168.100.100 broadcast 192.168.0.255 netmask 255.255.255.0

(この例では 192.168.100.100 を指定した)

5. Sambaとiptablesなどのフィルタリングルールに問題がなければ、クライアント側の仮想LANカードのIPアドレスを、192.168.100.200 とでも設定して接続。

■ [メモ] 個人的 iptabls メモ

tapデバイスは仮想LANカードのようなものなので、それに対してルール設定をしておかないとnetbiosは通らない(自分の環境だと、基本はDROPなので)。

今回の例だと、

iptables -A INPUT -i tap_test -s 192.168.100.0/24 -d 192.168.100.0/24 -j ACCEPT

iptables -A OUTPUT -o tap_test -s 192.168.100.0/24 -d 192.168.100.0/24 -j ACCEPT

こんなルールを追加し、接続可能となった。

■ [その他] 田舎の市町村Webページの内情

最近面白いことも書いてなかったので、ここでちょっとした話でも書いておこうかと。実は私、ここ最近某お役所のWebページ作成業務に関わっていたんです。で、少しその内情ってヤツを書いてみたいと思います。身元が割れない程度にこそっと。

まずお役所Webサイトのセキュリティに関してですが、例えば id:mgisystem 様が、ご実家である香川県丸亀市のWebページに色々と問題があるというお話を何度か書かれておられます。それを踏まえてのお話ですが、

田 舎 の お 役 所 は ど こ も そ ん な 感 じ で す 。

基本的にWebページに載せてる内容は、市や町が発行するガイドブックとか市民・町民情報誌に載っている内容のまんまコピーって場合が多いようです。それプラスWebから行政サービスの受付をやろうと、ちょっと進んだ人が考えたとしても、どうしてもお役所仕事の延長で考えてしまうためかセキュリティまで頭が回らない。そんな展開でしょう。

かくいう自分が関わったサイトでも、丸亀市のような水道使用受付などという事まではやっていませんが、住所氏名電話番号その他の記載が必須な、役所へのお問い合わせフォームにSSLが使われていません。例えばプライベートな税金問題や土地問題などを相談しようと思った場合、自分なら絶対Webからの相談はしたくないですね。

せっかく普段仕事で忙しい人でも相談しやすいようにと、Webにフォームを設けているのなら、その辺にまで気を遣って欲しいと思いました。・・・といってもまあ、サーバーの管理は別会社で、自分たちはWebページのコンテンツ制作と更新、管理だけですから、SSLを入れる権限はないんですけどね。都会はどうか知りませんが、田舎だと地縁血縁でいろんな業者が入り乱れて一つのシステムを作ったりって事がままあって、その辺りでトラブることもあります。

あとは制作会社の能力というか、お役所の考え方にもよるのでしょうが、知られるとマズいセキュリティホールが残っている場合もあります。簡単なところだと、httpdのバナーをのぞいてみれば、相当古いバージョンが使われているとか。OpenSSLのバージョンが古いままとか。しかも使っているのはTelnetにftpとか(OpenSSL入れるなら普通SSH、scp、sftp辺りを使いますけどねぇ)。

もっと本質的なところまでいくと、コンテンツ管理システムにパスワード制限がかかってなくて、外部から誰でもアクセスしてデータの書き換えが可能とか。そういう事例があることも確かです(自分が手がけたシステムではなく、聞いた話ですが)。そういうコンテンツ管理システムの中にはPHPとSQLを使って構築されたものもあるようなのですが、そのうちのいくつかは入力のサニタイズが不十分で、色々とつつかれるとヤバそうなお役所サイトがあるとかないとか。伝聞ですから信憑性は謎ですが、真実とすれば恐ろしい話です。

田舎は都会より優秀な技術者が少なく、セキュリティ意識が低い技術者がサーバー構築・サイト構築に関わっている例も少なくありません。また納期の関係上、動作させることが最優先でセキュリティが疎かになることもあるでしょう。そしてそうやって作られたサイトは、コンテンツの更新はされてもセキュリティホールの修正が入ることはあまりありません(保守契約結んでなかったり、多数の業者が入っているとどこがそれをするのかという問題もあるため。それら契約内容の取り決めが甘いこともあるようです)。

少なくとも田舎では、そんな感じで運営されているお役所サイトが結構あるというのが実情です。まあ私の知る限り、自分たちが手がけたサイトには個人情報やそれに類する情報は納められていないため、仮に攻撃を受けても住民の皆さんには直接被害を与えないだけまだマシなのですが・・・(もちろん、メール送信フォームを悪用されたり他のサーバーまで乗っ取られれば個人情報が漏れることもあり得ますし、踏み台にされたら色々なところに迷惑を掛けてしまいますが)。

っていうか、予算無いのかも知れないけど、ペネトレーションテストくらいやらないのかなぁ、田舎のお役所は。ツール回して簡単なテストするだけなら、俺でもできるんだけど。そのデータを活かしてセキュアにできるかどうかは別問題だけどな。

スポンサードリンク

Twitter
利用中のサービス

GUiLZ Project では、以下のサービスを利用しています。


関連サイト
巡回先サイト様
アーカイブ