2015-06-23

コンピュータウィルス感染ってなに?

私の使っている職場、個人のパソコンでコンピュータウィルスというものを検出した経験がほとんど無いのでどうやったら感染できるのか?よくわからないんですよね。


最近、コンピュータウィルスに感染したコンピュータが情報漏えいの原因とか、可能性があるってニュースが流れたりしてますけど、ちゃんとウイルスの名前を公表してほしいですね。


数百台のコンピュータを管理していれば、マルウェア検出通知なんて毎日届くわけで、某団体が被害にあったマルウェアの名前がわからないので、検出したものが悪いものなのか、放置してよいものか判らない。


検出した結果、隔離したと通知があった場合は感染といえるのか?
対応が必要なのか?


建前では「速やかにネットワークから切り離し、フルスキャン実施する」といいますけど、検出したマルウェアによっては対応が異なるはずなんですよね。攻撃者の目的も千差万別なんだから・・・


ちなみに、私の検出経験はメール添付だけですね。
メールサーバーのウィルス対策で漏れて届いた新種、亜種だろうなぁ~ってそのままゴミ箱に入れてたファイルを後日検出しただけですね。
この添付ファイルを実行するような律儀な方は感染したといえるでしょうね。
検出時の通知内容に、感染前か後がわかるようになっていればいいと思うけど、それがわかる対策ソフトって聞いたことがない。



セキュリティー対策の運用って本当にちゃんとできている人っているのだろうか?



2015-06-15

続・ファイアウォールなんて信じるな

trust -> untrust 許可
untrust -> trust 不許可


これ以上でも、これ以下でもありません。


例外的に、DMZに設置したサーバへの許可ルールを追加します。


DMZはuntrustに属します。


untrust -> DMZ 不許可(一部許可)
DMZ -> trust 不許可


某マイナンバーのセキュリティーにおいて、ファイアウォールという装置を設置することが推奨されていますが、
いったいどのような設定を行うと、マイナンバーを運用するうえで安全なのでしょうか。


考えれば、考えるほど、無意味な装置ですね。


特にIPアドレスとTCP/UDPのPortベースのフィルタリングなんて無意味です。


もし、情報漏えいのプロトコルにHTTPが使われると仮定すると、TCP 80番Portを禁止するのが普通の対応だと思います。
trust -> untrust(tcp80) 不許可
でも、HTTPサーバーのPort番号を53番に設定して、クライアントも53番Portで通信する設定にしてあると通信できます。
53番はDNSというインターネット通信では重要なサービスで利用されており、LANにDNS Proxyを設置していたとしても、端末からの通信も許可しているでしょう。


HTTPサーバーの待ち受けPortを53番に設定することって出来るのでしょうか?非常に簡単です。80番以外を使うことはよくあります。
クライアントはもっと簡単で、サーバーアドレスの後ろに「:53」を付けるだけです。


53番はDNSで予約されているはずですが、本当に使えるの?
誰が53番をDNS以外で使ってはいけないと決めて、設定できないように制限を加えているのですか?
接続先のサーバー管理者に聞かなくてもいいように、53番はDNSに使いましょうという由緒正しき文書の存在はありますけど、
守らない人なんて・・・


そう考えると、port番号で制御するなんて無意味ですよね。


だから、通信の内容を確認して、HTTPであることを認識し、それを止める必要があります。


HTTPのみで情報漏えいが行われるのであれば、これでいいですけど、
未知のプロトコルで通信するとしたらどうなんでしょうね?



ちなみに、私は家庭用ファイアウォールは不要と思ってます。
だって、ネットショッピング中に通信の許可確認の画面が出たら許可するよね?
その許可した通信が、ショッピングサイトとは別のサーバー向けの通信だとしても許可するよね?


え?ちゃんとチェックする?


Command


Comrnand


あなたの使っているDNSって正しいIPアドレスを解決してる補償ある?




2015-06-05

ファイアウォールなんて飾りですよ!!

はっきり言って、ファイアウォールなんて飾りだ。
どんなに細かなポリシーを設定したとしても、許可した通信は流れる。


許可した通信をさらにアプリケーションごとに認識してポリシーを設定できる次世代ファイアウォールを使ったとしても、許可したアプリケーションは流れる。


私が運用しているファイアウォールは次世代ファイアウォール「PaloAlto」
これは他のファイアウォールと違って、IPSをファイアウォールのように使いやすくした製品といえばいいのだろうか?
とりあえず、こういうポリシーが当たり前のように設定できる。


ADユーザーのAさんはLINEの利用を許可するが、Bさんは禁止する
パソコンCはWindowsUpdate以外のインターネットアクセスを禁止する
twitterは許可するけどつぶやくのはダメ。mixiは使用禁止。


ファイアウォールが認識するWebアプリケーションレベル、ユーザー、コンピュータと、きめ細かなポリシーが決められるけど、許可した通信は許可なんだ。


で、悪意を持ったユーザーが許可された通信の中で、悪さをした場合に止める手立てはない。


例えば、クレジット番号やマイナンバーのような数字何桁のデータ送信は止める


出来ますよ。


でもね、それを回避するなんて簡単な事。
例えば、データ送信時に無意味な数字の羅列を付与してしまえば簡単にすり抜けてしまう。


はっきり言って、ファイアウォールは想定できる範囲での制御は出来るけど、
人間が知恵を使ってすり抜けようとしたことに対しては無意味


だって、許可する通信を使って禁止されたデータを許可されたデータに変換して送るんだから



だからあえて言おう!!ファイアウォールは飾りであると!!



TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。W...