2/26/2016

脆弱性が同時に発見されること

シュナイアーのエッセイ

ゼロデイ脆弱性や良い政府は脆弱性を公開するか秘密にしておくかについての話し合いの中で、重要な変数の一つは独立して発見される。すなわち、もし他の誰かが独立してNSAが"NOBUS"(nobody but us, 我々だけ)と呼んでいる脆弱性を発見することがありえないなら、NSAにとって、脆弱性の秘密を維持して攻撃に利用することは不合理ではない。他方、もし他の誰かが発見して利用するおそれがあるなら、おそらくベンダーに公開し、パッチを当てるようにするだろう。

その可能性は脆弱性がまばらか密かどうかに部分的には依存する。しかし、脆弱性の発見がランダムだと仮定した場合だ。そして、そうではないという多くの証拠がある。

例えば、何年も休眠していた新しいGNU Cの脆弱性があり、複数の研究者らによって独立に、一斉同時に発見された。

なぜあるいはどのようにglibcのメンテナーが、この重要なバグがコードに持ち込まれるを許してきたのか、そして7年間も発見できなかったのかはっきりしないままである。そして、報告後7か月間修正されていなかった。Googleの説明によれば、少なくとも2つのバグが、独立して3つのグループが発見し、修正を行った。ここ何年も脆弱性がさらなる人たちによって発見されることは意外なことではないし、何も知らないターゲットに対して悪用される可能性がある。

同じように、数年眠っていたHeartbleedもCodenomiconとGoogleによって独立に発見された

これは珍しいことではない。特定の脆弱性は発見するのが浅く簡単にできてしまうため、何かが起こりそうな予感と言っていい。これはNOBUSが有益な考えではないことを暗示している。

ブロックチェーンを使った分散DNS

Hacker Newsにブロックチェーンを使った分散DNSの投稿がいくつかあった。ブロックチェーンのメリットを知れば、当然DNSに応用できないか考えると思うが、既にNamecoinと呼ばれる分散型(decentralized)DNSが開発されている。これは、Bitcoinとは別のブロックチェーン(別の仮想通貨が必要)であるため(利用できるドメインが.bitだけ)、ブートストラップ問題で使っている人も少なかった。

そこで、Bitcoinのブロックチェーンを使った分散DNSサービス「Blockstack」がローンチした。NamecoinはDNSレコードをブロックチェーンに保存していたが、Blockstackではブロックチェーンに保存されるのはDNSレコードのハッシュのみで、DNSレコードはKademliaをベースにしたBlockstackの分散ハッシュテーブルにある。以下の特徴があるとのこと。

  • 分散システム上での名前検索
  • 名前の登録や移転のためのレジストラが不要
  • 名前を独自の暗号キーペアに自動的に結びつける
  • 自動的なキャッシュ無効化
  • DNSのキャッシュ汚染に対する耐性
  • 頑丈な認証Pinning機能
  • 名前の登録や解決の検閲への耐性

と言っても、いわゆるオルタネートルートだから、インターネットで利用できるわけではない。まずは、ブロックチェーンIDを必要とするサービスからの利用のようだ...。

Continuations

2/25/2016

日本の重要インフラに長期にわたるサイバー攻撃

日本の重要インフラを狙ったサイバー攻撃を行うグループが石油やガス、運輸産業をターゲットにしているそうだ。Cylance SPEARによると、米国防総省をターゲットにしていたサイバー脅威グループが、最近になり東アジアに目標を変えたそうだ。まだ大規模な攻撃は行われていないようだが、日本の建設会社や金融会社のような組織を入念にスパイしているとのことだ。Cylanceの研究者はこれを「砂嵐作戦 (Operation Dust Storm)と名付けている。

Slashdot

2/24/2016

RFC 6761による特殊用途ドメイン名の予約プロセスが廃止へ

「.onion」の件で、特殊用途ドメイン名の予約プロセスを定めたRFC 6761は、IETFが技術的名目を理由に本来ICANN権限の機能をバイパスし、RFC 2860に反するということで、急遽書かれたInternet Drafts。このドラフトの前書きを超訳。

RFC 6761はDNSでトップレベル名を予約する仕組みを規定した。

IETFでの名前割り当ての仕組みを停止するため、RFC 2860で文書化された従来の決定を無効にした。その機能はICANNにあるとして承認する。

ドメイン名の中で技術的な機能の役割が予約されているものをRFC 2860で明白に述べられている:

4.3. ドメイン名とIPアドレスブロックの割り当て空間はIETFによって記された技術的な問題に加えて政策課題(policy issues)が存在する。これらの政策課題はこのMOUの範囲外にある。

留意すべき点 (a) 技術的に利用するためのドメイン名の割り当て(逆引きDNSのドメイン名など)、(b) 特別なアドレスブロック(マルチキャストやエニーキャストブロックなど)、(c) 実験的な割り当ては政策課題になると考えられないが、依然としてこの第4節の規定には問題がある。

後から考えると、IETFプロセスの中の技術的な利点の特例のためのレジストリを再オープンすることは、誤りであることが判明した。もっぱら技術的なプロセスの中で取り組むことができない手続き上の問題を提示し、代わりにICANNのプロセスを迂回する仕組みを説明している。

トップレベルドメイン名を割り当てるICANN方式の中の適切なテクノロジードリブンな承認プロセスの欠如は残念だが、ソリーションは承認プロセスを持つIFTFに付与されていない。これは、ドメイン占拠、誤った技術的な議論を招いて、アーキテクチャの機能的ビジョンを壊してしまう。無関係な対立するよりたくさんの名前の要求に置き換わる。これは単純にIETFプロセスの適切な利用ではない。

その結果、この書類は公式にRFC6761のプロセスを閉鎖する。もはや要求はこのプロセスの中で検討しないし、全ての現存する名前は適用を除外する。しかし、うまく手放されるべきで、技術的な要求は明示し、規模を利用すべきではない。

Cacti 0.8.8gがリリース

Cacti 0.8.8g/Spine 0.8.8gがリリースされている。バグ修正版だが、ソースコードをGitHubに移している

2/22/2016

サンバーナーディーノ事件の容疑者の携帯がAndroidだったら?

サンバーナーディーノ事件の実行犯ファルク容疑者が携帯が、iPhoneではなく、Androidだったらどうだったのだろう? ブルームバーグがGoogleのAndroid SVPに取材をしたとのこと(re/code)。

木曜日の午後、Androidのチーフ、ヒロシ・ロックハイマー氏はそういう状況下で「Googleは全く同じ方法をとる」と思うとブルームバーグに語った。Google SVPは、事件はテック企業と政府間でのデータ共有の通常の条件から危険なほど異なっているように見えると語ったが、Appleの状況の詳細を知らないことを明言した。

「仮定を議論するのは難しい」とロックハイマー氏は語った。

Googleは2017年までにSNMPを廃止するようだ

Googleは2017年までにSNMPを廃止しようとしているというツイートがあった。少し調べてみると、NANOG 64で大規模で異機種環境のネットワークでの効率良い管理について発表していて(PDF)、SNMPは必ずしもシンプルではなく、拡張性がないと問題視している。Telematry部分をYANG/gRPCで置き換えるのだろう。

CLI/SNMPは徐々にNETCONF/YANGに置き換わっていくのだろう。

2/19/2016

AppleとFBIのバトル

サンバーナーディーノの銃乱射事件の犯人のiPhoneのロックを解除しろというFBIの要求をAppleが拒絶した件、シュナイアー氏も取り上げている

裁判所は、Appleがサンバーナーディーノの殺人犯の一人が使っていたiPhone 5cへのブルートフォースパスワード攻撃を試みるのに、FBIを助けるようiPhoneのセキュリティをバイパスするよう命令を下した。Appleは拒絶している

その命令は技術的でかなり具体的である。私に言えるのは、FBIは技術的に可能かどうかを尋ねているのに、それでもAppleは事件が法的な問題であって技術的な問題ではないような表現で対応した。

その拒絶に関するAppleの声明から:

(略)

テッド・リュー下院議員がコメントしている

これは、ティム・クック氏とAppleがなぜそのような暗号化とプライバシーの推進派なのかに関し、興味深いエッセイである。

今日、私はCNNを見た。音は消していたが、サンバーナーディーノだと思われる空撮シーンと「Appleのプライバシー vs. 国の安全保障」というタイトルを見た。もし、それが番組の構成なら、我々は失うことになる。私はむしろ「国の安全保障 vs. FBIアクセス」を見たい。

Slashdotのスレッド

更新1

BBCが経緯をうまくまとめている。

更新2

ジョン・マカフィー氏が彼のチームに任せてくれれば、Appleの助けなしにファルクのiPhoneを3週間で無料で解読するとのこと。

Slashdot

2/17/2016

IPv6のルータ広告によるバッテリー消費を抑えるRFCが発行

CiscoとGoogleのエンジニアが、IPv6のルータ広告メッセージ(RA)の頻度が高いとスマートフォンやタブレットなどモバイルデバイスのバッテリー寿命に影響すると指摘。ネットワーク側とデバイス側それぞれへの推奨がRFC 7772として勧告された。多くのネットワークで、3から10秒でRAが送信されるが、デバイスにとっては1つのRAを受け取るコストは0.014mAh、アイドル中のバッテリー消費を2%に抑えるとしたら、RAは1時間あたり7回以上送るべきではないとの事。

Slashdot

Glibcのgetaddrinfoに脆弱性

Googleのセキュリティチームが、glibcのgetaddrinfo()にスタックベースのバッファオーバーフローの脆弱性(CVE-2015-7547)があることを公表した。2048バイトを超える不正な応答(TCP/UDPどちらでも)を受け取ると、この脆弱性にヒットし、遠隔からのコマンドの実行が可能とのこと(PoCあり)。glibc 2.9以降に問題があり、修正版への更新もしくはパッチを当てることで解決できる。ローカルなリゾルバに応答を限定したり、ファイアウォールで512バイトを超えるUDP DNSパケットを遮断するなどのワークアラウンドがあるようだ(詳細はここ)。

PoCは擬似リゾルバサーバから直接不正応答を返すもので、間接的にリゾルバサーバ経由で悪意のある不正応答を返すのは難しそうな気がする。

SANS DiarySlashdotHacker NewsJPCERT

更新 (2016.2.22)

カミンスキー氏がこの脆弱性を警告している

Hacker NewsBoingBoing

更新 (2016.2.24)

IIJ-SECT 12。信頼できる通信路と、信頼できるDNSキャッシュサーバの組み合わせは回避策になりうるという話。スプーフィングやMITMされない通信路、EDNS0無効時に512バイトを超えるデータを送らないDNSキャッシュ。

2/16/2016

ベアメタルクラウドでVIRLが利用できるサービス「VIRL on Cloud」

Packet.netというホスティングプロバイダのベアメタルクラウド上でVIRLを利用できるとのことだ。パーソナルエディションのVIRLは20ノードまで利用できるが、例えばXRvを20台というようなシミュレーションを動かすにはCPUやメモリが相当量必要で十分なリソースを準備できるとは限らない。そこで、リソースを必要とするシミュレーションを動かす際に利用できる(基本はPacketのベアメタルサーバは時間貸しなので必要な時に利用すれば良い)。利用方法は簡単で、自分のPCのVIRLにHashicorpのTerraformをインストール、Terraformを使ってクラウドにVIRLサーバをローンチし、OpenVPNでアクセスしてクラウドVIRLを利用する。使い終わったら、サーバインスタンスを終了すれば課金されない。

今、登録すれば、Packet.netの25ドルのクレジットが付いてくるそうだ。

更新 (2016.2.24)

実際にPacket.netでVIRLを使ってみた人がいる。以下が気になった。

  • デプロイするのに30分程度は掛かる
  • 停止するとファイルは全て消えてしまう(最初から作り直し)

2/12/2016

Cisco ASAにCVSSスコア10の脆弱性

Ciscoは、ASAソフトウェアのCVSS(Common Vulnerability Scoring System)スコア10の脆弱性を公表した。IKEv1とIKEv2の脆弱性で、コードエリアに影響するバッファオーバーフローを引き起こし、攻撃者は細工されたUDPパケットを送ることで(通過パケットは影響無し)、遠隔からのコード実行やシステムの再起動が可能になるとのこと。ワークアラウンドは無く、修正されたソフトウェアに置き換える必要がある。ASA自身でUDP/500をACLで制限してもダメなようだ(その上位で制限するしかない)。各バージョンの修正版は次の通りで、7.2、8.2、8.3、8.5、8.6は既にEoSとなっているため、修正されずに9.1(7)以降が推奨されている。

バージョン 修正版
7.2 影響あり、9.1(7)以降
8.2 影響あり、9.1(7)以降
8.3 影響あり、9.1(7)以降
8.4 8.4(7.30)
8.5 影響なし
8.6 影響あり、9.1(7)以降
8.7 8.7(1.18)
9.0 9.0(4.38)
9.1 9.1(7)
9.2 9.2(4.5)
9.3 9.3(3.7)
9.4 9.4(2.4)
9.5 9.5(2.2)

脆弱性はExodus Intelligenceの研究者が発見したもので、彼らのブログに脆弱性の詳細が公表されている。フラグメントされたIKEペイロードのリアセンブルアルゴリズムの境界チェックに問題があり、ヒープバッファをオーバフローさせることができ、任意のコードを実行させられるとのことだ。

Slashdot

Netflix、Amazonクラウドへの乗り換え完了

Netflixはストリーミング設備のAmazon Web Services(AWS)への移行を完了したとのことだ。Netflixのブログによれば、2016年1月上旬に完了し、Amazonクラウドで数万台のサーバ、数十ペタバイトのストレージを運用しているそうだ。

ars technica

LIGOが重力波の初観測に成功

噂は出ていたが、2月11日にLIGO(ライゴ)重力波観測所がワシントンで記者会見を開き、重力波を初めて直接観測することに成功したことを発表した。重力波の元は、地球から13億光年先の2つの巨大ブラックホールの合体によるもの。今後、世界各国の科学者によるデータの検証が進められる。おそらく、ノーベル物理学賞はLIGOチームで決定だろう。Physical Review Lettersに掲載された論文の著者数は1000人以上とのことだ。

SlashdotNYTimesPopsciNHK

更新 (2016.2.14)

今回発見された重力波はGW150914と名付けられ、そのデータとPythonのソースコードが公開された

更新 (2016.2.14)

Slashdotによれば、アインシュタインは相対論を発表した20年後にもう一度数式を見直し、重力波を否定する論文(Do gravitational waves exist?)を書いたそうだ(マックス・ボルンへの手紙にも書いている)。ところが、論文はフィジカルレビューレターによって却下されたとのこと。

2/08/2016

VIRLアップデート情報 (VIRL 1.0.25 February'16)

VIRLのアップデート(VIRL 1.0.25 February'16)があった。機能としては、

  • IOS XRv 6.0.0、IOS XRv 9000 6.0.0のサポート (IOS XRv 9000はMy Accountページの"Download VIRL"からイメージをダウンロードして、イメージの登録を行う)
  • Salt-masterの接続性チェック
  • UWM System Configurationでインタフェース名を変更できる
  • システムオペレーションチェック
  • システムのTCPポート割り当てを変更できる
  • VM MaestroのActive CanvasでLXCあるいはLinuxサーバにSSH接続できる
  • LXCあるいはLinuxサーバからのバーチャルTraceroute
  • Live VisualisationでのTracerouteパス情報、VLAN、スパニングツリーの視覚化

なお、v1.0.0とv1.0.11のサポートは3月4日までとのことだ。VIRL-CORE 0.10.22.3からアップデートしようとすると、「Failed to schedule package upgrades: global name 'virl_upgrade' is not defined」というエラーが返って、アップグレード出来なかった。結局、1.0.11を再インストールしてからアップデートして解決。

Package/VM image 1.0.11 1.0.25
VIRL-CORE 0.10.21.9 0.10.22.7
AutoNetKit 0.20.9 0.21.4
AutoNetKit-Cisco 0.20.22 0.21.6
Topology Visualization Engine 0.14.23 0.15.4
Live Network Collection Engine 0.7.21 0.8.10
VM Maestro 1.2.4-363 1.2.5-388

上記「'virl_upgrade' is not defined」のエラーは、「sudo salt-call state.sls virl.std」で解決する。

2/07/2016

マルコ・ルビオ氏はNSAの監視プログラムの恒久化を望んでいる

アイオア州で行われた共和党予備選の初戦で、急浮上したマルコ・ルビオ氏。トランプ氏やクルーズ氏よりも穏健と見られているが、NSAの監視プログラムの強化を唱えているという話(Slashdot)。

マルコ・ルビオ氏は議会に対し、国家安全保障局(NSA)による問題のスパイプログラムのいくつかを管理する機関を恒久化することを望んでいる。それは、国内の通話記録の大量監視を含んでいる。フロリダの共和党員と2016年の大統領候補は火曜日に署名記事を書き、オバマ大統領の対テロ方針を「9/11のテロ攻撃からの基本的な教訓」から何も学ばなかったと非難した。ルビオ氏は、今年の6月1日の夕方に失効するポスト米国愛国者法の中心条項を恒久的に再認可し、多くの監視力をインテリジェンスグループに与えることを議会に求めた。ルビオ氏はFox Newsに「今年、新しい両院議会の共和党多数は外国情報監視法の下で今の権限を拡大する必要がある。そして、私はアメリカ国民の安全を守るために頼りになるインテリジェンスグループに対テロ手段の恒久化を認めるよう同僚諸君に要請する。」と書いた。

2/05/2016

モノのインターネットは世界最大のロボットになるだろう

シュナイアー氏がフォーブスに投稿したエッセイで、モノのインターネットは巨大なロボットになるという話。

モノのインターネットとは、我々の生活の中で全てをコンピュータ化することに与えられた名前である。すでにインターネット接続できるサーモスタット、電球、冷蔵庫、自動車を買うことができる。間もなく、我々が所有するモノ、情報をやり取りするモノ、お互いに情報をやり取りする自律したモノなど、全てがインターネットで繋がるだろう。

これらの「モノ」は二つの独立した部分に分けられる。一つは、我々や我々の環境のデータを収集するセンサーである。すでにスマートフォンは我々が居る場所を知っており、搭載されている加速度計で我々の動きをトラックしている。サーモスタットや電球のようなモノは部屋に誰がいるかを知るだろう。インターネット接続可能な道路や高速道路のセンサーは何人が外出し、それがいずれは誰がとなるだろう。センサーは世界中から環境のデータを収集するだろう。

もう一つはアクチュエータである。それらは環境に影響を及ぼすだろう。スマートサーモスタットは周囲の気温や部屋に誰がいるかを収集しなくても、気温を設定する。携帯は既に我々の居場所を知っており、交通渋滞がどこで起きているかを特定するためにGoogle MapsやWazeに情報を送っている。それらは自動運転車とリンクされ、自動的に渋滞を迂回するようになるだろう。Amazonは既に荷物を配送するために自律的なドローンを望んでいる。モノのインターネットはますます我々に対してまた我々の名前の下に行動するだろう。

ますます人間の介在は必要なくなるだろう。センサーはデータを収集するだろう。賢くなったシステムはデータを解釈し、何をすべきかを理解するだろう。そして、アクチュエータが世界で物事を行うだろう。センサーがインターネットの目や耳で、アクチュエータはインターネットの手や足、そして中央の要素が脳だと考えることができる。これは未来を見通している。インターネットは今日では知覚し、考え、作動しているのだ。

我々は世界サイズのロボットを作っており、それに気が付いてさえいない。

私はこのロボットをワールドサイズウェブ(World-Sized Web)と呼び始めている。

ワールサイズウェブ - 私はそれをWSWとでも呼ぶか? は、単なるモノのインターネット以上のものだ。WSWの脳の大部分はクラウド上にあり、無線、Wi-Fi、短距離無線データネットワークを経由してサーバに接続される。これらのモノの多くはスマートフォンのように我々と共に移動するため、もちろんモバイルである。そして、永続的である。あなたはあちこちでその一部をオフにできるかもしれないが、WSWの大部分は常にオンで、常にそこにある。

これらの技術は新しいものではないが、より広く行き渡るようになるだろう。私は、我々が情報ネットワークを変える局面にあると確信している。その差は質の違いになるだろう。それはWSWがロボットだということだ。

このロボットは、当初はシンプルだが次第に人工知能の能力を使い、どんどん自律的になっていくだろう。センサーを持つドローンはWSWがデータを収集するのに必要な場所を飛ぶようになるだろう。アクチュエータを持つ乗り物は、WSWが影響を及ぼす必要がある場所に運ぶだろう。ロボットの他の部分は、どこに行き、何のデータを収集し、何をするのかを決定するだろう。

我々は既に戦争でこの種のことを目にしている。ドローンは戦場を監視しているし、標的にミサイルを発射している。人類はまだ情報を共有しているが、最終的にどのくらいになるだろうか? そして、データ収集や結果の行動の両方はミサイルを発射するよりも無害であるので、自律性は容易な売りになるだろう。

全般的に見て、WSWは無害なロボットだろう。データを収集し、我々の興味あることを実行するだろう。それが我々が作った理由である。しかし、我々が予測できない方法で社会を変えるだろう。いいことも悪いこともある。コンポーネントを制御する人にとって最大の利益になるだろう。全体主義政府を可能にするだろう。今までにない新しい方法で犯罪者やハッカーに力を与えるだろう。パワーバランスの変化や社会の変化を引き起こすだろう。

これらの変化は、我々、世界と相互作用する新しい技術のエマージェントな特性をベースにしているため、本質的に予測不能である。一般に、科学進歩を起因とする技術的な変化を予測するのは簡単だが、それらの技術的な変化を起因とする社会的変化を予測するのはとても難しい。例えば、より素晴らしいエンジンは車がより速くなるためには重要だと予測するのは簡単だ。郊外に移る人口移動の結果を予測するのはとても難しい。自動運転車やスマート道路は新しい方法で町を再び変えるだろう。自律的なドローン、安価でユビキタスな環境センサー、我々の必要性を予測するネットワークも同じだ。

WSWはむしろ有機体に近いものになるかも知れない。複数の知性を持つだろう。その各部は巨大企業や政府によってコントロールされるだろう。わずかな部分が我々によってコントロールされるだろう。しかし、無数の小さい目的やそれ自身の部品間の無数の作用の結果、大規模な振る舞いは予測できないだろう。

我々は新しい世界全域ロボットについて真剣に考え始める必要がある。マーケットは独力でこれを解決しないだろう。生来、マーケットは短期かつ利潤思考であり、これらの問題は幅広い思考が求められる。ワシントン大学のライアン・カロ法学教授はロボット工学の専門知識や助言を政府の中で集中できる場所として、連邦ロボット工学委員会(Federal Robotics Commission)を提案している。日本韓国は既にこの方向に動いている。

別の政府機関の健全な懐疑論を持つ人の立場から言えば、我々はさらに進める必要があると私は考える。その複雑さ全体をWSWで扱うことができる機関、テクノロジー警察のような部署を作る必要がある。他の機関への専門知識や助言、おそらく適切な時に規制できる権限を集める力が必要である。我々は一つ一つ根拠を示せるが、広範囲にいろいろなことに取り組むための専門知識あるいは権限のどちらも持つ政府機関が存在していない。そして、問題は政府がこれらの技術の規制を始めるかどうかについてではなく、それがどの程度厳しく行われるかについてである。

WSWは現在誰も気付くことなく作っているところで、我々が知る前にここに存在しているだろう。たとえ社会が意図する変化であっても、我々を不意に襲って欲しくはない。

このエッセイはForbes.comに最初に掲載したもので、アドブロッカーを使うブラウザをブロックする。

追記: ケビン・ケリー氏も同じように考え、ロボットを「ホロス(Holos)」と呼んでいる。

追記: 解説

Hacker News