1. まとめトップ

2007年8月11〜13日のtwitterセキュリティクラスタ

2007年8月11〜13日のtwitterセキュリティクラスタです。たぶんまだお盆ですね。

更新日: 2017年08月13日

yousukezanさん

  • このまとめをはてなブックマークに追加
0 お気に入り 318 view
お気に入り追加

怪しいネットワークカメラを解析した人も出てきました。

某IPカメラハッキング速報 建前P2Pだけど、普通に管理画面もってた。 確定ではないけど、予測はほぼ正しかった。 r00tapple.hatenablog.com/entry/2017/08/… === 中国製ネットワークカメラが勝手に動き出して中国語が聞こえてき… twitter.com/i/web/status/8…

先人がハックしてた 0dayあるモデルか確認できる チェックはここ cybereason.com/ip-cameras/ 情報はここ cybereason.com/zero-day-explo…

「勝手に中国語が聞こえてきた」のウェブカメラをハッキングした結果についてブログを書きました。 日本は、サイバークレイジーな国になりつつあります。 === 「中華ウェブカメラ」のセキュリティについて - 黒林檎のお部屋♬ r00tapple.hatenablog.com/entry/2017/08/…

良い方に考えると、この系列の中華ウェブカメラにハッキングしてtelnetなどの悪用される危険度が高いバイナリを削除するワームウイルスを作成することはできるよな。

んー、散文でよくわからんけど、要するに現行版FWでは乗っ取りできなかったけど、過去のFWでは同じような構成の製品で見つかった脆弱性が利用できたかもしれないってこと?r00tapple.hatenablog.com/entry/2017/08/…

すべてのFWで同じ脆弱性を持ってると思っていて、HTTPサーバーのポートが起動時にランダムに変わるのがFWのバージョンによって変わるのかなど気になっています。(汎用ファームウェアの脆弱性を修正できないから、そんな対策してるのかな?… twitter.com/i/web/status/8…

パスワードの長さと文字種について

パスワードに大文字、数字、記号などの文字種を強制すると、 ・先頭を大文字にする ・sを$、aを@、 lを1、 eを3 に置き換える ・語尾に123などの数字を付ける ・語尾に記号を付ける など、パターンがだいだい決まったものになる

John the Ripperなどのパスワード解析ソフトには、これらの良く使われるパターンのルールが組み込まれている。かと言って、完全にランダムな文字種混在のパスワードにすると、覚えられない。

ならば、十分な長さの覚えられる文章をパスフレーズとして使った方が良いのではというのが、最近の主流な考え。簡単な文章でもすぐに20桁以上になるので、総当り攻撃でクラックするのはかなり困難になる。

では、辞書攻撃に対してどの位の強度があるかというと 小文字26種、数字10種、記号33種の69種で、8桁の総当りだと、69^8=521兆 通り 5000語の辞書で単語4つの組み合わせだと、5000^4=625兆 通り

なので、4つの単語が5000語の辞書にすべて含まれる場合には、英数記号8桁の総当りとほぼ同じ強度となる。(単語4つというルールが判明している場合)

ただ、人名、地名、商品名などの固有名詞を使うと5000語の中に4つ全て入るのは、かなり難しいね。

固有名詞でもabe、tokyoなどの有名なものではなくマイナーなものだと良い。マイナーな固有名詞、英語、ネットスラング、方言などの組み合わせだと、これらを全部含む辞書は膨大なものになる。

ちなみに、ペンテスターはパスワードクラックにどれくらいの辞書を使うかと言うと、John the Ripperの開発元のopenwallが$28で販売している辞書が4500万語 openwall.com/wordlists/ 日本語の固有名詞も入っているけど、ほんの一部という感じ。

これには、日本語の固有名詞もなかりある。 山手線の駅だと五反田、新大久保、西日暮里、鶯谷、浜松町 以外はある。 人名だと、ラオウ、トキ、ケンシロウはあるが、ジャギはない。

いくら強固なパスワードを使っていてもフィッシングなどで漏れることはあるので、やはり2段階認証は設定するべき。

NISTの改定されたガイドラインでは、十分な長さの覚えられるパスフレーズの使用を妨げないため 「少なくとも64桁以上を入力可能にする」 「文字種の混在などのルールを強要しない」 ことを推奨している。 pages.nist.gov/800-63-3/sp800…

「文字種の混在などのルールの強要」はまだ良い。パスフレーズ部分が十分長く安全なものであれば、文末に「+A1」などのありがちなものを付け加えても強度が低下することはないからだ。最悪なのは最大長を20文字程度やそれ以下に制限しているところ。

日本語で10文字程度の簡単な文章でも、ローマ字にすると20文字以上になるので、最大長20文字程度ではパスフレーズが使えない。

ハッシュ値で保存するなら最大値を設ける必要はないんだけど、なんで制限しているんだろうね。かといって無限に長くする必要もないので、NISTの推奨の64文字以上あれば良い。

ちょっと調べたところ、パスワードの最大文字数は、Google 100文字、Amazon 128文字。 Facebook、Twitterは記述が見当たらなかったが、どちらも100文字のパスワードに変更できた。100文字あれば十分だろう。

何度か計測してみたが、自分の場合、スマホでキーボードを何度も切り替えながら、大文字小文字数字記号混在の8桁を入力するより、小文字のみの20桁を入力する方が早いな。PCなら混在でももっと早く打てるんだが、

その他に気になったことはこのあたり。

単色化が対策されると少し難しくなるのか Vpassのパズル認証を突破する - YDiary ydkk.hateblo.jp/entry/2017/08/…

マウスの動きの検証とかはしてないんですかね / “Vpassのパズル認証を突破する - YDiary” htn.to/S6W8Bk

1 2





twitterセキュリティネタまとめというサイトでまとめてます。趣味は競馬です。"><xmp>

このまとめに参加する