宅ふぁいる便 情報流出事件

いろいろメモ.

不正アクセスがあったのも問題だけど,ファイルの暗号化もパスワードのハッシュ化もしてなかったことで話題に.


この辺はプログラマーの常識だし,ファイル転送サービスのようなセキュリティが重要となるサービスで10年以上も対応してなかったんじゃ恰好が付かない.仮にもソフトウエア開発を手がけるオージス総研としては,信用が地に落ちる大スキャンダルと言って良いはずなのだが...

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践 The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws

http://b.hatena.ne.jp/entry/s/tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01661/

  • id:nishik-t (ID無いので読めないが)ユーザーがパスワードを忘れた場合に再設定ではなく本人確認後にパスワードを教えたい発注側の要望によってそのような仕様になることが10年くらい前までは割とあったな。
  • i:saitoudaitoku パスワード忘れて再発行する際に、昔のパスワードを送ってくるサイトは平文で保存しているので要注意。そのサイトで他のサイトと同じパスワード使うのは危険
  • id:stealthinu 結局、古いシステムをパスワード暗号化対応の変更するのはリスクしか見えずインセンティブないから放置してたんだろう。例えば客先システムで暗号化対応しようとか言っても予算つかないじゃん。

http://b.hatena.ne.jp/entry/s/togetter.com/li/1313652

  • id:sin20xx 知ってるか?あの会社その程度の技術力で第三者機関としての評価業務もやってて、さらに言えばセキュリティ対策のコンサルテーションや講演なんてしてるんだぜ?他社には言いたい放題で自分達は何もやってないという

これは言われるよねえ.だから大手企業が手抜きサイトを作るのはリスクなのに,上の人はなかなか理解してくれない.鉄筋減らしてコストダウンが大好き.

  • id:waot209 「いろいろパスワード変更しとかなきゃ」と言ってる人はまずパスワードの使い回しやめろ。

激しく同意.対策の基本だよね.

  • id:-id:KazuoLv1 エンジニア2人くらいで回してる古いシステムはまだまだ平文で保存してるところ多そう。単純に手が回らないという理由で。
  • id:uunfo 2005年だからは理由にならない/まあみんなが知らないだけで平文保存なんかざらにある。お偉いさんがパスワード忘れた時に困るだろと言えばどうにもならない/確認フォームないの?/銀行の暗証番号はどうなってる?
  • id:gurutakezawa UNIXがパスワードを暗号化して保存するようになって50年以上、パスワードは暗号化しなければいけないって約30年前の学生時代に習った記憶もある、けどまだこんな事例が出てきちゃうんだなぁ。。。
  • id:Hamukoro カッコウはコンピュータにタマゴを産むはhttp以前の話だが暗号化されたパスワードについての考察が出てくる。2005年頃が暗号化文化の過渡期だったってブコメがあるけど本当なの?

カッコウはコンピュータに卵を産む 上

カッコウはコンピュータに卵を産む 上

カッコウはコンピューターに卵を産む」でも,その辺には触れてたような気がする.クラッカーが真っ先に狙うのは,パスワードファイルだったって.
http://javablack.hatenablog.com/entry/20171210/p1

  • id:dbfireball 2005年のソースのままだったならパスワードが平文なのも分からんでもない。パスワードを暗号化しようね!って過渡期だった頃ですよ。

さすがにそういう技術はもっと昔からあったけど,そもそも初期のWebアプリってPerl CGIとかで書かれてたから,なかなかセキュリティまで手が回らんよね.PHPは言うまでもなく.

  • id:beramines37 会員登録制のサービスリリースするとき、最低限のセキュリティ担保してるか証明する審査機関ってないのか? そこが認証しないと稼動できない。っていう

無理じゃないかな.


長引く不景気で開発者に払う金さえ足りない日本企業が,セキュリティや品質向上に余分なお金を出すはずないもの.そんな金があったら,こんな手抜きサイトをいつまでも放置してない.

下手な罰則作ったら,ハッシュ化するんじゃなくてログイン機構を取っ払う会社が続出する悪寒.原因は技術以上に時間とお金がないことだから.

  • id:windish ふるいあどほっくなこーどで、げんばのエンジニアは技術的負債を返済したくてしょうがないけど、そのための費用がえらいひとにしょうにんしてもらえなかったとかかな。。?

ああ,すごい既視感が...orz

ニコ動さんは氷山の一角.

  • id:emiya726 いい加減パスワードのHashingのことを暗号化っていうのやめよう
  • id:quabbin 暗号化は一般的じゃないぞ。パスワードをDESやAESで暗号化していたら、同じくらい卒倒するわ(そういう意味じゃない

その通りだが,もはや気にしたら負けかなと思ってる.

どうせ一般人はハッシュ化なんて言ってもわかってなくて,「暗号みたいなモノ」って説明するので二度手間だから.技術者同士なら別.

アル中ハイマーの独り言

https://drunkard-diogenes.blogspot.com/2013/03/clifford-stoll.html

また、ハッカーはパスワードファイルをコピーしてまわっている。パスワードは暗号化されているが、これをどうするのか?どうやらパスワードを解読している模様。

3. パスワード破り
パスワードファイルを取得したところで、文字列は暗号化されていて、解読はほぼ不可能である。当時の標準暗号は DES でアルゴリズムは公開されいてるが、暗号化方向は一方通行。ハッカーは、暗号解読のアルゴリズムを編み出したのか?その可能性を否定はしない。だが、人間が思いつく文字列は、だいたい何らかの意味をなす。しかも、覚えられるようなキーワードにするだろう。ハッカーは、片っ端から辞書にある単語を入力するという原始的な手法を用いているようだ。そして、辞書に載った単語から、暗号プログラムに通したリストを作るのは難しいことではない。生成された暗号文字列を照合させるだけで、パスワードを解読することができる。こういう指摘は古くからある。だから数字や特殊文字を混在させることが奨励される。

CUCKOO'S EGG

CUCKOO'S EGG

この本の原書が1989年なので,少なくともそれ以前からある問題.まだ「インターネット」がなかった頃の話だ.

Wikipedia "Password"

https://en.wikipedia.org/wiki/Password

In the early 1970s, Robert Morris developed a system of storing login passwords in a hashed form as part of the Unix operating system. The system was based on a simulated Hagelin rotor crypto machine, and first appeared in 6th Edition Unix in 1974. A later version of his algorithm, known as crypt(3), used a 12-bit salt and invoked a modified form of the DES algorithm 25 times to reduce the risk of pre-computed dictionary attacks.[5]

Wikipediaによると,少なくとも1970年代まで遡るらしい.