新着記事

2005年12月12日

ここは惑星ソニーでございます / 世界各地に広がる不安

Welcome To Planet Sonyより。

ここは惑星ソニーでございます

Dan Kaminsky 2005/11/15(火) 09:28

ソニー。

ソニーはrootkitの持ち主だ。

そのrootkitは本拠地に通報する。

通報するには、DNSへのクエリー(問い合わせ)が必要だ。

DNSへのクエリーはキャッシュされている。

キャッシュは外部から検査でき(Luis、素晴らしい論文だ!)、 そこにあるすべてのネームサーバのリストを手に入れることができる。

http://deluvian.doxpara.com/で実行しておいた検査から、 そんなリストを手に入れた、まさにその瞬間のことだった。

一体何を見つけてしまったのかって?

とても、とてもじゃないがあまりに、予期できなかった物事だよ。

どうも、今や少なくとも568,200台ものネームサーバが問題のrootkitがらみのDNSクエリーを経験しているらしいのだ。 ホスト数に換算したらどうなるかって?ソニー(とFirst4Internet)のみぞ知るってやつだが... 意外でもなんでもなく、彼らは別に隠し立てが嫌いって性分じゃあないものでね。 しかしここまでの規模となると、数百万のホストが感染していると考えて差し支えなさそうだ。 ワーム規模の案件だよ。これを発見する処理過程で結果的に、DNSキャッシュ探索技術はいくばくかの有意義な進展を見ることとなった。 その要因となった具体例をいくつか挙げるなら、以下の通りである。

  • 再帰を無効にするよう要求しただけでは、実際そうなるとは限らない。 最終集計において全部で353,200台ものネームサーバを除外せねばならなかった。 これは、そういったサーバから再帰クエリーが発行される疑いがあったばかりか、要求されようとされまいと、 近隣サーバからの結果を通知している疑いまでがあったからである。
  • TTL指定があまり存在しないため、 キャッシュ探索によってとらえることが想像以上に難しい。(寿命の確証を得られる前に失効してしまう) とはいえ、かなり長期間持続するネームによってホストされている場合もある。例えば、updates.xcp-aurora.comの寿命は1時間だが、 xcp-aurora.comのresolver1.first4internet.co.ukへのネームサーバリンクは150,000秒(およそ41時間半)も持続する。
  • 表向きキャプティブポータルを詐称するホストがある。 単に100で割り切れるTTL値を持つサーバをフィルタリングしてほとんどを排除するだけで、 驚くほど簡単に、IPを詐称するごく一部のネームサーバを特定することができる。

ついでに、Mike Schiffmanのlibipgeoと、 大したデータベースを備える立派なIP2Locationを使って、 IPを地理的なデータに変換してみた。真っ先にデータの位置を定めたので、集めた生の統計データは不要になった...

なんといいましょうか、実に美しい光景だ。データは醜悪だが、なんて美しい光景なんだ!

これを作るのに使ったツール?名付けてWelcome To Planet Sonyだ! (一般論としてはPartiviewをベースにしたものだが、 具体的には前々から素敵だと思っていたPlanetLabの作品を拝借した。)

(訳注:上記事は書かれたのち、ジョンズ・ホプキンズ大学のアダム・スタブルフィールド助教授のチェックを受け、 その後各IT系メディアの記事として取り上げられた。日本語記事も複数出ている。)

Separation Anxietyより。

世界各地に広がる不安

Dan Kaminsky 2005/11/17(木) 04:16

以下の3つはソニーrootkit調査研究最前線からの新しい画像である。

上の画像で、赤色はFirst4Internetにアクセスした痕跡を意味し、 緑色はソニーのエンハンスドCDサイトにアクセスした痕跡 (無論問題のrootkitを含むが、他の何かという可能性もある)を意味する。 ほとんどのリンクは黄色である。 これは、サンプリング周期間、First4Internetに関するものと見分けられ、かつ、 ソニーに関するものとしても見分けられた痕跡を意味し、3000〜4000を超えるネットワークで発見されている。 なお、地理的な痕跡については、非常に精確なテキスト形式でも掲載しているので参照されたし。 (テキスト形式:ソニーF4I

これが何を表しているかって?良い質問だ。 そもそもこれは、問題のrootkitそのものがFirst4Internetに対しクエリーを発行していたことから出現したものである。 今のところ、完全に信頼できる結果と言えるかどうかは五分五分だ。 けれども、First4Internetの大流行が顕著なのはあまりに目立つ。 物議をかもした数週間中でさえ、ただひとつのサイトも勝手に接続してはいないというのに。 思うに、感染のおそれありとされるネームサーバと、消毒・アンインストールを必要とするネームサーバの間に高い相関関係があったとしても、 なんら驚くに値しないのではあるまいか。だが、もっと多くのことを知りたいところだ。 とにかく、当初から主張しているように、私が持っている情報では充分とは言えず、 一体どれだけのホストが危険にさらされているのか、断定することも、ほのめかすことも、当て推量することさえも難しいのである。

ソニーのみぞ知る、ということだ。

posted by 7mm MG at 12:50| Comment(0) | TrackBack(4) | 和訳 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック

rootkit入り音楽CD――それでもコピープロテクトはなくならない
Excerpt: この比較対象表はなかなか良いですね! ソニーBMG:悪意のあるソフトウェア特徴比...
Weblog: 音楽配信ジャーナル
Tracked: 2005-12-09 14:25

アーティストの知的財産権を守るためにオープンソースのルールを破るSONY BMG
Excerpt:  2件続けてSONY BMGの記事になりますが、XCP rootkitにはオープンソースのコードが含まれているということが判明しています。彼らは自分たちの著作権保護のために他者の著作権を踏みにじ??
Weblog: 新聞記事・ニュース批評@ブログ
Tracked: 2005-12-09 19:43

第29回・EFFが態度一転、「SONY BMGのパッチはインストールしない...
Excerpt: ITmediaニュースで。 EFFが態度一転、「SONY BMGのパッチはインストールしないで」(2005.12.9) ソニーBMGのコピー防止機能付きCDでまた問題--今度はパッチに脆弱..
Weblog: ふっかつ!れしのお探しモノげっき
Tracked: 2005-12-09 22:46

ウォークマンを売るの諦めてたんかいね?
Excerpt: ○ソニーDRMの隠し機能は、オープンソースコードを使いApple社のDRMを付加するものであると発覚した  一言で言えば「盗人猛々しい」といった感じ。企業体質からして元からかも知れんが。  ま..
Weblog: Delenda est age.
Tracked: 2005-12-09 23:21
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。