アカウント名:
パスワード:
を日本国内で利用した場合、具体的にどのような挙動をするんだろう。本当に中国政府までデータが到達できるんだろうか。
中国政府が未知の魔法を使っている訳ではないだろうし、特定の環境向けのカスタマイズ機器じゃなく、量産機器なわけだから、案外、あんまり凝った動きはしないんじゃないか、それならパケットフィルタ噛ませば、安価な機器で比較的安全に運用は出来るんじゃないかしらん、などと思ったりしながら、バックドアに対して、無限大の恐怖を抱く記事の群れを眺めています。
バックドアを発見する方法はあるね。
簡単な方法を挙げるとしたら、上位ネットワーク以外には何も繋げない状態でインターネットに繋いでおく。上位への通信はNTPくらいにしといていいか。
そして上位側ではスイッチに繋いでポートをミラーするか、Firewallみたいなものでパケットを全部キャプチャしておく。ICMPとかスキャンはたまに来るだろうけど、それはスルーさせておこう。
バックドアがあるなら、そのうちハッキリとそれなりの通信が発生するはずだ。下に何も繋げていないのはわかりやすくするため。
国外への通信が安定して発生するなら、いよいよ怪しいので接続先を調べたり、パケットを分析すれば完全にわかる。
今の御時世、気合が入ったバックドアならそんな分かりやすいビーコンは発信しなくても構わんだろう。バックドアは外から来た時に迎え入れるもので、中から能動的に発信する必要も本来は無い。
仮にビーコンを送るとしても、管理下のサーバ宛の正規の通信に微妙なサインを混ぜて代わりとするのも可能だろう。元コメに合わせてルータ製品として、広告でもアップデートでも何でも良いけど、そういう通信の応答間隔等のわかりにくい部分にほんの僅か情報をコードして統計的に拾えるようにするとかね。存在だけ検知できればあとはネット上のゴミみたいなパケットで似たようなことすれば完全に隠れて通信できる。
大容量のデータを盗む必要がある時は本格的な通信もさせる必要があるが、標的になってその機能が動いた瞬間にしか検知することは出来ない。
胡散臭いスマホアプリ程度なら解り易いビーコン出したりもするだろうけど、「国家と密に動ける大企業がハード組み込みで厳重に隠蔽したバックドア」ならこのくらいやりかねん。
アメリカのNSAがCiscoのルータにバックドアを仕掛けていた方法は、ターゲットの組織が購入したCisco機器を輸送途中で抜き取って細工したうえで戻すというやりかたでした。
不特定多数だとバックドアが発見される確率が大幅に上がるので国家レベルでの諜報活動としてはめったにやりません。ただし、広く流通させたうえで休眠し、イランの核施設のシステムで実行したときにだけ発動して破壊するStuxnetのようなものもありますが。
ターゲットがルーターをどのように設定するかはわかりませんから、バックドアを使うには能動的に情報を外部に発信する必要があります。バックドアはここだよって合図ですね。かつ、確実に動作するように特殊な条件ではないはずです。それをスクリーニングしやすいように調査対象の機器を、下に何もぶら下げない状態で設置するというわけです。
もっとも、そのような仕掛けるのにハイリスクな方法をとるよりも、標的型攻撃のようにターゲットを騙してスパイウェアを仕掛けるほうがバレても正体を隠しやすく、仕掛ける段階で発見されて捕まることもないので、標的型攻撃のほうが現実的な脅威でしょう。
> アメリカのNSAがCiscoのルータにバックドアを仕掛けていた方法コレに関しては このツッコミ [livedoor.jp]に同意で、眉唾極まりないと思っている。何かしらやってはいるだろうけど、暴露された予算や手段そのものって事はまずありえんと思う。
> バックドアを使うには能動的に情報を外部に発信する必要があります。それが今どきの攻撃としては杜撰で愚かだと言っているんだが。解析用隔離環境下で能動的に動いてどーすんだ、役目も果たせず仕掛けもバレて終わりじゃねーか。Flash全盛期のマルウェアですら、初回アクセスでしかマルウェアを吐き出さず二度目以降は無害を装うとかやってたし、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
中国市場向けバックドアが仕込まれたルータ (スコア:0)
を日本国内で利用した場合、具体的にどのような挙動をするんだろう。本当に中国政府までデータが到達できるんだろうか。
中国政府が未知の魔法を使っている訳ではないだろうし、特定の環境向けのカスタマイズ機器じゃなく、量産機器なわけだから、
案外、あんまり凝った動きはしないんじゃないか、それならパケットフィルタ噛ませば、安価な機器で比較的安全に運用は出来るんじゃないかしらん、などと思ったりしながら、
バックドアに対して、無限大の恐怖を抱く記事の群れを眺めています。
Re: (スコア:0)
バックドアを発見する方法はあるね。
簡単な方法を挙げるとしたら、上位ネットワーク以外には何も繋げない状態でインターネットに繋いでおく。
上位への通信はNTPくらいにしといていいか。
そして上位側ではスイッチに繋いでポートをミラーするか、Firewallみたいなものでパケットを全部キャプチャしておく。
ICMPとかスキャンはたまに来るだろうけど、それはスルーさせておこう。
バックドアがあるなら、そのうちハッキリとそれなりの通信が発生するはずだ。
下に何も繋げていないのはわかりやすくするため。
国外への通信が安定して発生するなら、いよいよ怪しいので接続先を調べたり、パケットを分析すれば完全にわかる。
Re: (スコア:0)
今の御時世、気合が入ったバックドアならそんな分かりやすいビーコンは発信しなくても構わんだろう。
バックドアは外から来た時に迎え入れるもので、中から能動的に発信する必要も本来は無い。
仮にビーコンを送るとしても、管理下のサーバ宛の正規の通信に微妙なサインを混ぜて代わりとするのも可能だろう。
元コメに合わせてルータ製品として、広告でもアップデートでも何でも良いけど、
そういう通信の応答間隔等のわかりにくい部分にほんの僅か情報をコードして統計的に拾えるようにするとかね。
存在だけ検知できればあとはネット上のゴミみたいなパケットで似たようなことすれば完全に隠れて通信できる。
大容量のデータを盗む必要がある時は本格的な通信もさせる必要があるが、
標的になってその機能が動いた瞬間にしか検知することは出来ない。
胡散臭いスマホアプリ程度なら解り易いビーコン出したりもするだろうけど、
「国家と密に動ける大企業がハード組み込みで厳重に隠蔽したバックドア」ならこのくらいやりかねん。
Re:中国市場向けバックドアが仕込まれたルータ (スコア:0)
アメリカのNSAがCiscoのルータにバックドアを仕掛けていた方法は、ターゲットの組織が購入したCisco機器を輸送途中で抜き取って細工したうえで戻すというやりかたでした。
不特定多数だとバックドアが発見される確率が大幅に上がるので国家レベルでの諜報活動としてはめったにやりません。
ただし、広く流通させたうえで休眠し、イランの核施設のシステムで実行したときにだけ発動して破壊するStuxnetのようなものもありますが。
ターゲットがルーターをどのように設定するかはわかりませんから、バックドアを使うには能動的に情報を外部に発信する必要があります。
バックドアはここだよって合図ですね。
かつ、確実に動作するように特殊な条件ではないはずです。
それをスクリーニングしやすいように調査対象の機器を、下に何もぶら下げない状態で設置するというわけです。
もっとも、そのような仕掛けるのにハイリスクな方法をとるよりも、標的型攻撃のようにターゲットを騙してスパイウェアを仕掛けるほうがバレても正体を隠しやすく、仕掛ける段階で発見されて捕まることもないので、標的型攻撃のほうが現実的な脅威でしょう。
Re: (スコア:0)
> アメリカのNSAがCiscoのルータにバックドアを仕掛けていた方法
コレに関しては このツッコミ [livedoor.jp]に同意で、眉唾極まりないと思っている。
何かしらやってはいるだろうけど、暴露された予算や手段そのものって事はまずありえんと思う。
> バックドアを使うには能動的に情報を外部に発信する必要があります。
それが今どきの攻撃としては杜撰で愚かだと言っているんだが。
解析用隔離環境下で能動的に動いてどーすんだ、役目も果たせず仕掛けもバレて終わりじゃねーか。
Flash全盛期のマルウェアですら、初回アクセスでしかマルウェアを吐き出さず二度目以降は無害を装うとかやってたし、