カテゴリー
Vulnerability

(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について

投稿アップデート情報  追記(11/7)

 昨日,「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について」というのが出ていたので,慌てて, NetowleNom を見に行った。見たのは, Netowl のレジストラロックがしっかりかかっているかと,両方の登録データが変わっていないかだけだが。パスワードは,もともとかなり複雑にして使っているので,変えても仕方ないだろうし。変えるタイミングもあるし。レジストラロックというのは,レジストラが提供しているわけで, Netowl のレジストラロックは Netowl が提供しているわけだ。 com ドメインの場合, Netowl はリセラーでレジストラとしては行動しないようだが,その場合でも,ロックは効くんだと思う。判断理由は, Value-Domain のときも Value-Domain はリセラーでレジストラは Key-Systems だったんだが,そのときも同じシステムだったからだ。それに eNom の設定では, Netowl がリセラーとして管理している私のドメインについては,そういう項目はなかったし。もっとも,確認はとっていないから,私が勝手に推測しているだけだ(汗)。
 ところで,「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について」で記述のあるロックは,レジストリロックだ。これがよくわからない。記事を書いた時点(11/6)では,脳ミソが勝手に「リ」を「ラ」と読んでいた(滝汗)。レジストリロックというと,レジストリ側でロックをかけるという意味だろう。 com のレジストリというと, InterNIC ですかね。 jp だと, jprs だよな。 jp はともかく com って膨大な数だよ。実際の管理がレジストリ自体で可能なのかね。実は,レジストラやリセラーに管理委託しているとかなるんじゃないのか。
 レジストラロックていうのは,多分, clientTransferProhibited の状態のことだと思うんだけど,レジストラロックとレジストリロックってどう違うんですかね。アチコチ読んでもすっきりと納得がいかない。
 どなたか,ご指導よろしくお願いいたします m(_”_)m。

 この件に関しては,ユーザにできることは限られているから,レジストラや権威 DNS サーバの運営者や CDN サービスなどにしっかりしてもらわないとどうしようもない。今年, eNom に移管するとき,過去の事件が頭をよぎったりしたのだが, jp 国内のドメインでもこういうことの起こる時代になったんだな。狙われるようになったら,国内には危ないところが,いっぱーーいあるんだろうと,戦々恐々である。

 「速さにたじろぐ」のときにも書いたが,我が国は結構蚊帳の外だったからねぇ。ありがたくないけど,このあたりもグローバル化の時代を迎えたわけだ。

 こんなことなくても,白物家電がゾンビ PC 化したり, USB の設計そのものが悪用されたりと,なんか無力感が甚だしいのになあ。

 しかし,関連で名前挙がっている企業がおっきいとこだねえ。大きいとこはピンポイントで狙われるだろうから,その企業が特に弱いということではなく,強度については,どこも変わらんのだろうなあ。

追記(11/7):
 上の追記で,レジストリロックとレジストラロックについて,
> どなたか,ご指導よろしくお願いいたします m(_”_)m。
と書いたのだが,くりくりさんが,「登録情報の誤りによるドメインの停止措置について」というページを教えて下さった。なるほど,これがレジストリロックなんですね。よくわかる。

 レジストラロックは,あくまで, Transfer Prohibited ,つまりドメイン移管禁止だもんね。当然ながらユーザが ON/OFF できる(リセラーに頼んで変えてもらうということも含めて)。レジストリロックは,ドメインの期限切れではないのに registrar hold にされることなんだ。ということは,移管どころか,ドメインの使用自体ができなくなってしまうわけだ。対応が遅れるとドメインが削除される可能性もあると。なるほど。

 くりくりさん,ありがとうございました m(_”_)m。

カテゴリー
Windows

リモート・デスクトップ・サービス

The same article in English

 多分,同じことで困っている人がいると思うが, 10 月の MS の魔の更新後,サーバ (OS は Windows7 Home Premium x86) へのリモート・デスクトップができなくなった。実のところ,これに気づくまでは,「魔の更新」とは思っていなかったんだが (-_-;)。 Windows7 Home Premium へのリモート・デスクトップです。お分かりですよね。こんなのやこんなの (http://stascorp.com/load/1-1-0-63 くりくりさんからの情報で調べてみたら,リンク先によからぬものが含まれていそうなので,リンクを外しました。跳び先で,うっかりアチコチクリックしなければ,大丈夫だと,思うんですけどね。まあ,転ばぬ先の杖で,リンクは切っておきます。興味がある場合は,自己責任で行ってください。)をめっけたので,いろいろやってみたが,ギブアップ。ハァー。

 めったに使わないとはいえ,サーバへのリモートができないのは,困る。仕方がないから Chrome Remote Desktop で代替することにした。サーバ自身に必要のないソフトのインストールは好きでないが,今回は,やむを得ないかなぁ。

カテゴリー
everyday life

もの思う秋。

Moon and clouds.
雲間の月
十五夜後の立待
 11 月になっちゃいましたねぇ。今年も残すところ,あとふた月。そんなことを思いながらわが記事を読み返してましたら,右の写真を見つけちゃいました。こんなもの見ると,王維の詩でも詠じてみたくなりませんか。
 

竹里館

明 深 弾 獨
月 林 琴 坐
來 人 復 幽
相 不 長 篁
照 知 嘯 裏

カテゴリー
everyday life

Trusteer Rapport をインストールしてみた。

 初めに,余談つうか,本日のメインイベント(呵呵大笑)。

 鷹くーん。日本一ーー\(^o^)/。

 今年一,というか,今年初のいい出来のセッツンを見せてもらったし。しかし,すっきりしない決まり方だったワイ。サファテは,来季は大きな試合に投げさせたらいかんね。いや,こんな日に文句を言ったらいけません。
 鷹のみなさま,おめでとうございます。今季もありがとうございました。

 さらに,余談。
 笑っちゃった。出演の黒ニャンコ,かわいい!! 関係ないか (^o^)。
 「iPhone 6 Plus」「iPad mini 3」のTouch IDを偽造指紋で突破、ついでに猫の肉球でも認証OK。 本文に,「あくまでパスワード入力を省くための便利なツールの 1 つとして考えたほうがよさそうとのことです。」とあるが,その程度のもんなんだねぇ。

 ところで,表題の件。
 三菱東京UFJ銀行のダイレクト(インターネットバンキング)を使っている。ふと思い立って,UFJが前からおすすめの「無料のウィルス対策ソフト」を入れてみた。実体は IBM の Trusteer Rapport だった。「他のセキュリティソフトウェアとの互換性」となっているが, Rapport は基本的にネットバンキングでの危険性回避に特化しているようなので,他のセキュリティソフトウェアとの併用が望ましいらしい。我が家でのインストール時は,特に特別な操作は必要なかった。

Trusteer Rapport
Trusteer Rapport

カテゴリー
Windows

OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局。

The same article in English
投稿アップデート情報  追記(10/28)

 今回の騒ぎ“Qualys SSL Labs – Projects / SSL Server Test” をやったとき,テスト結果にやらオレンジやらが乱舞していた (^_^;)。
 
||赤いの||

  1. Trusted : No NOT TRUSTED <<---- これは,自前認証局を使っているせいなので,自信をもって無視する(笑)。
  2. IE 6 / XP No FS 1 No SNI 2 : Protocol or cipher suite mismatch : Fail3 <<---- うちの SSL サーバのユーザは私だけで,私は IE 6 / XP なんぞ使わないので,これも無視。
  3. Fail3 “Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.” なんだそうだ。うちの SSL サーバはより低レベルのプロトコルは受けつけないが,これも別に問題なし。
  4.  というわけで,赤いのについては何もやらなくてよし。

||オレンジの||

  1. Prefix handling : Not valid for “www.o6asan.com” :CONFUSING
  2. Signature algorithm : SHA1withRSA : WEAK
  3. Chain issues : Contains anchor <<---- Ivan Ristić“Chain issues Contains anchor” で書いていたことを根拠に,無視。
  4. Not in trust store <<---- これも自前認証局のせいなので,無視。
  5. Downgrade attack prevention : No, TLS_FALLBACK_SCSV not supported
  6. Forward Secrecy : With some browsers

 オレンジのについては, 1, 2, 5, 6 について対処する必要がありそうだ。まずは, 5 と 6 から。 1 と 2 は証明書そのものを作り変えないといけないので,後回し。

  1. Apache 2.4.10 (httpd-2.4.10-win32-VC11.zip) を 10/20 バージョンにアップデートした。この版は openssl-1.0.1j を使ってビルドされてて,1.0.1j は TLS_FALLBACK_SCSV をサポートしたから。
  2. httpd-ssl.conf において, SSLHonorCipherOrder on をアンコメントし, SSLCipherSuite Directive の値を変更。
    HIGH:MEDIUM:!aNULL:!MD5

    EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256
    EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP
    !PSK !SRP !DSS

       参考 : Configuring Apache, Nginx, and OpenSSL for Forward Secrecy
    ↓ RC4 関連で, 12/23 に下記に変更した。
    EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH
    EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

       Ref : RC4 in TLS is Broken: Now What?

    SSL サーバがモバイルや旧世代の OS/browser をサポートしなくてはいけない場合は,それらに合わせた設定もする必要が生じる。うちのは,関係ないけど。
  3. この作業後,テストしたら, “Downgrade attack prevention : Yes, TLS_FALLBACK_SCSV supported”“Forward Secrecy : Yes (with most browsers) ROBUST” に変わった。

 次は, 1 と 2。
 1 は自前認証局の Common Name が o6asan.com だけだからだ。で,新しいのは, o6asan.com も www.o6asan.com もサポートさせないといけない。しかし,我が家の SSL サーバ用の IP は,一つしか割り当てる気がないよという問題がある。これに対処するために, SNI(Server Name Indication) を使う。 8 月ごろに,くりくりさんが取り組まれていた。まあ,まだすべての OS/browser がサポート完了しているわけではないが……それでも,かなりましになってきたのは確か。ワイルドカード証明書か SAN かということになるが, SANs で行くことにした。だって,うちの SSL サーバに任意のサブドメインを受け入れさせる必要はないでしょ。これについては Apache からも制限できるとはいえ,必要のない扉を大きく開けるのはポリシーに反する。
 2 は前の証明書を作ったときに OpenSSL の default を使ったからである。デフォルトだと,今もかわらず SHA1 を使うようになっている。今回は, default_md = sha256 にして,こさえるワ。
 28 日,改めて Server Name Indication を読み込んでいたのだが, SNI と ワイルドカード証明書か SAN は次元の違う話のようだ。難しいなぁ。

 openssl.cnf (← この標準の名称のままで行く) を Apche24conf から c:openssl-1.0.1x-winxxssl (← OpenSSL をフルでインストールすると,ここがデフォルト) にコピーして,以下のようにカスタマイズする。

    一行アンコメントし,いくつか値を変更する。

  1. dir = ./demoCA —->> dir = X:/demoCA <<----絶対パス
  2. default_crl_days = 30 —->> default_crl_days = 365
  3. default_md = default —->> default_md = sha256
  4. default_bits = 1024 —->> default_bits = 2048
  5. # req_extensions = v3_req —->> req_extensions = v3_req
    何行か追加する。
  1. [ v3_req ] のエリアに subjectAltName = @alt_names を追加。
  2. [ v3_ca ] エリアの直前に以下を追加。
    [ alt_names ]
    DNS.1 = example.com
    DNS.2 = www.example.com

     
    必要なドメインを DNS.1, DNS.2, DNS.3, … のように追加できる。
  3. クライアント証明書も必要な場合は, openssl.cnf の最後に以下を追加する
    [ ssl_client ]
    basicConstraints = CA:FALSE
    nsCertType = client
    keyUsage = digitalSignature, keyEncipherment
    extendedKeyUsage = clientAuth
    nsComment = "OpenSSL Certificate for SSL Client"

 さて,新自前認証局の作成をしよう。(参考 : 本家のお世話-#68)

    ||自前 CA 作成||

  1. X:/ に myCA フォルダを作る。
  2. private と newcerts という 2 つのフォルダと index.txt を myCA に作る。
  3. cmd.exe を 管理者として実行。
    pushd X:myCA
    echo 01 > serial
    openssl req -new -keyout privatecakey.pem -out careq.pem
    openssl ca -selfsign -in careq.pem -extensions v3_ca -out cacert.pem
    copy cacert.pem (Drive_SV):Apache24confssl.crt
    copy cacert.pem my_ca.crt

      注)(Drive_SV) というのは,自宅サーバ上のサーバウェア用パーティションである。

    ||Server 証明書作成||

  1. pushd X:myCA
    openssl genrsa -out server.key 2048
    openssl req -new -out server.csr -key server.key
  2. 次のコマンドで CSR 内の SANs を確認する。(中にちゃんと ‘Subject Alternative Name’ があるかな?)
    openssl req -text -noout -in server.csr
  3. openssl ca -in server.csr -out server.crt -extensions v3_req
    copy server.key cp_server.key
    openssl rsa <cp_server.key> server.key
    copy server.key (Drive_SV):Apache24conf
    copy server.crt (Drive_SV):Apache24conf
    ||Client 証明書作成||

  1. pushd X:myCA
    openssl req -new -keyout client.key -out client.csr
    openssl ca -policy policy_anything -extensions ssl_client -in client.csr -out client.crt
    openssl pkcs12 -export -in client.crt -inkey client.key -out clientcert.p12

   SANs 作成参考リンク : FAQ/subjectAltName (SAN), Multiple Names on One Certificate.

 やっと,「 SANs 対応かつ SHA256 使用の自前認証局」が出来た。満足じゃ!!

カテゴリー
everyday life

自分が ban くらっちゃった。

 さっきモバイルで自分とこにアクセスしたら, ban くらっちゃいました。えーっとか思って,モバイルルータの電源切ってアクセスしなおしたら,大丈夫でした。

 自分のところの直前に, mojo さんのところでも同じ羽目になりましたが,これも電源再投入後の IP だと大丈夫でした。

 誰か mopera のゾーンで,よからぬことをやってたヤツがいたらしい。 2ch とかで,よく規制をくらったとか聞きますが,自分は初体験でした。

 しかし,なんといっても,我が家から締め出されたのに,ビックラしたワ!!

カテゴリー
WordPress

カールはプードル飼ってるのかな?

The same article in English
投稿アップデート情報  追記(10/26)

 前記事で, “POODLE” の件を書いた。その後, SSLv3 fallback attack POODLE というのを読んで, WordPress 上の cURL のことが気になりだした。

 curl_setopt( $handle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); というオプションを curl_setopt で見つけたが, WordPress Core Scripts のどこに入れるのが一番いいのかがわからない。で, WordPress Forums に topic を建ててきた。現在,回答待ちです。

追記(10/26):
 cURL が確かに TLSv1.2 を使っていることを確認できたので,さっき, topic を [resolved] にしてきた。 Apache の SSL のログに %{SSL_PROTOCOL} を入れて調べた。 class-http.php に CURL_SSLVERSION_TLSv1 on the file を入れる必要はないようだ。サーバのコンフィグがちゃんと出来てれば,クライアントは安全にアクセスできるんだね。もちろん,クライアントのソフトが TLS に対応してないとかじゃ話にならんけど。

 何はともあれ,(*´▽`*)。

カテゴリー
Windows

覚え書-#20。

The same article in English
投稿アップデート情報  追記(10/18)

 もう, “POODLE” 問題(つまり, CVE-2014-3566)には,対処した? OpenSSL のオフィシャルでも, OpenSSL Security Advisory [15 Oct 2014] が出てる。

 サーバ管理者としては下記のことをやった。
 今のところ, 1.0.1j でビルドされた Apache Lounge 版の Zip が手に入らないので, “SSL v3 goes to the dogs – POODLE kills off protocol” にあった回避策をやった。

 httpd-ssl.conf に SSLProtocol All -SSLv3 を書き加えて, httpd.exe をリスタートした。やる前は, SSL Server Test で “This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C” だったが,回避策後は, “This server is not vulnerable to the POODLE attack because it doesn’t support SSL 3” になった。実のところ,うちでは, Apache 2.4 と OpenSSL 1.0.1 を使っているので,うちの mod_ssl の場合, ‘SSLProtocol all’ は ‘SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2’ ということになる。これは SSLProtocol Directive に記述がある。

 ユーザとしては,ブラウザで SSLv3 を停めた。
 やり方は,これも How to protect your browser にあった。英文だが,図もあってわかりやすい。日本語のサイトでは, IE, FireFox, Chrome の 3 つともの説明があるところを見つけられなかった。

追記(10/18):
 PHP 5.6.1 —>> PHP 5.6.2 ChangeLog.
 phpMyAdmin 4.2.9.1 —>> phpMyAdmin 4.2.10 ChangeLog.

カテゴリー
everyday life

早く通り過ぎてくれないかな?

The same article in English
投稿アップデート情報  追記

台風 19 号 10/12 9:00 ~ 10/13 8:30
台風 19 号
10/12 9:00 ~ 10/13 8:30
 テレビの速報で流れたが,台風 19 号は 8:30 ごろ,枕崎あたりに上陸したらしい。

 夕べっから,雨戸をしめ切って家にこもっている。今んとこ,暴風警報,大雨注意報,雷注意報,洪水注意報が出てる。夜半には激しい風の音を聞いたが,今はすごく静かで,雨もほとんど降っていない。嵐の前の静けさでっか。

 台風の進路が予想より南にずれたので,我が町への影響は少なくなったと思う。しかし,速度が少し上がってきたね (30 km/h)。

 早く通り過ぎてくれないかな?

追記:
 今(14:00過ぎ),雨戸を開けた。台風時以外は,いつも開けたままなのだ。

 「大山鳴動して鼠一匹」 今年,こんなんばっかり。まぁでも,災害のないのは,ありがたい話だ。 「天災は忘れたころにやって来る」だから,横着構えないようにしないと!!

 19 号はまだまだ力があるし,気を抜かないで,お気をつけください。

カテゴリー
everyday life

月と天王星。

The same article in English

 FHさんから, 10/8 の月食の写真をいただいた。なんでかってっと, FHさんがホームページにアップしていた画像に「すごいなぁ。いいなぁ。(;一一)」と羨望の眼差しを送ったからである(滝汗)。

 というわけで,その中の 5 枚を掲載する。でもって,彼の画像の中に天王星を発見したのだ。今度は,絶対間違いないから。賭けてもいい(爆)。

 5 枚中 3 枚ではっきり見える。あの晩の天王星の等級は, 5.7 くらいだったらしい。でも,月が暗くなるとだんだん見やすくなってくるのが,画像上でよくわかる。おもしろいね。

午後 6 時 25 分
午後 6 時 25 分
午後 6 時 32 分
午後 6 時 32 分
午後 6 時 58 分
午後 6 時 58 分
午後 7 時 8 分
午後 7 時 8 分
午後 7 時 37 分
午後 7 時 37 分
撮影者: FHさん
撮影場所: 京都市
台風 19 号 10/11 9:00 ~ 10/12 8:30
台風 19 号
10/11 9:00 ~ 10/12 8:30

 ところで,また,台風が来てる。今までのところ,我が町は被害にあっていないのだが,備えはしなくっちゃ。「備えあれば患えなし」。本当に患えなしに終わってくれればいいんだが。

 それにしても,すごい雨雲だ。