2005年 5月 31日
■Micorosoft RDPは相変わらずMITM可能?というお話
Windowsのターミナルサービスで使われているRDP(Remote Desktop Protocol)では、デフォルトで通信の暗号化が行われています。こういう話もありましたね。
で、このRDPでは鍵の交換に公開鍵暗号を使っているのですが、この際の公開鍵の検証の仕方として変な方法を使っているために相変わらずMITM可能なのです、というお話があるようです。
公開鍵に署名するのにDLLにハードコードされた秘密鍵を使っているんだそうでorz...ウソぉ。
上記に対応したものではないですが、Cain & Abelは v2.7からRDPv4 session sniffer for APRということで以前のバージョンのRDPに対してMITMなことが出来るようになっているようです。
コメント(1)
Translate (en)- --- コメント 1件 [ 全文表示 ] ---
- bill : KXPNyl qv8032ry07vdd91vdsv0ylv7y4
■ForensicsではSMART情報とかも気にするのかぁ
SecurityForcus Forensics-MLにポストされていた資料です。
- SMART ANTI-FORENSICS(PDF)
斜め読みもいいところなんですが、Forensics用にディスクイメージを複製する際にはHDDのSMARTが提供する属性情報が書き換わるねぇ、というお話なのかなぁ。
2005年 5月 30日
■機能による抽出(検索)というのは。。。
ということでSA宴会への移動中にふとした思い付きで質問したら、逆にねたふりいただいちゃったようなのですが(笑。
何の話かといいますと、「コンピュータの調査をするときに通信機能を持っている実行可能ファイルを抽出したりするような調査をすることってあるんでしょうか?調べるとしたらどういう手段がありますかねぇ」みたいな事をお話していたわけです。
例えばWin32のPEな実行ファイルなんかですと、個別に調べるのであれば、Dependency WalkerやらVC++付属のDUMPBIN.EXE、Borland C++だとtdump.exeとか、そういうDLLなどの依存関係を調査するツールを使用することになるかと思います。で、例えばws2_32.dllとかwsock32.dllなんかがインポートされていれば通信機能がありそうだとか推測することは出来そうです。で、ここまではいいのですが今のところ、
- ファイルを1つずつ調べるのは面倒だから、一括で調べる方法はないかなぁ(dumpbin.exe使ってスクリプト書けば出来そうな気はする)。
- Cygwin見たいに一つのDLL経由でWinsock関係含む多数のDLLをインポートしてる場合には、通信機能使ってなくても全部引っかかってくるなぁ。
- .NETやJavaなアプリは当然別の調べ方だし。
とか障壁が色々ありそうだなぁと思っているところです。なんかこの辺りをお手軽に調べる方法があると、面白い調査が出来そうなんですが。
あやしい実行ファイルが予め絞り込まれている場合は、従来から色々あるリバースエンジニアリング手法で個別に詳細に調べるのが正道と思いますが、ざっくりとあたりをつけるための手法としては、他にはどういうものがあるでしょうかねぇ。
2005年 5月 18日
■Know your Enemy: Phishing - Behind the Scenes of Phishing Attacks
Honeynet projectからの新ドキュメント。フィッシング詐欺に使われる各種手口の分析レポートのようですね。
■MYCOM PC WEB: Hyper-Threadingの脆弱性 - そのメカニズムとは?
BSDCan 2005にて発表されたIntel Hyper-Threadingに関する脆弱性に関する発表についての今の時点で最も適切と思われる日本語解説。
ホーム
アーカイブ
管理画面