DigiLoog

続きを読む »

Heartbleedは、暗号化されている為に安全と言われていたSSL/TLS通信を使っているにもかかわらず、
暗号化された内容を第三者が不正閲覧出来るかもしれないという物だった。
この脆弱性がここまで有名になったのは、攻撃難易度としては結構高いとは言え、

1. 暗号化通信の基幹部分を崩す脆弱性
2. 攻撃された側は攻撃を感知出来ない
3. 応用すればサーバ情報を引き出す事も出来る

という、基幹を揺さぶって世界(のシステム管理者)を震撼させる物だった為。
普段、PCの事は取り扱わないNHKがニュースとして取り上げたレベルなのでお察し下さい

最終的にはVPN系のアプライアンス製品にも飛び火して、対応を迫られたエンジニアも多かった筈。
自分の場合、自鯖のオレオレ証明書絡みと、インターネット側のサーバとSSLセッションを張るシステムの
全部に対応する必要があって大変だった(´・ω・｀)

………

Shellshockは特にヤバかった。"ns-lab BB"にShellshockを悪用したHTTP GETが来るレベルで。
"ns-lab BB"にShellshockをやられた時には、FWとBash自体で対策済みだった為、問題無かった。

こっちは、誰でも簡単にOSコマンドインジェクションが可能という点で、サーバ管理者を震え上がらせた。
攻撃難易度は、標的を決めてtelnetコマンドを3行程打ち込んだだけで再現が出来てしまうという超お手軽性。
その為apache上でPHP・CGI・perl辺りを動かしている環境下では特に危険だった。
ちなみに、先のHeartbleedと組み合わせる事で、OSを丸裸に出来る点もヒヤヒヤ要因の一つ。

そして、GNU BashはMAC-OSから始まり、家庭用ルータ・業務用アプライアンス、さらにはメインフレームにも
デフォルトインストールされている点も被害を広げた。
Linuxをインストールした時のデフォルトシェルがbashになっている事が多いのも(ry

ちなみに、"ns-lab BB"のシェルはOSディストリ毎に変更している為、
bash/ksh/tcsh/zshとチャンポン状態だが、自作シェルスクリプト互換性の為にbashだけは全部に入れていた。
脆弱性情報出たら即アップデートかけたが、仮想サーバ含めると台数が多いので大変だった(´・ω:;.:…

………

いろんな脆弱性が出て毎月「(>'A`)>ｳﾜｧｧ!!」と頭を抱えていた2014年。
本来なら脆弱性の無い事が最高なのだが、人が作るプログラムなので100%脆弱は潜んでいるわけで…
脆弱性情報が出ないで痛い目見るよりは、明るみに出る事で修正される方が良いのは当たり前。

来年こそは、基幹レベルでヤバい脆弱性に追われない事を祈るのみ。

« 続きを隠す

続きを読む »

はい。今回は"サークル参加申込書セット"も買ってきた。
というのも、"ns-lab"も結構長く続けているし、そろそろ出す側で参加するのも経験したいなぁ～と…
通れば良いが、通らなかったらまたそれはそれで考える。

C87の1日目購入順は[戯画 → ういんどみる → Qoobrand]と企業のみを回ってきた。
あと、同行して下さったS氏のファンネルによりKOKIKKOのセットも入手。

今回一番欲しかった戯画のアクリルパネル。
今までアクリルパネルは物欲が刺激されず買った事が無かったのだが、
今回はBALDR SKYの空という事なので迷わず突撃してきた。
折角なら書き下ろしが欲しいが、パッケージと同じ絵というのも中々良くて満足

シロガネ×スピリッツも結構期待。なんか、弾頭が見え隠れしているが全力で踏む。
「踏むなよ? 絶対踏むなよ!?」と何か聞こえるが迷わず踏み抜きに行く。

次点はういんどみる。欲しかったのはボーコレの2つ。
2014冬セットの方は、買う予定無かったのに何故か手に取っていたﾍ(ﾟ∀ﾟﾍ)

Qoobrandは本来2日目に回す予定だったのだが、2日目の天気予報が雨だったので急遽繰り上げ。
自分の欲しかった物はサントラのみの為、滞り無く購入完了。

そして、同行していたS氏にお願いしていたKOKIKKOのセット+タペストリー。
というのも、その御方にせせなやう先生の作品を見せて貰ってから、すっかり絵柄の虜に。
夏に続いてC87も購入でした。このタペ、黒ニーソのバランス最高じゃないですか(*´Д`)ﾊｧﾊｧ

他には会場内で頂いてきたチラシと、
貰い忘れていたPCげーむ倶楽部の色紙+GWAVE2014もアキバで回収。

………

1日目にコミケ開場で購入した物は以下の通り。いやはや、結構お高くなってしまい…(´・ω・｀)

• 戯画
  戯画セット 14冬 – 2000円
  BALDRSKY Dive2 アクリルパネル – 4000円
• ういんどみる
  グッズセット 2014WINTER – 2000円
  Vocal Collection 1 – 3000円
  Vocal Collection 2 – 3000円
• Qoobrand
  魔女こいにっき Complete Soundtrack – 4500円
• KOKIKKO
  グッズセット – 2000円
  妹ちゃん タペストリー – 2500円

  合計：23000円

いやはや、1日目にしては買った買った。そして予算を大幅に超過した(´；ω；｀)
金の価値が通常の10分の1に感じてしまうのはコミケ開場マジックが成せる技か。

………

そして、4ヶ月間飾ったC86のKOKIKKOタペストリー[左]から、
今回(C87)で購入した冬のKOKIKKOタペストリー[右]にチェンジ。
これから8ヶ月は新タペストリーを毎朝見て乗り切るか。

« 続きを隠す

続きを読む »

文章だと非常にわかりずらいので、またもやトポロジ図の出番。

1. サーバがInternetとLANに見せているドメインは同じ
2. VPNクライアント側はSplitTunnelingを使って、InternetとVPN網の両方に接続可能
3. androidからserverへ名前解決を行って"www.hoge.org"プライベートIPのAレコードが取れれば理想

この状態でandroidからserverに問い合わせを行うと、
グローバルIP(202.212.xxx.aaa)が返答されてしまい、
"www.hoge.org"のAレコードを引っ張る事が出来なかった。まぁ、当たり前って言えば当たり前なのだが

………

この辺りの対処方法は色々とやり方があるのだが、今回は優先DNSを設定する方法で対処。
しかし、PCではLANの名前解決が出来るのにandroidのWebブラウザから
"www.hoge.org"にアクセスしようとすると何故か202.212.xxx.aaaが返答され、
LAN内のAレコードが引けない状態となった。
しかし、androidから直接nslookupやったりdigったりすると、ちゃんとLAN内のAレコードが引ける状態…

この辺りで「Webブラウザ(Firefox)が臭うな…」と思ってchromeに変更してアクセスしてみると、
"www.hoge.org"がちゃんと表示出来た。

………

という事で、Webブラウザが見るDNSリゾルバがなんかおかしいという事がわかったので、
適当なWebブラウザの挙動を調べてみた。間違っていたらゴメンナサイ

• chrome → 優先DNSあればそっちも見る。
• Firefox → androidのネットワーク項目に設定したDNSサーバだけを見る。
• dolphin → 優先DNSがあればそっちも見る。

なんとも微妙な結果だが、今回の結末はWebブラウザの挙動で変化するという内容だった。

今回の事から
「DNSのTTLを長くしておくと、それに起因しての隠れた障害も起こりうるんだなぁ～」
と実感した昨晩。

DNSは軽視されがちだけど、一度障害が起きると全滅するから特に気をつけておきたい所。
…たとえソフトウェア側に問題があったとしても(´；ω；｀)

« 続きを隠す