Torなどの匿名化技術を使って構築された「ダークウェブ」上のホスティングサービスがハックされデータ流出 32
ストーリー by hylom
アレなセキュリティ 部門より
アレなセキュリティ 部門より
あるAnonymous Coward 曰く、
Torなどの匿名化技術を使って構築されたネットワークは「ダークウェブ」などと呼ばれ、違法コンテンツを提供するサイトや違法商品の販売サイトなどがダークウェブ上で運営されていると言われている。このダークウェブで多く使われているWebホスティングサービス「Freedom Hosting II」が攻撃され、ホスティングされているサイトのデータ流出などが発生した(ギズモード・ジャパン、ComputerWorld)。
攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。その後この攻撃者はサーバー上にあったデータをBitTorrentを使って公開。公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、その中には児童ポルノコンテンツや詐欺サイト、違法な物品を販売するサイトに関するコンテンツも含まれていたという。
また、Freedom Hosting IIの利用者やオンラインフォーラムへの投稿内容も含まれていたとのことで、法執行機関などがこのデータを使った捜査に乗り出す可能性も高いという。
またシンボリックリンクか (スコア:1)
どんだけの脆弱性に関係してるんだ。
Windowsでのシンボリックリンク作成に管理者権限を必要としたMicrosoftの判断の正しさがわかる。
Re:またシンボリックリンクか (スコア:1)
NTFSのアクセス管理もある意味優秀かも
Linux系のファイルシステムにおけるアクセス管理だと
上位ディレクトリでアクセス禁止の場合は下位ディレクトリで許可していても弾かれちゃう
そのため下位で許可するには上位でも許可しなければならない
NTFSの場合は各ディレクトリごとに独立して管理できるので
下位は許可して上位は不許可という設定が可能
■Linux系ファイルシステムの場合
/:許可
|- home:許可
|-hoge:許可(上位が不許可ではhogeにすらアクセスできない)
■NTFSならこれが可能
C:不許可
|- Users:不許可
|- hoge:許可(上位へのシンボリック貼っても上位は見れないがhogeはアクセス可能)
# まぁ逆に危険になるケースもあるから一長一短だけれども
Re: (スコア:0)
いや、普通にhomeにrwつけずにxだけ与えればいけますよ。(ex: 711)homeでlsとかしてもhogeは出てきませんが、cdで/home/hogeは行けます。
後、元コメはシンボリックリンクを作成する際の権限の話なので完全に別の話題ですね。(^^;
Linuxで言うとlnコマンドのパーミッションがデフォルトで700になっていると言う話です。
NTFSの権限の方が柔軟性があると言うのはその通りですが、Linuxにも同等の事ができるACLと言う仕組みがありますよ。個人的に日本語で一番分かり易いと思う SuseのACLのマニュアル [cpon.org]です。他のディスリでも操作は同じです。これで、ほぼNTFS×Windows
Re: (スコア:0)
> 残念ながら、多くのエディタやファイルマネージャには ACL への対応が用意されて いません。 emacs などでファイルをコピーすると、これらのファイルの ACL は 失われます。
あかんやん><
Re: (スコア:0)
正しいかは知らないが、防いだ一因で有ることには間違いない。
車がマニュアルだったからアクセルの踏み間違いでも事故にならなかった的な。
技術面では (スコア:0)
要するに、匿名化とサーバがセキュアかどうかは別って事だね。
Re:技術面では (スコア:1)
匿名なのは経路
サーバ本体の設定は別
「セキュリティは鎖」とは良く言ったもので、どこか1箇所脆弱があれば他が強固でもあまり意味をなさない
Re:技術面では (スコア:1)
torはあくまで経路の複雑化によるアクセス元の匿名化だしねぇ。
その先に置いてあるサーバがセキュアかどうかは全く無関係。
とは言え、ダークネットでホスティングサービスしてる所が
こんなザルみたいなよくセキュリティで運用出来てたもんだ。
普通ならあっという間にスクリプトキディに乗っ取られるか、潰されるか。
ダークネットの特殊性なのかなぁ
Re:技術面では (スコア:1)
> ダークネットの特殊性なのかなぁ
TorのHidden Servicesは始めるのが非常に簡単だからね。
普通にサーバを公開するまでのハードルすら乗り越えられないような人でもできちゃうからとか、そんな理由でいい加減なのがあるのかも。
加えて、利用する側は、秘匿できてるからちゃんとしてると思い込んじゃいそうな気もするし。
Re: (スコア:0)
「こんなザルみたいなよくセキュリティ」
Re: (スコア:0)
https使ってるから安全ってわけでもないのと一緒かな。
経路だけはいいけど、サーバー側がクソで多くの企業が漏洩してる。
なにそのunix extensionsオン状態のSambaを広く世間に公開しちゃった的挙動 (スコア:0)
攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。
なぜこれですべてのデータに対して読み取り権限が得られたのかがサッパリわからん……。
仮にそのFreedom Hosting IIがnginxで運用されていたとして、uidがwww、gidがwww-dataで動作しており。
自身のuidはhogehoge、gidはusersっだったとしよう。
どこにどんなハードリンク張ろうと、シンボリックリンク張ろうと、通常のアクセスでは自身のuid/gidで許される以外の場所へのアクセスは、cannot open directory '/ほげほげ/': Permission deniedで即落とされるだろうし。
nginxを完全に乗っ取ったとしてもnginxのuid/gidを越えてアクセスはできずそれは変わらないだろ。
するとFreedom Hosting IIはroot権限で動作するなにかで公開していて、それの脆弱性を突かれたってことなんだろうか。
# root権限で動いてるようなもんで外部とお話したらアカンよ。
# つうかこれSambaでしょ。脆弱性がまんまじゃん。
Re:なにそのunix extensionsオン状態のSambaを広く世間に公開しちゃった的挙動 (スコア:1)
644とか755とか
デフォルトで600や700になってるディストリってあったけ?
シンボリック貼ったら普通に”読める”だが
所有者、グループ、一般なので
# 一般ユーザーがシンボリック元を所有権ないとこにも指定できるのがあかんという暗黙の穴
Re:なにそのunix extensionsオン状態のSambaを広く世間に公開しちゃった的挙動 (スコア:1)
httpdがwww/www-dataで動いてた場合、ユーザフォルダ上の
wwwディレクトリを表示させるためにはパーミッションXX5である必要がある。
※この場合、CGI経由の盗み読みはsuexec+同一グループ読み込み不可(705など)で防ぐ
おそらく、うっかりfollowsymlinksを禁止していなかったんだろう。
悪意あるユーザのwwwディレクトリに"/"や他ユーザのhomeへのsymlinkを作られると
www/www-dataからは読み取り放題になってしまう。
よくある話。
Re: (スコア:0)
nginxは知らんけど、Apatchで言うところのオプションに
FollowSymLinks (シンボリックリンク先もアクセスする) 入れちゃってましたテヘペロ、
とかの落ちな気がする。
ユーザからは見えないようにパーミッションに気を使ったけど、
サーバプロセスから見えちゃいます的な。
Re: (スコア:0)
もともと、ルートディレクトリ等の読み取り権限があったのではないでしょうか?
その他のユーザー読み取りまで制限しているファイルやフォルダが少ないのではないでしょう
Re: (スコア:0)
700なルートディレクトリとかユーザーお断りかいな
# root権限でデーモンを起動しフォークroot権限にしてすべてを受け入れようか
Re: (スコア:0)
いや、あれやこれやの「コンテンツ」が、ある1つのuidで読めたってことじゃないですかね。
マシンにあるすべてのファイルが読めた、という意味ではなくて。
シンボリックリンクを作ることで読めるってのがよくわからない…。もともとパスさえわかれば読める状態だったとか?
どうも中途半端な感が。OSのアクセス制御ではなく、アプリで何かしょぼい制御をしていたのではないでしょうか。
詳細な攻撃手法は? (スコア:0)
ふつーのサイトでシンボリックリンクってどうやって張るの?まず無理だと思うんだけど。
悪意のあるPHPファイルをアップロードしてそれを実行したみたいな感じ?
//アノニマスはCPサイトが多数とか書いてるけど、普通のサイトをアップしてた俺にとっては大迷惑。
//既に代わりを見つけたからそれでいいんだけど。
Re: (スコア:0)
PHP使うまでもなく、シンボリックリンクのファイルをアップロードするだけでOKですね。
コマンド打つ必要すらないです。
作る(送る)だけなら、どこのホスティングサービスでもできます。
Re: (スコア:0)
http{...; disable_symlinks on; ...}
これで安心できる?昔から上の設定だけど。
// というかSymlinkがデフォルトオンなのがおかしいだろ、nginx・・・
Re: (スコア:0)
"シンボリックリンクのファイルをアップロード"というのがわからない。
ファイルをアップロードできるWebサイトがあったとして、そこにどういったファイルをアップロードしたらできるの?
Re: (スコア:0)
・SSHコマンド不可
・PHPなどは実行不可能(.phpファイルはそのままテキストとして扱われる)
・アップロードされたファイルは一覧に表示されます
、といった「ファイル共有Webサイト」があったとして、そこに"シンボリックリンクのファイル"を載せる
というのがちょっとわからない。
Re: (スコア:0)
シンボリックリンクでファイルを指定したら実体がアップロードされるはず…だよね?
Re: (スコア:0)
Linux環境なら恐らくそうでしょうね。
けど、Windows環境とかにマウントして持ってけば、
実装としては単なるファイルなので、
当然単なるファイルとしてアップできます。
Re: (スコア:0)
何か不安になってきました。
出来ないかも……
嘘ついてたら、本当に申し訳ないです……
Re: (スコア:0)
それはNTFSとしてのシンボリックリンク?
それともLinux系のフォーマットを読めるドライバで読んだドライブにあるシンボリックリンク?
いずれにしても特殊な読み方しないと通常はリンク先を読みますよ
バックアップソフトなどは敢てオプション指定で
シンボリックリンク事態をコピーすることはできますが
あくまで自身のローカルシステム内に繋がっているストレージにしかできないはず
ddとかで丸ごと送り込めばリンクは生きたまま送れますが
フォームから単体アップロードではいけないでしょ
もしできる方法をご存知なら
コミュニティに実証付きで報告するか
悪の組織に情報売りつけるか
ってレベルの超大穴発見ですよ
Re: (スコア:0)
ユーザーがアップロードした.tar.gzアーカイブを解凍出来るようにしていた、っていうしまらないオチだったりして。
この理屈だと (スコア:0)
攻撃した人間の身も危ないって事になるんだけど、バナナのかな。
Re: (スコア:0)
ならんだろう……。
それこそ、ハックした他人のPCでも使って作業したんじゃないの。
児童ポルノを配布してるわけで、FBIに目を付けられるのは承知の上での確信犯でしょ。
宣伝? (スコア:0)
> 公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、
> その中には児童ポルノコンテンツや詐欺サイト、
> 違法な物品を販売するサイトに関するコンテンツも含まれていたという。
釣られてダークウェブに手を出す輩が出てくるんだろうな
# 歴史は繰り返される?
Re: (スコア:0)
これがほんとの
トラブルダークネス