2003-04-25 [長年日記]

雑誌

SoftwareDesign 5月号しかPさんのsnortの記事は、今まで微妙に扱われていてそうで扱われていなかったところにスポットがあてられています。ただタイミングが悪かったのはいたしかたいのでしょうか(笑

そいえば しかPさんのサイトで snort1.9.1 関連の内容云々を公開している旨の注釈があったと思いますが、どこだ?(^^; 来週会社に行けば分かるのですが。てか、注釈が多いのは性格でしょうか?(笑

N+I NETWORK 5月号をなんとなくパラパラと目を通したら、vladさんによるSilverLordsに関する記事が興味をひいた。2ページなので立ち読みでいいかな(^^;;;

そいえばNetwork World 6月号伊原さんの不正アクセス探偵団がどんなかなぁと思って近場の本屋を探すのですが、無い(^^; 前から思っていたのですが Network World って大きめ若しくは電気店系の本屋とかじゃないと見かけないんですよね。。。

snort

と言えば snortユーザマニュアル(Snort リリース: 1.9.x)の翻訳物を見つけた。ここ

ログ

バッファオーバーフローでログに残らないとかってよくありますが、ログが残らないのがポイントで、ログが残らない事を使って検知できそうな気がしますが、いかがなものか。

例えば、httpdへのGETリクエストを使ったバッファオーバーフローでログが残らないというのがあっても、パケット拾うとかによる別の何かで同じログを残し、httpdとその何かのログを比較するような仕組み。あるべき姿と比較するのがキモ。

需要なさそうだな。てか、きっと似たようなものはあるに違いない。

もうすぐ

お出かけなのです。ってことで、木曜日忙しめだったこともあり木曜日からしばらく巡回できず。こういう時って何かある。いや何もないだろ(笑

re 緑の書

をぉ、解説どうもです。m(_ _)m

アイコンを追加

実は私も私周辺のXPにはないなぁと思ったのです。で、結論はスタートメニューをクラシックにしているのが原因かと(笑 使いづらいXPのスタートメニューには存在しています。意外に便利みたいです。>catさん

ってか私は試していなかったり(汗

本日のツッコミ(全7件) [ツッコミを入れる]
# Layser (2003-04-25 00:04)

仮にCGIにおけるバッファオーバーフローの場合、正常に最後のところまで行けませんから(正常の処理の流れに戻すことが困難)、プログラムの最後で、プログラムが正常に終了したことをログに残し、それをApacheのログと付きあわせるとできそうですね。

もし、Apacheのログ(アクセスログ)にはあるのに、それに対応する正常終了ログが、記録されていなければ、それはプログラムが正常に終了
しなかったということですから。

# けん (2003-04-25 00:17)

をぉツッコミ&解説どうもです。
付きあわせた後、問題となりうるものがあったら、
それをどうするのかの方が知恵が必要になるのかも?

#とりあえず1つツッコミ隠しました。

# cat (2003-04-26 00:11)

ありがとうございます。LunaGUIにしたらアイコン~がでてきますた(汗)#でもLunaは気色悪くて苦手だす(^^;

# cat (2003-04-26 00:25)

んで、しかPさんのsnortフォローページ http://www.yk.rim.or.jp/~shikap/security/awacs/snort191.html

# Layser (2003-04-26 01:10)

つきあわせた後に、問題があった場合に考えられるケースとしては
 1. プログラムのバグ && アタックをくらったわけじゃない
 2. バッファオーバーフローくらったから、ログがない
のどっちかでしょう。1.なら、デバッグですな。パケットをできる
ものならとっておいて、再現させて、デバッグですかね。
2. なら、低い優先度でよくあるセキュリティインシデント手順なのかな
(file/system integrity check && process && network interface check)
切り分けができない / あるいは困難そうなのが、ちょっと。

ふと思ったけど、かなり考えてやらないと意味なさげ。その部分がオープン
ソースで、stdout / stderrにだしてたり / 固定文字列をログに残す
とかいうタコな実装だったりすると、シェルコードをちょっと改造するだけで
正常終了ログを出せちゃうから、なにか、うまいこと対策しないと、false negative
できちゃうような気がする。

そこまでするなら、OpenBSDの実装を待つ / StackProtection Patched GCCを
使う / libsafe / etc.....を使うの方が現実的な気がしてきました。

ここまで書いて思ったけど、パケットをある期間だけキャプチャして、その期間と同じだけ
このチェック(ログをつきあわせる)のを実施して、ひっかかったのを調べれば、いいのかも。
チェックして、問題がなければsnifferしたパケットを捨てればいいし。

とはいえ、面倒そうですね。ついでに、なんか、私が、勘違いしてそうなのが、
気になりますが……………

# ツッコミ隠し、ありがとうございます。

# けん (2003-04-27 09:45)

フォローページのフォローどうもですm(_ _)m>catさん

# けん (2003-04-27 10:01)

単純な比較でどれだけ違っちゃうか気になります。
あまり発生しないならアラートだして、
人が確認ってのもありかなぁって思います。

おっしゃるように実装によって思わぬ事がありそうで、
逆にそういうのも発見できて楽しいかも(違

パケットキャプチャとログの比較な仕組みだったら、
あんまし面倒なことしなくてもデキソですけど、
確かに面倒そうなんですよね(笑

えーと多分 勘違いしていないと思います。
そうである場合は私の能力不足かと(汗

This Diary is Running on tDiary.Net 2nd. Powered by fdiary.net
Generated by tDiary version 1.5.4.20030602
Powered by Ruby version 1.6.8