スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

atwikiの問題まとめ

atwikiわかりやすくまとめていた方がいたので転載します。
被害状況を完全に把握出来ている訳ではないのであくまで参考までに。

【アットウィキ/atwiki】@wikiについて語る Part 10

653 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2014/03/10(月) 20:21:31.29
簡易まとめ。個人がまとめたものなんで信頼はするな。

【何が起こったの?】
@Wikiのサーバーがクラックされた。

現在のところ確定している被害は以下の3つ。公式でも明言されている。
1:各Wiki管理者および登録ユーザーのパスワード(暗号化されてるが比較的簡単に解読可能)とメールアドレスが流出した
2:一部のWikiにリダイレクト(別のサイトに飛ばす処理)をするスクリプトが仕込まれた
3:@wikiの「パスワード再発行ページ」が改竄された

1はパスワードの使い回しをしていなければぶっちゃけ神経質になることじゃない。メルアドを知られることすら嫌なら捨てアド作らなかったお前が悪い。
2はそもそも@Wikiの仕様でページにJavascriptを仕込めること自体に問題があって、クラック以前の問題。見る側もセキュリティはちゃんとしとけ。
一番問題なのは3で、「ユーザー側には弄りようがないファイルを弄られた」ということは、サーバーの管理者権限かそれに近い致命的な権限を奪われたことになる。
そして現在このような状態に対策がなされたのか、今一つはっきりしていない。

クラックそのものの被害と情報流出からの二次被害が混同されたり、サーバーの管理者権限と各Wikiの管理人の権限が混同されたり、
いい加減な知識に基づいた憶測、悪意はあっても証拠はないデマ、運営会社の対応への不信etcによって非常に情報が錯綜している。

【何が問題なの?】
最大のポイントは「@Wikiの対応が信頼しきれず、リスクが推し量れない」という点に尽きる。
そもそもこんなクラックをされること自体が管理のずさんさを物語っているのだが、
こんな重大な問題が起こったのにサービスの一時停止どころか各Wikiトップに告知すらことすらしない運営会社の対応が不信を加速させている。
前述のパスワード再発行ページ改竄のような、サーバーの管理者権限についてきちんと穴が防いだかすら信用できないのが現状。

656 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2014/03/10(月) 20:23:19.74
【アクセスしちゃったけど大丈夫?】
そもそもウイルス感染とJavascriptのスクリプトによる攻撃とではかなり深刻さが違う。
後者でも危険なサイトにリダイレクトされる可能性はあるが、それでもきちんとしたセキュリティ対策(Flashなどのアップデートetc)をしていればリスクは低い。
Javascript利用で他サービスのアカウント情報を盗み出すような手法もないではないが、真っ当なサイト(この場合は「他のサービス」の方が)なら対策済み。

閲覧だけでウイルスに感染、というのは絶対にありえないとは言えないという程度。
別途「アクセスしただけでウイルスに感染する脆弱性」を突かなければいけないからだ。@Wikiを乗っ取ろうが自前のスペースだろうがこの点は変わらない。
可能性で論ずるならネット自体危ない。
不審なファイルをDLしたり実行したりするなら別だが。

過去には実際「閲覧するだけで感染する」ウイルスが猛威を振るったことはあるが、新たに見つかればそのウイルス単体で大騒ぎになるレベルの大事。
ちょうど同時期に「画像にウイルスを仕込む」という話題も出てきたが、これも画像を見るだけでアウトというようなものではない。
他の攻撃手段と組み合わせて使うか、単体なら精々アンチウイルスソフトが仕込んだコードを検知して騒ぐ程度。
いずれも別に@Wikiに限ったリスクではない。スクリプトによる被害との混同、出来る可能性と実現性の混同が大きい。

そのレベルのヤバイ脆弱性を密かに見つけていたスーパーハカーが便乗犯の中に紛れ、@Wiki乗っ取りを利用して被害を拡大させようとしているというなら話は別だが。

【攻撃の踏み台にされたら逮捕されちゃう!?】
Javascriptによる攻撃も前述のように効果が限定的で、かつブラウザにソースを送らなきゃならないから分かる人にはすぐバレる。
PHP側に攻撃スクリプトを仕込まれたとした場合でも、これで踏み台にされるのは「@Wikiのサーバー」そのもの。
「誤認逮捕」されるとしてもサーバーの運営側。 これを誤認と言っていいのか微妙だが。

【@WikiでWiki借りてたんだけど大丈夫?】
被害そのものよりも、管理のずさんさを露呈したことがヤバイ。今後のリスク的にも風評的にも乗り換え推奨。
今退会処理してもいいかとは思われるが、どうしても不安ならしばらく放置してから退会すべし。
Comments

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。