Torなどの匿名化技術を使って構築された「ダークウェブ」上のホスティングサービスがハックされデータ流出 7
ストーリー by hylom
アレなセキュリティ 部門より
アレなセキュリティ 部門より
あるAnonymous Coward 曰く、
Torなどの匿名化技術を使って構築されたネットワークは「ダークウェブ」などと呼ばれ、違法コンテンツを提供するサイトや違法商品の販売サイトなどがダークウェブ上で運営されていると言われている。このダークウェブで多く使われているWebホスティングサービス「Freedom Hosting II」が攻撃され、ホスティングされているサイトのデータ流出などが発生した(ギズモード・ジャパン、ComputerWorld)。
攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。その後この攻撃者はサーバー上にあったデータをBitTorrentを使って公開。公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、その中には児童ポルノコンテンツや詐欺サイト、違法な物品を販売するサイトに関するコンテンツも含まれていたという。
また、Freedom Hosting IIの利用者やオンラインフォーラムへの投稿内容も含まれていたとのことで、法執行機関などがこのデータを使った捜査に乗り出す可能性も高いという。
技術面では (スコア:0)
要するに、匿名化とサーバがセキュアかどうかは別って事だね。
Re:技術面では (スコア:1)
torはあくまで経路の複雑化によるアクセス元の匿名化だしねぇ。
その先に置いてあるサーバがセキュアかどうかは全く無関係。
とは言え、ダークネットでホスティングサービスしてる所が
こんなザルみたいなよくセキュリティで運用出来てたもんだ。
普通ならあっという間にスクリプトキディに乗っ取られるか、潰されるか。
ダークネットの特殊性なのかなぁ
Re: (スコア:0)
匿名なのは経路
サーバ本体の設定は別
「セキュリティは鎖」とは良く言ったもので、どこか1箇所脆弱があれば他が強固でもあまり意味をなさない
またシンボリックリンクか (スコア:0)
どんだけの脆弱性に関係してるんだ。
Windowsでのシンボリックリンク作成に管理者権限を必要としたMicrosoftの判断の正しさがわかる。
なにそのunix extensionsオン状態のSambaを広く世間に公開しちゃった的挙動 (スコア:0)
攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。
なぜこれですべてのデータに対して読み取り権限が得られたのかがサッパリわからん……。
仮にそのFreedom Hosting IIがnginxで運用されていたとして、uidがwww、gidがwww-dataで動作しており。
自身のuidはhogehoge、gidはusersっだったとしよう。
どこにどんなハードリンク張ろうと、シンボリックリンク張ろうと、通常のアクセスでは自身のuid/gidで許される以外の場所へのアクセスは、cannot open directory '/ほげほげ/': Permission deniedで即落とされるだろうし。
nginxを完全に乗っ取ったとしてもnginxのuid/gidを越えてアクセスはできずそれは変わらないだろ。
するとFreedom Hosting IIはroot権限で動作するなにかで公開していて、それの脆弱性を突かれたってことなんだろうか。
# root権限で動いてるようなもんで外部とお話したらアカンよ。
# つうかこれSambaでしょ。脆弱性がまんまじゃん。
詳細な攻撃手法は? (スコア:0)
ふつーのサイトでシンボリックリンクってどうやって張るの?まず無理だと思うんだけど。
悪意のあるPHPファイルをアップロードしてそれを実行したみたいな感じ?
//アノニマスはCPサイトが多数とか書いてるけど、普通のサイトをアップしてた俺にとっては大迷惑。
//既に代わりを見つけたからそれでいいんだけど。
この理屈だと (スコア:0)
攻撃した人間の身も危ないって事になるんだけど、バナナのかな。