ナノリマス (Nanorymous) の一人として先週取材を受けた記事がさきほど @ITで公開されたようです。
「それ知ってたわー、10年前から知ってたわー」と専門家:「懐かしいタイプの攻撃」に注意喚起 - @IT
3月に韓国で発生した大規模なサイバー攻撃を踏まえ、複数のセキュリティ専門家が「懐かしいタイプの攻撃」への注意を呼び掛けている。
「懐かしいタイプの攻撃」というと、まあいろいろあるわけなんですが、私が特に強く印象に残っているのは、なんといっても 1995年の SATAN (Security Administrator Tool for Analyzing Networks) です*1。もっともこれは正確には悪意のある攻撃(ツール)ではなく、脆弱性を見つけるためのツール。作者は Wietse Venemaさんと Dan Farmerさんという著名なセキュリティ研究者の 2人で、SATANは脆弱性スキャンツール (Vulnerability Scanner) の先駆けと言えるものでした*2。
SATANは当時の UNIXシステムで広く使われていた NFS、NIS等のアクセス権限の設定の不備などを見つけてくれました。
- NFS file systems exported to arbitrary hosts
- NFS file systems exported to unprivileged programs
- NFS file systems exported via the portmapper
- NIS password file access from arbitrary hosts
- Old (i.e. before 8.6.10) sendmail versions
- REXD access from arbitrary hosts
- X server access control disabled
- arbitrary files accessible via TFTP
- remote shell access from arbitrary hosts
- writable anonymous FTP home directory
私はその頃、大学のネットワーク管理やサーバ管理などを担当していたため、早速 SATANをダウンロードして自分の管理している UNIXワークステーションやサーバをスキャンしてみました。そして驚くほど簡単にシステムの脆弱性を見つけられることに、軽い衝撃を覚えたことを今でも鮮明に記憶しています。その後にセキュリティを自分の専門にしようと決心するきっかけになったと言えるかもしれません*3。
SATANはシステム管理者に使ってもらうことを目的としたものですが、悪意を持ったものが使うことも当然想定されていました。作者の 2人はそれらを十分承知の上で、穴だらけの脆弱な環境のままのシステム運用が広く行われている現状に対して、注意喚起をする目的でツールの公開に踏み切ったわけです。その後、各 OSベンダなどからセキュリティアドバイザリがリリースされたことなどを見ても、セキュリティレベル向上にある程度の効果はあったのではないかと思います。
ちなみにどうでもいい話ではありますが、SATANにはちょっとした細工が施してあって、repent*4というコマンド一つで SANTA (Security Analysis Network Tool for Administrators) という名前のツールに変更することができました(機能は SATANと同じです)。サタンの絵がサンタの絵に置き換わるなど割と細かいネタも仕込んであり、作者のユーモアのセンスには脱帽です。こういうユーモアはいつも忘れないようにしたいなあと、あらためて思う 4月1日なのでした*5。