小谷＠京都と高岡の日記

2008-08-22

_ [Security][Server] Fedora のいくつかのサーバが侵入されてたらしい

過去にも debian のサーバが侵入されてたりするので、今回もそんな感じかなーと思ってたんですが、ちょっと気になる文を発見。

One of the compromised Fedora servers was a system used for signing Fedora packages. However, based on our efforts, we have high confidence that the intruder was not able to capture the passphrase used to secure the Fedora package signing key.

パッケージに署名をするときに使うシステムに使われていたサーバも侵入されていたそうです。これは大変。鍵＋パスフレーズ（パスフレーズなしだと鍵だけ）が盗まれていると、Fedora Project が配布するパッケージの署名自体が信用できなくなるわけで。今回はパスフレーズは盗まれていないらしいということですが。

念のため、署名する鍵を変えるようです。

While there is no definitive evidence that the Fedora key has been compromised, because Fedora packages are distributed via multiple third-party mirrors and repositories, we have decided to convert to new Fedora signing keys.

ってことで、Fedoraをお使いの方、ご注意ください。

_ [Security][Server] Red Hat のサーバもいくつか侵入されてたらしい

侵入者が OpenSSH のパッケージ(RHL4,RHEL5)に署名することができる状態になっていたっていうことで、OpenSSH の Updateが出てます。Red Hat Network で入手できるパッケージには問題はなかったそうです。

問題のあるパッケージがインストールされているかどうかチェックするスクリプトはこちら(Red Hat)

_ [Security][Server] 鍵の管理

ふと疑問に思ったのが、公開鍵認証基盤で一番大切な「鍵」の管理ってちゃんとしてんのかなーってこと。間違って消しちゃった時のためにバックアップを取っておくぐらいなら誰でもしそう（俺もすると思う）。だけど、Apache 起動するときに面倒だからってパスフレーズなしの鍵をサーバに入れてたりすると、侵入されちゃった時に鍵持って行かれて、（DNS Poisoning と組み合わせて）フィッシングのサイト立てるのに使われるっていうようなことが起きそうで怖い。EV SSLとか使ってても鍵盗まれたら終わりだし。コードにサインする証明書も一緒。

そういえば、メモリ上にって鍵は復号したまま置かれてるのかな？ちょっと気になります。

本当は、鍵が入っているコンピュータに侵入されたときに、速やかに上位の認証局に鍵を無効にしてもらって（鍵が有効かどうかはCRLを見ればいいはず）、証明書を使いたければ新しく鍵を作りなおすっていうのが正解なんだろうけど、そもそも「鍵が入っているコンピュータに侵入されたときに、速やかに上位の認証局に鍵を無効にしてもらって」っていうあたりにどうしてもタイムラグができて厳しいような。電子署名は、タイムスタンプと組み合わせて「この日時までのものは大丈夫」みたいなことができるとうれしいのかな？

こういうことを考えていると、SSLもなんだかなーって思えてきます^^;鍵ってどのように扱うのが一番いいんですかね。

本日のツッコミ(全1件) [ツッコミを入れる]

_ sonny [93Upwc dbjs6Esl0U2fV]

2008-08-18

_ [Security][tool]ネットワークセキュリティ管理者のためのディストリビューション　Network Security Toolkit(ITmedia)

えーっと、CD焼いて常備していいですか？使いたいものがほとんど入ってるんですけど。

それぐらい便利そうなもの。今のところおすすめ。

[ツッコミを入れる]

2008-08-11

_ [event][TRITON] とやまITサマーキャンプ2008終了

今年も、とやまITサマーキャンプ2008を開催しました。2005年から始まって、はや4年。来年あるかどうかはまだ分かりませんけど、スタッフはやる気満々です(笑)初年度から相変わらず、僕はスタッフ兼チュータ（どっちがメインなのかよく分からない）としてお手伝いしています。今年はいつの間にか実行委員になっていたりして^^;

実は、2005年に始まった当初はこんなに続くとは思っていませんでした。本当に。ごめんなさい。運営側はほとんどボランティアなのですが（学生にはさすがに多少の支援が・・・ｗでも事前に支援があるというのは知らされてないので、ボランティアのつもりでやっています）、それでも続けられるっていうのは、大都市ではなかなかない、富山と富山出身の情報系の関係者の組織を超えた人のつながりが生み出す潜在的な力なのかもしれないなぁ、と思います。もちろん、協賛をしてくださった企業のみなさまや、非常にお世話になった事務局の富山県総合情報センターの方々がおられなければ、このイベントはないわけですが。<独り言>ていうか、富山県は若い人たちの人材育成にもっとお金や人を出すべきだと思うよ。このイベントに、とかｗ</独り言>

今年は、LEGO MINDSTORMSとROBOLABを使って、ロボットプログラミングをしました。3日間、みっちりと。カリキュラムを見ていただければわかるんですが、２日目はずっと実習です。適宜息抜きは入っていますけど^^;、基本的に朝から夜まで。講義聞くだけでは面白くないと思うし、せっかく夏休みに合宿形式でやるのだし、そういうのがいいかなぁ、と思って。もちろん、世の中にはどんなロボットがあるのか、ロボットはどんな仕組みで動いているのか、ロボットを動かすためのプログラミングの基礎、といったような講義はありましたが。どこかに見学に行ってもいいのですが、場所が場所だけに2泊3日の中に見学を入れるのは難しいかなぁ、と。

4つのグループに分かれて、課題をクリアするロボットを作ってもらいました。各チームには富山大学、富山県立大学から来ていただいた大学生/大学院生のチュータがついているので、僕は他のグループに遅れを取っているグループに入ったり、適当に前でしゃべったり、スタッフ席でメール見たりオリンピックの結果を見たり（ぉぃしていました。2日目の午後とかほとんどそんなことをする時間はなかったですけど。

高校生、すごいですね。僕が言うと何か言われそうですけど、若い。どう工夫したのかとか、自分たちの作ったロボットの特徴を発表してもらったのですが、普通ライトセンサーを使うよなぁ、と思うところにタッチセンサーを使ったり、センサーをいろんな風に並べたりと柔らかい頭を持っている。さらに、休めと言っても実習を続けて体を壊さないぐらいの体力まで持っている（今年も全員が最後まで参加できたはず）。その上、何度も試走を繰り返しながら、担当のチュータと相談しつつものすごい勢いでロボットを仕上げていく気力もすごいと思います。（いや、これは僕もやればできそうなんですが。チュータより若いはずだしｗただ、さすがに数日睡眠時間がいつもより短い状態でキャンプに突入したのでちょっと無理かなぁ、と・・・。）課題を作った講師スタッフは「これ完走できるかな」と言っておられたのですが、どのグループももう少しで完成、というところまで、あるグループは見事完走しました。僕も、がんばらなければ。

今年は男女比が6:4ぐらいでした。女子が例年よりも多かったような気がします。これ、IT業界的に大事。個人的には、男女比をこれぐらいまで持っていけたらなぁと思っていたりしますｗ

僕の中では、来年（あるかどうか分からないですが）はどんなテーマにしようかなぁ、と考え始めています。2年連続でロボットプログラミングというのは、やっている側からすると（少なくとも僕には）面白くないし、今年の参加者がもし来年も（しつこいようですけどあるかどうか分からないですが）参加してくれれば、違ったテーマで楽しんで新しいことを吸収してほしいし。広報も、もう少し考えられれば、と思ってます。学校の偏りがないほうがやっぱりいいので。

最後になりますが、協賛してくださった株式会社インテック、株式会社エーティーワークス、北電情報システムサービス株式会社、北陸電力株式会社のみなさま、事務局のみなさま、講師・スタッフやチュータのみなさま、何よりも参加してくださった高校生・高専生のみなさん、ありがとうございました。来年も（とてもしつこいようですけどあるかどうか分からないですがもしあれば）よろしくお願いします。

と固く書いてみる。あくまでも、１スタッフとして書いてます。どうせ参加者の1人や2人には見つかると思うので書いておきますが、（来年も応募するので）こんなテーマを扱ってほしいとか、来年は応募資格を見たせなくて参加できないけど手伝いたいとか、そんなのがあるとメールするといいことがあるかもしれないしないかもしれないｗ

[ツッコミを入れる]