« Yes, safari is synchronized | Main | Mono を試してみた »
「Mac OS X vulnerability: an interview with Vincenzo Iozzo |oneITsecurity」によると Mac OS X が稼働しているマシンのメモリへ直接実行可能なコードを入れ、しかもファイル等にその痕跡を残さない手法が発見されたそうだ。
ファイルスキャンベースではないセキュリティ対策ソフトウェアの普及が必要になってくるだろう。
「Mac OS X vulnerability: an interview with Vincenzo Iozzo |oneITsecurity」は「A Mac OS X attack that leaves no trace - News - heise Security UK」経由で知りました。
元の記事は Vincenzo Iozzo 氏へのインタビュー記事です。氏は最初に次のように述べています。
Mac OS X vulnerability: an interview with Vincenzo Iozzo |oneITsecurity から2009年1月26日に引用My attack is an implementation of a technique called userland-exec.
「userland-exec」と呼ばれる手法を利用した攻撃方法ということだそうです。userland-exec については「[Full-Disclosure] Announcing Userland Exec」に情報があります。これをざっと拾い読みしてみたところ、わかりやすく言うと次のような感じです。実行中のプログラムが実行する内容、それはメモリーの中に格納されているわけですが、その格納されている内容が別なものに入れ替えられてしまうと思ってもらえればいいでしょう。更に次のようにも述べています。
Mac OS X vulnerability: an interview with Vincenzo Iozzo |oneITsecurity から2009年1月26日に引用because of an inherent problem of Mac OS X has long known, namely the lack of randomization dynamic linker within space processes.
ダイナミックリンクライブラリというプログラムの部品を利用するときの Mac OS X のある種の欠点を利用したものということです。具体的にどのような欠点かはネット上で情報が少ないので私の想像を交えないと説明できませんし、話がかなり専門的になるので割愛します。といより僕の得意な分野ではないので間違いなく、あるいはわかり安く説明する自信がありません。それよりも肝心なのはこれがどのようなことができて、それがどのような懸念を示唆しているかということです。氏の語った内容の要点を和訳して箇条書きにしてみます。
実行中のプログラムのメモリーの中にある実行内容に何かを付加したり入れ替えたりして悪意があるコードが加わる可能性があるわけですが、その悪意があるコードがそのマシンのディスクに書かれる必要はないというのがこの攻撃のポイントです。ですからファイルをいくらスキャンしても全く検知されません。しかし、悪意があるコードが自然に湧いてくるわけはないから、どこかからそのマシンに入ってくるのは確かです。そこで、入ってくる経路を押さえて検知すればよいわけです。そのマシンの中だけで検知するためにはメモリーの中をスキャンしなければなりません。
例えば私は Clam AntiVirus を利用していますが、ClamXav を通してだろうと生のままだろうとファイルのスキャンをベースにしている防御方法では対処できないということです。もちろん ClamAV を利用してファイルのスキャンではない防御も構築できますが、Mac OS X 用にそのようなものを見たことがありませんし、自分で作るのもちょっとしんどいです。有償のセキュリティ対策ソフトウェアに期待したいところです。ということは有償のセキュリティ対策ソフトウェアを選定するときに何をサポートしているのかに注意を払い、ファイルベースでなくストリームベースの防御ができるかどうかもポイントに加える必要があるということですね。
Vincenzo Iozzo 氏によるとそういう製品は出回っていないとのことですが…