2006年4月 3日

文字化け

カテゴリー: [ネットワーク] [プログラミング]

今まで,DeAGOSTINIの「週間スタートレック」を買っていたんですが,引っ越して本屋によるのが面倒になったので,定期購読にすることに.
その定期購読の申し込みシステムですが,注文確認のページにこんな注意書きが.

このページをプリントアウトしてお申し込みのお控えとして保管してください。 ※後ほど同じ内容のお申し込みの確認をEメールでもお知らせいたしますが、メールの文字が環境により文字化けが生じることがございます。(hotmaiをご使用の方から多くご報告を頂いております。)その際は、このページのプリントアウトをご参照ください。

で,私はhotmailじゃないんですが,見事に文字化けしてました.
よく見てみると,EUC-JPの本文なのに,ヘッダには,

Content-Type: text/plain; charset=ISO-2022-JP

環境なんて関係なく,化けるに決まってる...というか,化けない方がよほどおかしい.
メッセージを見ると,苦情がたくさん来ていると思われるが,気づいてないのね...

投稿者 shingo : 23:16 | コメント (0) | トラックバック

2006年1月31日

Feedpath

カテゴリー: [ネットワーク] [情報技術]

サイボウズがFeedpathというサービスをはじめました.

あふれかえる情報を整理するのが大変なので,こういうツールには興味があります.
bloglinesを使ってますが,試しにこちらも使ってみることに.
情報を整理するという意味では,アーカイブが出来るFeedpathの方がいいのかな?

RSS以外でも似たようなツールがあるといいんですが.

やっぱり,はやりのAjaxばりばりですねえ.
他に気になったところをあげれば,
・記事タイトルを短く省略しすぎるので,短すぎてマウスをあわせてツールチップが出るまで内容がわからない.画面が広くても無駄なだけ.一覧性が悪い.
・Ajaxはいいんだけど,カテゴリ整理がドラッグ&ドロップだけじゃ,スクロールするほどリストが長いと大変
・未読件数が多いときに閲覧しようとするとパフォーマンスが悪いような...

ベータなんで,だんだん改良されていくんでしょう.

bloglinesでたまに起きる,タイトル中の特定の文字でおかしくなるような現象はさすがになかったです
ね.bloglinesだと,記事の内容が見えなくなってしまったり,HTMLやJavaScriptのエラーと思われる現象がよく起きます...bloglinesのせいなのか,元のfeedのせいなのかは分かりませんが.

試しにいろいろタグを付けてみました.
ところで,スペルを間違った恥ずかしいタグを無かったことにする方法はないんでしょうか^^;
Myタグに残りっぱなしです.
新着タグのところにも,しばらく出てしまって,ちょっと恥ずかしい.誰がやったかは分からないんでしょうけど.

投稿者 shingo : 15:41 | コメント (0) | トラックバック

2005年9月27日

ネットワーク配線作業

カテゴリー: [ネットワーク]

今日は研究室で,ハブの設置場所の変更に伴うネットワークの再配線の作業をしました.
これだけで,半日以上使いましたね.

机を動かしたり,床をはがしたり,既存の配線を調べたり,いろいろとやることがあったので,研究室のメンバーが,ほとんど総出で作業しました.

少々,問題が残りましたが,99%問題なく終了しました.
と,思ったら,1カ所大間違いしていたんですけど(^^;

network1.jpg network2.jpg

ちなみに,今度は,怪我をせずにすみました(^^;
この前怪我した指は,完全にふさがったのですが,未だに強い力が掛かると痛いです.
手の指の腹の方を切ったのですが,そこに力が掛かるように,強くものを握ったりすると痛みます.完全に治るにはもうしばらくかかりそうです.

投稿者 shingo : 20:58 | コメント (0) | トラックバック

2005年5月18日

kakaku.comの改竄(続々?)

カテゴリー: [ネットワーク]

タイトルの付け方もうちょっと考えればよかったかも(^^;)

私,今回ばらまかれた TROJ_DELF.RM(Symantecでは,Trojan.Jasbom) は,既知だったんでしょうか,それとも新発見だったんでしょうか.

トレンドマイクロのページの発見日を見ると,新発見のように見えますが,Symantec のページを見ると既知のようにも見えます.

Symantec Security Response - Trojan.Jasbom
Symantec Security Response - PWSteal.Lineage

亜種,なんでしょうかね.PWSteal.Lineage と Trojan.Jasbom は,微妙に動作が違っているみたいですから.

これが気になったのは,kakaku.com自身はトレンドマイクロの製品を使っていたそうですが,NOD32を使っている他社に指摘されるまで,気が付かなかったそうなので,新種だったのだろうか,と思ったわけです.
ITmedia エンタープライズ:価格.com改ざんが取引先に及ぼした影響

もしも既知だったとしたら,反応しない場合があるというのは,やっぱりちょっと困るように思います.

こんな記事もありました.

【続報】修正しているそばから改ざん、価格.comが生々しく状況説明 : IT Pro ニュース

...完全に乗っ取られてますね.

まあ,どういう経緯で発見され,3日間何をしていたのか,おぼろげながら見えてきたような気がします.
進入経路の追跡,そして,オンラインの企業としてサービスの継続を重視したのでしょうが,かえって傷口を広げてしまった感じがします.

侵入経路ですが,他のところでも同様の改竄がされているみたいですから...

ITmedia エンタープライズ:続報:価格.comだけではなかったWeb改ざん、改めて検査と警戒を
ITmediaニュース:不正アクセス被害が拡大 「WindowsCE FAN」や静岡新聞運営サイトにも

特にねらい打ちされたわけでもなく,既知のセキュリティホールを使った無差別攻撃に,引っかかっただけのような気がします.未知のセキュリティホールだったら...それこそ大問題ですね.

投稿者 shingo : 13:53 | コメント (0) | トラックバック

kakaku.comの改竄(続)

カテゴリー: [ネットワーク]

5/11以降3日間も,公開を続けた理由について,ちょっと考えていました.侵入経路を調べるためだったということなので,何か理由があったのかと思ったんですが,どう考えてもやっぱり変です.

修正が間に合うからOKだと思っていたとしても,改竄は侵入の結果として起こった事象の一つにすぎないわけです.改竄だけ修正したって意味がない.侵入の経路も分からないし,改竄以外に何をされているのかも分からない.その状態で,黙って公開を続けるのはやっぱりどう考えても変ですよ.

報道を見る限り,攻撃がやまなかったから,仕方なく全面閉鎖したということですから,改竄だけ手で直して,肝心の穴は空きっぱなしだったのでしょう.侵入自体が解決していないのにも関わらず,改竄だけ修復したって,また改竄されるだけです.
穴は閉じたけど,また別のセキュリティホールをつかれたという考え方もあるかもしれませんが,そんなに使える穴がたくさんあるのだったら,それはそれで大問題です.

普通,侵入されたら進入経路の証拠なんて残っていないでしょう.まあ,残っている場合もあるでしょうけど,残せるように作ってあるならともかく,必ずしもログにも残る性格のものじゃありません.第一,ログに残っているようなものなら止めてから調べればいいわけです.残っていないのなら動かし続けたって意味がないでしょう.
ファイアウォールとかのせいで,バックドア等の便利な入り口を仕掛けられなくて,毎回同じセキュリティホールから入り込んでいた,とかなら事後でも瞬間を捉えることができる...のかな?
そうでない場合,何らかの別の監視システムで,侵入の瞬間を記録するような準備があったのでなければ,侵入されてしまったあとでシステムを動かし続けたとしても,原因なんてわからないと思います.

ようは,こういうときのための準備が万全だったとしたら止めればいいし,準備が万全じゃなかったら,もうその時点で負けなわけで,動かし続けたメリットっていったい何なんだろうと思ったわけです.

まあ,事情は推測することしかできないですし,さらに私はこの手の専門家ではないですし,クラッキングの方法もちゃんと勉強してない(?)ので,妄想するしかないのですが.

でもやっぱり,事態の把握に時間がかかったとしても,3日間も公開状態のままにしておくのは,おかしいですよ.

他のサイトでも,同様のトロイの木馬を仕掛ける改竄が頻発しているみたいですから,ちゃんとWindowsUpdateはやっておいた方がいいでしょうね.

投稿者 shingo : 02:46 | コメント (2) | トラックバック

2005年5月16日

kakaku.comの改竄

カテゴリー: [ネットワーク]

kakuku.comのページが改竄され,トロイの木馬の配布サイトと化していたことが報道されています.詳細は,このあたりが詳しいですね.

自分も問題の期間に何度もアクセスしていたので,情報を集めてみました.しかし,なんだかサイトが妙に重いなあとは思っていたんですけど,まさか侵入されていたとは.

NetSecurity - 価格.com、改竄被害で一時閉鎖へ、閲覧者はウイルス感染の可能性も
価格.comサイトが不正アクセス被害で閉鎖中 from セキュリティホール memo

まとめページもできてますね.

価格.comがクラッキングされた件(´・ω・)暫定まとめサイト

仕掛けられたトロイの木馬はこれのようです.

TROJ_DELF.RM - 概 要

感染に利用するセキュリティホール(感染方法)は,シマンテックのこのページにありました.

Symantec Security Response - Trojan.Jasbom

つまり,この辺でしょうね.

SecurityFocus BUGTRAQ Vulns Info: Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability
CAN-2004-0380
Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)

修正プログラムはあるみたいなので,ちゃんと更新していれば問題ないのでしょう.

有名なサイトで利用者はかなり多いでしょうから,影響範囲は広いと思われます.
私も,念のためウィルスバスターでフルスキャンをかけました.今のところ問題は見つかっていません.
さらに念のため,もう一度,最新のパターンファイルで,再スキャンしています.

報道を見て最初に引っかかったのは,5/11から5/14まで動かしたままにしていたらしいことです.
その間,24時間体制で監視していたらしいのですが,すでに監視している段階ではなかったように思います.やはり,もっと早く止めるべきだったと思うのですが...
まあ,侵入経路を特定する必要があったのと,それまでは,手で直して追いつくと思っていたのかもしれないですが.
でも,攻撃がやまなかったので全面閉鎖にしたって話ですが,やむと思っていたんでしょうか?
あと,侵入されたことについて,お知らせを掲載しても,それを改竄されるおそれがあったということですが,マスコミにも流さないで黙っている必要はあったんでしょうかね.報道を見た犯人に証拠を消されるとまずいから?うーん,やっぱりよく分かりません.

それにしても,いったい,どんな経路で侵入されたんでしょうねえ.

5/11に発見したというだけで,その前から改竄されていた可能性もあるわけで,被害は大きいかもしれませんね.

投稿者 shingo : 19:36 | コメント (0) | トラックバック

2005年4月14日

またネットワークトラブル

カテゴリー: [ネットワーク] [日常]

また,ネットワークトラブルで時間がつぶれました.今度は別の現象です.
昨日から,周期的にネットワークが繋がらなくなるという現象が起きていて,ずっと調べていたのですが,直りませんでした.奇妙なのは,PCごとに止まるタイミングが違う点です.それも,ルータとの通信だけが止まるのです.

とりあえず,ルータを再起動しておさまったと思っていたのですが,今日,大学に来ると再び同じ現象が起きています.

昨日の夜に問題が勝手に消え,次の日に再び問題が起きたことから,どこか内側のネットワークに繋がっているPCが,故意か過失かわからないが干渉しているという可能性が高いと考えて調査しました.

いやな予感がして ARP を調べてみると,やっぱり,ARP の返してくるMACアドレスがたまに違うのです^^;

誰かが,IPアドレスを重複して設定しているのか?まさか,スニファか? といろいろ考えましたが,とにかく,偽の応答を返しているPCがどこかにいるか調べれば,原因が分かります.そこで,ハブ単位で切り離して調べていきました.半分ほど切り分けが終了したところで,もしかしてと思って dhcpd のログを見てみたら,ありました...
更新要求 (DHCPREQUEST) が来ているけど,そんなアドレスは知らないというログです.そして,そのIPアドレスはルータと同じでした.

コンピュータ名が,たまたま個人を特定可能な名前だったので,すぐに原因のPCはわかりました.ネットワークを共有している隣の研究室に新しく配属された学生のノートPCでした.
予想通り,自宅でブロードバンドルータを使っていました.そのブロードバンドルータが割り振ったIPアドレスが,たまたま研究室のIPアドレスと同じで,そのPCが研究室のネットワークに接続された後も,IPアドレスを保持し続けたため,IPアドレスが重複する事態になったわけです.

ふたを開けてみれば原因は簡単でした.間違った ARP の応答が流れていたのなら現象も納得がいきます.ただ,そのPCがIPアドレスを保持し続けた原因はよくわかりません.

ipconfig /release, ipconfig /renew でネットワークはめでたく回復しました.

でも,面倒でした^^;

投稿者 shingo : 16:22 | トラックバック

Gmailの日本語インタフェース

カテゴリー: [ネットワーク]

Gmail で,日本語のユーザインタフェースが使えるようになりました.
全部の画面が,ちゃんと日本語になっています.

まあ,私は別に英語でもかまわないのですが,やっぱり,日本語の方が何となくスムーズに頭の中に入ってくるような気がします.いずれは,ローカライズすると思っていましたが,すぐでしたね.
私は,Becky から,POP3 経由で使いたいと思っているので,あまり関係ないといえば,無いのですが.

しかし,まだ大して使ったわけではないですが,どうも Gmail の POP3 の挙動はつかみきれていません.Becky 側で,メールを残す設定していても,一度POP3でダウンロードすると,POP3 経由で見えるメールスプールからはメールが消えるようです.
再びダウンロードしたいときは,[すべてのメールで POP を有効にする] をもう一度選択することで,POP3 から見えるようになるようです.

Becky は,メールを残す設定にしておくと,一度ダウンロードしたメールを覚えているのですが,Gmail ではPOPのメールスプールから消えてしまうので,忘れてしまいます.例えば,もう一度,[すべてのメールで POP を有効にする] をやったりすると,重複して,最初から全部とってきてしまいます.

私が,想像していたような使い方とは,ちょっと違うようですね.
私,この手のPOPも使えるWebメールというのを使うのが初めてなので,もう少し,ちがう仕様を想像していました.

投稿者 shingo : 00:15 | コメント (2) | トラックバック

2005年4月11日

ネットワークトラブル

カテゴリー: [ネットワーク] [ネットワーク] [情報技術] [日常]

今日は,研究室に新しい4年生がやってきました.ゼミの日程調整したり,いろいろしたわけですが,割り当てられたPCのセットアップもやってもらいました.

ところが1台がネットワークにつながりません.DHCP でIPアドレスも設定できているにも関わらず,通信できないようです.実は,他のM1の学生のマシンも,同じような状況で,ネットワークが使えなくなって,しばらくすると元に戻るいう話があったのですが,今まで原因が分かりませんでした.

サーバ側の問題かと思って調べてみましたが,ログの上では,正常にIPアドレスをリリースしているようにしか見えません.調べていくと,ゲートウェイはだめですが他のホストにはpingが通ることに気づきました.
そのうち,そのM1の人が決定的な原因を見つけてれました.

犯人は,Norton Client Firewall の AutoBlock という機能でした.Client Firewall のログを見ると,次のようなログが残っていました.

日付: 2005/04/11 時刻: 15:51:24
このコンピュータに対する侵入 「Stacheldraht」 の試みを検出して遮断しました。 
侵入者: 192.168.x.x(bootps(67))
プロトコル: ICMP
攻撃されたポート: bootpc(68)
日付: 2005/04/11 時刻: 15:51:24
192.168.x.x によるコンピュータへの以降のアクセスを 30 分間だけ遮断します。

192.168.x.x というのは,ゲートウェイ兼DHCPサーバです.

AutoBlock は,繰り返し攻撃を受けると,自動的のそのIPアドレスからの通信を遮断するという機能です.
なぜだか,このせいで DHCP の通信を攻撃と捉え,遮断してしまったようです.それはゲートウェイでもありますから,当然外と通信できません.
更に悪いことに,30分経つと遮断が解除されるために,「いつの間にか直る」ということになっていたわけです.

しかし,なぜ,Stacheldraht だと思ったんでしょう...

とりあえず,原因は分かったので対処はできるようになりました.

ファイアウォールは必要なものですが,トラブルも多いですね.まあ,安全性と利便性は基本的にトレードオフの関係ですから,仕方がないのかもしれません.でも,AutoBlock の仕様は,ちょっとはまりやすいと思います.特に,現象が一時的だという点が原因究明を難しくしています.

マニュアルを読め,という声が聞こえてきそうですが,そもそもNorton Client Firewall に問題があることにすぐには気づけないですから,マニュアルを読むことは直接の解決にはならないでしょう.

投稿者 shingo : 23:48 | コメント (0) | トラックバック