■Viber 2.1遂に連絡先平文送信を変更
本日ViberがVer2.1になったということで改めて登録プロセスをキャプチャして、送信内容の確認を試みてみることにした。結論から言うと、これまでTCP4244宛てに平文で送信されていた自端末に保存された連絡先情報は暗号化されたようだ。以下キャプチャで確認できたことを箇条書きにて。
・確認したのは実装が後追いになっていたAndroid版
・001HTにてアプリ起動から登録完了までをキャプチャ
・001HTの連絡先には自番号他ダミーデータを登録
・通話試験は未実施
・登録方法はSMSによるパスコード受信
・Version表示は2.1.0
・登録時の最初のsecure.viber.comへのアクセスはhttps
・電話番号送信はhttpsで送信される
・SMS受信待ちになり受信すると自動でパスコード入力してactivate
・activate後、aloha.viber.com宛てTCP5242へ接続
・認証情報を送信するサーバ情報を受けとる(と思われる)
・指定されたサーバに認証情報をTCP4244で送信する
これまでのプロセスだとここで連絡先情報が平文で送信されている
今回は4244の通信内容はSSLではないものの暗号化は実施されているようだ
少なくともただのBase64エンコードだったりはしない
暗号強度は不明だが平文で簡単に見られるようになってはいない
・登録完了後viberの電話帳を開いたりいくつかメニューを操作してみた
・viberを終了させてキャプチャも終了
Viberリリースからかなり長い時間がかかったが、やっと登録時の通信内容が平文のままという恐ろしい状況は改善されたようだ。iPhone版もおそらく同様の改善がされていると推測できる。実機テストがすぐにできない状況なのでここでは割愛。残念なのはアップデートのリリース文にはこうした対応について何も書かれていないこと。実は海外でも平文で連絡先が送信されてたこと、送信先がamazon EC2のサーバ上だったことに気付いていた人は多くなかったかもしれない。むしろ書くことで平文だったのか!とクレームになることを避けたようにも見える。この辺りは誠実さに欠けるという見方もできるが、まぁとにかく約束は果たされたということで、個人的にはやれやれという感じ。明らかな不安材料はひとつ消えたということで、後はViber社が宣言の通り誠実に会社とシステムとポリシーを運用してくれることを願う。
android, iphone, security, viber, voip
Loading...
■スマートフォン対応検疫システムCounterACT + NetAttest LAP
ITPro EXPOで興味深い製品を見かけたのでメモ。エージェントレスでスマートフォンの検疫システムを構築でき、多拠点型のビジネスモデルでも比較的導入コストを低く抑えられそうで、以前在籍した会社に導入したいなぁと思われたので要点を箇条書きにて整理しておく。
・CounterACTは検疫+IPSの組み合わせで動作する
・スマートフォンの検疫はMACアドレスベース
→PCはOSやAntiVirusなど詳細な条件設定可能
・デバイスの識別はHTTPヘッダ上のUser-Agent
・インライン設置でなくミラーポート設置でOK
・CounterACTのみでは同一セグメントしか検疫できない
→L3スイッチのARPテーブルの参照やARP・NBT・DHCPリレーの監視等他機器連携で可能だそうです
関係者の方から訂正をいただきました、ありがとうございます
・今回のケースでは他セグメントはNetAttest LAPをCounterACT連携させて検疫を可能に
・CounterACTが検疫ルールを一元管理
・NetAttest LAPは自管理セグメントの端末検出時にCounterACTに通知
・CounterACTの応答に対応してNetAttest LAPが接続を制御する
・検疫をパスしても不正なパケットはIPS機能で遮断可能という2重防御
・通常IPSは外部からのアクセスに対して設置されることが多いがこれは内部通信向けを想定
・社内でウイルス感染した端末が不正通信を行った場合に検知可能
・対象端末の通信の遮断や遅延(ハニーポット機能あり)をさせることが可能
・ActiveResponse機能はなかなか面白い
・業務システムがDC集中で拠点が多数分散しているようなケースで非常に有効
・NetAttest LAPは小型のアダプタサイズのアプライアンスで非常にコンパクト
・小さい拠点でも設置に困らない←重要
・NetAttest LAP自体もインライン設置でなくミラーポート設置でOK
・5年前に存在していたら当時在籍の会社に即導入提案してたな
・1000ユーザ導入&3年間維持コストで800万くらい?w
・説明員さんが今は亡きリコース社のManHunt IDSを知っててびっくりした
・その説明員さんがこのblog読んでて更にびっくりしたw
過去にManhunt IDSを在籍企業で導入していた時には、インターネットからのアクセス部分と社内から社外へアクセスする部分の両方を同時監視できるネットワーク構成にして最小のライセンスで運用可能にし、IDSの機能をフルに活用する工夫をしていたが、この場合多数ある拠点とDC間におけるWLAN通信監視が事実上行えず社内側に一部リスクを残す構成になってしまっていた。今回のこの仕組みがあれば全拠点で各セグメント単位にデバイスを配置し、制御は1ヶ所で集中できることから、社内側ネットワークの監視レベルが高く維持でき、比較的運用的にもコスト的にも抑えられそうな印象があり非常に興味をそそられた。少人数の拠点が多い企業では目の行き届かない部分も多く、こうした仕組みは非常に有効だと思われる。エージェントレスなのでキッティングも不要。httpのヘッダが必要という部分はやや気になるが、Untangleのような無償利用可能なUTMのCaptive Portal Webと組み合わせるなど必ずhttp通信を必須とする環境を作ることで対応は可能だと思われる。CounterACTが更に小さくなればサーバラックのない中小企業でも容易に導入できると思うのでぜひコンパクト化を期待したい。
android, iPad, iphone, security, UTM, wp7
Loading...