■Androidで個人情報漏えい対策(DroidWall)
BlackHatでのLookout社の発表について、まぁそういうこともあるだろうとは思っていたものの、実際のところインストール時に「ユーザが許諾を与えているから」というのが免罪符になってしまうのもどうかと思うので(ソースが公開されていてチェックするのがAndroidプログラマであるなら適切な判断もできるかもしれないが、一般ユーザに適切な判断を求めるのは難しい)、せめてもの自衛用にPCにあるようなPersonal Firewallがないかと調べてみた。
アンチウイルスソフトと異なり、この分野はまだ競争があまり無いようで、SMSや受話を選択受信する主にinbound方向のメッセージ向け「Firewall」はいくつかあるものの、送信側のコンテンツフィリタリングや、アプリケーションの外部との通信自体を制御するPersonal Firewallはほとんどなく、ひとつしか見つけられなかった。それが以下。
Droidwall
http://www.cyrket.com/p/android/com.googlecode.droidwall/
このアプリケーションは要rootなのが微妙なところだが、インストールするとその端末にインストールされたアプリケーションを一覧にし、それぞれが3G/WiFi接続時にネットワーク接続を可能にするか選択することができるようになる。残念ながらport単位とか接続先単位の制御ではなく、アプリケーション単位にはなるものの、wallpaper系のアプリが勝手に通信することは防いでくれそうだ。
当面の間、このアプリケーションが利用可能な端末では、思わぬアプリの意図しない通信を制限する手段になってくれると思われる。ただし、Googleはアプリの海賊版対策としてネットワークを利用した認証を進める方向を打ち出しているため、早晩Droidwallの現在の仕様では使えなくなるアプリが出てくる可能性があり、portや通信先を選択可能な機能アップが求められてくる。
今回の発表では「不正な通信」かどうかは現時点で不明となっているようだが、いつ同様の事件が発生してもおかしくはないので、このようなPersonal Firewall系アプリによる対策手段は求められてくると思う。WindowsのZoneAlarmやMacOSXのLittle Snitchのように、通信時にアラームをあげてくれるタイプの製品が登場することを期待したい。
android, firewall, security
Loading...
■公開鍵認証方式でsshを利用する
sshdは攻撃されやすいので、できるだけ標準状態からport及び設定を見直すことを推奨。ここではパスワードを使わず公開鍵でsshを利用する。ここではCentOS5サーバの初期状態から設定追加する状況を想定した手順を書いておく。
1)自マシンで鍵を作成する(MacOSXをクライアントとする)
[code]$ ssh-keygen -t rsa -C “myaddress@example.com”[/code]
パスワード入力時にエンターを押すことでパスワード不要の鍵が作成可能
作成が完了すると以下に必要ファイルが作成される
~/.ssh/id_rsa(秘密鍵)
~/.ssh/id_rsa.pub(公開鍵)
上記はRSA鍵の場合。DSA鍵を作成する時は以下。
DSAではid_dsa,id_dsa.pubのファイルが作成される。
[code]$ ssh-keygen -t dsa -C “myaddress@example.com”[/code]
自アドレスを入力するのは後からキーの持ち主を判別するため。
実際に入力するテキストはなんでもOK。
2)公開鍵をサーバに送信する
リモートサーバにid_rsa.pubを送っておく
[code]$ scp ~/.ssh/id_rsa.pub root@xxx.xxx.xxx.xxx:/tmp[/code]
3)rootでサーバにログインしてsshdの設定を変更する
[code]# vi /etc/ssh/sshd_config[/code]
以下の3行を修正
port 10022
PermitEmptyPasswords no
PasswordAuthentication no
4)ssh用アカウント「remoteuser」を作成して公開鍵を登録する
[code] # adduser remoteuser
# passwd remoteuser ←パスワード設定する
# su remoteuser ←ユーザを変更する
$ cd ~
$ mkdir .ssh
$ cat /tmp/id_rsa.pub > .ssh/authorized_keys
$ chmod 0600 .ssh/authorized_keys
$ chmod 0700 .ssh
$ exit[/code]
5)iptablesを修正してsshdを再起動する
[code]# vi /etc/sysconfig/iptables[/code]
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 10022 -j ACCEPT 行追加
[code] # service iptables restart
# service sshd restart[/code]
6)クライアントからsshでアクセスして確認
[code]$ ssh -p 10022 remoteuser@xxx.xxx.xxx.xxx[/code]
うまくいかない時は -vを付けて確認
[code]$ ssh -v -p 10022 remoteuser@xxx.xxx.xxx.xxx[/code]
CentOS5では以下の行はコメントアウトのままで問題ないので外さなくてOK。
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
centos, security, ssh
Loading...
■指定ユーザ以外suできない設定
CentOS5においては、rootのパスワードを知っていればadduserで通常作成したユーザでもsuできてしまうため、セキュリティの観点から指定ユーザ以外はsuできないように設定を行う。
usernameというユーザにsu権限を与える場合の設定。
■設定手順
[code]# vi /etc/login.defs[/code]
以下を追記
SU_WHEEL_ONLY yes
[code]# vi /etc/pam.d/su[/code]
#auth required pam_wheel.so use_uid 行を以下のように変更
auth required pam_wheel.so use_uid
[code]# vi /etc/group[/code]
wheel:x:10:root 行を以下のように変更
wheel:x:10:root,username
[code]# reboot[/code]
再起動して動作確認
centos, security, tips
Loading...
■AndroidのExchange連携(リモートワイプ)対応状況
業務上携帯電話を利用していて気になるのは、やはり昨今話題の個人情報や企業機密情報漏えいです。iPhoneでも紛失時に情報を消去可能なリモートワイプ機能は非常に企業ニーズが高いということで、Androidでの対応状況を軽くまとめてみました。
■Android OSの対応状況
AndroidではOSとしてはAndroid2.2(Froyo)で正式対応となります。2.1までのバージョンではExchangeとの連携はメールやアドレス帳の同期までで、セキュリティ関連の機能は未対応ということになります。
Android 2.2の機能追加概要
http://developer.android.com/sdk/android-2.2-highlights.html
■国内発売中の2機種について
Docomoから発売されたXperiaは、OSとしてはAndroid1.6でExchange連携がないバージョンですが、Moxierという3rdPartyアプリが標準導入されており、こちらのアプリでExchange連携が実現されており、リモートワイプに対応しています。ただし消去可能なデータはMoxierで同期されたデータのみで、端末自体を初期化できるわけではないので注意が必要です。サーバ側でリモートワイプを指示すると同期処理後、Moxierが初期状態に戻ります。
Moxier 2.0の機能(英語)
http://www.moxier.com/blog/2009/sep/03/moxier-mail-20-now-avaiable/
Softbankから発売されたX06HT( HTC Desire)もOSとしてはAndroid2.1のため、Exchange連携は可能なもののOS標準ではリモートワイプには対応していません。しかしながらAndroid端末の大御所HTCの製品でDesire等Android2.1を搭載した製品は、HTCの独自拡張によってリモートワイプに対応しています。ただし現時点で確認した範囲では日本国内向けの説明には英語の製品紹介にある同じ項目の部分に「リモートワイプ」対応の記述がありません。
実際にExchangeのActiveSync互換機能であるCommuniGate ProのAirSyncでリモートワイプを実行してみたところ、Moxierは初期化できたものの、X06HTではワイプコマンドは無視され実行されませんでした。残念ながら実験できたのは国内向けX06HTのみで海外版のDesireは試すことができないため、Android端末側の実装問題なのかCommuniGate Pro側のワイプコマンドの問題なのか不明です。もちろんMS謹製Exchangeを購入する費用は自分では出せないので、MSでなら動作するのかどうかも不明です…。(念のためCommuniGate Proの同機能でiPhoneはもちろん端末ごとワイプ可能です)
Discover the Unexpectedの項目(英語)
http://www.htc.com/www/product/desire/overview.html
Discover the Unexpectedの項目(日本語)
http://www.htc.com/jp/product/x06ht/function.html
Softbankの商品説明
http://mb.softbank.jp/mb/product/X/09wi/#x06ht
■10/5発表のGalaxy S及びGalaxy Tabについて(10/7追記)
CEATEC会場でDocomoの説明員の方の話によると、どちらもAndroid2.2を採用していることで、MSExchangeサーバとの接続でリモートワイプできることを確認されているそうです。
※auから発売されるIS03はAndroid2.1のためOS標準ではリモートワイプはサポートされません。
■その他Android用Exchange連携アプリ
AndroidではOS標準でサポートされていない機能も3rdParty製アプリケーションによってカバーされていることが多数あります。Exchange連携を実現するアプリも複数存在し、そのアプリでリモートワイプが実現可能になっています。今回は実験していませんが、以下のExchange連携アプリを紹介しておきます。
NitroDesk TouchDown
http://www.cyrket.com/p/android/com.nitrodesk.nitroid/
http://groups.google.com/group/nitrodesk/web/remote-wiping
DataViz RoadSync
http://www.cyrket.com/p/android/com.dataviz.stargate/
http://support.dataviz.com/support.srch?docid=13736&pid=2000
■その他リモートワイプ実行アプリ
iPhoneではExchange/MobileMe連携で実現されるリモートワイプですが、Androidにはその自由度の高さによりSMSを使ったリモートワイプやワイプ対応専用サービスが各種そろっています。今回はExchange連携をベースにご紹介しましたが、他にも複数の手段がありますので、アンドロイドマーケットなどで検索してぜひいろいろ試してみてください。
activesync, android, communigate, security, wipe
Loading...
■Android用アンチウイルス&アンチマルウェアソフト 2010年6月版
最新の記事はこちら↓
Android用アンチウイルス&アンチマルウェアソフト 2011年2月版
http://blog.isnext.net/issy/archives/745
最近すっかりAndroid寄りの作業が増えてきました。ということでしばらくぶりの更新ですが、Androidネタをこれからこちらにも掲載していくようにしたいと思います。
まだ多くはないもののAndroid向けウイルスが流行するのは時間の問題かと思うので、まずはアンチウイルス&アンチマルウェア製品を紹介します。全てをインストールしたわけではありません。現在入手可能な製品をリストしているだけですので、ご注意ください。ご利用は自己責任で。
各アプリケーションの紹介リンクはAndroid用アプリケーションの検索サイト「Cyrket」です。
http://www.cyrket.com/m/android/
アンドロイドマーケットよりも検索が充実しており、評価も各国のものが一覧して見られるので大変便利で常用しています。
■無償利用が可能なもの(期間制限ありも含む)
Antivirus free
http://www.cyrket.com/p/android/com.antivirus/
Lookout Mobile Security FREE
http://www.cyrket.com/p/android/com.lookout/
SecuritySuite
http://www.cyrket.com/p/android/com.droidHunter/
kGuardian :: WatchDog
http://www.cyrket.com/p/android/com.kewlguardian/
NetQin Antivirus Beta(中国語)
http://www.cyrket.com/p/android/com.netqin.antivirus/
Secure-Me Anonymous PROXY
http://www.cyrket.com/p/android/com.networkintercept.secureme4/
SpamDrain
http://www.cyrket.com/p/android/se.trillian.upskido.android/
McAfee VirusScan Mobile(SKテレコム/Softbankユーザのみ)
http://www.mcafee.com/japan/about/prelease/pr_10a.asp?pr=10/05/07-1
Norton Security (Beta)
http://www.cyrket.com/p/android/com.symantec.mobilesecurity/
■有償のもの
BluePoint Antivirus
http://www.cyrket.com/p/android/te.ad/
Antivirus Pro
http://www.cyrket.com/p/android/org.antivirus/
Security Pro
http://www.cyrket.com/p/android/com.virusFree/
SMobile Security Shield
http://www.cyrket.com/p/android/com.smobile.securityshield.android.main/
F-Secure Mobile Security6
http://f-secure.mobi/
McafeeやSymantecなどPC用アンチウイルスの大手が遅れをとっているように見えるのが興味深いところです。現在は無償のLookout Mobile Security FREEが評判がいいみたいですね。大手が正式リリースになると製品の信頼性テストなども今後レビューが提供されてくると思いますので楽しみです。
【7/1追記】エフセキュアがAndroid用製品を発表したので追記。有料、7日間の体験版あり。Cyrketにはまだ掲載されていないため、本家のリンクを紹介。
【11/4追記】SoftBankがAndroid端末向けにMcAfeeアンチウイルス「スマートセキュリティ」を提供することを発表。スマートフォン基本パック加入者向けに期間限定で無料提供。
android, security
Loading...
仕事で調べたのでメモ。基本はメールのアンチウイルス&アンチスパム対応を本サーバに届く前に実行できることを要件とする。可能であればWebMail/POP/IMAPにも対応できるとよい。
とりあえず、いくつかは試験してみることにして候補を挙げておく。untangleが最も要求に近いようなので、これから試していく予定。
■無償で利用可能なUTM(SecurityGateway)製品
untangle(IMAP対応)
http://www.untangle.com/
日本語情報少ないが、製品は日本語対応。Webの管理画面は日本語で設定可能。
ただし、管理クライアントには日本語フォント設定されていないため、別マシンからアクセスが必要。
管理インターフェースは分かりやすいような気がする…。Debianベースらしい。
Astaro Linux(IMAP未対応)
http://www.astaro.com/
個人用はフルファンクション。企業向け無償版は機能限定。
アプライアンスは使ったことあり。多機能かつ安定性高い。
Endian Firewall(IMAP未対応)
http://www.endian.com/en/community/overview/
日本語の詳細な説明が商用版には有り。肝心のドキュメント類は全部英語。
若干設定がわかりにくい気がする。
Free UTM(POP/IMAP対応?)
https://free-utm.com/
多機能そう。Mailサーバを自分持ちするタイプのような記述。ターゲットと違うかも?
RedWall(include load balancer)
http://www.redwall-firewall.com/
非常にコンパクトかつ軽量。USBやCDで起動されることを想定している。
マシンパワーによってはこれはよい選択になるかも。
ロードバランサー機能にも注目。
BrazilFW Firewall and Router(include load balancer)
http://www.brazilfw.com.br/forum/
良さそうな気がするのだが、言語の壁が…。
GB-Ware (2User Only)
http://www.gta.com/firewalls/gbware2user/
■その他近しい製品
pfsence (include load balancer)
http://www.pfsense.org/
BSDベース。アンチウイルス&アンチスパムがないので対象外だが、ロードバランサー機能とPPPoEサーバ機能に注目。
eBox
http://www.ebox-platform.com/
統合サーバを構築可能な製品。今回メインサーバが別にあるので対象外。
機能自体の統合度合は面白そうなので、そのうち試してみたい。
smoothwaill
http://www.smoothwall.org/
比較的Firewall寄りな製品。こちらもアンチウイルス&アンチスパムがないので対象外だが、ajaxな画面でコントロールできるということで注目。
■Spam発信元ブロック用IPリストのメモ
[code]http://www.emergingthreats.net/index.php/rules-mainmenu-38.html
Spamhaus.org DROP List
http://www.emergingthreats.net/rules/emerging-drop.rules
http://www.emergingthreats.net/rules/emerging-compromised-BLOCK.rules[/code]
【7/31追記】GB-Wareを追加。2Userまで無償利用可能。
astaro, endian, gb-ware, security, untangle, UTM
Loading...
最新のブラウザでないと対応してないので注意。
携帯等の最新のもの、もしくはCA証明書追加ができるタイプのものではないと利用は難しいと思われます。昨年10月末ごろは日本からの申請に対応していなかったのですが、現在はjapanを選択すると都道府県名が適切にリストされているようです。
https://www.startssl.com/
個人の住所や電話番号が必須で、登録内容についてはちゃんと確認しますって書いてるけど、どう確認するのか不明。一度入手してみるべきか…。SSL証明書の一部に登録内容が公開されるとも書いてあるんだけど、どこまで出るのか明示はない。
特定商取引法対応で個人情報開示している個人事業主さんには無償で使えるしブラウザを選ぶという点が問題なければいい選択肢かもしれません。
無償取得の手続きは以下のリンク先から
https://www.startssl.com/?app=12
2011/5/11 追記
TLSの実験のため複数の正規証明書が利用したかったので、こちらのページを参照して実際にStartSSLで無償の証明書を取得してみました。以前懸念していたSSL証明書の一部に登録内容が公開されるというのは問合せ用メールアドレスのみでした。ドメインの所有を確認される際に利用するpostmasterやwebmasterのアドレスにしておけばあまり問題ないと思われます。また無償で発行されるのは1つだけではなく、所有さえしていれば異なるドメイン名やホスト名についても複数の証明書が取得可能ですので、数が多くなると1年更新管理は大変ですが、非常に嬉しい使い勝手を提供してくれています。
StartSSLの証明書については既に多くのブラウザが対応しており、iPad/iPhoneやAndroid2.2以降(001HTやWhisperCoreの入ったNexusOneでも)でメールの同期やブラウザアクセスで問題なく利用できている(証明書の確認ダイアログ等がでない)ので、1年毎更新とはいえ無償で安心して利用できるという点では非常に嬉しい選択肢だと思います。国内携帯についても古いものは未対応になりますが、スマートフォンが増えてくれば結果的に対応している機種比率が上がっていくので、携帯アクセスがメインでない限りは今後利用検討の対象にしてもいいのではないかと思われます。
90年代後半では取得手続きやコストでそれなりに大変だったSSL証明書取得がここまでシンプル且つ低コストになるというのは本当に感慨深いものがあります。StartSSLが後発でありながら新興CAとしてシェアを拡大するためには、無償の証明書で認知とシェアを獲得し標準とされるブラウザやOSに積極的にroot証明を組み込んでもらえるように働きかける必要があったということだと推測しますが、個人向け無償というのは大きな判断だったと思います。しばらくいろいろと試させてもらおうと思っています。
security, ssl
Loading...
