1 ポイント 投稿者 GN⁺ 2024-06-01 | 1件のコメント | WhatsAppで共有
  • URLは the-pumpkin-eclipse ですが、提供された本文はカボチャの日食の記事本文ではなく、Lumen Technologiesのブログ・ニュースハブページです
  • 上部のおすすめ記事は、AIによって企業運営が変わる中で、プログラム可能で拡張性があり安全なネットワークが必要になるという流れを中心にしています
  • LumenのAlkira買収計画は、次世代クラウド接続性に必要な制御プレーンを整える事例として位置づけられています
  • ほかのおすすめコンテンツは、プログラマブルネットワーク、Bank of TennesseeによるLumen・Zoom AI活用、AWSグローバルイベントの接続性支援事例へと続きます
  • 最新ニュースと探索エリアでは、交換提案・役員昇進・公開買付け結果といった会社ニュースに加え、トピック・業界・サービスのフィルターも提供しています

実際に提供されたページの性格

  • 本文はLumen Technologiesのブログとニュースハブページで、デジタルトランスフォーメーションとAIへの準備に関連する技術革新、戦略、専門知識をまとめて見せています
  • ページ構成は、おすすめコンテンツ、最新ニュース、コンテンツ探索エリアに分かれています
  • 元のURLパスは the-pumpkin-eclipse ですが、提供された本文にはカボチャの日食に関する実際の記事内容はありません

おすすめコンテンツの流れ

最新ニュース項目

コンテンツ探索フィルター

  • トピックフィルターには、Application Protection、Customer Success、Data Center、DIA、Ransomware、SD WAN、API、Artificial Intelligence、Cloud Computing、DDoS Protection、SASE、ZTNAなどが含まれています
  • 業界フィルターは、Manufacturing、State and Local Government、Technology、Defense Intelligence、Federal Government、Education、Gaming、Healthcare、Retail、Financial Services、Public Safetyなどを提供しています
  • サービスフィルターは、Infrastructure services、Connectivity services、Security services、Communication services、Media Entertainmentで構成されています

1件のコメント

 
GN⁺ 2024-06-01
Hacker Newsの意見
  • ファームウェアを格納したフラッシュチップの書き込み有効ラインを横取りしてアップデートを防ぎ、メモリ上にだけ常駐するゴミは毎日の再起動で吹き飛ばせるとよさそう
    20年前に衛星受信機でやっていた方式だが、今ではインターネットにつながるあらゆる機器を、似たような電子的対抗策に対して脆弱なものとして扱う必要があるのかもしれない
    少なくとも自分の機器なら、アップデートの有無を監視し、アップデートが発生したらインジケーターが点灯するようにして、それが正常かどうか分かるようにしたい

    • これは勝ち目のない状況。ファームウェアアップデートを止めれば今回の攻撃は防げただろうが、ルーターがボットネットにならないようにするセキュリティパッチも止まってしまう
      ただ、この事例で理解できないのは、なぜデバイスを元の状態に戻せなかったのかという点。バックアップを含めてファームウェア全体を破壊できるなら、設計が間違っているように見える
    • 書き込みを拒否できるSDカードエミュレーションのオープンハードウェアプロジェクトがあった: https://github.com/racklet/meeting-notes/blob/main/community...
      SPIフラッシュ向けのオープンソースエミュレーションもある: https://trmm.net/Spispy/
      一部のUSBドライブ(Kanguru)やSSDエンクロージャー(ElecGear M.2 2230 NVME)は、ファームウェアと物理スイッチで書き込みを防げるので、RAM上で動くカスタムライブISOの起動に便利
    • 闇市場のHUカードを使っていた立場からすると、DirecTVは高度持続的脅威の事例だったわけだ。以前はそう考えたことがなかった
    • 消費者向けDSLソリューションについてはよく分からないが、ケーブルモデムではファームウェアと設定をCMTSが管理する。ヘッドエンド側の技術や設定が変わると、動作を継続するために顧客側の変更も必要になることがあるため
      ケーブル設備とヘッドエンド機器がアップグレード・保守されるにつれて、周波数計画や信号速度などが変わるので、設定はかなり動的に変わる
      EEPROMの書き込み有効をロックしようとすると、最終的にはモデムのプロビジョニングが失敗する可能性が高い
    • ファーストパーティ・マルウェア」と呼べそう
  • 記事には興味深い詳細が足りない。どう侵入したのか、このルーターにはデフォルトで開いているポートやサービスがあり、インターネットに対して意味のある応答をするのかが気になる
    異なるファームウェアバージョンを入手して比較することもできるのでは?
    OpenWrtにベンダーSDKを載せる、よくある方式を使っているように見える: https://forum.openwrt.org/t/openwrt-support-for-actiontec-t3...
    興味深いのは、ベンダーが悪意ある、または壊れたアップデートを送った可能性が推測されている点: https://www.reddit.com/r/Windstream/comments/17g9qdu/solid_r...
    だとすると、なぜISPの公式発表がないのか? 攻撃だったなら調査があるべきでは? 米国でこういうことがどう処理されるのかは分からないが、本当に奇妙に見える
    もしかすると、この機器群がボットに感染していて、ベンダーがアップデートを押し込んだところ全部壊してしまったのかもしれない
    あるいは記事の通り、ランサムまで絡んだ協調攻撃で、全員には「欠陥のあるファームウェアアップデートなので落ち着いて」とだけ伝えられたのかもしれない
    顧客としてはセキュリティインシデントがあったのか知りたいので、それもかなり悪い
    これらのデバイスのファームウェアイメージや、もっと詳しい情報へのリンクがあるのか気になる

    • ISPが公式発表しないと決めたのは、調査結果に基づくものだと考えるのが妥当かもしれない
      交換費用のうち保険で処理される部分がどれくらいあるのかも気になる。おそらくないだろうし、そうなるとISPは深刻な事業継続リスクを抱えることになる。発表しないもう一つの理由になる
  • 「Lumenは、観測されたC2ノード75個のうち1つと通信したユニークIPアドレスを33万件以上特定した」というが、Black Lotus Labsのグローバルテレメトリは、両端のどちらも制御していないのに、どのIPがどのIPと通信したかをどうやって知るのか? 誰が、何のトラフィックログを保管しているのか?
    彼らにそれができるなら、Torがなぜ安全なのか改めて説明してほしい。自分の機器からオニオンルーティングのホップを経て出口ノードまでパケットを追跡するのは不可能で、出口ノードでは同じパケットが暗号化されていない状態で見える、というあの説明だ

    • Black Lotusで働いている友人がいて、この記事を書いたのも彼かもしれない。Black LotusはLumen傘下で、LumenはLevel3とCenturyLinkを含む世界最大級のバックボーントラフィック事業者
      世界中のトラフィックの非常に大きな割合が彼らのネットワークを通過するので、指標を含むトラフィックを直接のぞけるのだと思う
    • かなり幻滅する。これは何らかの形でIPフィンガープリントを避けるのは事実上不可能という意味なのか? TorやVMを使っても? 物理サーバーを自分で所有していない限り、結局は運用者を信じるしかないのか?
    • これはバックボーンルーターではかなり標準的な機能。いずれにせよTCPヘッダーをハードウェアでパースする必要があり、一般的なエンドポイントはO(1)状態で追跡できる
      もちろん反対の極端な例としては、NSAが主要なインターネットリンクにタップを仕掛け、可能なすべてを記録して永久に保存している状況もある
    • おそらくWindstreamは日常的に顧客トラフィックをロギングしているのだろう。メタデータ(NetFlow/sFlow/IPFIXなど)かもしれないが、いずれにせよこの情報を持つには記録して保存していなければならない
      Windstreamの契約条件にこの点が明確に書かれていることを願う
    • Torは、出口に出る前に複数のノードを経由し、トラフィックが混ざることで保護されるという前提。ネットワーク内にノードの大半または全部があり、トラフィックを分析できるなら、一部のフローは見つけられるかもしれない
      ただし、1つのノードが処理するトラフィックが多いほど難しくなる
      もっと単純な方法は、ただ出口ノードを運用すること。[1]
      1: https://en.wikipedia.org/wiki/Tor_(network)#Exit_node_eavesd...
  • 数年前からは、デュアル NIC を備えた小型の x86 ボックスを買って OpenWRT を動かしている。オープンソースで、サポートも多く、コミュニティもよく、WireGuard にも対応している
    最新版では Docker コンテナの実行も可能

    • ただし今回の件は DSL モデム だ。どこかの時点で、WAN 側が DSL であれ同軸であれ光であれ、ネットワークにつながるインターフェースが必要になる
      PCIe スロット用の DSL アダプターでさえ、実質的にはスティック型のシステムで、ケースがないだけで「ルーター」としての機能とバグをすべて備えている
    • 影響を受けたのはモデムなので、OpenWRT では守れなかったはず
    • 古い PC Engines のボードに OpenBSD を入れて使っているが、約 8 年間、驚くほど問題なく動いている
    • 「最新版では Docker コンテナも実行可能」とは、何が悪い方向に行くというのか……
  • ルーター 60 万台にバックドアを仕込み、パッチの一つに ファームウェアのバグ を入れるとこうなる
    アップデートを段階的に配布することはできなかったのか? マルウェア作者とユーザーは、標準的な運用慣行を受け入れるには格好よすぎるらしい

    • 彼らにかかる経済的圧力が違うだけだ。文鎮化するのは自分たちのハードウェアではないし、責任を問われる可能性も低い
  • 記事タイトルが何を意味しているのかわからない

    • この攻撃は 2023 年のハロウィーンの数日前に発生したので「カボチャ」で、インターネットに接続されたデバイスの数が大きく減ったのは、日食が突然暗闇をもたらすのに似ている、という意味かもしれない
      あくまで自分の解釈で、自分もタイトルは難解だと思う
    • 数時間前はもっとわかりやすいタイトルではなかった?
  • タイトルで混乱した人のために言うと、これは 60 万ドルのルーターではなく、個別の小型ルーター 60 万台が破壊されたという話

  • HN にカルマスコアがあるなら、元のひどいクリックベイトタイトルを改善した投稿者に、もっと点をあげてもよさそうだ
    ここでは昨年 10 月の出来事について現在形を使っている

    • 害を与えるようそそのかしているように見えるタイトルの投稿には、点を減らしてもよさそうだ
  • Ars Technica の関連記事: https://arstechnica.com/security/2024/05/mystery-malware-des...

    • それは関連記事というより、元記事を書き直したものに近い。独自に追加した詳細はない
  • 自宅ネットワーク用に、ネットワークアプライアンス型のコンピューターを買った。基本的には VT-x 対応の普通の i3、ファンレスケース、2.5GiB NIC 4 基を備えた機器だ
    ホストと VM の両方に、定期的な自動セキュリティアップデートを受ける安定した Linux ディストリビューションをインストールし、NIC 3 基をその VM にデバイスマッピングした。残りの NIC 1 基は、ホストに SSH で入りたいとき以外はどこにも接続していない
    VM 内では UFW と Shorewall でファイアウォールとルーティングを処理している。何か調整したければ、その VM に SSH で入ればよい。ミスしたときに、よくわかっている正常な状態へ簡単に戻せるよう、VM ディスクのスナップショットもある
    もっと安価な市販の WiFi アクセスポイントも何台か買って家の中に配置し、干渉を最小限にするようチャンネルを設定した
    以前は Apple、Google、ASUS などのネットワーク製品を何度も使ってみたが、どれも性能と安定性に問題があった。たとえば Zoom 会議中に 3〜5 秒間ランダムにパケットが途切れるような具合で、非常にいら立たしかった
    自分で構成してからはまったく問題がなく、安全に設定されていて、関連するセキュリティアップデートを受けているという確信も強い。要するに、同じ有名で安定した Linux ディストリビューションを使っている世界のかなりの部分が同時に問題を起こさない限り、自分のホームネットワークも問題ない

    • 今回の攻撃はモデムに影響したものなので、そんな立派なハードウェアを備えていても、やはりインターネットは切れていたはず
    • 気になって聞くのだが、どのネットワークアプライアンス型コンピューターを買ったのか知りたい