crowdwitches

it works

CoinCheck(コインチェック)の二段階認証が突破された?

このようなツイートが回ってきました

( https://archive.fo/swUSD )

CoincheckはGoogleが開発した二段階認証であるGoogle Authenticatorを採用しています。 それを突破されることはあまり考えられないのですが、スマートフォンがマルウェアに感染していたか、もしくは最悪、Coincheck側にセキュリティホールがあるぐらいしか思いつきません (二段階認証が設定されているPCがマルウェアに感染していても、送金できないので関係ない 送金する際に二段階認証がある場合に限ります)

不正アクセスを行ったと思われるIPアドレスが以下

163.43.30.192 https://www.shodan.io/host/163.43.30.192

126.58.200.7 https://www.shodan.io/host/126.58.200.7

( https://archive.fo/AOF1Z )

163.43.30.192はさくらインターネットのIPアドレスで、80番ポートが開いているのでアクセスしてみると、インターリンクのVPNサービスが出てきます。 f:id:camwatch:20180117010216p:plain これはフレッツ光契約の有無関係無しに利用できるサービスかつ無料のお試し期間があるためこれを利用して不正アクセスを行ったと思われます。ただ、この場合接続元IPを記録していると思うのでセカイVPNの手前にもう1つVPN(Double VPN化)を経由しないと身元が容易に割れると思います。

126.58.200.7はソフバンのIPですが、ググっても特にデータは見つからなかったのでこのツイッターアカウントの方の携帯電話(ソフトバンク) or 固定回線なのか、もしくは犯人がVPN切ったあとに間違えて繋いでしまったとか?

私のCoinCheckアカウントで二段階認証を設定して検証しました。ログイン時にコードを一定回数間違えるとIPアドレスを変えても30分間はログインできなくなるので、総当たりなどではなさそうです。 しかし、送金する際に二段階認証のコードは必要ないようです(?)(2015年以降の本人確認等していないのでわかりません) コインチェックのチャットに貼られたURLからセッションハイジャックされたとか? まあ、わからないですね。 ただ1つ気になったのが、二段階認証のコードを一定回数間違えたあとに再度ログインしようとすると、二段階認証の画面には遷移しませんでしたが、アプリでは一定回数間違えた後でもIPアドレスを変更すると二段階認証の画面に遷移しました(なんで?)

いずれにしても取引所に資産をすべて置くのは危険ですね

2018-01-19追記:気になってモバイルAPIを見てみましたが、やはりパスコードを一定回数間違えると30分間ログインできない状態になるので、バックアップ用の16桁のキーの保管方法に問題があったのではないかと思います。

2018-01-21追記:二段階認証の設定し忘れとのことでした

2018-01-27 追記: 関連は不明ですが、この数日後取引所の580億のNEM/XEMがGOXされました。

headlines.yahoo.co.jp

大手仮想通貨取引所のコインチェック(東京都渋谷区)は26日、外部から不正なアクセスを受け、顧客から預かっていた仮想通貨「NEM(ネム)」約580億円分が流出したと発表した。原因や影響人数については調査中といい、被害について警察に相談しているという。同日夜に記者会見した和田晃一良社長は「弊社サービスで機能が停止し、お騒がせしていますことを深くおわびします」と謝罪した。顧客への補償は「検討中」と述べるにとどめた。 仮想通貨のトラブルでは、2014年に国内の取引所「マウント・ゴックス」で465億円分が消失したのを超え、過去最大規模となる。

 コインチェックの説明によると、26日午前、社内でNEMの残高が大幅に減少していることが判明し、午後にかけて売買や入出金を停止。その後、ビットコインなどを含むすべての仮想通貨や日本円の出金を停止した。同社が保有するNEMはほぼすべて失われたという。取引や入出金の復旧のめどはたっていない。NEM以外のビットコインなどの仮想通貨や日本円の不正送金は確認されていないという。

 仮想通貨ではこうしたトラブルを防ぐため、ネットからのアクセスを遮断したコンピューターでデータを保管するなどより安全な対策をとっている取引所が多いが、コインチェックはNEMについて対応していなかった。「(ネット遮断した)オフライン(で保管)にするには技術的な難しさがある。人材が不足していた」(和田社長)と説明した。大塚雄介取締役は「資産を預かっている立場として、できる限り十分な対応はしていた」と述べた。

 金融庁は業界を監督するため昨春、仮想通貨取引所に登録制を導入した。コインチェックも登録を申請したが、現時点で登録されていない。大塚取締役は「セキュリティーが甘いから登録していないわけではない」と説明した。ただ、「見なし業者」として営業は続けており、法律上、金融庁にはこうした事案については報告する義務がある。金融庁幹部は「事案の被害状況や原因、再発防止策を報告してもらうが、まずは顧客保護に万全を期してもらいたい」としている。 NEMの時価総額は1兆円規模とされる。一時30兆円を超えたビットコインには及ばないが、個人投資家を中心に人気を集めていた。

きららファンタジア不正利用しているユーザのメモ

Google Hack

intext:krr-prd.star-api.com f:id:camwatch:20171221090642p:plain

それらしいもの出てきますね

f:id:camwatch:20171221090833p:plain

すでに削除されているようですがキャッシュから

f:id:camwatch:20171221090937p:plain

ざっと見た感じこれではおそらく期待した動作をしませんね。ガチャを引いた結果を保存する(つまり、確定する)リクエストが無いのとリクエストパラメータにハッシュ値が無いのでそもそもリクエスト通らないと思われる

次にこれを見てみる

初回10連無料を星5レアが指定枚数出るまでひたすらリクエストするというコードっぽい

github.com

説明するまでもないですが

  • payload1はガチャを引くためのリクエストボディ、payload2は期待通りの結果の場合それを確定するためのリクエストボディ。
  • 国外からのリクエストを弾くようになったのでProxyを通しているのがわかります
urhttp = urllib3.ProxyManager(http_proxy)

https://github.com/dewrfe53535/kirarafantasia/blob/master/str.py https://github.com/dewrfe53535/kirarafantasia/blob/master/main.py

サーバがダウンしまくってたのはこういうのが原因なんでしょうね。

当然ですが、これらのコードを実行した場合きららファンタジアの規約違反、また日本に在住している場合業務妨害、私電磁的記録不正作出などに該当する可能性がありますのでやめましょう。

disp.cc

bitzenyをGMOクラウドで採掘テスト

sudo apt-get install build-essential libcurl4-openssl-dev
sudo apt-get install autoconf automake libtool
git clone https://github.com/bitzeny/cpuminer.git
cd cpuminer
./autogen.sh
./configure CFLAGS="-O3 -march=native -funroll-loops -fomit-frame-pointer"
make
./minerd -a yescrypt -o stratum+tcp://...:3014 -u ... -p ...

f:id:camwatch:20171218005139p:plain

  • CPU:12 x Intel(R) Xeon(R) CPU E5-2660 v2 @ 2.20GHz
  • OS: GNU/Linux 4.4.0-36-generic Ubuntu 16.04

f:id:camwatch:20171218005209p:plain

採掘結果1日 10.53942867.ZNY = 約300円

GMOクラウドaltus12vCPU + 1024MBメモリ で24時間 408円なのでペイ出来ませんね。残念

追記:GMOクラウド CPU E5-2690 v2 @ 3.00GHz + 24vCPU + 1024MB で9.08khash/s出てます

参考:

masscanのメモ

前ブログ記事の補足 koulab.openblog.jp

dedicated/baremetalのサーバを使う。仮想化された環境だと性能が出ないのでダメ。

  • ネットワーク100Mbps以上
  • データ伝送量:無制限
  • OS: Debian
  • メモリ:2Gbぐらい
  • IPv4アドレス2つ
  • ポートスキャンOKなサーバを借りる
sudo apt-get install git gcc make libpcap-dev
git clone https://github.com/robertdavidgraham/masscan
cd masscan
#ビルド前にbannerのUser-Agentを変更する
nano src/proto-http.c

User-Agentは必要に応じて変更 Mozilla/5.0 (compatible; SecurityResearcher/0.1; +http://example.com/bot.html) とか。

http_hello[] =      "GET / HTTP/1.0\r\n"
                    "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36\r\n"
                    "Accept: */*\r\n"
                    //"Connection: Keep-Alive\r\n"
                    //"Content-Length: 0\r\n"
                    "\r\n";
make
#rateをチェック
bin/masscan 0.0.0.0/4 -p80 --rate 100000000 --router-mac 66-55-44-33-22-11
iptables -A INPUT -p tcp --dport 60000 -j DROP

configを作る

#パケット送信レート
rate =      500000.00
randomize-hosts = true
#bannerを取得するかどうか。
banners = true
# ADAPTER SETTINGS
adapter =
adapter-ip = banner用の追加1IPアドレスを指定する
adapter-mac = 00:00:00:00:00:00
router-mac = 00:00:00:00:00:00
# OUTPUT/REPORTING SETTINGS
output-format = json
show = open,,
output-filename = result.json
rotate = 0
rotate-dir = .
rotate-offset = 0
rotate-filesize = 0
pcap =
# TARGET SELECTION (IP, PORTS, EXCLUDES)
retries = 1
#探索するポート
ports = 0-1024,8080
capture = cert
capture = html
nocapture = heartbleed
nocapture = ticketbleed
min-packet = 60

あとはIPアドレスのリストを実行時に--includefile xxx.txtで読み込む

bin/masscan -c main.conf --includefile iprange.txt

http://www.novogara.com/
https://www.urdn.com.ua/index.html
https://lolekhosted.net/
2018-01-03追記:
https://cari.net/services.html

2018-01-14追記
novogaraはメールでport scanning allowedと返答しておきながらabuseが飛んでくると止めない場合サーバを凍結してくるようになりました。

WordPressのGPL違反したテーマやプラグインのライセンス認証などを突破するメモ

具体的にどういうものがGPL違反に該当するかの説明はここでは割愛します。 WordPressはGPLですので、難読化は禁止されています。

ケース1 難読化されてない || 外部サーバにリクエスト飛ばしていない

所謂シリアルナンバーを見てるパターンです。ソースコードのライセンスチェックディジット部分をいじくればそれで解決です。

関数上書きできるrunkitもどうぞ(pecl extensionですけど._.) PHP: runkit_function_redefine - Manual

ケース2 難読化されてない || 外部サーバにリクエスト飛ばしている

ケース1同様

ケース3 難読化されている && 外部サーバにリクエスト飛ばしている

大体これが多い。 Wireshark等で通信先とリクエスト先、リクエストボディ、レスポンスボディを確認します SSLを経由している場合はmitmproxyやcharlesで中間者攻撃を行う。

wp-config.php 以下proxy設定を追加する

<?php
define( 'WP_PROXY_HOST', '127.0.0.1' );
define( 'WP_PROXY_PORT', '8888' );

もしくは適当に通信をキャプチャするプラグインを作る

<?php
/*
Plugin Name: wp-http-checker
Description:
*/
add_filter('pre_http_request', function($bool,$r,$url) {
    $r['sslverify'] = false;
    file_put_contents(sys_get_temp_dir().DIRECTORY_SEPARATOR.'wp-http-checker.log',date('Y-m-d H:i:s')."\t".$url."\t".json_encode($r).PHP_EOL,FILE_APPEND);
    return false;
},10,3);

add_filter('http_response', function($response,$r,$url) {
    file_put_contents(sys_get_temp_dir().DIRECTORY_SEPARATOR.'wp-http-checker.log',date('Y-m-d H:i:s')."\t".$url."\t".json_encode($response).PHP_EOL,FILE_APPEND);

    return false;
},10,3);

あとは通信を横取りする簡単なプラグインを書く

WordPressは極力触りたくないので私は該当ドメインを見てエミュ鯖に変更する方法しか思いつかないのですが、ほかにうまいやり方があれば教えてください

<?php
/*
Plugin Name: GPL Fixer
*/
add_filter('pre_http_request', function($bool,$r,$url) {
    $prev = $url;
    if(strpos($url,'example.com') !== false && $r['method'] === 'POST'){
        $url = 'http://localhost/GPL/validate.php';
        $http    = _wp_http_get_object();
        $result = $http->request( $url, $r );
        return $result;
    }
    return false;
},10,3);

validate.php

<?php
header('content-type: application/json; charset=utf-8');
echo json_encode(['success'=>true,'is_valid'=>true]);

ケース4 難読化されている && 外部サーバにリクエスト飛ばしていない

まだこのケースは見たことがないですが、もしそのようなプラグイン・テーマがあれば教えてください。 一番厄介かも

codecanyonや国内のWordPressテーマ、プラグインを販売している大手業者も同様の違反が見受けられます。

www.softwarefreedom.org

非公開APIのニコニコ動画

さて、ニコニコ動画の新バージョンであるniconico(く)ことクレッシェンドの発表会が大炎上したわけですが ここで、ニコニコ動画が公式に提供・公開しているAPIはあるのでしょうか。 探したところ、公式で個人向けに提供しているAPIはニコニコ動画を検索するAPIしか存在していないようです。 site.nicovideo.jp また、このAPIも

利用制限
本APIは、解析を目的とした負荷の高い利用法が想定されているため、
同時接続数の制限、および 同一ユーザーによる過度な利用に制限 を設けております。
制限を超えてリクエストを行った場合、正常に検索結果が返されません。 連続して取得する場合は、十分な間隔を設けてご利用ください。
引用: http://site.nicovideo.jp/search-api-docs/snapshot.html

とあり、あまり使えないように見受けられます

発表会で川上会長は、次のように発言しました

──今回の発表会は生放送の新機能がメインだったと思いますが、名前も「ニコニコ動画」ということでやっぱりメインは動画サービスだと思うんです。現状のニコニコ動画が優っている点、ユーザーが選ぶ点で思い当たるのが、「淫夢動画」(*ゲイビデオを元にした二次創作群)しかないと個人的には思っています。中の人から見たときに、ニコニコ動画が他社より競争力があるのはどこだと思っているのかという点と、どういうところを伸ばしていきたいのかという点を教えてください。

川上 ニコニコ動画が受け入れられた一番の理由は、コメント機能だと思っていて、クリエイターが何か物を発表したときにユーザーの方からレスポンスがすぐに返ってくるところが支持されているポイントだと僕らは考えています。ですので、クリエイターの人とユーザーの方がコメントも含めていろいろコミュニケーションできる機能をたくさんつくっていきたいなと思っています。
今回は生放送中心の発表に見えてしまう部分はあるんですが、動画の方も大事にしてまして、nicocasの方では、動画の再生もできます。そして動画の再生自体も新しいnicocasのアプリはとてもいいと感じています。そしてクルーズみたいな機能を用意しまして、動画の発掘など、動画を楽しむ文化もテコ入れしたいと思っています。
本日から利用可能な「ニコニコまとめ」という機能も、動画のコミュニティーを活性化させるための機能です。ただ、動画と生放送だと、生放送の方が機能を追加しやすいんです。動画はある意味、割と完成されていて、そこまでここから新しい機能をつける部分が生放送に比べると少なくなってしまうことはご了承ください。

──生放送の追い出しはなくなるのかということと、184機能(匿名コメント機能)の廃止を検討しているかどうかについてお聞かせください。

川上 184機能については、コメビュ(コメントビューワー)を使われている方が多いので、実質形骸化しているというのは僕らもわかっています。例えば、ユーザー生放送については廃止してもいいのかなと僕らは思っています。追い出し機能については、僕らとしてもこれを残すのかなくすのかという議論は社内で非常にありまして、僕は残したい派なんですが、少なくとも今とは違う納得いく形にしたいと思っています。
引用元: http://panora.tokyo/45675/

コメントビューワーは有志がニコニコ動画のAPIを解析して作成されたものです。今やコメントビューワなしで放送している生主はほとんどいないのではないでしょうか。

qiita.com

この度はニコニコ動画へのゲーム動画投稿をご検討いただきまして
ありがとうございます。

大変申し訳ございませんが、
今回御申請頂きました「ニコニコOAuth利用」について
現在個人でのご利用受付は行っていない状況となります。
もし法人でのご利用である場合
対象アプリの詳細説明をご教示頂けますと幸いでございます。

外部のサービスと連携するためのOAuthという安全な認可方式を一切提供しない結果として qiita.com 信頼できないアプリケーションにニコニコ動画のログイン情報を入力するといった本末転倒

N予備校のプログラミングとかはすごく良い感じなのでニコニコ動画も頑張ってほしい github.com

ConoHaのメールサーバーは規制される

忘れないようにメモです。

いつもご利用いただき、誠にありがとうございます。
ConoHa お客様センター です。

ご利用いただいておりますメールサーバーのご運用につきまして
ご連絡申しあげます。

このたびお客様にご利用いただいておりますメールサーバーの
運用状況により大量のメールアドレスの作成を確認いたしました。

ConoHaのメールサーバーは共用型のサービスとなりますため、
同様なご運用は他のお客様影響がございます。

つきましては、大変恐れ入りますが、該当サービスの緊急停止措置を
実施させていただきますこと、ご了承ください。

何とぞ、ご確認くださいますようお願い申しあげます。

今後ともConoHaをよろしくお願いいたします。
いつもご利用いただき、誠にありがとうございます。
ConoHa お客様センター です。

ご利用いただいておりますメールサーバーのご運用につきまして
ご連絡申しあげます。

先日もご連絡差しあげておりましたが、お客様にご利用いただいて
おりますメールサーバーにて大量のメールアドレス作成を確認いたしました。

また、お客様のメールアカウントより大量のメール送信を検知しており、
他のお客様影響懸念により、該当サービスの緊急停止措置を実施させて
いただきますこと、ご了承ください。

ConoHaのメールサーバーは共用型のサービスとなりますため、
同様なご運用はご遠慮いただいておりますこと、何とぞ
ご了承くださいますようお願い申しあげます。

何とぞ、ご確認くださいますようお願い申しあげます。

今後ともConoHaをよろしくお願いいたします。

メール配信はSendgridやAmazonSESを使っていこうな