#ssmjp 2018/08 本当にあった怖い話

connpass 本当にあった怖い話

1. Naomiさん タイトル未定（サーバールームの温度管理は気をつけましょう）

• ある日、ping が通らない、ファイルサーバー、active directory なんもかんも徐々につながらなくなる。
• 当時、サーバー室が会社の片隅にあった。入ってみると全サーバー停止、オレンジ（笑
• 立ち上げる、と、
  • Windows サーバー起動時に「予期せぬサーバーシャットダウンがありました、理由を入力してください」、ときかれてもこっちがききたいわ。
• 休日にまた落ちる。サーバー室の温度が 45℃くらいになっていて、ドアノブがあついの（笑
• サーバーラックが密閉式だった。サーバー増設による熱容量オーバー、さらにビルの冷房は 19:00 で切れる。ヨドバシにいくも、扇風機という扇風機が東日本大震災の輪番停電で展示品さえ売り切れ。ただし... ダイソンだけあった（5 万）
• エアコンを増設することになったが、欄間の上をふさいで、200V にして、火災警報装置をつけて、スプリンクラーをつけて 200 万... それだけならいいけど納期まで 2 カ月...
  • 2 カ月を乗り切るために風向きと温度を二時間ごとに計測、ビル管理に空調 24 時間稼働依頼。
• エアコンを増設するまでになんと ISMS 外部審査が入り、サーバールームが閉められないことに指摘が入ったが、「リスク許容」としてのりきる（そういうことが可能であったことに逆にびっくり）
• 工事が終わって、2 カ月後に事務所は引っ越しました...

2. @tcsh（波多野）さん データセンタ運用であった本当に怖い話

• 42U 全部にサーバーいれて、ホットスペースに
• サーバーラックの裏側で寝ていたら（あったかいので）データセンター監視員引継ぎ時に X ラックの後ろから足がみえるけどびっくりしないようにと引継ぎ事項が聞こえる。ついに私は「設備扱い」に。
• データセンターの電源容量枯渇、データセンターの配電盤（片系）が溶融
  • 結局、溶融する前に 1000 台規模での LB パズル + シャットダウン大会
• ここからツイート禁止

3. ととろ（ナビプラス片山）さん 今年✕最強〇最凶の話

Huawei Windows Pro 10 法人モデルが壊れて修理に出すが、home edtion で返される → ブチ切れる

• Huawei Windows Pro 10 法人モデルを入手するも、システム障害がでる。home edtion で返される。
• huawei の利用規約をみる。
  • 口座番号、写真をとるとしれっとかいてある。
  • 友人情報もいただくと書いてある
  • デバイスの位置情報も頂く
  • facebook から twitter にログインすると内容を頂く
  • リアルタイム位置情報もいただく
• 米国政府は、名指しで個人情報を抜く端末と指摘し、国民に ZTE と HUAWEI の端末を利用するなと指導した。
  • EU も追随。
• 日本では、言及されていない、なぜか
  • 日本の世の中の 90% の wifi ルーターが huawei です。アンドロイド、モバイル wifi が激売れ

huawei matebook e の実力

• huawei matebook e シリーズ、2017 年 16 万、そのうち ntt-x で 8 万円で売られだす、買ってみる
• カスペルスキーを入れてみて、カメラはアクセスするは、メモリーを書き換えっているっポイは（気がするだけってことです）
• マイクはミュートしても音を拾っている
• GPS は購入時から起動したまま
• カメラを利用され、マイクが常時 ON で GPS が ON だと認識していれば別に使用してもいい
• 2 週間パケット解析をしている、プロトコルと頻度のグラフ
• DNS query をどこのドメインに対して行っているのかと、頻度のグラフ
• マルウエア C2 サーバーとして使用されていたサーバーに接続されている頻度のグラフ、US の接続が多い
• http のタイムラインはほとんど get。post はかなりすくない。
• post 先は
  • マイクロソフトが多いんだけど
  • query.hicloud.com にアクセスしている、シンガポールにあり aws で構成、さあ何をしているのか
  • query.hicloud.com に対しては useragent をなくしている。huawei によると、肝心な通信は暗号化しているからいいでしょというが（一部 json に暗号化している部分有り）... その他ファームウェアとか、os の種類とか、plain text で丸出し。
• traceroute している。オレオレ証明書の通信もあり。とにかく端末には何もしていない状態でそれ。

huawei matebook e と home edtion で返された修理後との比較

• 中国が休みだと余計な通信が発生しない。そこだけ空白になる。
• 受信元、送信元を世界地図に載せる。http の通信が始まる...
• オレオレ証明書、tarcerote のグラフ
• test.txt （仮）というファイルを発見、当然 virus total にかける。
  • でも green、しかし、本当に安全なのか?
  • exe の証明書をみてみると microsoft となっているが、検証ができない。照明書を確認すると有効期間がものすごい短い。
  • マルシャスなソフトウェア? わからない。
• 修理前、修理後
  • 99.1% 通信が減る。カメラや疑わしい処理は激変したが（でもまだある）、マイク、 GPS は相変わらずでした。

まとめ

• 利用規約、通信内容、表層解析の結果を基に利用の可否を判断すること
• 可能であれば huawei 製品とはかかわりを持ちたくない
• それでも huawei 製品をどうしても利用したい場合
  • インストール済の OS 及びデータをバックアップする
  • Micorsoft から OS をダウンロードしてインストールする
  • デバイスドライバは供給元を用いる

huawei 製品の運用

• 監視活動はおろそかにしない
• 決して huawei サイトにアクセスしない
• vhdx フォーマットに格納
• vhdx イメージから OS を起動
• 週に一度 vhdx のバックアップを実施
• 通信状態は常に把握、問題が発生すれば vhdx をフォレンジック
• 現在はあんまり問題は起きていない

編集後記

• ただし、修理の時に顔と名前住所電話番号が提供される
• 身バレ及び発表で、物理的に凹られないかどうかヒヤヒヤする。などなど
• 次は Xiaomi
  • mdm が入っているけど、ユーザーに許可を求めていない。これは完全なバックドアである。ただし https なので透過 proxy を作る必要があり、今解析しているところ。

4. 流しのSE 皆一度は経験する、あり得ない話

1. 元上司: 飲みに行くのかと思ったら、月曜日ネクタイしめてこい
2. 事務所にいかないで、直接会わせたい人がいるから
3. 元上司: 名刺が作られている。元受けの会社名でセキュリティコンサルタント
4. 元上司: この案件の主担当、流しの SE です。ヒアリングをもとに資料を作りましたから、流しの SE から説明します
5. 初めて見る資料をもとに説明、資料は完璧だし、元上司だし手の内はわかっているのでなんと、乗り切れる...
6. そのあとカンズメでした（落ち）
7. この話で一番怖いのは この仕事で一円ももらってないですからー