JP6442449B2 - ルータの脆弱性を除去する方法及びシステム - Google Patents

ルータの脆弱性を除去する方法及びシステム Download PDF

Info

Publication number
JP6442449B2
JP6442449B2 JP2016161495A JP2016161495A JP6442449B2 JP 6442449 B2 JP6442449 B2 JP 6442449B2 JP 2016161495 A JP2016161495 A JP 2016161495A JP 2016161495 A JP2016161495 A JP 2016161495A JP 6442449 B2 JP6442449 B2 JP 6442449B2
Authority
JP
Japan
Prior art keywords
router
network
resource
data network
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016161495A
Other languages
English (en)
Other versions
JP2017175593A (ja
Inventor
イー.ルサコフ ヴャチェスラフ
イー.ルサコフ ヴャチェスラフ
アンナ ヤヌス マータ
アンナ ヤヌス マータ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2017175593A publication Critical patent/JP2017175593A/ja
Application granted granted Critical
Publication of JP6442449B2 publication Critical patent/JP6442449B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/205Parsing
    • G06F40/221Parsing markup language streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

<関連発明の相互参照>
本出願は、35U.S.C.119(a)−(d)に基づく優先権を主張するものであり、2016年3月18日に出願されたロシア出願番号2016109931を基礎出願とするものである。また、先の出願は、参照により本明細書に組み込まれる。
本開示は、一般にコンピュータセキュリティの分野に関し、より具体的には、ルータなどのインターネットにアクセスするデバイスの脆弱性を除去するシステム及び方法に関する。
現在、ますます多くのデバイスがインターネットに接続されている。例えば、ユーザーのコンピュータやスマートフォンをはじめ、テレビや冷蔵庫のような一般的なものまでがインターネットに接続される。新しいタイプのデバイスがインターネットに接続されると、「スマート」と形容される(スマートTVなど)。かかる形容は、主にマーケティング目的で使用される。スマートデバイスがインターネットに接続されると、ユーザーはデバイス自体をアップデートし、(冷蔵庫などの)デバイスの動作状況を監視し、デバイス自体をいわゆる「スマートホーム」のコンセプトに組み込むことができる。このコンセプトは、そのような「スマートな」オブジェクト(デバイス)を単一のポイントから制御することを可能にする。かかる制御は、デバイスの動作状況を確認し、ユーザー自信のニーズに合わせて調整することによって可能になる。「スマートホーム」のコンセプトには、IoT(Internet of Things)として知られる別のコンセプトも含まれる。IoTにより、人間が直接関与することなく、前述のデバイスの相互通信が可能となる。
ユーザーに最初に目につくデバイスの1つはルータであり、ワイヤレスホームネットワークを構築することができる。さらに、今日、他の「スマート」デバイスをインターネットに接続することが可能になった。現在、多くのルータは、いわゆる異種ネットワークの構築をサポートしている。一例として、(「スマート」)デバイスのネットワークを挙げることができ、そのうちのいくつかはワイヤレスWi−Fiネットワークを介してルータに接続され、その他はBluetoothを介してルータに接続される。
当然ながら、ネットワーク通信機能を有するデバイスの数が増加するにつれて、これらのデバイスの悪意の使用の試みが増加してきている。管理者権限を持つルータにアクセスすると、ルータを通過するネットワークトラフィックを確認することができる。「スマートウォッチ」などのデバイスにアクセスすると、このウォッチとペアリングされたデバイスのデータを確認することができる(例:ウォッチとペアリングされたスマートフォンへのアクセスなど)。これらのすべての操作は、データの盗難や改改ざんにつながる可能性がある。
従来のセキュリティシステムの分析では、多くのものが無効であることが示されている。また、場合によっては、ルータの脆弱性を除去する本開示によってその欠点が解決される従来技術を利用することができない。
一態様では、データネットワーク内のデータを誘導するためのルータを含むデータネットワーク上の脆弱性を除去する方法が開示される。例示的な態様によれば、本方法は、要求送信ステップと、アクセスステップと、比較ステップと、決定ステップと、命令送信ステップと、を備え、前記要求送信ステップは、プロセッサにより、前記データネットワークに通信可能に接続された少なくとも1つのデバイスへのアクセスを得るために、前記データネットワークを介して要求を送信し、前記アクセスステップは、前記プロセッサにより、少なくとも1つのデバイスの利用可能なリソースリストを取得するために、前記少なくとも1つのデバイスにアクセスし、前記比較ステップは、前記プロセッサにより、前記少なくとも1つのデバイスの利用可能なリソースのそれぞれと、データベース内のリソースルールと、を比較して、前記利用可能なリソースの1つに関連付けられた少なくとも1つのネットワーク脆弱性を識別し、前記決定ステップは、前記プロセッサにより、少なくとも1つのデバイスの利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを決定し、前記命令送信ステップは、前記少なくとも1つのデバイスに命令を送信して、前記利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを実行する。
他の態様によれば、前記少なくとも1つのデバイスはルータであり、プロセッサにより、webページを取得し且つドキュメントオブジェクトモデルに基づいて前記webページの要素を解析することにより、前記ルータのwebインターフェースにアクセスするアクセスステップと、前記ルータのwebインターフェースを利用して、前記ルータの利用可能なリソースリストを取得する取得ステップと、を備える。
他の態様によれば、前記ルータに命令を送信する命令送信ステップであって、前記ルータのファイルを変更することで前記ルータのファイルの設定を調整することにより、少なくとも1つのネットワーク脆弱性を修復するための命令を前記ルータに送信する命令送信ステップ、を備える。
他の態様によれば、前記ルータに命令を送信する命令送信ステップであって、前記ルータのwebインターフェースを介して調整することにより、少なくとも1つのネットワーク脆弱性を修復するための命令を前記ルータに送信する命令送信ステップ、を備える。
他の態様によれば、前記アクセスステップは、前記少なくとも1つのデバイスへのwebアクセスを取得すること、UPnPプロトコルを介して少なくとも1つのデバイスにアクセスすること、前記データネットワーク内の前記少なくとも1つのデバイスのネットワークアドレスによるファイル転送を介して前記少なくとも1つのデバイスにアクセスすること、遠隔管理プロトコルを介して前記少なくとも1つのデバイスにアクセスすること、セキュアシェルプロトコルを介して前記少なくとも1つのデバイスにアクセスすること、のうちの少なくとも1つを備える。
他の態様によれば、前記要求送信ステップは、前記要求を前記ルータに送信し、前記ルータは、前記ルータを介して前記データネットワークに通信可能に接続された複数のデバイスに要求をリダイレクトする。
他の態様によれば、前記利用可能なリソースリストは、パスワード、遠隔管理、ドメインネームシステム設定、ネットワークポート、Wi−Fi設定及びインストールされたファイアウォールの少なくとも1つを含む。
他の態様によれば、データネットワーク内のデータを誘導するためのルータを含むデータネットワーク上の脆弱性を除去するシステムが開示される。本システムは、少なくとも1つのデータベースであって、ネットワーク脆弱性に関連するリソースルールと、ネットワーク脆弱性を修復するためのアクションと、を格納する少なくとも1つのデータベースと、プロセッサと、を備え、前記プロセッサは、前記データネットワークに通信可能に接続された少なくとも1つのデバイスへのアクセスを得るために、前記データネットワークを介して要求を送信し、少なくとも1つのデバイスの利用可能なリソースリストを取得するために、前記少なくとも1つのデバイスにアクセスし、前記少なくとも1つのデバイスの利用可能なリソースのそれぞれと、前記少なくとも1つのデータベース内のリソースルールと、を比較して、前記利用可能なリソースの1つに関連付けられた少なくとも1つのネットワーク脆弱性を識別し、少なくとも1つのデバイスの利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを決定し、前記少なくとも1つのデバイスに命令を送信して、前記利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを実行する、ように構成される
他の態様によれば、コンピュータ実行可能命令を格納する非一時的なコンピュータ記録媒体が開示される。本記録媒体は、データネットワーク内のデータを誘導するためのルータを含むデータネットワーク上の脆弱性を除去するためのコンピュータ実行可能命令を格納し、前記コンピュータ実行可能命令は、要求送信ステップと、アクセスステップと、比較ステップと、決定ステップと、命令送信ステップと、を指示するための命令を備え、前記要求送信ステップは、前記データネットワークに通信可能に接続された少なくとも1つのデバイスへのアクセスを得るために、前記データネットワークを介して要求を送信し、前記アクセスステップは、少なくとも1つのデバイスの利用可能なリソースリストを取得するために、前記少なくとも1つのデバイスにアクセスし、前記比較ステップは、前記少なくとも1つのデバイスの利用可能なリソースのそれぞれと、データベース内のリソースルールと、を比較して、前記利用可能なリソースの1つに関連付けられた少なくとも1つのネットワーク脆弱性を識別し、前記決定ステップは、少なくとも1つのデバイスの利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを決定し、前記命令送信ステップは、前記少なくとも1つのデバイスに命令を送信して、前記利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを実行する。
上記の例示的な態様の簡略化された要約は、本開示の基本的な理解を提供するように機能する。この要約は、すべての企図された態様の広範な概要ではなく、すべての態様の重要な又は重要な要素を特定することも、本開示の任意の又はすべての態様の範囲を描写することも意図していない。その唯一の目的は、以下の開示におけるより詳細な説明の前置きとして、1つ又は複数の態様を簡略化した形で提示することである。前述の目的を達成するために、本開示の1つ以上の態様は、請求項に記載され、例示的に指摘される特徴を含む。
ルータに対するコンピュータ攻撃の例を示す。 「スマート」デバイスに対するコンピュータ攻撃の例を示す。 例示的な態様による、インターネットにアクセス可能なデバイスの脆弱性を除去するためのシステムのブロック図を示す。 例示的な態様による、インターネットにアクセス可能なデバイスの脆弱性を除去するための「スマート」デバイスを備えたシステムのブロック図を示す。 例示的な態様による、インターネットにアクセス可能なデバイスの脆弱性を除去するための方法のフローチャートを示す。 HTMLページのDOMモデルの例を示す。 開示されたシステム及び方法を実装することができる汎用コンピュータシステムの例を示す添付の図面は、本明細書に組み込まれ、本明細書の一部を構成し、本開示の1つ以上の例示的な態様を示し、詳細な説明とともに、それらの原理及び実施形態を説明する役割を果たす。
例示的な態様は、本明細書において、コンピュータ上で実行されるアプリケーションを制御するためのシステム、方法、及びコンピュータプログラム製品に関連して説明される。当業者であれば、以下の説明は例示的なものに過ぎず、何ら限定をするものではないことを理解するであろう。他の態様は、本開示の利益を有する当業者には容易に示唆されるであろう。以下、添付の図面に例示されている例示的な態様の実装を詳細に説明する。ここで、同一の符号が図面を通して使用される。また、同一の符号は同じ又は同様の要素を意味する。
本明細書で開示される方法及びシステムは、ルータに関連する情報セキュリティの保証を提供する。
一態様によれば、上述の技術的結果は、ルータ内の脆弱性を除去する方法を用いて達成される。本方法は、以下のステップを含む。
・ルータを決定するステップ。
・ルータ設定を取得するステップ。ここで、ルータ設定の取得は、ルータのwebインターフェース、設定ファイル、又はUPnPプロトコルのうちの1つを使用して実行される。
・取得した脆弱性の設定を分析するステップ。ここで、かかる分析は、取得された設定と既知の脆弱性の設定との比較を含む。
・脆弱性を除去するために決定されたアクションを策定するステップ。ここで、かかるアクセスは、ルータのwebインターフェース又は設定ファイルの変更を含む。
・策定されたアクションをルータ上で実行し、脆弱性を除去するステップ。
本開示において、「スマート」という用語は、時計、ライト、カメラ、ディクタフォン、リストバンド、心拍モニタなどの日常的なアイテムに加え、Wi−Fi又はBluetooth等の種々の接続を介してインターネット(又はローカルエリアネットワーク)にアクセス可能なアイテムを説明するために用いる。これらのデバイスは、ネットワーク接続を形成し、トラフィックを受信又は処理する。また、インタラクションのための個別のインターフェース(API又はApplicationProgrammableInterface)を備える。かかるインターフェースにより、デバイスのパラメータを監視するだけでなく、パラメータを設定することが可能になる。
図1は、ルータに対するコンピュータ攻撃の例を示す。ルータ100は、(例えば、イーサネット又はWi−Fiを介して)コンピュータ110及びインターネット130の両方に接続されている。ルータは、以下のアクセスバリアントを有する。
・webアクセス。原則として、これはhttp://192.168.0.1のページに相当する。かかるページでは、管理者のログインとパスワードを入力すると、ユーザーはルータの設定にアクセスできる。
・設定/変数ファイルへのアクセス。ルータは独自のファイルシステムを持ち、設定ファイルに設定を保存する。これにより、ユーザーがこれらのファイルにアクセスする方法を知っている場合に、ファイルを変更することができる。
・さまざまなユーティリティの利用によるアクセス。たとえば、MicrosoftSDKの一部であるfdbrowserユーティリティを使用すると、UPnP(UniversalPlug−and−Play)プロトコルを利用してルータ設定にアクセスし、これを変更することができる。
当然ながら、ルータのように、ローカルエリアネットワークの重要な要素へのアクセスバリアントの配列は、ハッカーに興味を抱かせる。例えば、多くのユーザーは管理者のデフォルトパスワードを変更しないため、ルータへのWebアクセスは脆弱である。ハッカーは、独自の目的でルータを使用するためのさまざまな手法を有する。
・トラフィックの傍受。例えば、MitM(中間者)攻撃を実行するトランザクションの傍受。
・ルータとその設定を後から制御するためのバックドアのインストール。ルータをプロキシサーバーとして使用することも、DDoS攻撃に巻き込むこともできる。
・DNSハイジャック。
そのようなアクションは、コンピュータ110上又はインターネット130上の悪意のあるプログラム120の助けを借りて、又はハッカー140からのコンピュータ攻撃の助けを借りて実現することができる。原則として、このような攻撃には、ルータ100自体の探索、そのバージョン及び特定のバージョンの既知の脆弱性の判定、及び悪意のある攻撃が含まれる。
図2は、「スマート」デバイスに対するコンピュータ攻撃の例を示す。図1と比較して、図2では、「スマート」デバイスは、デバイス151−153の形態で示されている。攻撃ベクトルは、上記と同様に、コンピュータ110上又はインターネット130上の悪意のあるプログラム120の助けを借りて、又はハッカー140からのコンピュータ攻撃の助けを借りて実現することができる。このような攻撃には、デバイス151−153自体の探索、そのバージョン及び特定のバージョンの既知の脆弱性の判定、及び悪意のある攻撃が含まれる。
本明細書で説明するように、「スマート」デバイスは、ルータ100に直接接続するのではなく、他のデバイスを介して接続される。例えば、スマートフォンを介して「スマート」ウォッチが接続される。かかる接続の例として、スマートフォン「SamsungGalaxy」と「スマート」ウォッチ「SamsungGear」のリンクが挙げられる。WearableMessageAPIのようなAPIインターフェースは、デバイス間のリンクに使用することができる。
ここで、ハッカーが「スマート」デバイスに対してコンピュータ攻撃を成功させた場合に起こり得る問題があることを理解されたい。2015年12月に発表されたインターネット出版物である「TheWired」の結論によれば、これらの問題の部分的なリストが提示される。
・「JeepCherokee」自動車の多数のアセンブリの制御を可能にする。かかる制御には、スピードの制御さえも含まれる。
・診療所における特定の医療機器の制御。かかる制御には、例えば、自動的に患者に薬を投与することが含まれる。
・Wi−Fiをサポートしている最新バージョンのバービー人形のなどのおもちゃでも、コンピュータ攻撃に対して脆弱である。
「スマート」デバイスのメーカーは、既知の脆弱性を除去しようとしているが、多くの場合、セキュリティはこれらのデバイスの開発において優先事項には挙げられていない。したがって、ルータと「スマート」デバイスの脆弱性をその設定によって解決できる解決策が必要である。
図3は、例示的な態様によるシステムのブロック図を示す。ルータ100の脆弱性を検出して訂正するためのシステム300は、クローラ330、脆弱性検索モジュール340、脆弱性データベース360、設定ツール350、及び設定データベース370などのモジュールを含む。
脆弱性を検出して訂正するためのシステムの例示的な態様によれば、ルータ100に接続されたコンピュータ上にアプリケーションの形態でインストールされた前述のモジュールを含む。
クローラ又は検索ロボット330は、既知のネットワークプロトコル(UDPなど)を利用して、ネットワーク内のアクセス可能なオブジェクト(ネットワークに接続されたコンピュータ、ルータ、スマートフォン及び他のデバイスなど)を検索するように設計されている。図3の説明の文脈において、ネットワーク内のオブジェクトはルータ100であると仮定する。クローラ330の動作のための好ましい態様は、ネットワークを介してブロードキャストリクエストを送信し、ネットワーク内のすべてのアクセス可能なオブジェクトからの応答を取得し、これをさらに分析することを含む。クローラの例として、Google又はYandexの検索ロボットを挙げることができる。
クローラ330によるネットワーク内のオブジェクトの分析には、フォローアルゴリズムが含まれる。具体的には、クローラ330は、ブロードキャストリクエスト後にネットワーク内のすべてのアクセス可能なオブジェクトのリストを取得した後、ある方法又は別の方法でオブジェクトへのアクセスを試みる。例示的な態様によれば、そのようなアクセスの例は、以下の通りである。
・Webアクセス。原則として、オブジェクトが192.168.0.1などのアドレスを返す場合、これはオブジェクトがルータであり、HTTPプロトコルを介してアクセスできることを意味する。
・UPnPプロトコルによるアクセス。
・ネットワーク内のオブジェクトのネットワークアドレスによるFTPプロトコルを利用したアクセス。
・遠隔管理プロトコル(RDP)を介したアクセス。
・SSHプロトコルによるアクセス。
ネットワーク内のオブジェクトへのアクセスには、承認が必要な場合がある。クローラが一般的なログイン/パスワードグループ(例:admin/admin、admin/1q2w3e、guest/guest又はその他)を使用して承認を行う場合又はオンライン自動認証技術(例:アクティブディレクトリ)を利用する場合、かかる承認は手動及び自動の両方で行うことができる。
例えば、UPnPを介したアクセスの場合、ルータ100を特徴付ける以下のデータフィールドを得ることができる。
・PKEY_PNPX_DeviceCategory
・PKEY_PNPX_Types
・PKEY_DeviceDisplay_FriendlyName
・PKEY_DeviceDisplay_Manufacturer
・PKEY_DeviceDisplay_ModelName
・PKEY_DeviceDisplay_ModelNumber
・PKEY_PNPX_PresentationUrl
・PKEY_PNPX_IpAddress
・PKEY_PNPX_XAddrs
・PKEY_Device_LocationInfo
以下は、クローラ330がルータ100のウェブインタフェースにどのようにアクセスするかについての例示的な態様による例である。クローラ330は、開始webページ(一般にアドレスhttp://192.168.0.1でアクセス可能)を取得し、DOMモデルに従ってその要素を解析し始める。DOM(ドキュメントオブジェクトモデル)は、XML/HTMLドキュメントに使用されるオブジェクトモデルである。簡単に言えば、DOMモデルは、タグツリーの形式でドキュメントを表現したものである。このツリーは、タグ及びページのテキスト断片の埋め込み構造によって構成され、それぞれが別々のノードを形成する。
図6は、HTMLページのDOMモデルの例を示す。ルートノードはタグHTMLであり、タグノードが埋め込まれたタグHEADとタグBODYを備える。DOMモデルのツリーを移動することで、必要なタグをすべて見つけ出し、そのパラメータ(タグTITLEのテキストなど)を決定することができる。
クローラ330のタスクは、ルータ100から取得されたwebページのDOMモデル内のすべての必要なタグを検索することである。必要なタグとしては、例えば、「A」、「FORM」、「INPUT」又は必要な情報を含むことができる他のタグが挙げられる。例えば、ルータ100から得られるwebページのDOMモデルの構造における重要なタグは、<ahref="...">Administration</a>である。これは、ルータの設定とそのアクセス権を持つページへのリンクである。
タグ<a>の本体に含まれるリンクに続いて、クローラ330は別のページに移動する。そして、かかるページにおいて、クローラ330は、WebページのDOMモデル内の必要なタグを全て再検索する。すべてのリンクをたどることによってすべてのページを移動することは、再帰的に行うことができる。また、重要な設定を示すタイトルが含まれる必要なリンクのみを追跡することにより行うこともできる。このようなリンクのタイトルとしては、「セットアップ」、「ワイヤレス」、「管理者」、「アクセス制限」、「管理」、「ネットワーク」、「セキュリティ」などが挙げられる。
クローラ330は、ネットワーク内のオブジェクトにアクセスすると、ルータ100内の利用可能なリソースのリストを取得する。リソースにより、アクセス及び/又は調整可能なルータのパラメータ及び/又は属性が定義される。たとえば、FTPによるアクセスの場合、これはファイルパスのグループになる。HTTPプロトコルによるアクセスの場合、これはwebページ(又は複数のwebページ)であってもよい。クローラ330はまた、オープンポート(例:8080)を決定する。クローラ330は、取得された利用可能なリソースリストを、脆弱性検索モジュール340に送信する。
脆弱性検索モジュール340は、利用可能なリソースリストを取得し、脆弱性データベース360を利用して、所定のリソースに関連する脆弱性の判定を試みる。例示的な態様によれば、前述のデータベースに格納される脆弱性を決定するための規則の例は、以下の通りである。
・規則1
アクセス可能なリソース(リソースのタイプ):ネットワークポート
リソース(ポート)のステータス:8080、オープン
・規則2
アクセス可能なリソース(リソースのタイプ):遠隔管理
リソースのステータス:アクセス可能
・規則3
アクセス可能なリソース(リソースのタイプ):SSHによるアクセス
リソースのステータス:管理者権限で許可されたアクセス
以下のリストは、1つの例示的な態様による主要なタイプのリソースの例である。
・パスワード
・遠隔管理
・DNS設定
・ネットワークポート
・Wi−Fi設定
・各種プロトコル(SSH、Telnet、FTP、HTTP(S))によるアクセス
・ファイアウォール
・IPTV等のサービス
脆弱性検索モジュール340は、利用可能なリソースリストに含まれるリソースと、脆弱性データベース360に格納されたルールと、を比較して、リソースのタイプ及びステータス間の一致を調べる。一致していた場合、脆弱性検索モジュール340は、同様の脆弱性質を有すると判明したリソースを決定する。そして、同様の脆弱性を有すると判明したリソースに関する情報及びステータスを、設定ツール350に送信する。
設定ツール350は、設定データベース370を利用して、脆弱性検索モジュール340から得られた脆弱なリソース内の脆弱性を除去する。
設定データベース370には、脆弱性データベース360に保持されているルールと類似のルールが含まれる。例示的な態様によれば、以下はそのようなルールの例である。
・規則A
アクセス可能なリソース(リソースのタイプ):遠隔管理
リソースのステータス:アクセス可能
解決策:webインターフェース又はルータ100の他の設定バリアントを介した想定し得る遠隔管理の除去
・規則B
アクセス可能なリソース(リソースのタイプ):SSHによるアクセス
リソースのステータス:管理者権限で許可されたアクセス
解決方法:webインターフェース又はルータ100の他の設定バリアントを介したSSHによるアクセスの遮断
・規則C
アクセス可能なリソース(リソースのタイプ):管理者パスワード
リソースのステータス:ブルートフォースに抵抗不能
解決策:より強力なパスワードを選択(新しいパスワードの自動生成)
したがって、特定の例では、脆弱性データベース360における規則2と、設定データベース370における規則Aと、が一致する。また、脆弱性データベース360における規則3と、設定データベース370における規則Bと、が一致する。さらに調整するには、解決策に示されたアクションを実行する必要がある。かかるアクションは、クローラ330を用いて実行されてもよい。
この解決策は、次のいずれかのようになる。
・ファイル自体を変更してルータ100の設定ファイルを調整する(たとえば、SSHアクセス回線は「SSHconnection=true」のように表現され、その置換は、「SSHconnection=false」となる)。
・ルータ100のwebインターフェースによる調整。かかる調整は、webページの要素を通過するクローラ330の動きと全く同じように見えるが、この場合を除いて、<option>、<button>、<input>などの制御要素を検索する。
例えば、SSHによるアクセスを禁止した場合、以下の要素が検索される。
<selectname="ssh_connect">
<option value="true">Enabled</option>
<option value="false">Disabled</option>
</select>
その後、値が「false」の要素が選択される。
ルータ100の調整のさらに別の例として、そのファームウェアを更新することがある。この場合、解決策として、設定データベース370は、ルータ100のファームウェアのバージョンを格納する。そして、クローラ330及び後続の実行命令により、ファームウェアファイルをルータ100に書き込む(例えば、ルータ100のwebインターフェースを用いてもよい)。
図4は、例示的な態様による、「スマート」デバイスを備えたシステムのブロック図を示す。図示されるように、図4は、デバイス151−153(「スマート」デバイス)が追加された点以外は、図3と概ね同じである。ここで、「スマートデバイス」とは、時計、ライト、カメラ、ディクタフォン、リストバンド、心拍モニタなどの日常的なアイテムのようなデバイスに加え、Wi−Fi又はBluetooth等の種々の接続を介してインターネット(又はローカルエリアネットワーク)にアクセス可能なデバイスであってもよい。本実施形態では、「スマートデバイス」はルータ100に接続される。デバイス151がルータ100のWi−Fiネットワークに直接接続されている間、デバイス153はデバイス152を介してルータ100に接続される。かかる接続の例として、スマートフォン「SamsungGalaxy(デバイス152)」とスマートウォッチ「SamsungGear(デバイス153)」のリンクが挙げられる。かかるリンクは、「SamsungGalaxy(デバイス152)」にインストールされた他のアプリケーションを用いて実行することができる。
クローラ330は、既知のネットワークプロトコル(UDPなど)を利用して、ネットワーク内の利用可能なオブジェクト(デバイス151−153など)をソートするように設計されている。図4の説明の文脈において、ネットワーク内のオブジェクトはデバイス151−153のうちのいずれかであると仮定する。クローラ330の動作のための好ましい態様は、ネットワークを介してブロードキャストリクエストを送信し、ネットワーク内のすべての利用可能なオブジェクトからの応答を取得し、これをさらに分析することを含む。ブロードキャストリクエストを送信するためには、ルータ100を含むネットワークにクローラ330を登録する必要がある。したがって、第1のステップとして、(無線Wi−Fiネットワークへのアクセスを許可するデバイスとして)のルータ100を検出し、このネットワークに接続し、ブロードキャストリクエストのみを送信する。
クローラ330を用いたネットワーク内のオブジェクトの分析は、以下の通りである。すなわち、クローラ330は、ブロードキャストリクエスト後にネットワーク内のすべての利用可能なオブジェクトのリストを取得した後、ある方法又は別の方法でオブジェクトへのアクセスを試みる。例示的な態様によれば、そのようなアクセスの例は、以下の通りである。
・Webアクセス。
・UPnPプロトコルによるアクセス。
・ネットワーク内のオブジェクトのネットワークアドレスによるFTPプロトコルを利用したアクセス。
・遠隔管理プロトコル(RDP)を介したアクセス。
ネットワーク内のオブジェクトへのアクセスには、承認が必要な場合がある。クローラが一般的なログイン/パスワードグループ(例:admin/admin、admin/1q2w3e、guest/guest又はその他)を使用して承認を行う場合又はオンライン自動認証技術(例:アクティブディレクトリ)を利用する場合、かかる承認は手動及び自動の両方で行うことができる。
クローラ330は、ネットワーク内のオブジェクトにアクセスすると、デバイス151−153のうちのいずれかに存在する利用可能なリソースのリストを取得する。たとえば、FTPによるアクセスの場合、これはファイルパスのグループになる。HTTPプロトコルによるアクセスの場合、これはwebページ(又は複数のwebページ)であってもよい。クローラ330はまた、オープンポート(例:8080)を決定する。クローラ330は、取得された利用可能なリソースリストを、脆弱性検索モジュール340に送信する。
脆弱性検索モジュール340は、利用可能なリソースリストを取得し、脆弱性データベース360を利用して、所定のリソースに関連する脆弱性の判定を試みる。脆弱性検索モジュール340は、利用可能なリソースリストから各リソースを取得する。そして、かかるリソースと、脆弱性データベース360に格納されたルールと、を比較して、リソースのタイプ及びステータス間の一致を調べる。一致していた場合、脆弱性検索モジュール340は、同様の脆弱性質を有すると判明したリソースを決定する。そして、同様の「脆弱性」を有すると判明したリソースに関する情報及びステータスを、設定ツール350に送信する。
設定ツール350は、設定データベース370を利用して、脆弱性検索モジュール340から得られた脆弱なリソース内の脆弱性を修復する。設定データベース370には、脆弱性データベース360に保持されているルールと類似のルールが含まれる。さらに調整するには、解決策に示されたアクションを実行する必要がある。かかるアクションは、クローラ330を用いて実行されてもよい。
図5は、例示的な態様による方法のフローチャートを示す。図5に示されるように、ステップ510では、アクセス可能なデバイスの決定がなされる。かかる決定は、例えば、図3及び図4に詳細が示されるクローラ330を用いて実行することができる。上述の通り、本実施形態では、ルータ100とデバイス151−153の双方にアクセスすることができる。後者の場合、まず、指定されたデバイスにアクセス可能なネットワークへのアクセスがリクエストされる。次に、ステップ520において、デバイス(ルータ100及びデバイス151−153)の設定の決定がなされる。ここで、上述のごとく、かかる決定は、クローラ330を用いて実行することができる。次に、ステップ530において、脆弱性検索モジュール340により、取得した脆弱性の設定を分析する。次に、ステップ540において、設定ツール350は、発見された脆弱性を除去するためのアクションのリストを作成する。最後に、ステップ550において、クローラ330は、デバイス上の明確化されたリストに基づいてアクションを実行する。
図7は、実施形態に係り、本開示のシステムと方法が実装できる汎用コンピュータシステム(パーソナルコンピュータやサーバ等)の例を示している。コンピュータシステム20は、CPU21と、システムメモリ22と、CPU21と関連付けられたメモリを含む様々なシステムコンポーネントを接続するシステムバス23とを含み得る。システムバス23は、バスメモリ又は、バスメモリコントローラ、周辺バス、及びローカルバスを次々含む従来より公知のあらゆるバス構造としても実現され得、これらはどのような他のバスアーキテクチャとも通信可能である。システムメモリは、リードオンリーメモリ(ROM)24及びランダムアクセスメモリ(RAM)25を含む。基本的な入出力システム(BIOS)26は、ROM24の使用によってオペレーティングシステムをロードする際等、パーソナルコンピュータ20の要素間の情報の伝達を担う基本的な手順を含む。
パーソナルコンピュータ20は、データの読み書きのためのハードディスク27、取り外し可能な磁気ディスク29の読み書きのための磁気ディスクドライブ28、及びCD−ROM、DVD−ROM、その他の光学メディア等の光学ディスク31の読み書きのための光学式ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、及び光学式のドライブ30は、ハードディスクインターフェース32、磁気ディスクインターフェース33、及び光学式のドライブインターフェース34それぞれを横切るシステムバス23と接続される。ドライブ及び対応するコンピュータ情報メディアは、コンピュータ命令、データ構造体、プログラムモジュール、及びパーソナルコンピュータ20の他のデータのストレージのための電源依存のモジュールである。
本開示は、ハードディスク27、取り外し可能な磁気ディスク29及び取り外し可能な光ディスク31を用いるシステムの実装を提供するものだが、コンピュータに読み込み可能な形式でデータを保存できるフラッシュメモリカード、デジタルのディスク、ランダムアクセスのメモリ(RAM)等の他のタイプのコンピュータ情報メディア56を使用してもよいことに留意されたし。また、これはコントローラ55を介してシステムバス23に接続される。
コンピュータ20は、ファイルシステム36を有し、記録されたオペレーティングシステム35を保持する。また追加のプログラムアプリケーション37、他のプログラムモジュール38、及びプログラムデータ39を有する。ユーザーは、入力デバイス(キーボード40、マウス42)を用いてコマンドと情報をパーソナルコンピュータ20に入力することができる。他の入力デバイス(不図示):マイクロフォン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることもできる。そのような入力デバイスは、通常、システムバスに次々接続しているシリアルポート46を通じてコンピュータシステム20に差し込まれるが、それらは、他の方法例えばパラレル・ポート、ゲームポート、又は一般的なシリアルバス(USB)に接続される。ディスプレイ機器のモニタ47又は他のタイプは、また、ビデオアダプタ48等のインターフェースと交差するシステムバス23に接続している。モニタ47に加えて、パーソナルコンピュータは、スピーカー、プリンタ等の他の周辺の出力デバイス(不図示)を接続できる。
パーソナルコンピュータ20は、1つ又は複数のリモートコンピュータ49とのネットワーク接続を用いて、ネットワーク環境で操作することができる。リモートコンピュータ(又はコンピュータ)49は、図7に示すように、パーソナルコンピュータ20の性質として説明した上述の要素全ての大多数を有するパーソナルコンピュータ又はサーバでもある。ルータ、ネットワークステーション、ピア接続の機器、又は他のネットワークノード等の他の機器もまた、かかるコンピュータ・ネットワークで存在し得るものである。
ネットワーク接続は、ローカルエリアコンピュータ・ネットワーク(LAN)50及びワイドエリアコンピュータネットワーク(WAN)を形成することができる。そのようなネットワークは、企業のコンピュータ・ネットワーク及び社内ネットワークで利用され、それらはたいていにインターネットにアクセスすることができる。LAN又はWANネットワークにおいて、パソコン20は、ネットワークアダプタ又はネットワークインターフェース51に交差するローカルエリアネットワーク50に接続されている。ネットワークが用いられる時には、パソコン20は、通信にインターネット等のワイドエリアコンピュータネットワークを実現するために、モデム54又は他のモジュールを使用することができる。内部又は外部の機器であるモデム54は、シリアルポート46によりシステムバス23と接続される。かかるネットワーク接続は、単なる一例であり、ネットワークの正確な構成を示すものではない。すなわち、技術の通信モジュールによって、あるコンピュータから他のコンピュータへの接続を確立する他の方法(Bluetooth接続等)もあることに留意されたい。
様々な実施形態において、ハードウェア、ソフトウェア、ファームウェア、又はこれらのあらゆる組み合わせにおいて、ここで説明されたシステム及びメソッドを実施し得る。ソフトウェアにおいて実装される場合は、メソッドは不揮発性コンピュータ可読メディアの1つ又は複数の指示又はコードとして保存され得る。コンピュータ可読メディアは、データストレージを含む。あくまでも例であり限定するものではないが、そのようなコンピュータ可読メディアは、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、若しくは他のタイプの電気、磁気、光学式の記憶媒体、又はその他のメディアであってもよい。すなわち、これらによって指示又はデータ構造体という形で、要求されたプログラムコードを運ぶか又は保存することができ、汎用コンピュータのプロセッサによってアクセスすることができる。
様々な実施形態で、本開示のシステム及びメソッドが、モジュールとして実装され得る。ここで、用語「モジュール」は、実世界の機器、コンポーネント、又はハードウェアを用いて実装されたコンポーネント配置であり、例えばASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)等の、又は例えばモジュールの機能を実行するマイクロプロセッサシステムや指示セットによる等、ハードウェアとソフトウェアの組み合わせとして実装され得る。これらは、実行中にマイクロプロセッサシステムを特定の機器に変換する。モジュールは、ハードウェア単体により促進される一定の機能とハードウェア及びソフトウェアの組み合わせによって促進される他の機能という2つの組み合わせとして実施されてもよい。モジュールの少なくとも一部又は全部は、汎用コンピュータのプロセッサにおいて実行できる(図7において詳述したもの等)。したがって、各モジュールは様々な適当な構成で実現することができて、ここに例示した特定の実装に限られるものではない。
なお、実施形態の通常の機能のうちの全てをここで開示しているわけではない。本開示の何れの実施形態を開発する場合においてでも、開発者の具体的な目標を達成するためには多くの実施に係る特別な決定が必要であり、これらの具体的な目標は実施形態及び開発者ごとに異なることに留意されたし。そのような開発努力は、複雑で時間を要するものであるが、本開示の利益を享受し得る当業者にとってはエンジニアリングの日常であると理解されたい。
更に、本明細書で使用される用語又は表現は、あくまでも説明のためであり、限定するものではない。つまり、関連技術の熟練の知識と組み合わせて、本明細書の用語又は表現は、ここに示される教示及び指針に照らして当業者によって解釈されるべきであると留意されたし。明示的な記載がない限り、明細書又は特許請求の範囲内における任意の用語に対して、珍しい又は特別な意味を帰することは意図されていない。
本明細書で開示された様々な態様は、例示のために本明細書に言及した既知のモジュールの、現在及び将来の既知の均等物を包含する。更に、態様及び用途を示し、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることが、この開示の利益を有する当業者には明らかであろう。

Claims (21)

  1. データネットワーク内のデータを誘導するためのルータを含むデータネットワーク上の脆弱性を除去する方法であって、
    要求送信ステップと、アクセスステップと、取得ステップと、比較ステップと、決定ステップと、命令送信ステップと、を備え、
    前記要求送信ステップは、プロセッサにより、前記データネットワークに通信可能に接続された少なくとも1つのデバイスへのアクセスを得るために、前記データネットワークを介して要求を送信し、
    前記アクセスステップは、前記プロセッサにより、前記データネットワークに通信可能に接続された少なくとも1つのデバイスのwebインターフェースにアクセスし、且つ、前記webインターフェースは、少なくとも1つのデバイスのパラメータ及び属性を含む少なくとも1つのwebページを含み、
    前記取得ステップは、前記webインターフェースにより、少なくとも1つのデバイスの利用可能なリソースのリストを取得し、前記デバイスは、プロセッサによりリモートアクセス又はリモートで調整可能に構成され、且つ、前記利用可能なリソースのリストは、少なくとも1つのデバイスのパラメータ又は属性の一方又は両方を含み、
    前記比較ステップは、前記プロセッサにより、前記少なくとも1つのデバイスの利用可能なリソースのそれぞれと、データベース内のリソースルールと、を比較して、少なくとも1つのデバイスの少なくとも1つのネットワーク脆弱性を識別し、且つ、前記デバイスは、リソースを特定することによりプロセッサによって悪用され得るものであり、前記リソースの特定は、前記データベース内の前記リソースと同様の脆弱性を用いて実行され、
    前記決定ステップは、前記プロセッサにより、少なくとも1つのデバイスの利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを決定し、前記決定は、前記利用可能なリソースのそれぞれを前記データベース内の前記リソースルールと比較し、前記データベース内で同様の脆弱な状態のリソースを特定することにより実行され、
    前記命令送信ステップは、前記少なくとも1つのデバイスに命令を送信して、前記利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを実行し、前記実行は、前記デバイスのwebインターフェースを介して前記デバイスを調整することによって実現する、
    方法。
  2. 前記少なくとも1つのデバイスはルータであり、
    アクセスステップ及び抽出ステップを備え、
    前記アクセスステップでは、プロセッサにより、少なくとも1つのwebページを取得し且つドキュメントオブジェクトモデルに基づいて前記webページのHyperText Markup Language(HTML)要素を解析することにより、前記ルータのwebインターフェースにアクセスし、
    前記webページは、ルータ設定及びアクセス権を含み、
    前記抽出ステップでは、前記ルータ設定及び前記アクセス権を含む前記HTML要素からテキストを抽出して、前記ルータの前記利用可能なリソースのリストを取得する、
    を備える請求項1に記載の方法。
  3. 少なくとも1つのネットワーク脆弱性を修復するための命令を前記ルータに送信するステップと、
    前記ルータ設定を含む前記ルータに格納された定ファイルにアクセスするステップと、
    前記設定ファイル自体を変更することにより、前記ルータの前記ルータ設定の少なくとも1つの値を調整するステップと、
    を備える請求項2に記載の方法。
  4. 前記命令送信ステップは、選択ステップを備え、
    前記選択ステップは、
    前記ドキュメントオブジェクトモデルを使用して前記webページを修正し、HTML制御要素を選択し、前記HTML制御要素は、前記ルータの少なくとも1つのパラメータ又は属性に対応する、
    を備える請求項2に記載の方法。
  5. 前記プロセッサにより、前記データネットワークに通信可能に接続された第2デバイスにアクセスする第2アクセスステップを備え、
    前記第2アクセスステップは、
    UPnPプロトコルを介して前記第2デバイスにアクセスすること、
    前記データネットワーク内の前記第2デバイスのネットワークアドレスによるファイル転送を介して前記第2デバイスにアクセスすること、
    遠隔管理プロトコルを介して前記第2デバイスにアクセスすること、
    セキュアシェルプロトコルを介して前記第2デバイスにアクセスすること、
    のうちの少なくとも1つを備える、
    請求項1に記載の方法。
  6. 前記要求送信ステップは、
    前記要求を前記ルータに送信し、
    前記ルータは、前記ルータを介して前記データネットワークに通信可能に接続された複数のデバイスに要求をリダイレクトする、
    請求項1に記載の方法。
  7. 前記利用可能なリソースリストは、パスワード、遠隔管理、ドメインネームシステム設定、ネットワークポート、Wi−Fi設定及びインストールされたファイアウォールの少なくとも1つを含む、
    請求項1に記載の方法
  8. データネットワーク内のデータを誘導するためのルータを含むデータネットワーク上の脆弱性を除去するシステムであって、
    少なくとも1つのデータベースであって、ネットワーク脆弱性に関連するリソースルールと、ネットワーク脆弱性を修復するためのアクションと、を格納する少なくとも1つのデータベースと、
    プロセッサと、
    を備え、
    前記プロセッサは、
    前記データネットワークに通信可能に接続された少なくとも1つのデバイスへのアクセスを得るために、前記データネットワークを介してブロードキャストリクエストを送信し、
    前記データネットワークに通信可能に接続された少なくとも1つのデバイスのwebインターフェースにアクセスし、且つ、前記webインターフェースは、少なくとも1つのデバイスのパラメータ及び属性を含む少なくとも1つのwebページを含み、
    前記少なくとも1つのデバイスの利用可能なリソースのそれぞれと、前記少なくとも1つのデータベース内のリソースルールと、を比較して、少なくとも1つのデバイスの少なくとも1つのネットワーク脆弱性を識別し、且つ、前記デバイスは、リソースを特定することによりプロセッサによって悪用され得るものであり、前記リソースの特定は、前記データベース内の前記リソースと同様の脆弱性を用いて実行され、
    少なくとも1つのデバイスの利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを決定し、前記決定は、前記利用可能なリソースのそれぞれを前記データベース内の前記リソースルールと比較し、前記データベース内で同様の脆弱な状態のリソースを特定することにより実行され、
    前記少なくとも1つのデバイスに命令を送信して、前記利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを実行し、前記実行は、前記デバイスのwebインターフェースを介して前記デバイスを調整することによって実現する、
    ように構成される、システム。
  9. 前記少なくとも1つのデバイスはルータであり、
    前記プロセッサは、
    少なくとも1つのwebページを取得し且つドキュメントオブジェクトモデルに基づいて前記webページのHyperText Markup Language(HTML)要素を解析することにより、前記ルータのwebインターフェースにアクセスし、
    前記webページは、ルータ設定及びアクセス権を含み、
    前記プロセッサは、前記ルータ設定及び前記アクセス権を含む前記HTML要素からテキストを抽出して、前記ルータの前記利用可能なリソースのリストを取得する抽出する、
    ように構成される、請求項8に記載のシステム。
  10. 前記プロセッサは、
    少なくとも1つのネットワーク脆弱性を修復するための命令を前記ルータに送信し、
    前記ルータ設定を含む前記ルータに格納された定ファイルにアクセスし、
    前記設定ファイル自体を変更することにより、前記ルータの前記ルータ設定の少なくとも1つの値を調整する、ように構成される、
    請求項9に記載のシステム。
  11. 前記プロセッサは、
    前記ドキュメントオブジェクトモデルを使用して前記webページを修正し、HTML制御要素を選択し、前記HTML制御要素は、前記ルータの少なくとも1つのパラメータ又は属性に対応する、
    ように構成される、
    請求項9に記載のシステム。
  12. 前記プロセッサは、前記データネットワークに通信可能に接続された第2デバイスにアクセスする
    ために、
    UPnPプロトコルを介して前記第2デバイスにアクセスすること、
    前記データネットワーク内の前記第2デバイスのネットワークアドレスによるファイル転送を介して前記第2デバイスにアクセスすること、
    遠隔管理プロトコルを介して前記第2デバイスにアクセスすること、
    セキュアシェルプロトコルを介して前記第2デバイスにアクセスすること、
    のうちの少なくとも1つを実行するように構成される、
    請求項8に記載のシステム。
  13. 前記プロセッサは、前記データネットワークを介して前記ブロードキャストリクエストを送信するために、
    前記ブロードキャストリクエストを前記ルータに送信するように構成され、
    前記ルータは、前記ルータを介して前記データネットワークに通信可能に接続された複数のデバイスに前記ブロードキャストリクエストをリダイレクトする、
    請求項8に記載のシステム。
  14. 前記利用可能なリソースリストは、パスワード、遠隔管理、ドメインネームシステム設定、ネットワークポート、Wi−Fi設定及びインストールされたファイアウォールの少なくとも1つを含む、
    請求項8に記載のシステム。
  15. コンピュータ実行可能命令を格納する非一時的なコンピュータ記録媒体であって、データネットワーク内のデータを誘導するためのルータを含むデータネットワーク上の脆弱性を除去するためのコンピュータ実行可能命令を格納し、
    前記コンピュータ実行可能命令は、要求送信ステップと、アクセスステップと、取得ステップと、比較ステップと、決定ステップと、命令送信ステップと、を指示するための命令を備え、
    前記要求送信ステップは、前記データネットワークに通信可能に接続された少なくとも1つのデバイスへのアクセスを得るために、前記データネットワークを介して要求を送信し、
    前記アクセスステップは、前記データネットワークに通信可能に接続された少なくとも1つのデバイスのwebインターフェースにアクセスし、且つ、前記webインターフェースは、少なくとも1つのデバイスのパラメータ及び属性を含む少なくとも1つのwebページを含み、
    前記取得ステップは、前記webインターフェースにより、少なくとも1つのデバイスの利用可能なリソースのリストを取得し、前記デバイスは、プロセッサによりリモートアクセス又はリモートで調整可能に構成され、且つ、前記利用可能なリソースのリストは、少なくとも1つのデバイスのパラメータ又は属性の一方又は両方を含み、
    前記比較ステップは、前記少なくとも1つのデバイスの利用可能なリソースのそれぞれと、データベース内のリソースルールと、を比較して、少なくとも1つのデバイスの少なくとも1つのネットワーク脆弱性を識別し、且つ、前記デバイスは、リソースを特定することによりプロセッサによって悪用され得るものであり、前記リソースの特定は、前記データベース内の前記リソースと同様の脆弱性を用いて実行され、
    前記決定ステップは、少なくとも1つのデバイスの利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを決定し、前記決定は、前記利用可能なリソースのそれぞれを前記データベース内の前記リソースルールと比較し、前記データベース内で同様の脆弱な状態のリソースを特定することにより実行され、
    前記命令送信ステップは、前記少なくとも1つのデバイスに命令を送信して、前記利用可能なリソースの1つと関連する少なくとも1つのネットワーク脆弱性を修復するためのアクションを実行し、前記実行は、前記デバイスのwebインターフェースを介して前記デバイスを調整することによって実現する、
    非一時的なコンピュータ記録媒体。
  16. 前記少なくとも1つのデバイスはルータであり、
    前記コンピュータ実行可能命令は、アクセスステップと、抽出ステップと、を指示するための命令を備え、
    前記アクセスステップでは、少なくとも1つのwebページを取得し且つドキュメントオブジェクトモデルに基づいて前記webページのHyperText Markup Language(HTML)要素を解析することにより、前記ルータのwebインターフェースにアクセスし、
    前記webページは、ルータ設定及びアクセス権を含み、
    前記抽出ステップでは、前記ルータ設定及び前記アクセス権を含む前記HTML要素 からテキストを抽出して、前記ルータの前記利用可能なリソースのリストを取得する、
    請求項15に記載の非一時的なコンピュータ記録媒体。
  17. 前記コンピュータ実行可能命令は、
    少なくとも1つのネットワーク脆弱性を修復するための命令を前記ルータに送信するステップと、
    前記ルータ設定を含む前記ルータに格納された定ファイルにアクセスするステップと、
    前記設定ファイル自体を変更することにより、前記ルータの前記ルータ設定の少なくとも1つの値を調整するステップと、
    を指示するための命令を備える請求項16に記載の非一時的なコンピュータ記録媒体。
  18. 前記命令送信ステップは、選択ステップを指示するための命令を備え、
    前記選択ステップは、
    前記ドキュメントオブジェクトモデルを使用して前記webページを修正し、HTML制御要素を選択し、前記HTML制御要素は、前記ルータの少なくとも1つのパラメータ又は属性に対応する、
    請求項16に記載の非一時的なコンピュータ記録媒体。
  19. 前記データネットワークに通信可能に接続された第2デバイスにアクセスする第2アクセスステップを備え、
    前記第2アクセスステップは、
    UPnPプロトコルを介して前記第2デバイスにアクセスすること、
    前記データネットワーク内の前記第2デバイスのネットワークアドレスによるファイル転送を介して前記第2デバイスにアクセスすること、
    遠隔管理プロトコルを介して前記第2デバイスにアクセスすること、
    セキュアシェルプロトコルを介して前記第2デバイスにアクセスすること、
    のうちの少なくとも1つを指示するための命令を備える、請求項15に記載の非一時的なコンピュータ記録媒体。
  20. 前記要求送信ステップは、
    前記要求を前記ルータに送信することを指示するための命令を備え、
    前記ルータは、前記ルータを介して前記データネットワークに通信可能に接続された複数のデバイスに要求をリダイレクトする、
    請求項15に記載の非一時的なコンピュータ記録媒体。
  21. 前記利用可能なリソースリストは、パスワード、遠隔管理、ドメインネームシステム設定、ネットワークポート、Wi−Fi設定及びインストールされたファイアウォールの少なくとも1つを含む、
    請求項15に記載の非一時的なコンピュータ記録媒体。
JP2016161495A 2016-03-18 2016-08-19 ルータの脆弱性を除去する方法及びシステム Active JP6442449B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2016109930 2016-03-18
RU2016109930A RU2636700C1 (ru) 2016-03-18 2016-03-18 Способ устранения уязвимостей устройств, имеющих выход в Интернет
US15/148,153 US9787710B1 (en) 2016-03-18 2016-05-06 Method and system of eliminating vulnerabilities of a router
US15/148,153 2016-05-06

Publications (2)

Publication Number Publication Date
JP2017175593A JP2017175593A (ja) 2017-09-28
JP6442449B2 true JP6442449B2 (ja) 2018-12-19

Family

ID=59856115

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016161495A Active JP6442449B2 (ja) 2016-03-18 2016-08-19 ルータの脆弱性を除去する方法及びシステム

Country Status (3)

Country Link
US (1) US9787710B1 (ja)
JP (1) JP6442449B2 (ja)
RU (1) RU2636700C1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3008533A1 (fr) 2013-07-12 2015-01-16 Orange Facteur d'echelle optimise pour l'extension de bande de frequence dans un decodeur de signaux audiofrequences
JP6352893B2 (ja) * 2015-12-09 2018-07-04 ファナック株式会社 プログラマブルロジックコントローラとの通信機能を備えたロボット制御装置及び通信システム
US10454961B2 (en) * 2016-11-02 2019-10-22 Cujo LLC Extracting encryption metadata and terminating malicious connections using machine learning
RU2747368C1 (ru) * 2020-07-13 2021-05-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ мониторинга и управления информационной безопасностью подвижной сети связи

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7073198B1 (en) * 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US7418513B2 (en) * 2000-12-15 2008-08-26 International Business Machines Corporation Method and system for network management with platform-independent protocol interface for discovery and monitoring processes
JP2005532606A (ja) * 2001-12-31 2005-10-27 シタデル セキュリティ ソフトウェア インコーポレイテッド コンピュータの脆弱性を解決する自動化されたシステム
US20150033350A1 (en) 2003-07-01 2015-01-29 Securityprofiling, Llc System, method, and computer program product with vulnerability and intrusion detection components
US20050097199A1 (en) * 2003-10-10 2005-05-05 Keith Woodard Method and system for scanning network devices
GB0425113D0 (en) * 2004-11-13 2004-12-15 Ibm A method of determining access rights to IT resources
US9032215B2 (en) * 2005-06-15 2015-05-12 Nokia Corporation Management of access control in wireless networks
US8474032B2 (en) * 2006-05-17 2013-06-25 Richard Fetik Firewall+ storage apparatus, method and system
US8069230B2 (en) * 2007-10-31 2011-11-29 Affinegy, Inc. System and method of configuring a network
US20090235359A1 (en) * 2008-03-12 2009-09-17 Comodo Ca Limited Method and system for performing security and vulnerability scans on devices behind a network security device
JP2012088846A (ja) * 2010-10-18 2012-05-10 Canon Inc 管理装置、管理装置の制御方法、及び、プログラム
CN102891866A (zh) * 2011-07-18 2013-01-23 中兴通讯股份有限公司 一种物联网设备远程监控方法、设备及系统
US9143530B2 (en) * 2011-10-11 2015-09-22 Citrix Systems, Inc. Secure container for protecting enterprise data on a mobile device
US9497212B2 (en) * 2012-05-21 2016-11-15 Fortinet, Inc. Detecting malicious resources in a network based upon active client reputation monitoring
US9356939B1 (en) * 2013-03-14 2016-05-31 Ca, Inc. System and method for dynamic access control based on individual and community usage patterns
RU151859U1 (ru) * 2014-03-25 2015-04-20 Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Волгоградский государственный университет" Автоматизированное рабочее место для аудита защищенности беспроводной локальной сети
US9094407B1 (en) * 2014-11-21 2015-07-28 Citrix Systems, Inc. Security and rights management in a machine-to-machine messaging system

Also Published As

Publication number Publication date
US9787710B1 (en) 2017-10-10
JP2017175593A (ja) 2017-09-28
RU2636700C1 (ru) 2017-11-27
US20170272459A1 (en) 2017-09-21

Similar Documents

Publication Publication Date Title
US10484416B2 (en) System and method for repairing vulnerabilities of objects connected to a data network
KR102175193B1 (ko) 자동 장치 탐지를 위한 시스템 및 방법
RU2694022C2 (ru) Системы и способы автоматического обнаружения устройства, управления устройством и удаленной помощи
JP6442449B2 (ja) ルータの脆弱性を除去する方法及びシステム
EP1738562B1 (en) Server apparatus, client apparatus and network system
US20090260071A1 (en) Smart module provisioning of local network devices
US8745708B2 (en) Method and apparatus for implementing security measures on network devices
US9438629B2 (en) Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium
KR101620254B1 (ko) 액세스 제어 방법, 장치, 프로그램 및 기록매체
US20160269380A1 (en) Vpn communication terminal compatible with captive portals, and communication control method and program therefor
JP6262192B2 (ja) ネットワーク伝送を傍受する手段を選択するシステムおよび方法
US10084812B2 (en) Method and system of repairing vulnerabilities of smart devices
EP3220595B1 (en) Method and system of eliminating vulnerabilities of smart devices
JP6363139B2 (ja) スマートデバイスの脆弱性を除去する方法及びシステム
KR102071281B1 (ko) 통합 인증 방법
CN107204969B (zh) 消除数据网络上的漏洞的方法和系统
KR102368224B1 (ko) 영상처리장치, 인증장치 및 영상처리장치의 사용자 인증 방법
EP3220596B1 (en) Method and system of eliminating vulnerabilities of a router
JP2006261937A (ja) 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム
US11212178B2 (en) Control system, electronic device, and control method
KR20200106435A (ko) 유저 인증 장치 및 방법
Karamchandani Mutation based protocol fuzzer for IoT
JP4632062B2 (ja) アクセス制限情報生成装置およびアクセス制限情報生成方法並びにプログラム
JP5477104B2 (ja) 不正接続防止装置及びプログラム
KR101330434B1 (ko) 단말기의 서버 접속 방법 및 시스템

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180305

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181010

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181126

R150 Certificate of patent or registration of utility model

Ref document number: 6442449

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250