[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Debian Investigation Report after Server Compromises 訳 (1-2)

From: INOUE Hiroyuki <dombly@xxxxxxxxxxxxxxxx>
Subject: Re: Debian Investigation Report after Server Compromises 訳 (1-2)
Date: Fri, 5 Dec 2003 19:59:57 +0900
List-help: <mailto:debian-doc-ctl@debian.or.jp?body=help>
List-id: debian-doc.debian.or.jp
List-owner: <mailto:debian-doc-admin@debian.or.jp>
List-post: <mailto:debian-doc@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-doc-ctl@debian.or.jp?body=unsubscribe>
X-cite-me: 丼
X-face: g<z/WT\#Y#R6XCsG#|r[Z`?!G|LovVIZ{'$rJO8lnMR$"/:$fseSVELCNcbVP$]u{Nm}O%e D-6j$MOja%5aq-BjR6r~XEV@#\11b1CU=k9?ub04PjkA,^Yx9M;\\(~6b4\-:9gXr~;SBA1XUyg&{b TI4K_/-sUH:g
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-doc-ctl@debian.or.jp; help=<mailto:debian-doc-ctl@debian.or.jp?body=help>
X-ml-name: debian-doc
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-pgp-fingerprint: CAF3 05AB B2C6 0869 2876 1F68 3C49 F871 BC66 3D8D
X-pgp-publickey: http://www008.upp.so-net.ne.jp/dombly/INOUE_Hiroyuki.pubkey.asc
X-spam-level:
X-spam-status: No, hits=-1.6 required=10.0 tests=ISO2022JP_BODY,SPAM_PHRASE_00_01 version=2.44
References: <200312040745.hB47iwuI015819@xxxxxxxxxxxxxxxxx>
Message-id: <20031205.195909.133053636.dombly@xxxxxxxxxxxxxxxx>
X-mail-count: 03365
X-mailer: xcite1.47> Mew version 2.2 on Emacs 21.2 / Mule 5.0 (SAKAKI)

いのうえ＠京都です。
ご苦労さまです。原文は斜め読みだったのでじっくり読む機会に
なりました。日本語として違和感を感じた部分を指摘しておきます。

>>>>  At Thu, 4 Dec 2003 16:45:13 +0900 [ML Count: 03362],
>>>>  Hideki Yamane さん <henrich@xxxxxxxxxxx> wrote:

| Debian Investigation Report after Server Compromises
| 
| Debian によるサーバ侵入後の調査レポート

こう書くと日本語では「Debian によるサーバ侵入」と読めてしまいます。
「Debian による」は取ってしまった方が良いように思います。

| The Debian administration team and security experts are finally able
| to pinpoint the method used to break-in into four project machines.
| However, the person who did this has not yet been uncovered.
| 
| Debian 管理チームとセキュリティ専門家達はついに4台のプロジェクトマシン
| への侵入手法を突き止めることに成功しました。しかし、誰がこれを行ったの
| かはまだ明らかになっていません。

s/ついに/ようやく/; s/しかし/ただし/

| The package archives were not altered by the intruder.
| 
| 侵入者によるパッケージアーカイブの置き換えは為されていません。

  パッケージアーカイブは侵入者によって置き換えられてはいません。

| The Debian administration and security teams have checked these
| archives (security, us, non-us) quite early on in the investigation
| and re-installation process.  That's why the project was able to open
| up the security archive again and confirm that the stable update
| (3.0r2) wasn't compromised.
| 
| Debian 管理チームとセキュリティチームはこれらのアーカイブ (security, us, 
| non-us) をきわめて早期に調査と再インストール作業のためにチェックを行い
| ました。このため、セキュリティアーカイブを再公開し、安定版の更新 (3.0r2) 
| が侵入の被害を受けていないことを保証できました。

前半部，語順は下記のようにした方がいいと思います。

  Debian 管理チームとセキュリティチームは、調査と再インストールの
  作業の中で、きわめて早い段階で各アーカイブ (security, us,
  non-us) のチェックを実施しました。

| Several methods based on different control data were used to verify
| the packages and to ensure that the archives weren't altered by the
| attacker:
| 
| 複数のデータを利用して、パッケージの比較照合を行い、アーカイブが攻撃者
| によって置き換えがなされていないことを確認しました。

  パッケージを比較照合しアーカイブが攻撃者によって置き換えられて
  いないことを確認するために、異なるデータに基づく複数の方法が
  取られました。

|  . digitally signed .changes files from external debian-devel-changes
|    archives on not compromised machines
|
| ・侵入されていない複数のマシンから取得した外部の debian-devel-changes 
| 　アーカイブ群から取得したデジタル署名済の .changes ファイル

「取得した」が重なっているので:

  ・侵入されていない複数のマシンにあった debian-devel-changes
    アーカイブ群から〜

| Below is the timeline of discovery and recovery of the compromised
| machines.  All times are in UTC.  Some times are only estimates since
| our conversation did not contain exact timestamps.
| 
| 以下が侵入されたマシンの発見と復旧の時系列です。全ての時間はUTCで記述
| されています。会話については正確な時刻を記憶していないので、いくつかの
| 時刻は推定時間となっています。

s/記憶/記録/;「正確な時刻の記録が存在しない」で良いように思います。

|    Oct 02  05:18  Marcello Tosatti applies do_brk() boundary check
|    Oct 02  05:18  Marcello Tosatti do_brk() 戻り値チェックを適用

パッチの詳細を知らないのですが，「戻り値」は変なのでは?  boundary
check というと通常「(引数に対する) 境界条件チェック」を指すと思い
ます。

|    Nov 20  22:00  Confirmation that debian.org was compromised
|    Nov 20  22:00  debian.org に侵入があった事実を承認

「承認」はいかにも変ですね。「認定」かな?

>>>>  At Thu, 4 Dec 2003 17:41:57 +0900 [ML Count: 03363],
>>>>  Hideki Yamane さん <henrich@xxxxxxxxxxx> wrote:

| On the evening (GMT) of Thursday, November 20th, the admin team
| noticed several kernel oopses on master.  Since that system was
| running without problems for a long time, the system was about to be
| taken into maintenance for deeper investigation of potential hardware
| problems.  However, at the same time, a second machine, murphy, was
| experiencing exactly the same problems, which made the admins
| suspicious.
| 
| 11/20 の木曜日夕方 (GMT)、管理者チームは master にて kernel oops メッ
| セージが複数回発生しているのに気付きました。長期間にわたり、システム
| は問題なく動いていたので、ハードウェアトラブルの可能性を考え、詳しい
| 調査のためにメンテナンスを行おうとしていました。しかし、同時に次のマ
| シン murphy が全く同じ問題を発症したことにより、管理者らはこの症状を
| 怪しみました。

s/長期間にわたり、/長期間にわたって/
s/動いていたので/動作していたことから/
s/考え/想定し/
s/を怪しみました/に疑念を抱きました/

| Also, klecker, murphy and gluck have "Advanced Intrusion Detection
| Environment" (package aide) installed to monitor filesystem changes
| and at around the same time it started warning that /sbin/init had
| been replaced and that the mtime and ctime values for
| /usr/lib/locale/en_US had changed.

  加えて、klecker・murphy・gluck には "Advanced Intrusion
  Detection Environment" (aide パッケージ) がファイルシステムの
  変更監視のためにインストールされていますが、同時期になってこの
  aide により
  ・/sbin/init が置き換えられている
  ・/usr/lib/locale/en_US の mtime と ctime の値が変化している
  という警告が発せられはじめました。

| Further investigation revealed the cause for both these problems to be
| the SucKIT root-kit.  It includes password sniffing and detection
| evasion capabilities (i.e. tools to hide processes and files) which
| are installed directly into the kernel, which in turn caused the
| oopses that were noticed.

1 つ目の which は限定的形容詞節を導いていますので語順を変えた方が
いいと思います。その他細かな語彙の修正を加えて，以下でいかがで
しょうか。なお、2 つ目の which は password ... which ... 全体に
掛かっていると解釈しています。その点は若干意訳しました。

  さらなる調査により、これらの問題は SucKIT root-kit によって引き
  起こされていたことが明らかになりました。これはカーネルに直接
  インストールされるパスワード盗聴機能および検知回避機能
  (すなわち、プロセスやファイルを隠蔽するツール群) を含んでいます
  が、カーネルに直接インストールされていることの反面として、発見
  された Oops メッセージの原因となったものです。

--
井上 博之 / INOUE Hiroyuki
E-Mail: dombly@xxxxxxxxxxxxxxxx
PGP Fingerprint: CAF3 05AB B2C6 0869 2876  1F68 3C49 F871 BC66 3D8D
...................................................................
:nuclear chameleon man Ft. Knox ASDIC Qaddafi SCUD missile rs9512c
:arrangements sniper TWA JFK hackers Khaddafi Verisign South
:(Cf. http://www.gnu.org/manual/emacs/html_chapter/emacs_29.html#SEC372)

References:
- Debian Investigation Report after Server Compromises　訳（１）
  - From: Hideki Yamane

Prev by Date: Re: dpkg manpage translation
Next by Date: Re: pure-ftpd ja.po査読（Re: debconf template(ja.po)について）
Previous by thread: Debian Investigation Report after Server Compromises　訳（2）
Next by thread: Re: Debian Investigation Report after ServerCompromises　訳（１）
Index(es):
- Date
- Thread