ゼロから始めるセキュリティ勉強会第8回に参加してきました!
2017年7月24日にゼロから始めるセキュリティ入門に参加してきました。
私自身も「SQLインジェクション With B〜そこの君、油断してないか!?」という題材でLTやってきました。
サブタイトルは友人の進めもあり、つけたもので特に理由なんてなかったりする。
では、発表の内容をまとめていきます。
#内部犯行の歴史 ytakahashi1228
イメージはスパイ
情報漏えいを中心とした事例を年代ごとに追っていく
・内部犯行の歴史
・内部犯行の対策・まとめ
2000年
エンターテイメント系:266人の個人情報が漏えい
ネットショップ経由で漏れたんじゃないか→内部犯行の可能性
2004年
通信系
452万人の個人情報の漏えい
個人情報が保存されていたフォルダには社員誰でもアクセスできた
2006年
自治体の個人情報の漏えい、精密機器メーカーの協力会社
400万件くらいの情報
協力会社がコピー、一部Webに公開
2010年
端末を紛失による被害
10万件の氏名と生年月日が漏えい
社員帰宅時の端末の紛失 飲んだら持つな
2011年
製造業での漏えい
1憶261万3000件の情報漏えい
不正アクセスによる漏えい
2014年
教育系
スマートデバイスを利用した情報漏えい事件
最大2070万件
協力会社員の不正データ持ち出し
2015年
社内のオペレーションミスによる漏えい
広告系
3.7万件、年収750万円以上の人の情報漏えい
メール誤送信
サービス系
3200万件の電話番号などの情報が漏えい
インパクトチームによる不正アクセス、政府系やドメインも、、、
対応策・まとめ
漏えいの規模が大きくなっている
社内はざるのことが多い
・データ持ち出し、ミスで簡単に漏えい
・社内通信お暗号化も必要かも
会社は社員を大事に
・報復活動
・協力会社でも風通し良く
プライベートなやり取りは必ず自分でデバイスで
感想:個人的に会社は社員を大事にってところに大きく賛同。
内部犯行のほとんどは報復ってのもうなずけるしね。
#セキュリティの学び方 momomopas
心構え
勉強法
情報収集
心構え
セキュリティにアンテナを張る
(英語を学ぶ)
勉強法
書籍:情報セキュリティの基礎知識、実践サイバーセキュリティモニタリング
ネット:絵とか図があるのが一番、ググる。英語で調べた方が新しい
実機:VMWare, ViurtualBox 仮想化ソフト
情報収集
ツイッター
個人ブログ
セキュリティベンダのホワイトペーパー
SecurityNext:インシデント情報
IPA
GoogleAlert:自分の興味のあることを登録すると、ブログや記事をまとめてメールで通知してくれる
IFTTT
セキュリティクラスタまとめ
piyolog
udemy 動画で勉強できる
CYMRARY:無料でできるサイト ただし英語
youtubeでKaliLinuxとか調べるとデモ動画が出てくる
脆弱性情報データベース
感想:個人的にCYMRARYは利用してみたいなぁと。
こういう勉強法さらしてくれるのはうれしい。
(やっぱpiyologは偉大だった。)
#ノンセキュリティエンジニアによるセキュリティ obaさん
用語が多すぎ。。。
最初に覚えること
ニュースで話題になっていること+業務に必要なこと+絶対に覚えなければいいけないこと
そのうえでセキュリティ上の対策を
用語、理論を入れて、実践する → 用語、理論を入れて、実践するの繰り返し
感想:用語が多いのは同意。でも、攻撃や仕組みを理解すると用語も覚えられるから、興味のあるやつから見てくってのが個人的におすすめかも
#S2-045(struts2の脆弱性デモ) tokoroten0813
Apatch Struts2とは
Webアプリケーションフレームワーク
Struts1にはない「OGNL(Object-Graph Navigation Language)」という機能が悪さする
Content-Typeにごにょごにょいれる
Jakalta MultiPart parserという構文解析に問題があってやられてしまった。
話したかった理由
攻撃スピードが速かった
3/6に3/8に攻撃が成功していた。
この速さに今後どのように対応していくか
現場からの意見でのサイト停止はむずかしいかな、、、と
上司に相談するとめんどくさい、被害予想、検証etc... 個人的にやりたくない
(更新しても、すごい検証等めんどくさい)
きっとWAFベンダがやってくれるだろう。。。
脆弱性公開 → 攻撃 → 被害 みたいなサイクルが早くなってくるだろう
CSIRTとか必要になってくるだろう
現場はデスマになるだろうなぁ。。。
日本の会社は、技術を知らない人が上に立つことがあるから、今後は上の人にも技術が必要だよなー
感想:Strutsのデモは初めて見た!
PoCとかできるだけ自分で手を動かして検証していかないとなー
#HTTPプロトコルについて ~使ってみよう開発者ツール hiroさん
マイニャンバーカード交付!
セキュリティはどこから勉強したらよいか
HTTPの理解から始めてみよう!
HTTPプロトコルの概要
Getでサーバにリクエストを送り、レスポンスでサーバからのデータを取得
HTTPのプロトコルレイヤ どのレイヤでどのような事象が起きているか想像できると理解しやすい
BurpSuiteとかOWASPZAPとかで見るのがいいけど、、、
会社のPCだと管理者権限がなくインストールできない、、、
そうだ!ブラウザ標準の開発者ツールを使おう!
HTTPのmethod
GET:アドレスバーに表示される。Proxyログ、HTTPログに見える
POST:アドレスバーに表示されない。Proxyログ、HTTPログで見えない
HTTP検索エンジン FreshEngine
HTTPリクエストヘッダ
User-AgentとRefererから漏れる情報
ipとかどのページから来たかとか、Webブラウザの情報、OSの情報
使用している言語とか
web広告とかはここを見て出す広告を決めてる
レスポンスヘッダ
Last-Modifiedと If-Modified-Since
Last-Modified:最後に更新した日時
If-Modified-Since:変わってたら送って!
変わってなかったら。。。 304:Not Modified
ステートレスとCookie
状態を保持しない
次のページに遷移した際、前の情報を保持する必要がある
→ Set-Cookie Cookie Referer
Cookieを読めば認証情報を盗める
物事をレイヤに置き換えると理解しやすいかも
感想:知らない情報がいろいろあった。
もう知ってると思ってたけど、開発者ツールも奥が深いなぁと思いました。
8月にもまた開催されるそうです。
次はどんな話が出るかとワクワクしています。
それと同時に自分のアウトプットの場として利用していきたいですね。