2017年7月24日にゼロから始めるセキュリティ入門に参加してきました。

私自身も「SQLインジェクション With B〜そこの君、油断してないか！？」という題材でLTやってきました。

サブタイトルは友人の進めもあり、つけたもので特に理由なんてなかったりする。

では、発表の内容をまとめていきます。

#内部犯行の歴史　ytakahashi1228

イメージはスパイ

　情報漏えいを中心とした事例を年代ごとに追っていく

・内部犯行の歴史
・内部犯行の対策・まとめ

2000年
　エンターテイメント系：266人の個人情報が漏えい
ネットショップ経由で漏れたんじゃないか→内部犯行の可能性

2004年
　通信系
　452万人の個人情報の漏えい
　個人情報が保存されていたフォルダには社員誰でもアクセスできた

2006年
　自治体の個人情報の漏えい、精密機器メーカーの協力会社
　400万件くらいの情報
　協力会社がコピー、一部Webに公開

2010年
　端末を紛失による被害
　10万件の氏名と生年月日が漏えい
　社員帰宅時の端末の紛失　飲んだら持つな

2011年
　製造業での漏えい
　1憶261万3000件の情報漏えい
　不正アクセスによる漏えい

2014年
　教育系
　スマートデバイスを利用した情報漏えい事件
　最大2070万件
　協力会社員の不正データ持ち出し

2015年
　社内のオペレーションミスによる漏えい
　広告系
　3.7万件、年収750万円以上の人の情報漏えい
　メール誤送信

　サービス系
　3200万件の電話番号などの情報が漏えい
　インパクトチームによる不正アクセス、政府系やドメインも、、、

対応策・まとめ
　漏えいの規模が大きくなっている
　社内はざるのことが多い
　　・データ持ち出し、ミスで簡単に漏えい
　　・社内通信お暗号化も必要かも
　会社は社員を大事に
　　・報復活動
　　・協力会社でも風通し良く
プライベートなやり取りは必ず自分でデバイスで

感想：個人的に会社は社員を大事にってところに大きく賛同。

　　　内部犯行のほとんどは報復ってのもうなずけるしね。

＃セキュリティの学び方　momomopas

　心構え
　勉強法
　情報収集

　心構え
　　セキュリティにアンテナを張る
　　(英語を学ぶ)

　勉強法
　　書籍：情報セキュリティの基礎知識、実践サイバーセキュリティモニタリング
　　ネット：絵とか図があるのが一番、ググる。英語で調べた方が新しい
　　実機：VMWare, ViurtualBox　仮想化ソフト

　情報収集
　　ツイッター
　　個人ブログ
　　セキュリティベンダのホワイトペーパー

　　SecurityNext：インシデント情報
　　IPA

　　GoogleAlert：自分の興味のあることを登録すると、ブログや記事をまとめてメールで通知してくれる
　　IFTTT　
　　セキュリティクラスタまとめ
　　piyolog

　　udemy 動画で勉強できる

CYMRARY:無料でできるサイト　ただし英語

youtubeでKaliLinuxとか調べるとデモ動画が出てくる
脆弱性情報データベース

感想：個人的にCYMRARYは利用してみたいなぁと。

　　　こういう勉強法さらしてくれるのはうれしい。

　　　(やっぱpiyologは偉大だった。)

#ノンセキュリティエンジニアによるセキュリティ　obaさん

用語が多すぎ。。。
最初に覚えること
　ニュースで話題になっていること＋業務に必要なこと＋絶対に覚えなければいいけないこと

そのうえでセキュリティ上の対策を

　用語、理論を入れて、実践する　→　用語、理論を入れて、実践するの繰り返し

感想：用語が多いのは同意。でも、攻撃や仕組みを理解すると用語も覚えられるから、興味のあるやつから見てくってのが個人的におすすめかも

#S2-045(struts2の脆弱性デモ)　tokoroten0813

Apatch Struts2とは
　Webアプリケーションフレームワーク

　Struts1にはない「OGNL(Object-Graph Navigation Language)」という機能が悪さする
　Content-Typeにごにょごにょいれる

Jakalta MultiPart parserという構文解析に問題があってやられてしまった。

話したかった理由
　攻撃スピードが速かった
　3/6に3/8に攻撃が成功していた。
　この速さに今後どのように対応していくか

現場からの意見でのサイト停止はむずかしいかな、、、と
上司に相談するとめんどくさい、被害予想、検証etc...　個人的にやりたくない
　　(更新しても、すごい検証等めんどくさい)
きっとWAFベンダがやってくれるだろう。。。

　　脆弱性公開　→　攻撃　→　被害　みたいなサイクルが早くなってくるだろう

　　CSIRTとか必要になってくるだろう
　　現場はデスマになるだろうなぁ。。。

　　日本の会社は、技術を知らない人が上に立つことがあるから、今後は上の人にも技術が必要だよなー

感想：Strutsのデモは初めて見た！

　　　PoCとかできるだけ自分で手を動かして検証していかないとなー

#HTTPプロトコルについて ～使ってみよう開発者ツール　hiroさん

　マイニャンバーカード交付！

　セキュリティはどこから勉強したらよいか
　HTTPの理解から始めてみよう！

　HTTPプロトコルの概要
　　Getでサーバにリクエストを送り、レスポンスでサーバからのデータを取得

　　HTTPのプロトコルレイヤ　どのレイヤでどのような事象が起きているか想像できると理解しやすい

　　BurpSuiteとかOWASPZAPとかで見るのがいいけど、、、
　　会社のPCだと管理者権限がなくインストールできない、、、

　　そうだ！ブラウザ標準の開発者ツールを使おう！
　　HTTPのmethod

　　GET：アドレスバーに表示される。Proxyログ、HTTPログに見える
　　POST：アドレスバーに表示されない。Proxyログ、HTTPログで見えない

　　HTTP検索エンジン FreshEngine

　HTTPリクエストヘッダ
　　User-AgentとRefererから漏れる情報
　　　ipとかどのページから来たかとか、Webブラウザの情報、OSの情報
　　　使用している言語とか
　　　web広告とかはここを見て出す広告を決めてる

　レスポンスヘッダ　
　　Last-Modifiedと If-Modified-Since
Last-Modified：最後に更新した日時
If-Modified-Since：変わってたら送って！
変わってなかったら。。。 304：Not Modified

ステートレスとCookie
　状態を保持しない
　次のページに遷移した際、前の情報を保持する必要がある
　　→　Set-Cookie　Cookie Referer

Cookieを読めば認証情報を盗める

物事をレイヤに置き換えると理解しやすいかも

感想：知らない情報がいろいろあった。

　　　もう知ってると思ってたけど、開発者ツールも奥が深いなぁと思いました。

8月にもまた開催されるそうです。

次はどんな話が出るかとワクワクしています。

それと同時に自分のアウトプットの場として利用していきたいですね。