ゼロから始めるセキュリティ勉強会 #17に参加して
・NSA crypto challenge 高橋さん
元のサイト
http://cryptochallenge.io/
暗号を使った問題
単一換字方式暗号を使った問題
→ 結構推理する力が必要そう
※番外編
情報収集
Security Next
いろんな情報漏えいをひたすら載せていく
政府業界動向タブを見ると、意外といろいろみれるかも
所感:
CTFのCypherを解く力がつけられそう。
ただ週替わりってところがネックかもw
・暗号化通信についてなんとなく 夏山さん
カード業界でPCI-DSSが更新され、3.2から3.2.1に更新
→ ざっくり暗号化通信設定で古いものはもう禁止
アドレスバーの緑の鍵のマークが表示されていればOK?
→ SSL/TLSで暗号化されています。と書かれているが?
TLSはほぼ1.2(最新は1.3)
実はSSLはほとんど使っていない。
ニンテンドーDSは対応。
Chrome、FireFoxは非対応
IE、Edgeは規定で無効
SSL3.0が使われなくなった理由
POODLEの影響がでかい
POODLEはTLSでも一部の実装で刺さる
TLS1.0は使わない。脆弱性があるため。
PCIでもTCS1.1以上を使うよう推奨
どうせ使うなら1.1より、1.2でやろうよ。という業界の流れがある。
例)
・Office365はTLS1.0、1.1は無効
・PCIDSSは1.1を使おう。けど1.2を使うことを強く推し進める、となっている。
・IPA SSL/TLS暗号設定ガイドライン
高セキュリティ型は1.2を使うようになっている。
SSL3.0を使っていることはまずい?
→ 希望の党の公式サイトにSSL3.0を有効にしているだけでバッシングされることがあった。
TLS1.2を使うだけではなく、さらに設定がある。
SHA1からSHA2に移行
googleの場合、SHA256 With RSA Encryption
TLSとは
公開鍵暗号方式、共有鍵暗号方式を使って通信を行う。
同じTLSのバージョンでも、暗号アルゴリズムによって、解読強度が異なってくる。
DES、DES3、RSA、RC4etc... ← 暗号スイート
自社内のサイトで使用できる暗号プロトコル、暗号スイート、暗号方式を検査できる。
https://www.ssllabs.com/ssltest/analyze.html
自社が保持しているサーバだったら確認してみてもいいかも
SSL/TLSのバージョン以外に設定する必要がある。
ビジネスや業界標準に準じる・
例)
PCIDSS:暗号スイートを定めていない
NIST:一番よく基準になる
政府系:CryptRec暗号リスト
所感:
今まで自分で証明書の運用などやったことがないが、実際に実装するとなると考えることが多そう。ただ、今回の発表を聞いてある程度考えなければいけないことが整理できたと思いました。
・IP/URL調査に使えそうなサイトをまとめてみた
bom@bomccss 不審メール関係をまとめたTwitter
コナン ゼロの執行人 最近のサイバーセキュリティ関連が密接にかかわってる。
※Aguse
対象のサイトを画像として表示させて、怪しいサイトではないか判断可能
目視確認用
証明書、外部とつながるオブジェクト、ブラックリスト判定結果を出してくれる
-メールタブ
メールヘッダから、怪しいメールかどうか判断可能
-ゲートウェイ
スクリーンキャプチャを使った
Aguseで調査しても問題ない?
→ スパムメールに書かれたURLを検査すると、スパムメールが大量に来ることに、、、
※Threatcrowd
ドメインやIPから、そこに関連する別のIPやドメインを視覚的にわかりやすく表示してくれるサイト
※Passive Total
RiskIQ社から提供されている
過去のIPやドメインが収集されている。
※VirusTotal
ファイルや、ハッシュ値を送信すると、複数のウィルス対策ソフトで検索してくれるサイト
有料会員は、アップされたファイルをダウンロードできるので、機密情報をアップロードしないこと
※ThewatMiner
IOCを検索可能
様々なサイトを網羅的に表示してくれるサイト
※IBM X-Force Exchange
あんまり検知制度がよくない
レピューション情報を載せてくれる
番外編
WARPDRIVE
NICTから提供されているウェブ媒介型サイバー対策プロジェクト
タチコマが教えてくれる
ただしメモリを200MBとか食う(笑)
所感:
たまーにVirusTotalを使ったくらいなので、今回の話は参考になりました。
いろいろなサイトを使ってウォッチしてみようと思います。
・SQLiとそのlogについて 日留川さん
ブログ書いてます。
http://nekotosec.com
検証環境の構成
ホスト:WindowsServer
VM1:脆弱性のある環境 Ubuntu18 MySQL5.7
VM2:KaliLinux
NAT環境で接続
SQLMapを使ったデモ
logを見てみる
→ Apacheのアクセスログ
→ Ubuntu16の場合、/var/log/aapche2 内にアクセスログが残る
ツールを流した場合、手で流した時と比べ圧倒的に大量のログが残る
PCIDSS要件でも、ログは一日一回見よう等推奨されている。
挙動に反応できれば、被害を抑えることができるのではないかと思う。
所感:デモもあり面白かった。自分の構築したかった今日で試していたので、自分も追いつけるように頑張らねば、、、
私は、というと、ZipSlipについて、お話をしました。
以下に資料を用意いたしましたので、興味があればご覧ください。
ちょっと話題になったzipslipについて 試してみた。 - Google スライド
以上です。