Security workshop 20131127
0 likes478 views
セキュリティワークショップの講義資料 http://ytakano.github.io/
![kippo.log
n ログインされた様子が記録される
19
$ less log/kippo.log
2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] login attempt
[root/abc] succeeded
2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] root authenticated
with keyboard-interactive
2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] starting service
ssh-connection
2013-11-28 16:43:33+0900 [SSHService ssh-connection on HoneyPotTransport,3,127.0.0.1] got channel
session request
2013-11-28 16:43:33+0900 [SSHChannel session (0) on SSHService ssh-connection on HoneyPotTransport,
3,127.0.0.1] channel open](https://image.slidesharecdn.com/securityworkshop20131127-150117032741-conversion-gate01/85/Security-workshop-20131127-19-320.jpg)
Security workshop 20131127
- 2. 前回の補足(1) エニグマとジェファーソンディスク n エニグマ n が必要 n 1918年に考案されて,後にナチスドイツ軍に採用 n ジェファーソンディスク n は必要ない.同じディスクを持っていれば解読可能. n 1795年に考案,1923年にアメリカ軍に採用 n しかし,アメリカ軍は,1795年のジェファーソンの発明だとは知らずに使っていた 2 ジェファーソンディスク エニグマ
- 3. 前回の補足(2) emacs n 内部動作はlisp言語を元にした,emacs lisp(elisp)で記述され ている n lispは関数型言語でポーランド記法的な記述となる n 普通の表記(中期記法):2×(1+4) n ポーランド記法:× 2 + 1 4 n emacsを開いて,C-x bでscrachを開き,式を記入してC-jで 式を評価 3 (* 2 (+ 1 4)) emacs-lispの場合
- 4. 本日のテーマ 6日目 第11, 12回 n 続・暗号プロトコル+証明書 n 攻撃の検出・脆弱性管理 n 世界中のセキュリティ事故・問題 4
- 5. SSL/TLSの認証 階層型信頼モデル n 認証局 n サーバ唯一のサーバであることを認証 n 証明書をサーバに発行 n 認証局証明書を公開 n サーバ n 発行されたサーバ証明書をサーバに組み込む n ユーザ n サーバ証明書を認証局証明書で検証 5
- 9. SST/TLS サーバ証明書の入手 n 普通,サーバ証明書は自分で作らず,認証局から購入 n VeriSign, GeoTrust, RapidSSL, etc. n 1から自分で作成することも可能 n /usr/lib/ssl/CA.sh -newca で認証局証明書 n openssl req で認証局の署名要求書 n openssl ca でサーバ証明書 9
- 10. SSL/TLS サーバ証明書取得までの流れ n 一般的には,自分で秘密 とCSR(証明書署名要求)を作成し,CSR を認証局に渡す n 認証局は受け取ったCSRから,サーバ証明書を作成 10 サーバ 認証局 秘密 CSR サーバ証明書 認証局秘密 1. 秘密 生成 2. 秘密 からCSR生成 3. CSRを認証局へ送信 4.CSRと認証局秘密 からサーバ証明書生成 5. サーバ証明書を要求者に返信
- 11. SSL/TLS サーバ秘密 とCSRの生成 n 秘密 の生成 n openssl genrsa -out private.key 2048 n RSAの2048bit秘密 を生成 n CSRの生成 n openssl req -new -key private.key -out req.csr n 各種質問に答える 11
- 12. 防御ツール n ファイアウォール n iptables (Linix), Windows Firewall n 侵入防御システム(IDS/IPS) n Snort n ペネトレーションテスト n Metasploit, Nessus, OpenVAS n ハニーポット(防御とはちょっと違う) n kippo, Google Hack Honeypot (GHH) n 改竄検知・監視 n tripwire n 観測 n ダークネットモニタ 12
- 13. sshハニーポット kippo n パニーポット n 攻撃者を釣るためのソフトウェア n 攻撃社の挙動を収集 n ウィルスの収集 n kippo n sshはPCを操作するためのプロトコル・ソフトウェア.リモートシェルとも呼 ばれる. n kippoはsshのハニーポットで,sshを模倣 n http://code.google.com/p/kippo/ 13
- 14. kippoのインストールと起動 n Pythonの非同期通信ライブラリtwistedをインス トール後,kippoをダウンロードし,起動 14 $ sudo apt-get install python-twisted $ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz $ tar xzfv kippo-0.8.tar.gz $ cd kippo-0.8 $ ./start.sh
- 15. kippoの起動確認 n デフォルトではTCPの2222番ポートで待ち受け 15 $ netstat -an 稼働中のインターネット接続 (サーバと確立) Proto 受信-Q 送信-Q 内部アドレス 外部アドレス 状態 tcp 0 0 0.0.0.0:47687 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
- 16. kippoのユーザアカウントの追加 n kippo-0.8/data/userdb.txtに追記することで,ロ グイン可能なアカウントを追加可能 n viでアカウントを追加してみよ 16 $ cat data/userdb.txt root:0:123456 root:0:abc IDがrootで,パスワードがabcの アカウントを追加した状態. デフォルトでは,root:123456でログイン可能. 真ん中の0はユーザID(rootは普通0)
- 17. kippoへのログイン n sshコマンドでローカルのkippoへログイン n ポート番号とアカウントIDを指定すること n ログアウトできないので,シェルのウィンドウを閉じること 17 $ ssh -p 2222 root@localhost Password: nas3:~# ls nas3:~# ls / lost+found vmlinuz srv sys run sbin proc mnt bin usr tmp var initrd.img etc opt boot selinux home media lib root nas3:~# exit Connection to server closed. localhost:~#
- 18. kippoのログ確認 n ログはkippo-0.8/log以下に保存される n log/kippo.log にアクセスログが記録 n log/tty 以下に,ログイン後のttyログが記録 18
- 19. kippo.log n ログインされた様子が記録される 19 $ less log/kippo.log 2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] login attempt [root/abc] succeeded 2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] root authenticated with keyboard-interactive 2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] starting service ssh-connection 2013-11-28 16:43:33+0900 [SSHService ssh-connection on HoneyPotTransport,3,127.0.0.1] got channel session request 2013-11-28 16:43:33+0900 [SSHChannel session (0) on SSHService ssh-connection on HoneyPotTransport, 3,127.0.0.1] channel open
- 21. ダークネットモニタ n サイレントモニタ,ネットワークテレスコープとも呼ばれる n 利用されていないIPアドレスに飛んでくるパケットを観測 n アドレス,ポートスキャンなどの観測 n マルウェアのトレンド観測 n DDoSなどの跳ねかえりパケット観測 n NICTのNICTER,警察庁の@police インターネット定点観測 21
- 24. 世界中のセキュリティ事故・問題(1) 情報流出 n Adobe社の情報流出 n Adobe社とはPhotoshop, Illustratorなど著名なマルチメディアソ フトの制作会社 n 今年の9月にAdobe社へサイバー攻撃があり,顧客情報が流出 n 公式発表では,290万人,ニュースでは数千万人のアカウント 情報が漏洩 n その他にも,Yahoo! Japan,日本生命,にちゃんねる,など様々 な企業・団体が流出事故を引き起こす 24
- 25. 世界中のセキュリティ事故・問題(2) DNSアンプ攻撃 n DNSサーバを悪用したDDoS攻撃 n 今年の3月にアンチスパム団体のSpamhousが標的となる n 最大瞬間300GBpsものトラフィックを生成 25 DNSサーバ(オープンリゾルバ) 攻撃対象 攻撃者 ソースアドレスを攻撃対象に偽装した ANYクエリ
- 27. 世界中のセキュリティ事故・問題(4) プライバシ問題 n AppleがiPhoneユーザの位置情報を勝手に収集 n 2011年に発覚 n Appleの公式見解では,ソフトウェアのバグによるもの n カレログ n 2011年に登場した,彼氏の携帯を監視するアプリ n 現在位置,バッテリー状況など逐一監視可能 27
- 28. 世界中のセキュリティ事故・問題(5) 検閲 n 中国の金盾(Great Fire Wall) n DNS汚染などによる検閲 n sshなどの暗号化ソフトウェアは利用できない n 特定キーワード(天安門事件)のブロック n エジプトのインターネット遮断 n 2010年に起こったチェニジアのジャスミン革命(Facebook革命)を発端に, アラビア諸国で大規模な民主化運動が起こる(アラブの春) n Facebook等のソーシャルメディアが,情報交換に大きな役割を果たしていた ため,エジプト政府は検閲を目的にインターネットを遮断 28
- 29. 世界中のセキュリティ事故・問題(6) 標的型攻撃 n 特定の企業,組織,情報を狙った,明確な意思を持った攻撃 n 脆弱性,フィッシング,ソーシャルハッキングなど,あらゆる 攻撃手段の複合技で,情報の窃盗を行う n 最近のメールを使った例: n 就職活動中の学生を装い,企業の人事担当者宛に偽の履歴書 ファイル(履歴書.zip)を送信 n ファイルを開くと,Microsoft Officeの脆弱性が利用されPC がマルウェアに感染 29
- 30. 世界中のセキュリティ事故・問題(7) Stuxnet(標的型攻撃) n 2010年に発見された,標的型攻撃に用いられるマルウェア n 非常に高度な技術力をもって作成された n USBメモリ経由でも感染し,インターネットから隔離された環境に も侵入可能 n 当時,未知であったWindowsの脆弱性数件を悪用 n ドイツのシーメンス社による産業システムが攻撃対象 n イランの核燃料施設が攻撃され,一時稼働不可能になる n 作成者は,アメリカの国家安全保障局(非公式にアメリカが認める) 30
- 31. 世界中のセキュリティ事故・問題(8) スノーデン事件 n 元アメリカ中央情報局(CIA)職員のスノーデン氏が,アメリカの個人情報収集活動 を世界中に暴露 n 暴露内容(どこまでが真実か不透明) n インターネット傍受システムPRISMの存在 n Google, Facebookなどの巨大IT企業が,アメリカ政府に個人情報を渡している n Stuxnetの作者はアメリカとイスラエル n SSL/TLS認証局の秘密 もアメリカ政府が保持 n などなど n 現在,アメリカから指名手配されており,ロシアに滞在中 31
- 32. 世界中のセキュリティ事故・問題(9) Gamblarウィルス n 2009年に世界的に大流行したウィルス n FTPアカウント情報窃盗を行い,その情報を元にウ ェブサイトの改ざんが行われる n さらに,攻撃用のコードがウェブサイトに埋め込ま れ,それを閲覧したユーザにも感染が拡大 n 日本でも,トヨタやリコーなどはじめ,様々な企業 サイトが改ざんされる 32