Download presentation
Presentation is loading. Please wait.
1
ACE KG 発表 2004/5/13 出版 セキュリティの入門書 セキュリティを正しく理 解できます
2
本日のアウトライン はじめに 背景 目的 セキュリティとは 攻撃手法解析 まとめ
3
背景 今のインターネット 悪意のある人がいっぱい crack!! ぬるぽ !! crack!!
4
インターネット上の被害件数の増加
5
悪意のある人がすること 一般ユーザを陥れる システムをクラッキングする etc …
6
一般ユーザを陥れる キンタマウィルス Winny を介して広がるウィルス PC のファイルを公開 ユーザー名 組織名 デスクトップ画像 ファイル 被害事例 メッセンジャーの過去ログが流出 不倫が発覚!!
7
システムをクラッキングする Web の改ざん 2003 年 12 月 24 日,文部科学省管理下の Web サイト がクラッカーによる改ざんの被害に遭った
9
そんなわけで...(余談) Symantec 社の収益 会計年度 2003 年度 収益 : 14 億 700 万 US ドル 会計年度 2002 年度 収益 : 10 億 7140 万 US ドル 会計年度 2001 年度 収益 : 9 億 4420 万 US ドル 会計年度 2000 年度 収益 : 8 億 2660 万 US ドル 会計年度 1999 年度 収益 : 6 億 3220 万 US ドル ( ゚ Д ゚ ) ウマー
10
目的 RG のみなさんは一般ユーザである以上 に,システムの開発者や管理者でもある セキュリティに関しての知識を深める
11
セキュリティとは
12
攻撃者から重要なものを 守ること セキュリティ ≠ 暗号化 セキュリティ ≠ アンチウィルスをいれる
13
何が満たされていれば,守られていると 言えるのか? C onfidentiality - 機密性 I ntegrity - 完全性 A vailability - 可用性
14
実世界で 機密性 が保証されてない状態 1.Confidentiality 機密性 許可されている人だけが情報にア クセスできるか? あややたんのビ デオで ハァハァしよう。
15
実世界で 完全性 が保証されてない状態 あややたんの ビデオで ハァハァしよう。 グロ画像だ ウボァー 2 . Integrity 完全性 情報の整合性が取れているか?
16
実世界で 可用性 が保証されてない状態 あややたんのビデオ で ハァハァしよう。 つながんねーよ ウワァーン 3 . Availability 可用性 必要な時に情報にアクセス出来る か? ダウンさせる
17
セキュリティを実現するには 敵を知り、己を知れば百戦危うからず 攻撃手法を知り,その対策方法を 考える
18
攻撃手法 ターゲットは何か? クライアント端末 ( 一般ユーザのコンピュータ ) ネットワーク上の通信 サーバ ( サービス提供者のコンピュータ )
19
1. クライアント端末 ( 一般ユーザのコンピュータ ) 2. ネットワーク上の通信 3. サーバ ( サービス提供者のコンピュータ ) 攻撃手法解析 ターゲット
20
クライアント端末 ( 一般ユーザのコンピュー タ ) をターゲットとした攻撃 1. 攻撃の対象とするもの ユーザの個人情報 メッセンジャーログ メールデータ Web ブラウザの履歴 パスワード 2. 攻撃手法 パスワードのクラック ウィルス ソーシャルエンジニアリング
21
パスワードのクラックとは 他人のパスワードを解析し、探り当てるこ と ブルートフォース 辞書攻撃
22
パスワードのクラック - ブルート フォース 考えられるパスワードの組み合わせ全てを 試す 組み合わせは莫大であるため大変効率が悪い
23
パスワードのクラック - 辞書攻撃 辞書にある単語を全て試す 大文字小文字の混在や数字を加えたりする 自動処理をさせれば短時間で入力できるた め、基本的なパスワード破りの手口として 用いられている。
24
辞書攻撃ソフト ー John The Ripper 母音を削る Jhn 複数の単語をつなげる John-The-Ripper 大文字小文字をばらばらに jOHn キーボードで一つ右のキーに Kpjm 後ろに数字や記号をつける John2
25
実例 John the ripper version 1.6 Intel(R) Pentium(R) 4 CPU 2.60GHz 解析 asdfasdf 11 秒 Tom1 15 秒 (FW8Y (*Bf ・・・・
26
対策 複雑なパスワードにする パスワードを長くする 意味のある単語は使わない 記号とか数字を混ぜる 大文字小文字も混ぜる
27
ウィルスとは ウィルスに意味 悪意のあるコード 実行ファイルに寄生 ウィルスの行動パターン 寄生 潜伏 発病
28
実行ファイルに寄生 実行ファイルの後ろに ウィルスのコードを くっつける 実行ファイルのヘッダ にあるスタートアッ プ・コードのアドレス をウィルスのコードの アドレスに書き換える ウィルスのコードの最 後に実行ファイルの本 来のスタートアップ・ コードを実行するよう にする ヘッダ 本体 ウィルスコード main()
29
高度なウィルス ポリモーフィックウィルス 感染するごとにランダムに暗号化する メタモーフィックウィルス ウィルスのコードが変わったりする Entry Point Obscuring エントリーポイントではなくその他のコード を書き換える
30
対策 アンチウィルスを利用する Norton Antivirus ウィルスバスター McAfee Virus Scan
31
ソーシャルエンジニアリングとは 社会的な行動による情報取得 人を欺いて情報を盗む 電話やメールで管理者のフリをする オフラインで,情報を盗む 管理者の会話を盗み聞き パスワードを後ろから盗み見る オフィスのゴミをあさる
32
事例( 1 ) 1998 年 7 月、米シカゴのフォックス TV 系 列の Web ページが改竄された. 犯人は 14 歳の少年 手法 1. 少年は ISP の初期パスワードを入手 2.ISP へ「パスワードを忘れたのでリセットしてくださ い」と電話 3.ISP は依頼どおりにパスワードをリセットした
33
事例( 2 ) 7 割強の人が,チョコレートと交換に会社で使用 しているパスワードを教えた リバプールストリート駅で, 172 人の通勤者 質問 チョコレートバー 1 本と交換に勤め先で使用している パスワードを教えて欲しい 結果 37 %の人が即座にこれに応じた. 別の 34 %の人は、「ペットや子供の名前でも使ってい るのだろう」と質問者が言うと,あきらめてパスワー ドを明らかした. http://japan.cnet.com/news/sec/story/0,2000050480,20065583,00.htm?tag=nl
34
対策 周りの人を攻撃者として疑う(悲しいけ ど) 重要な内容の会話は避ける 機密書類はシュレッドする 掲示板などへ余計な情報は書き込まない 家族構成 友達の名前
35
1. クライアント端末 ( 一般ユーザのコンピュータ ) 2. ネットワーク上の通信 3. サーバ ( サービス提供者のコンピュータ ) 攻撃手法解析 ターゲット
36
ネットワーク上の通信をターゲットとし た攻撃 1. 攻撃の対象とするもの 通信内容 2. 攻撃手法と対策 Man In the Middle
37
Man In The Middle とは 通信に介入して、両端の端末に知られることなく 通信の内容を 傍受・改ざん を行う
38
攻撃例 A さん 悪人 amazon.com A です。 ぁゃゃの CD を買います。 A の住所に送ってください。 A です。 モーニング娘。の CD を買います。 悪人さんの住所に送ってください ではモーニング娘の CD を 悪人さんの住所に郵送します。 代金は A さんのクレジットカードから 落とします。 モーニング娘。 の CD がほしい なぁ
39
対策 通信相手との認証と暗号化が必要 書き換 えられ な い・・ ・ 暗号化
40
1. クライアント端末 ( 一般ユーザのコンピュータ ) 2. ネットワーク上の通信 3. サーバ ( サービス提供者のコンピュータ ) 攻撃手法解析 ターゲット
41
サーバ ( サービス提供者のコンピュータ ) をターゲットとした攻撃 1. 攻撃対象 DNS サービス Web サービス 2. 攻撃手法 DoS バッファオーバーラン XSS
42
DoS 攻撃とは サーバにデータを大量させるたりすること に送って,回線速度を低下させたり,過負 荷でダウン
43
DoS 攻撃 事例( 1 ) 2002 年 10 月 21 日,世界 13 のルートサー バに一斉に DoS 攻撃が仕掛けられた 2 基が正常なネットワーク・トラフィック に対応できなくなり、他の 7 基が断続的に 停止
44
攻撃例 SYN 大量の SYN 要求をサーバに送信し,サーバ の機能を阻害する
45
対策 ある一定量以上の同一 IP アドレスからの SYN 要求は受け付けないようにする ゲートウェイを設置
46
バッファオーバーランとは システムが想定している以上のデータを バッファに書き込み,領域外にデータを書 き込む スタック領域のバッファに,このバグがある場合, 攻撃者が任意のコードを実行可能となる可能性が ある
47
バッファオーバーランの仕組み void funcitonA(){ int a; functionB(); … } void functionB(){ char buffer[10]; … } Function A のローカル変数 Function B が終わった後に 実行するコードのアドレス Function B のローカル変数 適当なデータ void virus(){ // ファイル消しまくり } virus() のアドレス virus() のコード スタック
48
対策 定期的にサーバアプリケーションをアップ デート サービスのセキュリティホールを把握 アプリケーションセキュリティに関連した メーリングリストの購読 CERT JPCERT
49
クロスサイトスクリプティングとは ユーザに Web ブラウザで不正スクリプトを 実行させる攻撃 複数のサイトにまたがって攻撃の仕掛けを つくるため、 “ クロスサイト ” という
50
クロスサイト・スクリプティング手 法 alert( “ XS
51
クロスサイト・スクリプティング手 法
52
クロスサイトスクリプティング事例 Hotmail と Yahoo! Mail にクロスサイトスクリプティングの 脆弱性( 2003.3.23 ) 情報安全社の Web サイトにクロスサイトスクリプティング脆 弱性 (2002.6.24) 政党の Web サイトにクロスサイトスクリプティングの脆弱性 が (2002.4.10) 政党の Web サイトにクロスサイトスクリプティングの脆弱性 が (2002.4.10) みずほ銀行の Web サイトにクロスサイトスクリプティングの 脆弱性 (2002.4.3) みずほ銀行の Web サイトにクロスサイトスクリプティングの 脆弱性 (2002.4.3) MewSoft Auction 3.0 のクロスサイトスクリプティングの脆 弱性 PHP Classifieds 6.0.5 のクロスサイトスクリプティングの 脆弱性 eFax.com ウェブサイトのクロスサイトスクリプティングの 脆弱性
53
クロスサイトスクリプティングの概 要 脆弱性のあるサイト悪意のあるサイト ユーザ登録 掲示板 情報漏洩 1 . Cookie に 保存 2 .脆弱性のある ページを閲覧 4 .悪意のあるサイトへ cookie の 情報が送信される 3 .悪意のあるコードを実行
54
対策 リンクをむやみにクリックしない 電子メールをむやみに空けない インターネット・エクスプローラーではセキュリティ 設定を高にする。
55
総評 ユーザの入力を受け付けるすべての Web ア プリケーションは、タグやスクリプトなど の予期しない動作を起こしかねない文字列 に関しては、慎重にチェックして無害化し なくてはならない。 セキュリティの脆弱性がある Web アプリ ケーションはすべて攻撃者によって利用さ れてしまう可能性がある。
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.