1 / 55

ACE KG 発表 2004/5/13 出版

ACE KG 発表 2004/5/13 出版. セキュリティの入門書 セキュリティを正しく理解できます. 本日のアウトライン. はじめに 背景 目的 セキュリティとは 攻撃手法解析 まとめ. crack!!. crack!!. crack!!. ぬるぽ !!. crack!!. crack!!. 背景. 今のインターネット 悪意のある人がいっぱい. インターネット上の被害件数の増加. 悪意のある人がすること. 一般ユーザを陥れる システムをクラッキングする etc …. 不倫が発覚!!. 一般ユーザを陥れる. キンタマウィルス

cleary
Download Presentation

ACE KG 発表 2004/5/13 出版

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ACE KG発表 2004/5/13出版 • セキュリティの入門書 • セキュリティを正しく理解できます

  2. 本日のアウトライン • はじめに • 背景 • 目的 • セキュリティとは • 攻撃手法解析 • まとめ

  3. crack!! crack!! crack!! ぬるぽ!! crack!! crack!! 背景 • 今のインターネット • 悪意のある人がいっぱい

  4. インターネット上の被害件数の増加

  5. 悪意のある人がすること • 一般ユーザを陥れる • システムをクラッキングする etc…

  6. 不倫が発覚!! 一般ユーザを陥れる • キンタマウィルス • Winnyを介して広がるウィルス • PCのファイルを公開 • ユーザー名 • 組織名 • デスクトップ画像 • ファイル • 被害事例 • メッセンジャーの過去ログが流出

  7. システムをクラッキングする • Webの改ざん • 2003年12月24日,文部科学省管理下のWebサイトがクラッカーによる改ざんの被害に遭った

  8. そんなわけで...(余談) • Symantec社の収益 • 会計年度2003年度 収益: 14億700万USドル • 会計年度2002年度 収益: 10億7140万USドル • 会計年度2001年度 収益: 9億4420万USドル • 会計年度2000年度 収益: 8億2660万USドル • 会計年度1999年度 収益: 6億3220万USドル (゚Д゚)ウマー

  9. 目的 • RGのみなさんは一般ユーザである以上に,システムの開発者や管理者でもある セキュリティに関しての知識を深める

  10. セキュリティとは

  11. セキュリティとは • 攻撃者から重要なものを守ること • セキュリティ≠暗号化 • セキュリティ≠アンチウィルスをいれる

  12. 何が満たされていれば,守られていると言えるのか?何が満たされていれば,守られていると言えるのか? • Confidentiality - 機密性 • Integrity - 完全性 • Availability - 可用性

  13. 実世界で機密性が保証されてない状態 1.Confidentiality機密性 許可されている人だけが情報にアクセスできるか? あややたんのビデオで ハァハァしよう。

  14. 実世界で完全性が保証されてない状態 2.Integrity完全性 情報の整合性が取れているか? あややたんのビデオで ハァハァしよう。 グロ画像だ ウボァー

  15. 実世界で可用性が保証されてない状態 3.Availability可用性 必要な時に情報にアクセス出来るか? あややたんのビデオで ハァハァしよう。 つながんねーよウワァーン ダウンさせる

  16. セキュリティを実現するには • 敵を知り、己を知れば百戦危うからず 攻撃手法を知り,その対策方法を 考える

  17. 攻撃手法 • ターゲットは何か? • クライアント端末(一般ユーザのコンピュータ) • ネットワーク上の通信 • サーバ(サービス提供者のコンピュータ)

  18. 攻撃手法解析 ターゲット クライアント端末(一般ユーザのコンピュータ) ネットワーク上の通信 サーバ(サービス提供者のコンピュータ)

  19. クライアント端末(一般ユーザのコンピュータ)をターゲットとした攻撃クライアント端末(一般ユーザのコンピュータ)をターゲットとした攻撃 • 攻撃の対象とするもの • ユーザの個人情報 • メッセンジャーログ • メールデータ • Webブラウザの履歴 • パスワード • 攻撃手法 • パスワードのクラック • ウィルス • ソーシャルエンジニアリング

  20. パスワードのクラックとは • 他人のパスワードを解析し、探り当てること • ブルートフォース • 辞書攻撃

  21. パスワードのクラック - ブルートフォース • 考えられるパスワードの組み合わせ全てを試す • 組み合わせは莫大であるため大変効率が悪い

  22. パスワードのクラック - 辞書攻撃 • 辞書にある単語を全て試す • 大文字小文字の混在や数字を加えたりする • 自動処理をさせれば短時間で入力できるため、基本的なパスワード破りの手口として用いられている。

  23. 辞書攻撃ソフト ー John The Ripper • 母音を削る • Jhn • 複数の単語をつなげる • John-The-Ripper • 大文字小文字をばらばらに • jOHn • キーボードで一つ右のキーに • Kpjm • 後ろに数字や記号をつける • John2

  24. 実例 • John the ripper version 1.6 • Intel(R) Pentium(R) 4 CPU 2.60GHz • 解析 • asdfasdf • 11秒 • Tom1 • 15秒 • (FW8Y (*Bf • ・・・・

  25. 対策 • 複雑なパスワードにする • パスワードを長くする • 意味のある単語は使わない • 記号とか数字を混ぜる • 大文字小文字も混ぜる

  26. ウィルスとは • ウィルスに意味 • 悪意のあるコード • 実行ファイルに寄生 • ウィルスの行動パターン • 寄生 • 潜伏 • 発病

  27. 実行ファイルに寄生 • 実行ファイルの後ろにウィルスのコードをくっつける • 実行ファイルのヘッダにあるスタートアップ・コードのアドレスをウィルスのコードのアドレスに書き換える • ウィルスのコードの最後に実行ファイルの本来のスタートアップ・コードを実行するようにする ヘッダ 本体 main() ウィルスコード

  28. 高度なウィルス • ポリモーフィックウィルス • 感染するごとにランダムに暗号化する • メタモーフィックウィルス • ウィルスのコードが変わったりする • Entry Point Obscuring • エントリーポイントではなくその他のコードを書き換える

  29. 対策 • アンチウィルスを利用する • Norton Antivirus • ウィルスバスター • McAfee Virus Scan

  30. ソーシャルエンジニアリングとは • 社会的な行動による情報取得 • 人を欺いて情報を盗む • 電話やメールで管理者のフリをする • オフラインで,情報を盗む • 管理者の会話を盗み聞き • パスワードを後ろから盗み見る • オフィスのゴミをあさる

  31. 事例(1) • 1998年7月、米シカゴのフォックスTV系列のWebページが改竄された. • 犯人は14歳の少年 • 手法 • 少年はISPの初期パスワードを入手 • ISPへ「パスワードを忘れたのでリセットしてください」と電話 • ISPは依頼どおりにパスワードをリセットした

  32. 事例(2) • 7割強の人が,チョコレートと交換に会社で使用しているパスワードを教えた • リバプールストリート駅で,172人の通勤者 • 質問 • チョコレートバー1本と交換に勤め先で使用しているパスワードを教えて欲しい • 結果 • 37%の人が即座にこれに応じた. • 別の34%の人は、「ペットや子供の名前でも使っているのだろう」と質問者が言うと,あきらめてパスワードを明らかした. http://japan.cnet.com/news/sec/story/0,2000050480,20065583,00.htm?tag=nl

  33. 対策 • 周りの人を攻撃者として疑う(悲しいけど) • 重要な内容の会話は避ける • 機密書類はシュレッドする • 掲示板などへ余計な情報は書き込まない • 家族構成 • 友達の名前

  34. 攻撃手法解析 ターゲット クライアント端末(一般ユーザのコンピュータ) ネットワーク上の通信 サーバ(サービス提供者のコンピュータ)

  35. ネットワーク上の通信をターゲットとした攻撃ネットワーク上の通信をターゲットとした攻撃 • 攻撃の対象とするもの • 通信内容 • 攻撃手法と対策 • Man In the Middle

  36. Man In The Middleとは • 通信に介入して、両端の端末に知られることなく通信の内容を傍受・改ざんを行う

  37. 攻撃例 モーニング娘。のCDがほしいなぁ ではモーニング娘のCDを 悪人さんの住所に郵送します。 代金はAさんのクレジットカードから 落とします。 Aです。 モーニング娘。のCDを買います。 悪人さんの住所に送ってください Aです。ぁゃゃのCDを買います。 Aの住所に送ってください。 Aさん 悪人 amazon.com

  38. 対策 • 通信相手との認証と暗号化が必要 書き換えられない・・・ 暗号化

  39. 攻撃手法解析 ターゲット クライアント端末(一般ユーザのコンピュータ) ネットワーク上の通信 サーバ(サービス提供者のコンピュータ)

  40. サーバ(サービス提供者のコンピュータ)をターゲットとした攻撃サーバ(サービス提供者のコンピュータ)をターゲットとした攻撃 • 攻撃対象 • DNSサービス • Webサービス • 攻撃手法 • DoS • バッファオーバーラン • XSS

  41. DoS攻撃とは • サーバにデータを大量させるたりすることに送って,回線速度を低下させたり,過負荷でダウン

  42. DoS攻撃 事例(1) • 2002年10月21日,世界13のルートサーバに一斉にDoS攻撃が仕掛けられた • 2基が正常なネットワーク・トラフィックに対応できなくなり、他の7基が断続的に停止

  43. 攻撃例 • 大量のSYN要求をサーバに送信し,サーバの機能を阻害する SYN

  44. 対策 • ある一定量以上の同一IPアドレスからのSYN要求は受け付けないようにする • ゲートウェイを設置

  45. バッファオーバーランとは • システムが想定している以上のデータをバッファに書き込み,領域外にデータを書き込む • スタック領域のバッファに,このバグがある場合,攻撃者が任意のコードを実行可能となる可能性がある

  46. Function Bのローカル変数 Function Bが終わった後に実行するコードのアドレス virus()のアドレス Function Aのローカル変数 virus()のコード void virus(){ //ファイル消しまくり } バッファオーバーランの仕組み スタック void funcitonA(){ int a; functionB(); … } void functionB(){ char buffer[10]; … } 適当なデータ

  47. 対策 • 定期的にサーバアプリケーションをアップデート • サービスのセキュリティホールを把握 • アプリケーションセキュリティに関連したメーリングリストの購読 • CERT • JPCERT

  48. クロスサイトスクリプティングとは • ユーザにWebブラウザで不正スクリプトを実行させる攻撃 • 複数のサイトにまたがって攻撃の仕掛けをつくるため、“クロスサイト” という

  49. クロスサイト・スクリプティング手法 < script>alert(“XS

More Related