security workshop 20131127
TRANSCRIPT
前回の補足(1) エニグマとジェファーソンディスク n エニグマ
n 鍵が必要
n 1918年に考案されて,後にナチスドイツ軍に採用
n ジェファーソンディスク
n 鍵は必要ない.同じディスクを持っていれば解読可能.
n 1795年に考案,1923年にアメリカ軍に採用
n しかし,アメリカ軍は,1795年のジェファーソンの発明だとは知らずに使っていた
2 ジェファーソンディスク エニグマ
前回の補足(2) emacs
n 内部動作はlisp言語を元にした,emacs lisp(elisp)で記述されている
n lispは関数型言語でポーランド記法的な記述となる
n 普通の表記(中期記法):2×(1+4)
n ポーランド記法:× 2 + 1 4
n emacsを開いて,C-x bでscrachを開き,式を記入してC-jで式を評価
3
(* 2 (+ 1 4)) emacs-lispの場合
本日のテーマ 6日目 第11, 12回
n 続・暗号プロトコル+証明書
n 攻撃の検出・脆弱性管理
n 世界中のセキュリティ事故・問題
4
SSL/TLSの認証 階層型信頼モデル
n 認証局
n サーバ唯一のサーバであることを認証
n 証明書をサーバに発行
n 認証局証明書を公開
n サーバ
n 発行されたサーバ証明書をサーバに組み込む
n ユーザ
n サーバ証明書を認証局証明書で検証
5
SSL/TLS 認証局・サーバ・ユーザの関係
6
認証局
ユーザ
サーバ
認証局証明書 サーバ証明書
サーバ証明書発行
Firefoxでの SSL/TLS証明書確認
7
n 環境設定→詳細→証明書→証明書を表示
SSL/TLS サーバ証明書
8
n Googleの場合
SST/TLS サーバ証明書の入手
n 普通,サーバ証明書は自分で作らず,認証局から購入
n VeriSign, GeoTrust, RapidSSL, etc.
n 1から自分で作成することも可能
n /usr/lib/ssl/CA.sh -newca で認証局証明書
n openssl req で認証局の署名要求書
n openssl ca でサーバ証明書
9
SSL/TLS サーバ証明書取得までの流れ
n 一般的には,自分で秘密鍵とCSR(証明書署名要求)を作成し,CSRを認証局に渡す
n 認証局は受け取ったCSRから,サーバ証明書を作成
10
サーバ 認証局
秘密鍵
CSR サーバ証明書
認証局秘密鍵 1. 秘密鍵生成
2. 秘密鍵からCSR生成 3. CSRを認証局へ送信
4.CSRと認証局秘密鍵からサーバ証明書生成 5. サーバ証明書を要求者に返信
SSL/TLS サーバ秘密鍵とCSRの生成
n 秘密鍵の生成
n openssl genrsa -out private.key 2048
n RSAの2048bit秘密鍵を生成
n CSRの生成
n openssl req -new -key private.key -out req.csr
n 各種質問に答える
11
防御ツール n ファイアウォール
n iptables (Linix), Windows Firewall
n 侵入防御システム(IDS/IPS)
n Snort
n ペネトレーションテスト
n Metasploit, Nessus, OpenVAS
n ハニーポット(防御とはちょっと違う)
n kippo, Google Hack Honeypot (GHH)
n 改竄検知・監視
n tripwire
n 観測
n ダークネットモニタ
12
sshハニーポット kippo
n パニーポット
n 攻撃者を釣るためのソフトウェア
n 攻撃社の挙動を収集
n ウィルスの収集
n kippo
n sshはPCを操作するためのプロトコル・ソフトウェア.リモートシェルとも呼ばれる.
n kippoはsshのハニーポットで,sshを模倣
n http://code.google.com/p/kippo/
13
kippoのインストールと起動
n Pythonの非同期通信ライブラリtwistedをインストール後,kippoをダウンロードし,起動
14
$ sudo apt-get install python-twisted $ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz $ tar xzfv kippo-0.8.tar.gz $ cd kippo-0.8 $ ./start.sh
kippoの起動確認 n デフォルトではTCPの2222番ポートで待ち受け
15
$ netstat -an 稼働中のインターネット接続 (サーバと確立) Proto 受信-Q 送信-Q 内部アドレス 外部アドレス 状態 tcp 0 0 0.0.0.0:47687 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
kippoのユーザアカウントの追加
n kippo-0.8/data/userdb.txtに追記することで,ログイン可能なアカウントを追加可能
n viでアカウントを追加してみよ
16
$ cat data/userdb.txt root:0:123456 root:0:abc
IDがrootで,パスワードがabcの アカウントを追加した状態.
デフォルトでは,root:123456でログイン可能. 真ん中の0はユーザID(rootは普通0)
kippoへのログイン n sshコマンドでローカルのkippoへログイン
n ポート番号とアカウントIDを指定すること
n ログアウトできないので,シェルのウィンドウを閉じること
17
$ ssh -p 2222 root@localhost Password: nas3:~# ls nas3:~# ls / lost+found vmlinuz srv sys run sbin proc mnt bin usr tmp var initrd.img etc opt boot selinux home media lib root nas3:~# exit Connection to server closed. localhost:~#
kippoのログ確認 n ログはkippo-0.8/log以下に保存される
n log/kippo.log にアクセスログが記録
n log/tty 以下に,ログイン後のttyログが記録
18
kippo.log n ログインされた様子が記録される
19
$ less log/kippo.log 2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] login attempt [root/abc] succeeded 2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] root authenticated with keyboard-interactive 2013-11-28 16:43:33+0900 [SSHService ssh-userauth on HoneyPotTransport,3,127.0.0.1] starting service ssh-connection 2013-11-28 16:43:33+0900 [SSHService ssh-connection on HoneyPotTransport,3,127.0.0.1] got channel session request 2013-11-28 16:43:33+0900 [SSHChannel session (0) on SSHService ssh-connection on HoneyPotTransport,3,127.0.0.1] channel open
他人のkippoへログイン n 他人(隣)のkippoへログインしてみること
n ifconfigコマンドでIPアドレスを調べること
20
ダークネットモニタ n サイレントモニタ,ネットワークテレスコープとも呼ばれる
n 利用されていないIPアドレスに飛んでくるパケットを観測
n アドレス,ポートスキャンなどの観測
n マルウェアのトレンド観測
n DDoSなどの跳ねかえりパケット観測
n NICTのNICTER,警察庁の@police インターネット定点観測
21
ダークネットモニタ NICTER
n http://www.nicter.jp/
22
ダークネットモニタ @police インターネット定点観測
n http://www.npa.go.jp/cyberpolice/detect/observation.html
23
世界中のセキュリティ事故・問題(1) 情報流出
n Adobe社の情報流出
n Adobe社とはPhotoshop, Illustratorなど著名なマルチメディアソフトの制作会社
n 今年の9月にAdobe社へサイバー攻撃があり,顧客情報が流出
n 公式発表では,290万人,ニュースでは数千万人のアカウント情報が漏洩
n その他にも,Yahoo! Japan,日本生命,にちゃんねる,など様々な企業・団体が流出事故を引き起こす
24
世界中のセキュリティ事故・問題(2) DNSアンプ攻撃
n DNSサーバを悪用したDDoS攻撃
n 今年の3月にアンチスパム団体のSpamhousが標的となる
n 最大瞬間300GBpsものトラフィックを生成
25 DNSサーバ(オープンリゾルバ)
攻撃対象 攻撃者 ソースアドレスを攻撃対象に偽装した
ANYクエリ
世界中のセキュリティ事故・問題(3) DNSオープンリゾルバの分布
26
世界中のセキュリティ事故・問題(4) プライバシ問題
n AppleがiPhoneユーザの位置情報を勝手に収集
n 2011年に発覚
n Appleの公式見解では,ソフトウェアのバグによるもの
n カレログ
n 2011年に登場した,彼氏の携帯を監視するアプリ
n 現在位置,バッテリー状況など逐一監視可能
27
世界中のセキュリティ事故・問題(5) 検閲
n 中国の金盾(Great Fire Wall)
n DNS汚染などによる検閲
n sshなどの暗号化ソフトウェアは利用できない
n 特定キーワード(天安門事件)のブロック
n エジプトのインターネット遮断
n 2010年に起こったチェニジアのジャスミン革命(Facebook革命)を発端に,アラビア諸国で大規模な民主化運動が起こる(アラブの春)
n Facebook等のソーシャルメディアが,情報交換に大きな役割を果たしていたため,エジプト政府は検閲を目的にインターネットを遮断
28
世界中のセキュリティ事故・問題(6) 標的型攻撃
n 特定の企業,組織,情報を狙った,明確な意思を持った攻撃
n 脆弱性,フィッシング,ソーシャルハッキングなど,あらゆる攻撃手段の複合技で,情報の窃盗を行う
n 最近のメールを使った例:
n 就職活動中の学生を装い,企業の人事担当者宛に偽の履歴書ファイル(履歴書.zip)を送信
n ファイルを開くと,Microsoft Officeの脆弱性が利用されPCがマルウェアに感染
29
世界中のセキュリティ事故・問題(7) Stuxnet(標的型攻撃)
n 2010年に発見された,標的型攻撃に用いられるマルウェア
n 非常に高度な技術力をもって作成された
n USBメモリ経由でも感染し,インターネットから隔離された環境にも侵入可能
n 当時,未知であったWindowsの脆弱性数件を悪用
n ドイツのシーメンス社による産業システムが攻撃対象
n イランの核燃料施設が攻撃され,一時稼働不可能になる
n 作成者は,アメリカの国家安全保障局(非公式にアメリカが認める)
30
世界中のセキュリティ事故・問題(8) スノーデン事件
n 元アメリカ中央情報局(CIA)職員のスノーデン氏が,アメリカの個人情報収集活動を世界中に暴露
n 暴露内容(どこまでが真実か不透明)
n インターネット傍受システムPRISMの存在
n Google, Facebookなどの巨大IT企業が,アメリカ政府に個人情報を渡している
n Stuxnetの作者はアメリカとイスラエル
n SSL/TLS認証局の秘密鍵もアメリカ政府が保持
n などなど
n 現在,アメリカから指名手配されており,ロシアに滞在中
31
世界中のセキュリティ事故・問題(9) Gamblarウィルス
n 2009年に世界的に大流行したウィルス
n FTPアカウント情報窃盗を行い,その情報を元にウェブサイトの改ざんが行われる
n さらに,攻撃用のコードがウェブサイトに埋め込まれ,それを閲覧したユーザにも感染が拡大
n 日本でも,トヨタやリコーなどはじめ,様々な企業サイトが改ざんされる
32