セキュリティうどん 6杯目に参加してきた。

home [セキュリティうどん(かまたま)]
去年は参加できていないので、2年ぶりの参加となりました。
前回も書いたような気がしますが、
いやほんと、これほど楽しい勉強会が開催される場所に住んでるなんて幸せもんです。
酔った勢いで書いているので、軽くまとめと感想を。


セキュリティうどん とは

セキュリティ系の勉強会。いつも香川で開催されています。
姉妹勉強会も結構あるようです。セキュリティみかんとか。
セキュリティうどんでは、3時のおやつが出ます。いつも美味しくいただいています。ありがとう。
懇親会では、お酒を飲んだ後、カレーうどんで締めます!

6杯目

今回で、セキュリティうどん は6杯目となりました。
6杯目は、次のような内容でした。
(どれもほんっっっとに面白くて、よかったです。)

  • 自己紹介タイム
  • ペネトレーションテスター vs セキュリティリスク」 by 辻さん
  • 「辻さんの キラキラパスワード管理」 by 辻さん
  • 「HOW TO PROTECT PC?」 by ひこにゃん
  • ホワイトベース発進!」 by hori先生
  • 「あなたの知らない在宅勤務の世界」 by くりゅえるさん
  • 懇親会
  • カレーうどん

自己紹介

適当にピックアップ。

  • 夢はzou団に入ることです!(夢はもっと高く!!と突っ込まれていましたw)
  • 会社から障害発生の連絡を受けたけど、きちゃいました!
  • 残念生やってます!(Dltnもやってます!7年目!いえい!)
  • 二倍速で自己紹介!(何故なら辻さんにときめいちゃったから・・・///)
  • ファ○ストサーバにやられました!!!

辻さんのペネトレーションテストの講演

ペネトレーションテストの普及と理解を目的とした講演でした。
ペネトレーションテストとは、脆弱性診断ツール。
ただし、あくまで診断するための「道具」なので、何でも鵜呑みにするのは危険。
診断結果を、きちんと見極めることが重要。


使うときは、シナリオを想定してシミュレーションする。
「内部に侵入されたとき」なら、「内部」から「内部」へテストしたりする。
IPを持つ機器なら、何でもテストできる。空調設備とか。
果ては、LoppiDreamcast もできるかも?



● チャラ辻 さんのExample!

ペネトレってどういうことするの? → 女の子を攻略するのと同じ

  1. 情報収集
  2. 攻撃方法の考察 ⇔ 告白の仕方を考察
  3. 攻撃 ⇔ 告白


ポートチェック。
動いてるサービスのバージョンチェック(推測の場合もある)。
マンションの玄関に例えると、扉がポート。扉の鍵が認証。部屋の中がサービス。
つまり、玄関が空いてて部屋の中に女の子が丸裸で居たら・・・

ペネトレーションテストの困ったちゃん

ペネトレーションテストツールには、困った部分が結構ある。

変な日本語訳
暴露脆弱性とか。何それ、みたいな。むしろ英語のままの方がいいよ、という場合も。


誤検出



上司「君に任せたのに危ないとか言われてるよ!」

担当者「これは誤検出なんです。」

上司「でもペネトレで報告きてるじゃないか!」

担当者「これは誤検出なんですよ、直せるものじゃないんです。」

上司「君の能力不足じゃないのか!」

担当者「だから違いますって」

上司「このペネトレいくらかかってると思ってるんだ!(80〜120万)」

担当者「いい加減にしろ!」

上司(ビクゥッ)
ごめんなさい下4行は適当につけたしましたw


非検出
原因は様々。

  • 検査パターンが間に合っていない
  • 急いで作ったりしてて、検査パターンの精度が低い
  • 開放ポートを発見できていない

開放ポートを発見できていないとかあるの?w → 現実にあったらしい。詳細はオフレコ。

ペネトレのリスク

ペネトレ(脆弱性スキャナ)には、



嘘と沈

  黙
というリスクが常にある。
これは日常的



ペネトレーションテストの定義(辻版)

コンピュータ、ネットワークに内在する弱点を検出し、実証、評価する行為。
実際の攻撃手法を用いて実証
検査者たちは、自分の手で嘘を見抜き、沈黙を破らなければならない。
結果の確認だけでなく、評価をしなければならない。

辻さんのキラキラパスワード管理の講演

パスワードクラッカーの紹介の後、
アカウントの盗難などを防ぐ目的として、
パスワードを定期的に変更しましょう!!!
なんて対策があるが、これは本当に有効なのかを検討する。


ニュースなどでは、パスワードクラッカーについて、オンラインとオフラインを混同している場合が多い。
オフラインでは、何万、何億といった攻撃が容易に可能。
オンラインでは、いちいち通信しないといけないので、そんなに高速にはむり。
じゃあどうやって? → ハッシュだけローカルに落として、オフラインで攻撃。など。


オンラインパスワードクラッカー

  • THC-HYDRA
  • Medusa (辻さんのオススメ)
  • Ncrack

など。今回は、この3つについて性能比較。
条件は、以下の通り。

  • システムに100ユーザ
  • 100(ID)*100(Pass)の辞書
  • 辞書でクラックできないアカウント含む
  • 同一セグメントのVM
  • SSHFTP について実験

SSHはNcrackが48分でダントツ。全部クラックOK。
続いて、Medusa が1時間程度。全部クラックOK。
HYDRAは、4時間近くかかって、数十個のクラックに失敗!
(速度を落としてあげると、全部クラック成功。でも、10時間以上もかかる・・・。)


同様にFTP
Hydraが13秒とダントツ。
逆にNcrackは18分もかかった。
Medusaは48秒。
SSHFTPの結果を見ても、Medusaが安定的!


オフラインパスワードクラッカー

  • John the ripper(辞書型)
  • RainbowCrack(前もってハッシュを用意)

RainbowCrackにより、LMは100%死んでる。64GB程度の辞書。ひぇぇぇぇえ。

パスワードの定期変更について突っ込む辻さん

何故、パスワードを定期変更するのか?

  • 破られる可能性を減らす
  • 破られたときの被害範囲を狭める

それは本当?


破られる可能性を減らすのか?

ブルートフォース(総当たり)で想定してみる。
単純な文字列、安易な単語は瞬殺
定期的な変更より、桁数や文字種を増やした方が効果的。
また、パスワードの試行回数を制限する。アカウントロック機構など。


破られたときの被害範囲を本当に狭めるのか?(短期的な場合)

  • オンラインバンキングの場合

オンラインバンキングの場合は、不正に気付きやすい仕組みがある。
パスワードが分かっても、出金したりできない仕組みがある。
例えば、ワンタイムパスや、マトリックス表による認証など。

  • サーバに侵入された場合

数時間以内にいろいろ仕込まれる。
被害を最小限に抑えるなら、
  早期発見の仕組み(IDSなど)
  アクセスコントロール(いらない通信のブロック)
などが有効!


破られたときの被害範囲を本当に狭めるのか?(長期的な場合)
機密情報などがクラックされた場合。
内部犯行なら、盗まれ続けないという効果がある。
(定期的にパスを変更するタイミングで攻撃が終わる。)
そのぐらい。


結論
パスワードの定期変更は、短期的には被害最小化に繋がらない。
長期的なら、限定的な場合に効果あり。
総合的に見て、あんまり意味ない


(余談) では、何故パスワードの定期変更?
理由は簡単。
昔は /etc/passwd に、パスワードのハッシュが入っていた。
このハッシュが破られるまでに時間がかかるので、それまでにパスを変えればいいでしょ、という話。
しかし今は、/etc/shadow が主流なので、あまり意味ないね、ということ。

これだけで終わらないパスワードの定期変更の罠

あまり意味ないだけじゃなく、実は危険が潜む
わざわざ、定期変更をルールとして強いるの?
運用に負荷をかけてまで?
それでもやるの?
でも、それが今度は逆に脅威を生むかもよ。えー!


パスワード定期変更による脅威
パスワードの変更を繰り返すうちに、覚えやすいものになりがちになる。
使い回しも多くなる。
こっちの方が断然危ない。
ドミノエフェクトの発生(ドミノが次々倒れていくように、1つの事象が次々と次の事象を起こしていく様子)。
被害を拡大させる。
パスのハッシュを入手し、Pass-the-hashする(1つのハッシュから芋づる式に)。
keimpx などのツールもある。


具体例
3台のうち、一台だけ脆弱性あり。他は脆弱性なし
しかし、Pass-the-hashすると、他のホストもパスワードを使いまわしていた!!
→ 結果、全てのホストに侵入できてしまう。
Anonymousというハッカー軍団が、セキュリティベンダーの HBGray を攻撃したときにも、
パスワードの使いまわしが行われていたことによって、ドミノエフェクトが発生していた。

余談

スライドで、ヒゲの人が最初に上司として登場していた。
その後、爆弾を投げる攻撃側としても登場していた。
パスワードと同様、図を使いまわしていなければ、上司が攻撃者になることはなかったのだ・・・。
言いたかっただけですごめんなさい。w

まとめ

攻撃者は人間。守る側も人間。
完全な自動化なんてものはない。
しっかりと、自分の目で見て、判断。これこそが、安全で安心なセキュリティの基本。

LT 「HOW TO PROTECT PC?」 by ひこにゃん

PCを食堂などでそのままにしておくと、危ないよ!というお話。
個人的には、生協で、PCの入った荷物を席取りのために置いておき、
そのまま場所を離れてしまう人たちの方がよっぽど危険だと4年ぐらい前から思ってる。
(盗みたい放題じゃん....)

LT 「ホワイトベース発進!」 by hori先生

もう2年ほど早ければ、開発要員として希望してた!
スライドが非常によくできてて、面白かった。ゲームとの絡め方がうまい。
また、ゲームを知っていれば、より一層楽しめる内容になっていました。
未踏に採択されているプロジェクトの紹介もありました。ぜひ頑張ってほしい。

LT 「あなたの知らない在宅勤務の世界」 by くりゅえるさん

在宅勤務のメリットデメリットのお話でした。
フリーランスと社員のいいとこどり。しかし、デメリットも双方から受け継いでる。
地味だけど、自由。でも、FREEDOM IS NOT FREE.


Dltnは、時給制と、出来高制で、2社掛け持ちで在宅やってます。
音楽かけながらテンションage ageでコーディングできたりするのはいいですね。
(その方が、持続時間が延びて、結果的に成果量が増えているので。)
でも、個人的には、会社でみんなと仕事したいです・・w
(というのも、周りの進捗が全く見えないのがすごく嫌....)

懇親会

地元の勉強会だけあって、地元トークが結構楽しかったです!!
地元ならではだなぁ。
あとは、辻さんのペネトレ話@女の子版。



● 女の子のペネトレ #チャラ辻

コンピュータをペネトレーションテストするのと、
女の子をペネトレーションテストするのは、
一個だけ違うことがあって、
コンピュータは度胸いらないけど、
女の子は度胸がいることだね。



● 名言

女の秘密なんて知っていいこと何一つないからね!
女の子に過去を聞く意味がわからない。
どうせ聞いても、0かマイナスでしょ?
過去なんてどうでもいいし。
大事なのは今じゃん?
今、その子が自分のこと好きなら、ええやん?

カレーうどん

二次会は、カレーうどん
このとき、辻さんやかめぞうさんが、とっても大事なことをたくさん言ってたので書いときますよ!



やりたいのなら、やればいい。

聞いた話に振り回されるんじゃなくて、自分でやってみればいい。

資格なんていらないよ。

@134_296 くんは、1年後、ちゃんと彼女を作ってくること。

その後

この後、自分は電車の時間が迫ってたので、離脱しました。
・・・が!!!!
迷子になった!!!!!!!!!!
アホだーーーーーーーー☜(´゚ c_,゚`☜)(☞´◔‿ゝ◔`)☞☜(´゚ c_,゚`☜)(☞´◔‿ゝ◔`)☞(ドコドコドコドコ
「こりゃ終電間に合わないかも」と思ったその時、なんとか目的地の隣の駅にたどり着きました。
・・・目的地にたどり着きたかった....
商店街からの迷子率が依然として高い( p_q)

セキュリティうどん 6杯目 まとめ

  • 相変わらずの楽しい勉強会でしたっ
  • 辻さんのサインカッコイイ (ありがとうございました。)
  • 辻さんはチャラい(?)
  • ペネトレーションテストは診断道具、診断結果をどうするかは技術者のあなたが決めること
  • パスワードは強固なものを使いましょうね
  • 某セキュリティ対策のリーディングカンパニーのサイトは誤字多すぎですw
  • 「やりたい」で終わるのはダメ。「やる」の。すぐ。Do it right now.

参加者の方々、お疲れ様でした!
辻さん、zou団のみなさん、お疲れ様でした&ありがとうございました!