2015年08月の#ssmjpまとめ
今日は仕事早めに交代してもらえたので品川に移動して #ssmjp へ。車で移動していた日なのでどうしようかと思ったけれど、すぐ横にショッピングセンターがあって駐車できるので良かった。帰りにいろいろ買えばいいし。
— motoyuki(@motoyuki)Tue Aug 25 09:39:39 +0000 2015
返信
リツイ
お気に
「フリーでやろうぜ! セキュリティチェック」から。 #ssmjp
前フリは脆弱性診断士スキルマップ。
本題はJTF2015。
めも/活動紹介|ISOG-J 日本セキュリティオペレーション事業者協議会 ow.ly/RkyPr #ssmjp
簡易的なセキュリティチェックの話。無料かつ手間がかからない範囲で。 #ssmjp
インフラ編、Webアプリ編、Appendixの3部立て、だけどAppendixは今日初めて公開する。 #ssmjp
インフラ編はNmapとOpenVASの説明。OpenVASはGUIで説明するけど、CLI版の説明を作ってる人もいるのでそっちもどうぞ。 #ssmjp
診断時の注意事項:クラウド環境などで勝手にやると不正アクセスとして検知されることがある。クラウド事業者によっては診断時の申請フォームが会ったりするので申請しておこう。#ssmjp
アプリケーションの診断時には、多重DB書き込みや大量メール送信が発生しうるので、テスト環境でやることをおすすめします。#ssmjp
ホワイトボックステスト系のおすすめツール:OWASP Dependency Check
依存するライブラリなどをチェックし、脆弱性がある物がないかをチェックしてくれる。#ssmjp
依存するライブラリなどをチェックし、脆弱性がある物がないかをチェックしてくれる。#ssmjp
Perlはサポートしてないのか>OWASP Dependency Check #ssmjp
MBSA(Microsoft Baseline Security Analyzer)もおすすめ。Windowsのパッチ状況や設定上の脆弱性をチェックしてくれる。#ssmjp
検証やトレーニングに使えるもの:OWASP BWA
意図的に脆弱性が仕込まれた仮想マシンイメージ。カテゴリごとの練習用イメージを利用できる。#ssmjp
意図的に脆弱性が仕込まれた仮想マシンイメージ。カテゴリごとの練習用イメージを利用できる。#ssmjp
IPAが出しているAppGoatも同様のツールでおすすめ。こちらはローカルPC上で演習するための形式で配布されている。 #ssmjp
Metasploitableも。ペネトレーションテストのテスト環境。仮想マシンイメージで配布されていて、インフラ系の脆弱性診断テストに向いてるかと。 #ssmjp
おすすめドキュメント:ipaの安全なウェブサイトの作り方、同じくipaのウェブ健康診断仕様など。#ssmjp
セキュリティ情報の収集:IPA・JPCERT/CCのメーリングリスト。正確性は高いがスピードは若干遅め。JVNもおすすめ。#ssmjp
piyolog(piyokangoさんのblog)はおすすめ。セキュリティ業界の人も注目してたり。#ssmjp
Twitterセキュリティネタまとめ(yousukezanさん)もおすすめ。#ssmjp
そして twitterセキュリティネタまとめが紹介されるとか #ssmjp twitmatome.bogus.jp
個人的には Security Watch→セキュリティホールmemo→memo+piyolog という変遷 #ssmjp
フィルタリングの話:ルータ・ファイアウォール・サーバという構成…(ここから先はオフレコ #ssmjp
オフレコ解除) ルータでどんな対策を行ったか?:管理用とサービス用でネットワークを分ける、できない場合はDNS・NTPなどの通過設定を最小限に絞る #ssmjp
ISMS審査員の資格を持ってるけど色々お金がかかる、スキルアップの費用も自腹で切るのが痛い。この辺を会社に費用として認めさせると、確定申告で費用として申請できる。#ssmjp
去年から勤務必要経費として、図書費・被服費・交際費などが認められうるようになった。#ssmjp
確定申告で出す場合には、事前に申請様式に会社印が必要なので早めに総務に相談しておこう。#ssmjp
#ssmjp この話題まじで税理士さん相談しといたほうがええす。節税トークの付け焼き刃はまずい。
LAN内攻撃について:ARPキャッシュポイゾニング、IPスプーフィング、MACアドレス偽装、など #ssmjp
特定のエディタ使ってなくてVimは使うけどEmacsは使わないな(戦争する気はないが書く) #ssmjp
LAN内攻撃、特にMACアドレスに対する攻撃は対策があんまり無い、LAN内に侵入されてしまうと攻撃が成立してしまう #ssmjp
ARPキャッシュポイズニンク攻撃の話。 #ssmjp LAN内での攻撃にどう立ち向かうか案。
ARPキャッシュポイゾニングに対する対策として、ARPキャッシュの後ろの方にパスワードのような文字列を含めるというのはどうか? と考えたが、総当りで破られるしパスワードを長くするのが難しい。#ssmjp
後ろにパスワード的なものをくっつけて、arpキャッシュポイズニングを防ぐっていう考え、いいじゃなーい #ssmjp
そもそもインターネットが性善説で動いているのが原因、数十年前は良かったかもしれないがそろそろ良くないのではないか #ssmjp
特に物理層・データリンク層がやばそう、ということでとりあえずデータリンク層について考えてみる #ssmjp
物理層は専門家()に任せて、データリンク層をどうするか #ssmjp → MACアドレスを な く し ち ゃ え ば ?
これやね pentan.info/doc/rfc/j4941.… Privacy Extensions for Stateless Address Autoconfiguration inIPv6 #ssmjp
MACアドレスをなくす:ARPキャッシュポイゾニングもMACアドレス偽装もなくなるから良いじゃん! #ssmjp
わかものいじめが始まったがARPキャッシュポイズニング対策のめんどくささを3行で説明しない年寄りのほうがアウツ #ssmjp
何の話してるか知らないけど、MACアドレスもIPv6もランダム化するRFCあるし、CiscoにはARP spoofingを防ぐ実装があるはず。 #ssmjp
New post: 2015年08月の#ssmjpまとめ(速報) ssm.pkan.org/?p=744 #ssmjp
#ssmjp 方面で特定支出控除よく知らない人向けに投げつけておくテスト twitter.com/mizukisa/statu…
ARPキャッシュポイゾニングって性質上アプライアンス突っ込んでどうこう、はできなさそーと思うんだけどそんなこと無い? 各ノードでどうにかするしか無いと思うんだけど #ssmjp
Catalystあたり調べるといいかも。 #ssmjp
Cisco Catalyst レイヤ 3 固定構成スイッチでのレイヤ 2 セキュリティ機能の設定例
cisco.com/cisco/web/supp…
Cisco Catalyst レイヤ 3 固定構成スイッチでのレイヤ 2 セキュリティ機能の設定例
cisco.com/cisco/web/supp…
とりあえず弊社鎮守府は「もう /var/log/messages ガチ監視だー!」からまず始まります>ARP絡み #ssmjp 対策っつーよりまず監視から
次は「人工知能の概論の概論とセキュリティへの応用(的な〜(苦笑)」#ssmjp
さっきのMACアドレス話、TLにもいろいろ情報出てきてるからこのへんもまとめて次回に活かしてほしい #ssmjp
前置き:機械学習とかディープラーニングとか話題になってきたけど、いざ触ろうとする時に知らないと辛い。そのきっかけになれば。#ssmjp
人工知能とは?:一般的にはロボット(ハ○とか○チとか)が想像されるかと。研究自体は18世紀中頃から始まり、1950年代くらいから学問分野として起こり始めた。#ssmjp
何故今盛り上がっているのか?:大量のデータを得ることができる環境ができてきた、計算速度が向上した(スペックそのもの、クラウドによるスケールアウト)、Deep learningなどの技術が出てきた #ssmjp
人工知能の関連分野:言語学、人類学、心理学、神経科学、哲学、セキュリティ(?)などが関連してくる #ssmjp
人工知能の研究テーマ:いっぱいある。Webとの組み合わせとか、言語学との関連とか、パターン認識とか。#ssmjp
人工知能は、遺伝的アルゴリズム、ベイズ理論(ベイジアンネットワーク)、隠れマルコフモデル、Support Vector Machine、ニューラルネットワーク等々 #ssmjp
状態空間表現:与えられた問題を状態空間に定義する。初期状態・ゴール状態・ルールが与えられる。
例:ハノイの塔 #ssmjp
例:ハノイの塔 #ssmjp
オートマトン:これも状態空間表現の一形態。入力された情報によって状態が遷移していく。#ssmjp
ペトリネット:オートマトンとグラフ理論を足して2で割ったようなもの。#ssmjp
最適化(Operations Research):ある条件下で目的関数が最大または最小となる状態を解析する。連続最適化・離散最適化など。#ssmjp
離散最適化はモデル化が難しい、これを人工知能で解決できるかというのは個人的に注目している #ssmjp
推論・学習:
推論:知識をもとに新たなデータを得る。例:オセロでどこにコマを置くのが良いのか? を考えるようになる
学習:情報から次に使えそうな知識を得る。経験則、過去データなどを元にしたりとか。#ssmjp
推論:知識をもとに新たなデータを得る。例:オセロでどこにコマを置くのが良いのか? を考えるようになる
学習:情報から次に使えそうな知識を得る。経験則、過去データなどを元にしたりとか。#ssmjp
自然言語処理:人間が使っている言語をコンピュータに解析させる。形態素解析とか。#ssmjp
機械学習:経験から学習させる。教師あり学習、教師なし学習、強化学習など。
解析手法として、回帰、クラス分類、クラスタリング、情報圧縮、レコメンデーションなどがある。#ssmjp
解析手法として、回帰、クラス分類、クラスタリング、情報圧縮、レコメンデーションなどがある。#ssmjp
条件付き学習/ベイズの理論:スパムフィルタなどで使われているアレ。#ssmjp
ニューラルネットワーク:神経回路を模した数理モデル。ディープラーニングはこれを発展させたもの。#ssmjp
日本語形態素解析、ひつじくんもどうぞよろしくね dev.smt.docomo.ne.jp/?p=docs.api.pa… #ssmjp
知的エージェント(オントロジー、セマンティックWeb):自律して情報の変化を学習する。
通販サイトのレコメンデーションなどもこれ。#ssmjp
通販サイトのレコメンデーションなどもこれ。#ssmjp
マルチエージェントシステム:ここのエージェントが独自にそのときの最適化された行動を判断する(中央集権的ではない)。#ssmjp
人工知能とかやろうとするとやっぱ数学いります。JTF2015で発表された資料が結構いい感じなので検索してどうぞ。 #ssmjp
高校数学をやり直すなら、チャート式(黄)がおすすめ。これをやり直すと大学数学にも突入できます。#ssmjp
「#ssmjp 2015/08 のまとめ[随時更新]」をトゥギャりました。 togetter.com/li/865336
そうだよなぁ、ヒューリスティック分析も考えたら人工知能の領域だよなぁ… #ssmjp
事後ログ解析などでも人工知能が応用できるのではないか、と考えている。#ssmjp
イマドキのSIEMってそういう推論する機能を実装している(目指している)じゃないだろうか。 #ssmjp
そしたらクラウドサーバのセキュリティというテーマで講演を依頼された! #ssmjp
いろいろ大変でした(講師キックオフ、選定会議、テキスト作成(印刷締め切りには間に合わなかった)、受講者用PCの作成(Vagrantでイメージ作成))。 #ssmjp
「セキュリティ・キャンプに参加してみた」 #ssmjp
ポイント:受講者が学生(中学生〜大学生)なので、考え方やキーワードを覚えて帰ってもらうのがメイン。
印象づけの道具として何が刺さるかわからなくて大変だった。
能動的に考えてほしいということでディスカッションの時間を入れた。
セキュリティ・マネジメントの観点で〆た #ssmjp
印象づけの道具として何が刺さるかわからなくて大変だった。
能動的に考えてほしいということでディスカッションの時間を入れた。
セキュリティ・マネジメントの観点で〆た #ssmjp
オチ:実習二時間中40分はネットワーク障害で何もできませんでした!(AA略 #ssmjp
まとめ:アウトプットしておくとどこで刺さるかわからないからアウトプット大事! #ssmjp
「ガンダム知ってる方」ってのもまた戦争が起こりそうなワードだなぁw #ssmjp
Post Edited: 2015年08月の#ssmjpまとめ(速報) ssm.pkan.org/?p=744 #ssmjp
マルウェア噛ませたところでMACアドレス偽装までやると検知されるしそれが出来ないなら元のアドレスとレスポンスパケットのアドレス比較してスイッチで落とせば終了ですね、ほんと頭が悪いLTして申し訳ありませんでした #ssmjp
最近のコメント