Last update: 2009/7/28
Since 2009/7/28 by Shigeo Yashiro @kek jp
2009/7/16-17 のセミナーを聴講したときの個人的なメモです。
Inside : K11 - K12 - A13 - A15 - K21 - A21 - A25
〜 The Most Dangerous New Cyber Attacks and How to Prevent Them 〜
SANS Institute 調査研究部門ディレクター
アラン パーラー Alan Paller
- 最近の脅威の傾向
- ソーシャルエンジニアリング
ソーシャルエンジニアリングを利用した偽装メイルの添付ファイル
ex.) Federal Trade Commissin から「あなたの会社に苦情が来ています。xx日以内に回答してください。」
- 信頼できるサイトを利用
SQL injection, エラーを利用して java script の挿入
- Supply chain attacks
Digital picture frames や MP3 players を通じて感染
- 上記の攻撃を止めることは可能か
No! ==> ではどうするか?
今までは防御が第一、今後は早期発見と対処の重要性が増大
分析力のある技術者が必要になる
- 必要とされる技術力
Refer to slide P5-1
- US 政府の変化
Refer to slide P5-4&5
報告書作成の人員の削減、技術力のある人員の増員
# K12 PCI DSS準拠によるセキュリティ強化対策とVISA AISプログラムへの取組み
ビザ・ワールドワイド・ジャパン株式会社 リスクマネージメント
カントリー リスク ダイレクター
井原 亮二 氏
株式会社Kaspersky Labs Japan 情報セキュリティラボ 所長
ミヒャエル モルスナー 氏
- 最近の脅威の傾向 -- Phishingの進化
- ワンクリック詐欺
- 反応しないことで6-7回のクリックをさせる -- 訴訟対策。本人の意思の証拠。
- 恐喝請求がメイルから、デスクトップ上に請求のウインドウを表示する → 恥ずかしい内容を消去できない → 支払いに同意するとやっと消える、という方式に変化している。
「アダルトサイトのご利用ありがとうございました。支払いの確認をお願いします。」
- Gumbler(通称、GENOウイルス)の出現
内容は https://www.netsecurity.ne.jp/3_13585.html 参照。
〜Hacking with BackTrack〜
SANSシニアインストラクター Configuresoft CSO
デイブ シャックルフォード Dave Shackleford
- Backtrack byhttp://www.remote-exploit.org/
300以上のツールが揃っている。
- 調査の手順
- 一般に公開されている情報の収集
WHOIS, ARIN/APNIC/RIPE-NCC, DNS, ...
- Scanning
IP/MAC addr., ping, TCP port scan, Malformed packet scan, バージョン情報、脆弱性
- Exploitation
- Pivoting
- 報告書の作成
- セキュリティ関連サイト
www.sans.org
www.securityfocus.com
www.secunia.com
www.rootsecure.net
www.darkreading.com
www.xvasp.org ???
〜 The New Security Movements Liven Up! 〜
SANS Institute 調査研究部門ディレクター
アラン パーラー Alan Paller
- 従来の体制の問題
US FISMA (Federal Information Security Management Act) が
膨大な予算を使いながら見合った成果がないことが議会で問題になった
NIST guidance が現場での指針になっていないこと、additional documents を含めて1万ページにわたる
プロジェクトの責任者さえ全文を読んでいないものである
単なるガイドラインである
セキュリティの現場の者が参加していない
攻撃を知らない人が作成したので、重要でないことまで書かれているので本質的なことが見失われる
- なぜアプリケーションの脆弱性がなくならないのか
セキュリティを知っているものがセキュアなプログラムを書けるわけでない
- システムの防御は穴だらけ
次の5年間に必要なのは、異常を発見でき、他人が容易に使える検知ツールを作成できる専門家
Malware を検知することにより、Phising site, SPAM発信ホストを減らせる
- システム管理者にセキュリティが専門家になることを要求する訳でない
小さな異変に気づくようになること
異変の調査の技術者
- 人材発掘&育成プログラム
- 攻撃者と対決できる技術者
セキュリティ関係者10万人のうち1000人しかいない
今後20000-30000人必要。
- US Cyber Challenge
コンテスト、Cyber camps, 養成コース、インターンシップ
攻撃より防御の方が困難、技術力が必要と教育
- "20 Critical Security Controls" をSANS が作成
防御責任者の協力が得られた
36ページの、実効性のある文書
将来の項目追加には、実効性あることの証明が必要
- 効果
セキュアな設定での納品の義務付け (US air force, White House)
パッチ当てまでの日数の大幅削減
- 個人メモ:
文書は実践的対応の観点で作成
技術力のある者の攻撃に対決することはできない ==> 早期検知と対処のみ
防御には、
- アプリケーションを最新にする
- セキュリテイ設定の確認
- 不要なサービスの停止
- 不要なportの閉鎖(inbound, outbound共)
- 検知ツールの利用
# K22 国際競争力・イノベーションを促進するための情報管理のあり方
経済産業省 経済産業政策局 知的財産政策室 室長
中原 裕彦 氏
〜 Lessons Learned: Endpoint Security - What Works and What Does Not 〜
SANS Technology Institute プレジデント
スティーブン ノースカット Stephen Northcutt
- ブラウザ利用時の脅威
- ブラウザで見えるのは、コンテンツのみ。スクリプトに危険が隠されている。
- 複数のブラウザあるいは複数のタブを使うのは危険。知らないうちに他方のタブで意図しないものが開かれている可能性。
- 前に開いていた URL やクッキーを、次に開いたサイトが取ることが可能。
- ポップアップのリンクは絶対に開かないこと。
- ブラウザの管理 (注: 内容についての個人的な再確認はまだです)
- 実際に行われる全アクセスの確認
Paros proxy
- ブラウザのセキュリティ検査
bcheck
- Black List
someonewhocares
- Firefox 固有のこと
plug-in は脆弱性を増やす -- 最小限の利用にとどめる
厳格にするなら NoScript を導入する
- IE 固有のこと
Sandboxie を使う
- Web閲覧で感染する malware 対策に Anti Virus は限界
- スパイウェア対策の導入
One Care (販売終了) と
Spybot ( ==>設定方法)
- 講演者の使っているソフト
Vista Premium では MS One Care, Spybot, NoScript, Sandboxie
XP では Symantec 2008, Spybot, TeaTimer, NoScript, Sandboxie, Regclean
〜 Building and Maintaining a Strong Security Team 〜
SANS Technology Institute プレジデント
スティーブン ノースカット Stephen Northcutt
〜 Log Analysis Kung Fu - Using Log Analysis Techniques to Detect and Deter the Bad Guys 〜
SANSシニアインストラクター Configuresoft CSO
デイブ シャックルフォード Dave Shackleford
- 断片的なメモ
- 45万の Web page に malware がある。--> Key logger が仕込まれている
- p0f -- 通信相手にパケットを送らず、送られてくるパケットだけで、相手の OS バージョンの推定するツール。
- 管理者権限での Web surfing は危険が一杯
SANS Instituteは、政府や企業・団体間における研究、及びそれらに所属する人々の
ITセキュリティ教育を目的として1989年に設立された組織で、情報セキュリティ教育
プログラムや各種セキュリティ情報・意見交換の場などを提供しています。
上記の話が紹介されたセッション:
http://www.entryweb.jp/sans/fv09/keynote.html#k-21
SANS: http://www.sans.org/
SANS Jpan project: http://sans-japan.jp/