情報セキュリティ講習会の2日目。 昨日の続きのDB絡みのSQLインジェクションの演習のあと、 情報セキュリティの基礎、暗号化の後、 攻撃に対する証拠集めといったフォレンジックの演習を行う。

情報セキュリティの基礎

情報セキュリティのCIAの3要素に、3要素が追加

• 機密性(C)、完全性(I)、可用性(A)
• 責任追跡性(A)、真正性(A)、信頼性(R)

全ての攻撃を防ぐことは不可能…

• 防御対象の掌握、最小特権の原則、多層防御、職務分離

脅威、脆弱性、リスク

• リスク = 情報資産の価値 ✕ 脅威 ✕ 脆弱性の度合い

識別、認証、認可、『監査』

• 本人が知っていること(Something You Know:SYK)
• 本人が持っているもの(Something You Have:SYH) – ICカード,IDカード,PW,トークン
• 本人の特徴(Something You Are:SYA) – 生体認証など

攻撃

• DoS(Denial of Service)、中間者攻撃/なりすまし

• https://www.exploit-db.com脆弱性データベース
• firesheep によるアカウント乗っ取り

無線LANに対する攻撃

• WEP Crack , MACアドレス偽装 , War Driving(街中でSSID検索)

電子メール攻撃

• 標的型攻撃メールを100%開かせない対策は困難 – 事案が発生した場合の対策が重要

ソーシャルエンジニアリング

攻撃者の目的は何なのか？

• 返報性、コミットメントと一貫性、社会的証明、好意、威厳、希少性を狙う。

暗号化

• 復号を「復号化」って書くのは間違った表現。
• 共通鍵暗号方式(DES,AES,RC4)、公開鍵暗号方式(秘密鍵と公開鍵/RSA,楕円曲線)

• 認証：ハッシュ関数とハッシュ値(SHA-256,SHA-384,SHA-512)

• Pika zip : 暗号のブルートフォースアタックで解除(クラッキングツール扱いでダウンロードが困難かも)
• Cain and Abel : によるWindowsパスワード解析

侵入検知・検出

IPS(侵入防止システム)は侵入の判断基準となるルールやパターンである シグネチャを使って検出。

アノマリ検知(正常状態を定義し、それに違反するものは検知)

フォレンジック

• インシデントハンドリング(検知,トリアージ,インシデントレスポンス,報告)
• 準備、識別、封込、根絶、復旧、教訓
• フォレンジックは、識別,封込,根絶のための技術
• 何があったのか、いつ起きたのか、誰が関わったのか、被害の範囲、どのよう な攻撃、目的は何か
• ファイルシステムフォレンジック、メモリフォレンジック、ネット ワークフォレンジック、メディアフォレンジック、モバイルフォレンジック、クラウドフォレンジック
• フォレンジックの流れ：収集、検査、分析、報告

ファイルシステムフォレンジック

• トラブル時にハードディスクのイメージを如何に残すか…
• ファイルシステム、BIOS、MBR…

メモリフォレンジック

• https://www.virustotal.com/ja/ファイル内のウィルス混入を分析するサービス
• OSのハイバネーションデータから実行時メモリを抽出

Windowsアーティファクト

• レジストリハイブ(ディスク上に保存されるレジストリの実体)を解析
• ユーザーアシスト(explorer.exeから軌道したアプリケーション履歴)
• プリフェッチ(起動したプログラムの起動情報を覚えて高速化)の情報か ら、アプリケーションの実行回数、最終実行日時、ロードモジュールがわかる。WinPrefetchView
• ジャンプリスト(タスクバーの起動頻度などの情報)
• MRU List(最近最も使われたものを順番に保存しているリスト)
• シェルバッグ(エクスプローラで参照したフォルダの履歴)
• ショートカット、最近使ったファイル、検索履歴、サムネイル、ゴミ箱($Recycle.bin)
• システム情報(タイムゾーン)、ネットワーク履歴
• セキュリティイベントログ(標準ツール:イベントビューア)
• Webブラウザーフォレンジック(ダウンロード,閲覧履歴,キャッシュ,クッキー, フラッシュクッキー,セッションリストア情報)
• IEでは、Webアクセス以外のアクセス履歴が残るので、フォレンジックに使えたり…

機構主催で開催12/8〜10の情報セキュリティの講習会に参加中。

１日目は、まずは導入ということで、Windows,Unixの セキュリティに関する話題。 演習では、Windowsでのパスワード長や 有効期限設定、ACLやUACなどの設定や、 Unixでsudo,nmap,iptablesの設定の話題をざっと説明を受ける。

演習は、Windows,Unixのどちらかで演習しましょうとのことだった けど、Unixのネタは、自宅サーバ構築で経験のある内容であり、 要所を押さえておいて、Windowsのわかっちゃいるけど 実際に設定したことのない演習をチラホラやってみる。

管理者向けのWindowsのプロセスモニタの Process Explorerなども紹介してもらう。

RSSを使った情報活用の実験で、 学生さんが、RSSフィードの作成に興味を持っているので、 PerlでHTMLソースを扱うためのプログラミングの説明。

HTMLのソースをダウンロードするのであれば、 Perlであれば、"LWP::Simple"が便利。

#!/usr/bin/perl
use Jcode ;      # 文字コード変換用に
use LWP::Simple; #
# ダウンロードしたいURLをget()に渡すだけで、
# 全ソースをとってきてくれる。
$content = get( "http://www.ei.fukui-nct.ac.jp/" ) ;
# 行単位の処理をするほうが判りやすいので...
my $c = 0 ;
# split で行ごとに分割
foreach my $line ( split( /\n/ , $content ) ) {
   # 今回は、EUC-JPに変換して出力
   $le = Jcode->new( $line )->euc ;
   printf( "%04d: " , $c++ ) ;
   print "$le\n" ;
}

IchigoJam で真面目にπを計算させるというのを、 松田さんがBlogに書かれていて、面白かったので、 追加でちょいとお遊び。

元プログラムは、1000回ループのモンテカルロ法で、 精度をあげるには…というお話なんだけど、 1000回ループを10倍で….なら、100×100のマス目で x^2 + y^2 < 100^2 の判定と同じということで、 超簡単なプログラムで答えを比べてみた。

たった、4行のプログラムだけど、精度をあげようと 思うと奥が深いかな。