第11回まっちゃ445勉強会

| | コメント(0) | トラックバック(0)

行ってきました。

・第11回 まっちゃ445勉強会
http://matcha445.techtalk.jp/saturday-workshop/11th-workshop (Google Sites)

テーマは「Security Development Lifecycle (SDL)」。

目覚まし勉強会 (ライトニングトーク)


ブラウザー勉強会始めました
Hebikuzureさん (hatena)


プレ勉強会を2010/03/27(土) 13:00~17:00の予定で開催。
場所は、まっちゃ445でも何度か使用した 蒲田(東京都大田区)の大田区産業プラザ PIO。


・ブラウザー勉強会 プレ開催 : ATND
http://atnd.org/events/3195
申し込み受付中

・ブラウザー勉強会 | Google グループ
http://groups.google.com/group/Browserworkshop?hl=ja
ブラウザー勉強会のグループ

・Browser Workshop - ブラウザー勉強会
http://www.interq.or.jp/gold/east/

年3-4回のペースで開催したい。
まっちゃ系、モジラ系とは日程がかぶらないようにしたい。

内容的には、WEB技術全般。
(mixiアプリのような)WEBアプリのボット化、リクエストビルダーでリクエスト作成・・・etc.

M現象(エムゲンショウ)を追え!!
Oro さん


発見者の名前からM現象と呼ぶそう。

NTFS で、resident な $DATA にデータを保存する。($DATA内にファイルデータそのものが記録される)
論理サイズと、$DATA属性の終端が異なる場合、データを埋め込めると言うもの。

・再現方法

  1. 408バイトのファイルを作成
  2. 204バイトにして上書き保存
  3. 8バイト単位で管理してるっぽいので、論理サイズ(204バイト)と$DATA属性の終端までの間にデータ(=8-204%8=4バイト)が残る。ただし、論理サイズ分しか読み出さないので、表示される事はない。

論理コピーをすると、埋め込んだデータは失われる。
7バイト未満のデータを埋め込める。


なぜ、アンチウィルスメーカが無料ソフトを出したのか?-人類パンダ補完計画-
フラッシュさん (@it_tutor)


「Panda Cloud Antivirus」の紹介。

プレゼン用の資料、全然用意してなかった! どうしよ~ #matcha445
Twitter / Hiroshi Takahashi

からスタート。(現地入り後のtweet)

Panda Security = スペインのアンチウィルスの会社

・Panda Cloud Antivirus 無料
http://www.cloudantivirus.jp/

2010/03/01に新バージョンが出た。
このバージョンアップでホワイトリストの機能が追加されている。

製品版とエンジンは全く同じ。
パターンファイルはPC上に持たない(キャッシュは持つ)。
ネット上のサーバに問い合わせて確認を行う。

無料版で集めた検体の情報は、20分でサーバにアップデートされる。
クライアントは1時間に数回更新される。
LANの中ではP2Pでやり取りを行う事もある。

製品版 (Panda Cloud Office Protection の事かな?)は、アンチウィルスのサーバは社内になくてOK。管理者は akamai のサーバ経由で各クライアントのアンチウィルスのバージョンなどを確認できる。


第11回まっちゃ445勉強会


Security Development Lifecycle
MS ジョン ルー 氏


・SDL (Microsoft Security Development Lifecycle) | SDL Process Guidance
http://www.microsoft.com/security/sdl/

・Get Started: Tools - Microsoft Security Development Lifecycle (SDL)
http://www.microsoft.com/security/sdl/getstarted/tools.aspx
SDLに使えるツール。各ステージのTOOLSをクリックすると、そのステージで使えるツールが表示される。


・セキュリティ対策

  • PASSIVE モード → 報告を受けたら修正
  • PROACTIVE モード → 報告を受ける前に脆弱性を潰していく

→ どうやって実現するか?
→ Security Development Lifecycle (SDL)

ソフトウェア開発ライフサイクルが元になっている。
SDLは、ソフトウェア開発ライフサイクルの各ステージにセキュリティを追加していく。
新しいステージを追加するのではない。

7つのステージはここの図を参照。


今日は、以下の3つにスポットを当てて説明された。

  1. セキュリティ トレーニング
  2. 脅威モデル
  3. Verifications (確認・チェック)

■ 1. セキュリ ティトレーニング

全員にセキュリティトレーニングを行う。
開発を始める前の最初の段階でトレーニングをする事は重要

■ 2. 脅威モデル

設計段階で行われる。

・攻撃のタイプ (6種類) ・・・ STRIDE

  1. S: Spoofing of user identity (なりすまし)
  2. T: Tampering (改ざん)
  3. R: Repudiation (ユーザが行った事実を拒否する。例:オンラインで購入したのに買ってないと言う)
  4. I: Informaton disclosure (情報漏洩)
  5. D: Denial of Servise, DoS (サービス妨害)
  6. E: Elevation of privilege (特権の昇格)

簡単なセミナーのアンケートを集計するWEBアプリの例を考えた。

1. 攻撃のタイプを考える。

集計結果が狂う複数回回答が考えられる
アクセスを集中させ、サービス妨害する攻撃が考えられる。

2. 攻撃のタイプを考えたら、対策を考える。

COOKIEの確認、IPアドレスの確認、ユーザ認証を行う etc.

3. 対策を考えたら、弊害を考える。

同一IPアドレスからのアクセスを拒否した場合、会社からのアクセスでも問題ないか?
ユーザ認証を行った場合、回答者に手間が掛かるため、アンケートに答えてもらえなくならないか?

ビジネスモデルを考えて、対策を決定する。

十分なリスク分析と、それに対する対策をマニュアル(手動)で考えていく必要がある。

■ 3. Verification

・Get Started: Tools - Microsoft Security Development Lifecycle (SDL)
http://www.microsoft.com/security/sdl/getstarted/tools.aspx

お勧めのツールは、「CAT.NET」「FxCop」。
ただし C# のみ。


MSはトップダウンでセキュリティを強制されている。
マネージメントに理解してもらう事は大事。
数字で説得することが必要な場合もある。
導入にはコストが掛かるが、一度始まると徐々にコストが掛からなくなる。

MSがSDLを導入したのは2002年から。
最初の製品は Windows XP の SP2。
最初に製品全体を通して適用した製品は Windows Vista。

MSは過去の失敗に学んだ。インシデントがあると予算を付けやすいが・・・。


アクセス制御の共通化を考える(XACMLの話)
Oralce 澤井 真二 氏


・アクセス制御
オブジェクトに対して、適正な権限をもつサブジェクトに対してアクセスを許可する

・なぜ共通化が難しくなるのか?

  1. それぞれに実装しているため
  2. 共通化するための条件を満たしていない

・XACML
アクセス制御ポリシーの標準書式とプロトコルを規定している
現行 バージョン2.0。バージョン3.0はドラフト。


お菓子

Pastel南青山 まめのお菓子。

お菓子

トラックバック(0)

このブログ記事を参照しているブログ一覧: 第11回まっちゃ445勉強会

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/530

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2010年3月 7日 06:03に書いたブログ記事です。

ひとつ前のブログ記事は「sshbl.org - (the SSH blacklist)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261