第12回まっちゃ445勉強会にいってきた

5月29日(土)に第12回まっちゃ445勉強会に参加してきました。
だいぶ時間が経ってしまいましたが、そのときのメモを公開します。

公式サイト:第12回 まっちゃ445勉強会 - まっちゃ445勉強会

Session1:『「願い」〜ペネトレーションテスターからセキュリティ担当者へ〜』辻 さん

Q&Aの部分

  • 脆弱性スキャナの評価方法
    • VMを使って脆弱性を仕込んだサーバを準備しておき、検査をかけてみる。
    • どれぐらい見つけられるか比べる
    • ブルートフォースツールが付いていれば、それも使ってみる
  • 脆弱性検査報告会のポイント
    • 検査を受ける立場からすれば、「危ないかどうか」を白黒つけたい
    • でも、はっきり白黒つけるのは難しい。
    • 検出項目に重み付けして、検査依頼者が判断をつけやすいようにする
    • ツールの検出結果をそのまま出すのではなくて、状況に合わせて重みを変更することもある
  • どうしても止められないシステムにセキュリティホールが見つかった場合
    • 運用でカバーするしかない
    • ネットワーク機器でカバーするとか、居室の物理的なセキュリティで対策するとか。

Session2:ライトニングトーク

LT1:「ペネトレーション テスターより愛を込めて。 Part2」 辻さん
  • 内容を一言で言うと、「検出されやすい脆弱性は、うっかりミスが多い。」

ありがちな脆弱性いろいろ:

  • SNMPのコミュニティ名
    • publicみたいな名前だと、推測されやすい
    • 権限さえあれば、情報を書き換えることもできる
  • VNC
    • SSHtelnetのパスワードは強固でも、VNCだけ穴空いてることが意外とある
  • 弱いパスワード
    • 人名、組織名+数字、@西暦(構築年とか)
    • 入っていそうなアプリ名も利用されがち(apache,mysqlなど)
  • SSL
    • いまだにSSLv2が有効になってるサーバが多い
      • Apacheのデフォルト設定だから。携帯サイト以外では不要
    • 128bit未満の暗号化キー⇒下位互換のためのものだから基本的に不要
  • Apache
    • ExpectメソッドでのXSS⇒ありがち
    • 413エラーメッセージでのXSS⇒ありがち
    • Apacheは何かのツールをインストールしたときに、WebUIのために一緒にインストールされることがある。気づかないうちにインストールされるので、セキュリティ対策が漏れる。
      • システムの内容を正しく把握することが重要。
LT2:「とあるシステムの脆弱性」 totoroさん

内容の公開不可とのことでした。

LT3:「Google Chromium OS Forensics」 Oroさん
  • ユーザデータがファイルとして扱われ、個別に暗号化される
    • dm_cryptで暗号化されたループデバイスとしてマウントされる。
    • 暗号化キーはGoogleアカウントのパスワードハッシュ+文字列
    • パスワードハッシュを突破すると、Googleの機密情報を侵害することになる
      • GoogleアカウントのID/パスワード情報はGoogleの所有物
      • パスワードハッシュを突破してデータ解析することは法律的にまずい。

感想

仕事でセキュリティ担当をしている人となかなかお話しする機会がなかったけれど、勉強会という場で他社のセキュリティ業務の話などざっくばらんにできて楽しかった!社内だと、セキュリティ担当者は限られているし、ネガティブな話題になりがちなので。また参加したいなー。