2013 年度 特設講義(情報セキュリティ運用リテラシーⅠ・Ⅱ)

「セキュアシステムの
インターネットと
SNS 上での構築とその課題」 
WEB 公開版のため内容は
修正・一部削除してあります。
講師自己紹介

情報通信研究機構 ネットワークセキュリティ研究所 
セキュリティアーキテクチャ研究室 主任研究員
政策・メディア博士(慶應義塾大学政策・メディア研究科)
研究テーマ:ネットワークセキュリティ、オペレーティングシステム
■2000...
講師自己紹介 (publication)

相見眞,安藤類央,水谷正慶,武田圭史 「 WindowsOS 上での不正なファイルアクセス
の検知・無効化処理における負荷低減手法」 , 情報処理学会 コンピュータセキュリティ
シンポジウム20 10...
講師自己紹介 (presentation)

■PacSec Tokyo Novmber 2011, "Rapid and Massive monitoring of DHT: crawling 10
millions of nodes in ...
第1回:概要
 サイバーセキュリティ
の
長期トレンドと短期トレ
ンド
 ハッカーと攻撃技術の
分類
 スマートグリッドと
SCADA
 攻撃のインセンティブ
と
地下経済

• 攻撃技術
    Return Oriented
Pro...
第2回:概要
 長期トレンド
 新しい攻撃形態
 検出技術とアルゴリズ
ム
 大規模データのフィル
タリング
 大規模観測技術

• 第二回
攻撃技術
    Socware と SocialBot
標的型攻撃
    ソーシャルエン...
短期トレンド
Google vs Facebook
Market Share: 2010 May
Google はすべて
を
WEB 上に置いて
検索できるよう
にした。
知っている人
に訊けばいい
やというのが
Facebook の
発想

...
インターネットとソーシャルネットワークの違いトポ
ロジー
ライン
リング
バス

スター

C/S (クライアントサーバ) モデル
P2P
モデル トポロジー:スター型
トポロジー:メッシュ型
フルメッシュ
インターネット
ライン、スター、バス...
短期トレンド1

特殊なマルウェア( STUXNET)  
SNS2
IP 電話

ネットワーク上の
コミュニケーションの
性質変化
Volume
Velocity

大規模化 DDOS  

特殊な攻撃方法( SQL インジェクション、 DN...
2種類の攻撃方法(データと制御
)

データを奪う

暗号解読
データ漏洩

出力(通信デー
タ)から入力
(秘匿データ)
を推測
悪意のある
入力

悪意のある
出力

制御を奪う

外部から機密データに
不正アクセスする

サイバーテロ
ハ...
従来の攻撃と新しい攻撃

従来の攻撃
マルウェア
フィッシング
スパム
クロスサイトスクリプ
ティング
ブラックリスト・境界防御で
ある程度防げる

新しい攻撃
•クリックジャッキング (LaaS)
•De-anonymization ...
典型的な不正アクセスの手順
情報収集

侵入

占拠

撤収

アドレス・ポートスキャン
盗聴、ソーシャルエンジニアリング

脆弱性攻撃
パスワードクラック・トロイの木馬

情報の盗難・改ざん
スパムメールの送信
踏み台・ツールの設置
ログ消去...
アドレススキャン
情
報
収
集
侵
入

占
拠

ポートスキャン
バナー情報収集
脆弱性
セキュリティホールを
利用した攻撃

情報を盗む
踏み台の作成

撤
収

WHOIS DB
WEB DNS 調査

ソーシャル
エンジニアリング
パ...
情報セキュリティ技術の分類 ( ツール)
予防

観測

検出

解析

診断
制御
受動
能動

異常
不正
動的
静的
情報セキュリティ技術の分類(論文)
① ソースコード、バイナリに加えて設定の
予防

観測

検出

解析

診断

不備を検出

制御

②MAC, DAC より新しいアクセス制御

受動

③Honeypot, Darknet

能動

④...
① ソースコード、バイナリに加えて設定の不備を検
Detecting BGP Configuration Faults with Static Analysis
出
in this paper they propose static anal...
②MAC, DAC より新しいアクセス制御
Capsicum: practical capabilities for UNIX
capsicum is different from both MAC and DAC. Neither MAC a...
③Honeypot, Darknet
DarkNOC: Dashboard for Honeypot Managemen
we present DarkNOC, a management and monitoring tool
for comp...
④Crawler, active monitoring
A Practical Attack to De-anonymize Social Network Users
social networking sites such as facebo...
⑤ 大量のデータから悪意を検出
DNS lookup patterns: Monitoring the initial DNS behavior of malicious domains
We explore the behavioral pr...
⑥Scalability のため関数型言語系を採
用
Chimera: NSA's SQL support for stateful IDS
[1] sidehijacking is a term used to describe the at...
⑦Android の動的解析
TaintDroid: an information-flow tracking system for
realtime privacy monitoring on smartphones
TaintDroid p...
⑧Android の静的解析とデコンパイラ
A study of android application security
Android phone identifiers. they analyzed 21 million lines of...
Attacker “leverages” … テコの原理
技術進歩による①から⑤の攻撃者の能力拡大に共通してい
るのは、
テコの原理による力の増大である。
技術が進むと一回の攻撃で可能になることが増え、攻撃者
が強くなる。
クラスブレークを見つ...
急激な技術進歩とセキュリティ
 技術革新は大昔から攻撃者と防御者の力関係を変化させて来
た。
ローマ帝国の絶頂期、ローマ軍が負け知らずだったのはその装
備
重曹歩兵と訓練が圧倒的に優れていたからである。あぶみが発
明さ
れると、騎馬戦が発達し...
急激な技術進歩とセキュリティ
① クラスブレーク
標準化が進むと、同じ機能を持つ部分すべてを破壊するクラスブレークが可能になる。大勢が同じオペレー
ティ
ングシステムを使っていることで感染が大規模化する。
② 非同期化(非逐次化)
処理の順番が...
脅威: Android マルウェアの増加

マカフィーが 2013 年第 2 四半期の脅威レポ
ト、
Android マルウェアが増加

モバイルマルウェア全体の中では、被害者に
気付かれずにデータを盗むバックドア型トロ
イの木馬や、銀行のログ...
APT ( 標的型攻撃)と
ソーシャルエンジニアリング

③ マルウェア感染

SNS
SNS
Service
Service

① 事前調査
攻撃者

従業員

従業員
② 1次攻撃

① 事前調査と
② 1次攻撃に
ソーシャルエンジニアリン...
標的型攻撃の流れ
Reconnaissance

Gain Internet Access

Create Persistence
Theft
Goal

調査段階の特徴
SNS Facebook Twitter Messenger
検索エンジ...
Underground system と地下経済
ゼロデイ
マーケット
販売

攻撃者

ボットネット
マーケット

スキャンと
侵入

悪意のある
サイト

脆弱性利用 リダイレクト
攻撃したサイトを
ボット化
情報摂取
ボットネット
指令サ...
防御方法
セキュリティ対策の実行上の
基本原則

プリベント
(回避)

レスポンド
(対応)

リカバリー
(復旧)

プロテクト
(防御・防
止)
リスク管理
高

低減

回避

受容

移転

reduction

avoidance

発生
頻度
Acceptance

transference

低
低

被害額

高
リスクマップ(案)

振り込め詐欺

回避

avoidance

オークション
詐欺

SOCWARE

逮捕可能性低

高

ATM 強盗

低減

reduction

高

ゴルフ場
スキミング

コンビ二
偽造クレカ

発生頻度

t...
セーフガード:セキュリティ対策
リスクコントロール

リスク管理

抑止

発生しない
ようにする

許容

被害が小さ
ければ OK

予防

被害を最小
にする

低減

発生頻度と損
害額を小さく
する

検知

脅威をすば
やく
発見す...
情報セキュリティ対策技術
予防機能

 

抑止機能

セキュリティポリシーと策 定とポリシーによるネットワーク管理

防御機能

アクセス制御、認証(パスワード等)、暗号化、デジタル署名、ファイア
ウォール

分析・予測機能

脆弱性検査、バ...
脅威、脆弱性、リスク
脅威

① リスク:なんらかの被害、損失を生じさせる
事態や状況になる可能性のこと。また被害
が発生した際の状況を分析した際の損失
可能性(リスク因子)を示す。
② プログラムや設定の不備などによるリスクを
発生させる要因...
脆弱性が発生する要因
① 開発技術者が、脆弱性に対処または解消するための知識
やノウハウ(セキュアプログラミング)などを充分に持
ち合わせていない。
② 通信の保全、データの秘匿などに加えて、双方向通信で
の悪意のある入力に対して、悪意のある出...
脆弱性が発生する要因

④ システムの開発から運用にかけて、個別
のアプリケーション開発者、システム構
築と運用の間で適切な情報共有がされて
いないことから、どの段階や部分でどの
程度のセキュリティ対策を実施すればよ
いのか不明確になる。
⑤ ...
リスクのコントロールと監理

技術面での対
策

ファイアウォールの設置、 WEB アプリの脆弱
性対策、
ファイルや通信の暗号化、パッチ適用、
ウィルスソフトの導入

リスクコントロール
抑止、予防、検知、
回復

運用面での対
策

サーバ...
セーフガード:セキュリティ対策
リスクコントロール

リスク管理

抑止

発生しない
ようにする

許容

被害が小さ
ければ OK

予防

被害を最小
にする

低減

発生頻度と損
害額を小さく
する

検知

脅威をすば
やく
発見す...
情報セキュリティ対策技術
予防機能

 

抑止機能

セキュリティポリシーと策 定とポリシーによるネットワーク管理

防御機能

アクセス制御、認証(パスワード等)、暗号化、デジタル署名、ファイア
ウォール

分析・予測機能

脆弱性検査、バ...
その他のセキュリティ対策

隠蔽:資産が存在する場所を多数にする。
不可視化:資産が見えないようにする
反撃:相手にコストやダメージを与える
陽動:相手の攻撃の焦点をずらす
だまし:偽の資産を標的にさせる
逃走:相手の攻撃範囲から外れる
封印:...
多層防御:侵入検知
ネットワーク

通信トラフィック

ルータやファイアウォールログの確認、
ネット
ワーク型モニタシステムなどの活用

サーバ

ログオンやログオフなどの
システムログ

ログインやログオフなどのシステムログの
確認、
ホスト...
区画化と関門

退館退室
④ 持ち出し
管理
⑤ 退場確認

入室入館
① 申請許
可
② 持込管
理
③ 入場受
B  事務室
付
C 応接室

A サーバ室
C 受付

B 会議室

C: 公開区画
A: アクセス制限区画(特定メンバのみ入...
アクセス制御の種類

● アクセス制御には、任意アクセス制御( DAC )、強制
アクセス制御( MAC )、ロールベースのアクセス制御
( RBAC )の 3 種類がある。
① 任意アクセス制御( DAC )は、オブジェクトの所有者
がアクセ...
多重(多層)防御
① 物理セキュリ
ティ
入退室管理

⑤ データセキュリティ
暗号・アクセス制御

② ネットワークセ
キュリティ
ファイアウォール、侵
入検知、暗号通信
③ ホストセキュリ
ティ
OS 設定、脆弱性
対策
ファイアウォール
...
多層防御:権限管理
強制アクセス制御

権限管理

主体
【人・装置・プログラム】

アクセス条件の設定
アクセス許可

アクセス制御

主体認証

客体
【情報・ファイル】

ID ・パスワードに
よる認証

分類
分類

脆弱性
クロスサイトスクリプティング
SQL インジェクション

セキュリティと直接
関係のないバグ

バッファオーバーフロー

出力の
不備

HTTP ヘッダーインジェクション
クロスサイトスリクエスト
フォージェリ

 

 

...
匿名化
と
区画化

情報サーバ

R2 Middle Node

以前の犯罪組
織はお互いの
ことを知って
いる。

今犯罪組織は
お互いのこと
で知らないこ
とが多い。

R1 Entry Node

R3
①R1 は R2 より先のことは...
セキュアプログラミング
安全なソフトウェア開発

設計

設計設備で品質が悪いと完成した製品の品質が悪くなる。開発段階に移行し
てか
らの設計ミスの修正は非常に困難で、修正そのものが不可能な場合がある。
この
ような場合、設計ミスによりソフトウ...
脆弱性検査
個別システム
脆弱性検査
 個別システムの脆弱性検査
ソフトウェアに(未知のものも含めた)バグが
あるかどうかをチェックする。
 ネットワークの脆弱性検査
構成システムや設定に既知のバグがあるかを
チェックする。
脆弱性の発見と検証:個別システム

攻撃ベクトルとデバッガーを用いる。
セキュリティ関連の解析には多用される!

① ホワイトボックステスト
ソースコードレビュー
ツールと自動化
② ブラックボックステスト
手動テスト
自動テスト(ファジング)...
脆弱性検査
ネットワーク
脆弱性の発見と検証:ネットワーク
 情報収集
対象システムが外部に公開している情報(設定)などを収集する。
 脆弱性試験
 対象システム上で稼動しているサービスのバージョンや設定情報から、脆弱
性を発見する。
 侵入試験
  実際に発見さ...
脆弱性の発見と検証:ネットワーク

WEB サイトから
最新の情報を
入手
http://cve.mitre.org/

ネットワークの
設定やソフト
ウェアの
バージョンを
洗い出す

当該する脆弱性により攻撃可
能か、
攻撃後の
セッション...
脆弱性試験、侵入試験
環境設定例

Nessus はプラグインの
インストールが煩雑な
ので
Windows がオススメ。

カーネルモードデバッ
ガは、
Vmware (ホスト OS )
側で
動かす。
脆弱性試験
ポートスキャナー
開いているポートと
フィルタリングポリシーを調
査する。
稼動しているサービスが判明
脆弱性スキャナー
開いているポートと稼動して
いるサービスのバージョンか
ら、
脆弱性を列挙する。
脆弱性スキャナー
Nessu...
侵入試験: Metasploit
多機能!
ペネトレーションテス
ト
脆弱性データベース
アンチフォレンジクス
POSTGRESQL

インターフェース
フロントエンド: msfconcole

RUBY
ペイロード、スクリプト

Java
ソ...
Metasploitable
metasploit 用のディスクイメージ

Metasploit 用
の
ディスクイ
メージ。
意図的に
脆弱性と誤設
定が入ってい
る。
Nessus の対象としても利用可。
25216 (1) - Samba...
脆弱性解析:デバッガについ
て
デバッガの種類
 ユーザーモードデバッガ
API やシンボル情報、文字列や検索処理の機能が豊富。
 カーネルモードデバッガ
デバイスドライバやカーネルモジュールのデバッグや検索
に使う。
 プロセスメモリエディタ
起動後のアプリケーション...
ユーザーモードデバッガ: OllyDBG

レジスタウィンドウ

メモリダンプ

ディスアセンブラ

その他のデバッガに比べて
文字列の表示と処理に
優れている(はず)
カーネルモードデバッガ: WinDBG

ソースコードがある
場合
カーネルモードで動くため、
デバイスドライバの排他制御などを
扱うことができる!
ソースコードがない、ま
たは
マルウェアなどの
解析の場合、
OS を仮想化しリモート
から
...
インサーキットエミュレータ

① インサーキット・エミュレータ (In-circuit emulator,
ICE) はデジタル機器の開発装置の 1 つである。 CPU
とも呼ばれるマイクロプロセッサの機能をエミュレー
トするハードウェアを主体...
IISEC Enpit 第二回
第2回:概要
 長期トレンド
 新しい攻撃形態
 検出技術とアルゴリズ
ム
 大規模データのフィル
タリング
 大規模観測技術

• 第二回
攻撃技術
    Socware と SocialBot
標的型攻撃
    ソーシャルエン...
クラウドコンピューティングと
データ主権
Challenges for cloud computing security
Cloud computing security Overview

Cloud computing is
extremely fat-server
and thin-client system.
Cloud computing security Overview

Cloud computing is
Comprehensive system
of many technologies.
Current situation of cloud computing
cloud computing is becoming pervasive
• Gartner predicts that by 2015, 40 percent of ...
Current situation of cloud computing
Security is top concerned issue

Five security issues
1) Security about virtual machi...
Classification of cloud computing security
guidelines, standards and alliances
The right to retain ownership, use and cont...
Outline: insider threat and data leakage
Information leakage is one of the most serious damages
caused by insider threat. ...
Insider Threats and Information leakage
LostTape 14%

Incidents by Breach Type

Stolen document
14%

Attacks from outside ...
Can retroactivation as offense be mitigated ?
Is ex-post countermeasure possible ?
Is it unstoppable
even if we adopt
doma...
Japan’s case: information leakage
via P2P networks

2008/03/22
National Bank of
Japan leaks
Confidential insider
informati...
Data Sovereignty in Cloud computing era
Data Sovereignty :the coupling of stored data authenticity
and geographical locati...
"Data lives forever" problem
• Wiki Leaks
WikiLeaks is an international organization that publishes submissions of
otherwi...
P2P security VANISH: self destructing data
Roxana Geambasu, Tadayoshi Kohno, Amit Levy, Henry M. Levy. Vanish: Increasing ...
P2P security UNVANISH: reconstructing data

Defeating Vanish with Low-Cost Sybil Attacks Against Large DHTs
Scott Wolchok,...
新しい攻撃形態
ソーシャルネットワーク
オープン

ストック

フロー

クローズ
API による自動化と情報収集力の増加
現在、ソーシャルネット
ワーク上で多様かつ
高機能な WEB   API が
提供されているが、これに
よりソーシャルボットや
ソックウェアが活性化
するケースがある。
Socware, SocialBot の検出
1 MyPageKeeper:Efficient and scalable socware detection in online social networks
mypagekeeper is a...
攻撃のインセンティブと
地下経済
検出技術とアルゴリズム
システムセキュリティ
 On-Line: 侵入検知、アクセス制御
動いているシステムへの不正アクセス、攻撃トラフィッ
クを検出する。
稼動中のシステムへのリソースごとのアクセスを制御
する。
 Off-Line: コード解析、脆弱性検査、ぺ...
コンピュータ
セキュリティのアルゴリズム
 ネットワーク系侵入検知のデータマイニング
トラフィックの中から攻撃パケットを検出する。
 システム系侵入検知のデータマイニング
リソースアクセス、システムコールのシーケンスの中か
ら悪意ある挙動、...
侵入検知とデータマイニング
 異常検知
通常状態、過去の履
歴
(プロファイル)か
らの乖離
を用いて検出。
 不正検知
不正なシグニチャや
パ
ターンを照合して検
出。
Introduction

BACKGROUND: The rapid increasing of security incidents imposes a great burden on Internet users
and system a...
IDS (Intrusion Detection System)

NPC 07

IDS is an alarm and logger
IDS (Intrusion detection system) is kind of
alarm dep...
Background: Increase of IDS signatures

NPC 07

It is supposed that a large number of service and
system will be connected...
Anomaly and misuse detection
profiles and signatures

NPC 07

BACKGROUND
Almost traditional IDS applies signature-based de...
Data-mining and IDS
Clustering for AID / Classification for MID
NPC 07
[1] Clustering for AID
Outputs the distance from no...
Clustering and classification:
The tradeoff about the accuracy and range of detection

NPC 07

There are two major data mi...
Experiment
DoS attack or network trouble?
NPC 07

In experiment, we test the case
Where false positive is occurred
Frequen...
Android マルウェアの検出と解析
 動的解析:実際に動作させて観測する。
Taint Droid: An Information-Flow Tracking System for Realtime
Privacy Monitoring ...
Android マルウェアの検出と解析
Dalvik VM interpreter

Taint Droid: An Information-Flow
Tracking System for Realtime Privacy
Monitorin...
Message level
tracking

動的解析
Application code

Application code

MSG

Variable level
tracking
Virtual machine

Virtual mac...
Upcoming SlideShare
Loading in …5
×

2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題

1,906 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,906
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題

  1. 1. 2013 年度 特設講義(情報セキュリティ運用リテラシーⅠ・Ⅱ) 「セキュアシステムの インターネットと SNS 上での構築とその課題」  WEB 公開版のため内容は 修正・一部削除してあります。
  2. 2. 講師自己紹介 情報通信研究機構 ネットワークセキュリティ研究所  セキュリティアーキテクチャ研究室 主任研究員 政策・メディア博士(慶應義塾大学政策・メディア研究科) 研究テーマ:ネットワークセキュリティ、オペレーティングシステム ■2000年3月 慶應義塾大学総合政策学部卒業 ( 国際政策コース) ■2002年9月 慶應義塾大学政策メディア研究科前期博士課程卒業 (修士 政策・メディア) ■2006年3月 慶應義塾大学政策メディア研究科後期博士課程卒業 (博士 政策・メディア) ■2006年 - 現在 独立行政法人 情報通信研究機構主任研究員 ■2006年 - 現在 総務省一種技官 2
  3. 3. 講師自己紹介 (publication) 相見眞,安藤類央,水谷正慶,武田圭史 「 WindowsOS 上での不正なファイルアクセス の検知・無効化処理における負荷低減手法」 , 情報処理学会 コンピュータセキュリティ シンポジウム20 10 20 10 年10月 Ruo Ando, Youki Kadobayashi, Youichi Shinoda, "Asynchronous Pseudo Physical Memory Snapshot and Forensics on Paravirtualized VMM Using Split Kernel Module", ICISC 2007, The 10th International Conference on Information Security and Cryptology, November 29-30, Seoul, Korea Ruo Ando, Kazushi Takahashi, Kuniyasu Suzaki,"Inter-domain Communication Protocol for Real-time File Access Monitor ofVirtual Machine",Journal of Wireless Mobile Networks, Ubiquitous Computing and Dependable Applications, March 2012 安藤類央 , 橋本正樹 , 山内利宏 : 仮想化技術による安全なファイルアクセスログ外部保 存機構 , 情報処理学会論文誌 , Vol.54, No.2, pp.585-595, Feb. 2013. 「 A Measurement Study of Open Resolvers and DNS Server Version 」 , Yuuki Takano, Ruo Ando, Takeshi Takahashi, Satoshi Uda, Tomoya Inoue, インターネットコンファレ ンス 2013, 2013 年 10 月 3
  4. 4. 講師自己紹介 (presentation) ■PacSec Tokyo Novmber 2011, "Rapid and Massive monitoring of DHT: crawling 10 millions of nodes in 24hours" - Ruo Ando, Takayuki Sugiura ■DeepSec 2009, eKimono: detecting rootkits inside Virtual Machine , Nguyen Anh Quynh, Kuniyasu Suzaki,Ruo Ando, 2009/Nov/10. Vienna, Austria. ■AV-Tokyo 2009, Unified memory forensic toolset for Virtual Machine, Nguyen Anh Quynh, Kuniyasu Suzaki,Ruo Ando, 2009/Oct/31. ■FrHack 2009, Memory forensic and incident response for live virtual machine (VM), Nguyen Anh Quynh,Kuniyasu Suzaki, Ruo Ando, 2009/Sec/7   Besan Mon, France ■SysCan Singapole 2009, “Outspect: Live Memory Forensic and Incident Response for Virtual Machine”,Nguyen Anh Quynh, Kuniyasu Suzaki, Ruo Ando,2009/07/03 4
  5. 5. 第1回:概要  サイバーセキュリティ の 長期トレンドと短期トレ ンド  ハッカーと攻撃技術の 分類  スマートグリッドと SCADA  攻撃のインセンティブ と 地下経済 • 攻撃技術     Return Oriented Programming DNS Attack 制御系システムへの攻撃 観測・検出技術     Packet Monitor と NetFilter メモリ観測 アクセス制御技術     Linux Kernel Module Trusted Computing
  6. 6. 第2回:概要  長期トレンド  新しい攻撃形態  検出技術とアルゴリズ ム  大規模データのフィル タリング  大規模観測技術 • 第二回 攻撃技術     Socware と SocialBot 標的型攻撃     ソーシャルエンジニアリング 観測技術     大規模データ収集技術     機械学習を使った検出技術
  7. 7. 短期トレンド Google vs Facebook Market Share: 2010 May Google はすべて を WEB 上に置いて 検索できるよう にした。 知っている人 に訊けばいい やというのが Facebook の 発想 http://outoftheoverflow.com/tag/weekly-market-share-of-visits-to-facebook-com-and-google-com/
  8. 8. インターネットとソーシャルネットワークの違いトポ ロジー ライン リング バス スター C/S (クライアントサーバ) モデル P2P モデル トポロジー:スター型 トポロジー:メッシュ型 フルメッシュ インターネット ライン、スター、バス メッシュ ツリー ソーシャルネットワーク メッシュ、リング、スモールワールド
  9. 9. 短期トレンド1 特殊なマルウェア( STUXNET)   SNS2 IP 電話 ネットワーク上の コミュニケーションの 性質変化 Volume Velocity 大規模化 DDOS   特殊な攻撃方法( SQL インジェクション、 DNS キャッシュ) 特殊なマルウェア( Conficker, Gumbler) SNS 巧妙な手口(フィッシング・ソーシャルエンジニアリング+サイ改ざん) ブログ・掲示板 Variety 情報漏えい( Winny, Share, USB メモリ紛失盗用、メール誤送信) 主要サイトの改ざん(脆弱性悪用) サイト改ざん(マルウェア、サプライチェーン悪用) 旧来の攻撃( DDOS 、マルウェア、パスワードクラッキング、ソーシャルエンジニアリング、脆弱性悪用) 2000 2005 2010
  10. 10. 2種類の攻撃方法(データと制御 ) データを奪う 暗号解読 データ漏洩 出力(通信デー タ)から入力 (秘匿データ) を推測 悪意のある 入力 悪意のある 出力 制御を奪う 外部から機密データに 不正アクセスする サイバーテロ ハッキング
  11. 11. 従来の攻撃と新しい攻撃 従来の攻撃 マルウェア フィッシング スパム クロスサイトスクリプ ティング ブラックリスト・境界防御で ある程度防げる 新しい攻撃 •クリックジャッキング (LaaS) •De-anonymization ( 非匿名 化) •SocialBot •Sockware •標的型攻撃 ブラックリスト・境界防御は 無効化される
  12. 12. 典型的な不正アクセスの手順 情報収集 侵入 占拠 撤収 アドレス・ポートスキャン 盗聴、ソーシャルエンジニアリング 脆弱性攻撃 パスワードクラック・トロイの木馬 情報の盗難・改ざん スパムメールの送信 踏み台・ツールの設置 ログ消去 バックドアの設置 設定の変更など
  13. 13. アドレススキャン 情 報 収 集 侵 入 占 拠 ポートスキャン バナー情報収集 脆弱性 セキュリティホールを 利用した攻撃 情報を盗む 踏み台の作成 撤 収 WHOIS DB WEB DNS 調査 ソーシャル エンジニアリング パスワード クラック 情報の改ざん 盗聴 トロイの 木馬 スパムメールの発信 DDOS ツールの設置 ログ消去 バックドア設置と偽装
  14. 14. 情報セキュリティ技術の分類 ( ツール) 予防 観測 検出 解析 診断 制御 受動 能動 異常 不正 動的 静的
  15. 15. 情報セキュリティ技術の分類(論文) ① ソースコード、バイナリに加えて設定の 予防 観測 検出 解析 診断 不備を検出 制御 ②MAC, DAC より新しいアクセス制御 受動 ③Honeypot, Darknet 能動 ④Crawler, active monitoring 異常 ⑤ 大量のデータから悪意を検出 不正 ⑥Scalability のため関数型言語系を採 用 動的 静的 ⑦Android の動的解析 ⑧Android の静的解析とデコンパイラ
  16. 16. ① ソースコード、バイナリに加えて設定の不備を検 Detecting BGP Configuration Faults with Static Analysis 出 in this paper they propose static analysis for detecting two class of faults of BGP routers; validity faults and path visibility faults. path visibility and route validity - are two high level aspects of correctness. path visibiity says that BGP will correctly propagate routes for existingm usable IP layer paths. route validity says that if routers attempt to send data packets via these routes, then packets will ultimately reach their intended destinations. Detecing BGP configuration faults poses several phases of challenges. first, defining a correctness specification for BGP is difficult. second, this high-level correctness specification should be used to derive a set of constraints which can be tested against the actual configuration. they analyze network wide configurations from 17 different ASes to detect nore than 1000 BGP configurations faults which had previously gone undetected by operators.
  17. 17. ②MAC, DAC より新しいアクセス制御 Capsicum: practical capabilities for UNIX capsicum is different from both MAC and DAC. Neither MAC and DAC was designed to enforce system of a single application processing many types of information on behalf of the user. Web browser could be good example. Current web browser must parse HTML, scripting languages, image and video from many untrusted sources, however, it acts with full privilege of the user, has access to all his resources. In this case, capability of web browser should be decomposed into several OS processes. unfortunately, these system vary by platform, but all require a significant amount of programmer's effort. -- Usenix Security 2010 Privman: A library to make privilege separation easy Privman (ATC 2003) is early work of privilege separation. One of the motivation of privman could be that general developers with little security awareness at least at that time. The contribution of privman is to facilitate a specific technique for writing secure software: partitioning applications between trusted and untrusted. In general, Linux is monolithic kernel and has coarse grained without any strict compartment. As well as capability based method, Privman provides privilege separation which is a technique that isolates trusted code, hence reducing the amount of code that needs to be carefully audited. -- Usenix Annual Tech 2003 http://code.google.com/p/privman/
  18. 18. ③Honeypot, Darknet DarkNOC: Dashboard for Honeypot Managemen we present DarkNOC, a management and monitoring tool for complex honeynets consisting of different types of honeypots as well as other data collection devices. DarkNOC has been actively used to manage a honeynet consisting of multiple subnets and hundreds of IP addresses. This paper describes the architecture and a number of case studies demonstrating the use of DarkNOC. Usenix LISA 2011
  19. 19. ④Crawler, active monitoring A Practical Attack to De-anonymize Social Network Users social networking sites such as facebook, linkedIn have been reporting expotential growth rates. in this paper it is shown that information about group memberships of a user in a single OSN is oft en sufficient to uniquely identify this user, or at least, to significantly reduce the set of possible candidates. this is called as de-anonymization attack. they leverage well-known web history stealling attack for determining the group membership of a user. browser history stealing. history stealing is a known attack in which a malicious website can extract the browsing history of a visitor. in experiment, they cope with Xing which is middle scale social netwworking with more than eight million members. their analysis suggest that 42% of the users that use groups can be uniquely identified, while for 90%, they can redice the candidate set to less than 2912 persons. SSP 2010
  20. 20. ⑤ 大量のデータから悪意を検出 DNS lookup patterns: Monitoring the initial DNS behavior of malicious domains We explore the behavioral properties of these domains from two perspectives: (1) the DNS infrastructure associated with the domain, as is observable from the resource records; and (2) the DNS lookup patterns from networks who are looking up the domains initially. Our analysis yields many findings that may ultimately be useful for early detection of malicious domains. By monitoring the infrastructure for these malicious domains, we find that about 55% of scam domains occur in attacks at least one day after registration, suggesting the potential for early discovery of malicious domains, solely based on properties of the DNS infrastructure that resolves those domain. Internet measurement conference 2010 BotMiner: Clustering Analysis of Network Traffic for Protocol- and StructureIndependent Botnet Detection this paper, we present a general detection framework that is independent of botnet C&C protocol and structure, and requires no a priori knowledge of botnets (such as captured bot binaries and hence the botnet signatures,and C&C server names/addresses). Usenix security 2008
  21. 21. ⑥Scalability のため関数型言語系を採 用 Chimera: NSA's SQL support for stateful IDS [1] sidehijacking is a term used to describe the attack where a hacker steals a session token from an unencrypted HTTP cooie and them impersonates the legitimate user. [2] about malicious domains, they focus on a subnet of the DNS answer and TTL based features such as number of distinct IP addresses per domain and number of domains which share the sme IP address. [3] DNS tunnels: DNS protocol is designed to resolve information about domain names. however, it can also be used for covert communication by storing ata in the requsted domain name. Usenix Security 2012
  22. 22. ⑦Android の動的解析 TaintDroid: an information-flow tracking system for realtime privacy monitoring on smartphones TaintDroid provides realtime analysis by leveraging Android’s virtualized execution environment. TaintDroid incurs only 14% performance overhead on a CPU-bound micro-benchmark and imposes negligible overhead on interactive third-party applications. Using TaintDroid to monitor the behavior of 30 popular thirdparty Android applications, we found 68 instances of potential misuse of users’ private information across 20 applications. OSDI 2010 http://appanalysis.org/
  23. 23. ⑧Android の静的解析とデコンパイラ A study of android application security Android phone identifiers. they analyzed 21 million lines of 1100 which is recovered of their decompiler from popular android applications. they have design and implement a Dalik decompiler ded which has recovered 21 millions LOC retrieved from the top 1100 free aplications. the choice to decompile the Java source rather than operate on the DEX opcodes directly was grounded in two reasons. first, they wanted to leverage exsiting tools for code analysis. second, they required access to source sode to identify false-positives resulting in from automated code analysis. analysis specification is based on three aspects. 1) control flow analysis: control flow analysis imposes constraints on the sequences of actions executed by an input program P, classifying some of them as errors. 2) structual analysis: structual analysis allows for declarative pattern matching on the abstract syntax of the input source code. 3) semantic ananlysis: semantic analysis allows the specifiction of a limted set of constraints on the values used by the input program.
  24. 24. Attacker “leverages” … テコの原理 技術進歩による①から⑤の攻撃者の能力拡大に共通してい るのは、 テコの原理による力の増大である。 技術が進むと一回の攻撃で可能になることが増え、攻撃者 が強くなる。 クラスブレークを見つけると同じ種類のシステムならどれ でも攻撃でき るため、攻撃者が強くなる。 自動化ができれば同じ弱点を何回でも攻撃できるため、攻 撃者が強くなる。 遠隔作用と情報集約が進めば標的が増えるので、攻撃者が 強くなる。
  25. 25. 急激な技術進歩とセキュリティ  技術革新は大昔から攻撃者と防御者の力関係を変化させて来 た。 ローマ帝国の絶頂期、ローマ軍が負け知らずだったのはその装 備 重曹歩兵と訓練が圧倒的に優れていたからである。あぶみが発 明さ れると、騎馬戦が発達し、中世の騎馬騎士の時代が訪れる。と ころが 石弓が発明されると、騎馬騎士など簡単に倒せるようになる。 米国の南北戦争では、北軍に鉄道と電信の技術があったことが 大き な不均衡だった。 →  「セキュリティはなぜ破られたか」、ブルース・シュナイ アー
  26. 26. 急激な技術進歩とセキュリティ ① クラスブレーク 標準化が進むと、同じ機能を持つ部分すべてを破壊するクラスブレークが可能になる。大勢が同じオペレー ティ ングシステムを使っていることで感染が大規模化する。 ② 非同期化(非逐次化) 処理の順番が決まってきない非逐次処理の複雑なシステムが互いに密接に影響しあう。インシデントがドミ ノ倒 しのようにすばやく広がり、抑制が難しい。例:2003年1月韓国を襲ったコンピュータワームがシアト ルの緊急 電話回線をダウンさせた。 ③ 自動化 クラスブレークを見つければ自動化して攻撃を繰り返すことで、成功する確率が非常に低い攻撃でも利益に なる場合がある。例)攻撃側からすれば、スパムメールやソーシャルボットは一日数十件成功すればよい 自動化により、小さな攻撃が無視できなくなった。 →  「セキュリティはなぜ破られたか」、ブルース・シュナイアー
  27. 27. 脅威: Android マルウェアの増加 マカフィーが 2013 年第 2 四半期の脅威レポ ト、 Android マルウェアが増加 モバイルマルウェア全体の中では、被害者に 気付かれずにデータを盗むバックドア型トロ イの木馬や、銀行のログイン情報を取得する マルウェアが最大の割合を閉める。
  28. 28. APT ( 標的型攻撃)と ソーシャルエンジニアリング ③ マルウェア感染 SNS SNS Service Service ① 事前調査 攻撃者 従業員 従業員 ② 1次攻撃 ① 事前調査と ② 1次攻撃に ソーシャルエンジニアリングを 使うことが多い。 ④ 重要情報 の調査と発見 従業員 従業員 ⑤ 攻撃者による データ収集と外部への 流出
  29. 29. 標的型攻撃の流れ Reconnaissance Gain Internet Access Create Persistence Theft Goal 調査段階の特徴 SNS Facebook Twitter Messenger 検索エンジンなどを利用 ソーシャルエンジニアリングの利用 攻撃の初期段階 写真、勤務先住所などの入手 Messenger やメールなどで連絡 攻撃開始 クライアント PC が標的 悪用する脆弱性の選択 標的ネットワークへの持続的攻撃 遠隔操作ソフトの利用 ネットワークの掌握 パスワードの把握 接続元の隠蔽、匿名化 破壊工作
  30. 30. Underground system と地下経済 ゼロデイ マーケット 販売 攻撃者 ボットネット マーケット スキャンと 侵入 悪意のある サイト 脆弱性利用 リダイレクト 攻撃したサイトを ボット化 情報摂取 ボットネット 指令サーバ フィッシング レンタル スパム DDOS マルウェア マーケット サービス停止 株式詐欺 悪徳商法・広告
  31. 31. 防御方法
  32. 32. セキュリティ対策の実行上の 基本原則 プリベント (回避) レスポンド (対応) リカバリー (復旧) プロテクト (防御・防 止)
  33. 33. リスク管理 高 低減 回避 受容 移転 reduction avoidance 発生 頻度 Acceptance transference 低 低 被害額 高
  34. 34. リスクマップ(案) 振り込め詐欺 回避 avoidance オークション 詐欺 SOCWARE 逮捕可能性低 高 ATM 強盗 低減 reduction 高 ゴルフ場 スキミング コンビ二 偽造クレカ 発生頻度 transference De-anonymization 銀行強盗 逮捕可能性高 LaaS, SNS スパム 低 百貨店 偽造クレカ SNS と連動する スマホマルウェア ひったくり 移転 SOCIALBOT 被害額 フィッシング詐欺 深夜牛丼点 強盗 儲け大 コンビ二強盗 儲け小 低 万引き 受容 Acceptance
  35. 35. セーフガード:セキュリティ対策 リスクコントロール リスク管理 抑止 発生しない ようにする 許容 被害が小さ ければ OK 予防 被害を最小 にする 低減 発生頻度と損 害額を小さく する 検知 脅威をすば やく 発見する 移転 発生要因を 外部に 回復 発生しない ようにする 回避 発生要因を 取る
  36. 36. 情報セキュリティ対策技術 予防機能   抑止機能 セキュリティポリシーと策 定とポリシーによるネットワーク管理 防御機能 アクセス制御、認証(パスワード等)、暗号化、デジタル署名、ファイア ウォール 分析・予測機能 脆弱性検査、バージョンのアップデート、パッ チ適用、不要サービス削除 検知機能 検知機能 ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置 回復機能   被害軽減機能 セグメント化、サーバの切り替え、ルータの冗長化 応急対応機能 インシデント対応、コンティンジェンシプラン、フ ァイル修復 再構築機能 新たにリリースされたセキュリティ技術の対応、情報セキュリティ 監査
  37. 37. 脅威、脆弱性、リスク 脅威 ① リスク:なんらかの被害、損失を生じさせる 事態や状況になる可能性のこと。また被害 が発生した際の状況を分析した際の損失 可能性(リスク因子)を示す。 ② プログラムや設定の不備などによるリスクを 発生させる要因のこと。 ③ 脅威:脆弱性を利用してリスクを実際に発生 させる手段のこと。 脆弱性 リスク セキュリティ対策 脅威 ① リスクのコントロールあるいは回避 リスク 脆弱性 ② 脆弱性を修正・消去する ③ 発生した脅威の迅速な対処 ④ 被害にあった防御対象の回復
  38. 38. 脆弱性が発生する要因 ① 開発技術者が、脆弱性に対処または解消するための知識 やノウハウ(セキュアプログラミング)などを充分に持 ち合わせていない。 ② 通信の保全、データの秘匿などに加えて、双方向通信で の悪意のある入力に対して、悪意のある出口を返すとい うコンセプトでシステムが開発されていない。 ③ アプリケーションの開発の自由度より、セキュリティ面 での実装の一貫性を確保することが困難であり、共通し た技術を用いない場合、包括的なセキュリティ対策が難 しくなる。
  39. 39. 脆弱性が発生する要因 ④ システムの開発から運用にかけて、個別 のアプリケーション開発者、システム構 築と運用の間で適切な情報共有がされて いないことから、どの段階や部分でどの 程度のセキュリティ対策を実施すればよ いのか不明確になる。 ⑤ システム開発の分業化が進んでいるため 、アプリケーションのレベルでは安全で もネットワーク設定などの脆弱性を突い て最弱点公的が行われる場合が多くなる 。 ⑥ セキュリティは非機能要件であるため、 開発におけるコストを増加させる要因と して認識される場合が多く、結果として セキュリティの実装が行われないことが
  40. 40. リスクのコントロールと監理 技術面での対 策 ファイアウォールの設置、 WEB アプリの脆弱 性対策、 ファイルや通信の暗号化、パッチ適用、 ウィルスソフトの導入 リスクコントロール 抑止、予防、検知、 回復 運用面での対 策 サーバの設定の見直し、情報収集、入退室管理 、 管理記録、利用記録の徹底、定期的な研修、 マニュアルの作成 リスク管理 許容、低減、移転、 回避 抑止 外部委託(アウトソーシング)、不要なサービス の 停止、ホスティング、監視カメラ、契約書への 規則明記 予防 ファイアウォール設定、アンチウィルスソフト、 アクセス制御 検知 アクセス・利用ログの検査、ネットワークの監視 回復 バックアップ、復旧対策マニュアル作製、 予備機器の確保 コントロール 許容 緊急時対応のコスト(予算、人員)の確保 低減 データの分散配置、管理者の多層化、モニタツー ルの導入 移転 外部委託(アウトソーシング)、損害保険、クラ ウド利用 回避 インターネットの利用の制限、不要サービスの停 止 管理
  41. 41. セーフガード:セキュリティ対策 リスクコントロール リスク管理 抑止 発生しない ようにする 許容 被害が小さ ければ OK 予防 被害を最小 にする 低減 発生頻度と損 害額を小さく する 検知 脅威をすば やく 発見する 移転 発生要因を 外部に 回復 発生しない ようにする 回避 発生要因を 取る
  42. 42. 情報セキュリティ対策技術 予防機能   抑止機能 セキュリティポリシーと策 定とポリシーによるネットワーク管理 防御機能 アクセス制御、認証(パスワード等)、暗号化、デジタル署名、ファイア ウォール 分析・予測機能 脆弱性検査、バージョンのアップデート、パッ チ適用、不要サービス削除 検知機能 検知機能 ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置 回復機能   被害軽減機能 セグメント化、サーバの切り替え、ルータの冗長化 応急対応機能 インシデント対応、コンティンジェンシプラン、フ ァイル修復 再構築機能 新たにリリースされたセキュリティ技術の対応、情報セキュリティ 監査
  43. 43. その他のセキュリティ対策 隠蔽:資産が存在する場所を多数にする。 不可視化:資産が見えないようにする 反撃:相手にコストやダメージを与える 陽動:相手の攻撃の焦点をずらす だまし:偽の資産を標的にさせる 逃走:相手の攻撃範囲から外れる 封印:攻撃の記録をする 複製:情報資産が盗難されても紛失しないよ うにする。  警告表示:防御反撃策の存在を示す  嫌悪感の喚起:情報資産の価値を下げる        
  44. 44. 多層防御:侵入検知 ネットワーク 通信トラフィック ルータやファイアウォールログの確認、 ネット ワーク型モニタシステムなどの活用 サーバ ログオンやログオフなどの システムログ ログインやログオフなどのシステムログの 確認、 ホスト型モニタシステムの活用 アプリケーション WEB などの アプリケーションログ アプリケーションログの確認、 WEB 型ト ラフィク モニタシステムの活用 データ ファイルアクセスなどの リソースへのアクセスログ ファイルなどのリソースのアクセスログの 確認、 ホスト型モニタモニタシステムの活用 ネットワー ク モニタ WEB サー バ 侵入検知 WEB アプ リ モニタ データベー ス 侵入検知
  45. 45. 区画化と関門 退館退室 ④ 持ち出し 管理 ⑤ 退場確認 入室入館 ① 申請許 可 ② 持込管 理 ③ 入場受 B  事務室 付 C 応接室 A サーバ室 C 受付 B 会議室 C: 公開区画 A: アクセス制限区画(特定メンバのみ入室可能)  B: 業務区画(社員 、派遣社員入室可能)  C: 一般区画(訪問者、外来者の入室可能)
  46. 46. アクセス制御の種類 ● アクセス制御には、任意アクセス制御( DAC )、強制 アクセス制御( MAC )、ロールベースのアクセス制御 ( RBAC )の 3 種類がある。 ① 任意アクセス制御( DAC )は、オブジェクトの所有者 がアクセス権限を設定する ② 強制アクセス制御( MAC )は、あらかじめ設定された レベル分けによって、強制的に読み取りや書き込みな どの権限が制限される ③ ロールベースのアクセス制御( RBAC )は、ロール( 役割)によって実行できる操作が制限される
  47. 47. 多重(多層)防御 ① 物理セキュリ ティ 入退室管理 ⑤ データセキュリティ 暗号・アクセス制御 ② ネットワークセ キュリティ ファイアウォール、侵 入検知、暗号通信 ③ ホストセキュリ ティ OS 設定、脆弱性 対策 ファイアウォール ④ アプリケーショ 、 ン 侵入検知 セキュリティ 脆弱性対策 ファイアウォール
  48. 48. 多層防御:権限管理 強制アクセス制御 権限管理 主体 【人・装置・プログラム】 アクセス条件の設定 アクセス許可 アクセス制御 主体認証 客体 【情報・ファイル】 ID ・パスワードに よる認証 分類
  49. 49. 分類 脆弱性 クロスサイトスクリプティング SQL インジェクション セキュリティと直接 関係のないバグ バッファオーバーフロー 出力の 不備 HTTP ヘッダーインジェクション クロスサイトスリクエスト フォージェリ     セキュリティ機能の 不備・欠落 ディレクトリトラバーサル 処理の 不備 アクセス制御の不備 あった方がよいもの なくてはならないもの あってはならないもの 脆弱性(バグ)とは アプリケーション コンピュータやネットワーク 要件 などの情報システムにおいて、 第三者が保安上の脅威となる 行為 ( システムの乗っ取りや 不完全だと 機密情報の漏洩など ) に 脆弱性になる 利用できる可能性のある システム上の欠陥や仕様上の 問題点。
  50. 50. 匿名化 と 区画化 情報サーバ R2 Middle Node 以前の犯罪組 織はお互いの ことを知って いる。 今犯罪組織は お互いのこと で知らないこ とが多い。 R1 Entry Node R3 ①R1 は R2 より先のことは知らない。② R2 は R1 からのデータを R3 に中継したことしか 分からない。③ R3 は R2 からデータが来たことしか分からない。 B  事務室 C 応接室 A サーバ室 C 受付 B 会議室 C: 公開区画 A: アクセス制限区画(特定メンバのみ入室可能)  B: 業務区画(社員 、派遣社員入室可能)  C: 一般区画(訪問者、外来者の入室可能)
  51. 51. セキュアプログラミング 安全なソフトウェア開発 設計 設計設備で品質が悪いと完成した製品の品質が悪くなる。開発段階に移行し てか らの設計ミスの修正は非常に困難で、修正そのものが不可能な場合がある。 この ような場合、設計ミスによりソフトウェアの納品に重大な遅れが生じる。 利用する各要素技術が完全に利用できる技術かどうかの認識は不可欠。 実装 実装段階で、バッファオーバーラン、 SQL インジェクションなどの 既知の問題点に対応する必要がある。 特に最近では、 WEB アプリケーションを利用したシステムで、セッションを 適切に保 持することなどが必要である。 考慮しなければならない点として、利用者はミスをするという前提である。 開発者が意図したとおりの操作ができるようなシステムを提供できるように しなけれ ばならない。 テスト 設計段階、実装段階で安全に配慮したシステムを構築したとしても、利用者 が安全 に仕様できなければ意味がないので、意図した通り利用できるかの視点でシ ス テムをテストしなければならない。 運用 ソフトウェアが実際に利用されてはじめて発見される問題点を修正する 必要があるので、問題を修正するための体制を確立しておく必要がある。
  52. 52. 脆弱性検査 個別システム
  53. 53. 脆弱性検査  個別システムの脆弱性検査 ソフトウェアに(未知のものも含めた)バグが あるかどうかをチェックする。  ネットワークの脆弱性検査 構成システムや設定に既知のバグがあるかを チェックする。
  54. 54. 脆弱性の発見と検証:個別システム 攻撃ベクトルとデバッガーを用いる。 セキュリティ関連の解析には多用される! ① ホワイトボックステスト ソースコードレビュー ツールと自動化 ② ブラックボックステスト 手動テスト 自動テスト(ファジング) ③ グレーボックステスト バイナリ検査 自動バイナリ検査
  55. 55. 脆弱性検査 ネットワーク
  56. 56. 脆弱性の発見と検証:ネットワーク  情報収集 対象システムが外部に公開している情報(設定)などを収集する。  脆弱性試験  対象システム上で稼動しているサービスのバージョンや設定情報から、脆弱 性を発見する。  侵入試験   実際に発見された脆弱性を用いて対象システムに侵入できるか試験し、成 功後の可能な攻撃やセッションの継続などの情報を収集する。 分類名称 内容 悪影響 情報収集 散発的に情報を収集 ない 脆弱性試験 系統系に情報を収集 ない 侵入試験 系統的に情報を収集後、検証を行う 。 殆どな い 本当の攻撃 脆弱性を利用し、悪影響を与える。 ある
  57. 57. 脆弱性の発見と検証:ネットワーク WEB サイトから 最新の情報を 入手 http://cve.mitre.org/ ネットワークの 設定やソフト ウェアの バージョンを 洗い出す 当該する脆弱性により攻撃可 能か、 攻撃後の セッションの振る舞いなどを 解析。
  58. 58. 脆弱性試験、侵入試験 環境設定例 Nessus はプラグインの インストールが煩雑な ので Windows がオススメ。 カーネルモードデバッ ガは、 Vmware (ホスト OS ) 側で 動かす。
  59. 59. 脆弱性試験 ポートスキャナー 開いているポートと フィルタリングポリシーを調 査する。 稼動しているサービスが判明 脆弱性スキャナー 開いているポートと稼動して いるサービスのバージョンか ら、 脆弱性を列挙する。 脆弱性スキャナー Nessus のオープンソース版 。
  60. 60. 侵入試験: Metasploit 多機能! ペネトレーションテス ト 脆弱性データベース アンチフォレンジクス POSTGRESQL インターフェース フロントエンド: msfconcole RUBY ペイロード、スクリプト Java ソケット、データベース
  61. 61. Metasploitable metasploit 用のディスクイメージ Metasploit 用 の ディスクイ メージ。 意図的に 脆弱性と誤設 定が入ってい る。 Nessus の対象としても利用可。 25216 (1) - Samba NDR MS-RPC Request Heap-Based Remote Buffer Overflow 11219 (8) - Nessus SYN scanner11011 (2) - Microsoft Windows SMB Service Detection 10150 (1) - Windows NetBIOS / SMB Remote Host Information Disclosure http://www.offensive-security.com/metasploit-unleashed/Metasploitable
  62. 62. 脆弱性解析:デバッガについ て
  63. 63. デバッガの種類  ユーザーモードデバッガ API やシンボル情報、文字列や検索処理の機能が豊富。  カーネルモードデバッガ デバイスドライバやカーネルモジュールのデバッグや検索 に使う。  プロセスメモリエディタ 起動後のアプリケーションにアーキテクチャタッチして利 用。メモリの検索に使う。  自作する方法 リアルタイム解析に、上記デバッガなどを自作する。 DLL インジェクション、フィルタドライバ
  64. 64. ユーザーモードデバッガ: OllyDBG レジスタウィンドウ メモリダンプ ディスアセンブラ その他のデバッガに比べて 文字列の表示と処理に 優れている(はず)
  65. 65. カーネルモードデバッガ: WinDBG ソースコードがある 場合 カーネルモードで動くため、 デバイスドライバの排他制御などを 扱うことができる! ソースコードがない、ま たは マルウェアなどの 解析の場合、 OS を仮想化しリモート から 接続して使う。 (リモートカーネルデ バッグ)
  66. 66. インサーキットエミュレータ ① インサーキット・エミュレータ (In-circuit emulator, ICE) はデジタル機器の開発装置の 1 つである。 CPU とも呼ばれるマイクロプロセッサの機能をエミュレー トするハードウェアを主体としており、実際のマイク ロプロセッサと同じ機能を実装し、さらにブレーク・ ポイントといったプログラムの実行途中で一時停止す るといったデバッグ機能を操作するためのソフトウェ アと組み合わされた装置である。ソフトウェアデバッ ガでは実時間での処理が行えないので、デジタル機器 類での組み込みシステムや BIOS といった入出力動作 を確認する必要がある開発環境で使用される。 ICE (アイス)と呼ばれることが多い。 ②"In-Circuit Emulator" は、米インテル社の登録商標であ る -- wikipedia
  67. 67. IISEC Enpit 第二回
  68. 68. 第2回:概要  長期トレンド  新しい攻撃形態  検出技術とアルゴリズ ム  大規模データのフィル タリング  大規模観測技術 • 第二回 攻撃技術     Socware と SocialBot 標的型攻撃     ソーシャルエンジニアリング 観測技術     大規模データ収集技術     機械学習を使った検出技術
  69. 69. クラウドコンピューティングと データ主権
  70. 70. Challenges for cloud computing security
  71. 71. Cloud computing security Overview Cloud computing is extremely fat-server and thin-client system.
  72. 72. Cloud computing security Overview Cloud computing is Comprehensive system of many technologies.
  73. 73. Current situation of cloud computing cloud computing is becoming pervasive • Gartner predicts that by 2015, 40 percent of the security controls used within enterprise data will be virtualized, up from less than 5 percent in 2010. global cloud computing services revenue is expected to hit $148.8 billion come 2014 a dramatic 16.6 percent rise compared to 2009 cloud services revenue, which was $58.6 billion.
  74. 74. Current situation of cloud computing Security is top concerned issue Five security issues 1) Security about virtual machine environment 2) Security about data center 3) Legal issues about data in foreign server 4) SLA service level agreement 5) Security about management and operation Virtual machine attack T. Ristenpart, E. Tromer, H. Shacham, and S. Savage. “Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third-Party Compute Clouds.” In S. Jha and A. Keromytis, eds.CCS 2009,
  75. 75. Classification of cloud computing security guidelines, standards and alliances The right to retain ownership, use and control one‘s own data ユーザーが保有するデータの管理と利用に関する所有権保持の権 The right to service-level agreements that address liabilities, remediation and business outcomes 負担、改善、業務上の成果の取り組みに関するサービスレベル契約の権利 The right to notification and choice about changes that affect the service consumers‘ business processes 利用者のビジネスプロセスに影響がある変化について、告知を受け選択する権利 The right to understand the technical limitations or requirements of the service up front 事前に技術的な制約や要件を理解する権利 The right to understand the legal requirements of jurisdictions in which the provider operates 事業者が則る法的管轄を理解する権利 The right to know what security processes the provider follows 事業者が行うセキュリティプロセスを知る権利 The responsibility to understand and adhere to software license requirements 適切なソフトウェアライセンスの要件を理解する義務 Gartner Global IT Council for Cloud Services Outlines Rights and Responsibilities for Cloud Computing Services
  76. 76. Outline: insider threat and data leakage Information leakage is one of the most serious damages caused by insider threat. In this talk, I will introduce some key issues about ex-post countermeasures of information leakage ①First, "Data lives forever" problem is introduced. Once sensitive information is leaked over Internet, we have no effective countermeasures to nullify it. Some topics such as advanced secret sharing and right to be forgotten will be noted. ②Second, I will talk briefly about "Data sovereignty" to provide a logical and technical basis for tracking spread information. PDP (provable data possession) could be one of solutions. Finally, I will present some actual cases about these problems.
  77. 77. Insider Threats and Information leakage LostTape 14% Incidents by Breach Type Stolen document 14% Attacks from outside by hacking is motivated for botNet, FaaS etc. Data Leakage is one of the main purpose of insider attack. Besides, this kind of threat causes retroactive disclosure. Disposal Document 14% Social Engineering And APT is sometimes So hard to be prevented Technically. 2012/11 http://www.datalossdb.org Data lives forever:Once sensitive data is released to network, it circulates forever. Information leak: retroactive disclosure Sensitive data could retrieved and retroactivated as offense.
  78. 78. Can retroactivation as offense be mitigated ? Is ex-post countermeasure possible ? Is it unstoppable even if we adopt domain seizure in Amazon EC2 ? 2012/08 Dropbox Confirms User Email Leaks – Adds Additional Protection DLP can protect sensitive data sent from SNS ? Top threats to enterprise security IDC’s survey   2010 Trojans, Virtuses, other malware 54 78 Spyware 48 74 Hackers 41 67 Employees exposing information 52 66 Equipment misconfiguration 41 61 Application Vulnerabilities 44 59 Spam Is it possible to prevent Uploading sensitive files ? 2008 39 58 Data stolen by trusted party 38 53 Insider sabotage 34 49
  79. 79. Japan’s case: information leakage via P2P networks 2008/03/22 National Bank of Japan leaks Confidential insider information 2009/04/02: Tokyo Rinkai Hospital – a list of 598 inpatients information 2005/06 Documents of nuclear power plant of Mitsubishi was leaked. 2009/01/08: National InformationTechnology Promotion Agency - a database of Ministry of Internal Affiars and National Patent Office 2010/10/30 Metropolitan Police Department taking charge of international terrorism splits a confidential list over P2P networks
  80. 80. Data Sovereignty in Cloud computing era Data Sovereignty :the coupling of stored data authenticity and geographical location in the cloud A Position Paper on Data Sovereignty: The Importance of Geolocating Data in the Cloud Zachary N. J. Peterson, Mark Gondree, and Robert Beverly. USENIX HotCloud 2011 However, as Cloud computing environment has become international, securing data sovereignty is harder and harder. Technology of geolocation could be cheated. PDP (Provable Data Possession) could be one of the solutions for this problem. Giuseppe Ateniese, Randal C. Burns, Reza Curtmola, Joseph Herring, Lea Kissner, Zachary N. J. Peterson, Dawn Xiaodong Song: Provable data possession at untrusted stores. ACM CCS 2007
  81. 81. "Data lives forever" problem • Wiki Leaks WikiLeaks is an international organization that publishes submissions of otherwise unavailable documents from anonymous sources and leaks. On July 25, 2010, WikiLeaks released to The Guardian, The New York Times, and Der Spiegel over 92,000 documentsrelated to the war in Afghanistan between 2004 and the end of 2009. • “Right to forget and delete” European Commission sets out strategy to strengthen EU data protection rules Nov 2010. “Controlling your information, having access to your data, being able to modify or delete it – these are essential rights that have to be guaranteed in today's digital world. “
  82. 82. P2P security VANISH: self destructing data Roxana Geambasu, Tadayoshi Kohno, Amit Levy, Henry M. Levy. Vanish: Increasing Data Privacy with SelfDestructing Data. In Proceedings of the USENIX Security Symposium, Montreal, Canada, August 2009. Technology: Secret sharing protocol and DHT In vanish system, shared file is disappeared from network in a fixed interval. Bob sends {C,L} to Alice. VANISH is implemented for Vuse DHT. {C,L} Data, timeout Data, timeout KN K2 RANDOM INDEXES (L) C=Ek(data) K1 RANDOM INDEXES (L) data=Dk(C)
  83. 83. P2P security UNVANISH: reconstructing data Defeating Vanish with Low-Cost Sybil Attacks Against Large DHTs Scott Wolchok, Owen S. Hofmann, Nadia Heninger, Edward W. Felten, J. Alex Halderman, Christopher J. Rossbach, Brent Waters, and Emmett Witchel, Network and IT Security Conference: NDSS 2010 UNVANISH mounts sybil nodes into DHT to replicate Ek hash to reconstruct data. {C,L} UNVANISH Data, timeout Data, timeout KN K2 RANDOM INDEXES (L) C=Ek(data) K1 RANDOM INDEXES (L) data=Dk(C)
  84. 84. 新しい攻撃形態
  85. 85. ソーシャルネットワーク オープン ストック フロー クローズ
  86. 86. API による自動化と情報収集力の増加 現在、ソーシャルネット ワーク上で多様かつ 高機能な WEB   API が 提供されているが、これに よりソーシャルボットや ソックウェアが活性化 するケースがある。
  87. 87. Socware, SocialBot の検出 1 MyPageKeeper:Efficient and scalable socware detection in online social networks mypagekeeper is a facebook application desinged for detecting malicious post in facebook. once a facebook user installs mypagekeeper, it periodically crawls posts from the user's wall and news feeds.   mypagekeeper is tested from the perspective of over 12K users who have installed myPageKeeper and their roughly 2.4 million friends. by this dataset, myPagekeepr turned out to be accurate (97% of posts flagged by it are indeed socware and it incorrectly flags only 0.005% of benign costs) and efficient (it requires 46 ms on averatge to classify a post). Security'12 Proceedings of the 21st USENIX conference on Security symposium 2 An analysis of socware cascades in online social networks online social networks have become a popular new vector for distributing malware and spam, which is called as socware. unlike email spam, which is sent by spammers directly to intended victims, socware cascades through OSNs as compromised users spread it to their friends. WWW '13 Proceedings of the 22nd international conference on World Wide Web
  88. 88. 攻撃のインセンティブと 地下経済
  89. 89. 検出技術とアルゴリズム
  90. 90. システムセキュリティ  On-Line: 侵入検知、アクセス制御 動いているシステムへの不正アクセス、攻撃トラフィッ クを検出する。 稼動中のシステムへのリソースごとのアクセスを制御 する。  Off-Line: コード解析、脆弱性検査、ぺネトレーションテスト システムに入ってくるコードに悪意がないかチェックする。 システムに攻撃される箇所がないかチェックする。  フォレンジクス(侵入、不正アクセスがあった後に)、攻撃の 証拠を発見、保存する。
  91. 91. コンピュータ セキュリティのアルゴリズム  ネットワーク系侵入検知のデータマイニング トラフィックの中から攻撃パケットを検出する。  システム系侵入検知のデータマイニング リソースアクセス、システムコールのシーケンスの中か ら悪意ある挙動、禁止されている挙動を検出する。  コード解析系のアルゴリズム マルウェアの解析:どのような攻撃がされるのか解析する。 防御対象のシステムに脆弱性がないか解析する。  フォレンジクス系のアルゴリズム ファイルシステム、不揮発性のメモリのスナップショットなどから、 攻撃や不正アクセスの跡を発見する。
  92. 92. 侵入検知とデータマイニング  異常検知 通常状態、過去の履 歴 (プロファイル)か らの乖離 を用いて検出。  不正検知 不正なシグニチャや パ ターンを照合して検 出。
  93. 93. Introduction BACKGROUND: The rapid increasing of security incidents imposes a great burden on Internet users and system administrators. In this paper we discuss a parallel analysis for lightweight network incident detection using nonlinear adaptive systems. DEPLOYMENT: We run AID (anomaly intrusion detection) and MID (misuse intrusion detection) systems in parallel. Two detectors generate binary output misuse = {YES/NO} and $anomaly = {YES/NO}. Then, we can determine whether we need to perform network or security operation. ALGORITHMS: We apply clustering algorithm for AID and classification algorithm for MID. The nonlinear adaptive system is trained for running MID and AID in parallel. Proposed parallel system is more lightweight and simple to operate even if the number of incident patterns is increased. RESULT: Experimental results in the case where false positive is frequently caused show that our method is functional with a recognition rate of attacks no less than 10%, while finding the anomaly status. Also, performance evaluation show that proposed system can work with reasonable CPU utilization compared with conventional serial search based system. NPC 07
  94. 94. IDS (Intrusion Detection System) NPC 07 IDS is an alarm and logger IDS (Intrusion detection system) is kind of alarm deployed on computer system and network to detect activity called misuse, that is something unauthorized action such as leaking or compromising. Increasing the number of attacks Recent increasing of the number of attacks against computer systems is rapid enough to pare off the effectiveness of human response. Current requirement for IDS More effective, automated and intelligent detection method is researched in many fields to take some measures for the unseen incidents. Generally, researches are objective to construct a system treating attacks with automatic response.
  95. 95. Background: Increase of IDS signatures NPC 07 It is supposed that a large number of service and system will be connected to the internet. And the number of exposed security holes, flaws and vulnerabilities is increasing rapidly still now. On the other hand, the signatures of current intrusion detection system is increasing and its managing is becoming so complicated that administrators is required to spend much time to learn how to handle rules and maintain databases. Current IDS checks all internal and external packets and logs part of them according to signature rule set. With the complexity of managing signatures, there is matter of concern that increase in the number of signatures unnecessary impose the great burden to the system and worse, the improper setting of signature rule set drop the packets of coming attacks.
  96. 96. Anomaly and misuse detection profiles and signatures NPC 07 BACKGROUND Almost traditional IDS applies signature-based detection methods. Dataset of signatures is afforded manually by experts. Recently, manually black-list based cannot catch up with the rapid increase of network security incidents and attacks. Therefore, the extension and alternatives of matching based detection has been researched. Intrusion detection techniques are generally classified into two categories: anomaly detection and misuse detection. MISUSE DETECTION Misuse detection is performed by looking for the behavior of a known exploit scenario, which is usually described by a specific sequence or data. Current signature based methods is classified in misuse detection but lacks the scalability to extract features from attacks observed to detect even derivatives of conventional incidents by itself. Misuse learning algorithms on labeled data generally cannot detect new intrusion as it is. In addition, processing labeled data in order to find variation is usually so expensive. ANOMALY DETECTION On the other hand, anomaly detection is performed by the inspection for the state that deviates from the baseline or normal state defined before. Profiling algorithms for AID on unlabeled data is frequently causing false positive because the audit data can be very large. And the output of this method is inclined to depend much on the numbers and features of data to train. CHARACTERIZATION OF TWO METHODS AID takes advantage in sensitivity. MID takes advantage in singularity. Sensitivity = TP / TP + FN Singularity = TN / TN + FP TRUE POSITIVE FALSE POSITIVE FALSE NEGATIVE TRUE NEGATIVE
  97. 97. Data-mining and IDS Clustering for AID / Classification for MID NPC 07 [1] Clustering for AID Outputs the distance from normal (usual) status. Algorithms: Statistics / Clustering (Machine learning) Dataset: profile (representation of normal) Anomaly detection uses clustering algorithms because the behavior to find is unlabeled, with no external information sources. [2] Classification for MID Outputs the similarity from misuse cases. Algorithms: Statistics / Classification (Machine learning) Dataset: signature (representation of attack) Misuse detection adapts classification algorithm because the activity to analyze requires that detector know how classes are defined.
  98. 98. Clustering and classification: The tradeoff about the accuracy and range of detection NPC 07 There are two major data mining techniques applied for intrusion detection, clustering or classification. Clustering is the automated, unsupervised process that allows one to group together data into similar   characteristics. Classification is the method to learn to assign data to predefined classes. The tradeoff about the accuracy and range of detection exists between clustering and classification. Classification deal with predefined data, so it affords detection of weaker signal and figure out accurate recognition. But in some cases, it may be biased by incorrect data to train and it is not able to detect new type of attacks in the sense that the attack does not belong to any category defined before. Clustering is not distorted by previous knowledge, but therefore needs stronger signal to discover. At the same time it can deal with unlabeled attacks because the training doesn't specify what the detection system is trying to find while clustering go too far to perceive the activity that   is not included incident affair.
  99. 99. Experiment DoS attack or network trouble? NPC 07 In experiment, we test the case Where false positive is occurred Frequently. Burst traffic of specific packet Occurred by Network trouble Is often misrecognized as DoS Attack. In this case, Output of AID = YES Output of MID = NO Among anomaly burst traffic, State caused by attack or Malicious behavior is included. In this case Output of AID = YES Output of MID = YES
  100. 100. Android マルウェアの検出と解析  動的解析:実際に動作させて観測する。 Taint Droid: An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones William Enck, Peter Gilbert, Byung-gon Chun, Landon P. Cox, Jaeyeon Jung, Patrick McDaniel, and Anmol N. Sheth. In Proc. of the USENIX Symposium on Operating Systems Design and Implementation (OSDI), October 2010 in Vancouver  静的解析:デコンパイルやソースコードの検査をする。 A study of android application security SEC'11 Proceedings of the 20th USENIX conference on Security Pages 21-21 William Enck
  101. 101. Android マルウェアの検出と解析 Dalvik VM interpreter Taint Droid: An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones
  102. 102. Message level tracking 動的解析 Application code Application code MSG Variable level tracking Virtual machine Virtual machine Native system libraries Network Interface Secondary Storage Method level tracking File level tracking

×