Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

OSS_Security_Sig_20170516_RSA_Conf

1,044 views

Published on

OSSセキュリティ技術の会 第一回勉強会
中村氏 講演資料(RSA)

Published in: Software
  • Be the first to comment

  • Be the first to like this

OSS_Security_Sig_20170516_RSA_Conf

  1. 1. © Hitachi, Ltd. 2017. All rights reserved. OSSセキュリティ技術の会第一回勉強会 株式会社 日立製作所 OSSソリューションセンタ 2017/5/16 中村 雄一 RSA Conference USA 2017報告
  2. 2. © Hitachi, Ltd. 2017. All rights reserved. 自己紹介 1 名前: 中村 雄一 SELinux徹底ガイド(日経BP社) 2004年3月 ・ SELinux Policy Editorを開発、公開。 現在は飽きてメンテ停止、コンセプトは良かったと思うのですが… 所属企業と全く関係ないところで使われてきた模様 ・ 他組込み向けSELinuxなどを開発、Ottawa Linux Symposium, USENIX LISAなどで論文発表 ・ 2007年頃に一度OSSワールドから引退、別の仕事をやっていました。 ・ その間にSELinux関連開発をまとめて博士号取りました。 ・ 時代が一巡し、OSSセキュリティが再び求められ、復帰しました。 ・ 2001年から旧日立ソフトに入社し、SELinuxの研究開発や布教。 SELinuxユーザ会を立ち上げたり、(たぶん)世界初のSELinux書籍を執筆。
  3. 3. © Hitachi, Ltd. 2017. All rights reserved. ・ 日程:2017年2月13日(月)~17日(金) 場所:Moscone Center, San Francisco, CA, USA ・ 世界最大級の情報セキュリティのイベント、大量のセミナと展示会から成り立つ ・ 今回の参加者は40,000人以上 RSA Conference USA 2017概要 2 基調講演の一つ、10,000人以上出席 展示会場の様子 憧れのNSA(SELinux開発元)ブース
  4. 4. © Hitachi, Ltd. 2017. All rights reserved. OSSセキュリティについての主なトピック 3 普通のセキュリティの話題もいっぱいありましたが (ランサムウェアとかIoTとか) OSSセキュリティに関するトピックのみを紹介します 1. コミュニティのレベルでのセキュリティ強化 - Linux Foundationの取り組み - CVEの新たな動きについて 2. コンテナのセキュリティ 当日のセッションの動画は以下で見れます。 https://www.rsaconference.com/events/us17
  5. 5. © Hitachi, Ltd. 2017. All rights reserved. Linux Foundationの取り組み(1/2) 4 ●Collaborative Security Securing Open Source Software By Nicko van Someren (The Linux FoundationのCTO) ・ OSSのセキュリティは商用ソフト以上でも以下でもない。 ただし商用ソフトとの違いとして、コード重視、たくさんの人間が開発、 プロセス は後付、security firstのプレッシャーが少ない等。 ・ OpenSSLの事件を踏まえ、CII(https://www.coreinfrastructure.org/)を設立。 ・ コミュニティ開発者の意識向上が重要! ・ 脅威モデル作成 Card game(elevation of privilege threat model card game)というOSSツール https://www.microsoft.com/en-us/SDL/adopt/eop.aspx ・ Change controlする ・ テスト必須。重要。テストも一緒に提出させる。 ・ コード分析・ファジングツールを使う。商用製品高いが、OSSもある。 OSSの例としてはSonarCube, FramaC, AFL等。 ・ バグ管理必須 ・ OSSユーザ側へのお願いとして、タダ乗りしないでほしい。 バグレポートやパッチなどの貢献をしてほしいと強く呼び掛け。
  6. 6. © Hitachi, Ltd. 2017. All rights reserved. Linux Foundationの取り組み(2/2) 5 なお認定基準は: https://github.com/linuxfoundation/cii-best-practices-badge/blob/master/doc/criteria.md ・ CII Best Practices Badge Programを設立。 https://bestpractices.coreinfrastructure.org/ 所定のベストプラクティスを守っているOSSコミュニティをCIIが認定するというもの。 https://bestpractices.coreinfrastructure.org/ ページより引用
  7. 7. © Hitachi, Ltd. 2017. All rights reserved. CVEの新たな動き(1/2) 6 ● Saving CVE with Open Source Software by Kent Landfield(Intel), Kurt Seifried(Red Hat) ・ 脆弱性管理のCVEについて。(CVE-yyyy-xxxxのようなよく見るアレです) ・ CVEは、MITREというUSの非営利団体が主導、元々はUS産ソフトが対象。 またOSSのカバレッジは少なかった。 OSSのCVEについてのよくある誤解! ・ ここ2,3年でOSSに関するCVEが激増している。 これは1ソフトウェアあたりの脆弱性が増えているわけではない。 見る人が増えたからである。 ⇒ 関連する取り組みの紹介
  8. 8. © Hitachi, Ltd. 2017. All rights reserved. CVEの新たな動き(2/2) 7 DWFの設立 ・ OSSを扱うCNAとしてDWF(Distributed Weakness Filing: https://github.com/distributedweaknessfiling/)が新たに設立された。 ・ DWFは、基本的にはコミュニティベースで運営される。DWFの下にサブCNAをぶら下げて、 どんどんOSSのカバレッジを増やしたい。CNAやりたい人を大募集中。 ・ DWFでは、OSSのCVEのレビュア―としてMentorという役割を作った。Mentorも大募集中である。 ⇒ Mentorは簡単になれるようです。興味ある方は↓ https://github.com/distributedweaknessfiling/DWF-CVE-Mentor-Registry ・ MITREの下のCNA(CVE Numbering Authorities)という組織が自分の担当範囲のCVEをまとめる ⇒ OSSに関するところが弱かった。 MITRE CNA (forベンダ) CNA for地域 (現状日本のJPCERTのみ) CNA (forX社製品) CNA (forY社製品) CNA for OSS DWF 新設 OSSのジャンル 毎のCNA OSSのジャンル 毎のCNA mentormentor
  9. 9. © Hitachi, Ltd. 2017. All rights reserved. コンテナセキュリティ 8 今年のRSA Conferenceはコンテナセキュリティであるとの声。 (数年前はクラウドセキュリティと言われていたのと一緒) ● セッション: Orchestration Ownage: Exploiting Container-Centric Data center Platforms, by Bryce Kunz@Adove、Mike Mellor @ Adobe 何も考えずにApache Mesosでコンテナベースのデータセンタを組むとひどいことになるというデモ 脆弱な Webアプリがある コンテナ ジョブ管理デーモン (marathon) Mesos Master Mesos DNS 任意コマンド実行を許す脆弱性が ある前提 (例:最近のStruts2の脆弱性) 1: REST API叩いて 各種サービスのIPアドレスと ポート取得 2: REST API叩いて 悪意のあるジョブを投入 3: 悪意あるジョブにてrootシェル 起動 最低限REST APIを認証+TLSしろとの話。 #コンテナ関連のOSSは、デフォルト安全に倒した設定になっていない、 #ベストプラクティスも共有されていない模様。 #なおデモ環境ではSELinuxは入っていたが適切に設定されていなかった。 他のセッションでも、コンテナからホストを破壊のデモもあり # SELinuxが入っていればなぁ。。。。
  10. 10. © Hitachi, Ltd. 2017. All rights reserved. コンテナセキュリティ 9 Red Hatブースにて対策技術展示。 SELinux seccomp OpenSCAP コンテナ同士の分離、コンテナとホストの分離に利用 前提技術とされている システムコールを使えなくするLinuxカーネルの機能、SELinuxと併用 コンテナの検査に利用 OpenSCAPにバグ報告実施 (SELinuxのチェックされていない件)
  11. 11. © Hitachi, Ltd. 2017. All rights reserved. 個人的な感想 10 ・ 脆弱性がどんどん報告され、 「脆弱性突かれてしまった場合の対策」として ・ コンテナ時代の「分離技術」として ⇒ 改めてSELinuxが重要になってきている!! そこで本日のテーマの 「SELinux」
  12. 12. 11© Hitachi, Ltd. 2016. All rights reserved. 他社所有商標に関する表示 • RSAはRSA Security Inc.の米国およびその他の国における登録商標です • Linuxは米国及びその他の国におけるLinus Torvaldsの登録商標です。 • SELinuxは米国及びその他の国におけるNational Security Agencyの登録商標です。 • Apache Mesosは米国及びその他の国におけるThe Apache Software Foundationの登録商標です。 • その他記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

×