Submit Search
Upload
CCS Injection
•
Download as PPT, PDF
•
2 likes
•
621 views
Yutaka Hiroyama
Follow
CCS Injectionについて ごくごくカンタンに
Read less
Read more
Technology
Report
Share
Report
Share
1 of 17
Download now
Recommended
Resistance Bands Physio
Resistance Bands Physio
ResistanceBandsPhysio
PDHPE Rationale
PDHPE Rationale
Hayley Louise
estimating potential sales for a retail store
estimating potential sales for a retail store
Mohsen Khashei
VPCカンタン解説
VPCカンタン解説
Yutaka Hiroyama
ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)
Yutaka Hiroyama
Understanding s
Understanding s
Hugo Ch A
Unidad 15
Unidad 15
Hugo Ch A
Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107
Hugo Ch A
Recommended
Resistance Bands Physio
Resistance Bands Physio
ResistanceBandsPhysio
PDHPE Rationale
PDHPE Rationale
Hayley Louise
estimating potential sales for a retail store
estimating potential sales for a retail store
Mohsen Khashei
VPCカンタン解説
VPCカンタン解説
Yutaka Hiroyama
ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)
Yutaka Hiroyama
Understanding s
Understanding s
Hugo Ch A
Unidad 15
Unidad 15
Hugo Ch A
Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107
Hugo Ch A
Estimating potential sales for a retail store
Estimating potential sales for a retail store
Mohsen Khashei
CloudFront
CloudFront
Yutaka Hiroyama
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
Yutaka Hiroyama
ニイヨンサンロクゴ
ニイヨンサンロクゴ
Yutaka Hiroyama
Retail marketing mix
Retail marketing mix
Mohsen Khashei
Effect of using mobile phone
Effect of using mobile phone
Piyali Goswami
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
More Related Content
Viewers also liked
Estimating potential sales for a retail store
Estimating potential sales for a retail store
Mohsen Khashei
CloudFront
CloudFront
Yutaka Hiroyama
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
Yutaka Hiroyama
ニイヨンサンロクゴ
ニイヨンサンロクゴ
Yutaka Hiroyama
Retail marketing mix
Retail marketing mix
Mohsen Khashei
Effect of using mobile phone
Effect of using mobile phone
Piyali Goswami
Viewers also liked
(6)
Estimating potential sales for a retail store
Estimating potential sales for a retail store
CloudFront
CloudFront
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
ニイヨンサンロクゴ
ニイヨンサンロクゴ
Retail marketing mix
Retail marketing mix
Effect of using mobile phone
Effect of using mobile phone
Recently uploaded
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
Recently uploaded
(8)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CCS Injection
1.
CCS Injection カンタン解説 2014 Jun
ヒロヤマ ユタカ
2.
CCS Injection とは? OpenSSL
にて、 2014/6/5 に修正されたバグの一つ。 2014 年 6 月、 レピダムの 菊池正史氏が発表。 またまた、 あなたの秘密が世界中に バレているかも。。。
3.
OpenSSL OSS の SSL
ソフトの代表格。 多くの LinuxOS に プリインストールされている。
4.
いつから? な、なんと、 16年以上前から( ´д `;)
5.
なぜ発生した? OpenSSL のハンドシェイク処理に バグがあったため。
6.
ハンドシェイク 通信を開始する前に実施される手続き。 完了後に通信が可能となる。
7.
ハンドシェイク OpenSSL では、以下の手順で行われる。 ※ 最もシンプルな例 ①
こんにちは ② こんにちは ③ 挨拶完了 ④ 暗号方式は xx で! ⑤ 暗号方式は xx で! ⑥ 完了!
8.
ハンドシェイク OpenSSL では、以下の手順で行われる。 ※ 最もシンプルな例 ①
こんにちは ② こんにちは ③ 挨拶完了 ④ 暗号方式は xx で! ⑤ 暗号方式は xx で! ⑥ 完了! 注目!!注目!!
9.
バグ発生のメカニズム ( CSS Injection
勃発!) ④-a 暗号方式 は xx で! ④-b 暗号方式 は zz で! ⑤-b 暗号方式 は zz で! ⑤-a 暗号方式 は xx で! 差し替え差し替え
10.
あとは、盗聴・改ざん やりたい放題☆
11.
12.
ちょっとだけ詳しく 暗号方式の通知( ChangeCipherSpec )は いつでも受信可能になっていた
( )* 。 そのため、 MITM 攻撃が実施可能に なっていた。 ( )* パイプラインストール対策
13.
対策処方箋 • サーバ管理者向け • 利用者向け
14.
サーバ管理者向け • OpenSSL のアップデート OpenSSL
1.0.1h 以上 OpenSSL 1.0.0m 以上 OpenSSL 0.9.8za 以上
15.
利用者向け 待つ 暗号鍵の再発行などは不要。 ひとつ教訓。 今回の攻撃は公共 WiFi で成功しやすい。 今後はなるべく公共
WiFi を使っての 機密情報の通信を控えましょう!
16.
参考 • http://ccsinjection.lepidum.co.jp • http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection/index.html
17.
Fin.
Download now