SlideShare a Scribd company logo

CCS Injection

Download as PPT, PDF
Yutaka Hiroyama
Yutaka Hiroyama

CCS Injectionについて ごくごくカンタンに

Technology
1 of 17
CCS Injection カンタン解説 2014 Jun   ヒロヤマ ユタカ
CCS Injection とは? OpenSSL にて、 2014/6/5 に修正されたバグの一つ。 2014 年 6 月、 レピダムの 菊池正史氏が発表。 またまた、 あなたの秘密が世界中に バレているかも。。。
OpenSSL OSS の SSL ソフトの代表格。 多くの LinuxOS に プリインストールされている。
いつから? な、なんと、 16年以上前から( ´д `;)
なぜ発生した? OpenSSL のハンドシェイク処理に バグがあったため。
ハンドシェイク 通信を開始する前に実施される手続き。 完了後に通信が可能となる。
ハンドシェイク OpenSSL では、以下の手順で行われる。 ※ 最もシンプルな例 ① こんにちは ② こんにちは ③ 挨拶完了 ④ 暗号方式は xx で!  ⑤ 暗号方式は xx で! ⑥ 完了!
ハンドシェイク OpenSSL では、以下の手順で行われる。 ※ 最もシンプルな例 ① こんにちは ② こんにちは ③ 挨拶完了 ④ 暗号方式は xx で!  ⑤ 暗号方式は xx で! ⑥ 完了! 注目!!注目!!
バグ発生のメカニズム ( CSS Injection 勃発!) ④-a 暗号方式 は xx で!  ④-b 暗号方式 は zz で! ⑤-b 暗号方式 は zz で! ⑤-a 暗号方式 は xx で! 差し替え差し替え
あとは、盗聴・改ざん やりたい放題☆
ちょっとだけ詳しく 暗号方式の通知( ChangeCipherSpec )は いつでも受信可能になっていた ( )* 。 そのため、 MITM 攻撃が実施可能に なっていた。 ( )* パイプラインストール対策
対策処方箋 • サーバ管理者向け • 利用者向け
サーバ管理者向け • OpenSSL のアップデート OpenSSL 1.0.1h 以上 OpenSSL 1.0.0m 以上 OpenSSL 0.9.8za 以上
利用者向け 待つ 暗号鍵の再発行などは不要。 ひとつ教訓。 今回の攻撃は公共 WiFi で成功しやすい。 今後はなるべく公共 WiFi を使っての 機密情報の通信を控えましょう!
参考 • http://ccsinjection.lepidum.co.jp • http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection/index.html
Fin.

Recommended

Resistance Bands Physio
Resistance Bands PhysioResistance Bands Physio
Resistance Bands PhysioResistanceBandsPhysio
 
PDHPE Rationale
PDHPE RationalePDHPE Rationale
PDHPE RationaleHayley Louise
 
estimating potential sales for a retail store
estimating potential sales for a retail storeestimating potential sales for a retail store
estimating potential sales for a retail storeMohsen Khashei
 
VPCカンタン解説
VPCカンタン解説VPCカンタン解説
VPCカンタン解説Yutaka Hiroyama
 
ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)Yutaka Hiroyama
 
Understanding s
Understanding sUnderstanding s
Understanding sHugo Ch A
 
Unidad 15
Unidad 15Unidad 15
Unidad 15Hugo Ch A
 
Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107Hugo Ch A
 

Recommended

Resistance Bands Physio
Resistance Bands PhysioResistance Bands Physio
Resistance Bands PhysioResistanceBandsPhysio
 
PDHPE Rationale
PDHPE RationalePDHPE Rationale
PDHPE RationaleHayley Louise
 
estimating potential sales for a retail store
estimating potential sales for a retail storeestimating potential sales for a retail store
estimating potential sales for a retail storeMohsen Khashei
 
VPCカンタン解説
VPCカンタン解説VPCカンタン解説
VPCカンタン解説Yutaka Hiroyama
 
ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)Yutaka Hiroyama
 
Understanding s
Understanding sUnderstanding s
Understanding sHugo Ch A
 
Unidad 15
Unidad 15Unidad 15
Unidad 15Hugo Ch A
 
Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107Hugo Ch A
 
Estimating potential sales for a retail store
Estimating potential sales for a retail storeEstimating potential sales for a retail store
Estimating potential sales for a retail storeMohsen Khashei
 
CloudFront
CloudFrontCloudFront
CloudFrontYutaka Hiroyama
 
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207Yutaka Hiroyama
 
ニイヨンサンロクゴ
ニイヨンサンロクゴニイヨンサンロクゴ
ニイヨンサンロクゴYutaka Hiroyama
 
Retail marketing mix
Retail marketing mixRetail marketing mix
Retail marketing mixMohsen Khashei
 
Effect of using mobile phone
Effect of using mobile phoneEffect of using mobile phone
Effect of using mobile phonePiyali Goswami
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 

More Related Content

Viewers also liked

Estimating potential sales for a retail store
Estimating potential sales for a retail storeEstimating potential sales for a retail store
Estimating potential sales for a retail storeMohsen Khashei
 
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207Yutaka Hiroyama
 
ニイヨンサンロクゴ
ニイヨンサンロクゴニイヨンサンロクゴ
ニイヨンサンロクゴYutaka Hiroyama
 
Effect of using mobile phone
Effect of using mobile phoneEffect of using mobile phone
Effect of using mobile phonePiyali Goswami
 

Viewers also liked (6)

Estimating potential sales for a retail store
Estimating potential sales for a retail storeEstimating potential sales for a retail store
Estimating potential sales for a retail store
 
CloudFront
CloudFrontCloudFront
CloudFront
 
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
 
ニイヨンサンロクゴ
ニイヨンサンロクゴニイヨンサンロクゴ
ニイヨンサンロクゴ
 
Retail marketing mix
Retail marketing mixRetail marketing mix
Retail marketing mix
 
Effect of using mobile phone
Effect of using mobile phoneEffect of using mobile phone
Effect of using mobile phone
 

Recently uploaded

クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 

Recently uploaded (8)

クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 

CCS Injection