Downloaded 20 times
![セキュリティ(情報分野)とは?
• 私たちがインターネットやコンピュータを安心して
使い続けられるように、必要な対策をすること[1]
• コンピュータシステムを災害、誤用および
不正アクセスなどから守ること[2]
[1]総務省国民のための情報セキュリティサイトより
[2]Wikipedia コンピュータセキュリティより
第一回福井技術者のつどい2014/11/23 4](https://image.slidesharecdn.com/ctf-141123073943-conversion-gate01/85/Ctf-4-320.jpg)
![セキュリティ(情報分野)とは?
• 私たちがインターネットやコンピュータを安心して
使い続けられるように、必要な対策をすること[1]
• コンピュータシステムを災害、誤用および
不正アクセスなどから守ること[2]
コンピュータに関する安全対策のこと
[1]総務省国民のための情報セキュリティサイトより
[2]Wikipedia コンピュータセキュリティより
第一回福井技術者のつどい2014/11/23 5](https://image.slidesharecdn.com/ctf-141123073943-conversion-gate01/85/Ctf-5-320.jpg)
![CTFとは
• Capture The Flagの略
• 決してシューティングゲームではありません
• 参加者に対しコンピュータを守る経験に加え、現実の世
界で発見されたサイバー攻撃への対処を学ぶ教育手法[3]
[3]Wikipedia キャプチャー・ザ・フラッグ
コンピュータセキュリティより
第一回福井技術者のつどい2014/11/23 30](https://image.slidesharecdn.com/ctf-141123073943-conversion-gate01/85/Ctf-30-320.jpg)
![[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』](https://cdn.slidesharecdn.com/ss_thumbnails/securitycamp-200529153133-thumbnail.jpg?width=640&height=640&fit=bounds)
セキュリティを学ぼう~Ctfを添えて~
- 1. セキュリティを 学ぼう!! ~~CTFを添えて~~ 第一回福井技術者のつどい 第一回福井技術者のつどい2014/11/23 1
- 2. 本セッションの担当者 • 石橋拓己(いしばしたくみ) • 4年生 • ネットワーク関連の研究と ゲーム理論やってます(白目) • 色んな勉強会に出没中です(呼んでください) • 本勉強会の経理・広報・Ust担当(Ustは昨日追加 尼崎さんには本当に頭が上がりません…(笑) 第一回福井技術者のつどい2014/11/23 2
- 3. アテンション • 本セッションはセキュリティの勉強促進発表です • (Q:お前OSのこと喋るって言ってたじゃねぇか • (A:すまん、研究で時間がアババババババ • CTFは実演するけど自分でやる方がたのs(ゲフンゲフン • Web・Network・Binaryあるけど何がいいですかね? 第一回福井技術者のつどい2014/11/23 3
- 4. セキュリティ(情報分野)とは? • 私たちがインターネットやコンピュータを安心して 使い続けられるように、必要な対策をすること[1] • コンピュータシステムを災害、誤用および 不正アクセスなどから守ること[2] [1]総務省国民のための情報セキュリティサイトより [2]Wikipedia コンピュータセキュリティより 第一回福井技術者のつどい2014/11/23 4
- 5. セキュリティ(情報分野)とは? • 私たちがインターネットやコンピュータを安心して 使い続けられるように、必要な対策をすること[1] • コンピュータシステムを災害、誤用および 不正アクセスなどから守ること[2] コンピュータに関する安全対策のこと [1]総務省国民のための情報セキュリティサイトより [2]Wikipedia コンピュータセキュリティより 第一回福井技術者のつどい2014/11/23 5
- 6. セキュリティはなぜ重要なのか? • 悪い人がいるから 第一回福井技術者のつどい2014/11/23 6
- 7. セキュリティはなぜ重要なのか? • 悪い人がいるから • ただ厄介なことに、悪い人の種類が非常に豊富 第一回福井技術者のつどい2014/11/23 7
- 8. セキュリティはなぜ重要なのか? • 悪い人がいるから • ただ厄介なことに、悪い人の種類が非常に豊富 攻撃者(俗にいうクラッカー) 内部犯罪者(産業スパイなど) システムの使い方を覚えてくれない人 規約に従わない人 その他にも機材を壊す/勝手に弄るetc… 第一回福井技術者のつどい2014/11/23 8
- 9. セキュリティはなぜ重要なのか? • 悪い人がいるから • ただ厄介なことに、悪い人の種類が非常に豊富 • 規模・動機も様々 • 意図せず攻撃してしまうケースも… • 問題が起きてからでは遅い! 第一回福井技術者のつどい2014/11/23 9
- 10. 今年は問題豊富な年!! その1!!(4月発覚) •OpenSSLにおいて発覚した脆弱性「Heartbleed」 この脆弱性によりサーバーにある情報を攻撃者に 奪われる恐れがある(詳細略) かのグーグル先生やYahooなども影響を受けた 最悪のセキュリティインシデント これのせいでGWがなくなったとよく聞きました (涙目 第一回福井技術者のつどい2014/11/23 10
- 11. 今年は問題豊富な年!! その1´!!(6月発覚) •OpenSSLにおいて発覚した脆弱性 「CCS Injection Vulnerability」 ま・た・か!!(Heartbleedとは大して関係ない) 暗号通信の情報が漏えいする危険がある Heartbleedと違い、サーバーおよびユーザー双方に 影響のある脆弱性(詳細略) 第一回福井技術者のつどい2014/11/23 11
- 12. 今年は問題豊富な年!! その2!!(9月発覚) •bashにおいて発覚した脆弱性「Shellshock」 bashとは各種Linux、Mac OS Xに標準搭載されてい るシェルの1種 この脆弱性により、外部から遠隔でシェルコマン ドが実行されてしまう 最悪の場合、サーバー乗っ取りやウイルス感染 第一回福井技術者のつどい2014/11/23 12
- 13. 今年は問題豊富な年!! その他(説明する時間がない!!) •Internet Explorerの脆弱性(4月発覚) • OAuth2.0の脆弱性「Covert Redirect」(5月発覚) ログイン・プロンプトからログイン情報を 盗み出せる • Microsoft Schannelの脆弱性(11月発覚) Windows Server上で高い特権でコードを実行される 第一回福井技術者のつどい2014/11/23 13
- 14. 問題の多発 • 以上のように、今年はたくさんの問題が 「発覚」しています(ご紹介したのは極々一部 • なぜこんなに問題が見つかるのでしょう…? 脆弱性そのものは何年も前から存在していた!! (NSAのPrism計画で皆探す気になった? • さて、技術的でない問題はどうでしょう? 第一回福井技術者のつどい2014/11/23 14
- 15. ベネ○セ問題の概要(これはオフレコで) • 約2800万件(世帯)の情報漏えい • 犯行動機:金銭 • 手口:スマートフォンへのデータコピー • ベネッセのセキュリティ対策 情報を扱う部屋は担当者のみ入室可 私物持ち込み禁止 第一回福井技術者のつどい2014/11/23 15
- 16. ベネ○セのどこがまずかった? • 私物持ち込みのチェックの不備 • データコピーに用いられたプロトコルの制御不備 ベネッセはセキュリティ対策を怠ったのだろうか? いやそんなことは決してない 使用できるプロトコルの制限など、ベネッセは セキュリティ対策に積極的に取り組んでいた 第一回福井技術者のつどい2014/11/23 16
- 17. ○ネッセの不運 • 漏えい者の方が圧倒的に有利である 方法が非常に多く、これからも増え続ける 全てを防ぐにはお金も時間も足りない 制限を掛けすぎれば作業効率も落ちる 攻撃(漏えい)を感知することは困難 (ログから察知するのは不可能? 第一回福井技術者のつどい2014/11/23 17
- 18. なぜベ○ッセ?? • 一番喋りやすかった(これ関係のセミナーを受けた • なぜか私の個人情報がベネッセに漏えいしてて それを更に漏えいさせたみたいなのでむかつ(ry • セキュリティは技術だけではダメであるよい事例 第一回福井技術者のつどい2014/11/23 18
- 19. 結局どうすればいいの? • 結局悪いことをするのは人です 究極的には人が悪いことをしなくなれば良い (非常に困難 次善策として、以下のものがよく上げられます リスクの周知 監視による牽制 • みなさんなら、どうしますか? 第一回福井技術者のつどい2014/11/23 19
- 20. セキュリティに関わる人々(会社編) 重役 情報システム 部部長 CSIRT構成メンバー 外部の第三者監査機関 情報システム部社員 一般社員 第一回福井技術者のつどい2014/11/23 20
- 21. セキュリティに関わる人々(社会編) • 国家機関(IPAなど)勤務者 • 各分野のセキュリティ団体所属者 • 各企業のセキュリティ業務従事者 • ペネトレーションテスター • システム開発者・運営者 • 情報技術に精通した学生 第一回福井技術者のつどい2014/11/23 21
- 22. セキュリティを学ぶ前に • セキュリティ分野というのは、それ単体で独立した分 野ではない 応用 (セキュリティ) 基礎 • セキュリティ分野とは、各情報技術の応用部分 第一回福井技術者のつどい2014/11/23 22
- 23. セキュリティを学ぶ前に • 時に、技術的に誤った内容に対して激しく指摘 されることもあります(マサカリが飛んでくるという しかし、それは個人を否定する物ではない 逆に、自分を見つめなおすチャンス • マサカリは怒らず落ち込まず冷静に受け止めましょう • 詳しくはhttp://www.slideshare.net/re_3_19/ss-34793007 第一回福井技術者のつどい2014/11/23 23
- 24. セキュリティの難しさ • 基礎部分が膨大 • 実機演習(環境構築)が難しい • 勉強できる所(大学など)が少ない • 一緒に勉強する仲間が(現実では)見つからない • それ単体で何かを生み出すわけではない 第一回福井技術者のつどい2014/11/23 24
- 25. セキュリティの楽しさ • 学ぶことで各分野の繋がりを感じることができる • システムの動作を深く理解することができる • 情報技術的に広い視野で物を考えられるように なる(かも?) • やばい人達と技術で会話できる!! ※技術力が足りないと殴られるような痛みを伴う • なにより安全な物を作るっていうのは浪漫!! 第一回福井技術者のつどい2014/11/23 25
- 26. セキュリティをどう学ぶか? • 基礎知識を深く学ぶ 講義の後、先生を巻き込んでディスカッションとか 各技術の仕様書、ソースコードを確認する • 破壊を覚悟の上、ローカル環境でいろいろ弄る • 仮想サーバなどを借りて色々弄る • イベントに参加する 第一回福井技術者のつどい2014/11/23 26
- 27. イベントに参加するとは? • 現在日本では多くのイベントが開催されています セキュリティキャンプ SECCON(CTF) ハッカソンや有志主催の勉強会 シンポジウムやワークショップ • 参加制限は基本ないので積極的に参加しましょう 第一回福井技術者のつどい2014/11/23 27
- 28. セキュリティキャンプとは • 若年層の情報セキュリティ人材を発掘・育成を目的 ※画像引用元:セキュリティミニキャンプ東北2014 色々まずそうだったらとっとと飛ばします(白目 第一回福井技術者のつどい2014/11/23 28
- 29. イベントに参加するとは? • 現在日本では多くのイベントが開催されています セキュリティキャンプ SECCON(CTF) ハッカソンや有志主催の勉強会 シンポジウムやワークショップ • 参加制限は基本ないので積極的に参加しましょう 第一回福井技術者のつどい2014/11/23 29
- 30. CTFとは • CaptureThe Flagの略 • 決してシューティングゲームではありません • 参加者に対しコンピュータを守る経験に加え、現実の世 界で発見されたサイバー攻撃への対処を学ぶ教育手法[3] [3]Wikipedia キャプチャー・ザ・フラッグ コンピュータセキュリティより 第一回福井技術者のつどい2014/11/23 30
- 31. どんな問題があるの? クイズ形式 •各チームが、通常異なる配点の、複数の分野にわたる 問題を解答する形式 リバースエンジニアリング(Binary?) プログラムの解析、改ざん Forensics 記憶媒体のイメージファイル解析 第一回福井技術者のつどい2014/11/23 31
- 32. どんな問題があるの? Pwnable プログラムの脆弱性を突いた、不正侵入不正昇格 Web Webアプリケーションの脆弱性を突いた侵入 Network ネットワークのパケット解析 Miscellaneous その他雑学やパズルなど 第一回福井技術者のつどい2014/11/23 32
- 33. どんな問題があるの? 攻防戦形式 •各チームにコンピュータが割り当てられ、お互いを 攻撃しあう形式 Flagゲッ ト!( *´艸 `) Flag 取れない ( ;∀;) 第一回福井技術者のつどい2014/11/23 33
- 34. CTFについてもっと知りたい! • 時間の都合上本セッションではご紹介しきれませんので 以下のスライドをご紹介します • 「CTFとは」 http://www.slideshare.net/hiromu1996/ctf-32346373 • 「CTF(Capture the Flag)って何?」 http://www.slideshare.net/KenjiAiko/ctfcapture-the-flag 第一回福井技術者のつどい2014/11/23 34
- 35. CTFをやると…? • セキュリティ分野における経験を得られる • 自分の知識の浅い部分などを自覚できる • 競争相手・勉強仲間を得られる • 業界の人と接触する機会が増える(?) • 入賞すれば注目される、賞金や本を貰える • 学生ならご飯をおごってもらえる(これはネタ) 第一回福井技術者のつどい2014/11/23 35
- 36. CTFの始め方 • インターネット上で常設されている つまりいつでもできるCTFコンテストがあります ksnctf akictf • 後はネット上に過去問がたくさんあるのでそれを 探してきて解くという流れ 第一回福井技術者のつどい2014/11/23 36
- 37. 実際に問題を解いてみよう • Demo • 今回はCTF for Beginnersの問題をお借りします • Web or Network (or Binary?) • まぁたぶんNetworkでしょう(いいですよね?) • Binaryをやるならここからは選手交代です(白目 第一回福井技術者のつどい2014/11/23 37
- 38. 問題を解いたら… • 是非WriteUpをネット上にアップして下さい • Write Upとは問題を解いた人がその解答の流れをまと めたものです • 簡潔明瞭なWrite Upを投稿する人は尊敬されます • 仮にヘンテコなWrite Upでも、優しい人が訂正を してくれるのでスキルアップできる! ※ただしWrite Up投稿禁止の場合もあるので注意 第一回福井技術者のつどい2014/11/23 38
- 39. CTFに慣れたら… • 大会にでよう!! • SECCON2014オンライン予選が12月6日に開催! • 自宅から一人ででも参加できる • 自分の技術力が通用するのか試せる絶好の機会 • 他にもちょくちょくオンライン大会は開催されている ので是非探して参加してみてください 第一回福井技術者のつどい2014/11/23 39
- 40. 大会に出たら… • 他の参加者の方と積極的に交流して下さい • この業界、コミュニケーション能力は大事なスキルの一 つです • そういった所で交流することで、よりスキルアップ できる場や、今回のような勉強会が実現します • 飲む必要はないので、飲み会にも行って下さいね 第一回福井技術者のつどい2014/11/23 40
- 41. 最後に • セキュリティという分野は幅広い知識が必要 • セキュリティ技術者は決して特化型ではない • むしろ超万能型 • ゆえに多くの方から尊敬されるものです • 今より一歩先へ、一歩奥へ進んでみましょう! 第一回福井技術者のつどい2014/11/23 41