Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...JPCERT Coordination Center
Recently we’ve seen many vulnerabilities related to improper certificate validation. Those vulnerabilities come from developers’ ignorance or misunderstanding of basic knowledge of certificate validation or insufficient testing of validation code. This presentation starts with the basics of the certificate validation process, surveys several vulnerabilities in the real world, and concludes with lessons learned from real-world vulnerabilities.
This is presented on JavaOne2015.
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...JPCERT Coordination Center
Recently we’ve seen many vulnerabilities related to improper certificate validation. Those vulnerabilities come from developers’ ignorance or misunderstanding of basic knowledge of certificate validation or insufficient testing of validation code. This presentation starts with the basics of the certificate validation process, surveys several vulnerabilities in the real world, and concludes with lessons learned from real-world vulnerabilities.
This is presented on JavaOne2015.
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason ParkCODE BLUE
ユーザーのセキュアなIT製品に対する要求は、人の生活や産業に直接影響を与えるモノのインターネット(IoT)やサイバーフィジカルシステム(CPS)といった分野で増え続けている。ベンダーとユーザーは信用性あるいは客観的セキュリティ評価に基づいて製品を売買するため、セキュリティ評価は重要な役割を担う。セキュリティ評価は大きく、ISO/IEC29128(暗号プロトコルの安全性)のようなデザインおよびISO/IEC15408(コモンクライテリア)のような実装の評価に二分される。これらのセキュリティ評価の基準、ISO/IEC29128およびISO/IEC15408はともに対象の製品に高い保証レベルが要求されている場合には、形式的検証と自動化ツールの使用を勧告している。
この自動化ツールを使用した脆弱性の検知は、長い間多くのセキュリティ研究者やハッカーにより試行や研究が行われてきた。そして最近では、DARPAのサイバーグランドチャレンジにより、自動化ツールを利用した脆弱性検知に関する研究は、今までにないくらい活発になっている。しかしながら、数多くの自動化ツールが継続的に開発され、それぞれのツールが個別の目的のために使用されるもののため、効率的にセキュリティ評価を行うことが難しくなっている。
さらに、セキュリティ評価の側面から自動化ツールを分類するために参考にできる基準が無い。このプレゼンテーションではすべての脆弱性検知のための自動化ツールを列挙、分類をした上で分析を行い、長所と短所、目的、効率性などの結果を紹介する。
--- イン・ヒュ・セオ In Hyuk Seo
Inhyuk Seo(通称 in hack)。2015年に漢陽大学(ERICA)にて、計算機科学と工学の学士号を取得。現在は高麗大学の修士課程でSecurity Analaysis aNd Evaluation(SANE)に籍を置く。現在はプログラミング言語、ソフトウェア検査、機械学習および人工知能に興味を持つ。2012年にはKITRI(Korea Information Technology Research Institute)で開催された情報セキュリティ教育コース Best of the Best(BoB)を修了し、プロジェクト「難読化されたJavaスクリプト向けエクスプロイトデコーダ」の実行を指揮した。多くの脆弱性分析関連のプロジェクトに参加。スマートTVの脆弱性分析とセキュリティ評価、 軍事環境向けモバイルセキュリティソリューション(EAL4)の開発などを指揮する。また、多岐にわたる国内の通信業者のIoT製品の脆弱性分析に参加した。
--- ジソ・パク Jiso
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason ParkCODE BLUE
ユーザーのセキュアなIT製品に対する要求は、人の生活や産業に直接影響を与えるモノのインターネット(IoT)やサイバーフィジカルシステム(CPS)といった分野で増え続けている。ベンダーとユーザーは信用性あるいは客観的セキュリティ評価に基づいて製品を売買するため、セキュリティ評価は重要な役割を担う。セキュリティ評価は大きく、ISO/IEC29128(暗号プロトコルの安全性)のようなデザインおよびISO/IEC15408(コモンクライテリア)のような実装の評価に二分される。これらのセキュリティ評価の基準、ISO/IEC29128およびISO/IEC15408はともに対象の製品に高い保証レベルが要求されている場合には、形式的検証と自動化ツールの使用を勧告している。
この自動化ツールを使用した脆弱性の検知は、長い間多くのセキュリティ研究者やハッカーにより試行や研究が行われてきた。そして最近では、DARPAのサイバーグランドチャレンジにより、自動化ツールを利用した脆弱性検知に関する研究は、今までにないくらい活発になっている。しかしながら、数多くの自動化ツールが継続的に開発され、それぞれのツールが個別の目的のために使用されるもののため、効率的にセキュリティ評価を行うことが難しくなっている。
さらに、セキュリティ評価の側面から自動化ツールを分類するために参考にできる基準が無い。このプレゼンテーションではすべての脆弱性検知のための自動化ツールを列挙、分類をした上で分析を行い、長所と短所、目的、効率性などの結果を紹介する。
--- イン・ヒュ・セオ In Hyuk Seo
Inhyuk Seo(通称 in hack)。2015年に漢陽大学(ERICA)にて、計算機科学と工学の学士号を取得。現在は高麗大学の修士課程でSecurity Analaysis aNd Evaluation(SANE)に籍を置く。現在はプログラミング言語、ソフトウェア検査、機械学習および人工知能に興味を持つ。2012年にはKITRI(Korea Information Technology Research Institute)で開催された情報セキュリティ教育コース Best of the Best(BoB)を修了し、プロジェクト「難読化されたJavaスクリプト向けエクスプロイトデコーダ」の実行を指揮した。多くの脆弱性分析関連のプロジェクトに参加。スマートTVの脆弱性分析とセキュリティ評価、 軍事環境向けモバイルセキュリティソリューション(EAL4)の開発などを指揮する。また、多岐にわたる国内の通信業者のIoT製品の脆弱性分析に参加した。
--- ジソ・パク Jiso
1. ソフトウエア セキュリティ保証 成熟度モデル
ソフトウエア開発にセキュリティを組み込むための手引き
第1.0版 Japan Computer Emergency Response Team Coordination Center
電子署名者 : Japan Computer Emergency Response Team Coordination Center
DN : c=JP, st=Tokyo, l=Chiyoda-ku, email=office@jpcert.or.jp, o=Japan Computer Emergency
Response Team Coordination Center, cn=Japan Computer Emergency Response Team
Coordination Center
日付 : 2010.04.07 16:09:07 +09'00'
2. 2
SAMM / ソフトウェア品質保証成熟度モデル - v1.0
本書の最新版及び追加情報については、Webサイト(http://www.opensamm.org)を参照のこと。
謝辞
ソフトウエアセキュリティ保証成熟度モデル(Software Assurance Maturity Model: SAMM)は、元々は独立ソ フトウエアセキュリティコンサルタントであるPravir Chandra(chandra@owasp.org)により開発・設計・執 筆された。最初の草案の作成はFortify Software, Inc.の財政的支援を得て実現した。現在、本書の維持管理・改 訂はOpenSAMM Project(代表Pravir Chandra)が行っている。SAMMの公開当初から、同プロジェクトはOpen Web Application Security Project(OWASP)に組み込まれた。巻末に示した各協賛組織にも感謝の意を表した い。
協力者・査読者一覧
本書の作成は、多数の査読者や専門家の支援と貴重な意見なくしては成し得なかった。ここに協力者の一覧を 示す(アルファベット順、敬称略)。
Fabio Arciniegas
Brian Chess
Matteo Meucci
John Steven
Matt Bartoldus
Dinis Cruz
Jeff Payne
Chad Thunberg
Sebastien Deleersnyder
Justin Derry
Gunnar Peterson
Colin Watson
Jonathan Carter
Bart De Win
Jeff Piper
Jeff Williams
Darren Challey
James McGovern
Andy Steingruebl
本プロジェクトはOWASP Projectのプロジェクトである
OWASP
The Open Web Applecation Security Project
Open Web Application Security Project(OWASP)は、アプリケーションソフトウエアのセキュリティ向上に関 する活動を展開する、フリーでオープンな世界規模のコミュニティである。OWASPの使命は、一般利用者や組 織がアプリケーションのセキュリティリスクについての意思決定を行う際に十分な判断材料が得られるように、 アプリケーションのセキュリティを「可視化」することである。OWASPには誰もが自由に参加でき、OWASP が作成する資料は、無償のオープンソフトウエアライセンスに基づいて公開される。OWASP Foundationは、 米国国税庁(IRS)規定501条(c)項3号の認定を受けた非営利のボランティア組織としてOpenSAMM Project の成果物を継続的に公開し、支援している。詳細については、OWASPのWebサイト(http://www.owasp.org) を参照のこと。
本書は経済産業省の委託事業として一般社団法人JPCERTコーディネーションセンターが翻訳したものです。
日本語版の内容について、原著に沿ってできるだけ忠実に翻訳するよう努めていますが、完全性、忠実性を保 証するものではありません。また、邦訳者は本文書に記載されている情報により生じる損失または損害に対し、 いかなる人物あるいは団体にも責任を負うものではありません。
ライセンス
本書はCreative Commons Attribution-Share Alike 3.0 Licenseに基づいてライセンスされ る。ライセンスの全文は、http://creativecommons.org/licenses/by-sa/3.0/ を参照するか、 Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA 宛てに請求することにより入手できる。