Submit Search
Upload
CCS Injection
•
Download as PPT, PDF
•
2 likes
•
621 views
Yutaka Hiroyama
Follow
CCS Injectionについて ごくごくカンタンに
Read less
Read more
Technology
Report
Share
Report
Share
1 of 17
Download now
Recommended
Resistance Bands Physio
Resistance Bands Physio
ResistanceBandsPhysio
PDHPE Rationale
PDHPE Rationale
Hayley Louise
estimating potential sales for a retail store
estimating potential sales for a retail store
Mohsen Khashei
VPCカンタン解説
VPCカンタン解説
Yutaka Hiroyama
ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)
Yutaka Hiroyama
Understanding s
Understanding s
Hugo Ch A
Unidad 15
Unidad 15
Hugo Ch A
Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107
Hugo Ch A
Recommended
Resistance Bands Physio
Resistance Bands Physio
ResistanceBandsPhysio
PDHPE Rationale
PDHPE Rationale
Hayley Louise
estimating potential sales for a retail store
estimating potential sales for a retail store
Mohsen Khashei
VPCカンタン解説
VPCカンタン解説
Yutaka Hiroyama
ある中年エンジニアの挑戦(LT 三都物語2014)
ある中年エンジニアの挑戦(LT 三都物語2014)
Yutaka Hiroyama
Understanding s
Understanding s
Hugo Ch A
Unidad 15
Unidad 15
Hugo Ch A
Aec0c0b3cfc75d0107
Aec0c0b3cfc75d0107
Hugo Ch A
Estimating potential sales for a retail store
Estimating potential sales for a retail store
Mohsen Khashei
CloudFront
CloudFront
Yutaka Hiroyama
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
Yutaka Hiroyama
ニイヨンサンロクゴ
ニイヨンサンロクゴ
Yutaka Hiroyama
Retail marketing mix
Retail marketing mix
Mohsen Khashei
Effect of using mobile phone
Effect of using mobile phone
Piyali Goswami
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
More Related Content
Viewers also liked
Estimating potential sales for a retail store
Estimating potential sales for a retail store
Mohsen Khashei
CloudFront
CloudFront
Yutaka Hiroyama
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
Yutaka Hiroyama
ニイヨンサンロクゴ
ニイヨンサンロクゴ
Yutaka Hiroyama
Retail marketing mix
Retail marketing mix
Mohsen Khashei
Effect of using mobile phone
Effect of using mobile phone
Piyali Goswami
Viewers also liked
(6)
Estimating potential sales for a retail store
Estimating potential sales for a retail store
CloudFront
CloudFront
Jawsug elastic beanstalk_150207
Jawsug elastic beanstalk_150207
ニイヨンサンロクゴ
ニイヨンサンロクゴ
Retail marketing mix
Retail marketing mix
Effect of using mobile phone
Effect of using mobile phone
Recently uploaded
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
Recently uploaded
(14)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
CCS Injection
1.
CCS Injection カンタン解説 2014 Jun
ヒロヤマ ユタカ
2.
CCS Injection とは? OpenSSL
にて、 2014/6/5 に修正されたバグの一つ。 2014 年 6 月、 レピダムの 菊池正史氏が発表。 またまた、 あなたの秘密が世界中に バレているかも。。。
3.
OpenSSL OSS の SSL
ソフトの代表格。 多くの LinuxOS に プリインストールされている。
4.
いつから? な、なんと、 16年以上前から( ´д `;)
5.
なぜ発生した? OpenSSL のハンドシェイク処理に バグがあったため。
6.
ハンドシェイク 通信を開始する前に実施される手続き。 完了後に通信が可能となる。
7.
ハンドシェイク OpenSSL では、以下の手順で行われる。 ※ 最もシンプルな例 ①
こんにちは ② こんにちは ③ 挨拶完了 ④ 暗号方式は xx で! ⑤ 暗号方式は xx で! ⑥ 完了!
8.
ハンドシェイク OpenSSL では、以下の手順で行われる。 ※ 最もシンプルな例 ①
こんにちは ② こんにちは ③ 挨拶完了 ④ 暗号方式は xx で! ⑤ 暗号方式は xx で! ⑥ 完了! 注目!!注目!!
9.
バグ発生のメカニズム ( CSS Injection
勃発!) ④-a 暗号方式 は xx で! ④-b 暗号方式 は zz で! ⑤-b 暗号方式 は zz で! ⑤-a 暗号方式 は xx で! 差し替え差し替え
10.
あとは、盗聴・改ざん やりたい放題☆
11.
12.
ちょっとだけ詳しく 暗号方式の通知( ChangeCipherSpec )は いつでも受信可能になっていた
( )* 。 そのため、 MITM 攻撃が実施可能に なっていた。 ( )* パイプラインストール対策
13.
対策処方箋 • サーバ管理者向け • 利用者向け
14.
サーバ管理者向け • OpenSSL のアップデート OpenSSL
1.0.1h 以上 OpenSSL 1.0.0m 以上 OpenSSL 0.9.8za 以上
15.
利用者向け 待つ 暗号鍵の再発行などは不要。 ひとつ教訓。 今回の攻撃は公共 WiFi で成功しやすい。 今後はなるべく公共
WiFi を使っての 機密情報の通信を控えましょう!
16.
参考 • http://ccsinjection.lepidum.co.jp • http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection/index.html
17.
Fin.
Download now