スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月22日のtwitterセキュリティクラスタ

雨降ってますね。ゴールデンウィークの前に梅雨に突入しないか心配になってきました。

まずは昨日のSALT vs ストレッチングの続き。Webなのかローカルなのかなど、環境によっても最善策は変わってくるんでしょうね。
kitagawa_takuji: パスワードが漏れた場合に何年にも渡って静かに情報を抜かれ続けるのと、最大でもパスワードの有効期限の期間の被害に留まるのではかなり違う。パスワードが変更されアクセス出来なくなると「もしかして気づかれたかも」と考え再度の攻撃は難しくなる。

kitagawa_takuji: 管理者が気付かないうちにパスワードを知られてしまうことの例としては、ショルダーハックや管理者間の話の盗み聞き。ソーシャルエンジニアリングの上級者なら本人が気付かない様にパスワードを聞き出してしまう。

kitagawa_takuji: NTLM認証情報のキャプチャ攻撃もやられた方はまず気付かない。

kitagawa_takuji: ソルトはレインボークラックに有効、ストレッチングはオフラインの総当り攻撃に有効。GPUクラスタが安価に利用できる様になったことから現在では総当り(+効率的なルール)の方が脅威は大きいと思われる。よってストレッチングを支持します。

ockeghem: 支持します RT @kitagawa_takuji: ソルトはレインボークラックに有効、ストレッチングはオフラインの総当り攻撃に有効。GPUクラスタが安価に利用できる様になったことから現在では総当り(+効率的なルール)の方が脅威は大きいと思われる。よってストレッチングを支持します

ockeghem: stretchingに関する私のスタンスは、ハッシュ値、ソルト、アルゴリズムがすべて漏洩したという前提でパスワードをどう守るかです。仮に、アルゴリズムが漏れないという想定ならstretchingは必要なく、たとえばハードコードした鍵で暗号化すれば十分です

ockeghem: @kitagawa_takuji 意図的に漏らすにせよ、漏れてしまうにせよ、とんでもないことで、その時点でアウトですよね。まずそうならないように対策すべきで、それをやり尽くした後で定期的変更するのなら分かりますが、まだ「他の対策し尽くしたから定期変更」という状況は少ないのでは?

tomoki0sanaki: 個人的には、パスワードハッシュ値がダダ漏れした時点でコールドゲームって感じがする。

kitagawa_takuji: パスワードの有効期限の設定はオンラインクラックでは無意味、推測困難性やロックアウトの設定の方が重要。但し脆弱性などによりハッシュが漏洩した場合のオフラインクラック対策やソーシャルなどにより平文パスワードが漏洩した場合に被害を限定的にする保険としてはパスワードの定期変更も意味がある

kitagawa_takuji: Webアプリの場合はね RT @tomoki0sanaki: 個人的には、パスワードハッシュ値がダダ漏れした時点でコールドゲームって感じがする。

kitagawa_takuji: ハッシュ漏洩の危険性は、WebアプリとWindows(ローカル)の場合で大きく異なる。よって定期変更の必要性も別けて議論する必要がある。WebアプリではSQL Injectionを塞ぐなど対策も比較的簡単。Windowsでは対策は困難。

ockeghem: 『パスワードが漏洩するという状況では、他の秘密情報も漏洩している可能性が高いわけですが、パスワードの悪用により情報漏洩以外の被害が発生する可能性があります』 #wasbook P318 RT @tomoki0sanaki: …パスワードハッシュ値がダダ漏れした時点でコールドゲーム

piyokango: どっちが不要という不毛なものではなく、どう使うべきかの議論だから勉強になるんでしょうね。



月に一度くらいは話題になっているような気がするHTTPのTRACEメソッドについて。以前脆弱で、今それほどでもないけど、どちらにせよ普段使わない機能をどうするか、ってことでしょうか。
ntsuji: New blog post: TRACEメソッドって危ないのでしょうかの自分メモ http://n.pentest.jp/?p=952

tachikomatta: 業務用アプリケーションでは、未だにIE6のみ対応というのが、結構あると聞いてます。 QT @ntsuji: New blog post: TRACEメソッドって危ないのでしょうかの自分メモ http://n.pentest.jp/?p=952

ntsuji: @tachikomatta その通りです。そういうアプリを結構見かけますね。ただ、IEのSP2以前は結構少ないのかなぁと思っています。

ntsuji: セキュリティ診断の報告会において、成立条件が複雑で説明が長くなる割に結局軽微で今となっては影響範囲も狭い指摘事項の素ナンバーワン。「TRACEメソッド」

vulcain: @ntsuji 説明が面倒なので、問題ないし、対処も不要って説明省きたいナンバーワン

kitagawa_takuji: TRACEと聞いて飛んできました。

kitagawa_takuji: XSTではBasic認証のAuthorizationフィールドを取得される問題の他にも、HttpOnly属性がついたCookieを取得される問題もありますね。 RT @ntsuji: New blog post: TRACEメソッドって危ないのでしょうかの自分メモ

kitagawa_takuji: XmlHttpRequestの他にもFlashやJavaアプレットからTRACEを発行できる可能性もあるようです。Flashは最近のバージョンでは禁止されているそうですが、

kitagawa_takuji: TRACEにはXSTの他にMax-Forwardsを変化させると途中のリバースProxy が付加するヘッダ情報が返ってくるという問題もあります。付加される情報は機器によってまちまちですが、ファームウェアのバージョン等が取得できる場合は指摘レベルを上げても良いのではないでしょうか?

ntsuji: @kitagawa_takuji そうですね。例として上げられがちなのはBasic認証ですが基本的にリクエスト内ならというものですね。

kitagawa_takuji: TRACEによってプラーベートアドレスやリバースProxy機器のバージョン情報が取得できる場合は「低」レベル、それ以外は「情報」レベルとしています。

kitagawa_takuji: 「情報」レベルとは言ってもhttpd.confでTraceEnable Offにするだけと対策コストが非常に低いのとそれによる副作用が殆どないためTRACEメソッドは無効にすることを推奨しています。

ntsuji: @kitagawa_takuji 何かのアプリのインターフェイスとしてApacheベースのが動いてたりすると鬼門なんですよね。サポート外になったりするので。

ntsuji: @kitagawa_takuji しかもしれが古かったりなんかするとmod_rewriteでしか対処できなかったりと更に鬼門の場合もw

kitagawa_takuji: @ntsuji わざわざmod_rewriteを有効にしてまで対処するまでのものではないですね。Apacheのバージョン上げるのが スジかと、

ntsuji: @kitagawa_takuji そうですそうです。だからそれは推奨はしないです。ただ、予算やサポートの絡みからバージョンを上げることはできないということがあるのも現実かと思います。

ockeghem: @ntsuji TraceEnableをサポートしたapache1.3.34が出たのが2005年10月なので、いい加減「予算の関係と言い訳するな」と言いたいですけどね。TRACEはたいしたことないけど、そんなに古いバージョンだと他が心配ですね

ntsuji: @ockeghem そうなんです。他の脆弱性も存在します。実際検査してるとそういうもの多いんですよね。アプリの仕様でtelnet止められません。とかshadow化できませんなどなど。それが内部ネットワークだったりしてテスターの立場で「言い訳するな」まではさすがに・・・


そして、話はテスターとしての指摘と実際の運用についての話になります。予算は決まってますから、指摘されたからと言って全部何とかできるわけでもないですし、難しいところではあります。
ntsuji: セキュリティのテスターとして指摘をしたときに運用・予算上できない。という言葉に出会うことがあります。それが嘘か本当かはあまり興味もありません。でも、少なくとも彼らはシステムの「運用」を守っていて、セキュリティはそのごくごく一部で主役は彼らだと分かるまで3年くらいかかりました。

vulcain: @ntsuji サポートを長くやっていたので、どちらかというと無理だろうからどうやって負荷を減らしてあげられるかを考えることから入りましたね。私の場合。

ntsuji: @vulcain それは素晴らしいと思います。ボクは新卒からセキュリティだったので、どんな軽微なものでもセキュリティ対策をしないのは悪だ。くらいに思っちゃってました。懐かしいですw

vulcain: @ntsuji まぁそうなりますよね。対策はした方が良いけど、やり方が判らなかったり、出来なかったり・・・色々ありますが、やり方が判らないなら教えてあげればいいし、出来ないなら緩和策や回避策を提示すればいいって思ってます。選択は相手側なのだから。

ntsuji: @vulcain テスターの仕事はそこを含めてですね。対策は、0か1かではなくリスクの大きさや再現の容易性などを加味した危険性をきちんと伝えて相手が選択するための材料を与えることだと思います。

vulcain: @ntsuji まさにそうですね。特に日本の現場では未だにセキュリティに関しては理解も知識も足りなくて、過剰に反応されたり、過小に判断されたりがありますから。

ntsuji: @vulcain まだまだ、ボクたちがしなければいけないことが沢山ありそうですね!

vulcain: @ntsuji 勉強会などの社外も含めて、やれることは山積みですね。

ntsuji: @vulcain そうですね。失敗を恐れず、少しずつでも小さくでも歩を進めていかないとなーと改めて思いました。



EvernoteのXSSがらみで、Evernoteが止めるように言ってたIEのXSSフィルタについて、ユーザーに止めさせなくても、サーバー側で何とかなるんじゃないのというお話。
bulkneets: ブログとかに張るEvernoteのクリップボタンの貼りつけコードでサイト側に影響があるというのは今のところ見つけていないし多分無い。もちろんガチでクラックされたりDNS書き換えられたりしたら影響あるけど。

bulkneets: というかクリックするとほぼ確実にXSSフィルタが出てブロックされるようなボタンを張ってて何故で疑問に思わないのか。社内シェア低いとはいえ、Windowsの標準ブラウザだろ。

hasegawayosuke: XSSフィルタを無効に設定しろ、と説明している例 → http://edoc-proc.pref.gifu.lg.jp/howto/EPE/ie8.html

hasegawayosuke: @mskkie: IEのXSSフィルタについて、どういうときに誤検知が起こりどうすれば防ぐことができるのかについて開発者およびWebサイト運営者向けに適切なわかりやすい文書をもっと出してください。「XSSフィルタを無効に設定せよ」のような誤った指示を出しているサイトが多数あります

hebikuzure: @hasegawayosuke HTTPヘッダー X-XSS-Protection: 0 を使えばサーバーサイドで無効化できる、という事も知られていないのではないかなあ。

hasegawayosuke: @hebikuzure 知られてないと思いますね。もっときちんと文書を増やして欲しいですね。

yumano: 探すと色々見つかるね http://bit.ly/eDDlT4 RT @hasegawayosuke: XSSフィルタを無効に設定しろ、と説明している例 → http://bit.ly/f31yKw

hebikuzure: @hasegawayosuke X-XSS-Protection でぐぐると葉っぱ日記が沢山出てくる....ww

hebikuzure: . @hasegawayosuke @yumano この辺りが分かりやすいかな Controlling the XSS Filter - EricLaw's IEInternals http://bit.ly/dV9dgN

hasegawayosuke: @hebikuzure @yumano http://d.hatena.ne.jp/hasegawayosuke/20101004/p1 ;p

hebikuzure: そう、ぐぐるとまずこれが出てくる。 QT @hasegawayosuke: @hebikuzure @yumano http://d.hatena.ne.jp/hasegawayosuke/20101004/p1 ;p

hebikuzure: @hasegawayosuke とりあえずさっきの XSS フィルターのやつは後で訳して載せよう。



その他に気になったことはこのあたり。
yumano: # atode みる RT @4416_310: 政府機関の情報セキュリティ対策統一規範、統一管理基準、統一技術基準が発表されました。http://bit.ly/eczYNx 従来の統一基準を再構成したもので内容は実質的には同じです。政府のITシステムはこれが最低限の要件に


MasafumiNegishi: 今回は俺達じゃないぜ!と言っています。 Anonymous takes no responsibility for PSN outage - Security http://goo.gl/aZmJq


MasafumiNegishi: Microsoft Safety Scanner ひっそりとリリース http://bit.ly/gEfadL


openpne: 【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001) http://www.openpne.jp/archives/5967/ #openpne #op3dev


babie: [mobage] モバゲーが個人情報を削除してくれない http://bit.ly/f3jNAf


kitagawa_takuji: フランスでは捜査当局に平文パスワードを提出しなければならなくなるかもという話。ハッシュ禁止ではないけど可逆にする必要がある? France Outlaws Hashed Passwords http://goo.gl/Cm83Z


kitagawa_takuji: Kon Bootの製品版を買って試したいけど、個人情報は入力したくないなぁ https://secure.avangate.com/order/product.php?PRODS=3845288&QTY=1


bulkneets: IPAはmalaが本名じゃないとかゴチャゴチャ言い出してウザイ。


ockeghem: 『なんか美味い魚』<きんきの煮付けは美味しかったですね。僕は(も)NDAにサイン求められたら帰ろうと思っていました / エバーノート株式会社に行ってきた! - 金利0無利息キャッシング ? キャッシングできます - subtech http://htn.to/tR6hHw


<宣伝>
そろそろインストールマニアックス5の募集が始まります。Windows AzureにWebアプリをインストールするだけで5000円くらいは儲かるという素敵なイベントなので皆様ぜひご参加ください。私もスタッフとして関わっていますので、参加したいけどよくわからない、という方は @yousukezan宛に連絡いただけると親身に対応いたしますので、ぜひご連絡ください。
</宣伝終わり>
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。