スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月25~26日のtwitterセキュリティクラスタ

この週末はCODEGADEのCTF予選が開催されていました。SUTEGOMA2は6位で決勝大会への進出を決めています。出場者の方々は必死だったのだと思いますが、端からは余裕を感じますね。
yasulib:sutegoma2すごい http://yut.codegate.org/#Main

07c00:朝起きたらsutegoma2が余裕で決勝進出を決めてたw強すぎワロタw yut.codegate.org/#Main

murachue:codegate所感: うわっ…私のバイナリ解析、遅すぎ…?

piyokango:“CDEGATE2012 CTF予選 終了 - てっじーの丸出し” http://htn.to/pynh7T


そして、さまざまな参加者によってWriteupが発表されています。勉強になりますね。
tessy_jp:予選終わる前に出てたww 斬新。 RT @leetmore CogeGate 2012 Quals - Binary 200 http://ctf.su/Nq6e #CTF #GODEGATE2012 #Binary200

121_15:CODEGATE 2012、解けた分のWriteup書いた。 http://d.hatena.ne.jp/Dltn/20120226 #codegate

leetmore:CodeGate 2012 Quals - Vuln 400 http://ctf.su/Myf8#codegate #ctf #writeup

deroko_:#bin400 #CodeGate2012 writeup is up : http://bit.ly/ArBSQz

deroko_:#bin500 #CodeGate2012 writeup is up : http://bit.ly/xjxi32

togakushi:とりあえず書いておいたよ。 : CODEGATE2012 Misc #3 Write up な事。


ことある度に出てくるパスワードの定期変更は必要ないという意見に対する、@kitagawa_takujiさんの、LAN内のNTLMを使ってるWindowsネットワーク環境ではあってもいいのでは、という意見とその理由についてです。長いですが読み応えあります。やはりインターネットに提供するサービスとLANは議論を分けた方がいいですよね。
kitagawa_takuji:Webサービスの認証の場合、パスワードの定期変更は無意味と言えるが、LAN内に攻撃者がいた場合に、脆弱性を利用しなくても容易にチャレンジ・レスポンスが取得可能なNTLM認証の場合はパスワードの定期変更も一定の意味を持つ、よって両者は分けて議論する必要があると思うがな、(続

kitagawa_takuji:LAN内からの攻撃であれば、NBNSレスポンスを攻撃者のIPに偽装して、送られてくるクレデンシャルをキャプチャ、後はレインボークラックかjohn teh ripperで解析というシナリオが一番簡単。これはプロトコル上の仕様なのでパッチを最新にしても防ぎ様がないし、気づくのも難しい

kitagawa_takuji:NETLM, NETLMv2, NETNTLM, NETNTLMv2などのキャプチャしたチャレンジ・レスポンス形式のハッシュをjohnで解析するにはjumbo patchが当ったものを使う必要がある

kitagawa_takuji:ネットワーク上のチャレンジ・レスポンスのキャプチャではなく、脆弱性を使って侵入されてメモリやレジストリからハッシュをdumpされた場合、例え絶対に解析できない複雑なパスワードを使用していたとしてもPass-the-Hashでハッシュ値だけでログイン可能。(続

kitagawa_takuji:続)パスワードの変更がなければ何年にも渡り情報を盗み見られる可能性がある。パスワードを定期変更すれば再度侵入してハッシュを取得しなければならないが、その時には脆弱性が塞がれているかもしれないし、何度も攻撃を行うのは発見されるリクスが高まる。よって定期変更も一定の効果はある。

kitagawa_takuji:NBNS responseのSpoofとSMB captureを使った攻撃例、ちょっとわかり難いが 

kitagawa_takuji:SMB captureを使った攻撃例はHacker Japan2011年3月号や続・ハッキングの達人のMetasploit特集でも書いた。その時はというタグを含んだHTMLメールを使ったが、(続

kitagawa_takuji:続)HTMLメールより、NBNS responseの偽装の方がより効果的だと思う。

kitagawa_takuji:もう一度繰り返すと、Webサービスの認証の場合、パスワードの定期変更は無意味かもしれないが、LAN内に攻撃者がいた場合のSMB/CIFSのNTLM認証を考えた場合、定期変更も一定の効果があるのではないか?それを一緒くたにして定期変更は無意味と切り捨てるのはどうかと思う。

kitagawa_takuji:Pass-the-Hashの対処方法として優先すべきなのはパスワードの使い回しを避けることなのだが、企業内の管理パスワードの使い回しは十数年前から問題になっているにもかかわらず一向に解消されていないのも事実。

kitagawa_takuji:LMハッシュ/NTLMハッシュとLM認証/NTLM認証を混同している人がいるのかな?

kitagawa_takuji:jumbo patchを適用したJtRでは、ネットワーク上でキャプチャしたチャレンジ・レスポンスのペアであるNETLM, NETLMv2, NETNTLM, NETNTLMv2の形式をクラックできますが、これはレジストリに保存されているLM/NTLMハッシュとは形式が異なります。


そして、具体的なNTLM認証でのチャレンジ/レスポンス取得方法。超実践的です。
kitagawa_takuji:LM/NTLM認証のチャレンジ/レスポンスを取得する方法をまとめてみる。取得したチャレンジ/レスポンスはJohn the Ripperで辞書攻撃、総当り攻撃で解析可能

kitagawa_takuji:1.Ettercap ettercap.sourceforge.net Cain&Abel oxid.it/cain.html 等で、ARP PoisoningによるLayer2でのキャプチャ

kitagawa_takuji:2.NetBIOSの名前要求に対し攻撃者のIPを返す。攻撃者のIPに飛んで来た認証要求に対し固定のチャレンジを返し、それに対するレスポンスを取得

kitagawa_takuji:2に対しては JoMo-Kunのツール foofus.net/~jmk/smbchalle… やMetasploitの auxiliary/spoof/nbns/nbns_response と auxiliary/server/capture/smb の組み合わせが使える

kitagawa_takuji:3.社内Webなどにというタグを含んだページを作成、攻撃者のIPに来た認証要求をMetasploitの auxiliary/server/capture/smb でキャプチャ

kitagawa_takuji:他にも色々方法があると思う。取得したチャレンジ/レスポンスはJohn the Ripperで辞書攻撃、総当り攻撃で解析、JtRではNETLM, NETLMv2, NETNTLM, NETNTLMv2に対応している。

kitagawa_takuji:LMの前半7文字部分だけならRainbow Tableが ftp://freerainbowtables.mirror.garr.it/mirrors/freerainbowtables/halflmchall/ で公開されている

kitagawa_takuji:LM/NTLM認証のハッシュはLAN内に悪意の有るものがいれば簡単に取得可能。shadowに対応していない/etc/passwdと同じように最初からハッシュが晒されていることを前提に、簡単には解析できない十分に複雑なパスワードを設定する必要がある。

kitagawa_takuji:パスワードの有効期限を設定するよりは、パスワードの最低長を十分大きいものにする方が重要だが、有効期限を設定することも全く無意味とは言えない。


@totoromasakiさんの質問来ました。
totoromasaki:@kitagawa_takuji 有効期限を1回にして、毎回、次ログインするときのパスワードを入れさせれば、手動なワンタイムパスワードになるわけですが、これを実装するのと、パスワードの最低長を、12文字にするの、どっちがパスワードとして強いんでしょうか。

kitagawa_takuji:@totoromasaki それだったら12文字の方が良いと思います。毎回パスワード変更しないといけないとなると、ずっとログインしっぱなしの人が出てくると思うので、ただ英数字12文字ではちょっと弱いと思います。12文字なら大小英数字記号混在、英数字だけなら15文字以上ですかね。

totoromasaki:@kitagawa_takuji 15文字ですか・・・。むーん・・・・


結局Windowsネットワークに問題があるというかんじですが、少しずつしか進まずなかなか安全にはなりませんよね。
kitagawa_takuji:Webサービスの認証の場合、ストレッチ回数を調整し計算量を増やすことで有効期限をなくしたり、最低文字数を小さくして利便性を上げることができるが、LM/NTLMの場合、計算量は固定。しかも10数年前の設計で現在のようにGPUを使用した並列処理などは考慮されていない。(続

kitagawa_takuji:続)よって、やはりパスワードの問題はWebサービスの認証とWindowsの認証を分けて考える必要がある

kitagawa_takuji:企業内ネットでCIFS/SMBを禁止するのは非現実的ではなかろうか?

kitagawa_takuji:CIFS/SMBを禁止しても、NTLM認証を有効にしたWebサーバをイントラネットゾーンに立て、誘導すればブラウザが認証情報を自動送信する。(IE,Chromeの場合、FireFoxは入力プロンプトがでる)もうWindowsを禁止するしかないね。

kitagawa_takuji:Windowsを使う前提なら、NTLM認証情報をキャプチャされても簡単には解析されないような複雑性を持ったパスワード・ポリシーを強制するしかないのではないか?


その他に気になったことはこのあたり。
backtracklinux:Kernel 3.2.6 released to repo. Upgrade instructions to BT5 R2 -> http://bit.ly/wAbsfp Official R2 release day - March 1st, 2012.


keikuma:ここで言う「オプトイン」を契約書に書いてある程度のものと誤解されると大問題なんだけどな。この誤解はKDDIの説明にも見られたし。 / IBMがインタビュー記事で言っているソーシャルグラフ分析も利用者のオプトインがあれば日本でも実現可能 - techvisor.jp/blog/archives/…

keikuma:通信の秘密を侵害する様な情報の利用については、DPI広告の時に整理が行われて、「利用者の明確かつ個別の同意」が必要とされている。

HiromitsuTakagi:KDDIは、@keikuma氏の追求を受け、プライバシーポリシーを17日に改訂したが、変更点は、利用目的7(広告)から情報(11)(通信履歴)を除外しただけであった。利用目的6(利用状況調査)、8(アンケート)、9(販促)について情報(11)を含めたままであり、違法性が疑われる。


MasafumiNegishi:Blackhole v1.2.2 http://bit.ly/xl2LTg


Tonton_:Macマルウェア「Flashback」がパスワードを狙う~早急にJavaアップデートを -INTERNET Watch @internet_watchさんから


HiromitsuTakagi:ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか - 高木浩光@自宅の日記(2012年2月26日) 「ところが、しばらく調査しなかった間に、PASMOがとんでもないことをやらかしていた。」 #pasmo


HiromitsuTakagi:ニセセキュリティ屋の特徴の一つは、場当たり対処を提案して根本的な解決方法を示さないこと。彼らに共通してそういう傾向がある原因は、自分達の遊び場がなくなることを避けようとする力が働くためだろう。根本的な解決がとられると、楽しく溜め込んできた無駄知識が紙くず同然となってしまうからだ。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2017
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。