今日から使えるセキュリティTips

Transcript

1. 今日から使えるセキュリティTips など たけなかひろゆき (Route9)

2. はじめに • 当資料では、実在するモノを題材にして、 作成しました • 一応、伏字にしたりしておりますが、 誰でも取得できる情報を利用して 作成しているので、少し調べれば、 特定可能であると思います

3. はじめに が、 悪意をもっての、ご利用はおやめください。

4. はじめに 「どういうところに気を付けて いけば良いのか？」 というところを一緒に考えていきたいな というのが発表の趣旨でございます。 私も学びに来ました。

5. 自己紹介 • お仕事： – Ruby等を利用した アプリの開発・運用・保守 • 保有資格： – Ruby

   Gold/Silver Programmer – 基本情報技術者 – ソフトウェア開発技術者 – セキュリティスペシャリスト – ネットワークスペシャリスト • 最近好きな芸人： – ナイツ new ->

6. 昨年:中国DB勉強会 第9回 in 米子 • LT枠で、以下の紹介をしました – とっとるびー – さきゅりてぃ

   • その際に、とあるサイトも紹介しました。 – もしかして、覚えていらっしゃる方もいるかもしれません

7. How Old Do I Look? • このサイト、ご存知ですか？ https://how-old.net/

8. 1年ぶりにやってみた。 • 昨年に引き続き、 今年も、91歳女性です。 – ついに歳を 取らなくなりました。 – もしくは、 6月が誕生日かも

   しれません。 公開に伴い、How old.netの結果の画像を削除しました。

9. そんな不老不死な私ですが 独身で、91歳にもなってくると、 そろそろ結婚相手が、 欲しいなと思うのです。

10. そこで、インターネットで調べていたら、 最近流行っているというイベントを発見しました！

11. 街コン

12. 街コンの一つに申し込んでみようと思いました！

13. とあるイベントの 入力フォーム • 入力内容には、 個人情報が 必要そうですね。 ・・・何か変じゃ ありませんか？

14. とあるイベントの 入力フォーム • SSLを使っていない！

15. とあるイベントの 入力フォーム • SSLを使っていると、 こういう雰囲気のはず。 mixed content

16. この時代に、 個人情報入力する箇所でSSL無しってありえるの？

17. 試しに通信を眺める • 実際にフォームに値を入力し、送信してみます。 • 送信途中でキャプチャ＆Break pointを張ってお き、リクエスト途中で覗けるようにしておきます そんな時に使うツールがfiddler

18. fiddler • Webアプリケーションデバッグ用ツール • プロキシとして動作する • HTTPのリクエスト/レスポンスの確認・改変が出来 る • 他にも似た事が出来るもの

    – Burp Suite、Owasp ZAP等々

19. fiddler demo

20. 試しに通信を眺める • SSLは使っていない

21. 街コンの募集パターン • 複数の街コンのポータルサイトに登録して、 宣伝するらしい – 当然ポータルサイト運営者とイベント運営者は違う • イベント運営者自身がサイトを持っていて、 そちらでも宣伝しているらしい つまり、他のところでも何かあるのでは？

22. 引き続きググってみた • 同日、同時間帯開催のイベントが、 街コンポータルのサイトにあった – イベント名が異なる – イベント主催名が異なる – イベントに関する問い合わせ先電話番号は一致

    – 料金、人数規模は同じ 大都会ならまだしも、同日、同時間、同エリアにそん な大人数集まるわけないし、なんで主催者違うのに電 話番号同じなん？

23. 特定商取引法に基づく 記載を確認してみた • 一応色々伏せてます。 – イメージ画像として お楽しみください。

24. 特定商取引関連の記載を比較 • 街コンポータルサイトでの記載と 最初にみつけたイベント運営者のサイトでの記載 の異なる点 – 会社名 – 運営責任者 –

    所在地 – メールアドレス – 営業時間

25. むしろ、電話番号が一致しているのが 不自然に見えるレベル

26. 住所をググってみた1 • 住宅地

27. 住所をググッてみた1 素敵なおうち(*´▽ ｀)

28. もう一つの住所は？

29. 住所をググッてみた2 ジェラートやん（*´▽ ｀）

30. さすがに不自然。 そういえば、 街コンポータルサイトの 特定商取引に基づく記載には、 URLが載っていたな！

31. でも、いきなり不審なURLにアクセスするだなんて・・・

32. そんな時は、以下！ • https://www.aguse.jp/ • http://www.urlquery.net/index.php • https://www.virustotal.com/

33. aguseに入れてみた • サイトが無い？

34. urlqueryに入れてみた 普通の街コンサイトに見える

35. virustotalに入れてみた • 特に何も検出されない

36. 3つのスキャナに入れみた感想 • 特に何も引っかからない • 自分のマシンにウィルス対策ソフトも入ってるし、 アクセスしても、大丈夫な確率は高そう • でも、サイトのスクショ見る限り アクセスしなくてもよさそう

37. そういえば、URLのドメイン情報は？ • http://whois.ansi.co.jp/ • 今年の頭に登録したドメイン

38. 増える不審点 • URLが載っていた街コンポータルサイトの記載に ある運営責任者ではなく、 URLが載っていなかったイベント運営者のサイトに 記載されている責任者名が出てくる • メールアドレスが今度はフリーメール • そして新たなる住所と電話番号

39. 住所をググッてみた3 豚しゃぶ？（*´▽ ｀）

40. 一周して、すがすがしくなってきましたね！:)

41. もう一つのURLのドメイン情報を含め、 まとめると次の図になります。

42. None

43. 注意！！！ • 色々不審な点はありましたが、 「このイベントが黒である」という趣旨は、 全くありません – 実際に、問題ないイベントかもしれません – 少なくとも確認は取っていません

44. 注意！！！ • 開発 or 運用する側の場合 – 住所や連絡先は一致させる – 個人情報を入力する部分では、SSL暗号化を利用する –

    可能ならば、EV, OV証明書で組織証明も行う

45. ここまでで、今日からする事 • SSLの有無の確認 • fiddler • aguse – https://www.aguse.jp/ •

    urlquery – http://www.urlquery.net/index.php • virustotal – https://www.virustotal.com/ • whois – http://whois.ansi.co.jp/

46. ここからは、話題を変えて、 SNSで見かけた迂闊そうなツイートをネタに 少し話をした後、 表紙に出したRoute9の話題を していきたいと思います。

47. 今日から使えるセキュリティTips - Twitter, google hack -

48. Twitterを眺めていたらこんなのが流れてきました

49. 発表当日は、 山を攻めて発生したと思われる事故のツイートの 画面を大幅に伏せて表示しておりましたが、 本人を特定させる事が目的ではないため、 公開に伴い削除しました。

50. 86になんて事を・・・ｏｒｚ

51. いや、ちょっと待って！

52. 本人がかけたモザイク 本名 会社名 年齢 住んでいる エリア 番号一致、 十の位が 3以上 "わ”"れ”

    じゃない 3ページ前の事故ツイートの画像に対するコメントのページですが、画像は公開に伴い削除しました。

53. 以下でググる 『名前 会社名 site:www.facebook.com』

54. 出てくるよね・・・。 卒業した学校名とか、 勤務先の担当パートとか、 フルネームとか。

55. それはさておき、ふりかえり • ナンバープレート • ググる

56. ナンバープレート • 並んでいる2台の番号が一致 – 特別な数値である可能性が高い • 誕生日とか • 十の位が3以上 –

    地域ごとに細かい規則があるが、概ね希望ナンバー • “わ”、"れ”じゃない – レンタカーではない

57. ググる • site:www.facebook.com – www.facebook.com ドメインの中で調べる • 他には以下とかが使いやすいです。 – link:www.facebook.com

    • 該当URLをリンクしているページを表示 – inurl:facebook • 特定の単語がURLに含まれているページを表示 – filetype:conf • 特定のファイルタイプを表示する

58. 例えば • 名簿 鳥取県 090 filetype:xls – コーディネーターさんの連絡先が出てくる

59. 演習 • 自分の会社のサイトで、 変なファイルとか公開していないか、 調べてみましょう！ – filetype:pdf site:自分の会社 • filetypeにdoc,

    xls, txt, conf辺り？ – 他にもinurlと組み合わせて、 特定のフレームワークを利用しているサイトを 見つける時とかにも便利ですね

60. more ググる • Google Hacking Database – https://www.exploit-db.com/google-hacking- database/ –

    色々なパターンの検索集みたいなもの • よくある脆弱性のあるサイトを探すみたいなのとか

61. 話を戻してTwitter

62. Twitterの検索使ってますか？ ここの部分に@無しにアカウント名を入れると何が出 ると思いますか？

63. Twitterの検索使ってますか？ • そのアカウントへのメンションが表示されます。 – 親しい友人が公開アカウントとかで、 気軽に話しかけてると、 実は、非公開アカウントにしていても、 色々漏れてるかも？ • 便利どころとしては、

    pic とか入れると写真付きの ものが大半になるので、便利 – ただし、上記のメンションとかの場合組み合わせ次第で は不快になるかも • 有名人へのメンションは闇が深い

64. ま、おすすめは、猫 pic で検索ですね＾＾

65. もう少しだけ、インターネット

66. http://www.ilovetranslation.com/

67. I Love Translation • 無料翻訳サイト • 2015年頃話題に • 翻訳した内容が誰でも見られる –

    「調べたいモノ site:ilovetranslation.com」でググる • 例： – 様 お届け先 site:ilovetranslation.com – 様 顧客 site:ilovetranslation.com

68. もし、公開されていなかったとしても、 信頼できないサイトなら、 入力してよいか、 深呼吸をして、考えましょう。

69. まとめ • TwitterをはじめSNSは世界中の人が見てる – 5年前の迂闊な投稿を、今日見られるかもしれない – 公開してよい情報はよく考える – 投稿する前に深呼吸！ •

    便利なwebサービス – どう処理されているか分からない – 公開されるかもしれない – 入力する前に深呼吸！

70. Route9とは？

71. Route9とは？ • オンライン上で集まって、 CTFへ参加をしたりしているチーム • CTF時の活動レベルは人それぞれで緩い感じ • 現在、全国で20名ちょっと

72. CTFとは？ コンピュータセキュリティ技術の競技である。 CTFは通常、参加者に対しコンピュータを守る経験に 加え、現実の世界で発見されたサイバー攻撃への対 処を学ぶ教育手法として企画されている。 パケット解析、プロトコル解析、システム管理、プログ ラミング、暗号解読などの知識や技能がたされる。 https://ja.wikipedia.org/wiki/%E3%82%AD %E3%83%A3%E3%83%97%E3%83%81%E3%83%A3%E3%83%BC %E3%83%BB%E3%82%B6%E3%83%BB

    %E3%83%95%E3%83%A9%E3%83%83%E3%82%B0

73. CTFとは？ CTF=セキュリティ教育 必要なもの • 好奇心 • 忍耐力 • PC

74. 問題の具体例紹介 • https://gist.github.com/ionis111/40f998d3a6580 09a6b7525cedb27d992

75. やってみよう • ksnctf – http://ksnctf.sweetduet.info/problem/35 • 簡単な問題程、色んな人が押さえておいた方がよいと 思って選んでみました。

76. 私たちと一緒に、CTFを通じ、 苦しみながら、セキュリティスキルを 上げていきませんか？ enjoy security!!