Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
今日から使えるセキュリティTips
Search
hiroyuki
June 07, 2016
Education
0
930
今日から使えるセキュリティTips
中国DB勉強会第15回
日常生活で使えそうなセキュリティの小ネタ等。
hiroyuki
June 07, 2016
Tweet
Share
Other Decks in Education
See All in Education
Interactive Tabletops and Surfaces - Lecture 7 - Next Generation User Interfaces (4018166FNR)
signer
PRO
1
1.2k
Pre-enrollment Information for UTokyo International Students
utokyoissr2360
0
3.8k
Baa Baa Black Sheep
haiinya
0
110
生成AIを活用できる大学教職員になる-基本と実践-
gmoriki
0
170
Tangible, Embedded and Embodied Interaction - Lecture 9 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
Часто задаваемые вопросы
pnuslide
0
11k
心房細動週間ポスター(2024年3月6日)
japanstrokeassociation
0
230
情報Iの「縦糸」と「横糸」を意識したプログラム教育の実践
asial_edu
0
150
Microsoft Office 365
matleenalaakso
0
1.5k
aportacions valors 2024
cumclavis
PRO
0
100
Data Processing and Visualisation Frameworks - Lecture 6 - Information Visualisation (4019538FNR)
signer
PRO
1
1.7k
高可用性システム構築 - Oracle Data Guard基本編
oracle4engineer
PRO
2
660
Featured
See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
319
20k
Teambox: Starting and Learning
jrom
126
8.4k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Become a Pro
speakerdeck
PRO
8
4.4k
The Power of CSS Pseudo Elements
geoffreycrofte
58
4.9k
A better future with KSS
kneath
230
16k
Done Done
chrislema
178
15k
Principles of Awesome APIs and How to Build Them.
keavy
119
16k
Scaling GitHub
holman
456
140k
Building a Modern Day E-commerce SEO Strategy
aleyda
15
6.3k
Debugging Ruby Performance
tmm1
68
11k
Building Applications with DynamoDB
mza
88
5.6k
Transcript
今日から使えるセキュリティTips など たけなかひろゆき (Route9)
はじめに • 当資料では、実在するモノを題材にして、 作成しました • 一応、伏字にしたりしておりますが、 誰でも取得できる情報を利用して 作成しているので、少し調べれば、 特定可能であると思います
はじめに が、 悪意をもっての、ご利用はおやめください。
はじめに 「どういうところに気を付けて いけば良いのか?」 というところを一緒に考えていきたいな というのが発表の趣旨でございます。 私も学びに来ました。
自己紹介 • お仕事: – Ruby等を利用した アプリの開発・運用・保守 • 保有資格: – Ruby
Gold/Silver Programmer – 基本情報技術者 – ソフトウェア開発技術者 – セキュリティスペシャリスト – ネットワークスペシャリスト • 最近好きな芸人: – ナイツ new ->
昨年:中国DB勉強会 第9回 in 米子 • LT枠で、以下の紹介をしました – とっとるびー – さきゅりてぃ
• その際に、とあるサイトも紹介しました。 – もしかして、覚えていらっしゃる方もいるかもしれません
How Old Do I Look? • このサイト、ご存知ですか? https://how-old.net/
1年ぶりにやってみた。 • 昨年に引き続き、 今年も、91歳女性です。 – ついに歳を 取らなくなりました。 – もしくは、 6月が誕生日かも
しれません。 公開に伴い、How old.netの結果の画像を削除しました。
そんな不老不死な私ですが 独身で、91歳にもなってくると、 そろそろ結婚相手が、 欲しいなと思うのです。
そこで、インターネットで調べていたら、 最近流行っているというイベントを発見しました!
街コン
街コンの一つに申し込んでみようと思いました!
とあるイベントの 入力フォーム • 入力内容には、 個人情報が 必要そうですね。 ・・・何か変じゃ ありませんか?
とあるイベントの 入力フォーム • SSLを使っていない!
とあるイベントの 入力フォーム • SSLを使っていると、 こういう雰囲気のはず。 mixed content
この時代に、 個人情報入力する箇所でSSL無しってありえるの?
試しに通信を眺める • 実際にフォームに値を入力し、送信してみます。 • 送信途中でキャプチャ&Break pointを張ってお き、リクエスト途中で覗けるようにしておきます そんな時に使うツールがfiddler
fiddler • Webアプリケーションデバッグ用ツール • プロキシとして動作する • HTTPのリクエスト/レスポンスの確認・改変が出来 る • 他にも似た事が出来るもの
– Burp Suite、Owasp ZAP等々
fiddler demo
試しに通信を眺める • SSLは使っていない
街コンの募集パターン • 複数の街コンのポータルサイトに登録して、 宣伝するらしい – 当然ポータルサイト運営者とイベント運営者は違う • イベント運営者自身がサイトを持っていて、 そちらでも宣伝しているらしい つまり、他のところでも何かあるのでは?
引き続きググってみた • 同日、同時間帯開催のイベントが、 街コンポータルのサイトにあった – イベント名が異なる – イベント主催名が異なる – イベントに関する問い合わせ先電話番号は一致
– 料金、人数規模は同じ 大都会ならまだしも、同日、同時間、同エリアにそん な大人数集まるわけないし、なんで主催者違うのに電 話番号同じなん?
特定商取引法に基づく 記載を確認してみた • 一応色々伏せてます。 – イメージ画像として お楽しみください。
特定商取引関連の記載を比較 • 街コンポータルサイトでの記載と 最初にみつけたイベント運営者のサイトでの記載 の異なる点 – 会社名 – 運営責任者 –
所在地 – メールアドレス – 営業時間
むしろ、電話番号が一致しているのが 不自然に見えるレベル
住所をググってみた1 • 住宅地
住所をググッてみた1 素敵なおうち(*´▽ `)
もう一つの住所は?
住所をググッてみた2 ジェラートやん(*´▽ `)
さすがに不自然。 そういえば、 街コンポータルサイトの 特定商取引に基づく記載には、 URLが載っていたな!
でも、いきなり不審なURLにアクセスするだなんて・・・
そんな時は、以下! • https://www.aguse.jp/ • http://www.urlquery.net/index.php • https://www.virustotal.com/
aguseに入れてみた • サイトが無い?
urlqueryに入れてみた 普通の街コンサイトに見える
virustotalに入れてみた • 特に何も検出されない
3つのスキャナに入れみた感想 • 特に何も引っかからない • 自分のマシンにウィルス対策ソフトも入ってるし、 アクセスしても、大丈夫な確率は高そう • でも、サイトのスクショ見る限り アクセスしなくてもよさそう
そういえば、URLのドメイン情報は? • http://whois.ansi.co.jp/ • 今年の頭に登録したドメイン
増える不審点 • URLが載っていた街コンポータルサイトの記載に ある運営責任者ではなく、 URLが載っていなかったイベント運営者のサイトに 記載されている責任者名が出てくる • メールアドレスが今度はフリーメール • そして新たなる住所と電話番号
住所をググッてみた3 豚しゃぶ?(*´▽ `)
一周して、すがすがしくなってきましたね!:)
もう一つのURLのドメイン情報を含め、 まとめると次の図になります。
None
注意!!! • 色々不審な点はありましたが、 「このイベントが黒である」という趣旨は、 全くありません – 実際に、問題ないイベントかもしれません – 少なくとも確認は取っていません
注意!!! • 開発 or 運用する側の場合 – 住所や連絡先は一致させる – 個人情報を入力する部分では、SSL暗号化を利用する –
可能ならば、EV, OV証明書で組織証明も行う
ここまでで、今日からする事 • SSLの有無の確認 • fiddler • aguse – https://www.aguse.jp/ •
urlquery – http://www.urlquery.net/index.php • virustotal – https://www.virustotal.com/ • whois – http://whois.ansi.co.jp/
ここからは、話題を変えて、 SNSで見かけた迂闊そうなツイートをネタに 少し話をした後、 表紙に出したRoute9の話題を していきたいと思います。
今日から使えるセキュリティTips - Twitter, google hack -
Twitterを眺めていたらこんなのが流れてきました
発表当日は、 山を攻めて発生したと思われる事故のツイートの 画面を大幅に伏せて表示しておりましたが、 本人を特定させる事が目的ではないため、 公開に伴い削除しました。
86になんて事を・・・orz
いや、ちょっと待って!
本人がかけたモザイク 本名 会社名 年齢 住んでいる エリア 番号一致、 十の位が 3以上 "わ”"れ”
じゃない 3ページ前の事故ツイートの画像に対するコメントのページですが、画像は公開に伴い削除しました。
以下でググる 『名前 会社名 site:www.facebook.com』
出てくるよね・・・。 卒業した学校名とか、 勤務先の担当パートとか、 フルネームとか。
それはさておき、ふりかえり • ナンバープレート • ググる
ナンバープレート • 並んでいる2台の番号が一致 – 特別な数値である可能性が高い • 誕生日とか • 十の位が3以上 –
地域ごとに細かい規則があるが、概ね希望ナンバー • “わ”、"れ”じゃない – レンタカーではない
ググる • site:www.facebook.com – www.facebook.com ドメインの中で調べる • 他には以下とかが使いやすいです。 – link:www.facebook.com
• 該当URLをリンクしているページを表示 – inurl:facebook • 特定の単語がURLに含まれているページを表示 – filetype:conf • 特定のファイルタイプを表示する
例えば • 名簿 鳥取県 090 filetype:xls – コーディネーターさんの連絡先が出てくる
演習 • 自分の会社のサイトで、 変なファイルとか公開していないか、 調べてみましょう! – filetype:pdf site:自分の会社 • filetypeにdoc,
xls, txt, conf辺り? – 他にもinurlと組み合わせて、 特定のフレームワークを利用しているサイトを 見つける時とかにも便利ですね
more ググる • Google Hacking Database – https://www.exploit-db.com/google-hacking- database/ –
色々なパターンの検索集みたいなもの • よくある脆弱性のあるサイトを探すみたいなのとか
話を戻してTwitter
Twitterの検索使ってますか? ここの部分に@無しにアカウント名を入れると何が出 ると思いますか?
Twitterの検索使ってますか? • そのアカウントへのメンションが表示されます。 – 親しい友人が公開アカウントとかで、 気軽に話しかけてると、 実は、非公開アカウントにしていても、 色々漏れてるかも? • 便利どころとしては、
pic とか入れると写真付きの ものが大半になるので、便利 – ただし、上記のメンションとかの場合組み合わせ次第で は不快になるかも • 有名人へのメンションは闇が深い
ま、おすすめは、猫 pic で検索ですね^^
もう少しだけ、インターネット
http://www.ilovetranslation.com/
I Love Translation • 無料翻訳サイト • 2015年頃話題に • 翻訳した内容が誰でも見られる –
「調べたいモノ site:ilovetranslation.com」でググる • 例: – 様 お届け先 site:ilovetranslation.com – 様 顧客 site:ilovetranslation.com
もし、公開されていなかったとしても、 信頼できないサイトなら、 入力してよいか、 深呼吸をして、考えましょう。
まとめ • TwitterをはじめSNSは世界中の人が見てる – 5年前の迂闊な投稿を、今日見られるかもしれない – 公開してよい情報はよく考える – 投稿する前に深呼吸! •
便利なwebサービス – どう処理されているか分からない – 公開されるかもしれない – 入力する前に深呼吸!
Route9とは?
Route9とは? • オンライン上で集まって、 CTFへ参加をしたりしているチーム • CTF時の活動レベルは人それぞれで緩い感じ • 現在、全国で20名ちょっと
CTFとは? コンピュータセキュリティ技術の競技である。 CTFは通常、参加者に対しコンピュータを守る経験に 加え、現実の世界で発見されたサイバー攻撃への対 処を学ぶ教育手法として企画されている。 パケット解析、プロトコル解析、システム管理、プログ ラミング、暗号解読などの知識や技能がたされる。 https://ja.wikipedia.org/wiki/%E3%82%AD %E3%83%A3%E3%83%97%E3%83%81%E3%83%A3%E3%83%BC %E3%83%BB%E3%82%B6%E3%83%BB
%E3%83%95%E3%83%A9%E3%83%83%E3%82%B0
CTFとは? CTF=セキュリティ教育 必要なもの • 好奇心 • 忍耐力 • PC
問題の具体例紹介 • https://gist.github.com/ionis111/40f998d3a6580 09a6b7525cedb27d992
やってみよう • ksnctf – http://ksnctf.sweetduet.info/problem/35 • 簡単な問題程、色んな人が押さえておいた方がよいと 思って選んでみました。
私たちと一緒に、CTFを通じ、 苦しみながら、セキュリティスキルを 上げていきませんか? enjoy security!!