Speaker Deck
Speaker Deck Pro
Sign in
Sign up
for free
攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習
Naoki Ikeguchi
January 28, 2019
Programming
0
76
攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習
Naoki Ikeguchi
January 28, 2019
Tweet
Share
More Decks by Naoki Ikeguchi
See All by Naoki Ikeguchi
siketyan
1
110
siketyan
0
29
siketyan
1
210
siketyan
1
200
siketyan
0
40
siketyan
0
100
siketyan
0
79
siketyan
2
270
siketyan
0
52
Other Decks in Programming
See All in Programming
takahi5
0
200
line_developers_tw2
0
530
makicamel
1
160
supikiti
3
1.2k
zsmb
2
110
muttsu_623
0
440
akatsukinewgrad
0
130
cwozaki
1
1.6k
77web
4
1.4k
bkuhlmann
4
610
canon1ky
3
340
showwin
0
110
Featured
See All Featured
sachag
446
36k
morganepeng
92
13k
marcelosomers
220
15k
keavy
106
14k
brianwarren
83
4.7k
keathley
17
630
samanthasiow
56
6.3k
michaelherold
225
8.4k
malarkey
393
60k
bryan
30
3.3k
lauravandoore
11
1.2k
cassininazir
347
20k
Transcript
攻撃してわかる 情報セキュリティ Siketyan, rig_rx @ 情報倫理プレゼンテーション
1 はじめに • 授業では,情報セキュリティにの概念を,技術的な面から学んだ. • しかし,具体的な実装はわからない. →攻撃する面から調べた. Introduction
暗号化 • 情報セキュリティの代表例. • HTTPS通信でも用いられる.(現行はSSLではなくTLS) Crypto 2 • RSA •
ECDSA • Ed25519 平文 暗号文
3 暗号化への攻撃 • 通信層での脆弱性を用いる.(SSLのPOODLEなど) • その暗号にとって「弱い」パターンを見つける. • RSA暗号であれば,素数の使い回しが行われたときや 2素数の差が小さいとき. •
とにかく(秘密)鍵が手に入れば,その鍵が使われたあらゆる暗号 を解読することができてしまう. Attacking to Crypto
デモ • 「豊田高専」を暗号文にして,元に戻ることを確認する. • 今回は,オープンソースのライブラリであるOpenSSLを用いた. >openssl genrsa 2048 > privkey.pem
>openssl rsa -in privkey.pem -pubout -out pubkey.pem >echo “豊田高専” | openssl rsautl -encrypt -pubin -inkey pubkey.pem -out toyota.enc >openssl rsautl -decrypt -inkey privkey.pem -in toyota.enc Demonstration 4
Web • ブラウザで閲覧できるインターネット上のサイト・ページの集合. • 動的なサイト(所謂Webアプリ)が主流となっている. • ユーザから情報を受けるので,攻撃につながることがある. • サイトを利用する多くのユーザに被害が及ぶ. Web
5 Webサイト 攻撃者 攻撃 ユーザ
6 Webへの攻撃 • XSS(クロスサイトスクリプティング)攻撃 • 主にユーザが文章などを投稿できるサイトで,悪意のあるスクリプトを埋 め込もうとする攻撃. • HTMLなどとして認識される特殊文字(<>など)への対策をしていない サイトで起こり得る.
• SQLインジェクション攻撃 • 検索機能などで,本来は表示されないデータも表示できてしまう攻撃. • 検索語句などをそのままSQL文に埋め込んでいるしているサイトで起こ り得る. Attacking to Web
7 デモ • XSS攻撃 • Twitterのような投稿サイトで,スクリプトを含む文字列を投稿する. • 投稿が表示されるときに,スクリプトが動作することを確認する. • SQLインジェクション攻撃
• 秘密のデータは隠されている表で, SQL文を含む文字列で検索して秘密のデータも表示させる. 今回使用するプレイグラウンドを公開しています. sikeserver.com/jrdemo Demonstration
8 まとめ • 私たちはこれからサービスを作る側になる. • 情報セキュリティについてより深く知る必要がある. • 実際に試し,それに対する対策を考えることが重要である. Conclusions
9 参考文献 • The Internet Society(2000) 「RFC2818 - HTTP over
TLS」 (https://tools.ietf.org/html/rfc2818), 2019年1月21日閲覧. • Internet Engineering Task Force(2016) 「RFC8017 - PKCS #1: RSA Cryptography Specifications Version 2.2」 (https://tools.ietf.org/html/rfc8017), 2019年1月21日閲覧. • The Open Web Application Security Project(2018) 「Cross-site Scripting (XSS)」 (https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)), 2019年1月21日閲覧. References
ご清聴ありがとうございました このスライドはSpeakerDeckで公開しています. speakerdeck.com/siketyan