攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習

Transcript

1. 攻撃してわかる 情報セキュリティ Siketyan， rig_rx ＠ 情報倫理プレゼンテーション

2. 1 はじめに • 授業では，情報セキュリティにの概念を，技術的な面から学んだ． • しかし，具体的な実装はわからない． →攻撃する面から調べた． Introduction

3. 暗号化 • 情報セキュリティの代表例． • HTTPS通信でも用いられる．（現行はSSLではなくTLS） Crypto 2 • RSA •

   ECDSA • Ed25519 平文 暗号文

4. 3 暗号化への攻撃 • 通信層での脆弱性を用いる．（SSLのPOODLEなど） • その暗号にとって「弱い」パターンを見つける． • RSA暗号であれば，素数の使い回しが行われたときや 2素数の差が小さいとき． •

   とにかく（秘密）鍵が手に入れば，その鍵が使われたあらゆる暗号 を解読することができてしまう． Attacking to Crypto

5. デモ • 「豊田高専」を暗号文にして，元に戻ることを確認する． • 今回は，オープンソースのライブラリであるOpenSSLを用いた． >openssl genrsa 2048 > privkey.pem

   >openssl rsa -in privkey.pem -pubout -out pubkey.pem >echo “豊田高専” | openssl rsautl -encrypt -pubin -inkey pubkey.pem -out toyota.enc >openssl rsautl -decrypt -inkey privkey.pem -in toyota.enc Demonstration 4

6. Web • ブラウザで閲覧できるインターネット上のサイト・ページの集合． • 動的なサイト（所謂Webアプリ）が主流となっている． • ユーザから情報を受けるので，攻撃につながることがある． • サイトを利用する多くのユーザに被害が及ぶ． Web

   5 Webサイト 攻撃者 攻撃 ユーザ

7. 6 Webへの攻撃 • XSS（クロスサイトスクリプティング）攻撃 • 主にユーザが文章などを投稿できるサイトで，悪意のあるスクリプトを埋 め込もうとする攻撃． • HTMLなどとして認識される特殊文字（<>など）への対策をしていない サイトで起こり得る．

   • SQLインジェクション攻撃 • 検索機能などで，本来は表示されないデータも表示できてしまう攻撃． • 検索語句などをそのままSQL文に埋め込んでいるしているサイトで起こ り得る． Attacking to Web

8. 7 デモ • XSS攻撃 • Twitterのような投稿サイトで，スクリプトを含む文字列を投稿する． • 投稿が表示されるときに，スクリプトが動作することを確認する． • SQLインジェクション攻撃

   • 秘密のデータは隠されている表で， SQL文を含む文字列で検索して秘密のデータも表示させる． 今回使用するプレイグラウンドを公開しています． sikeserver.com/jrdemo Demonstration

9. 8 まとめ • 私たちはこれからサービスを作る側になる． • 情報セキュリティについてより深く知る必要がある． • 実際に試し，それに対する対策を考えることが重要である． Conclusions

10. 9 参考文献 • The Internet Society（2000） 「RFC2818 - HTTP over

    TLS」 （https://tools.ietf.org/html/rfc2818）， 2019年1月21日閲覧． • Internet Engineering Task Force（2016） 「RFC8017 - PKCS #1: RSA Cryptography Specifications Version 2.2」 （https://tools.ietf.org/html/rfc8017）， 2019年1月21日閲覧． • The Open Web Application Security Project（2018） 「Cross-site Scripting (XSS)」 （https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)）， 2019年1月21日閲覧． References

11. ご清聴ありがとうございました このスライドはSpeakerDeckで公開しています． speakerdeck.com/siketyan