攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習

攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習

D5744e72b6a5e6673f991cab987a31ab?s=128

Naoki Ikeguchi

January 28, 2019
Tweet

Transcript

  1. 攻撃してわかる 情報セキュリティ Siketyan, rig_rx @ 情報倫理プレゼンテーション

  2. 1 はじめに • 授業では,情報セキュリティにの概念を,技術的な面から学んだ. • しかし,具体的な実装はわからない. →攻撃する面から調べた. Introduction

  3. 暗号化 • 情報セキュリティの代表例. • HTTPS通信でも用いられる.(現行はSSLではなくTLS) Crypto 2 • RSA •

    ECDSA • Ed25519 平文 暗号文
  4. 3 暗号化への攻撃 • 通信層での脆弱性を用いる.(SSLのPOODLEなど) • その暗号にとって「弱い」パターンを見つける. • RSA暗号であれば,素数の使い回しが行われたときや 2素数の差が小さいとき. •

    とにかく(秘密)鍵が手に入れば,その鍵が使われたあらゆる暗号 を解読することができてしまう. Attacking to Crypto
  5. デモ • 「豊田高専」を暗号文にして,元に戻ることを確認する. • 今回は,オープンソースのライブラリであるOpenSSLを用いた. >openssl genrsa 2048 > privkey.pem

    >openssl rsa -in privkey.pem -pubout -out pubkey.pem >echo “豊田高専” | openssl rsautl -encrypt -pubin -inkey pubkey.pem -out toyota.enc >openssl rsautl -decrypt -inkey privkey.pem -in toyota.enc Demonstration 4
  6. Web • ブラウザで閲覧できるインターネット上のサイト・ページの集合. • 動的なサイト(所謂Webアプリ)が主流となっている. • ユーザから情報を受けるので,攻撃につながることがある. • サイトを利用する多くのユーザに被害が及ぶ. Web

    5 Webサイト 攻撃者 攻撃 ユーザ
  7. 6 Webへの攻撃 • XSS(クロスサイトスクリプティング)攻撃 • 主にユーザが文章などを投稿できるサイトで,悪意のあるスクリプトを埋 め込もうとする攻撃. • HTMLなどとして認識される特殊文字(<>など)への対策をしていない サイトで起こり得る.

    • SQLインジェクション攻撃 • 検索機能などで,本来は表示されないデータも表示できてしまう攻撃. • 検索語句などをそのままSQL文に埋め込んでいるしているサイトで起こ り得る. Attacking to Web
  8. 7 デモ • XSS攻撃 • Twitterのような投稿サイトで,スクリプトを含む文字列を投稿する. • 投稿が表示されるときに,スクリプトが動作することを確認する. • SQLインジェクション攻撃

    • 秘密のデータは隠されている表で, SQL文を含む文字列で検索して秘密のデータも表示させる. 今回使用するプレイグラウンドを公開しています. sikeserver.com/jrdemo Demonstration
  9. 8 まとめ • 私たちはこれからサービスを作る側になる. • 情報セキュリティについてより深く知る必要がある. • 実際に試し,それに対する対策を考えることが重要である. Conclusions

  10. 9 参考文献 • The Internet Society(2000) 「RFC2818 - HTTP over

    TLS」 (https://tools.ietf.org/html/rfc2818), 2019年1月21日閲覧. • Internet Engineering Task Force(2016) 「RFC8017 - PKCS #1: RSA Cryptography Specifications Version 2.2」 (https://tools.ietf.org/html/rfc8017), 2019年1月21日閲覧. • The Open Web Application Security Project(2018) 「Cross-site Scripting (XSS)」 (https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)), 2019年1月21日閲覧. References
  11. ご清聴ありがとうございました このスライドはSpeakerDeckで公開しています. speakerdeck.com/siketyan