タグ別アーカイブ: 攻撃

ITmedia Virtual EXPO 2012を視聴してみた。

先月になりますがITmedia Virtual EXPO 2012を視聴したのでそのときのメモを公開します。
メモの内容には聞き間違い等あるかもしれませんがご容赦ください。

今回視聴したのは下記の3つです。
・セキュリティ専門家が斬る!Anonymousの影響と人の脆弱性
・変貌するWebの世界― クラウドとクラウド・デバイスのインパクト
・LINEを生み出したNHN Japanの開発風土とは

——————————————————
セキュリティ専門家が斬る!Anonymousの影響と人の脆弱性
——————————————————

攻撃はきまぐれ
他人に攻撃をけしかけている雰囲気がある

調査してから攻撃する
攻撃できるという確信を持ってから行う(事前に仕込んでいる)

sip(シップ)のスキャン急にが多くなる

じわじわ攻撃を受けているサイトもある

政府機関のサイト、有名企業のサイト:
年中何らかの攻撃を受けている、報道もされない
=攻撃慣れしているしびくともしない
=攻撃慣れしている人たちから見るとそんなにたいした攻撃ではなかったりする場合もある

ちゃんと構築していれば防げるレベル

過去に見つかった脆弱性などが狙われる(2,3年前のもの)

ちゃんと対策をしていれば8割は防げる

さくっと侵入できるケースは少ない

メディアの注目を高めるために攻撃をやっている
ITに関係のない人まで知っている

チュニジアでの攻撃に日本人が参加していた

DDos攻撃に同時参加する人数
多くても2桁ぐらい
botが使われることが多い

javascriptをわざと踏ませて関係ない人間を攻撃に荷担させる場合もある

いまさら聞けないアノニマス
http://www.atmarkit.co.jp/fsecurity/special/172anon/01.html

セキュリティは楽しいかね?
http://d.hatena.ne.jp/ukky3/

複数のサービスをまたがった攻撃もある:
サポートセンターへの電話で情報を取得
メールのやりとりなど

サポートセンターの攻撃対応も必要
Facebookの情報で分かるような内容で本人確認してはいけない

オレオレ詐欺:
ソーシャルエンジニアリングの一つ

セキュリティ:疑うところから始まる

仕組みとしてセキュリティを高めていく
(ワンタイムパスワードなどを当たり前にしていく)

使う側でも分かるアプローチが必要

————————————————————-
変貌するWebの世界― クラウドとクラウド・デバイスのインパクト
————————————————————-

2012年:21世紀の二つ目の10年の始まり

最初の十年:911に始まり311(東日本大震災)で終わった。
携帯電話の爆発的普及
クラウドの登場と発展(googleの登場、amazon ec2の登場、microsoft azureの登場)
2007年iphoneの登場
2008年androidの登場

iphone,android等のクラウド端末の台数がpcを上回る勢い

トランジスタの数も15倍に

日本のスマホ普及率:先進国で最低クラス
・ガラケーの成功も原因

現在では1つのチップに中国の人口ぐらいのトランジスタが集積されている
(1970年には2000個ぐらい)
今後一つの電子、原子を制御するレベルまで小さくなってくる

Tegra3:5つのコアをもつ(公称は4つ)
製品への採用が進んでいる
スマホのスペックがpcを上回っていく

これからの5年間:
トランジスタの数は200倍になる

日常生活のあらゆる所にCPUが存在
すべてがネットワークにつながる力を持っている

Gang of Four:
Google
Apple
Facebook
Amazon

2011年に起きたこと:
6月icloud
9月facebookが8億人突破
11月amazon kindle fire登場

それまで自前のクラウドとクラウドデバイスを持っているのはgoogleしかなかった。
microsoft:windowsphoneの発表
facebook:クラウドデータセンターを稼働、携帯にも参入

去年一年でクラウドとクラウドデバイスを持つプレーヤーが形成された(非常に大きな変化)

日本:通信障害が発生するようになった。
ブロードバンドの帯域もスマホによって瞬く間に消費される。

スマホ:電池の持ちを良くするために制御信号を多発する

PC:データ量大、制御信号小
スマホ:データ量小、制御信号大

スマホ:ずっとネットに接続しているアプリが多数ある
実際には細かな接続/切断を繰り返している=多量の制御信号を送る

androidはiphoneよりも制御信号をたくさん送る
android4.0では改善されている

これからおきること:
新しいネットワークメディアの躍進
ネットワークマーケットの台頭

HTML5が鍵になる

2020年:世界人口の大部分がスマホを持つ(ネットワークにつながる)

すべての経済行動がネットワーク上で行われるようになる

AJAX:ブラウザとサーバがユーザのアクションに従って動的に動く
→これがリアルタイムに動くようになる

HTTP:文書の転送のためにデザインされた。
HTML5websocketはこれを改善する
(データ量減少、現在の通信方式とも共生できる)

ネットワークメディアに期待されるもの:
コミュニケーション、情報共有、豊かな自由時間

情報は誰のものかという問題を多くの人が意識し始める

コンテンツサービス、クラウドの利用:
日本は少し遅れている

音楽市場:
iTunesが圧倒的シェア

spotify:音楽をリアルタイムで共有できる

アメリカでは新旧メディアの対立がある:SOPA
著作権の強化、ISPによる特定サイトの遮断などまでが争点となっている

プライバシー問題:
日本ではプライバシーを守る意識が高い

電話初期、普及を妨げた最大の問題は交換手が会話の内容を聞けることだった
やがて危惧よりも利便性の方がそれを上回った

Appleの位置情報取得問題その後:
取得自体はやめていない
プライバシーポリシーに明記されるようになっただけ

Gang of Fourのプライバシーポリシーの特徴:
常に変わる
ビジネスと結びついている
事前了承が得られていればよしとする合意が形成されてきている

プライバシー観も変化していく

—————————————–
LINEを生み出したNHN Japanの開発風土とは
—————————————–

開発プロセスの違い:
ライブドア:企画→開発→デザイン
ネイバー:企画とデザインが同時に動き出す→開発
プロトタイピングが激しい

エンジニアリングだけで戦える時代でもない
エンジニアリングはあって当然、その上で武器を持たなくてはならない
(デザインなど)

ネイバーは400人(4割ぐらい)がエンジニア

Javaをよく使う
スマホに注力している

オープンソースのプロダクトをよく使っている

LINE:
メッセージ数がとても多い
Hbaseにデータを保存
アーラン(エリクソン)を使っている

これを使わなければ行けない、という決まりはない

新しいテクノロジーにも手を出している

社内の交流も多い
技術系スタッフの統合もハードルはなかった

スマホアプリのスタッフの統合が一番早かった

LINEが最初のネットの入り口になってくる
SDKを提供
サードパーティーも巻き込んでいく

SDK:
HTML5とJavascriptで提供される

LINEが生まれた背景:
スマホに注力したかった
スマホで流行るもの=コミュニケーション、ゲーム、写真
ゲーム、写真はすでにサービスを提供していた
企画が変容していってLINEになった

企画はだいぶ削られた(欲張った機能など)

企画者が尊重される
LINEは15人ぐらいで始まった

大規模なシステムの経験者を求めている
(インフラ経験者など)

次のアーキテクチャなどを先回りできるエンジニアが理想

ユーザー数で倍を目指している
未知の領域に入ってきている

現場に関しては開発陣の影響力が大きい

コードが書けることとマネージメントができることは別の才能だと考えている
得意なことをやってもらっている

セキュリティの勉強してます。

最近仕事先のセキュリティの試験を受けるために勉強しているので、そのときのメモです。

——————————–
Webに対する攻撃14種
——————————–

■Webアプリケーションに依存しない
・既知の脆弱性
ソフトウェアの既知の脆弱性(セキュリティホール)を攻撃する

・製品の誤設定
HTTPサーバやアプリケーションパッケージの設定みすを攻撃する

・パスワード攻撃
総当りまたは辞書攻撃で有効なパスワードを探し当てる

・バッファオーバーフロー
スクリプトに対して大量の入力データを送信し、誤作動を誘う

■設定や構成の不備
・強制ブラウズ
URLを直接指定して、リンクされていないページを覗く

・情報の意図せざる流出
システムが返すエラーメッセージから、本来公開する必要のない情報が漏洩

・不十分なエラー処理
エラーの処理において、攻撃者に有益な情報が表示される

・バックドアやデバッグモード
裏口やデバッグモードを探し出して不正にそれを使う

■プログラミングの不備
・ステルスコマンド操作(os,sqlインジェクション)
不正なOS、SQLコマンドを実行させる

・クロスサイトスクリプティング
第三者のコードを混入させ、サイトのユーザを攻撃する

・HTTPヘッダインジェクション
HTTPレスポンスを偽造し、サイトのユーザを攻撃する

■設計の不備
・セッションハイジャック/リプレイ
他人が確立しているセッションを奪う、または強制的に再現する

・セッションフィクセーション
攻撃者が指定したセッションIDをWebアプリケーションに使わせる

・クロスサイトリクエストフォージェリー(CSRF)
正規ユーザを誘導し、強制的に特定の処理を実行させる