「Security-JAWS【第32回】」での登壇資料です。 イベントURL:https://s-jaws.doorkeeper.jp/events/167836
![IaCでセキュリティを強化しよう!~IAMが苦手な開発者でも簡単に権限を絞れる。そう、AWS CDKならね!~/secjaws32](https://cdn-ak-scissors.b.st-hatena.com/image/square/35cfc4fd76641c062ddf99f49305b2e3a1a36a57/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F402c48b8f2e24b528bb3ef31977ec6ff%2Fslide_0.jpg%3F28941113)
こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 今回はAWSセキュリティ成熟度モデルを活用して組織のセキュリティレベルを上げよう!というイベントで登壇した内容の解説です。(ちょっと前のイベントですが) 最近私が注目しているAWSセキュリティ成熟度モデルについての解説になります。 資料 解説 アジェンダは以下のとおりです。 セキュリティ対策頑張ってるってどうやって言えばいいんだ? AWSセキュリティ成熟度モデルとは 使い方・コツ 説明できたら次のステップ セキュリティ対策頑張ってるってどうやって言えばいいんだ? まずは課題の話から。 AWSに限らずですが、セキュリティ対策はITを扱う上で基本的なことでもあり、しかし継続的に取り組まなければいけない一筋縄ではいかない課題です。 そんな中で例えば上司から「AWSのセキュリティ対策ちゃんとやってる?」と聞かれたときにあ
eBPFは、ネットワーク、セキュリティ、オブザーバビリティなど、さまざまなインフラ関連の分野のプラットフォームとして利用が広がりつつある、近年最も注目されている技術の1つです。本書ではカーネルの機能を拡張する方法として注目度の高いeBPFについて、どんな技術であるか、何ができるかを概観することができます。基本的なeBPFプログラムの書き方を紹介するとともに、仕組みも理解できるようになっています。 訳者まえがき まえがき 1章 eBPFとは何か? なぜ、重要なのか? 1.1 eBPFのルーツ:Berkeley Packet Filter 1.2 BPFからeBPFへ 1.3 本番環境に向けてのeBPFの進化 1.4 名前付けは難しい 1.5 Linuxカーネル 1.6 カーネルへの新機能の追加 1.7 カーネルモジュール 1.8 eBPFプログラムの動的ロード 1.9 高性能なeBPFプログ
はじめに ハッシュ関数はデータの整合性確認や暗号学的な用途でよく使用されます。この記事では、ハッシュ関数の中でもよく使われるSHA-256を自分で実装しつつ、なぜ元の値を復元できない(非可逆性)の性質を持つのか確認します。 結論はハッシュ関数の非可逆性は、情報の喪失により実現されています。 また、今回sha256を実装したRustのコードは以下です。 https://github.com/akira-19/algorithms_rust/tree/main/sha-256 SHA-256のフロー 非可逆性がわかるところまでのSHA-256のフローは以下のようになっています。 "msg"という文字列をハッシュ化します。 まずmsgという文字列を文字コードに置き換えます。(16進数表記) 次に、メッセージを64バイトの1つのまとまりにします。この際に、元のメッセージのすぐ後ろに0x80を追加し
日本企業初の制裁金か──。2022年11月初旬、欧州連合(EU)のGDPR(一般データ保護規則)に違反したとして、通信事業者であるNTTデータの海外子会社に6万4000ユーロ(約900万円)の制裁金が課せられたとの報道があった。単なる偶然ではあるが、筆者は今年中に日本企業の海外子会社や関連会社がデータプライバシー法規制の制裁対象となると予測していたため、驚きというよりは「ついにきたか」というのが率直な反応だった。今後、同様に日本企業が制裁対象になる案件が次々に出てくる可能性がある。 ■2021年のGDPRによる制裁件数は400件超 GDPRは2018年5月に施行されたデータプライバシーに関する規制で、個人情報の主体の権利を守るためにEUが制定したものだ。日本国内にも個人情報保護法があるが、ヨーロッパ圏内のデータプライバシーに対する「温度感」は日本人には理解し難いものかもしれない。つい先日、
※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。 はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。 ご興味のある方は是非IDaaS利用部
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカーネルの脆弱性が公表されました。 dirtypipe.cm4all.com Linuxのパイプに関する脆弱性なのですが、仕組みは意外とシンプルでぎりぎりブログでも伝わるかもしれないと思ったので自分の理解を書きました。あといつも細かく書きすぎて長くなるので、今回は雰囲気だけでも伝わるようにとにかく説明を簡略化し、ふわっとした概要だけでも理解してもらえるように頑張りました。その結果、若干正確性に欠ける部分があるかもしれませんがお許しください。細かい部分はまた別の記事でま
SIMスワップ攻撃はどれほど簡単に仕掛けることができるだろうか?また、攻撃者は電話番号を乗っ取った後、何ができるのだろうか?結論から言うと、SIMスワップ攻撃を仕掛けるのは驚くほど容易で、攻撃者はあらゆることが実行可能となるのだ。 SIMスワッピングは、SIMハイジャック、あるいはSIMスワップ詐欺とも呼ばれる。これらの言葉を耳にしたことがあるかもしれない。しかし、多くの人は自分の身には起きないものだと考えてしまうだろう。実際、「自分は絶対にハッキングされない」、「なぜ自分が狙われるのかわからない」という声も聞く。しかし、悪意のある攻撃者は日々、膨大な数の攻撃を仕掛けており、私たち一般消費者もそのターゲットになっているのは事実である。これらのリスクを軽減するために、具体的な対策を講じてみてはどうだろうか。 具体的な対策方法は後述するが、まず、リスクそのものについての理解を深めるために、どの
chmod -R 777 /usr を実行したCentOS7で、一般ユーザがroot権限を得られることを確認するLinuxSecurityrootpermission Teratailで、suコマンドでrootログインできないという質問があり、てっきり/etc/pam.d/suまわりの設定かと思いきや、そうではなく、自己解決で説明された原因に一同驚愕ということがありました。 /usr/share/nginx/html に権限を追加したくて、横着して chmod 777 -R /usr とコマンド実行した記憶があります。 CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ? /usr 以下のパーミッションをすべて777に設定したら、逆に動くべきものが動かなくなる例なのですが、これをやるとセキュリティ上問題であることは言うまでもありません。究極的には、
これは ビットバンク株式会社 Advent Calendar 2020 の 17 日目の記事です。 はじめに 皆さん setenforce 1してますか? AWS エンジニアの koarakko です。 普段は DevOps や 統制周りの業務を担当しています。 今回は踏み台サーバでの SELinux 活用事例を交えながら実際にポリシー調査から実装までの方法を紹介したいと思います。 SELinux を本番利用している環境は少なく、貴重な経験ができたと自負しています。 この記事を読むことで SELinux の本番利用の一助になれば幸いです。 当社の踏み台の活用背景 踏み台サーバは本番アプリサーバにログインする場合に経由サーバとして利用しています。 OS は RHEL 8 で2台構成です。 当社では踏み台サーバを2年程度使っていますが、この間に踏み台サーバの置き換えもしています。 以前は am
鍵開けるときの「ガチャッ」の音だけで、合鍵作れます2020.10.06 17:0039,381 Andrew Liszewski - Gizmodo US [原文] ( そうこ ) え、なにそれ怖い。 どう考えてもフィクション世界のスパイとしか思えないことが、現実になろうとしています。なんかね、鍵を開ける「音」をスマホで録音すれば、合鍵が作れちゃうらしいの。 シンガポール国立大学のサイバーフィジカルシステム研究チームが、鍵の脆弱性(というか、昔からあるものが最先端技術で危うくなる状況)を新たに発見しました。「SpiKey」と名付けられたこのセキュリティエラーは、昔からある一般的なピンシリンダータイプの鍵に関するもの。ピンシリンダーの構造は内部に複数のピンがあり、錠それぞれこのピンのパターンが異なります。鍵を差し込み、鍵に施されたギザギザ(凹凸)とピンのパターンが一致すると、クルリと回って鍵
LINE株式会社が開催する技術者向けミートアップ「LINE Developer Meetup」。第62回となる今回のテーマは「Android」です。セッション「パスワードのない未来のためのFirebaseで実装するFIDO2」では、LINE株式会社のコキチーズ氏が登壇し、Androidアプリの登録やレジストレーションの実装などFIDO2をFirebeseで実装していくステップについて解説しました。講演資料はこちら セキュリティエンジニアからコードが書ける仕事へ コキチーズ氏:よろしくお願いします。「パスワードのない未来のためのFirebaseで実装するFIDO2」ということで話していきます。 まず簡単に自己紹介をさせてもらいます。インターネットではコキチーズという名前で活動しています。TwitterとGitHubのIDは@k2wankoでやっています。興味のある人はぜひフォローしてもらえる
トレンドマイクロは、2020年5月、Linuxの構成管理ツールを用いて感染拡大するコインマイナー(「Coinminer.Linux.SYSTEMDMINER.C 」として検出)を確認しました。今回確認されたコインマイナーは、Ansible, Chef, SaltStack, pssh といったインフラストラクチャの構成管理ツールを用いて、多数のホストに感染させるためのスクリプトを一斉に実行させます。このため、1台が感染すると、瞬時に内部ネットワークにある他のLinuxホストに感染を広げる可能性があります。 このマルウェアは大きく感染スクリプト、ワーム実行ファイル、マイニング実行ファイルの3つで構成されています。このマルウェアがどのように被害ホストに侵入するかは不明ですが、他のLinuxマルウェアと同じように、ホスト上で動作しているサーバアプリケーションの脆弱性を利用した攻撃や、パスワードブ
Safari will, later this year, no longer accept new HTTPS certificates that expire more than 13 months from their creation date. That means websites using long-life SSL/TLS certs issued after the cut-off point will throw up privacy errors in Apple's browser. The policy was unveiled by the iGiant at a Certification Authority Browser Forum (CA/Browser) meeting on Wednesday. Specifically, according to
TLS • TLS (reliable) endpoint endpoint CC BY 3.0 https://www.youtube.com/user/TheWikiLeaksChannel ClientHello+ ApplicationData end_of_early_data Finished ServerHello EncryptedExtension ServerConfiguration Certificate CertificateVerify Finished ApplicationData
暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。今回は暗号化技術の基礎として、暗号化の基本、暗号の安全性、共通鍵暗号と公開鍵暗号について解説。 暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。ファイルやデータの暗号化の他、HTTPSや、無線LANにおけるWEP/WPA/TKIP/AESのようなセキュアな通信、証明書やデジタル署名、PKIなど、多くの場面で暗号化技術が使われている。今回からしばらくは、暗号化の基礎や共通鍵暗号、公開鍵暗号、証明書、PKIなどについて、IT Proの初心者向けに暗号化技術の基礎を解説していく。今回は、暗号化の基礎を解説する。 暗号化とは データを保護するだけなら、暗号化ではなく、「ファイルの許可属性(読み出し禁止などの属性)」や「アクセス制御(ACL)」などの方法もある。これらは、アクセスするユーザーに応じ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く