JAWS DAYS 2018
![コンテナを守る技術2018/container-security-20180310](https://cdn-ak-scissors.b.st-hatena.com/image/square/b57b49df230cb3581bb4bba8e8dc5db5ad0ca33b/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F52ba967a84094efdb39fc582318a28f5%2Fslide_0.jpg%3F9596387)
AWSアカウントを作成したら最初にやっておきたいことをまとめてみた。 あわせて読みたい 本記事の内容を含めた最新の手順は、下記の書籍にまとまっている。 クラウド破産を回避するAWS実践ガイド AWSアカウント(ルートアカウント)の保護 AWSアカウントが乗っ取られると詰むので、真っ先にセキュリティを強化する。 AWSアカウントへ二段階認証を導入 AWSアカウントでのログインは、AWSアカウント作成時のメールアドレス・パスワードだけでできてしまう。心許ないにもほどがあるので、まずは二段階認証を設定しよう。 IAMのページを開く https://console.aws.amazon.com/iam/home 「ルートアカウントのMFAを有効化」を選択して、「MFAの管理」ボタンをクリック 「仮想MFAデバイス」にチェックが入っていることを確認し、「次のステップ」ボタンをクリック 注意書きを読ん
一般的によく知られている SHA-256 や MD5 などのハッシュ関数は非常に単純な設計となっており、非力なパソコンや組み込み機器、スマフォなどでも高速に計算できます。 しかしながらその一方で、ハッシュ関数を手当たり次第に計算し、もとの入力値を復元するいわゆる「ブルートフォース攻撃」が容易であるというデメリットがあります。 特にこのような SHA-256 や MD5 といったハッシュ関数は、GPU を用いるか、もしくは専用のハードウェア (FPGA もしくは ASIC) を製作することで非常に高い効率で計算(攻撃)ができてしまうことが知られています。 そのため、GPU ないし専用ハードウェアを用いたとしても、攻撃効率の改善が難しくなるような新たなハッシュ関数がいくつか提案されています。 その中で比較的古く (2012年ごろ) に開発され、他のハッシュ関数にも影響を与えている「scrypt
KNNポール神田です! 先月、「ご用心!Siriがヘイ!シリ!で個人情報を漏洩してしまう件」でも警鐘を鳴らしていたが、新たな発見(ホームボタンの長押しだけ)があったのでお知らせしたい。 iPhoneのOS8から、Siriがとても賢くなっている。しかし、賢くなりすぎて、実はアホになっているのだ。 ここからの実験は、あなたの人生に大きなショックをもたらすかもしれないので、よく覚悟してやっていただきたい。人の携帯電話は、さわらないほうがきっと幸せだから…。 何の為のパスコードだったのか…?だいたい、他人のiPhoneは、パスコードが設定されていたり、指紋認証で強固なセキュリティがなされている。 しかしだ…。 他人のiPhoneの「ホームボタンを長押し」するだけで、そのすべてが無駄になってしまうのだ。恐ろしい…。 実際に動画でデモンストレーションしてみた。 ロックがかかっているはずの他人のiPho
徳丸 浩 @ockeghem 私がパスワードの定期的変更問題について取り組み始めたきっかけは、パスワードの定期的変更が当たり前のように要求されているが、これに効果があるのだろうかという疑問からでした。定期的変更を要求する記事は数多くありますが、その理由を明確に説明している記事は見つかりません 徳丸 浩 @ockeghem そこで、手探りで「パスワードの定期的変更の意味探し」を始めました。私はこの種のことをよくやります。ある人から別の話題で、徳丸がやっていることは『存在しない聖杯を追い求めている行為』と言われました。同じように、「パスワードの定期的変更の意味」は私にとって「聖杯」でした 徳丸 浩 @ockeghem 記事を書いてその反応を見たり、twitterでのやりとり、自身の思索の結果、「パスワードの定期的変更の効果」は見つかりました。しかし、それは、聖杯に例えるのははばかられるほどに、
『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース
こんにちは、技術部の福森 (@sora_h) です。 最近は環境変数に API トークンや credential といった認証情報を入れる事が増えてきています。 たとえば、AWS を利用するツールでは AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY といった環境変数にだいたいの場合で対応しています。 そのため、~/.bashrc や ~/.zshrc などシェルの設定に export を書いておき常に使える状態にしている方も多いと思いますが、 それって実は危険ではないでしょうか? 例えば、下記のようなリスクが考えられます: 意図せず情報が利用されて意図しない副作用が発生してしまう危険性 本番に変更を与えるつもりはなかったけれど事故を起こしてしまう等 悪意のあるスクリプトを実行した際に環境変数を送信などされてしまう危険性 事故や漏洩を防ぐためにも、筆者はかな
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
いかにしてパスワード認証を脆弱にするか。プログラミング黎明期からずっとデベロッパーの頭を悩ませ続ける問題です。 ここでは脆弱なパスワード認証を実現するための方法を紹介します。 パスワード自動入力の禁止 不届きなブラウザがパスワードを記憶してしまうことがあります。 パスワードは間違いの無いように、ひともじひともじ、人間が入力するべきです。 <input name="pw" type="password" autocomplete="off" /> とするのは常識ですね。ブラウザのパスワード管理機能より、脳内の文字列の方がずっと安心です。 フォームを動的生成、AjaxでPOST cursor: textスタイルで偽input などで、ブラウザのパスワード保存をスキップする方法もあります。 パスワード貼り付けの禁止 貼り付けも自動入力と同罪です。onpaste属性を利用して <input nam
ここ最近デジカメのExif(イグジフと読むらしい)情報について いくつか人とお話する機会がありました。 「ブログ書いてると、詳しい人が調べたら自宅とかわかっちゃうんですよね?」と言われましたが、それより前に一番気をつけたいのがデジカメの写真の取扱い方です。 友人と話してたらExif情報について知らない人もわりといたので、なるべくわかりやすくまとめます。初心者向けです。ネット猛者のみなさんにはあまりにも常識過ぎるのでスルーして下さい。 デジカメにはExif情報というデータが含まれています。 いつ・どんなカメラで・どんな設定で写真を撮ったか。の情報が入ってるものです。 一番問題なのはGPS情報です。 これがうっかりついたままアップしてしまうと、自宅の情報を公開したりしてしまいます。 デジカメにもGPSの機能がついているものもありますが、一番GPS情報がつきやすいのはスマホです。 ■カメラの設定
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHURead less
[ PKWARE の伝統的な暗号化 ZIP 書庫 (Traditional PKWARE Encryption) ] 対応ソフトの例 ZIP32.DLL v2.32 (Info-ZIP) ZIP32J.DLL Ver 0.37 UNZIP32.DLL Ver 5.42 7-ZIP32.DLL Version 4.57.00.01 仕様:公開、ソース・コードが公開されてます。 暗号アルゴリズムは Traditional PKWARE Encryption (内部状態サイズ 96bit) というストリーム暗号で平文が内部状態に影響するのが特徴です。10~11バイトの乱数をデータに含めることにより、同じ内容のファイルでも異なる暗号文になります。パスワードから鍵を作るという概念ではなく、パスワードを暗号化することにより内部状態を撹乱してます。 評価、鍵強度:最大96bit、実装上の安全性:×、処理
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
平成25年3月15日「不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び」でご報告いたしました当社オンラインショップに対する不正アクセス(以下、「本件不正アクセス」といいます。)により、お客様をはじめとする皆様に多大なるご迷惑およびご心配をおかけしましたことを深くお詫び申し上げます。 当社は、事案発覚直後より、逐次最新情報をご報告させていただいておりましたが、この度、当社、専門調査機関および情報漏えい事故調査委員会による本件不正アクセスに関する一連の調査が終了いたしましたので、下記のとおりご報告させていただきます。 なお、本件不正アクセスに関するお客様へのご対応および再発防止に対する取り組みについては引き続き行ってまいりますが、本件不正アクセスに対する調査結果につきましては、特段の報告事項が発生しない限り、下記をもって最終報告とさせていただきます。 当社は、自社が運営する「J
今週水曜、マルウェアの攻撃により、韓国の2つの銀行とメディアのコンピューターが大々的にシャットダウンしました。このマルウェアは、感染したコンピューターのハードドライブにあるマスターブートレコード(MBR)を、以下のストリングで上書きして消去します。 PRINCPES PR!NCPES HASTATI. さらに、このマルウェアはファイルシステムの一部を同じストリングによってランダムに上書きし、いくつかのファイルを再現不可能にしています。よって、MBRが復元しても、ディスク上のファイルは感染したままになります。 そののち、システムは以下のコマンドを通して、強制的にリブートされます: shutdown -r -t 0 MBRが感染しているため、コンピューターはこのアクションでスタートできません。 マルウェアはさらに、MBRを上書きする前に、2つの韓国製アンチウイルス製品、アンラボとハウリを作動不
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く