セキュリティキャンプ2013～行ってきました

セキュリティキャンプとは

2004年から毎年夏に開催する４泊５日のイベント

２２歳以下の学生が参加できる

交通費宿泊費全て無料

OllyDbg,IDAPro,などを中心としたソフトウェア解析手法概説

OS,コンパイラによるセキュリティ機能

セキュリティ機能に対する攻撃,その対策法

ソフトウェアセキュリティ

Webブラウザと同一オリジンポリシー

クロスオリジンリソースシェアリング

脆弱性の原因と対策

クロスサイトスクリプティング

CSRF オープンリダイレクタ

Webセキュリティ

パケット工作と攻撃への応用

偽装通信の攻撃的／防御的応用

侵入検知とその回避

各種パケット送信と対処方法の実施および発表

ネットワークセキュリティ

  >本クラスでは各自テーマを決めて何らかのソフトウェアを開発します。具体的な指導内容は担当のゼミ講師によって異なります。このクラスに参加するための条件もゼミごとに個別に設定されています。

　　(以下略)

セキュアなシステムを作ろう

特別講義

セキュリティ倫理

ハッカー検事

NICT「DAEDALUS」「nicter」「NIRVANA」

nicter

DAEDALUS

nicter で構築した大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム 組織内から送出される異常な通信をダークネット観測網で捉え、

当該組織に対してアラート情報を送信することで、 セキュリティインシデントへの迅速な対応を可能とします。

NIRVANA

通信を「見える化」することで、ネットワークの輻輳・切断等の障害や、 設定ミス等を瞬時に見つけ出すことを可能にし、

ネットワーク管理者の負荷を大幅に軽減します。その結果、 ネットワーク管理が迅速化・効率化され、管理コストの低減につながります。

事前学習課題

パケット工作から学ぶ ネットワークセキュリティ

講師 Eiji James Yoshida

概要

TCP/IPパケットの生成ツールや解析ツールを使い、普段は意識することのないネットワーク上でのパケットのやりとりについて体験する

ネットワークセキュリティの技術として有名なポートスキャンやOS推測について、それらの仕組みや特性を理解する

基礎ICMPパケットのキャプチャ、送信

送信元、送信先IP、タイプ、コードの解析

TCPパケットのキャプチャ、送信

3way Handshake

hping

UDPパケットのキャプチャ、送信

応用(ポートスキャン)

TCPポートスキャン

SYNポートスキャン

FINポートスキャン

UDPポートスキャン

OS推測

まとめパケット工作はツールとTCP/IPの基本的な知識があれば誰でもできる

パケット工作で各パケットの値を任意に変更できることから、パケットフィルタリングやファイアウォールのフィルタリングルールを考える際にはその点を注意する

色々なパケットを送信することで、反応からリモートのOSを推測できる

侵入検知講師

株式会社LAC　川口洋

概要

さまざまなパケットログを解析して、それぞれの攻撃の特徴をつかみ検知を行えるようなシグネチャーの作成をする

演習

ポート番号クイズ(20-13701までの主要なポート)

ウイルス通信クイズ(各ウイルスの特徴当て)

Apacheログ解析(怪しい通信を見つける)

IDSツール、Snortでのシグネチャー生成

シグネチャー例送信元IPアドレスが172.17.0.7であるTCP通信

alert tcp 172.17.0.7 any -> any any (msg:”test”; sid:1000000;)

送信元3241/tcpから送信先80/tcpへの通信

alert tcp any 3241 -> any 80 (msg:”test”; sid 10000000;)

User-AgentがFirefoxであるTCP通信

alert tcp any any -> any any (msg:”test” ; content:”Firefox”; nocase; sid:10000000;)

データサイズが1000バイトより大きいTCP通信

alert tcp any any -> any any (msg:”test”; dsize:>1000; sid:10000000;)

まとめ

挙動を知っていれば侵入検知にて対策が可能

知っていなくても怪しい通信の検知ができる

経験が大切

偽装通信 ～警戒されない不審通信

講師 NTTデータ　宮本久仁男

概要

通信プロトコルと偽装通信

偽装通信と暗号通信

偽装通信に対応するための指針

偽装通信のアプローチ

本来「通信データとして使われる」と意図されていないところに「任意の」データを配置する

データを受信するタイミングを符号化する

通信を隠す場所TCPペイロード

HTTP Tunnel

ICMPペイロード

PingTunnell

TCPヘッダ

covert_tcp.c

UDPペイロード

dns2tcp

暗号化通信IPSec

IPペイロードを暗号化、認証

SSL

TCPペイロードを暗号化

認証から暗号化までの仕組みがSSLには含まれる

偽装通信を暗号通信の違い暗号通信

通信内容を知られたくない

通信していること自体は知られてもOK

偽装通信

有意な通信をしていることを知られたくない

実際に発生しうる通信と偽装させたい

偽装通信への対策

見破る

通常のトラフィックと異常のトラフィックとの違い

これも経験？

そもそも怪しい通信を外に出さない

制限ネットワークの構築

制限ネットワークの構築例

クライアントによるDNSの名前解決を許可しない

パケットの転送をしない

POSTのサイズ、GETのURL長の制限をスる

Proxyサーバの配置

偽装通信を守りに利用

DNSキャッシュサーバへ通過するトラフィックに含まれるDNSクエリを解析し、サーバが応答を返す前に別の値へ改ざんしたレコードを返す

ネットワークにおける機器の 特定と問題の検出 ～組み込み機器の応答から学ぶ～

講師 IPA　勝海直人

概要

これまでの講義で学習したことを基に、実際のネットワーク機器に対してさまざまなパケットを送る

攻める立場を通して守る立場を考える

機器を見つける自らパケットを送ってその応答で発見

ARP Request/Reply

ICMP Echo Request/Reply 相手が送ってくるパケットを基に発見

ブロードキャストリクエスト

マルチキャストリクエスト

機器を特定する

サービスを調べる

ポートスキャン

アプリケーションを調べる

サービスに接続してみる(SSHならバナーが出る)

機器を攻撃する

パケットの量を細工する

10､20のパケットならOK。100万個なら？

DoS攻撃

機器を攻撃する

パケットの中身を細工する

HTTPのGETリクエストで考える

Ethernet,IP,TCP,HTTPの各ヘッダ

変なデータを埋め込む

機器にありそうな脆弱性をつくようなデータ

演習

実際に送ってみる

Ubuntu 9.10に対するソフトウェア「ISIC」によるファジング

IPv6ヘッダで不正な値が書き込まれると再起動する

その他

初めてCTFやりました。