私、一応MCSA持ちなのですが、実は未だにMCP Member Siteにアクセスしたことがありません。
まずは英語メールに苦戦して、通訳の友達に意味を確認したまではいいのですが、新たに Windows Live IDを作る段でなんだか面倒になってしまいまして・・・。
そもそも、Windows Live ID、多分別件で2つばかし作った気がするんですが、もう消えてるっぽいのですね。
メールも一回使っただけで、しばらくメールボックス消えたし(アクセスしないから・・・)
放置して忘れていたら、今週に入ってMicrosoftさんから再度登録を促すメールが来ました。
なんと、14ヶ国語で。フランス語、ドイツ語、イタリア語、中国語、ロシア語・・・勿論、日本語もあります。
いままで何度か登録を促すメールは来ましたが、そのことごとくが英語だっただけに、方針の変更があったんですかね?
しかし、『マイクロソフト認定資格試験の合格おめでとうございます』といわれたところで、比較的最近取ったWindowws7ですら2010年の話です。
これ、本当に正規の案内なのかと思わず疑ってしまうのですが・・・。
登録期限の90日が過ぎるまでに1度問い合わせてみようかと思います。
まずは英語メールに苦戦して、通訳の友達に意味を確認したまではいいのですが、新たに Windows Live IDを作る段でなんだか面倒になってしまいまして・・・。
そもそも、Windows Live ID、多分別件で2つばかし作った気がするんですが、もう消えてるっぽいのですね。
メールも一回使っただけで、しばらくメールボックス消えたし(アクセスしないから・・・)
放置して忘れていたら、今週に入ってMicrosoftさんから再度登録を促すメールが来ました。
なんと、14ヶ国語で。フランス語、ドイツ語、イタリア語、中国語、ロシア語・・・勿論、日本語もあります。
いままで何度か登録を促すメールは来ましたが、そのことごとくが英語だっただけに、方針の変更があったんですかね?
しかし、『マイクロソフト認定資格試験の合格おめでとうございます』といわれたところで、比較的最近取ったWindowws7ですら2010年の話です。
これ、本当に正規の案内なのかと思わず疑ってしまうのですが・・・。
登録期限の90日が過ぎるまでに1度問い合わせてみようかと思います。
0
0勉強会の際、内容を広めるよう主催者様よりありがたいお言葉をいただいたので、
下2つの記事で、第3回の情報セキュリティ勉強会の内容をメモった内容を参考にまとめてみました。
感想などはまた後日。(まだまだ体調が宜しくないので・・・)
勉強会の際、とったメモにはストレッチングやソルトのことが抜けていましたが、あることがきっかけで偶然思い出しました。
そのあることとは・・・月曜日に出社した際に机の上に置かれていた回覧
『健康だより ストレッチのすすめ』
思わずカフェオレをふきました。こんな偶然あるんですね。
そういえば、講演中にまっちゃさんの『ハッシュって何?』という声が飛ぶまで、
つい、朝マックのハッシュドポテトを思い浮かべてました。
ソルト(塩)を組み合わせるとおいしそう。
MD5やSHA-1などの単語を聞いて、やっと非可逆性の変換方式のことかと思い出す始末。
最近勉強から離れていたので、また頑張らないと、です。
下2つの記事で、第3回の情報セキュリティ勉強会の内容をメモった内容を参考にまとめてみました。
感想などはまた後日。(まだまだ体調が宜しくないので・・・)
勉強会の際、とったメモにはストレッチングやソルトのことが抜けていましたが、あることがきっかけで偶然思い出しました。
そのあることとは・・・月曜日に出社した際に机の上に置かれていた回覧
『健康だより ストレッチのすすめ』
思わずカフェオレをふきました。こんな偶然あるんですね。
そういえば、講演中にまっちゃさんの『ハッシュって何?』という声が飛ぶまで、
つい、朝マックのハッシュドポテトを思い浮かべてました。
ソルト(塩)を組み合わせるとおいしそう。
MD5やSHA-1などの単語を聞いて、やっと非可逆性の変換方式のことかと思い出す始末。
最近勉強から離れていたので、また頑張らないと、です。
第3回名古屋情報セキュリティ勉強会
(メモれた範囲で自分なりのまとめ その2です。主催者様、講師様、関係者の皆様に多大なる感謝。
足りなかったり、間違いがあったらすみません)
●どうしてパスワードを定期的に変更するべきという定説が出来たのか?
以前は下記の場所に、誰でも読めるハッシュ化パスワードがあった
/etc/passwd
現在は下記の場所で誰でも読めないように保護されているのが主流
/etc/shadow
問い合わせにパスワードそのものを送ってくるサイトは危険。
パスワードをハッシュ化せずに生のまま保存している。
SQLインジェクションなどのリスクがある。
ソルトを用い、ハッシュ化を繰り返し(ストレッチング)が望ましい。
ハッシュ化は100回以上。
●パスワードを定期更新するリスク
マメで記憶力の良い人ならOKだが、変更を繰り返すうちに「覚えやすいもの」に
また、複数システムで使い回しが発生。
実は、定期的にパスワードを変更しないより、使い回しが危ない。
●なぜ、パスワードの使い回しが危ないのか
侵入に成功した場合、検査では侵入の証跡(画面のキャプチャ)ファイルサーバにテキストファイルを書き込んだり
するが、実際の攻撃者ならばドミノエフェクトを狙う。
ドミノエフェクトとは、ドミノ倒しのように、1つの事象からすべてに対して影響を及ぼすこと。
もっとも利用されるファーストドミノはパスワードハッシュ。
パスワードのハッシュを入手し、オフラインクラックを試みる。
また、使い回しを一網打尽にする手法として、Pass-the-hashが挙げられる。
これは、パスワードではなく、ハッシュで認証する場合に有効。
パスワードの使いまわしが行われていると、1つのハッシュを入手することで、全台の侵入が可能となってしまう。
3台のホストを検査
そのうち1台にExploitで侵入。ハッシュを盗み出す。
そのハッシュを用いて他のホストにPass-the-hash
使い回し判明ホストのシェルを奪う(リモートで使用する)
そうして1台の侵入成功によって、全台を掌握できた。
情報表示のinfo,cd,ls.catのようなコマンド、Download,Uploadも使える。
[実例紹介]
思わぬところにまで被害が拡大。重大なダメージを負っていた。
パスワードの使い回しをしていなかったら、1つのサーバーだけで被害が済んでいたかもしれない。
●使用するするに注意。
ありもしない脅威をさも、そこに在るかのように訴求してくるセキュリティ詐欺にも注意
●結論
パスワードの使いまわしはしない。
覚えにくいパスワードの管理には、パスワードの管理ソフトという手もある。
ドメイン認証も出来て一石二鳥な1Passwordというソフトもある。
一番、重要なことは
めっちゃ気をつける
ということ。
【質疑応答】
● 初回で一番穴が在りやすいのは?
オンサイト。50台の43台が侵入可能だった。
●無限に変えないのはOK? どこからか漏れる不安は?
ある意味仕方ない。
●標的型のメールの訓練には意味がある?
開いた一人がえらい人なら意味がない。
開いた後、どこまで攻撃されるかが重要。
●ADなどでのSSOは危険ではないのか?
ADさえ守れられればOK
(メモれた範囲で自分なりのまとめ その2です。主催者様、講師様、関係者の皆様に多大なる感謝。
足りなかったり、間違いがあったらすみません)
●どうしてパスワードを定期的に変更するべきという定説が出来たのか?
以前は下記の場所に、誰でも読めるハッシュ化パスワードがあった
/etc/passwd
現在は下記の場所で誰でも読めないように保護されているのが主流
/etc/shadow
問い合わせにパスワードそのものを送ってくるサイトは危険。
パスワードをハッシュ化せずに生のまま保存している。
SQLインジェクションなどのリスクがある。
ソルトを用い、ハッシュ化を繰り返し(ストレッチング)が望ましい。
ハッシュ化は100回以上。
●パスワードを定期更新するリスク
マメで記憶力の良い人ならOKだが、変更を繰り返すうちに「覚えやすいもの」に
また、複数システムで使い回しが発生。
実は、定期的にパスワードを変更しないより、使い回しが危ない。
●なぜ、パスワードの使い回しが危ないのか
侵入に成功した場合、検査では侵入の証跡(画面のキャプチャ)ファイルサーバにテキストファイルを書き込んだり
するが、実際の攻撃者ならばドミノエフェクトを狙う。
ドミノエフェクトとは、ドミノ倒しのように、1つの事象からすべてに対して影響を及ぼすこと。
もっとも利用されるファーストドミノはパスワードハッシュ。
パスワードのハッシュを入手し、オフラインクラックを試みる。
また、使い回しを一網打尽にする手法として、Pass-the-hashが挙げられる。
これは、パスワードではなく、ハッシュで認証する場合に有効。
パスワードの使いまわしが行われていると、1つのハッシュを入手することで、全台の侵入が可能となってしまう。
3台のホストを検査
そのうち1台にExploitで侵入。ハッシュを盗み出す。
そのハッシュを用いて他のホストにPass-the-hash
使い回し判明ホストのシェルを奪う(リモートで使用する)
そうして1台の侵入成功によって、全台を掌握できた。
情報表示のinfo,cd,ls.catのようなコマンド、Download,Uploadも使える。
[実例紹介]
思わぬところにまで被害が拡大。重大なダメージを負っていた。
パスワードの使い回しをしていなかったら、1つのサーバーだけで被害が済んでいたかもしれない。
●使用するするに注意。
ありもしない脅威をさも、そこに在るかのように訴求してくるセキュリティ詐欺にも注意
●結論
パスワードの使いまわしはしない。
覚えにくいパスワードの管理には、パスワードの管理ソフトという手もある。
ドメイン認証も出来て一石二鳥な1Passwordというソフトもある。
一番、重要なことは
めっちゃ気をつける
ということ。
【質疑応答】
● 初回で一番穴が在りやすいのは?
オンサイト。50台の43台が侵入可能だった。
●無限に変えないのはOK? どこからか漏れる不安は?
ある意味仕方ない。
●標的型のメールの訓練には意味がある?
開いた一人がえらい人なら意味がない。
開いた後、どこまで攻撃されるかが重要。
●ADなどでのSSOは危険ではないのか?
ADさえ守れられればOK
