第3回名古屋情報セキュリティ勉強会
(メモれた範囲で自分なりのまとめ その2です。主催者様、講師様、関係者の皆様に多大なる感謝。
足りなかったり、間違いがあったらすみません)
●どうしてパスワードを定期的に変更するべきという定説が出来たのか?
以前は下記の場所に、誰でも読めるハッシュ化パスワードがあった
/etc/passwd
現在は下記の場所で誰でも読めないように保護されているのが主流
/etc/shadow
問い合わせにパスワードそのものを送ってくるサイトは危険。
パスワードをハッシュ化せずに生のまま保存している。
SQLインジェクションなどのリスクがある。
ソルトを用い、ハッシュ化を繰り返し(ストレッチング)が望ましい。
ハッシュ化は100回以上。
●パスワードを定期更新するリスク
マメで記憶力の良い人ならOKだが、変更を繰り返すうちに「覚えやすいもの」に
また、複数システムで使い回しが発生。
実は、定期的にパスワードを変更しないより、使い回しが危ない。
●なぜ、パスワードの使い回しが危ないのか
侵入に成功した場合、検査では侵入の証跡(画面のキャプチャ)ファイルサーバにテキストファイルを書き込んだり
するが、実際の攻撃者ならばドミノエフェクトを狙う。
ドミノエフェクトとは、ドミノ倒しのように、1つの事象からすべてに対して影響を及ぼすこと。
もっとも利用されるファーストドミノはパスワードハッシュ。
パスワードのハッシュを入手し、オフラインクラックを試みる。
また、使い回しを一網打尽にする手法として、Pass-the-hashが挙げられる。
これは、パスワードではなく、ハッシュで認証する場合に有効。
パスワードの使いまわしが行われていると、1つのハッシュを入手することで、全台の侵入が可能となってしまう。
3台のホストを検査
そのうち1台にExploitで侵入。ハッシュを盗み出す。
そのハッシュを用いて他のホストにPass-the-hash
使い回し判明ホストのシェルを奪う(リモートで使用する)
そうして1台の侵入成功によって、全台を掌握できた。
情報表示のinfo,cd,ls.catのようなコマンド、Download,Uploadも使える。
[実例紹介]
思わぬところにまで被害が拡大。重大なダメージを負っていた。
パスワードの使い回しをしていなかったら、1つのサーバーだけで被害が済んでいたかもしれない。
●使用するするに注意。
ありもしない脅威をさも、そこに在るかのように訴求してくるセキュリティ詐欺にも注意
●結論
パスワードの使いまわしはしない。
覚えにくいパスワードの管理には、パスワードの管理ソフトという手もある。
ドメイン認証も出来て一石二鳥な1Passwordというソフトもある。
一番、重要なことは
めっちゃ気をつける
ということ。
【質疑応答】
● 初回で一番穴が在りやすいのは?
オンサイト。50台の43台が侵入可能だった。
●無限に変えないのはOK? どこからか漏れる不安は?
ある意味仕方ない。
●標的型のメールの訓練には意味がある?
開いた一人がえらい人なら意味がない。
開いた後、どこまで攻撃されるかが重要。
●ADなどでのSSOは危険ではないのか?
ADさえ守れられればOK
(メモれた範囲で自分なりのまとめ その2です。主催者様、講師様、関係者の皆様に多大なる感謝。
足りなかったり、間違いがあったらすみません)
●どうしてパスワードを定期的に変更するべきという定説が出来たのか?
以前は下記の場所に、誰でも読めるハッシュ化パスワードがあった
/etc/passwd
現在は下記の場所で誰でも読めないように保護されているのが主流
/etc/shadow
問い合わせにパスワードそのものを送ってくるサイトは危険。
パスワードをハッシュ化せずに生のまま保存している。
SQLインジェクションなどのリスクがある。
ソルトを用い、ハッシュ化を繰り返し(ストレッチング)が望ましい。
ハッシュ化は100回以上。
●パスワードを定期更新するリスク
マメで記憶力の良い人ならOKだが、変更を繰り返すうちに「覚えやすいもの」に
また、複数システムで使い回しが発生。
実は、定期的にパスワードを変更しないより、使い回しが危ない。
●なぜ、パスワードの使い回しが危ないのか
侵入に成功した場合、検査では侵入の証跡(画面のキャプチャ)ファイルサーバにテキストファイルを書き込んだり
するが、実際の攻撃者ならばドミノエフェクトを狙う。
ドミノエフェクトとは、ドミノ倒しのように、1つの事象からすべてに対して影響を及ぼすこと。
もっとも利用されるファーストドミノはパスワードハッシュ。
パスワードのハッシュを入手し、オフラインクラックを試みる。
また、使い回しを一網打尽にする手法として、Pass-the-hashが挙げられる。
これは、パスワードではなく、ハッシュで認証する場合に有効。
パスワードの使いまわしが行われていると、1つのハッシュを入手することで、全台の侵入が可能となってしまう。
3台のホストを検査
そのうち1台にExploitで侵入。ハッシュを盗み出す。
そのハッシュを用いて他のホストにPass-the-hash
使い回し判明ホストのシェルを奪う(リモートで使用する)
そうして1台の侵入成功によって、全台を掌握できた。
情報表示のinfo,cd,ls.catのようなコマンド、Download,Uploadも使える。
[実例紹介]
思わぬところにまで被害が拡大。重大なダメージを負っていた。
パスワードの使い回しをしていなかったら、1つのサーバーだけで被害が済んでいたかもしれない。
●使用するするに注意。
ありもしない脅威をさも、そこに在るかのように訴求してくるセキュリティ詐欺にも注意
●結論
パスワードの使いまわしはしない。
覚えにくいパスワードの管理には、パスワードの管理ソフトという手もある。
ドメイン認証も出来て一石二鳥な1Passwordというソフトもある。
一番、重要なことは
めっちゃ気をつける
ということ。
【質疑応答】
● 初回で一番穴が在りやすいのは?
オンサイト。50台の43台が侵入可能だった。
●無限に変えないのはOK? どこからか漏れる不安は?
ある意味仕方ない。
●標的型のメールの訓練には意味がある?
開いた一人がえらい人なら意味がない。
開いた後、どこまで攻撃されるかが重要。
●ADなどでのSSOは危険ではないのか?
ADさえ守れられればOK
スポンサーサイト
| ホーム |