2019年5月10日のtwitterセキュリティクラスタ

Google I/O 2019でのCSPなどWebセキュリティ機能についてのお話

Content Security Policyの紹介。実行可能なscriptを制限/報告するための機能。3rd partyスクリプトを勝手に読み込まれたりしないように。 #io19jp pic.twitter.com/c72vGuaIna

許可するURLを並べる時代は終わり!nonceに移行せよ! #io19jp pic.twitter.com/YwzDXpoiZn

CSPでホワイトリストをすべて列挙するのは大変なので、nonceベースのCSPがおすすめ。自分で決めた特定の値をヘッダに含めつつ、scriptタグの属性にも指定する。
strict-dynamicもあわせて指定しておけば動的なscript追加も許可できるよ #io19jp pic.twitter.com/Nm4jeVPgCC

従来のCSPでは、制限対象のdomainが増えるとその度に追加が必要だった。これではメンテ困難。なので、nonce-basedのものが今では提案されてる #io19jp pic.twitter.com/alT709gw2E

CSP対応していくにはどうするか?
1. HTMLタグで直接書くような onclick属性に生やすようなものは消す

2. scriptタグにnonce対応で、属性値をつける

3. CSP headerをつける

#io19jp pic.twitter.com/yJ9GyF5BH7

CSPが正しく設定されてるかを確認するには evaluatorがあるので、それを使う。
csp-evaluator.withgoogle.com

#io19jp

新しい便利なdynamicはあるけど、もちろんnonceベースがstrongestだよ、と #io19jp pic.twitter.com/vSg9BUol4S

そもそもどうやってXSSを起こすのか、例としては URL hashの値から得たものをそのまんまsanitizeしないでinnerHTMLに渡すケース。 これらのAPIをそのまま使うとXSSが起こせる。 #io19jp pic.twitter.com/9b7ON6LTUW

Trusted typesというCSPの属性がある。それを使って信頼性の高いHTMLしかinnerHTMLできないようにする仕組みの紹介。 TrustedTypes objectから生成された自分のJSでしかinnerHTMLで HTMLを作れないようにする。 #io19jp pic.twitter.com/Wt3z8hrsk3

nonceだけだとDOMベースのXSSは防げない。
stringからDOMを生成するのはやめて専用の型オブジェクトを使おう
CSPにtrusted-typesを指定すると文字列からのDOM生成をブロックできるようになるよ
#io19jp pic.twitter.com/OhP7TFFLAH

Trusted Typesはより信頼性の高いコードしか動かなくさせる仕組み、今のところorigin trialsとして提供予定 #io19jp pic.twitter.com/EbqbRPE2H1

Why do we need isolation? victim.exampleを開いているつもりがCSRFやXSSやclick jackingによりページのリクエストを奪われたり偽物を開かれたりするため。 #io19jp pic.twitter.com/jtKQ1G9SBh

最初に悪意のある方を開いて、evil.exampleから新しいウィンドウで本物victim.exampleが開かれたりする。こういうケースもある。 #io19jp pic.twitter.com/zuivtCkK3c

偽物からfetchされたりした時にはそれがわかるようにSec-Fetch-Site、Sec-Fetch-Modeなどのヘッダーがブラウザからつく。これをチェックすればある程度セキュアに。 #io19jp pic.twitter.com/ulpcT7T0Fy

まとめ!
セキュリティまわりの新仕様の話って聞いたことなかったからおもしろかったー!!
#io19jp pic.twitter.com/VF173Icyva

Three new HTTP request headers!
サーバーでの判定めちゃ簡単になるなあ
#io19jp pic.twitter.com/waa2mdRjmX

その他に気になったことはこのあたり。

@HiromitsuTakagi こんにちは。記事で取り上げていただいたDNSフィルタリングは、サイバー攻撃に使われるbotnetのC&Cとの通信を阻害することが目的です。Coinhiveはそのような用途に使われていなかったと理解していますが、その場合このDNSフィルタリングの対象にはならないと考えています。

@HiromitsuTakagi また、ご案内文・プレゼンでも触れていますが、IIJmioでの本件DNSフィルタリング開始は7月1日を予定しており、現時点では本件にまつわるDNSフィルタリングは稼働しておりません。
techlog.iij.ad.jp/archives/2562

twitter.com/IIJ_doumae/sta…
とのことですが、Coinhiveをマルウェアだとみなしている人たち(ウイルス対策ベンダー)からすれば、coinhive. comは感染端末を遠隔操作するC&Cサーバと同然のものとして登録していますが、IIJがそのようにみなしていないということはどこで確認できるのでしょうか?

twitter.com/IIJ_doumae/sta…
ご紹介いただいたスライド「DNSフィルタリングをなぜ行うのか」を拝見しましたが、必要性と妥当性の説明がなされているだけで、何を検閲遮断するのかの基準についての説明が一切見当たりませんが、どこかにあるのでしょうか?

あーぁ、SHA-1のChosen-Prefix衝突攻撃がおよそ1000万円以下程度のコストで可能になったとの論文。これでSHA-1証明書は完全に終わりです。 / “Cryptology ePrint Archive: Report 2019/459 – From Collisions to Chosen-Prefix Collisions – Application to Full SHA-1” htn.to/2UbpAU4hd2

中国のCLICK詐欺会社。多数のスマホを制御、各端末に設定されたWeChatアカを通じて、偽CLICK、コメント、APP RATINGなど実施。ここ以外に10,000機の端末をコントロールする工場を所有。以前、人力詐欺CLICKが横行してたけど、これなら動画の数100万詐欺視聴も短期で可能や。
pic.twitter.com/bPRlqIdEfl

数年前、バングラディシュで三交代制で労働者が入れ代り、人力で偽CLICKする会社を潜入調査するChannel4の番組があったんだけど、驚いたのは1人1000アカウント扱ってること、そして調査時にコーラの動画再生CLICK作業をしていたことだった(コーラは否定。恐らく代理店の仕業)。campaign-otaku.hatenadiary.com/entry/20130807…

“There is no pre-auth RCE in Jenkins since May 2017, but this is the one!”
Relase a more reliable and elegant exploit – “awesome-jenkins-rce-2019” from my #HITB2019AMS talk. Thanks @0ang3el and @webpentest join this party! github.com/orangetw/aweso… pic.twitter.com/sW0S7bctGT

【注意喚起】三菱UFJニコスカードを騙るフィッシングメールが観測されています。メールに書かれているリンクをクリックしたり、フィッシングサイトで情報を入力したりしてしまわないようご注意ください。 #フィッシング #MUFJ pic.twitter.com/f1cId06hUj

#サイバーセキュリティ の専門家たちは長年に渡り、強力な #パスワード の使用を訴えていますが、そのアドバイスが完全に浸透しているとは言い難い状況です。では逆に、どのようなパスワードがセキュリティ上「最悪なパスワード」と言えるのか考えてみましょう。(本文英語)
blog.f-secure.com/how-to-pick-th… pic.twitter.com/Jzqs4JyFBg

【 通信事業者を装った #偽装SMS による #フィッシング詐欺 に注意 】
携帯通信事業者を装った偽の商品券プレゼントキャンペーンがSMSで拡散中です。詐欺サイト上でIDやパスワード、さらに二段階認証用のセキュリティコードも求められます。SMS上のリンクを安易にクリックしないよう注意して下さい。 pic.twitter.com/LMdb8TSNIe

警察庁、ネット上のテロ情報自動収集 過激派書き込みなど bit.ly/2Ju2C7I

「史上最悪のデータ侵害事件」の容疑者として中国人ハッカーが起訴される
gigaz.in/2vQhF3u

ランサムウェア「RobbinHood」により市役所のサーバーの大部分がダウン
gigaz.in/2WwFmK0

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>