2019年8月19日のtwitterセキュリティクラスタ

WASNightでした

最初は OWASP パートから。後半は Hardening Session。会場の都合で健全な終了予定が設定されている模様。
#owaspjapan #wasnight

保険で移転できるリスクは?といったお話。会社がセキュアな状態であることを保険会社はどう測るのか?
#owaspjapan

Blackhat アーセナルのプレゼンテーション内容をWAS Night にて。
Kerberos と SMB を悪用する攻撃のリアルタイム検知。
#owaspjapan

発表したツールは AD への攻撃を検知するツール。
開発のモチベーションは効率的に侵害範囲を広げられることができるADを狙う攻撃をJPCERTで多数確認してきたから。
#owaspjapan

攻撃者が用意した TGT をいかに検知するか。
ログには正規のドメイン管理者したアクセスが残るため、ログだけでは検知が困難。検知にはドメインコントローラのイベントログに加えてパケットデータを利用する。加えて検知した攻撃はATT&CKを活用して攻撃区分をまとめる機能をつけた。
#owaspjapan

パケットデータを活用した検知(1):
パケットデータに含まれるKerberous Ciperに注目。正規のステップではTGTの取得>STの取得>チケットを使ってサービスにアクセスといった流れ。全てドメインコントローラからTGT/STは発行される。
#owaspjapan

パケットデータを活用した検知(2):
攻撃者はオフラインでTGT/STを作る。ドメインコントローラから発行されていない各種チケットを検知し、攻撃を識別する。具体的にはDC から発行されたCipherをElastic Searchに格納しLogstashで検知プログラムを動作。リアルタイムマッチング。
#owaspjapan

デモ:攻撃者がローカルで作成したTGT/STを使ってドメインコントローラやサービスサーバにアクセスした事象をツールで検知する。
#owaspjapan

海外のデモで苦労した所:
– インターネットへの接続(たまたま手元にあったNICで対処)
– 時差(ローカルタイムに依存するコードは書かない)
– 画面への投影(絶対に映る HDMI ケーブルを求む)
– 持ち込み備品(忘れる)
#owaspjapan

OWASP Night は喋りに来るコミュニティ。共有できる情報がある人はぜひ。今回は共有できる情報を提供してくれた人が多かったとのこと。
#owaspjapan

セキュアコーディングガイドを作ろうとした背景:
サービスの主要部分はおおむね PHP と Laravel で実装されている。脆弱性診断だけでは限界を感じ、診断では指摘ゼロが当たり前を開発者の方に意識付けたいと考えた。プロダクトセキュリティチームを2018/12を立ち上げ、2019/07から運用。
#owaspjapan

自社最適したセキュリティコーディングガイド:
Laravel を始めとした自社で使っているフレームワークにフィットしたフレームワークを作りたいと考えた。表形式・重要度順に・過多ではないガイドを作りたいと考え、Top10を使った。
#owaspjapan

コーディングルールの運用:
全社の開発標準に組み込む。ルールは30程。開発者からの質問は専用のslack channel にて受け付け、勉強会も適宜開催。
#owaspjapan

最近のアプリケーションセキュリティの話(岡田さん)
-Black hat 唯一のWebネタはSSRFだった。
-REST Security cheat sheat
cheatsheetseries.owasp.org/cheatsheets/RE…
-API Security Checklist
github.com/shieldfy/API-S…
#owaspjapan

Global APPSec
DC(2019/09/09 – 13)
Amsterdam(2019/09/23 – 27)
#owaspjapan

OWASP Nagoya Chapter Meeting #13 OWASP Nagoya Day 2019
2019/09/14(土曜)に開催予定。
owaspnagoya.connpass.com/event/138814/

ワンチャン行こうかなー
#owaspjapan

OWASP セッションはここまで。続いて Hardening Session です。
#owaspjapan #wasnight

その他に気になったことはこのあたり。

久しぶりにコラム書きました。
第577号コラム:「なぜ映画ルパン三世カリオストロの城の冒頭シーンでM国国営カジノの大金庫に大量のゴート札が保管されていたのか?」 | コラム | デジタル・フォレンジック研究会 digitalforensic.jp/2019/08/19/col…

デジタル・フォレンジック研究会の第577号コラム、松本氏。なにげにサラっと冒頭にすごいことが書いてある
> 実は私は、この映画(ルパン三世カリオストロの城)を地上波、ストリーミング、パッケージあわせて200回は観た大ファンです。
digitalforensic.jp/2019/08/19/col…

セキュリティ・キャンプ全国大会2019で強い人に囲まれてきた|progfay @progfay|note(ノート) note.mu/progfay/n/n279…
#seccamp

はてなブログに投稿しました #はてなブログ #seccamp
セキュリティ・キャンプ全国大会2019に参加しました – molecular coordinates
coordination.hatenablog.com/entry/2019/08/…

ハッカーはヘッドホンをサイバー兵器に変えることができる 専門家の意見 – Sputnik 日本 jp.sputniknews.com/science/201908…
“Wi-fiとBluetoothをスキャンし、それに接続されているセキュリティが脆弱なデバイスを発見する自作ソフトを使用。ガジェットにアクセスしてから、聴覚障害や空間誤認識を引き起こす…”

it.srad.jp/story/19/08/19… #技術 #tech Amazonの顔認識技術、カリフォルニア州議員26人の顔を犯罪者と誤判定

金融サービスが不正ログインの主な標的に Akamaiがセキュリティレポートを発表
atmarkit.co.jp/ait/articles/1… pic.twitter.com/Ik7H07hTcL

「Firefox」v68.0.2が公開 ~5件の不具合と1件の脆弱性が修正/保存されたパスワードがマスターパスワードの入力なしにコピーできてしまう欠陥に対策 forest.watch.impress.co.jp/docs/news/1201… pic.twitter.com/eWPNb7tLQS

[ITmedia NEWS]不正ログインが起きた「コーナンPay」、サービス再開 残高などの不正利用はなし、SMS使った二段階認証に対応 bit.ly/2YXRrgo

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>