debiancdn

AWS, Content Delivery Network and Debian

カテゴリーアーカイブ: security

クラウド女子会って実は超勉強する勉強会

本日は、トレンドマイクロさんで、クラウド女子会(セキュリティしばり)で講師をした。

AWSのセキュリティ勉強会は実際のお客様のとこに行くとやたらと聞かれるのだが、勉強会をpublicにすると不発になりがちなネタ(自分の秘密は他に聞かれたくないから?)なのにもかかわらず、果敢に女子会は挑み、大勝利をした印象。

自分のプレゼンは↓にはっとく。

広告

新しいタイプの攻撃

http://www.ipa.go.jp/security/vuln/documents/newattack.pdf 『新しいタイプの攻撃』の対策に向けた設計・運用ガイド (全46ページ、1.9MB) らしい。

近年、メールや USB メモリ等の外部メディアを介した攻撃によって、組織の知財情報や個人情報を窃取されるという事件が起きています。窃取された情報(製品の設計情報など)は組織にとって非常に重要
な情報であり、一般的には外部からたどり着けないと思われる場所に保存されています。しかし、このよ
うな最近の攻撃では、たどり着けないと思われていた内部システムから重要な情報を窃取されてしまっています。
これらの攻撃は、組織がセキュリティ対策に無考慮であるために発生しているわけではなく、非常に巧
妙で、一定のセキュリティ対策を行った組織であっても被害を受けていることが確認されています。このような攻撃は、海外では APT(Advanced Persistent Threats)などと呼ばれることもあります。IPA ではこの攻撃を「新しいタイプの攻撃」と呼んでいます。

なんというかaptの名を汚すな! というのは冗談であるが。

Mac用のESET NOD32について

Windowsでfootprintが小さくて,いいかんじに高速なAnti-VirusといえばESETなのである.


まあこんな記事に出ている大江先生からジキジキにおすすめを受けたこともあるのであった.

実はMacosxにおけるアンチウィルスは自分として決定版的なものがなくて,Symantecをいれたり,ClamAVですませたりいろいろやっていた.そんなとこでhttp://beta.eset.com/で,ESETがMacosx用のを試しているではないか..ということで試してみた.

一見いいかんじ..なのだが,,全スキャンをかけて一晩おいておいたらメモリ1.3Gとかいってしかも動作が止まっていた.

結果を言えば,これじゃ使えないよなあ..と思ってアンインストールする.すると,ものすごくスッキリとアンインストールできる! これはびっくりだ.黄色いAVベンダとは全く違う.

というわけで俺と同じように悩んでいる人はESET試してみるといいと思うよ! すっきり消せるし.

そして,決定版を知っている人はぜひ教えてください.

GPG鍵を4096bitにしました

こんどrubyKaigiでキーサインパーティーをやるというのを聞いたので,いい機会だと思って,GPG鍵をあたらしくすることにした.
Ana’s blog » Blog Archive » Creating a new GPG keyに詳しい方法は書いてある.
興味のある方は,02754958 で鍵サーバからとってきてください.

それにしても,これまでつかってきた1024bitキーを越える署名がつくことがあるんだろうか.

あわせて武藤さめにdebian名刺のupdateも依頼した.ありがたし.

住基ネットカードをつくって証明書もいれてくる

今年中に引越しをするつもりなので,きっと今回のe-Taxにしか使わないと思うが住基ネットカードを作って,証明書もいれてきた.

気がついたことが.

  • 証明書のパスフレーズが8文字以上16文字まで,と説明された.
  • 証明書生成中にエントロピーをいじる外乱入力がなかった.いれるべきでは?

ともかく土曜に開庁してて作れたのは幸いだった.

e-Taxにするかどうか悩む.

さすがに昨年の収支がはっきりしてきたので,税申告のことも考えねばなるまい,と思って調べはじめる.

システム利用のための環境等というpageを見るとWindowsにしか対応してない.まあそれはありがちなのだが..

MacOSの場合についてはって案内をみると,クリックの先はhttpsで

ルート証明書のダウンロード

上記のボタンをクリックすると、デスクトップ上に「KeyImport」フォルダが作成されます。

ルート証明書のインストーラのダウンロードに当たっては、情報保護の面から、SSL(Secure Sockets Layer)技術による暗号化等の必要な措置を講じています。


などとあって,mac側には配慮が見られる.一方で

Microsoft Windows Vista及びMicrosoft Internet Explorer 7をご利用の方は、事前に以下の事項をご確認の上、e-Taxをご利用ください。

*  Microsoft Windows Vista及びMicrosoft Internet Explorer 7への対応について

というのを見ていると,その対応方法へのリンク

Microsoft Windows Vistaではセキュリティ機能が強化されていることから、e-Tax関係のURLを信頼済みサイトに登録しないと正しく動作しない場合があります。(信頼済みサイトに登録していないと起こる事象について
 以下の手順等を確認の上、信頼済みサイトへの登録をお願いいたします。

信頼済みサイト登録ツールインストーラのダウンロード

こいつはhttpで配ってるexeです.
ということでさすがにひどいんじゃないかと思うわけです.

今日は大学でmeeting2本

ひとつはいつものGMでちょっとばかりDebian OpenSSH事件の話をする.
B4にubuntu使いもいたようなのが収穫か.そしてやはり他OSに波及する件は知られていなかった.

もうひとつは正直まとまりないがインターネットアーキテクチャ話といいつついろんな話.23時ちょい前に池ノ上を出る電車で帰る.

debianのSHA-256に移行について考えてみる.

結論:用意はできている.しかしまだ広く守る段階にはない.そしてあと2年で対応しなければならない.

ふとこんな記事をみたのでした.

神田氏によれば、「2004年以降、ハッシュ関数が相次いで破られたため」に、米国政府は次世代暗号への移行を決意したという。まず、2004年8 月、中国の研究者グループにより「MD5」などが破られた。それを受けてNISTでは、SHA-1も破られることを予想してか、SHA-1の運用は 2010年までに中止し、SHA-2に移行する計画であることを同月に表明した。

 そして予想通り、2005年2月にSHA-1も事実上破られ、同月、NISTは移行計画の実行を宣言。ハッシュ関数だけではなく、共通鍵暗号や公開鍵暗号も含めた大規模な世代交代を予告した。これによって生じるのが「2010年問題」である。

まあus政府になんか使われなくたって構いやしないよ,という声もあるかもしれないが,いちおうdebのばあいはMD5, SHA1(160),SHA256のhash値と共に配布している.
他はどうだろう.gnupgはSHA256,384,512も使える(1.4以降でつかえる)のだが,DebianのMLに流れる署名が全てSHA256以降というわけではない.
というかSHA1は見るけどそれ以降がついたのは見たためしがない.(このあたりの規約はあったかわからない..)
GnuPG のデジタル署名で RSA と SHA-256, SHA-384, SHA-512 を使う方法というpageでDSA鍵の限界とかいろいろ説明してある.

もっと詳しく知っている人がいたらぜひ教えてほしい.

B-6-42 検疫ネットワークにおけるパッチ分散ダウンロードの研究 早稲田大学GITS 林 urano lab

今回の研究対象はDHCP型の検疫ネットワーク。同時に1000台のMS updateするとどうなるのか。治療中は端末に接続できず、仕事できない。物理的には同じネットワークなので正常PCの業務妨害になる。そこで物理的にも切り離してパッチ配布サーバにハブまるごとつながせる方法を考える

安いハブでもできる。

Q:うごいているのか?サーバの条件は?

A:MS updateは動く。配布されるものが配布元認証などしていると動かない。

Q:どんなパッチ配布サーバで動く?

A:どんな場合でも動くとは限らない。

携帯電話の公式サイトが安全そうだ、という認識は業界あげて洗脳に成功しているなーと

いわゆる公式サイトであれば電話会社から専用回線で通信しているので(全部がそうかは知らないが)、SSLによる暗号化があまり必要でないというのが、かつての考え方だったのかもしれない。という、ひろみつ先生のメモをみて思った。
実際にかかわっていた自分は常識だとおもっていたのだが、
実際には、ごく一部の公式サイト(銀行とか)くらいしか専用線でキャリアにはつながっていない。
まあキャリアのゲートウェイはどこどこのIPブロックです、という情報は常にやってくるのでそれ以外のIP接続はぶったぎる、とかは十分できるわけだが。

それはさておき、ひろみつ先生ですらこういう認識なので、
世間では「公式サイトは電話会社から専用回線で通信しているので安心」
という認識はかなり広く認識されていそうだ。
しかしSSLもimodeはじめはなかったし、SSLつんだ最初のモデルはSSLネゴがひたすらおそかったなーなどと昔をおもいだしてしまった。って、たいして昔でもないんだよなあ。