Security Casual Talks (すみだセキュリティ勉強会その２)に参加してきました

2013年12月07日 18時09分

羽の生えた親子亀。地名が亀戸だけありますな。

前回はすみだセキュリティ勉強会だったのですが今回からはSecurity Casual Talksになったそうです。
個人的にはすみだセキュリティ勉強会の方が下町っぽくて好きですがまぁ気にしない。

この勉強会は開催時間が 10:00 〜 12:00 なのでだらだらしがちな週末をシャキッと朝から活動的にしてくれます。健康的で良いですね。Jリーグ最終節の日でも安心して参加出来ました。

発表内容もユニークで個人的に一押しな勉強会です。

それではローカルにあるmemo.txtを元に記憶を掘り返す作業をしていきます。

さくらのVPSに来る悪い人を観察するその2 (@ozuma5119)

主催者@ozuma5119さんの発表。

SSHのハニーポット kippo を仕掛けてログインしてくるbotやハッカー達はどのようなことをしてくるのか観察しようという実験的な内容。

狙われるアカウント Top5

65%以上がroot。rootのsshログインを禁止しておくのは必須ですね。

パスワードTop5は1位(123456)のでも1%以下でとにかく網羅的に攻撃があるらしい。

その中でもキーボード配列で左上から下に入力した1qaz2wsxとかがTop5に入っていたのでそういうパスワードは避けましょう。

侵入者に特に大人気なコマンドはwコマンド。
ログイン中のアカウントを確認するコマンドです。

そこでwコマンドに手を加えてアンケートを表示するように改造して侵入者にアンケートを実施するという暴挙。
一人応えてくれた人がいたとかどうとかｗ

侵入者のコマンドをリプレイで鑑賞会はとっても楽しかったです。

後は/cgi-bin/phpに対する魔法少女アパッチマギカ攻撃について。

前回、個人的に今年一番の名言「人類にはGUIは早すぎた」という名言が飛び出した@inaz2さんのHTTP Proxy発表会（？）です。

勉強会ではヘッダやレスポンスを変更してみたり画像収集してみたり特定アドレスのリクエストを排除してみたりととにかく楽しい。

@inaz2さんの発表はスライドだけでは勿体ない。前回も今回もライブ感が凄くトークも楽しいので生で見て欲しい。

今回も「(Proxyで)良い世界になる」「(Proxyで)快適な社会を実現する」等名言がバシバシと飛んでました。

@falz_yinengさんのSSLに関するお話。

SSL導入のとき、2.2.xシリーズのデフォルト設定だと甘くて第三者セキュリティチェックに通らない。安全度の高い設定をしましょう。

opensslでは暗号化強度の弱い方式は使用しない。

確認コマンド。

1	openssl ciphers -v

暗号化強度の弱い方式は使用しない。以下の方式は除外する。

暗号化方式をapache側で指定する
SSLHonorCipherOrder On

ビースト攻撃対策、クライムウェア対策などについて解説。

クライムウェアに対してはapacheの設定の以下の設定を確認

2.2.24以上から
SSLCompression off

設定を変更したらテストサイトで確認する。

チェックする時に「Do not show the results on the boards」にチェックを付けないとホームページ上で晒される可能性があるので忘れないようにチェックを付ける。

後、重要なのは実際のブラウザでもテストすること。
セキュリティ設定を厳しくして実際のブラウザで見えないなんてこともあり得るのでちゃんと確認する。これ重要！

今回もとても楽しい勉強会でした。
次回は２月予定らしいので近所の方は是非参加しましょう！