matsutakegohan1's blog

matsutakegohan1(きゅーぞう)による、釣り、狩猟、技術?、セキュリティ?、その他の話

セキュリティ

idcon #10

投稿日:

例によっていつものメモをそのまま公開
メモが少ないところは仕事してました。

—–

toru maesaka

  • google account toolkitのはなし、途中からだったので詳細不明
    • googleが使っているインフラと同じ物を提供
      • Amazonのすべてをプラットフォーム化せよみたいだね。

tatsuya katuhara

  • openid connect tech summit
    • OAuth2ベース
      • 認証結果、コンテキスト情報、属性情報の標準化APIを規定する
    • 重視するReferenceにjson web tokenがある。
    • 3つの仕様のサイズminimal、dynamic、complete
  • account chooser
    • 前坂とかぶったので、省略
  • street identity
    • 住所のようなオフライン属性とオンラインのアイデンティティを結びつける
    • たとえば海外で受けた診療記録を安全に取得する方法。
      • 申請、申請された人は別経路でPINを発送し、PINを受け取った人間はそれの入力で診療情報を取得できる。
      • その人がその人である証明としての住所
    • 将来のstreet identity
      • 間にidentity providerとattribute providerを挟む。
      • 郵送費の削減ができそう。
      • 住所よりも安全性は高そう
  • まとめ
    • パスワード認証からの脱却 SP800-64 Loa2
    • キャリアによる対タンパ性のある認証
    • OAuthベースのuser managed access
      • 現在は認可する場所と情報が同じ所にある、しかしこれは分離するべきではないか。
    • 信頼できるframework
  • 感想
    • 全員が自己紹介
    • インタラクティブな会議、ツッコミは自由に入る。
    • お国柄か結構適当なので標準化しんどい
    • googleがbusinessスキーマについて積極的に語っていたのが印象的、普段喋らないので。

nov

  • OAuth2.0とOpenID connectの話。イベントから面白いものをピックアップ
    • 認証者と資源を持つものは別
  • OAuth web autentication
  • open transact
    • 課金系の仕様のご提案
  • OAuthはまだまだ仕様追加されるよ

ひろみつさん

  • 契約者IDの問題、ガラケー、スマフォ(IMEI、IMSI,UIDI,Android_ID)
    • かんたんログインの問題、名寄によるプライバシーの問題(程度問題)、行動ターゲッティング広告の話。
  • 日本でも個体識別番号系で反発の空気が出てきた。ドコモのスマフォなど
  • webからアプリへ
    • アプリでモジュール組み込みが流行
    • google analyticsのアプリ用モジュールなど。
    • webでいうscript srcと同じ。
    • SDKとして配布される情報収集モジュール
  • adネットワーク
    • オーディエンスターゲッティングw
    • アプリの広告の3rd party cookieはUDIDやIMEIを使うケースがある。
      • AppleがUDIDを段階的に廃止へ
  • 楽天ad4u方式からミログ方式へ。
    • ミログ方式とは、sdkを利用した様々なアプリに仕込まれたロガーがlogサーバーに送る。
      • Android全体の信頼に関わる問題
      • Android_idは個人情報ではないので問題ないと主張していた。
  • openfeint
    • UDIDからOFUIDへの切り替え。OAuthを利用する予定。
  • OpenUDIDを唱える一派が存在する。
    • UIPastebordを利用してアプリ間でUUIDを共有する。
    • UDIDに比べたらマシという主張。確かに限定的ではあるが、サービスがあたってしまうと結局同じ問題がある。
  • リワード
    • 宣伝したアプリがダウンロードされたらポイント還元するような仕組み
      • 起動確認を取るための仕組みが必要
    • すまーと収支 というアプリがあった。
      • パーミッションが異常に広い、家計簿アプリなのに写真のパーミッションまで求める。
      • Gree RewardやApp AnalyzerというSDKが組み込まれていた。
        • その後不要なパーミッションは取り除かれ、広告モジュールは削除された
  • これらをお客様に無断でやってよかったのか?
    • webはまだブラウザによって守られていた。
    • アプリは組み込みなので守れない。通知の義務がある。
    • google Analyticsを使う場合は利用者のプラポリに書かないと使ってはいけないとgoogleは定義している。
  • データエクスチェンジ
    • アドネットワーク間で広告を融通しあう文化があったが、オーディエンスデータを融通しあうことがアメリカで始まった。
      • 匿名のIDで管理しているから安全だというのが彼らの主張
        • IDを売買するというわけではない?
    • 誰もが簡単にアクセスできるグローバルにユニークな識別子を安易にターゲティングに使うことが非常に危険
  • ID連携ならいいのか?
    • 通信キャリアがIDプロバイダを使ったらどうなるか?
      • 結局UDIDと同じではないか?
      • 利用者が利用アクションを取ってるのでOKという理屈は通るのか?
      • 携帯屋でスマホのgoogleアカウント設定代行をしているが、どうか。
    • 有効な同意とは何か?
  • googleは広告のある部分を押すと、なぜこの広告が出たのかというのを説明する画面が出て、それを編集することで不快な広告を消すことができるような仕組みを作ると発表した。
  • どんな広告だったら安全なんだろうか?
    • 広告SDKが何をやっているのか開示することが第一。
    • 次にそれを比べる時代が来る、そうならない場合業界団体を作って基準を作らねばならない。これは海外と連携せねばならない。
      • ちなみにミログはある意味いい会社で、何をするか公表していた。Gree rewardとかは公表されてない。

高間さん

  • 今時のサイバースパイ活動とアイデンティティ
  • 何が起きたか?
    • サイバースパイ活動、APT。OPERATIONAurora、三菱重工、衆議院
    • インフラ攻撃。stuxnet degu
    • DDos、情報流出、攻撃拡大。ソニー
    • 思想的。wikieaks
    • 思想的。anonymous
    • 革命的な事件。中東、北アフリカ
    • indira gandhi空港。外部からの攻撃で電源が全て落ちた。
  • engineering
    • 多機能ボットネット、malware,biosルートキット、遠隔操作malware、keylogger、stuxnet、ボットネットレンタル、LOIC。
    • 新しいタイプの攻撃の対策に向けた設計、運用ガイド
      • 入ってくるのは防げないので出口対策しましょう。
    • 近年対策しにくい心理的な攻撃が流行っている。
  • APT
    • 侵入→監視→なりすまし→情報窃盗
  • まとめ
    • 現状
      • 境界型セキュリティの終焉
      • チェックリストセキュリティポリシーの終焉
      • 出口対策は100%防ぐのは不可能
      • PKIの信頼性は微妙に、ニセのCAが出る時代に
      • 今までのセキュリティモデル=時間を買うこと
        • 対応が来るまで持ちこたえるのが前提
    • これから?
      • Socialな何か?対象や動機をそらす。
      • アイデンティティの防御
      • 予防、発見、対応
        • 攻撃方法の学習、監査の実施、技術と事件の共有

shigechika.aikawa

  • フェデレーションと私
  • NU-SSO
    • 2007年4月 学生に対してgoogle appsを利用
    • 規模感、学生10万人、教職員1万人
    • salesforce chatter クローズドSNS
  • 学生はメールアカウントを用意しても使わない。
    • 多分自分のアドレスをすでに持ってるからじゃないかな
  • スマホの割合は3%、その内訳はiosとAndroidが拮抗している。
  • フェデレーションあるある
    • ログイン出来ない
      • idpの時計が狂ってた
    • ログイン直後にファイルダウンロードして終了
      • idpメタファイルが検索エンジンにヒット
        • robot.txtをおいた。
    • ガラケーだとログインできない
      • SSL証明書がガラケー未対応、安い証明書は危険
  • google+とchatterで被っちゃったー! 
  • 卒業したらアカウントはどうなりますか?
    • 卒業生用のものに移行します。

「OpenID Summit TokyoとOAuthによる国民ID基盤の話」 @_nat さん & @shingoym さん

  • EUでは70billionのIDが盗まれてる?
  • サイバースペースも防衛戦を作って守らねばならない戦場です。
    • これに対して複数国の枠組みが出ていますが、日本は参加してません。
  • OpenID summitがアキバであります。元paypalCTOなど豪華メンバーです
  • OAuth2.0とOpenID connectに関する情報連携基盤
    • 国民ID、機関ごとにsaltを変更することで名寄せなどから守る。
      • 5000億かかる
      • 結構批判的な声が有名人からも上がる
  • openid connectでできないか?

 

-セキュリティ

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

AVTOKYO 2010

はせがわようすけ IEへの腐ったミルク攻撃 難解セキュリティ jjencodeで難読化されたコードが実際の攻撃に利用された IE6 MUST DIE IE7,8もひどいです IE9に向けて 放置された …

no image

AVTokyo 2011 The Story behind The Story of Cyber Crime by daiki.fukumori

相変わらずのメモのだだばり。 —— チュニジアのハッカー文字、ギャル文字みたいなもの haAAAQ3d -> hacked r5t -> random string …

サービスごとに異なる安全なパスワードの作り方(修正)

不正ログインが流行っています。 私達ユーザーにできることは、パスワードをサービスごとに異なるものを使うようにすることぐらいです。 「サービスの数だけパスワードなんて覚えられないよ!」 そのとおりだと思 …

no image

ブラックハットジャパンその後2011

恒例のメモをそのままアップ   ブラックハットジャパンその後2011 まっちゃ After A.D.200X 最近のセキュリティ勉強会では不正アクセス禁止法を知らないんじゃないかというネタ …

no image

OWASP Japan 1st meeting

http://atnd.org/events/26267   Introduction 可視化することでセキュリティのリスクを議論することができます。 OWASPのプロジェクトは140程度 …

第一精工の高速リサイクラーはすべての釣り人の必需品だと思っています。糸の巻き替え、巻き直しにこれが在るのと無いのでは天地の差があります!

シマノの防水クッションは、すべての時期で船釣りのオトモ。一番小さいサイズで大抵大丈夫です。冷えから守ってくれたり、エンジンの振動から守ってくれたり、寝るときに枕になります。

%d人のブロガーが「いいね」をつけました。