matsutakegohan1's blog

matsutakegohan1(きゅーぞう)による、釣り、狩猟、技術?、セキュリティ?、その他の話

セキュリティ

AVTOKYO 2010

投稿日:

はせがわようすけ

  • IEへの腐ったミルク攻撃
  • 難解セキュリティ
  • jjencodeで難読化されたコードが実際の攻撃に利用された
  • IE6 MUST DIE
    • IE7,8もひどいです
  • IE9に向けて
    • 放置されたままの問題点
  • MLangを使って外部からの文字列をunicodeに変換して処理してる
    • 壊れたバイト列を渡したときおそれなりにunicodeにしてくれる。
    • <>とかと生成することができる
    • (0xNN)とかを入れると行ける、NNは伏せる
    • サーバー側では防止できない。
    • バイト列が正しいかどうかを検証せねばならない。
    • IE8で治った。
  • JSON utf-7
    • jsonは攻撃者が攻撃のコントロールが出来る
    • utf-7で扱うときに変換されてjsonが一度終わってしまう事ができる。
    • 罠ページを被害者に送る必要がある
    • charsetを設定することでその後のJSが動くように設定できる
    • jsonでcharsetを設定していても攻撃者が用意しているcharsetを優先する
    • IE8以降で治ってる。
    • +をエスケープするとサーバー側で対策できる。
  • bypass content-disposition
    • attachment
    • ダウンロード指定のバイパス
    • 罠ページで指定の攻撃コードを用意して、iframeで攻撃ページを開く
    • サーバー側で対策する方法はない
    • IE8でも治ってない
  • JS back-quote issue
    • IEはバッククートを'や”のように扱う
    • innerHTMLを使ったときにスペースが無いと引用符は削除されて出てくる
    • 二つを組み合わせる、バッククオートでセッションをとじることを意図しつつ、innerHTMLで攻撃コードを書き込む。
    • IE8でも治ってない、というか直さない。
    • 後方互換性のためにこの動作を残す?
    • innerHTMLを使ってはいけない?
  • XSS with mhtml handler
    • かつてIEはすべてのコンテンツをMHTMLとして扱っていた。
    • いまでもIEで上記を開くとIEの中でアウトルックエクスプレスが開く
    • base64で攻撃コードを用意する。それをアウトルックが解釈する
    • 2007に修正した
    • が、でぐれった
    • URLに!を用意してもう一つURLを定義すると攻撃ができる。
    • IE8はXPだけかも、それ以前は全滅
    • 対策の方法はない
  • how is IE9
    • 全部治ってた!
  • まとめ
    • IE6,7,8はいっぱい脆弱性がある
    • IE9になると治る!
    • というか治すべき人が全員IE9にアサインされてる?
    • 製品としてリリースされると治らないのでベータのうちに報告しよう!
    • IEはお金にならない、FFなどはお金になる。FFは500ドルもらえる
      • MAX 3000ドル
    • html5チートシートがあるよ
    • Operaはバグが治らない
      • javascript:alert((0.1).toString(2))

takesako

  • x86 no alnum programing
  • brainfuck
  • 難読化と変わらない
  • 9090909090などを引っ掛ける
  • cd80
  • null文字を使わないで攻撃したい
  • NOPを使わないで攻撃したい
  • asciiだけでプログラムを書きたい。
  • レジスタをゼロに初期化してひたすらINC
  • ADDは使えない。
  • 目的の数値になるまで何回も引き算する。
  • @と!でNULLができる。
  • 記号だけでプログラムを描くこともできる
  • 記号は32文字もあるので多すぎる!10文字でできる。
  • 何文字まで減らせるのか?今のところ10文字
  • と思ったら7文字で行けた。
  • x86は7文字だけでチューリング完全です
  • perlは16文字 JSは6文字でチューリング完全

2010年ダメダメセキュリティ

  • security4all
  • シーメンスのデフォルトパスワード STUXNET
  • パスワードがシステムにハードコードされているため、パスワードの変更をシーメンスは推奨しなかった
  • もし顧客が懸念を示すならパッチをすぐにつくるけど我々はそんな顧客を知らない
  • mixiでは誕生日からパスワードを推測された。
  • どう対策するのか?
    • セキュアデザイン
    • ユーザー教育
    • より良いテスト
    • ディスカッション
    • 過去に学ぶ

code injection for wii

  • ほとんどの組み込みデバイスは保護装置を持っているが効果はない
    • R4,Jailbreak
  • PCと同様に海賊版が人々の間で共有されている
  • 公開されたリモートエクスプロイトを利用してwiiを支配する
  • ニンテンドーDSからリモートデスクトップでPCにログインできる
  • wiiはPSPに続き二番目に多く違法に共有されている。
  • 実行可能ファイルは拡張子が.dol。基本的にはELFファイル
  • wii codeにマルウェアを混ぜて配布する

wakatono

  • drive by download
  • 被害にあってるサイトを定点観測する
  • 攻撃コードを置いていたドメイン 
    • 最初はインドとロシアが多い
    • やがて.ccばかりになっていく
    • 3ヶ月で34ドメイン
    • 一日に二回切り替わることもあれば一週間ぐらい同じこともある
      • パターンは見え隠れする
  • 管理者は気がついてない
  • サイトはずっと感染しているように見えるわけではない。
    • 一度アクセスして二度目アクセスすると、二度目は攻撃コードが消えている
  • 攻撃パターンの多様化
    • 一度アクセスしたIPからはアクセス不可、しかし途中から許可する用に変化
  • co.cc
  • スクリプトは難読化されている、難読化されてないものもある、中途半端なものもある
    • 攻撃者も変化している?
  • exeを逆アセンブルするとパターンが見える。sub,pushの連続など
  • wgetなどでは検体が取れなくなってきた

 

-セキュリティ

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

idcon #10

例によっていつものメモをそのまま公開メモが少ないところは仕事してました。 —– toru maesaka google account toolkitのはなし、途中からだったの …

ブルース・シュナイアーさんの安全なパスワード文字列の作り方

前回は、サービスごとにユニークなパスワードを作る方法を提案しました。 今日一緒にランチを食べていた、元同僚からこんなことを教わりました。 「似たことを、ブルース・シュナイアーが言ってたよ」 ブルース・ …

no image

AVTokyo 2011 The Story behind The Story of Cyber Crime by daiki.fukumori

相変わらずのメモのだだばり。 —— チュニジアのハッカー文字、ギャル文字みたいなもの haAAAQ3d -> hacked r5t -> random string …

サービスごとに異なる安全なパスワードの作り方(修正)

不正ログインが流行っています。 私達ユーザーにできることは、パスワードをサービスごとに異なるものを使うようにすることぐらいです。 「サービスの数だけパスワードなんて覚えられないよ!」 そのとおりだと思 …

no image

ブラックハットジャパンその後2011

恒例のメモをそのままアップ   ブラックハットジャパンその後2011 まっちゃ After A.D.200X 最近のセキュリティ勉強会では不正アクセス禁止法を知らないんじゃないかというネタ …

第一精工の高速リサイクラーはすべての釣り人の必需品だと思っています。糸の巻き替え、巻き直しにこれが在るのと無いのでは天地の差があります!

シマノの防水クッションは、すべての時期で船釣りのオトモ。一番小さいサイズで大抵大丈夫です。冷えから守ってくれたり、エンジンの振動から守ってくれたり、寝るときに枕になります。

%d人のブロガーが「いいね」をつけました。