読者です 読者をやめる 読者になる 読者になる

放課後に居残って夜

調べたこと、気になったことなどをアーカイブする場所にしたい。 This is a place to throw a quick learn, study, and research of my random interests.

Diffie-Hellman

symmetricの方法では、スケーラビリティや鍵の交換(鍵をセキュアに交換しなければならない)などのdrawbackが存在する。その鍵の交換にアドレスしたのがDiffie-Hellman algorighm.  

メッセージをやりとりするAとB。それぞれ自身のPublic KeyとPrivate Keyを持っている。

まず、Public Keyを交換する。

次にAは、受け取ったBのPublic Keyと自分のPrivate Key (A)から、Diffie-Hellman algorithmを通してSymmetric Keyを生成。

そしてBは、受け取ったAのPublic Keyと自分のPrivate Key (B)から、Diffie-Hellman algorithmを通してSymmetric Keyを生成。

このように生成されたSymmetric Keyを使うことで、セキュアなメッセージがSymmetric Keyを使ってやりとりできるようになる。

 

というもの。

 

問題点:最初にPublic Keyを交換する際に、AuthenticationがないとMitMが発生する脆弱性がある。オリジナルのDiffie-Hellmanはこの脆弱性があったようだ。MQVはセッションキーを求めることでこの問題にアドレスする。またRSAも同様にアドレスしているようである。

 

続く。

広告を非表示にする

Office 365 ログイン情報を入力してくださいと繰り返し聞かれてしまう。

Office 365を会社で導入しているが、最近良く、Outlookの起動が遅い、WordやExcelを起動したら、「Defaultに設定して」というプロンプトが出る、そして右クリックしたら「ログインして」と必ず出る、という現象が。

 

というわけで調査中。

以下MSのKBでは、レジストリーキーを調整せよという。

https://support.microsoft.com/en-us/kb/2913639

 

以下はSharePoint上での話だが、一部、

認証情報をクリアしてみてとの指摘があり、トライしても良いかも:

Control Panel > User Accounts >Credential Manager > Windows Credentials

 

answers.microsoft.com

Rule 41の変更 - 米国、とUKのIPBill

怪しいことしなければ、対象外になる?ならない?

Tor使ってたら即怪しい人になってしまうかもしれませんね・・・あらやだ。

 

Rule41がどのように更新されるか、

現在では、容疑の掛かった人が何らか技術的な方法で自身のコンピュータの存在場所を偽っていたりした場合、令状を取ることが難しい。今回の変更によって、その容疑者のコンピュータをハッキングするような命令が起こせるようになるというもの。

加えて、ボットネット対策として、温床となっている感染したコンピュータ5台以上に一度にハッキングすることが出来るようになる、というもの。従来は一台一台、令状を取って、という形で、対策が遅延する要因の一つとなっていたようだ。

以下記事では、最後の抵抗も出来なかった模様。

 

thehill.com

 

www.cnet.com

 

一方UKでは、IPBillが法律化される。ウェブ上での行動ログが取られ、それがSurveillanceの観点でアクセスされる状態にすることを、Authoritiesが会社側に要求できる力を持てるようになる。というもののようだ。このログをアクセスするのに特別な令状は不要で、政府関係であればアクセスできるというもの。

想像としては、たとえばiPhoneは英国では使えないか、暗号化部分が何らか解除された形でのみ使える形になるということもあるかもしれない。そうでなければログにアクセスできないから、という都合であれば。

 

techcrunch.com

www.bbc.com

 

ふむ。

DES

Data Encryption Standard. 

NISTが募集した際、IBMが当時作っていたもので (Luciferと呼ばれた) 提案をかけたが、NSAが意図してか鍵長を短くしてData Encryption Algorithmとしてしまった(復号できるようにしたかったのか)。DEA is the algorithm that fulfills DES. 

DESは非常に広まり、政府関係でも使われたが、広まりすぎたとしてNSAが推進をやめるとした。多くのセキュリティ専門家はこれに反対したが。。。NSAは再検討し、NISTとしてはその後しばらくDESにとどまった。

EFF (Electronic Frontier Foundation) が高性能のシステムでDESを総当り攻撃で3日で破ったことで、Triple DESにつながり、のちにDESはRijndaelアルゴリズムのAES (Advanced Encryption Standard) に取って代わった。

 

いろいろあるんですね。

広告を非表示にする

2016年11月 米国エンドポイントセキュリティの動向 Forresterレポートベース

どのベンダーも、エンドポイントセキュリティというアプローチにトレンドがシフトしてきている。Prevention (vs protection) 、Detection、Remediation(対策、に近いか)などのバズワードがよく使われている。このレポートに挙げられた製品・社名とそのメモは以下の通り。

 

Bromium - シグネチャベースでもホワイトリストベースでもない、高次のProtectionを提供。完全なエンドポイント製品が必要ない、ピンポイントで欲しいエンドユーザーにも提供可能と。

 

SentinelOne - 振る舞いベースのDetection、Preventionはまだ完成度を上げる必要があると。

Invincea - シグネチャではないPreventionを提供している唯一の会社であり、同時に振る舞いベースのDetection、アプリケーションブロックなどをメインで提供しているとこのこと。しかし設定によっては、ユーザーエクスペリエンスが満足に得られないとも。

 

PAN (Palo Alto Networks) - ネットワーク機器ではおなじみ、Trapsでエンドポイントセキュリティに手を広げている。マルウェアPreventionやブロックに強いが、クラウドプラットフォームのWildFireにつながっている必要があるという点が指摘されている。

 

IBM - 自社の技術であるBigFixやApexなどのインテグレーションによるRemediation提供が注目。脅威DetectionについてはCarbon Blackとのパートナーシップに依存しているとのポイントも。

 

ESET - SMBからエンタープライズ向けにターゲットをシフトしているところ。エンドポイント暗号化、Preention、自動Remediationなど。

 

Cylance - 次世代エンドポイントセキュリティの雄。顧客満足度が高く、エンドポイントの負荷も低いと。しかし提供範囲がピンポイント(その部分では非常に優れているが)のため、エンドユーザーにとっては他製品で補完が必要かとの指摘も。

 

Crowdstrike - Falcon Hostがそれにあたり、検知能力やエンドユーザーの反応良好と。検知だけでなく他製品が実現している分野にも手を広げ、競争力を高めようとしているとのこと。

 

Landesk - ITシステム管理(アプリケーション管理、パッチ管理、モバイル管理)から、エンドポイントセキュリティへの拡大。他製品とのパートナーシップなどで急成長か。

 

Intel Security (McAfee) - エンドポイントセキュリティの雄。AVだけでなく、プラットフォームとなっている。

 

Carbon Black - Confer社の買収が7月にあり、次世代エンドポイントの方向性を加速と。非常にバランスの取れたポートフォリオを実現しようとしているとのこと。

 

Sophos - エンドポイントスイートとして親和の高い製品群を展開しており、シグネチャ無しのセキュリティ提供を推進しているとのこと。

 

Symantec - こちらもエンドポイントの雄。Blue Coatを夏に買収しており、クラウドセキュリティやゲートウェイ(Web)市場への展開、エンドポイントセキュリティ戦略の拡大を図っていると。

 

Kaspersky Lab - Remediationや他セキュリティ機能をForresterは高く評価。基本は自社での成長であり、パートナーや買収による拡充でないところが特徴。

 

Trend Micro - Forresterによれば、市場で最も技術的な機能を提供しているプレイヤーである。特にエンタープライズ向けを意識した、短期・中長期的な製品ロードマップがポートフォリオにある。

 

参考はForrester ResearchのWave Endpoint Security Suitesレポート。

 

Managing Risk & Information Security - Protect to Enable by Malcom Harkins

Introductionから

 

Information Securityは昨今本当にeffectiveかという問いかけからスタート。過去よくあったケースは、セキュリティを対応するという点ではその範囲を絞り、それゆえ狭い展開であった。またいろんなテクノロジに対して、セキュリティを守るという観点から、「歓迎せず:No」というのが常であった。

狭い視点でリスクを最小にすることは、ともすればより大きな危険を生むことにつながる。

 

自身に、Why do we exist? という問いかけから始めなければならない。組織に対して、情報が連綿と流れるようなprotectionを提供しなければならないのである。

 

続く。

IoT Challenges & NIST guidance for ICS

IoT Challenges - 

Authentication

Encryption - cryptographic is typically expensive in terms of procesing power & memory requirement

Updates

 

ICS

PLC コンベアなど産業機械の制御→DCS ある1工場、プラント規模の制御→SCADA より前進、分散拠点なども含む;

SCADAの3つのコンポーネント 

- endpoint: remote terminal unit (RTU)

- backend: data acquisition servers (DAS)

- user station: human-machine interface (HMI)

 

 

NIST SP 800-82 ICS Security

- Apply a risk management process

- Segment the network to place IDS/IPS at the subnet boundaries

- Disable unneeded ports

- Impelement least privilege

- Use encryption

- Patch management

- Monitor audit trails 

 

System designにおけるいくつかのThreatsについて

- Maintenance hook - バックドアデバッグモードのような入り口をあけておくこと。

→ホストベースのIDSなどで検知、ファイル暗号化による機密データの保護、あるいは監査機能による検知が対策

- TOC/TOU - 処理途中での攻撃:Asynchronous attackとも。

  Race condition: 何らかの処理を間に実行させ、結果をコントロールしてしまう

  TOC/TOU: 処理の間に入って、何らかの変更を加えて結果をコントロールしてしまう

→重要な処理は分けない。チェックあるいはロックの実装による対策。