2014年8月8日のtwitterセキュリティクラスタ

yousukezan
2014年8月8日のtwitterセキュリティクラスタです。BlackHatいいなあいいなあ。

BlackHatとDEFCONうらやましいですね。そしてyumanoさんに感謝。

ykame@YuhoKameda

BadUSB始まって2日目スタートしたところ
BADUSB – ON ACCESSORIES THAT TURN EVIL
2014.08.08 01:04
https://twitter.com/YuhoKameda/status/497413085850636288

yumano@yumano

usbの話。今来た。シェルスクリプトとか、BIOSとかUsBで変えられるって言ってる?
がんばってついていこう pic.twitter.com/uUWgW0atmg
2014.08.08 01:04
https://twitter.com/yumano/status/497413038522118144

yumano@yumano

usbはストレージしかユーザーに見えないが、コントローラ、ファームウェアとかある。
2014.08.08 01:05
https://twitter.com/yumano/status/497413259616468992

yumano@yumano

種類はUSBデバイス側でIDを持つ。UsBハブとかあるのて、ひとつのデバイスが幾つも機能をもてる pic.twitter.com/eitUisl6iY
2014.08.08 01:07
https://twitter.com/yumano/status/497413812102770689

yumano@yumano

初期化ステップ。モデムの癖にCDデバイスのふりができる。接続したあとで動的に変更も可能。 pic.twitter.com/vjIvMNqQi0
2014.08.08 01:09
https://twitter.com/yumano/status/497414227565346817

yumano@yumano

ファームの解析と変更(パッチ)を2ヶ月かけて実施。 pic.twitter.com/fotM15KtIw
2014.08.08 01:10
https://twitter.com/yumano/status/497414534487740417

yumano@yumano

そういえば、英語で文鎮化って、brickedなんだね。
2014.08.08 01:11
https://twitter.com/yumano/status/497414736120905729

yumano@yumano

リバースはありきたりの手法で実施可能。さて、攻撃シナリオの解説 pic.twitter.com/4mZ9fBsPKU
2014.08.08 01:15
https://twitter.com/yumano/status/497415628882329600

yumano@yumano

デモが地味でよくわかんなかった。ストレージデバイスを差し込んだら、何か実行されたようにみえたけど、ストレージUSBがキーボードとして動作して、コードを実行したのかな。 pic.twitter.com/5BmwkcosF8
2014.08.08 01:19
https://twitter.com/yumano/status/497416650216333312

yumano@yumano

ネットワークデバイスのふりをしてDNSクエリを乗っ取れる pic.twitter.com/12MF4nVcbj
2014.08.08 01:23
https://twitter.com/yumano/status/497417666592657408

yumano@yumano

vmの床抜きに利用可能。ゲストからUSBデバイスのファームを変えることでホストへのアクセスをバイパス pic.twitter.com/9Xcn66U5B4
2014.08.08 01:26
https://twitter.com/yumano/status/497418394711240704

yumano@yumano

普通にアクセスしたら、正常なlinuxのパッケージがみえる。でも、インストールしようとしてBIOSからアクセスすると細工したLinuxのインストールが走る。 pic.twitter.com/Y0CbD19uvu
2014.08.08 01:31
https://twitter.com/yumano/status/497419713790488579

yumano@yumano

他にも考えられる応用例。黄色枠。 pic.twitter.com/hDNG7EJpFf
2014.08.08 01:31
https://twitter.com/yumano/status/497419866295386112

yumano@yumano

USBディスプレイのエミュレートは強力。スクリーンロガーできる…
2014.08.08 01:33
https://twitter.com/yumano/status/497420209913737216

yumano@yumano

守る方法はあんまりない…
2014.08.08 01:35
https://twitter.com/yumano/status/497420837637464064

yumano@yumano

ポートを潰すしかないけど、ユーザビリティが下がりすぎる。
USB側でハード的にファームの書き換えを禁止すると(そのUSBデバイスを)守れる。 pic.twitter.com/W2G7MaXSPF
2014.08.08 01:41
https://twitter.com/yumano/status/497422401202704384

yumano@yumano

生産的な目的にも使える。安い組込み機器としての活用例。 pic.twitter.com/nPbNOrNnze
2014.08.08 01:43
https://twitter.com/yumano/status/497422910085033985

yumano@yumano

終わり!!やー、可能ならポートを潰すのが確実だな。人に貸したデバイスが書き換えられても気づけない。 pic.twitter.com/7Lk68RVA5W
2014.08.08 01:46
https://twitter.com/yumano/status/497423430124175360

yumano@yumano

人にUSBデバイスを貸すのも危険!!まぁ、そんなことできるのは、限られた人だけどね。
2014.08.08 01:47
https://twitter.com/yumano/status/497423682436726785

yumano@yumano

次はこれ。 pic.twitter.com/bvDnL1e82n
2014.08.08 02:16
https://twitter.com/yumano/status/497431122465144833

yumano@yumano

自己紹介 pic.twitter.com/b220UqQVJ7
2014.08.08 02:17
https://twitter.com/yumano/status/497431352111681536

yumano@yumano

4つの脅威、デモ pic.twitter.com/VNhy61lvQM
2014.08.08 02:19
https://twitter.com/yumano/status/497431829868068864

yumano@yumano

話すことの定義 pic.twitter.com/UzVwakA1Fw
2014.08.08 02:20
https://twitter.com/yumano/status/497432142599557121

yumano@yumano

まず、概要。Choose YODってのもあるんだ。 pic.twitter.com/xhtcUmDG8l
2014.08.08 02:21
https://twitter.com/yumano/status/497432348124672001

yumano@yumano

色々なアプリ使いたい。デスクトップ使いたい。でも、データ漏洩はやだ。侵入されないように守りたい。 pic.twitter.com/vtnT6jLvLs
2014.08.08 02:24
https://twitter.com/yumano/status/497433011369951233

yumano@yumano

アーキテクチャ。左がクライアントデバイス。プレイヤーとしてはcitrixとvmware pic.twitter.com/xFJAJHXDzd
2014.08.08 02:25
https://twitter.com/yumano/status/497433347895721985

yumano@yumano

まず、モバイルRATによるキーロガー。色々な情報が取得可能。黄色がアタックベクター pic.twitter.com/Wem1iAO3cX
2014.08.08 02:26
https://twitter.com/yumano/status/497433727434096640

yumano@yumano

ここで、mRATについてカテゴリわけ。Gov gradeは、$0-$12Mかかる。Finspyがリリースされたからね。 pic.twitter.com/WmcD2ZBbuM
2014.08.08 02:29
https://twitter.com/yumano/status/497434446069370881

yumano@yumano

スパイウェアのベンチマークw
mspyが1番! pic.twitter.com/d0hmKqyH6j
2014.08.08 02:31
https://twitter.com/yumano/status/497434956243533824

yumano@yumano

290の企業でチェックした結果、mRATはひとつの企業内で中間値2つくらい見つかった。 pic.twitter.com/G4trXzIepM
2014.08.08 02:35
https://twitter.com/yumano/status/497435766717313024

yumano@yumano

次、VDIに話を移す。 pic.twitter.com/AAOLNqxDBV
2014.08.08 02:35
https://twitter.com/yumano/status/497435898368118784

yumano@yumano

発表者交代。コラボで研究発表するのって重要だよね。
2014.08.08 02:36
https://twitter.com/yumano/status/497436200941019136

yumano@yumano

コンフィグ可能って、弱い設定でも利用できる事を意味するんだよね。、
2014.08.08 02:38
https://twitter.com/yumano/status/497436651333767168

yumano@yumano

キーロガーのオプション色々 pic.twitter.com/vMvjcW5Vbu
2014.08.08 02:43
https://twitter.com/yumano/status/497437944865517569

yumano@yumano

クレデンシャルの取得方法 pic.twitter.com/K6lFrMbsx1
2014.08.08 02:46
https://twitter.com/yumano/status/497438673516769280

yumano@yumano

次はスクリーンの取得。2つ方法がある。 pic.twitter.com/LRkSZIjZRi
2014.08.08 02:51
https://twitter.com/yumano/status/497439801251880960

yumano@yumano

まずは権限の昇格。クリップボード経由で取得 pic.twitter.com/1j423xGqLX
2014.08.08 02:53
https://twitter.com/yumano/status/497440466690793472

yumano@yumano

screen recording apiの利用。 pic.twitter.com/mDqm6nxyXh
2014.08.08 02:54
https://twitter.com/yumano/status/497440681913118720

yumano@yumano

次はmitm攻撃について。プロトコルの設定。iOSはmaliciousなプロファイルを簡単に配れる。 pic.twitter.com/kQLsVbAonZ
2014.08.08 02:58
https://twitter.com/yumano/status/497441568744165376

yumano@yumano

mitmの問題。maliciousなプロファイルを入れられたら、mitmされてしまう。 pic.twitter.com/94PJftM3ux
2014.08.08 03:01
https://twitter.com/yumano/status/497442401879728130

yumano@yumano

対策として、マルチレイヤーで守ろう。 pic.twitter.com/bymjX7gHGi
2014.08.08 03:03
https://twitter.com/yumano/status/497442822866235392

yumano@yumano

Nestについてのセッション。今後はIoTを外せない。とりあえず聞いておく。 pic.twitter.com/bFIdnmgAiZ
2014.08.08 03:48
https://twitter.com/yumano/status/497454292828028928

yumano@yumano

自己紹介 pic.twitter.com/zwtcmpqa9p
2014.08.08 03:48
https://twitter.com/yumano/status/497454359412604929

yumano@yumano

iotはnikola Teslaにより、1926に予言されてた。興味深い。
そして、みんな数が増えるといる。数はマチマチだが、増えるのは確実。じゃ、セキュリティやプライバシーはどうなんだ? pic.twitter.com/BHeUT6OTrh
2014.08.08 03:52
https://twitter.com/yumano/status/497455161900400640

yumano@yumano

Nestは今の時点で一番普及してる。有名。だから。調査対象にした。一番の理由は彼ら自身が自分達が1番セキュアなIoTデバイスと宣言したからだ。 pic.twitter.com/dTvPTG1MR3
2014.08.08 03:54
https://twitter.com/yumano/status/497455780669304833

yumano@yumano

まずはハードの話。会場の1/5は持ってる。2/3は誰か持っている人を知っている。
2014.08.08 03:55
https://twitter.com/yumano/status/497456053525561344

yumano@yumano

ストレージが2GBある。4GBもある??linuxを動かすに十分。 pic.twitter.com/7ORnHAKKYU
2014.08.08 03:57
https://twitter.com/yumano/status/497456458896658432

yumano@yumano

ハードの続き。他のNestと通信できる。 pic.twitter.com/eY3n6cX2D6
2014.08.08 03:58
https://twitter.com/yumano/status/497456797267931136

yumano@yumano

バッテリーがおもろい仕組みらしいけど、よくわかんなかった
2014.08.08 03:59
https://twitter.com/yumano/status/497456937571602432

yumano@yumano

NestのOSについて。自動アップデートあり。ネストクラウド自身が大きなバックドアになる可能性がある。OS自身の解説。 pic.twitter.com/EoZjXbI8P1
2014.08.08 04:02
https://twitter.com/yumano/status/497457750440280064

yumano@yumano

頭の中にPSNの3文字がよぎった…まさかと思うが…
2014.08.08 04:02
https://twitter.com/yumano/status/497457870137348096

yumano@yumano

問題点について3つ。usbポートはいい攻略ポイントになりえる pic.twitter.com/JqIYB3G6bo
2014.08.08 04:04
https://twitter.com/yumano/status/497458331095539712

yumano@yumano

収集されるデータはアップロードされる。これは無効にできない。平文でクレデンシャルが保存されてる。住所とかデータに… pic.twitter.com/36UWR43zPX
2014.08.08 04:06
https://twitter.com/yumano/status/497458812232556544

yumano@yumano

ブートシステムの流れ。USBを使うとjailbreakできる。OSSバージョンがあり、簡単に自分のバージョンを作れる。 pic.twitter.com/bXlmbVHl9Q
2014.08.08 04:09
https://twitter.com/yumano/status/497459535062110208

yumano@yumano

ブートコンフィグについて。 pic.twitter.com/6nPNMsWvfd
2014.08.08 04:11
https://twitter.com/yumano/status/497460161225584640

yumano@yumano

ブートしてパケットキャプチャ。プログラムロードに入れるかな。 pic.twitter.com/EeDqX8AIiX
2014.08.08 04:13
https://twitter.com/yumano/status/497460467405578240

yumano@yumano

これらの情報は、nestに格納。nestをコンプロするときに、できることとできないこと。 pic.twitter.com/IR1Bg0gRLi
2014.08.08 04:14
https://twitter.com/yumano/status/497460803683893248

yumano@yumano

攻撃としてできること。カスタムOSいれて、 pic.twitter.com/pAt6d9viD7
2014.08.08 04:17
https://twitter.com/yumano/status/497461462680367104

yumano@yumano

デモ。自分のコードを実行してた。
2014.08.08 04:23
https://twitter.com/yumano/status/497463136920686593

yumano@yumano

カスタムプログラムを作ってる。パッチをあて、データをアップロードしなくする。リモートからの攻撃は今のところ、見つかってない。 pic.twitter.com/TRIVOl4lC5
2014.08.08 04:25
https://twitter.com/yumano/status/497463565733732352

yumano@yumano

ハードウェアレベルでのプロテクションを入れるべき。キーチェーンを使って証明を検証しろ! pic.twitter.com/OjMRw51CSE
2014.08.08 04:26
https://twitter.com/yumano/status/497463807535370241

yumano@yumano

ネストに関してはデバイス自身はかなり、セキュアだがプライバシーについて懸念がある。結論。 pic.twitter.com/NaCUhUpTXE
2014.08.08 04:27
https://twitter.com/yumano/status/497464092240510976

yumano@yumano

クラウド側のペネトレ、複数のデバイスを利用したペネトレは将来のリサーチ。
2014.08.08 04:39
https://twitter.com/yumano/status/497467095009857536

yumano@yumano

(飛行機の)ネットワークモデル pic.twitter.com/XS83qggAeE
2014.08.08 07:38
https://twitter.com/yumano/status/497512182007865347

yumano@yumano

昨日、車で似たやつをみたよね…
2014.08.08 07:39
https://twitter.com/yumano/status/497512311947403264

yumano@yumano

ドメイン跨ぎできるか、トライ。cobhamのシステムの解説。公開情報。 pic.twitter.com/rTvY3bbKH1
2014.08.08 07:41
https://twitter.com/yumano/status/497512842250043393

yumano@yumano

リバエン。シンボルないがトレースがあるので、それを活用。攻撃サーフェイスはたくさん。 pic.twitter.com/Z17eenmvzs
2014.08.08 07:42
https://twitter.com/yumano/status/497513119959113728

yumano@yumano

物理的に接続しないとハックできないとベンダーがいうが、認証仕組みからして、バイパスできる。Wifi経由で攻撃できる。 pic.twitter.com/t9BNTiM8V1
2014.08.08 07:44
https://twitter.com/yumano/status/497513732054872064

yumano@yumano

リセットコードはハードコード。書き換えでバイパス。可能。 pic.twitter.com/TChkQWsc82
2014.08.08 07:46
https://twitter.com/yumano/status/497514170674196480

yumano@yumano

SBU MMI経由でアップデートできる。 pic.twitter.com/0ynC5lwI8K
2014.08.08 07:47
https://twitter.com/yumano/status/497514510693855232

yumano@yumano

sbuとsduは物理的に直結。sbuにアクセスし、そこからsduへアクセス。通信パケットを解析。 pic.twitter.com/cd5uYgK8Yv
2014.08.08 07:49
https://twitter.com/yumano/status/497514944938532864

yumano@yumano

次はSduの件。(メンテ用の)バックドアを使う。ハードコード…?! pic.twitter.com/XRRRBlEBTq
2014.08.08 07:52
https://twitter.com/yumano/status/497515702173970432

yumano@yumano

アクセスしたら、SDUを切断できたりする。
2014.08.08 07:54
https://twitter.com/yumano/status/497516192001572864

yumano@yumano

船を乗っ取る話。デバイスを成りすまし可能。アップデートするためのファイルのDL先をコントロール。 pic.twitter.com/1MhuKlfP2t
2014.08.08 07:56
https://twitter.com/yumano/status/497516712342724609

yumano@yumano

デモ pic.twitter.com/Aaj9zeb5LQ
2014.08.08 08:03
https://twitter.com/yumano/status/497518477427499008

yumano@yumano

別のデバイスも工場出荷モードにするためのパスワードがハードコード
2014.08.08 08:04
https://twitter.com/yumano/status/497518583807614977

yumano@yumano

ドキュメントにないアカウントが簡単にパスワード解析可能。 pic.twitter.com/l7MikZOoex
2014.08.08 08:04
https://twitter.com/yumano/status/497518795624157185

yumano@yumano

なんか、海も空も基本的にグダグダ。
2014.08.08 08:07
https://twitter.com/yumano/status/497519380360482816

yumano@yumano

陸のデバイス。プロトコルのexploitを利用。完全にコントロール可能。 pic.twitter.com/jKsmCUwYys
2014.08.08 08:09
https://twitter.com/yumano/status/497519888605249536

yumano@yumano

なんで、こんなにメンテ用のバックドアがあるんだ!! pic.twitter.com/Erxy7u3Qjv
2014.08.08 08:10
https://twitter.com/yumano/status/497520193539563522

yumano@yumano

しかも、smsを送ってターミナルを、変更できる!! pic.twitter.com/cJCAQuUDUf
2014.08.08 08:11
https://twitter.com/yumano/status/497520434296799232

yumano@yumano

コマンドでファームの書き換えを実施。ダウンロード先を変更すれば簡単に仕込める……
2014.08.08 08:12
https://twitter.com/yumano/status/497520664668942336

yumano@yumano

研究者側が凄いというより、頭が痛くなる発表。なんで、こんな仕様にしてんだ!! pic.twitter.com/FgyTTuDrt9
2014.08.08 08:13
https://twitter.com/yumano/status/497520977740173312

yumano@yumano

ベンダーの回答。酷い。確かに平文でハードコードしてないが、暗号化されて格納されてる。セキュリティ機能を使っても変更不可。 pic.twitter.com/Tg7ozWRhVM
2014.08.08 08:19
https://twitter.com/yumano/status/497522558510448640

yumano@yumano

サポートのためのバックドアは有効とか言ってやがる。酷い。 pic.twitter.com/WyUHRX7xDg
2014.08.08 08:20
https://twitter.com/yumano/status/497522726928523265

yumano@yumano

結論、救いようがない。 pic.twitter.com/2w6y7vFS1h
2014.08.08 08:21
https://twitter.com/yumano/status/497522965064343552

yumano@yumano

BHUSに関してはこれにておしまい!最後が酷い。業界が異なるとここまで酷い対応になるのか…
2014.08.08 08:22
https://twitter.com/yumano/status/497523243033444352

ykame@YuhoKameda

休憩タイム!パンに群がる人たち pic.twitter.com/ldbIYFKuNu
2014.08.08 03:13
https://twitter.com/YuhoKameda/status/497445541450489856

ykame@YuhoKameda

ガチで釣りなSSIDがいくつかあって困ったもんだ
2014.08.08 04:06
https://twitter.com/YuhoKameda/status/497458756158885888

ykame@YuhoKameda

DEFCONバッヂ、フライングしとってもう受け取れる!!いまなら200人くらい
2014.08.08 04:16
https://twitter.com/YuhoKameda/status/497461319499395072

ykame@YuhoKameda

I got it! pic.twitter.com/we1kwEqBAP
2014.08.08 04:23
https://twitter.com/YuhoKameda/status/497462937435377664

ykame@YuhoKameda

午後のスタート THE STATE OF INCIDENT RESPONSE
2014.08.08 06:13
https://twitter.com/YuhoKameda/status/497490712271679491

きゃれっと@mt_caret

defconでやたらpentooとかいう
嫌な予感しかしない名前のOSが色んなとこででてた
2014.08.08 13:59
https://twitter.com/mt_caret/status/497607923535589377

菅野 哲 (Satoru Kanno)@satorukanno

おぉ! Black Hat 2014で発表されたSS/TLS関連の攻撃について整理されてるとはッ!!:
[2014/8/08] Black Hat 2014 USAでの発表されたSSL/TLSへの複数の新たな攻撃手法について,
cellos-consortium.org/jp/index.php?B…
2014.08.08 17:25
https://twitter.com/satorukanno/status/497659904824320001

その他に気になったことはこのあたり。

Masafumi Negishi@MasafumiNegishi

BGP Hijacking for Cryptocurrency Profit | Dell SecureWorks secureworks.com/cyber-threat-i…
2014.08.08 09:56
https://twitter.com/MasafumiNegishi/status/497546947394162688

Masafumi Negishi@MasafumiNegishi

Dell SecureWorksの調査によると、攻撃者はBGPの経路をハイジャックして、Bitcoinなどの仮想通貨のプールマイニングを利用しているマイナーのアクセス先を捻じ曲げたと。4ヶ月以上にわたってマイナー達の計算資源を不正に利用し、8万ドル以上稼いだとの試算。
2014.08.08 10:08
https://twitter.com/MasafumiNegishi/status/497549943494569984

徳丸 浩@ockeghem

はるぷさんが講演された「大量Cookie攻撃」は、Apacheの場合LimitRequestFieldsizeディレクティブを大きくすると防げるようですが、通常のDoS対策だと小さくすることが推奨されるはずなので、この目的のために大きくするのはためらわれますね
2014.08.08 16:26
https://twitter.com/ockeghem/status/497645047987191809

エフセキュアブログ@FSECUREBLOG

最近、マルウェアの作者らはシノロジー社のNASが気に入ったようだ。
blog.f-secure.jp/archives/50732…
2014.08.08 08:58
https://twitter.com/FSECUREBLOG/status/497532162019950592

辻堂海浜公園@kaihinkouen

貿易会社代表は中朝国境付近の延吉を拠点に活動。日本国内の知人に PC を預け、それを浙江省のソフトウェア開発企業の技術者らに遠隔操作させて資金洗浄していた。 QT 北朝鮮が FX で資金洗浄 日本の不正口座を操作(SankeiBiz) sankeibiz.jp/compliance/new…
2014.08.08 08:15
https://twitter.com/kaihinkouen/status/497521356812988417

マカフィー株式会社@McAfee_JP

McAfeeブログ:「ロシア人ハッカー集団、12億件のパスワードを盗む」bit.ly/1oKVr9O
2014.08.08 19:58
https://twitter.com/McAfee_JP/status/497698402352627712

INTERNET Watch@internet_watch

IEへのパッチ提供、最新バージョンだけに限定へ、2016年1月より実施 bit.ly/1r5nL5s
2014.08.08 19:28
https://twitter.com/internet_watch/status/497690737157210112

やまもといちろう@kirik

申し訳ございません RT @swim_taiyaki: 一部の人達の密かな楽しみだったハギーを妄想話を隊長が広めてしまった。隊長!オイラたちの密かな楽しみを奪わないで! QT @kirik: 「Office 97」という愛に包まれたソ bylines.news.yahoo.co.jp/yamamotoichiro…
2014.08.08 19:00
https://twitter.com/kirik/status/497683813582270465
https://matome.naver.jp/odai/2140743025007082501
yousukezan
2014年08月09日

前の記事

春だけど寒い!!冬コートでは浮いちゃうよ~!!で、今なに着てる…

次の記事

【女子バレー】石川友紀 画像集【美人アスリート】