Windowsに限らず、パッチの当て忘れや設定不備などを見逃すと、それが脆弱性になってシステムが攻撃される原因になってしまいます。
そこで活躍するのが、脆弱性診断ツールです。
脆弱性診断ツールとは、読んで字のごとく、対象システムの脆弱性(弱いところ)を見つけ出すソフトウェアまたはアプライアンスです。
脆弱性ツールは、いくつかのタイプに分類できます。今回は特にプラットフォーム診断(ネットワーク診断とも)にフォーカスをあてて紹介したいと思います。
※Web診断用のツールもいくつかあるのですが、使ったことがないので説明できない...。\(^o^)/オワタ
(1)破壊型
診断対象システムに存在する可能性のある既知の脆弱性に対し、実際に攻撃を行ってシステムが停止ないしは誤動作するのを監視し、動作不良を以て脆弱性を検知する。
検知精度は高い(実際に止まったり再起動したりするから)が、対象システムが壊れることも...。
一昔前にはこのタイプしかありませんでした。
【製品の例】
Spirent社のStudioシリーズ、IBMのInternet Scanner、NexantiS社のSecurescout NX、などなど。
(2)非破壊型
診断対象システムに存在する可能性のある既知の脆弱性が存在するないしは修正パッチによる挙動を監視し、不備があるないしは修正されているかを確認して、脆弱性を検出する。
※サイドエフェクト監視とも
一時期より主流となった方式です。
性質上誤検知の可能性があるので、最終的に誤検知の可能性の高い検出結果については、診断技術者が手動で検証して精度を維持する必要があります。
個人向けに無償版の提供がなされていることも多いです。
【製品の例】
Beyond Trust社Retina(無償のcommunity版あり)、Tenable社Nessus(無償のEssential版あり)、Rapid7社nexpose(1年間無償のcommunity版あり)、OpenVAS(オープンソース。商用利用も可能)などなど。
(3)パッチ探索型(仮称:私が勝手に命名)
メーカーがリリースしているパッチリストとシステムのインストール状態を比較して、未適用パッチを脆弱性として検出する。
性質上、誤検知の可能性がほぼゼロで精度が極めて高い反面、既知ではあるがパッチが出てないゼロデイ脆弱性には対応できない。
設定不備も検出しにくく、そのためだけに通常の破壊型ないしは非破壊型の機構を別途用意するか、その診断を捨てる必要がある。
【製品の例】
kotakanbe社?vuls(オープンソース。商用利用も可能)、moppoi5168氏(日本の高校2年生!すごい!)DetExploit(オープンソース。GPLv3なので商用利用は可能)、IPA MyJVN(無償。商用利用に制限なし?)。
使ってみてよかったなーと個人的に思うのは、(2)で紹介したNessusでしょうか。Windowsだとインストールが超簡単ですし、精度もいい感じだと思います。
OpenVASはNessusからforkしたオープンソース版ですが、Linuxの場合インストールが面倒でした(Qiita見ればできるレベルではありますけど)。
Retinaは商用版はお仕事で使っていましたが、ライセンスが診断対象IPベースなのでちと高め。
日曜日, 10月 20, 2019
パスワード\(^o^)/オワタ
ちょっと前のネタですが、大事なことだと思うので取り上げてみました。
現在使用されているパスワードは、一般的に6~8桁だといわれています。
※ソースが定かではないのですが、確かIPAだったと思う...
そのパスワードですが、システムにはハッシュ値(パスワードを非可逆的な関数で処理した値)の形で保存されています。
で、そのハッシュ値が漏れた場合において、(WindowsのNTLM hash場合)最新のGPUを積んだPCなら、どんなに複雑でも8桁のパスワードなら、2時間半程度でハッシュ値の総当たりを完了してしまい暴かれてしまうそうです。\(^o^)/オワタ
実際hashcatというオープンソースのツールと、CUDAをインストールすればだれでも簡単に環境が構築できてしまうというところもマズいところです。
生体認証やら2要素やらで補強しないとダメな理由がこれなんだそうで、それが出来ない場合、パスワードをもっと長くすることが推奨されています。
パスワードではなく、パス「フレーズ」にしようというのが、その動きです。
例えば、昔は
「焼きそば→yakisoba」
程度で済ませてたところを、
「焼きそば食べたい特に広島風の奴。素人にはお勧めできない。→yakisobatabetaitokunihirosimahuunoyatu.siroutonihaosusumedekinai.」
みたいな感じです。
ぶっちゃけ、記号だろうが英数字だろうが、それが入る入ってないがバレない前提であれば、攻撃者側は含まれているだろうという推測で攻撃するはずで、
実際英数字記号とか言い始めた人も間違ってたということを認めているようです。
【参考】Gigazine - 「8文字のWindowsパスワードはわずか2時間半で突破可能と判明」https://gigazine.net/news/20190215-windows-ntlm-password-cracked-quickly/
【参考】Gigazine - 「パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める」https://gigazine.net/news/20170810-password/
皆さんの組織のパスワードポリシーも、そろそろ見直しの時期に入ってきたのではないでしょうか?
現在使用されているパスワードは、一般的に6~8桁だといわれています。
※ソースが定かではないのですが、確かIPAだったと思う...
そのパスワードですが、システムにはハッシュ値(パスワードを非可逆的な関数で処理した値)の形で保存されています。
で、そのハッシュ値が漏れた場合において、(WindowsのNTLM hash場合)最新のGPUを積んだPCなら、どんなに複雑でも8桁のパスワードなら、2時間半程度でハッシュ値の総当たりを完了してしまい暴かれてしまうそうです。\(^o^)/オワタ
実際hashcatというオープンソースのツールと、CUDAをインストールすればだれでも簡単に環境が構築できてしまうというところもマズいところです。
生体認証やら2要素やらで補強しないとダメな理由がこれなんだそうで、それが出来ない場合、パスワードをもっと長くすることが推奨されています。
パスワードではなく、パス「フレーズ」にしようというのが、その動きです。
例えば、昔は
「焼きそば→yakisoba」
程度で済ませてたところを、
「焼きそば食べたい特に広島風の奴。素人にはお勧めできない。→yakisobatabetaitokunihirosimahuunoyatu.siroutonihaosusumedekinai.」
みたいな感じです。
ぶっちゃけ、記号だろうが英数字だろうが、それが入る入ってないがバレない前提であれば、攻撃者側は含まれているだろうという推測で攻撃するはずで、
実際英数字記号とか言い始めた人も間違ってたということを認めているようです。
【参考】Gigazine - 「8文字のWindowsパスワードはわずか2時間半で突破可能と判明」https://gigazine.net/news/20190215-windows-ntlm-password-cracked-quickly/
【参考】Gigazine - 「パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める」https://gigazine.net/news/20170810-password/
皆さんの組織のパスワードポリシーも、そろそろ見直しの時期に入ってきたのではないでしょうか?
登録:
コメント (Atom)