KENJI’S BLOG このページをアンテナに追加 RSSフィード

Freezed...

2008-11-29

まっちゃ445勉強会をリアルタイムで実況してみた

第03回まっちゃ445勉強会↓を現在進行形で実況してます

http://sites.google.com/site/matcha445/saturday-workshop/3rd-workshop-2


感想ではなく実況なのでいろいろと雑です。

雰囲気を味わってもらえれば幸いです。


13時00分開始。参加者は60名〜80名ほどいらっしゃいます。会場いっぱいです。まず、開会の挨拶+スタッフの自己紹介です(開始22分)。続いて参加者の自己紹介です(開始28分)。

自己紹介終了。休憩後、セキュアOSのセッション開始です(開始55分)。

「セキュアOSが進化した歴史を振り返って来年はチャレンジしよう」が始まりました(開始67分)。

Linuxをインストールするときは、大抵はSELinuxの設定をどうするか聞かれます。2003年ごろはアンチクラッキング機能として宣伝されており、万が一の被害を受けても影響を最小限にできる。具体的にはプロセス同士を壁で切り分ける(強制アクセス制御)。LSM(Linux security module)をフックすることで、判断プログラムを追加している。このセキュア機能を使うと、仮にMSPサービスにおいて、過去12ヶ月間に29種類のパッチをスキップしてもセキュリティ的に問題なく運用できた。つまり、毎回のパッチアップデートをある程度ほうっておいても、セキュア機能で対処できる(開始81分)。

セキュアOSは大きく分けて、トラステッドOSを継承するセキュアOS、カーネル型のセキュアOS、ドライバ型のセキュアOSなどがある。オープンソフトのセキュアOSにはSELinux、TOMOYOLinux、AppArmor、RSBAC、LIDS、SMACKなどがある。逆に商用では大手企業が結構参入している。SecuveTOS、SHieldWARE、Hizardなどがある(開始85分)。

しかし、オープンだろうと、商用だようと、目的は同じ。つまり強制アクセス制御と最小特権。また、商用製品は運用管理ツールが優れている。GUIとか。また、なぜ突然セキュアOS機能が追加されたのか? その理由は何? それは、政府機関の情報セキュリティ対策のための統一基準や金融機関の安全対策などがある(開始91分)。

今後セキュアOSは? 導入例は急増。応用もできる。サーバ分野では結構いけてる。SE-PostgreSQL、Apache + SELinux Plus、SELinux + VMWare、最近は仮想化と連携したりする。組み込み分野にも適用されつつある。クライアント向けはどうか? SELinuxKioskモード。TOMOYO Linuxなど(開始116分)。

今後はインストール時にセキュア機能をONにしてみてはどうでしょうか? セキュアOS関連の勉強会は「セキュアOS塾」などがある→http://www.secureos.jp/index.php?events/jyukuので興味ある方は参加してみてはどうでしょうか?


以降はショートプレゼンです。技術よりで覚えているのものだけ。

clickjackingの解説。iframeタグを二重に重ねて、片方を透明にすることで、ユーザーが意図しないリンクをクリックさせることができるデモです。実際に普通のページとgoogleのトップを二重に表示させ、googleの表示を透明するデモを行われました。

metasploit3.2の機能紹介。なんでもありな感じになってるっぽい。

実際にセキュアLinuxKiosk)を使ったデモ。制限がかかっているフォルダにはアクセスできないどころか表示もされません。また、フォルダやファイルを作ってもログアウトすると次は消えてます。変なアプリをインストールされても大丈夫っぽい。これからはセキュアOSの時代?