twitterセキュリティネタまとめ

やってみたいですーっと思ってみたら英語なんですね。

yohgaki: Google、「ハッキング学習用Webアプリ」を公開 http://slashdot.jp/security/article.pl?sid=10/05/10/116206 これ、やってみた人いるのかな？

だいたいあの人たちによって抜け道が発見されるような気がするのですが、大丈夫なんですかねえ。

hidenorigoto: RT @php_j: PHPをクロスサイトスクリプティングできなくするパッチを作ってみた - xmallocのプログラミングノート http://bit.ly/92roFg #PHP

最近活発に活動される気が。

Ji2Japan: フォレンジック調査チーム作成ツール「蟹八種」のバージョンアップ版をUPしました。フォルダ配下の分割ファイル結合してファイル化（メモリ上）、一つのファイルを指定してのハッシュ値表示のみ、SHA-256追加等がされています。http://bit.ly/5wpcAN

データセンターって蟹工船だったのか。「おい地獄さ行ぐんだで！」

momotoshi: 昨日の「データセンター完全ガイド」の取材。中小の事業者は運用管理を手作業らしい件。サービスも廉価だし、『蟹工船』みたいとワタシ。これはバカ受けだった。

わくわく。楽しみだなあ。

ockeghem: 業務連絡:WASForum Conference 2010にて、未公表のネタ2件を発表することにしました #wasf

で、今日は、誰かがとぅぎゃったーあたりでまとめてそうな気がするのですが、第49回コンピュータセキュリティ研究発表会(CSEC49)関連のツイートをまとめてみました。


「組織のITセキュリティ推進のゲーム理論による分析」について

drokubo: 佐々木先生から、このゲーム理論の応用はこれだけなのか、他の社会的事象にも適用可能なのかという質問。まずは、このモデルでやってみるという答え、でいいですかね。私から、プレイヤーに攻撃者を加えては？という質問。プレイヤーを増やしすぎると複雑になってしまうらしい。 #csec49

drokubo: Q:東芝ソリューション加藤さんから、結論としては罰を強化するということなのか？A:罰を強化しても効果がないのが現状。被害額ないし確率に対する認識にズレがある。それを補正して行く？ #csec49

「マルウェア検出情報ログの分析による対策の検討」はこれだけ。

drokubo: 2件目、JPCERT中津さん。ログを分析してわかった、マルウェアと周囲の要素との関連性。 #csec49

「効果的なボットネット追跡のための追跡経路モデル化と統計調査」について

drokubo: 佐々木先生他：VISTAでソーシャルエンジニアリングが多いというのは？ →他のタイプはVistaで防げる、インストールしたままのユーザ、UAC等を信じてやってしまうなど。 #csec49

expl01t: [ac] #csec49
トラフィック情報からボットマスターを検知したい．
課題：端末によって監視方法や容易さがまちまち→追跡可能性の試算が困難→
目的：監視実現の容易さから分類を行い，分類した端末ごとに実際にボットネットに使用されている割合を算出

expl01t: [ac] #csec49
1)一般端末[スキル面で協力は困難]，
2)防弾/無管理サーバ[非協力的],
3)管理サーバ[協力的] に分類．それぞれに特有の特徴から推定方法を導いた．

yumano: ボットコントローラとして、ircが利用される割合は現在のところどんな感じなのだろう… RT @expl01t [ac] #csec49 トラフィック情報からボットマスターを検知したい．課題：端末によって監視方法や容易さがまちまち→追跡可能性の試算が困難

expl01t: [ac] エロ^h^h^西垣先生から．「一般端末は24時間動かしていない．リスクとしては利用時間分だけ縮小される．一方2)3)は24時間だよね．」「稼動時間までは考慮していないっす」 #csec49

「クラウドコンピューティングにおけるセキュリティSaaSの基本検討」について

yumano: セキュリティsaas。安い、うまい、早いって感じでよろしく。いや、安心、安全って感じですね。 #csec49

drokubo: これ、シンクライアントじゃだめ、っていうか、クラウドである必然性が見えないな、という意見 #csec49

drokubo: 佐々木先生:クラウド導入の目的はコスト低減だと思うが、これではコストがかかってしまうのでは。→今はかかってしまうが、技術、研究を進めることにより解決が期待できる #csec49

drokubo: 定量的評価？→今後の課題 #csec49

drokubo: シンクライアントを対象から外す理由は？ → 深い意味はないw #csec49

yumano: 外さないで欲しかったです。 RT @drokubo シンクライアントを対象から外す理由は？ → 深い意味はないw #csec49

drokubo: 同意見約4人QT 外さないで欲しかったです。 RT @drokubo シンクライアントを対象から外す理由は？ → 深い意味はないw #csec49 /via @yumano

「P2Pファイル交換ソフトウェア環境Shareにおける効率的なファイル保持ノード特定手法」について

yumano: 馬鹿でかい仮想ネットワークでshareを運用して解析w 意味不明なフラグの意味を調査。キャッシュの各ステータスの統計を測定。このフラグがファイル保持に関連する。 #csec49

drokubo: 座長：リバースエンジニアリングしてる→してない #csec49

yumano: リバエンでなく、ブラックボックス解析がメインでファイル保持フラグを解析した。なんか、生き物の観察みたい。 #csec49

drokubo: 座長：実験の初期状態はどれくらい動かしたもの？→その差異にはあまり意味はない、でいいのかな？ #csec49

「MANETにおける匿名通信のための経路設計を必要としないOnion Routing」について

yumano: 次のネタ。MANETにおける匿名通信 #csec49

yumano: 今まで、経路設計が必要。送信元が中継ノード数分の暗号化が必要。提案方式。
送り先以外の適当な経路を宛先として追加して送信。a宛に送りたいメッセージをd宛に送り、受け取ったdがaに送る感じ。 #csec49

yumano: 受け取るまで、自分が最終宛先かわからない。暗号化回数を規制することでホップ数を制限。へー。 #csec49

「ボトムアップ型デジタルコンテンツ編集システム」について

drokubo: #csec49 QT:CSEC 49 第3セッション「ボトムアップ型デジタルコンテンツ編集システム」東京理科大学白川さん。 /via @akirakanaoka

akirakanaoka: イメージですが、署名方式っていろいろな背景や要求（と思われるモノ）をもとにたくさん方式が発表されてる気が。ぜひそれを実装したり実証実験したりとかいう強者がガンガン出て欲しいです。 #csec49

yumano: マッシュアップでコンテンツを作成するときのコンテンツに対する署名に関して。最終成果物から利用したコンテンツの署名を検証できるという理論的なお話。どういうコンテンツに有効なのだろうか？改変したコンテンツにも応用可能なのだろうか？と疑問に思った。 #csec49

akirakanaoka: @yumano ざっと見たイメージですが、改変コンテンツでも使い方による気がしました。元のコンテンツの署名は残したままにしないといけないですが。なので暗号プロトコルではなく使うときの利用法として実現、というか。 #csec49

drokubo: なるほど、ニコニコ動画のようなコンテンツが適用対象か #csec49

akirakanaoka: 続き： オリジナルコンテンツの作成者が署名を強制させるなど、アクセス制御が必要になるけどこれはこの署名ではできない気が。 #csec49

akirakanaoka: 電通大吉浦先生：署名されたデータは何が証明されたデータか？署名対象データがコンテンツ自身か、メタデータか。 #csec49

「機密情報の漏洩を防ぐための文書再利用検出技術」について

akirakanaoka: つづいて「機密情報の漏洩を防ぐための文書再利用検出技術」 IBM三品さん。 #csec49

yumano: 機密情報をコピペして作ったやつが漏れるとまずいよね、それを防ぎたいってDLPネタ。ここでいうDLP実行時にデータの内容を組織のポリシーと比較し、適切な振る舞いを計算機に強制すること。 #csec49

yumano: 情報のclassificationについて、発表。検出技術はシグニチャ、類似度、メタ情報利用など。今回は類似度。 #csec49

yumano: 質疑で話にあがっていた、メタデータに対して使うのが一番しっくりきました。使い方ですね。 RT @akirakanaoka @yumano ざっと見たイメージですが、改変コンテンツでも使い方による気がしました。元のコンテンツの署名は残したままにしないといけないですが #csec49

「ユーザの心理的負担を視野に入れたパスワードの安全性について」について

akirakanaoka: セッション3の最後は「ユーザの心理的負担を視野に入れたパスワードの安全性について」ニーモニックセキュリティの桝野さん #csec49

yumano: パスワードの脆弱性。認知心理学の知見から #csec49

yumano: パスワードは記憶不可能なものを選ぶこと。ただし、メモ書きは禁じる ってwww #csec49

akirakanaoka: 個人識別と本人認証は違う。 #csec49

expl01t: [ac] それぞれidentification と authentication のことなの？ RT: @yumano 個人識別と本人認証は概念がべつ。 識別は本人の意思が不要。認証は本人の主張。 #csec49

yumano: 結局、パスワードは無くならない。ここから、本論。 #csec49

yumano: 短期記憶。だいたい、7が限度。長期記憶。言葉で書ける記憶と体で覚えた記憶がある。apiは再生と再認があり、再認のほうがよい。また、画像のほうがいい。 #csec49

k4403: CSEC49で今発表されているのはニーモニックガードとは違うものを対象にしているのかしら？と原稿を読まずにつぶやき #csec49

k4403: TLを見る限り流れはニーモニックガード？ #csec49

yumano: セキュリティをあげる。人間の記憶特性が無視される。ワンタイムパスワードはトークンの証明。本人の認証ではない。所持物認証。 #csec49

akirakanaoka: 人間の記憶特性を考慮すると：無機質な情報はマジカルナンバー7の呪縛。項目数が増えると想起に干渉。再生より再認。「語」より「絵」が記憶容易。自伝的記憶にはイメージと情緒が伴う。 #csec49

yumano: じゃ、どうするのか？？苦行はやめる。対策として、記憶の特性をいかし、画像をつかったパスワード入力つながる。認知心理学的にはこれがよい。おしまい。 #csec49

HitomiS: @yumano ある画像から想起する言葉を覚えておくってことですか？　RT じゃ、どうするのか？？苦行はやめる。対策として、記憶の特性をいかし、画像をつかったパスワード入力つながる。認知心理学的にはこれがよい。おしまい。 #csec49

drokubo: S大学方式がいいということか QT:短期記憶。だいたい、7が限度。長期記憶。言葉で書ける記憶と体で覚えた記憶がある。apiは再生と再認があり、再認のほうがよい。また、画像のほうがいい。 #csec49 /via @yumano

drokubo: 画像を認証に使う問題は、ショルダーパッキングもあるが、扱える画像数が有限にならざるを得ないという問題もあると思う。 #csec49

k4403: CSS富山でmasui先生が発表されたものは画像数は有限にならないような記憶があります RT: @drokubo: 画像を認証に使う問題は、ショルダーパッキングもあるが、扱える画像数が有限にならざるを得ないという問題もあると思う。 #csec49

関連して公開鍵暗号方式の解説。簡潔にまとまっててtwitterならではですね。

neohawk: まず、物理的な私＝自然人、識別する物である俺＝クレデンシャルとします。公開鍵暗号方式における一義的なクレデンシャルは秘密鍵と公開鍵からなる一対の鍵ペアです。公開鍵を事前に他方に安全な手段で渡しておけば、契約時には私が秘密鍵で署名をすることによってクレデンシャルの保有を証明可能。

neohawk: この場合、契約の主体はクレデンシャルではなくて、クレデンシャルを保有している自然人たる私、です。X.509証明書は、公開鍵を対面で相手側に渡すことができない状況において、公開鍵の本人への帰属性を検証し、ある一定の期間、これを証明するデジタルデータです。

neohawk: X.509に限りませんが、こうした状況で一定のレベルを満たした認証局が発行した電子証明書と紐付けられた秘密鍵によって電子署名がなされた電磁的記録について、真性に成立したものと推定するってのが電子署名法の構造になります。

neohawk: なので、契約の主体はあくまでも私であって、俺＋なんとか、ではありません。

neohawk: そうだろうと思っとりました。一番楽なのは電子証明書でXML Signatureっすね。そもそもIdentifyとAuthenticateは違う概念だし。RT @hdknr: @neohawk CXで契約主体を識別する為の話の独り言だったので気にしないでください。

「定性・定量融合シミュレータを用いた社会的合意形成支援」について

yumano: パラメーター調整に時間がかかる。とか、評価値が専門家ごとに異なる。というのが課題。リスクアセスメントが大変な感じですね。 #csec49

yumano: 改善案はパラメーターを定性的に評価。専門家でも、そんなにぶれないだろうという前提。各自の評価値は確率分布として利用することで対策の効果を利用者にみせる。 #csec49 ずはり！な、解決策が欲しい人には辛いな。

yumano: 定性値からモンテカルロで確率分布を求める。たくさんのパラメーター調整をせずに、だいたいの分布とか視覚的に見ることができる。結果は単純な正規分布にならない。意思決定者は結果の分布をどういう方向で調整したいかを対策としたりするのかな。 #csec49

「多重リスクコミュニケータMRCの利用形態と今後の展開」について。前の研究とつながってるっぽいです。

drokubo: 佐々木先生ご自身の発表。多重リスクコミニュケータその2 #csec49

yumano: 多重リスクコミュニケーターの目的関数はコストの最小化。話を聞いているとちゅうで、たまに何をやっているかわからなくなる。パラメーターが複数のリスク、関与者、対策。課題。1.ISMプロセスの中に位置付け 2.社会的合意形成への適用 #csec49

yumano: 日常業務に使うには今のままでは重いので、簡易版の開発。ケースごとにコストパフォーマンスがいいものを並べてみるとか。 #csec49

yumano: オピニオンリーダーと一般参加者と違う立場がある。mrcを使い、まず、モデルを作った後で ustやtwitterとか使って情報まとめ、フィードバックする。妥協しない人がいて、合意形成できないとか課題ありそう。 #csec49

yumano: 印象操作とか弱い？オピニオンリーダーの実力勝負。白紙投票があるとホストの人選ミスとか間違った意見へのフィルタができると。 #csec49

yumano: 国勢レベルで法律きめるとかになると、システムの非利用者の問題が出てくる。 #csec49

「防護動機理論を基づくセキュリティリスク解明モデルの高等学校教育への実践」について

drokubo: 9.11以降セキュリティエコノミクスが盛んに？恐怖をあおる？それってシュナイアー先生の言うsecurity theaterじゃないでしょうね？ #csec49

yumano: 防護動機理論だいたい、ジレンマ問題が出てくる。で、行動を変えるために恐怖アピール。それの実験？ #csec49

yumano: 防護動機理論を構成する刺激変数。脅威の影響。発生確率。効果。この3つに加えて色々と追加。コスト、外的報酬、行為内容など。で修正防護動機理論をモデル化し、学生に対して実験教育を実施。 #csec49

yumano: 怖いことは対処もしたくないという考えがあるらしい。理解するより、逃避行動を取る。大学生のほうが理解力が上？理系バイアスがかかっているかも。 #csec49

yumano: なんか、ホラー営業の効果検証みたいな感じの発表だった。学生に対してだけでなく、もっと、上の年齢層に対してもやってみて欲しい。 #csec49

akiragi: ああ、わかる……。 RT @yumano: 怖いことは対処もしたくないという考えがあるらしい。 理解するより、逃避行動を取る。 大学生のほうが理解力が上？理系バイアスがかかっているかも。 #csec49

「IDリストを用いた評価値集約手法ILGTの提案」について

yumano: gossip trustの話。ピア数が多いと処理が増加。なので、改善策として、ILGTを提案。って流れの発表。 GTは全ノードが評価値算出。ILGTはグループないで計算する。 #csec49

yumano: あれ、分散ファイル共有にそのまま適用できない？ #csec49

drokubo: 非構造化P2PにおけるIDリストを用いた評価値集約手法 #csec49

yumano: そもそも、評価値はどうやって計算する話はなかった気がする。既存の研究？ #csec49

drokubo: この評価値集約手法を使うと、Winny対策として偽装ファイルを放流しているピアを除外できるかもwww #csec49

expl01t: [ac] MANETの話ね．そもそも全てのノードが正しい挙動してるという「強い」前提があるんじゃないかと思われ RT: @drokubo 結託についてはどうなのかな。 #csec49

expl01t: [ac] その通り．具体的数値が論文上に無いのはかなりダメ． RT: @yumano 暗号化確率のパラメータが変えたときには結果が違う気がした。このパラメータについて具体的に話はあったかな？ #csec49

yumano: 質問できなかったので、後でききにいこう。評価値は何？算出方法は？ #csec49

drokubo: こういう研究って、評価値の交換は安全に行われるのかとか、そういうことを聞いてはいけないんだろうか。 #csec49

yumano: 聞いていいと思います。評価値が改ざんできたら意味ないですよね。でも、何が信頼できる評価値なのかが、もっと、前の段階が気になってます。 RT @drokubo こういう研究って、評価値の交換は安全に行われるのかとか、そういうことを聞いてはいけないんだろうか。 #csec49

yumano: @drokubo そんな感じを受けるのですが、集約するものがわからないのに、集約する話をしているのが、ずっと、もやもやしています。 #csec49

yumano: あ、別の適用を考えなくても、目的に応じた評価値の算出方法を定義すればいいのか。ウイルスをまいているノードを除去する用途以外にも、ピアの回線速度や作成したコンテンツのクォリティなどを評価して効率よくファイルを共有する仕組みとか生かせそう。 #csec49

「トラックドライバの安心に関する質問紙調査の実施」について、社会心理学っぽい内容ですね。

yumano: トラックドライバーの安全のお話。楽しそう。 #csec49

yumano: 人間はいつもリスクを一定に保とうとする。という考えがある。狭い道だとゆっくり走る。広い道だとガンガン飛ばす。 #csec49

drokubo: 何かをトラッキングするドライバーソフトウェアかとw QT: トラックドライバーの安全のお話。楽しそう。 #csec49 /via @yumano

yumano: 安全装置に対する不信、過信に着目。まずは一般論としてトラックドライバーに安心の要因を調査した。認知的トラストにおける安心は(セキュリティ、信頼性、安全)における安心、安全。 #csec49

horiyo: Trust vs Distrust 逆の概念ではない => 同時に存在できる 　どちらを重視するかは状況による #csec49

yumano: distrustとtrustは両立する。逆の概念でなく、異なる軸の概念。 trustをあげても、distrustをあげることにならないケースがある。 #csec49

yumano: タイトルを見たとき、一瞬悩みましたよw RT @drokubo 何かをトラッキングするドライバーソフトウェアかとw QT: トラックドライバーの安全のお話。楽しそう。 #csec49 /via @yumano

akiragi: 車間距離もそうですね。通常の空走距離1秒に近い辺りを好む人が多いようです。 RT @yumano: 人間はいつもリスクを一定に保とうとする。という考えがある。 狭い道だとゆっくり走る。広い道だとガンガン飛ばす。 #csec49

テーマ : セキュリティ
ジャンル : コンピュータ