【久々ぎじゅつ 】キャンバン in Osaka

【はじめに】

 セキュリティ・キャンプのお話をするキャンバン。
 キャンバンが何の略可分からないけど、今日ありました〜。

 今回はセキュリティでもネットワークのセキュリティについて
 みなさんがお話してくれるので非常に楽しみ…。

 リアルタイムでブログ書いてるので、日本語がおかしいかも
  (いやそれ元から)


【園田さん - 通信パケット】

 園田さんは、ネットワークパケットやTCP/UDPに対するスキャンについて解説をしてる。

 >突然のSnortシグネチャ<

 Snortシグネチャについてにも簡単に説明をしています。

 Wireshark…。
 TCP通信がどのようにWiresharkで見えるか、どうか。

 telnetの見ちゃダメ!っていうパケットを見てる…。

 攻撃したらSSLの通信が見えちゃう(平文)。

 >パケットの中からアセンブリのソースが…<

 >start msblast.exe

 レアなパケットを集めているサイトが有る
-> ここ。OPSFのパケットもある。

Packet Analysis 2011 Chaenges
3問ぐらいあって、そこから問題を解いていく。


  DEFCON 18 -- Packet Madness 200
These folks seak a different language. Join their site and translate the key for us.
の解説を園田さんがする…(?)

Chris Sandersさんがパケットの本以外に面白いパケットをまとめている

 
 Wiresharkがsampleのパケットを公開している.


ここで、園田さんからジェームズさんにバトンタッチ。


【ジェームズさん -- パケット工作から学ぶNWSec】

 
 セキュリティ・キャンプで使ったスライドを使っているので、
 うーんって感じかと思ったけど、がんばります。
 あのときしゅーとくんと「あれな」って感じで見てます。

 バイナリのパケットを16進数にした場合、0806が書かれていたらそれはARP
 0800はIPアドレス…2つが一つのパケットに書かれていたら、
 つまり ARP/IPということがわかる。。

%iptables -P INPUT DROP

【殿様ぁあああ -- パケット偽装】

 ・通信プロトコル - 「人が決めたこと」
 ・孫子の兵法
   - 人より早めに攻撃(?)

  【悪い例】電話

悪人A 善人B

もしもし?オレオレ
----------->

  はいはい、たかし?
<----------

  たかしだけど〜
------------>

どうしたの、たかし
<------------
 
みたいなことをプロトコル上でする。


偽装通信の定義:
  1.情報を転送しているように見えない
2.リソースのステータスが入るべき値に任意の値を入れて送る
3.リソースの配置ポリシーと、管理実装の結果を…(ぷつん


実際の偽装通信は?

 ・もうちょっと多様化している
   - レイヤも関係なし
   - Proxy も関係なし

 ・正常な通信しか見えないようにしている
- Bot や標的型攻撃などにも使われている
最近の攻撃では、ZeusBotやSpyEyeなどが使われている。
独自のプロトコルで、違うところに送っているように見て、偽装していることもある。


偽装のアプローチ

・本来「通信データとして使われている」と意図されないところに「任意の」
  データを配置する  - 今回のメイン

・データを受信する他意タイミングを符号化する


- ばれない通信路
- 「これ?」っていう通信路

を攻撃者目線から見つけることが重要。

TCPペイロードに隠す
- GNU httptunnnel
- HTTPTunnel@JUMPERZ_NET

ICMPペイロード

GNU httptunnel
- Cで書かれたトンネルプログラム
- HTTPトラフィックに、別の通信内容を載せる
- hts (サーバ)とhtc(クライアント)がHTTP


HTTPのトンネル

ICMPペイロード

・Tunnel Shell
- ICMP パケットを使って、シェルイン…(ぷつん)

広告を非表示にする