Architect's Log

I'm a Cloud Architect. I'm highly motivated to reduce toils with driving DevOps.

「すみだセキュリティ勉強会2018その2」にいってきた

「すみだセキュリティ勉強会2018その2」にいってきたので、メモを共有します。

sumidasec.connpass.com

個人でEV SSL証明書が欲しい話

SSL証明書おさらい

PKIと証明書

  • PKI
    • 公開鍵基盤
    • CA
      • 認証局
    • RA
      • 登録局
        • アイデンティティを確認
    • RA/CAは一社で担っている
  • 証明書
    • Public Key
    • 公開鍵の主体情報
    • 発行元のディジタル署名
  • 公開鍵だけではなりすましができてしまうので、このような面倒な仕組みが必要

SSL証明書発行規定の標準

  • Baseline Requirements

証明書のパス

  • 大抵は3段階
    • トラストアンカー(例:DigiCert)
      • ルート認証局が金庫にしまってある鍵で作る
    • Root CAで直接署名所を発行するのは危険すぎる。一般にサブで作る

証明書の内部構造

  • X.509 v3証明書
    • データ構造:ASN1
    • エンコード:PEMまたはDER
      • PEM
        • Base64でエンコードされた文字列
      • 実態としては同じなのでOpenSSLで変換できる
    • 現在の主役はExtension
      • httpsでは、FQDNはここしかみない

PKI用語の注意点

  • PKIの文脈では、日常用語と同じ単語が技術用語として使われる(例えば「信頼」)ので、日常語のレベルで理解しないこと

DV/OV/EV

  • TLSプロトコル上、暗号強度は変わらない
  • EVだからといって信頼性が高いわけではない
  • DV
    • ドメイン認証
      • Let's Encryptで無料取得可能
  • OV
    • 組織の法的な実在性認証
  • EV
    • OVよりさらに厳格な実在性認証
    • 会社の登記簿に記載のある役員のサインなどが必要
    • ワイルドカード証明書は不可

EVの目的外

  • 組織の実在性にfocusし、以下の保証をするものではない
    • その組織が実際にビジネスしている
    • その組織が法令に遵守しているか
    • その組織と取引して安全か

残念なお知らせ

  • Chrome70からEVでもグリーン表示が消えます
    • httpsは当たり前だから表示する必要はない
    • httpのときに赤く表示する

個人でEV SSL証明書を取る動機

EV SSLの発行規定

  • Private Organization
  • Govenment Entity

買えないので、つくるオレオレEV証明書

2つのOID

  • ベンダーのOIDS
  • CA/B ForumのOID

melspanの情報収集と解析

malspamとは

  • メール経由でスパムのように配布されるマルウェアのこと

メールを使う理由

  • マルウェアに感染させる経路
    • メールにマルウェアを添付して開かせる
    • メールでマルウェアに設置したサイトへ誘導する
    • Webページを改ざんし、ブラウザなどの脆弱性を悪用するExpoit kitを実行させる
    • 端末の脆弱性を悪用し、ネットワーク経由で感染させる

malspamで送られてくるmalwareについて

  • メールで送られるマルウェアの多くはダウンローダ
  • ダウンローダを実行することで、実際に悪さをするマルウェアをダウンロード

malspamの情報収集

  • Twitter
    • "不審メール"で検索するとつぶやいてくれている人がいる
  • ばらまき型メールカレンダー
  • 外部公開用_ウィルス付きメール(ばらまきメール)まとめ

解析

  • Hyblid Analysis