『脆弱性管理日誌』 Port139 伊原 秀明 2003.11.15 2003/11/17 09:53:47 (JST) この資料に関して この資料は2003年11月15日に開催 された『Port139勉強会』の発表資料 です。 資料の最新版(PDF)は以下のURLから 入手可能です http://www.port139.co.jp/cakeoff.htm デジタルタイムスタンプに関して PDF版資料には、デジタルタイムスタンプが付与さ れています。 PDFファイルのデジタルタイムスタンプを確認する には、AMANO が無償で公開している検証専用ソフ トを利用する必要があります。 検証専用ソフトには、Windows のエクスプローラ から利用するタイプのものと、Adobe Acrobat の プラグインとがあります。 以下の URL から検証専用ソフト(無償)をダウンロー ドしご確認ください。 http://www.e-timing.ne.jp/download/index.html 著作権に関して この資料は著作権により保護されてい ます。著者(作成者)の許諾なく転載する ことを禁止します。 ご不明な点は hideaki@port139.co.jp 宛にお問い合わせください。 自己紹介 Windowsに対する不正アクセスとその対策方法、 不正アクセス調査やコンピュータ・フォレンジッ クなどを専門に扱うセキュリティ・コンサルタン ト。 Port139(http://www.port139.co.jp/)にて、 セキュリティ関連情報を提供している。 Microsoft MVP (Security) http://www.microsoft.com/technet/security/ community/mvp/default.mspx Port139物理セキュリティ 生体認証システムの利用(サーバ設置場所) 問題点:内部犯行に弱い!! Port139ネットワーク構成 Log(XP Pro) ICF Internet Bフレッツ 100Mbps 長野県飯田市 Router HUB 4.4GB 4.4GB 120GB 10BASE-T FireWall Router HUB 社内 Router HUB 4.4GB 4.4GB 20GB ns(Linux) Mail,DNS www(W2K) ext3 NTFS 圧縮 Syunlogによる通信ログの確保 ICF Syunlog(サービス) 記録 データ WinPcap キャプチャ TCP/IP 通信ログ 削除される危険性があるので、 通信ログ ホストは記録のみ! NIC パケット パケット パケット 通信先 公開ポリシー 運用体制を公開 https://www.port139.co.jp/policy/ ①セキュリティ情報の収集規則 ②セキュリティ修正プログラムの適用規則 ③脆弱性管理日誌の管理方法 ④緊急時の連絡先 記述してない部分もあり 定期監査・スナップショットの保全 『HDD の Disk Image FIle を作成』 修正プログラム適用規則 現状は3日間(72時間) 目標:24〜48時間 セキュリティ修正プログラムの緊急度に応じて… 緊急:ガイドラインでは 24時間〜2週間 Microsoft セキュリティ修正プログラム管理ガイド http://www.microsoft.com/japan/technet/sec urity/topics/patch/secpatch/default.asp 緊急 が2週間でいいのか? 最近、月刊化されたので見直しが必要 セキュリティ情報リリース プロセスの改定 http://www.microsoft.com/japan/technet/sec urity/policy/default.asp パッチの不具合 パッチ(Hotfix)の品質が良いわけがない 設計/設定段階で考慮されておらず、結果不 具合が発生する確率が高まる 適切な設計/設定がされたシステムでは不具 合の影響を受けにくい 例え不具合が出ようともパッチの適用は根本 解決上は必須! 管理日誌の作成 ポリシー 管理日誌 PPT文書 変換 CD-R等 保存 管理日誌 PDF文書 印刷 管理日誌 紙文書 PPTの雛形 ファイルをコ ピーして利用 タイムスタンプ 第三者機関 存在証明 完全性証明 脆弱性管理日誌(実物) 記録年月日 記録者 2003年10月17日 伊原秀明 パッチ番号 MS03-041: MS03-042: MS03-043: MS03-044: MS03-045: Authenticode の検証の脆弱性により、リモートでコードが実行される (823182) Windows トラブルシュータ ActiveX コントロールのバッファ オーバーフローにより、コードが実行される (826232) メッセンジャ サービスのバッファ オーバーランにより、コードが実行される (828035) Windows の「ヘルプとサポート」のバッファ オーバーランにより、システムが侵害される (825119) リストボックスおよびコンボボックスのコントロールのバッファ オーバーランにより、コードが実行される (824141) 最大深刻度 MS03-041〜044緊急,MS03-045重要 リリース/更新日 2003/10/16 適用の必要性 あり(MS03-041〜045) 再起動の必要性 あり 対象システム www.port139.co.jp 影響 特になし 適用予定日 2003年10月18日 適用済み 備考 MS03-041〜045までのHotfixを適用。 IEの修正プログラムに関してはWindows Updateを利用して 更新。 追加備考(実物) 各種MLやMSKKの更新履歴を確認し、特にHotfix適用による問題の 発生は確認できなかったので適用を行う。 Hfnetchkを利用し適用を確認 Scan performed Fri Oct 17 05:33:34 2003 Shavlik Technologies Network Security Hotfix Checker, 3.86 Using XML data version = 1.1.1.867 Last modified on 10/15/2003. Scanning BERINGER .......................................................... Done scanning BERINGER ---------------------------BERINGER (210.196.94.147) ---------------------------* WINDOWS 2000 SERVER SP4 Note MS02-064 Q327522 * INTERNET INFORMATION SERVICES 5.0 SP4 Information All necessary hotfixes have been applied. * INTERNET EXPLORER 6 SP1 Information All necessary hotfixes have been applied. デジタルタイムスタンプ PPTをPDFファイルへ変換し、デジタルタイ ムスタンプを 脆弱性管理日誌 へ付与 e-timing EVIDENCE for Adobe Acrobat http://www.e-timing.ne.jp/tsa/index.html PDFファイルへスタンプ可能 一回 20円 定期監査(証拠保全) 月に一度実施(告知せず不定期に) 全ホストを電源停止 HDD の Disk Image File を保全しDVD-Rへ Disk Image File のハッシュ値をデジタ ルタイムスタンプで日誌に記録/保全 カメラ(写真)による画面の撮影もテスト的に実施中 定期監査(e内容証明) 電子内容証明サービス http://www3.hybridmail.jp/mpt/ インターネット経由で 内容証明 の 送付が可能(カードがあれば簡単) ハッシュ値を送付 自分(2カ所へ送付) 1,895円 課題 Disk Image 作成にかかる時間 通信ログホストの2重化と容量 パーティション拡大は簡単だが・・・ 監査(解析)に時間が必要! おしまい hideaki@port139.co.jp www.computer-forensics.jp
© Copyright 2025 Paperzz