第06回まっちゃ445勉強会目覚まし勉強会


場所: 株式会社IIJ 大会議室(神保町三井ビルディング 17F)
参加: 70人位?
詳細こちら

セッション1:「Nessus 3 for Windowsの簡単なご紹介(仮)」(F.koryuさん)

Nessusはフリーのクラサバ型の脆弱性検査ツール。4.0がつい最近リリースされた
Windows版はサーバモジュール+クライアントモジュール(GUICUI)のセット
プラグインのライセンスはとりあえずHome Feedにしとけ
ご本人に突っ込まれて修正

今回は個人用途(動作検証)なので「Home Feed」でOKでしたが、お仕事の場合、ペイできるならProfessionalFeed($1,200/Year)を買った方がベターだし、そうでない(予算が無い or より高度な機能が必要な)場合は別のツールを検討した方が良いと質疑応答の中で答えているはずです。

サーバやネットワーク機器の設定の仕上げの確認に使うのがいいんでないか
監査をやるときには監査計画書を管理者や監視する人に提出するのがエチケット


最近Nessusを使うすきものはid:tessyさんくらいじゃねーのという雰囲気。個人的にも最近はMetasploitかなぁ。

セッション2:「セキュリティ監査人の苦労話受難」(ととろさん)

セキュリティ監査人はセキュリティポリシーなどの診断をする人
企業A:監査中にシステムに日々修正されていた。開発者から「デバッグにご協力感謝」
企業B:ISMSの予備調査。DoS→成功
監査中に市販アプリの脆弱性がみつかると、2割の顧客はIピーAへの報告を拒否。


これはひどい

セッション3:「強いWindowsの応用」(ゆまのさん)

Windowsのローカルセキュリティポリシーのソフトウェアの制限ポリシーを使ってexeの実行を止める実験の結果発表。
ファイルパスによる制限は結構つらい。Update時にシステムルートに一時フォルダをつくるタイプがあるのでホワイトリスト方式は無理。C:\winny\downをブラックリストに設定するなどが現実的。


面白かった。

セッション4:「POCとブラウザ」(kitaiさん)

3/31に某ブラウザのPoCがみるわ〜むで公開された時の顛末。
FirefoxOpera以外のブラウザでもテストしてみた。IE7Chromeは問題なし。


Chromeは任意のコードを実行するのがとっても大変とどこかで聞いた。こんな厳格に運用している会社もあるんだねー。

セッション5:「あ…ありのまま 今 起こった事を話すぜ!」(AIDOさん)

自粛


まとめ:「朝は濃い」まっちゃさん