中小企業の標的型攻撃対策 その1 <マルウエア対策>

標的型攻撃とWindowsのZoneID

 

大企業じゃなくても扱う情報や持っている技術によっては標的型攻撃の対象になる

マイナンバーが始まったから、なおさらだと思う

でもって、中小企業であるが故にセキュリティ投資はできるだけリーズナブルにしたいと、まさに二律背反

そこで登場するのはWindows 8.x移行に登場した機能でZoneIDを使って被害を軽減しようという試み(まー実はXpからあるんだけどね)

 

この機能はファイルの出所によって、実行時にユーザー問い合わせを行い、危険なプログラムの実行を抑止します。

例えばインターネットからダウンロードしたフリーのツールとか、メールで届いた実行ファイルとかね

 

対策としては、従業員さんに「~実行しますか」的なメッセージを無視しないで下さいとかの教育を行えば良いと思う

中小企業は制限ソフトなんか使わなくても教育/啓蒙で十分効果があると思う

 

しかし、まだまだ弱点があって・・・

実行ファイルをコピペでローカルに保存すると出所の情報が変わってしまうので注意が必要とのこと

 

戦いはつづく!!

 

f:id:heilel:20151017075316j:plain

 

マイナンバーの脆弱性について

もうすぐマイナンバーが始まるのだけど、問題点がいくつもあって危険だと思う

そこで、自分なりに問題点と解決策を考えてみた

 

問題点

 12桁では短かすぎる問題

   当たり前なくらい短い番号は危険、詐欺師なら電話で聞き出せちゃうレベル

   正直、256ビットの英数混在でも不安


 番号を一生使う問題

  バレたり漏れたりしても、公的理由が無いと変更できない
  「DV」や「非円満退社」などで「逃げる」が必要な場合に、嫌がらせされそう

 

解決案

 256ビット以上の真番号と影番号を新設する

  マイナンバーを真番号と影番号に分ける

   真番号 :  基本本人も見ない。256ビット以上

         真番号は影番号を作る時だけ使用する番号


   影番号 :  用途に応じて相手に渡す番号。1か所に1個の使い捨て


マイナンバーを発効/郵送する時に、真番号と10個程度の影番号を発効する。

真番号は袋とじにして基本本人も見ない。長く英数なので電話で詐欺師に伝えるのは無理だし、袋とじなので、写メ対策もOK(タブン)

真番号を政府の権威機関に提出すると、影番号を作成してくれる

影番号は、企業や銀行や証券会社や税務署に提出して利用する。

万一、提出した機関から漏洩しても影番号を廃棄すれば、被害を局所化できる。
番号を知られている場合も影番号なら容易に廃棄できる。

個人から影番号を提出された機関は、影番号で権威機関に証明を求める。

真番号と影番号を提出するときにソルトを使えば、さらにセキュアになる。

公的機関が個人の認証局となるので、新しいビジネスモデルが創出できる。


どうだろうか? 少なくとも現行案よりはマシなはずww

Windows コマンドプロンプトをUnicodeで・・・

WindowsコマンドプロンプトS-JISで色々と処理をするので、案外困りもの

たとえば、Windows環境の特殊な文字列を使ったファイル名をテキストファイルに

書き出すとエラーになる

そこで

>cmd /u

で、Unicode(UTF-16)対応になる

しかし、Unicodeでバッチを書いても実行できないみたい

読み込み時はS-JISのようす・・・

 

まぁ、WSHで書いてしまえば良いので、再利用&汎用性を高めたいなら

ファイルオープンするときに引数を追加すればよいかなー

Set objFile = objFso.OpenTextFile("c:\a.txt", 1, False,-1)

CentOSで実験環境を作る

SSD32G付きの小型PCをもらったので、実験環境を作成開始

 

★USBからCentOS 6.5をインストール

ISOはココから入手

http://archive.kernel.org/centos-vault/

 unetbootinを使ってインストール用USBを作成

 Repodataの中身をダウンロード元からUSBのRepodataへ上書き保存

 

 BIOSでUSB起動にする

 CentOSインストール 

顔認証についてメモ的妄想

 

最近のクライアントは自撮用カメラが付いているけど、顔認証でロックを解除できるものもある

そこで、操作している最中も認証継続していて、別の人物が操作した時はコマンドを受け付けないというのはどうだろう。

そもそも、パスワードが通れば、あとは何してもOK、誰が操作してもOKって脆弱だと思う。

別人が操作したときは、ネットワークを遮断するでも良いし、リモートコマンドを送れないでもよい。

LDAPに生体情報が登録されるかも、とはいえ生体情報が悪意の複製されたら、正当な権利者は変更不可能なので、PINは必要になるかなぁ

Windowsのログインパスワードを忘れちゃったら

結論 Windowsのログインパスワードは簡単に解除できる

方法は何でも良いが、対象のシステムドライブに別のOSでアクセスできればOK

で、あのコマンドをあのコマンドにリネームし、パスワードを変更するコマンドを実行すれば良い

根本的に防ぐなら、ディスクの暗号化、Win8Proから標準搭載されているBitLockerが無料で適任

友人知人のPCを解除するのはまぁアリだとしても、そんなスキルを持っている事を知られると、後から色々頼まれて、自分の時間を失うことになるのでご注意を

fciv.exeでファイルの整理2

fciv.exeを使ってファイル整理をしてみる

まず、DOS窓からファイルのハッシュ値をとる

J:\>fciv -add hogehoge.bat
//
// File Checksum Integrity Verifier version 2.05.
//
d9a5d8a6db77382d4b660554adaf64a9 j:\hogehoge\hogehoge.jpg

ハッシュ値」+「空白」+「ファイルの場所」が出力される

ハッシュ値(一方向要約関数の値)なので、このファイル以外にこの値は存在しない

オプションで複数ファイルの一括取得も可能

標準出力で一覧をテキストとして得る

 J:\>fciv -add hogehoge.bat > hash.txt

得たテキストファイルをエクセルで読み込み、ハッシュ値でソートする

同じハッシュ値はバイナリレベルで同一のファイルとなる

列を一つ用意して

  =IF(D2=D1,"del ","")

こんなエクセル関数でdelを付与する

delが付与されたファイルと空白とファイルの場所を連結する

ファイルの場所は「"」ダブルコーテーションで囲んでおく

この連結されたテキストをバッチファイルに書き出して実行する

(ドット)付のファイル名やアクセス権、読み取り専用などのファイルは処理されないので注意する

読み取り専用を解除するならattribコマンドが便利、アクセス権を変更するならicaclsコマンドが便利です

ハッシュ値をファイル名に転用すれば、同名ファイルで保存不可も回避できる

デジカメの画像ならExifを引っこ抜いて「日付」+「ハッシュ値」.jpgな名前にすれば、ソートも楽ちんになる