2001年度計算数学I 第3回 コンピュータとネットワークの セキュリティ

2001年度計算数学I
第3回
コンピュータとネットワークの
セキュリティ
一井信吾
[email protected]
今日の内容
前回の補足&業務連絡
 セキュリティ:何が問題か?
 被害者にならないために
 加害者にならないために
 パスワードに注意!
 暗号化はなぜ必要か?
 実習とレポート

前回の補足

Vineインストールは大体うまくいきました
– Xの設定で「はまった」グループがいくつか
» Video RAMの不良の可能性があります
» 当面そのまま(800x600, 16bit)で使って下さい
– 課題:インストールにかかった時間
» ダウンロード&インストールに20~30分かかってい
たようです
» 一人でやると15分くらいなので、さすがにたくさん
でやると遅くなるが、思ったほどひどくはなかった
業務連絡

初心者コースの予定
– タイピング、
Unix操作の基礎(1)
– Unix操作の基礎(2)
– いろいろなコマンド
– シェル探訪
– シェルスクリプト
– システム管理
– サーバ管理

標準コースの予定
–
–
–
–
–
–
–
いろいろなコマンド
シェル探訪
シェルスクリプト
awk, sed
Perlプログラミング
システム管理
サーバ管理
特別な日

5月25日
– 五月祭のため自習
» もし来なくても欠席には数えません
» TAはいる(はず)ので、質問等してください

6月8日
– Mathematica入門
» 数式処理システム、グラフ描きにも便利
» 業者による講習
» 13:00~
» 計算数学I受講生以外にも開放します
セキュリティ:何が問題か?

問題になる事象
– 刑法犯
» 電磁的記録不正作出及び供用(162の2)
» 電子計算機損壊等業務妨害(234の2)
» 電子計算機使用詐欺(246の2)
» 公用電磁的記録毀棄(258)
» 私用電磁的記録毀棄(259)
– 不正アクセス
» 不正アクセス行為の禁止等に関する法律
(2000.2.13施行)
不正アクセスとは

(...)不正アクセス行為とは、次の各号の一
に該当する行為をいう
– ネットワークを通じて他人のユーザID、パス
ワードを入力
– ネットワークを通じてセキュリティホールを利
用
– 他の装置で認証などを行っている機械に対し
てその認証をバイパス
より広くとらえると

社会に迷惑をかける行為全般
–
–
–
–
SPAM中継
プライバシー侵害
著作権等の侵害
不正アクセスと紛らわしい行為
» どこかの会社のサーバに意味もなくtelnetしてみる
» データベースなどに必要以上に頻繁にアクセスす
る
被害者にならないために

何に注意するか
– ネットワーク経由の攻撃
» 侵入を目的とした攻撃
» サービス不能攻撃(Denial of Service attack)
– コンピュータウィルス
»
»
»
»
»
特にWindows PCやMacintosh
最近はほとんどメール経由で感染
Webページを見ただけでも
Linuxに感染するウィルスも現れた
ビデオを見ましょう
– 自分(!)
侵入を目的とした攻撃

不用意にあけられたポート(サービスの「入り
口」)を狙う
– telnet, ftp, ssh etc.
– ユーザ名がわかったら、パスワードを推測

脆弱なソフトウェアを攻撃
– プログラムミス(バグ)
– バッファあふれ
– race condition

もはや、技術を要しない
– script kiddies
サービス不能攻撃

聞きなれない言葉だが
– Denial of Service attack

特定のシステムに多数のデータを集中して送り
つける
– 特定のシステムが動作しなくなるデータを送りつける
– 侵入監視システムを混乱させるデータを送りつける

分散して行うと効果的
– Distributed DoS
– 最近の例:「作る会」関連サイト攻撃
ネットワーク経由の攻撃を
どうやって防ぐか

システムの脆弱性(セキュリティホール)をなくす
– メーカーからの情報
– ソフトウェア作成者からの情報
– システム監査ソフトウェアの利用
» 東大では、情報基盤センターが行っている(数理でも利用)

ファイアウォール、パケットフィルタを使う
– 万能ではないし、場合によりDoS攻撃の標的ともなる

侵入検知システム(Intrusion Detection System)を
使う
– 同上
自分はいかに危ないか

よいパスワードを選んだか?
– あとで発表します

うっかりミス
– システム設定のミスにより侵入を許すことに
– ログインしたまま席を離れてはいけない

さぼり
– ソフトウェアの更新をサボると危ない

Social engineering attack
– パスワードを書いた紙をごみ箱に捨てたら
– 電話で大事な情報を教えたら
» 偽マイクロソフト証明書事件
加害者にならないために

自ら不正行為をするのは論外
– 法に触れればつかまります
– 計算数学受講者なら、即座に受講資格剥奪
– 大学のその他のシステムでも、しかるべき処分

被害者即加害者となるご時世
–
–
–
–
不正に侵入され、踏み台にされる
不正に侵入され、DDoS (Distributed DoS)に使われる
SPAM中継
他人事ではない!
» 東大某センターディスク押収事件

知らない間に「加害者」になっていることも
– データベースの過大利用
パスワードに注意!

前回設定してもらったパスワードを検査
– Unixでは、パスワードは暗号化して保管してある
» 暗号の解読は困難

辞書+いろいろなアルゴリズムでbrute force
– 実習用PCとほぼ同等のspecのマシン
» ということは、今手に入るマシンの1/2~1/3のパワー
– 解析ソフト、辞書はいろいろ出回っている


これでパスワードがばれてしまった人は要注意
どのようなパスワードを選ぶとよいか?
– ユーザIDと同じでないこと(絶対!)
– 辞書に載っている単語、人名を利用していないこと
– これらの単語を単純に組み合わせただけでは不可
暗号化はなぜ必要か

パスワードをネットワーク経由で入力すると危な
い
– ネットワーク上を流れる情報は、盗み見可能
– 通信業者内は、point-to-pointなので漏れる可能性が
小
» 通信の秘密保持義務もある
– 大学内ネットワークなど、LAN (Local Area Network)
が一番危ない
» 管理が不十分なマシンがある

日本数学会事件
» LAN上でデータが見放題の場合がある
危ない/危なくないLAN

shared network
– 電気的に一つのメディア
(e.g. 銅線)を複数のコン
ピュータで共有
– バス型又はスター型(ハ
ブ)
– よい点:1台あたりのコスト
が比較的安い
– 悪い点:伝送帯域も共有な
ので混んでくると遅くなる
– もっと悪い点:1台の送信
データが他のすべてのコン
ピュータでも見える
– 実習用LAN:薄緑色ケーブ
ル

switched network
– 一つのメディアは1台のコン
ピュータが占有、スイッチ
に接続
– スター型(スイッチ)
– 悪い点:1台あたりのコスト
が比較的高い
– よい点:伝送帯域も占有な
ので混んできても遅くなら
ない
– もっとよい点:1台の送信
データは特定の相手でし
か見えない
– 実習用LAN:水色ケーブル
実習(1)

SPAM対策ができているかどうか
– SPAMとは、頼んでもいないのに送ってくる
(unsolicited)ダイレクトメール(commercial mail)
– 送信元を隠すために、無条件にメール転送を
行うコンピュータを中継用踏み台にする
– SPAMを嫌うあまり、中継を行っているサイト
(大学等)からのメールをも受け取らない場合
がある
実習(2)

システムの脆弱性に関する情報の扱いに
ついて
– TAを同じくするグループのメンバ全員で、TA
も交えて議論してください。
– その議論(結論が出ていなくても結構)を踏ま
えて、自分の意見をレポートに書いてください。
実習(3)

shared networkがいかに危ないか、実感す
る
– 実習用計算機は、shared network につなぎ変
えてある
– 同じshared networkに管理用計算機をつなぎ、
ネットワーク上のデータを収集
– TAから収集されたデータを受け取り、確認す
る
レポート
実習2をふまえて、自分の考えを記す。
 実習内容はWebに書いてあります。
例によって
http://ks.ms.u-tokyo.ac.jp/
からたどってください。
