年号が変わって、時代が動いたともいえる今年、ホントに色々なことがありました。
今年もあと少し。気を抜かずに無事に来年を迎えたいものです。
というか、今日、朝左足吊って、帰宅中に右足吊りました。_| ̄|○iii
先日、木梨憲武さんが「GG STAND UP !!」なる曲を出されていましたが、その中で
「坐骨神経ビンビン こむら返りがバンバン」という歌詞があります。
嗚呼まさにそれなのだよ!!!(りんな変換
単に運動不足なのかも知れませんけどね。
歳40を越えてきてますし...若いつもりだけではダメですね。
ホント、トホホであります。(´・ω・`)
水曜日, 12月 04, 2019
Google Pixel3 (Android 10)のL2TPの留意点
世の中のごく一部、私のように悩んでいる人がいると思うので、備忘録として。
ズバリ、Google Pixel3(ほかのAndroid機では試してないのでワカランですが)のL2TPは、RFC2661に準拠したKeep Aliveをサポートしないようです。
なので、VPNサーバ側でKeep Aliveを有効にしていると、Android側が全く返事しないので、VPNサーバ側は接続が切れたと思ってトンネルを破棄してしまいます。
この現象を回避するには、VPNサーバ側でL2TPのKeep Alive(Hello)を無効にする必要があります。
手元にある某社ルータで試したところ、こんな感じのデバッグメッセージでした。
----------------------------------------------------------------------------------------------------------------------------------
L2TP.033: Added Hello to send wait queue on Tunnel0.0
L2TP.052: Set Message Type AVP (Hello)
L2TP.022: Send Hello to XXX.XXX.XXX.XXX on Tunnel0.0, len 20, tid 3233, sid 0, Ns 2, Nr 4
L2TP.031: Retransmission timeout on Tunnel0.0, count 1, CWND 1, SSTHRESH 1
L2TP.031: Retransmission timeout on Tunnel0.0, count 2, CWND 1, SSTHRESH 1
(中略)
L2TP.030: Retransmissions exceeded on Tunnel0.0
----------------------------------------------------------------------------------------------------------------------------------
Keep Aliveを無効化することで切断されなくなりましたが、これだとVPNサーバ側はずっと繋がっていると勘違いするので、VPNサーバに用意されたほかの手段で切断するようにしましょう。
※手元の某社ルータでは、idle timeoutがあったので、それで対応しました。
■参考にさせて頂いたサイト
ズバリ、Google Pixel3(ほかのAndroid機では試してないのでワカランですが)のL2TPは、RFC2661に準拠したKeep Aliveをサポートしないようです。
なので、VPNサーバ側でKeep Aliveを有効にしていると、Android側が全く返事しないので、VPNサーバ側は接続が切れたと思ってトンネルを破棄してしまいます。
この現象を回避するには、VPNサーバ側でL2TPのKeep Alive(Hello)を無効にする必要があります。
手元にある某社ルータで試したところ、こんな感じのデバッグメッセージでした。
----------------------------------------------------------------------------------------------------------------------------------
L2TP.033: Added Hello to send wait queue on Tunnel0.0
L2TP.052: Set Message Type AVP (Hello)
L2TP.022: Send Hello to XXX.XXX.XXX.XXX on Tunnel0.0, len 20, tid 3233, sid 0, Ns 2, Nr 4
L2TP.031: Retransmission timeout on Tunnel0.0, count 1, CWND 1, SSTHRESH 1
L2TP.031: Retransmission timeout on Tunnel0.0, count 2, CWND 1, SSTHRESH 1
(中略)
L2TP.030: Retransmissions exceeded on Tunnel0.0
----------------------------------------------------------------------------------------------------------------------------------
Keep Aliveを無効化することで切断されなくなりましたが、これだとVPNサーバ側はずっと繋がっていると勘違いするので、VPNサーバに用意されたほかの手段で切断するようにしましょう。
※手元の某社ルータでは、idle timeoutがあったので、それで対応しました。
■参考にさせて頂いたサイト
火曜日, 10月 29, 2019
脆弱性診断ツール
Windowsに限らず、パッチの当て忘れや設定不備などを見逃すと、それが脆弱性になってシステムが攻撃される原因になってしまいます。
そこで活躍するのが、脆弱性診断ツールです。
脆弱性診断ツールとは、読んで字のごとく、対象システムの脆弱性(弱いところ)を見つけ出すソフトウェアまたはアプライアンスです。
脆弱性ツールは、いくつかのタイプに分類できます。今回は特にプラットフォーム診断(ネットワーク診断とも)にフォーカスをあてて紹介したいと思います。
※Web診断用のツールもいくつかあるのですが、使ったことがないので説明できない...。\(^o^)/オワタ
(1)破壊型
診断対象システムに存在する可能性のある既知の脆弱性に対し、実際に攻撃を行ってシステムが停止ないしは誤動作するのを監視し、動作不良を以て脆弱性を検知する。
検知精度は高い(実際に止まったり再起動したりするから)が、対象システムが壊れることも...。
一昔前にはこのタイプしかありませんでした。
【製品の例】
Spirent社のStudioシリーズ、IBMのInternet Scanner、NexantiS社のSecurescout NX、などなど。
(2)非破壊型
診断対象システムに存在する可能性のある既知の脆弱性が存在するないしは修正パッチによる挙動を監視し、不備があるないしは修正されているかを確認して、脆弱性を検出する。
※サイドエフェクト監視とも
一時期より主流となった方式です。
性質上誤検知の可能性があるので、最終的に誤検知の可能性の高い検出結果については、診断技術者が手動で検証して精度を維持する必要があります。
個人向けに無償版の提供がなされていることも多いです。
【製品の例】
Beyond Trust社Retina(無償のcommunity版あり)、Tenable社Nessus(無償のEssential版あり)、Rapid7社nexpose(1年間無償のcommunity版あり)、OpenVAS(オープンソース。商用利用も可能)などなど。
(3)パッチ探索型(仮称:私が勝手に命名)
メーカーがリリースしているパッチリストとシステムのインストール状態を比較して、未適用パッチを脆弱性として検出する。
性質上、誤検知の可能性がほぼゼロで精度が極めて高い反面、既知ではあるがパッチが出てないゼロデイ脆弱性には対応できない。
設定不備も検出しにくく、そのためだけに通常の破壊型ないしは非破壊型の機構を別途用意するか、その診断を捨てる必要がある。
【製品の例】
kotakanbe社?vuls(オープンソース。商用利用も可能)、moppoi5168氏(日本の高校2年生!すごい!)DetExploit(オープンソース。GPLv3なので商用利用は可能)、IPA MyJVN(無償。商用利用に制限なし?)。
使ってみてよかったなーと個人的に思うのは、(2)で紹介したNessusでしょうか。Windowsだとインストールが超簡単ですし、精度もいい感じだと思います。
OpenVASはNessusからforkしたオープンソース版ですが、Linuxの場合インストールが面倒でした(Qiita見ればできるレベルではありますけど)。
Retinaは商用版はお仕事で使っていましたが、ライセンスが診断対象IPベースなのでちと高め。
そこで活躍するのが、脆弱性診断ツールです。
脆弱性診断ツールとは、読んで字のごとく、対象システムの脆弱性(弱いところ)を見つけ出すソフトウェアまたはアプライアンスです。
脆弱性ツールは、いくつかのタイプに分類できます。今回は特にプラットフォーム診断(ネットワーク診断とも)にフォーカスをあてて紹介したいと思います。
※Web診断用のツールもいくつかあるのですが、使ったことがないので説明できない...。\(^o^)/オワタ
(1)破壊型
診断対象システムに存在する可能性のある既知の脆弱性に対し、実際に攻撃を行ってシステムが停止ないしは誤動作するのを監視し、動作不良を以て脆弱性を検知する。
検知精度は高い(実際に止まったり再起動したりするから)が、対象システムが壊れることも...。
一昔前にはこのタイプしかありませんでした。
【製品の例】
Spirent社のStudioシリーズ、IBMのInternet Scanner、NexantiS社のSecurescout NX、などなど。
(2)非破壊型
診断対象システムに存在する可能性のある既知の脆弱性が存在するないしは修正パッチによる挙動を監視し、不備があるないしは修正されているかを確認して、脆弱性を検出する。
※サイドエフェクト監視とも
一時期より主流となった方式です。
性質上誤検知の可能性があるので、最終的に誤検知の可能性の高い検出結果については、診断技術者が手動で検証して精度を維持する必要があります。
個人向けに無償版の提供がなされていることも多いです。
【製品の例】
Beyond Trust社Retina(無償のcommunity版あり)、Tenable社Nessus(無償のEssential版あり)、Rapid7社nexpose(1年間無償のcommunity版あり)、OpenVAS(オープンソース。商用利用も可能)などなど。
(3)パッチ探索型(仮称:私が勝手に命名)
メーカーがリリースしているパッチリストとシステムのインストール状態を比較して、未適用パッチを脆弱性として検出する。
性質上、誤検知の可能性がほぼゼロで精度が極めて高い反面、既知ではあるがパッチが出てないゼロデイ脆弱性には対応できない。
設定不備も検出しにくく、そのためだけに通常の破壊型ないしは非破壊型の機構を別途用意するか、その診断を捨てる必要がある。
【製品の例】
kotakanbe社?vuls(オープンソース。商用利用も可能)、moppoi5168氏(日本の高校2年生!すごい!)DetExploit(オープンソース。GPLv3なので商用利用は可能)、IPA MyJVN(無償。商用利用に制限なし?)。
使ってみてよかったなーと個人的に思うのは、(2)で紹介したNessusでしょうか。Windowsだとインストールが超簡単ですし、精度もいい感じだと思います。
OpenVASはNessusからforkしたオープンソース版ですが、Linuxの場合インストールが面倒でした(Qiita見ればできるレベルではありますけど)。
Retinaは商用版はお仕事で使っていましたが、ライセンスが診断対象IPベースなのでちと高め。
日曜日, 10月 20, 2019
パスワード\(^o^)/オワタ
ちょっと前のネタですが、大事なことだと思うので取り上げてみました。
現在使用されているパスワードは、一般的に6~8桁だといわれています。
※ソースが定かではないのですが、確かIPAだったと思う...
そのパスワードですが、システムにはハッシュ値(パスワードを非可逆的な関数で処理した値)の形で保存されています。
で、そのハッシュ値が漏れた場合において、(WindowsのNTLM hash場合)最新のGPUを積んだPCなら、どんなに複雑でも8桁のパスワードなら、2時間半程度でハッシュ値の総当たりを完了してしまい暴かれてしまうそうです。\(^o^)/オワタ
実際hashcatというオープンソースのツールと、CUDAをインストールすればだれでも簡単に環境が構築できてしまうというところもマズいところです。
生体認証やら2要素やらで補強しないとダメな理由がこれなんだそうで、それが出来ない場合、パスワードをもっと長くすることが推奨されています。
パスワードではなく、パス「フレーズ」にしようというのが、その動きです。
例えば、昔は
「焼きそば→yakisoba」
程度で済ませてたところを、
「焼きそば食べたい特に広島風の奴。素人にはお勧めできない。→yakisobatabetaitokunihirosimahuunoyatu.siroutonihaosusumedekinai.」
みたいな感じです。
ぶっちゃけ、記号だろうが英数字だろうが、それが入る入ってないがバレない前提であれば、攻撃者側は含まれているだろうという推測で攻撃するはずで、
実際英数字記号とか言い始めた人も間違ってたということを認めているようです。
【参考】Gigazine - 「8文字のWindowsパスワードはわずか2時間半で突破可能と判明」https://gigazine.net/news/20190215-windows-ntlm-password-cracked-quickly/
【参考】Gigazine - 「パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める」https://gigazine.net/news/20170810-password/
皆さんの組織のパスワードポリシーも、そろそろ見直しの時期に入ってきたのではないでしょうか?
現在使用されているパスワードは、一般的に6~8桁だといわれています。
※ソースが定かではないのですが、確かIPAだったと思う...
そのパスワードですが、システムにはハッシュ値(パスワードを非可逆的な関数で処理した値)の形で保存されています。
で、そのハッシュ値が漏れた場合において、(WindowsのNTLM hash場合)最新のGPUを積んだPCなら、どんなに複雑でも8桁のパスワードなら、2時間半程度でハッシュ値の総当たりを完了してしまい暴かれてしまうそうです。\(^o^)/オワタ
実際hashcatというオープンソースのツールと、CUDAをインストールすればだれでも簡単に環境が構築できてしまうというところもマズいところです。
生体認証やら2要素やらで補強しないとダメな理由がこれなんだそうで、それが出来ない場合、パスワードをもっと長くすることが推奨されています。
パスワードではなく、パス「フレーズ」にしようというのが、その動きです。
例えば、昔は
「焼きそば→yakisoba」
程度で済ませてたところを、
「焼きそば食べたい特に広島風の奴。素人にはお勧めできない。→yakisobatabetaitokunihirosimahuunoyatu.siroutonihaosusumedekinai.」
みたいな感じです。
ぶっちゃけ、記号だろうが英数字だろうが、それが入る入ってないがバレない前提であれば、攻撃者側は含まれているだろうという推測で攻撃するはずで、
実際英数字記号とか言い始めた人も間違ってたということを認めているようです。
【参考】Gigazine - 「8文字のWindowsパスワードはわずか2時間半で突破可能と判明」https://gigazine.net/news/20190215-windows-ntlm-password-cracked-quickly/
【参考】Gigazine - 「パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める」https://gigazine.net/news/20170810-password/
皆さんの組織のパスワードポリシーも、そろそろ見直しの時期に入ってきたのではないでしょうか?
日曜日, 9月 01, 2019
Apple idの相続について
iPhoneやiPadを使っている方は、普段意識しなくてもApple idを用いて、iCloudに写真やプレイリストなどをアップロードしています。
ただ、パスワードが掛かっているので、もし所有者が亡くなった場合、故人がパスワードを遺してくれていなかったら、アクセスできません。
そのような場合、Appleのサポートに相談すれば、定められた相続手続きにより、Apple idを遺族が相続することが可能になるようです。
その結果、iCloudに溜まっている故人が撮った写真や、iTuneのプレイリストなどが閲覧可能になります。
※iPhoneやiPadのロック解除はできません。故人のプライバシーを考えた設計とのことらしいです。
いわゆる、デジタル遺産の対応の一手として、念頭に置いておきたいお話でした。
iPhoneは仕事でしか使わないので、殆ど中身をわかってない私ですが、以下のtweetで教わった次第です。
※こちらの方は息子さんを若くして亡くされたとのこと、謹んでお悔やみ申し上げます。
https://twitter.com/pinotnooooir/status/1165967306104508416
ともあれ、私たちもいつ死んでしまうかわからないわけで、紙媒体でパスワード帖を作っておかないといけませんね。
特に、遺族が放置していたら事故るようなもの(株取引など?)は要注意かなと思います。
#私個人的には、そういうものに手を出さないのが一番かと思いますが、考え方は人それぞれなので。
ただ、パスワードが掛かっているので、もし所有者が亡くなった場合、故人がパスワードを遺してくれていなかったら、アクセスできません。
そのような場合、Appleのサポートに相談すれば、定められた相続手続きにより、Apple idを遺族が相続することが可能になるようです。
その結果、iCloudに溜まっている故人が撮った写真や、iTuneのプレイリストなどが閲覧可能になります。
※iPhoneやiPadのロック解除はできません。故人のプライバシーを考えた設計とのことらしいです。
いわゆる、デジタル遺産の対応の一手として、念頭に置いておきたいお話でした。
iPhoneは仕事でしか使わないので、殆ど中身をわかってない私ですが、以下のtweetで教わった次第です。
※こちらの方は息子さんを若くして亡くされたとのこと、謹んでお悔やみ申し上げます。
https://twitter.com/pinotnooooir/status/1165967306104508416
ともあれ、私たちもいつ死んでしまうかわからないわけで、紙媒体でパスワード帖を作っておかないといけませんね。
特に、遺族が放置していたら事故るようなもの(株取引など?)は要注意かなと思います。
#私個人的には、そういうものに手を出さないのが一番かと思いますが、考え方は人それぞれなので。
金曜日, 8月 30, 2019
OCNが...
お家じゃなくて会社で検証用環境に使っているOCNで、Windows Updateのトラフィックが想定外に多くて輻輳したそうで、網側でパケットが頻繁に落ちるなどの通信障害が発生しました。
ウチの職場の人から遅い&繋がらないと報告があって、すぐにバックアップ用の別回線に切り替えて事なきを得たものの...。
まあ、業務で使っている人が多いネットワークではあるだろうけれど、今後、Windows Updateごときで度々止まるようなら、サヨウナラも視野に入れなきゃなと思った次第。
ともあれ、教訓。
(1)バックアップ回線について、物理回線はともかく(どうせ元を辿ればNTT局舎でしょ?)、ISPは別グループで用意しておいてよかった。(;´人`)
(2)バックアップ回線の切り替え手順について、きちんと絵付きの手順をredmineのknowledgeで作っておいてよかった。(;´人`)
ウチの職場の人から遅い&繋がらないと報告があって、すぐにバックアップ用の別回線に切り替えて事なきを得たものの...。
まあ、業務で使っている人が多いネットワークではあるだろうけれど、今後、Windows Updateごときで度々止まるようなら、サヨウナラも視野に入れなきゃなと思った次第。
ともあれ、教訓。
(1)バックアップ回線について、物理回線はともかく(どうせ元を辿ればNTT局舎でしょ?)、ISPは別グループで用意しておいてよかった。(;´人`)
(2)バックアップ回線の切り替え手順について、きちんと絵付きの手順をredmineのknowledgeで作っておいてよかった。(;´人`)
金曜日, 6月 28, 2019
東西NTTのひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性
IPAのJVNでも注意喚起されていますが、東西NTTのひかり電話ルータ/ホームゲートウェイに複数の脆弱性が見つかったようです。
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000043.html
特にクロスサイトスクリプティングの脆弱性があるので、変なJavaScriptを埋め込まれて、攻撃の糸口にされてしまう可能性があるかと思います。
お家でNTTのひかり電話を使用されている方は、特にご注意をば。
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000043.html
特にクロスサイトスクリプティングの脆弱性があるので、変なJavaScriptを埋め込まれて、攻撃の糸口にされてしまう可能性があるかと思います。
お家でNTTのひかり電話を使用されている方は、特にご注意をば。
金曜日, 5月 31, 2019
サポート切れOSの延命って...
このあいだ、返答に窮した質問で、
「XXっていうセキュリティ対策入れたら、もうすぐサポート切れのYYってOSの延命になるでしょうか?」
というのがありました。...う~ん、皆さんどう思われます?
XXがYYの脆弱性やマルウェア感染について守ってくれるなら...とは思いますが、OS独自の脆弱性があった場合(ベースが同じなので似たような脆弱性が出る場合が多いのですが、固有の問題というのもないわけではない)は、たぶん守れないし、XXを作っているメーカーがサポート切れのYYの脆弱性をいちいち調べたりはしないだろうし...。
昔、某Y○raiという製品やホワイトリスト系(指定したプロセス以外動かさせないというもの)で延命しましょうってのもありましたけど、それもやっぱり無理があるというか...。
最新パッチが当たって、それなりのセキュリティ対策(今、エンドポイントならNGAVとかEDRとかHIPSとかかしら?)が入って正しく運用されていたとして、それでまあそれなりには守れてるのかしら?という感じですし...。
殊更に危ない危ないを連呼するのも違うのですけど、やられて困るような情報が入ったサーバならば、やっぱり延命措置で、ってわけにはいかない気がしました。
こういう場合、どう解答したらいいのかしら、とすごく悩んじゃった場末のセキュリティおじさんでした...。修行が足りませんな。
「XXっていうセキュリティ対策入れたら、もうすぐサポート切れのYYってOSの延命になるでしょうか?」
というのがありました。...う~ん、皆さんどう思われます?
XXがYYの脆弱性やマルウェア感染について守ってくれるなら...とは思いますが、OS独自の脆弱性があった場合(ベースが同じなので似たような脆弱性が出る場合が多いのですが、固有の問題というのもないわけではない)は、たぶん守れないし、XXを作っているメーカーがサポート切れのYYの脆弱性をいちいち調べたりはしないだろうし...。
昔、某Y○raiという製品やホワイトリスト系(指定したプロセス以外動かさせないというもの)で延命しましょうってのもありましたけど、それもやっぱり無理があるというか...。
最新パッチが当たって、それなりのセキュリティ対策(今、エンドポイントならNGAVとかEDRとかHIPSとかかしら?)が入って正しく運用されていたとして、それでまあそれなりには守れてるのかしら?という感じですし...。
殊更に危ない危ないを連呼するのも違うのですけど、やられて困るような情報が入ったサーバならば、やっぱり延命措置で、ってわけにはいかない気がしました。
こういう場合、どう解答したらいいのかしら、とすごく悩んじゃった場末のセキュリティおじさんでした...。修行が足りませんな。
月曜日, 4月 29, 2019
ゴールデンウイーク入りましたね~
まあ、体調いまいちでアレなんですが...。(;´д`)
先週から声帯をやられて、声がバイキ○マンのような(?)状態。熱なしのどの痛みなしなのが不幸中の幸いですが。
最初のほうはほとんど声が出なかったので、それよりはましになりましたけど。
ちょっと咳も出ますしね。耳鼻科受診でもらった薬を飲んでいますが、なかなか良くならない感じです。
5/3は病院が開いているそうなので、それまでに治っていなかったら再度受診でしょうかねぇ...。
せっかくのGWなのに、しばらくは回復に努めなければならないようです。(;´д`)
先週から声帯をやられて、声がバイキ○マンのような(?)状態。熱なしのどの痛みなしなのが不幸中の幸いですが。
最初のほうはほとんど声が出なかったので、それよりはましになりましたけど。
ちょっと咳も出ますしね。耳鼻科受診でもらった薬を飲んでいますが、なかなか良くならない感じです。
5/3は病院が開いているそうなので、それまでに治っていなかったら再度受診でしょうかねぇ...。
せっかくのGWなのに、しばらくは回復に努めなければならないようです。(;´д`)
月曜日, 4月 08, 2019
情報ソースの検証って大事
このインターネットでは、まとめサイトをはじめ、本当に正しいのかわからないような情報ソースがあふれています。
情報が多いこと自体は悪いことじゃないのですが、事実なのか想像なのか、理論に基づいているのか経験則なのか、はたまた単なるまた聞き、風のうわさなのか、よ~く見極めないと誤った情報を真実と信じ込んでしまうリスクがあります。
そんなわけで最近話題になったのが、某新聞社の米国に関する記事で、「PC」という言葉の意味の引用をアンサイクロペディアからしていたという、衝撃的なお話でした。
それ、パロディサイトやん。\(^o^)/
情報が多いこと自体は悪いことじゃないのですが、事実なのか想像なのか、理論に基づいているのか経験則なのか、はたまた単なるまた聞き、風のうわさなのか、よ~く見極めないと誤った情報を真実と信じ込んでしまうリスクがあります。
そんなわけで最近話題になったのが、某新聞社の米国に関する記事で、「PC」という言葉の意味の引用をアンサイクロペディアからしていたという、衝撃的なお話でした。
それ、パロディサイトやん。\(^o^)/
金曜日, 3月 15, 2019
面白そうな調査用ツールが出てますね~
セキュリティの勉強と逮捕リスク?
参加したことはないのですが、都内で開催されていたセキュリティ勉強会が、逮捕される可能性があるからと中止になったらしいです。
これは、兵庫県警が、未成年が作成したJavascirptのforループでポップアップを閉じても開き続けるという単純なプログラム(いたずらレベルとはいえ、多少の悪意はあったと思うけど)を「不正指令電磁的記録に関する罪」で検挙したことが発端のようです。
この程度で逮捕されてしまうなら、各種のセキュリティ勉強会で調査事例や攻撃手法、IoC(Indicates of Compromise)、metasploitなどのハッキングツールの使い方などなどの情報のやり取りができないじゃん!って思います。
攻撃を防御する側にとっても、相手の手口が分かっていて初めて守れるというもの。
ethicalな部分は必須ですけど、攻撃手法の熟知というのは、防御側にとっても避けては通れないところだと思います。
遅ればせながらようやく日本にも、ポツポツとこのような活動が始まってきているのに、せっかくの芽を潰しちゃうつもりなのでしょうか?
つくづく、セキュリティ後進国ニッポンだな~と思う次第でございました。
これは、兵庫県警が、未成年が作成したJavascirptのforループでポップアップを閉じても開き続けるという単純なプログラム(いたずらレベルとはいえ、多少の悪意はあったと思うけど)を「不正指令電磁的記録に関する罪」で検挙したことが発端のようです。
この程度で逮捕されてしまうなら、各種のセキュリティ勉強会で調査事例や攻撃手法、IoC(Indicates of Compromise)、metasploitなどのハッキングツールの使い方などなどの情報のやり取りができないじゃん!って思います。
攻撃を防御する側にとっても、相手の手口が分かっていて初めて守れるというもの。
ethicalな部分は必須ですけど、攻撃手法の熟知というのは、防御側にとっても避けては通れないところだと思います。
遅ればせながらようやく日本にも、ポツポツとこのような活動が始まってきているのに、せっかくの芽を潰しちゃうつもりなのでしょうか?
つくづく、セキュリティ後進国ニッポンだな~と思う次第でございました。
金曜日, 3月 01, 2019
Windowsパソコンに残る痕跡
デジタルフォレンジックという技術では、Windowsパソコンに残る様々な痕跡を調べ上げ、malwareに感染した経緯や、内部不正の証拠を暴き出します。
と言うと、と~っても難しく感じますが、割とレベル感はあって、出来そうなものはできそうということもあります。
例えば、SANS(さんず)では、何を調べるべきかについてリストアップしたポスターを無償で配布してくれています。
https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download
RegripperやMiTeC Windows Registry File Viewer、CDIR-A、autopsy などを使って調べていけば、結構ネタは見つかるものです。
体型的に学ぼうと思うと、SANS408->508などがいいのかなと思いますが、受講料高すぎでチャレンジ出来てません。
その代わり?LACさんの研修をいくつか受けてますが、やればやるほど奥深くキリがない感じが、この業界の参入障壁になっているのかもと思いました。
と言うと、と~っても難しく感じますが、割とレベル感はあって、出来そうなものはできそうということもあります。
例えば、SANS(さんず)では、何を調べるべきかについてリストアップしたポスターを無償で配布してくれています。
https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download
RegripperやMiTeC Windows Registry File Viewer、CDIR-A、autopsy などを使って調べていけば、結構ネタは見つかるものです。
体型的に学ぼうと思うと、SANS408->508などがいいのかなと思いますが、受講料高すぎでチャレンジ出来てません。
その代わり?LACさんの研修をいくつか受けてますが、やればやるほど奥深くキリがない感じが、この業界の参入障壁になっているのかもと思いました。
金曜日, 2月 15, 2019
CTFで撃沈(2度目)
件のCTF、昨日の23:59:59で終了しました。
結果は50位ちょい上と、なんちゃってセキュリティ技術屋の割には振るわず...。CTF≠実業務とはいえ、勉強不足が露呈しました。
※開始が一週間が送れちゃったのが痛かったか...と言い訳したいけどダメですね。\(^o^)/オワタ
でも、連日AM3時くらいまで戦ったから、やり切った感もあります。
てか、脳が固いのは最早仕方ないにしても、もっとバイナリ&デバッガ&ディスアセンブル勉強しよう。
詳しい内容は決まりで言えないのですが、shamirの秘密分散法のK(3,4)(閾値3、メンバー4)の問題が出て、1人秘密を失っちゃったけど復元しなさいという問題でした。
というか、単なる3元2次連立方程式(y=ax**2+bx+cで、x,yは既知の公開情報)を解くだけで、いわば中学校レベルの問題なのですが、42のオサーンには加減算が難しかったらしく、計算ミス連発。
どーしても合わない(ホントは超簡単なケアレスミス...)という状況で2~3日引っ張ってしまいました。
最後はどうにか解けましたが、ホント、アホですな。恥ずかしい...。(T∀T)
結果は50位ちょい上と、なんちゃってセキュリティ技術屋の割には振るわず...。CTF≠実業務とはいえ、勉強不足が露呈しました。
※開始が一週間が送れちゃったのが痛かったか...と言い訳したいけどダメですね。\(^o^)/オワタ
でも、連日AM3時くらいまで戦ったから、やり切った感もあります。
てか、脳が固いのは最早仕方ないにしても、もっとバイナリ&デバッガ&ディスアセンブル勉強しよう。
詳しい内容は決まりで言えないのですが、shamirの秘密分散法のK(3,4)(閾値3、メンバー4)の問題が出て、1人秘密を失っちゃったけど復元しなさいという問題でした。
というか、単なる3元2次連立方程式(y=ax**2+bx+cで、x,yは既知の公開情報)を解くだけで、いわば中学校レベルの問題なのですが、42のオサーンには加減算が難しかったらしく、計算ミス連発。
どーしても合わない(ホントは超簡単なケアレスミス...)という状況で2~3日引っ張ってしまいました。
最後はどうにか解けましたが、ホント、アホですな。恥ずかしい...。(T∀T)
水曜日, 2月 06, 2019
CTF
親会社主催のCTF(Capture the flag)が始まり、ほそぼそと始めたけど、脳みそが固くてなかなか問題が解けないという事態に直面中です。
サイバー系のCTFって、やはりマニアックというか、一般の人お断りなところも無きにしも非ずではありますが、解ける問題もありますし、Google先生で検索すると、解法が出ていたりもします。
フォレンジックやセキュリティ診断などにも役立つので、一般の方もチャレンジしてみる価値はあるかも。
脳トレ代わりですね。(´∀`)
ksnctfさんなど、常設のものもチラホラあるので、皆さんもチャレンジしてみてはいかがでしょうか?
セキュリティの知識というよりも、コンピューター(特に機械語レベルの技術)やネットワークの総合力が問われる問題が多いかなと思います。
サイバー系のCTFって、やはりマニアックというか、一般の人お断りなところも無きにしも非ずではありますが、解ける問題もありますし、Google先生で検索すると、解法が出ていたりもします。
フォレンジックやセキュリティ診断などにも役立つので、一般の方もチャレンジしてみる価値はあるかも。
脳トレ代わりですね。(´∀`)
ksnctfさんなど、常設のものもチラホラあるので、皆さんもチャレンジしてみてはいかがでしょうか?
セキュリティの知識というよりも、コンピューター(特に機械語レベルの技術)やネットワークの総合力が問われる問題が多いかなと思います。
日曜日, 1月 20, 2019
安心な業務端末?
職場で、私なんかより、かな~り技術寄りな後輩と話してて、ある結論に至りました。
『要は、(ちゃんとパッチが当たってる)iPadが一番いいんじゃね?(・∀・)b」
iOSは、AndroidやそのほかのOSに比べても、ユーザがやれることがかなり制限がある一方、パッチをずっと適用しないとか、脱獄などといったアホなことをしない限り、相当に堅牢に設計されています。
その中でもアプリ間のリソースの分離はかなり高度で、ウイルス対策製品すら作れないレベルであり、そう考えると普通に使ってる分にはかなり安全に使用できそうです。
内部ディスクは標準で暗号化されており、正規の手段で使用しなければ(分解してチップから吸い出したりとか)保存されたデータを悪用されることもないと思います(iOSの仕様です)。
iPad Proなどでは、有償のMicrosoft Office mobileが使えますし。
※Microsoft Office mobileは、10.1インチ未満のディスプレイのタブレット端末では無料となっており、プライベートでその辺が気になる人はiPad miniなんかがよろしいのかと。
って、プレゼン用のディスプレイ繋ぐやつ使った場合はどういう扱いになるのかしら...(;゚▽゚)
iPadの難点は、マウスなどのポインティングデバイスが一切使えないことくらいかしらと思うのです(キーボードはBlueTooth接続でWinやMacのものを流用可)。
こういう方法のほうが、面倒で高価な対策を考えるよりは楽かな~という感じでした。
皆さんはどのようにお考えでしょうか?
『要は、(ちゃんとパッチが当たってる)iPadが一番いいんじゃね?(・∀・)b」
iOSは、AndroidやそのほかのOSに比べても、ユーザがやれることがかなり制限がある一方、パッチをずっと適用しないとか、脱獄などといったアホなことをしない限り、相当に堅牢に設計されています。
その中でもアプリ間のリソースの分離はかなり高度で、ウイルス対策製品すら作れないレベルであり、そう考えると普通に使ってる分にはかなり安全に使用できそうです。
内部ディスクは標準で暗号化されており、正規の手段で使用しなければ(分解してチップから吸い出したりとか)保存されたデータを悪用されることもないと思います(iOSの仕様です)。
iPad Proなどでは、有償のMicrosoft Office mobileが使えますし。
※Microsoft Office mobileは、10.1インチ未満のディスプレイのタブレット端末では無料となっており、プライベートでその辺が気になる人はiPad miniなんかがよろしいのかと。
って、プレゼン用のディスプレイ繋ぐやつ使った場合はどういう扱いになるのかしら...(;゚▽゚)
iPadの難点は、マウスなどのポインティングデバイスが一切使えないことくらいかしらと思うのです(キーボードはBlueTooth接続でWinやMacのものを流用可)。
こういう方法のほうが、面倒で高価な対策を考えるよりは楽かな~という感じでした。
皆さんはどのようにお考えでしょうか?
水曜日, 1月 09, 2019
Cylanceの個人向けが出てました(たぶん結構前に...
今更ではあるのですが、以前紹介したような気もするパターンレス(本体は四半期に1回位アップデート?)ながら、AIを駆使してファイル構造を分析して未知マルウェアに対応する次世代アンチウイルス製品「Cylance」が、本家のUSで個人向けに出ていました。
https://shop.cylance.com/us
1年分の1ライセンスが29$なので、≒3,160円位でしょうか。
既存のアンチウイルス製品の倍~3倍くらいしますけど、限りなくプラセボに近いものにお金を払ってることを考えたら安いものかと。
ちなみに10デバイス2年で149$≒16,230円。1年分1デバイスあたりだと、何と年間800円と超お買い得。
上記サイトでクレジットカードかpaypalで買えそうです。
優秀なWin10のWindows Defenderと共存可能なはずなので(少なくとも商用版のCylance Protectではそうでした)、併用すれば尚良しかと思います。
手元の評価(これも商用版の話ですが)では、以前発生したCCleanerの署名乗っ取られ事件のmalwareが、当時半年前のエンジンでしっかりSuspicious(不審)と検知できていた(もちろん通常の物には反応しない)ので、それなりに信用できるかな?と思っています。
ただ、プログラム構造解析がメインの製品特性上、一応対応したとはいえ、ファイルレスに弱い、Exploit(脆弱性を突く攻撃)に弱いと言われている面もあるため、Windows Defender他の従来の対策(パッチ適用とか)と合わせて行うのが効果的かなと思います。
手元評価では大きな影響はなかったですが、商用版の場合に割と「unsafe(安全でない)」くらいは出ちゃう(ex. teraterm)ので、見極めることが必要になることも残念ながらあります。
しかし、従来のパターンやヒューリスティック分析で、未知マルウェアは事実上検出不可能なので、こういうのに頼るのは悪いことではないと思っています。
私も買おう...。
あ、現時点ではおそらく英語の製品だと思うので、これ見て買おうと思った方はご留意くださいまし。
https://shop.cylance.com/us
1年分の1ライセンスが29$なので、≒3,160円位でしょうか。
既存のアンチウイルス製品の倍~3倍くらいしますけど、限りなくプラセボに近いものにお金を払ってることを考えたら安いものかと。
ちなみに10デバイス2年で149$≒16,230円。1年分1デバイスあたりだと、何と年間800円と超お買い得。
上記サイトでクレジットカードかpaypalで買えそうです。
優秀なWin10のWindows Defenderと共存可能なはずなので(少なくとも商用版のCylance Protectではそうでした)、併用すれば尚良しかと思います。
手元の評価(これも商用版の話ですが)では、以前発生したCCleanerの署名乗っ取られ事件のmalwareが、当時半年前のエンジンでしっかりSuspicious(不審)と検知できていた(もちろん通常の物には反応しない)ので、それなりに信用できるかな?と思っています。
ただ、プログラム構造解析がメインの製品特性上、一応対応したとはいえ、ファイルレスに弱い、Exploit(脆弱性を突く攻撃)に弱いと言われている面もあるため、Windows Defender他の従来の対策(パッチ適用とか)と合わせて行うのが効果的かなと思います。
手元評価では大きな影響はなかったですが、商用版の場合に割と「unsafe(安全でない)」くらいは出ちゃう(ex. teraterm)ので、見極めることが必要になることも残念ながらあります。
しかし、従来のパターンやヒューリスティック分析で、未知マルウェアは事実上検出不可能なので、こういうのに頼るのは悪いことではないと思っています。
私も買おう...。
あ、現時点ではおそらく英語の製品だと思うので、これ見て買おうと思った方はご留意くださいまし。
火曜日, 1月 08, 2019
QnA Maker
昨年末に話題になりましたが、マイクロソフトがAIサービスの一環で、QnA MakerなるQ&A用のBOTを公開しました。
https://www.qnamaker.ai/
多少癖はあるものの、うまく使えば結構使えそうな予感。
何かに活かせないかな~と考え中です。
ただ、試用版のサービスですし、企業秘密的なものは扱えないわけで...。
で、GitHubをあさっていると、こんなものを発見。
https://github.com/caelum/mamute
まだ試してはいないのですが、どこまで活用できるものなのでしょうか。
というか、tensorflow(テンソルフロー)などを活用するための基礎勉強をやり直したい今日この頃です。
※私やマスタオさんが学生だった時代は、CやVBAでニューラルネットワークをプログラミングしてましたが、今はこういったライブラリ群があって、かなり簡単に構成できるようになってます。
久々に勉強する必要を感じる今日この頃。あの頃の本、どこいったっけ...。
https://www.qnamaker.ai/
多少癖はあるものの、うまく使えば結構使えそうな予感。
何かに活かせないかな~と考え中です。
ただ、試用版のサービスですし、企業秘密的なものは扱えないわけで...。
で、GitHubをあさっていると、こんなものを発見。
https://github.com/caelum/mamute
まだ試してはいないのですが、どこまで活用できるものなのでしょうか。
というか、tensorflow(テンソルフロー)などを活用するための基礎勉強をやり直したい今日この頃です。
※私やマスタオさんが学生だった時代は、CやVBAでニューラルネットワークをプログラミングしてましたが、今はこういったライブラリ群があって、かなり簡単に構成できるようになってます。
久々に勉強する必要を感じる今日この頃。あの頃の本、どこいったっけ...。
火曜日, 1月 01, 2019
明けましておめでとうございます
あけましておめでとうございます今年も宜しくお願い致します
...なんというか、ずっと更新してなくって、いかんなーと思っていたのですが。
なかなか良いネタがなく...。
今年こそは頑張ります。( ̄▽ ̄ゞ
...なんというか、ずっと更新してなくって、いかんなーと思っていたのですが。
なかなか良いネタがなく...。
今年こそは頑張ります。( ̄▽ ̄ゞ
登録:
コメント (Atom)