www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘その他’ Category

技術書典3でセキュリティ関係の技術書を買い漁ってきた

without comments

どうも。ハニーポッターの森久です。

今日(2017年10月22日)は、技術書典3のイベントが開催されました。
台風21号の影響もあり、めっちゃ雨降ってましたが、秋葉原 UDX まで行ってきました。

ハニーポットの薄い本が出るとの噂を聞いたので、それをゲットすることが目的でした。ただせっかくの機会なので、他にもセキュリティ関連の薄い本技術書も買ってきました。

この記事は、早い話が戦利品の紹介です。買ったものリスト↓

1.家計にやさしいハニーポット入門
2.現時点でググっても出て来にくいセキュリティ技術
3.帰ってきたcuckoo
4.SECURI FRIENDS
5.urandom Computer Security Magazine vol.4
6.TomoriNao vol.1
7.データを加工する技術

技術書典3で購入した技術書たち

 


家計にやさしいハニーポット入門

頒布サークル:roboco
https://techbookfest.org/event/tbf03/circle/6251631184183296

技術書典3に参加した主目的の技術書!
12時過ぎに会場入りしたところ、大人気だったようで紙の本は完売していました。完売おめでとうございます。
無いものは無いので、電子版が販売されていたのでそちらで購入しました。(電子版はここから買えます)

簡易レビューですが「1.2 観測の目的を明確にする」は、ハニーポッターになるために必ず考えないといけないことなので、これからハニーポッターを目指す人は参考になると思います。具体例もあって大変良い◎
目的があってこそ、構築するハニーポットの規模感や予算が出せます。なぜあなたはハニーポッターになろうとしていますか?

私は Google Cloud Platform を使ったことがなかったのですが、第3章の手順に沿っていけばハニーポットを構築できそうな気がしてきました。

また第4章のログ分析・マルウェアの簡易解析では、それぞれハニーポットのログはこんな風に調査できるんだというイメージをつかめると思います。

ハニーポットの入門としての読み物として良いですね。

 

現時点でググっても出て来にくいセキュリティ技術

頒布サークル:ニッチ・セキュリティ
https://techbookfest.org/event/tbf03/circle/5731644862365696

こちらの技術書は機械学習とサイバーセキュリティをテーマにしたイベント AISECjp など、各種勉強会などでお世話になっている人たちの合同誌です。電子版のみの頒布でした。

内容が濃い。濃すぎる。今日だけで読み切れるものではないので、ゆっくり読み進めますが、目次は次の通りです。

第1章 ARM アーキテクチャにおける Shellcode の開発入門
概要
開発用仮想マシン環境の構築
ARMアセンブラ入門
Shellcode の作成
おわりに

第2章 機械学習による検査値の自動生成
2.1 技術概要
2.2 技術詳細
2.3 検査値の大量生成
2.4 まとめ

第3章 セキュアでお気楽認証 FIDO UAF 入門
3.1 FIDO Alliance
3.2 UAF の概要
3.3 FIDO UAF プロトコル
3.4 FIDO の今後 – Rising of FIDO 2.0

この内容で500円は安い。
特に ARM の Shellcode については、IoT 機器を狙ったサイバー攻撃が増加している中で、抑えておきたい技術の1つなので大変助かります。

第2章は、Web アプリケーションのセキュリティ診断を実施するときのパラメータを自動的に生成することを目的として、実際に自動生成する技術紹介をしています。プログラムコードの解説や、機械学習の説明などが丁寧に書かれています。

FIDO(Fast IDentity Online)は、私が不勉強のため初めて聞く単語で、これから読んで理解します!  とりあえず認証技術であることだけ覚えた。

 

帰ってきたcuckoo

頒布サークル: きじゃくせい
https://techbookfest.org/event/tbf03/circle/5692031573688320

マルウェアの動的解析(解析環境でマルウェアを実行して挙動を観察する方法)でオープンソースソフトウェアといえば、cuckoo ですよね。
私も昔(1系のバージョン)を使ってました。その cuckoo が正式に 2.0 として公開されたようです。この技術書は、cuckoo のインストール手順や tips をまとめてあります。

2系の Web UI カッコイイね。1系のときより進化してて、使いやすそう。

tips も豊富で、ゲスト OS の Windows の設定は非常に参考になる。UAF とか Firewall, Update を切るとかその他諸々。

マルウェア検体の入手先で malwr が紹介されているのもイイね◎ 私も最初に構築したときは、マルウェアってどっから入手すればええんや・・・って困った経験あるので。

※本筋と関係ないけど、表紙の鳥は カッコーじゃなくない?鳥のフレンズだとおもうけど、なんだろうw ハシビロコウ?

 

SECURI FRIENDS

頒布サークル: きじゃくせい
https://techbookfest.org/event/tbf03/circle/5692031573688320

こちらの技術書は、「帰ってきた cuckoo」と同じサークルで頒布されていました。
総勢12人で各自好きなテーマで書かれた合同誌です。いくつか気になった記事をピックアップします。

「中国の Internet について少し調べた」中国で Web Service を稼働させる場合は、事前に公的機関に届け出して、許可をもらって ICP License を発行してもらわないといけないらしい。

「osquery って、知ってるかい」私は、osquery 知りませんでした。高対話型ハニーポットで使えそうな技術。

「心霊写真とセキュリティ」端々の表現が面白い。”一般人の怨念に出番はなく、セキュリティエンジニアを含む技術者の怨念が跋扈する時代になっている。(引用)”らしい。読み物として◎

※本筋と関係ないけど、表紙の動物は小顔で耳が丸い、スラッとしてジャンプ力ぅのありそうな前足、斑点模様・・・あなたはサーバルキャットだね! (けもフレと多摩動物公園で見た)

 

以降の3冊は、まだ流し読み程度なのでザックリと紹介します。

urandom Computer Security Magazine vol.4

頒布サークル:urandom
https://techbookfest.org/event/tbf03/circle/5728605367697408

1冊の技術書の中に、「mitmproxy 入門」と「公平なランサムウェアプロトコル」の解説が書かれている。

前編のところで、MITM(Man In The Middle Attack)をすることができる mitmproxy というオープンソースソフトウェアがあるんですね。MITM に失敗する場合のトラブルシューティングが載っていて良い◎

後編は、ランサムウェア作成者と被害者が、どちらも不正をせずに(復号しない/支払いをしない)ことを防ぐためのプロトコルについて、Bitcoin の性質と暗号技術を使って紹介しています。私は、Bitcoin というかブロックチェーンの技術について理解が浅いので、この部分は読むのに時間かかりそうだけど、優しく書かれているっぽいので頑張ります。

 

TomoriNao vol.1

頒布サークル:TomoriNao
https://techbookfest.org/event/tbf03/circle/6027786883956736

セキュリティコンテストで得た経験を活かして、さまざまなセキュリティ技術を 話題にした技術書です。こちらも総勢8人(?含む)による執筆者で構成される合同誌です。

目次は次の通り

第1章 Metasploit から学ぶ複アーキ linux シェルコード入門
第2章 自作 x86 エミュレータで学ぶアドレス変換
第3章 IOC とハッシュを用いたマルウェアのラベリング
第4章 yara x pcap x tshark 〜バイナリ解析のノリでパケット解析したい(>ω<)〜
第5章 Overviewing Technical Support Scam
第6章 EV SSL サーバー証明書の取り方
第7章 Vim -魔法のカーソルを持つエディタ-
参考文献
あとがき

目に留まった所。

第4章のおまけ:DNS トンネリングは、PlugX から Helminth, 最近話題になった DNSMessenger などなどで使われる手法ですね。悪性のサブドメインを見抜く手法の提案・評価・考察は必見。
(49ページの下から3行目。US20160294773 A1の特許の出願人は Infobox じゃなくて、Infoblox だと思います。DNS Firewall を作ってる会社)

第5章:いわゆるサポート詐欺の紹介。サポート詐欺とは、ブラウザに「あなたの PC はマルウェアに感染しました」とか「アップデートが必要です」などと偽の表示を出して、治すために電話サポートしてあげますよ→遠隔操作からのマルウェア感染や金銭の振込要求などに至るものです。いわゆるアダルトサイトの架空請求が、アダルトサイト以外でも出て来るようなものをイメージしてもらえれば分かり易いかも。

今年の春頃からちょくちょく話題になっていますが、よくまとめてある記事でした。

 

データを加工する技術

頒布サークル:りまりま団
https://techbookfest.org/event/tbf03/circle/5727644637200384

ログ収集やパースをするソフトウェアとして、最近有名な fluentd と Logstash について比較・紹介する技術書です。

「え、セキュリティ関係ないじゃん?」と思うでしょう。はい。本の中身はセキュリティと直接関係無いです。

ただ私が今度主催する第2回 ハニーポッター技術交流会で紹介する予定の、自作ハニーポットで使えないかなと思って購入したんです。はい。

 

おわりに

気づいたらずいぶん長文の記事になってしまった。
もし面白そうな技術書があれば、是非電子版を購入したり、他のイベントで見ていただければと思います。
技術書典の運営のみなさま、サークル参加したみなさま、お疲れ様でした。
(1つだけイベントにコメントすると、技術書は幅広いものであると理解はしていますが、サークルの分類でソフトウェア全般で括るのではなくて、もう少し分けて欲しかった。ある程度セキュリティの本を売るサークルは固まっていたけど、見落としがあるかも)

自分もハニーポットの薄い本をいつかは・・・。


告知

第2回 ハニーポッター技術交流会の勉強会にて、ハニーポットに関する発表をしていただける人を募集しています。
あなたのハニーポットの面白いネタ話してみませんか?
Twitter(@morihi_soc)でもメールでもなんでも連絡待ってます!

Written by morihisa

10月 22nd, 2017 at 9:01 pm

Posted in Security,その他

cut と awk はどちらが高速なのか

without comments

どうもハニーポッターです.

先日,社内の勉強会に参加しているときに,「Web サーバをのログを調査するときは,膨大な量のデータから欲しい情報を抽出して効率よく解析しなければならない」という話がありました.

抽出したい情報とは,たとえばアクセスのあったファイル名やアクセス元 IP アドレスなどですが,発表者の方は awk コマンドを使って抽出されていました.

で,ここで1つの素朴な疑問が.
「1行データの中から,特定のフィールドを抽出するだけなら awk コマンド使わなくてもよくね? cut コマンドで十分じゃね?」と.

疑問は検証しなければいけないので「大量データから情報を抽出するには cut コマンドと awk コマンドのどちらが高速か?」を調べてみました.


※この記事は「適材適所でコマンドを使うべきだ」というのが趣旨ですので,決してきのこ・たけのこの争いや,Emacs 対 Vim のエディタ闘争とは関係ありません.

Read the rest of this entry »

Written by morihisa

3月 9th, 2015 at 10:50 pm

SECCON 2014 オンライン予選 Write-up 詰将棋(Unknown 100)

without comments

SECCON 2014 のオンライン大会の問題で詰将棋(問題の説明文より、つめしょうきと読むらしい)の問題があったので解いてみました。

Read the rest of this entry »

Written by morihisa

7月 20th, 2014 at 9:24 am

Posted in CTF,その他

OSUETA 攻撃 vs Kippo

without comments

SSH にはユーザ名を列挙される脆弱性があります.

通称 OSUETA 攻撃と呼ばれており,パスワード認証が有効になっている SSH サービスにおいて,実在するアカウントでは長いパスワード文字列を指定すると,認証エラーに時間がかかることを利用し,実際に存在するユーザ名を確認することができます.

参考
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
sshによるユーザ列挙攻撃”osueta” (ろば電子が詰まっている)

そこで自称ハニーポッター(?)の私としては,SSH ハニーポットである Kippo に対して,OSUETA 攻撃を試行した場合どうなるか気になったので試してみました.

Read the rest of this entry »

Written by morihisa

6月 24th, 2014 at 6:11 pm