www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

「WOWHoneypotの遊びかた」商業出版のお知らせ

どうも。ハニーポッターの森久です。

2018年4月に開催された技術書典4にて頒布した技術同人誌の「WOWHoneypot の遊びかた」が、インプレスR&D社より技術書典シリーズの1つとして、商業出版することとなりました。

このような機会に恵まれたのは、ハニーポッターと WOWHoneypot を応援していただいたみなさまのおかげです。ありがとうございます。

「WOWHoneypot の遊びかた」の表紙

■書名
”おもてなし”機能でサイバー攻撃を観察する! WOWHoneypotの遊びかた

■著者
森久 和昭

■発行元
株式会社インプレスR&D (技術書典シリーズ)

■発売日
2018年8月24日

■本体価格(税別)
電子書籍版 1,600円/印刷書籍版 1,800円

■ISBN
978-4-8443-9839-4

■電子書籍版フォーマット
EPUB3/Kindle Format8

■印刷書籍版仕様
B5 判/カラー/本文102ページ

■リンク
出版社の書籍紹介ページ

Amazon 販売・予約ページ

Read the rest of this entry »

Written by 森久

8月 17th, 2018 at 6:07 pm

ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」

どうも。ハニーポッターの森久です。
台風が近づいてきているので部屋にこもっています。

さて、2018年7月の Oracle パッチ情報で WebLogic Server の脆弱性がいくつか修正されました。
その中でも CVE-2018-2893 と CVE-2018-2894 の2つで、リモートから攻撃可能な攻撃ツールが公開されています。
CVE-2018-2893 は T3 プロトコルを利用した攻撃です。一方、CVE-2018-2894 は HTTP を利用した攻撃です。
私が作成した Web ハニーポットの WOWHoneypot では、T3 プロトコルに対応していないので、CVE-2018-2893 は検知することができません。そこで今回は CVE-2018-2894 の検知状況をまとめました。

CVE-2018-2894 について、簡単に説明すると、本来アクセス認証がかかっているページへ、認証なしでアクセス可能なため、WebLogic Server をリモートから操作可能な脆弱性です。
それではハニーポットにおける検知状況を紹介します。

Read the rest of this entry »

Written by 森久

7月 28th, 2018 at 5:26 pm

morihi-soc.netをHTTPS対応しました

そういえばウチのサイトは HTTPS 対応していなかったなーと思いついたので、HTTPS 対応しました。

やったこと

  1. Let’s Encrypt で証明書の発行(certbot コマンドを使用)
  2. Mozilla SSL Configuration Generator でイケてる SSL 設定を生成
  3. Qualys SSL Labs のサーバテストで確認

A+ 評価をゲット! やったぜ。

以上です。

Written by 森久

7月 10th, 2018 at 5:00 pm

Posted in その他

技術同人誌を国立国会図書館に納本しました

どうも。ハニーポッターの森久です。

いつの間にか6月です。衣替えをしつつ、暑さをどうやって凌ぐか考えているのですが、みなさまはいかがお過ごしでしょうか。

技術書典4が開催された4月が、もはや遠い昔のようです。今回はその時に頒布した技術同人誌「WOWHoneypot の遊びかた」を国立国会図書館に納本してきたので、そのご報告です。備忘録というか日記みたいな記事です。

Read the rest of this entry »

Written by 森久

6月 2nd, 2018 at 11:32 pm

Posted in その他,同人誌

WOWHoneypot の Version 1.2 公開

どうも。ハニーポッターの森久です。

寒暖の差が激しい毎日ですが、みなさまいかがお過ごしでしょうか。
今回は WOWHoneypot の Version 1.2 の新機能について紹介します。

GitHub: WOWHoneypot
https://github.com/morihisa/WOWHoneypot

2018年5月19日 WOWHoneypot Version 1.2 公開

  • 新機能:GDPR のため、IP アドレスをマスクして保存する設定項目を追加しました(デフォルト:無効)。
  • 新機能:アクセスログを保存するときの区切り文字を設定ファイルで指定できるようにしました(デフォルト:半角スペース1個)。
  • 改善:URL のパースで、メソッドが大文字アルファベットから始まるリクエストのみ受け入れるようにしました。
  • 改善:URL に”(ダブルクォート)が含まれていた場合は、%22に変換するようにしました。
  • 改善:huntrules.txt にルールを追加しました。

Read the rest of this entry »

Written by 森久

5月 20th, 2018 at 10:55 am

技術書典4関連で入手した技術書を紹介するよ

どうも。ハニーポッターの森久です。

技術書典4が4月22日に開催されて、早3週間が経ちました。
ワクワクしながら技術書を購入された方がほとんどだと思います。が、買って満足して、積読している方もいるかもしれません。
雨の日曜日午後は、自宅でのんびり読書するのに最適なので、手に取ってみるのもよろしいかと存じます。

さて今回は、私が技術書典4関連で購入した本を紹介します。

買ったもの一覧

  • マンガでわかるDocker 〜基本のキ〜
  • DNSをはじめよう ~基礎からトラブルシューティングまで~
  • IoTSecJP Vol.1
  • 脆弱性ってなんだろう? 〜CVSSを知ろう〜
  • ソフトウェアエンジニアの情報収集について
  • ZIP、完全に理解した
  • TomoriNao Vol.2
  • ファジング本 AFL 編
  • 解説Coreutils
  • 解説Procps-ng
  • ANALYZING MR.ROBOT 海外ドラマで学ぶハッカーの思考
  • Turner ターナー 風景の詩

Read the rest of this entry »

Written by 森久

5月 13th, 2018 at 2:25 pm

WOWHoneypot の Version 1.1 公開

どうも。ハニーポッターの森久です。

長期連休も終わりに近づいていますが、みなさまいかがお過ごしでしょうか。
特になにもイベントは無かったという方は、ハニーポットを植えてみましょう。無味乾燥な連休がハニーポットのお手入れをしたという想い出に変わりますよ。

さて、今回はWOWHoneypot の新機能についてご紹介します。
このほど新しくハンティング機能を追加しました! またこの機能と連携する新しいスクリプトファイル chase-url.py を公開しました。

GitHub: WOWHoneypot
https://github.com/morihisa/WOWHoneypot

この機能を使うことで、怪しい URL を収集できます。

Read the rest of this entry »

Written by 森久

5月 5th, 2018 at 10:14 pm

ハニーポットは見た。パスワードに非 ASCII 文字だと!?

どうも。ハニーポッターの森久です。

4月30日に、すみだセキュリティ勉強会*12018その1が開催されました。
私も参加したかったのですが、都合がつかず参加できませんでした。

ただありがたいことに、発表資料が公開されています。
その中でも勉強会主催者である@ozuma5119さんの「長くて覚えやすくて複雑なパスワードとemojiの話??✨??マジ卍」に気になる所がありました。

 

この資料の前半を要約すると、パスワードに絵文字を使ったら覚えやすくて複雑なものにできるんじゃないの?ってことです。
そして気になったのは20ページです。赤枠の部分は私が加工しました。

 

はい!

来てます!

ハニーポットに来てます!

ということで、うちの SSH ハニーポットに来ていた非 ASCII 文字を含んだパスワードをご紹介します。

Read the rest of this entry »

Written by 森久

5月 1st, 2018 at 10:24 am

Posted in Honeypot,Kippo,Security

ハニーポット観察記録(45)「Cisco Smart Install に対する攻撃」

どうも。ハニーポッターの森久です。

今回は Cisco 製スイッチが利用する Cisco Smart Install に対する攻撃を取り上げます。
JPCERT/CC によると、インターネット定点観測システム (TSUBAME) で Cisco Smart Install が使用する4786/tcpポートのスキャンが増加しているとのことです(4月5日時点)。
また NICT の NICTER のダークネット観測でも同様に、3月30日から攻撃が活発化しているとの情報公開されていました。

Cisco Smart Install に対する攻撃手法ですが、すでに攻撃コードが一般公開されています。またスキャンが増加しているとのことなので、ハニーポットで容易に攻撃を検知できそうと推測しました。

私が開発した WOWHoneypot は、HTTP に特化したハニーポットであるため、この攻撃には対応していません。
そこで Cisco Smart Install 専用のハニーポットである csi-honeypot を作成しました。ソースコードは GitHub にて公開しています。

csi-honeypot
https://github.com/morihisa/csi-honeypot

この cis-honeypot は、Cisco Smart Install を狙った攻撃に対して、脆弱なように振る舞う低対話型のハニーポットです。

ハニーポットを植えてみた所、あんのじょう攻撃を検知しました。ということで紹介します。

Read the rest of this entry »

Written by 森久

4月 29th, 2018 at 6:25 pm

【お礼】技術書典4お疲れ様でした

どうも。ハニーポッターの森久です。

 

4月22日に技術書典4が秋葉原 UDX にて開催されました。

当日の状況はさくらのナレッジで紹介されています。→ みんなでつくる同人誌即売会!技術書典4当日レポート

私は morihi-soc としてサークル参加し、新刊「WOWHoneypot の遊びかた」と既刊「WebShell 図譜」を頒布しました。
多くの方にブースへ来て頂き、当日の13時20分ごろに両方とも完売いたしました。

心からお礼申し上げます。ありがとうございました。

当日は、ずっとブースで売り子をしていたので、他サークルはほとんど見れませんでした。
紙の本が買えなかったので、後日、電子版でいくつかの作品を購入しました。とりあえず買ったものリスト。

 

最後に一言。

技術書を買ったはいいけど、積読しているそこのアナタ!
読みましょう。

そしてツイートでもブログでも買ったよ!読んだよ!と発信すると、書いた人の苦労が報われます。次回作のモチベーションアップにつながります。

Written by 森久

4月 28th, 2018 at 6:53 pm