- 1. 『情報共有のトライアングル(ジレンマ)』から学ぶ、作業の進め方
- 2. Page Cache Attacks (CVE-2019-5489) について
- 3. 2019-2020年家庭向けWindows10におけるウイルス対策ソフトのベストプラクティス
- 4. Firepower Management Center での自動チューニングは本当に正しく動くのか
- 5. 社内の忘年会の余興に使う『謎解き Web アプリ~天使 vs 悪魔~』を開発した(サーバーサイド編)
- 6. golang で Cloud KMS を使って暗号化/復号化をしてみた。
- 7. サイバー攻撃(サイバーテロ)は人を殺しえるか?
- 8. CORS でつまづいた借りを返しにきた
- 9. Azure Key Vault を利用した .env 内の機密情報の管理
- 10. CTF初心者が問題サーバ(web)を構築してみた【回答編】
- 11. DBANブートUSBメモリを作成してHDD破壊王
- 12. AWS 認定セキュリティ – 専門知識 受験対策
- 13. Azure Web Application Firewall (WAF) の導入と運用
- 14. Rainbow Table Attack の理解と実践
- 15. CTF例題のデータベース脆弱性まとめ
- 16. リモートワークする時に気を付けている事。(喫茶店・カフェ編)
- 17. FileMakerでセキュアーにパスワード認証をする(2)
- 18. Yubikeyでもろもろ検証してみました話
- 19. ENISAのトレーニング資料やってみた
- 20. 仙台CTFWrite-up
『情報共有のトライアングル(ジレンマ)』から学ぶ、作業の進め方
# はじめに
情報処理安全確保支援士(登録セキスペ)の講習を受講する中で、**情報共有のトライアングル(ジレンマ)**という項目が挙げられており、面白いと思ったので紹介します。**情報共有のトライアングル(ジレンマ)**を理解することで、サイバーセキュリティに限った話ではなく、仕事の進め方全般であったり、不具合対応や資料作成時などに**何を優先し何を優先しないのか**、意識して行動する手助けになリます。
## 情報共有のトライアングル(ジレンマ)とは
以下、日本セキュリティオペレーション事業者協議会 (ISOG-J)より公開されている資料を引用した内容になります。
簡単に言うと、「早さ」、「正確性」、「網羅性」は**いずれかの2つ**しか満たすことができないと言う話になります。>
 について
本記事は[Kobe University Advent Calendar 2019](https://adventar.org/calendars/4690)の15日目の記事です。
# はじめに
この記事の目的は、CCS 2019で発表された、[CVE-2019-5489](https://bugzilla.redhat.com/show_bug.cgi?id=1664110)として登録されている**Page cache attacks[^1]**についてまとめ、実際に簡単なPoCを実装することである。実装したPoCは[Page Cache Side Channel Attacks (CVE-2019-5489) proof of concept for Linux](https://github.com/mmxsrup/CVE-2019-5489)に置いてある。ページキャッシュとは、Linuxカーネルが使うディスクキャッシュ(ディスクに保存されているデータをシステムがRAM上に保存できるようにするソフトウェア機構)のことであり、Paga cache attacksはページキャッ
2019-2020年家庭向けWindows10におけるウイルス対策ソフトのベストプラクティス
## はじめに
もう12月ですし、みなさん家の掃除とかで大変だと思います。
ですがせっかく掃除をしているのなら普段使っているパソコンの掃除もしてみてはどうでしょうか?
そして、普段意識してない今インストールされているセキュリティソフト(特にアンチウイルス、ウイルス対策ソフト)を考え直してみてはいかがでしょうか?
普段セキュリティの業務をこなしている私が2019年-2020年におけるご家庭向けのセキュリティソフトのベストプラクティスをご紹介します。## とりあえずやること
Windows10にインストールしている、
すべてのアンチウイルス・ウイルス対策ソフトをアンインストール。
※オンラインバンキング用のプロテクションソフト等は除く– ノートン
– ウイルスバスター
– マカフィー
– カスペルスキー
– etc…特に、買ったときに入っている評価版のウイルスバスターや、何らかのソフトのインストールと同時にインストールされるマカフィーは使い物になりません。
## ベストプラクティス
### WindowsDefenderを有効にしよう!!!
WindowsDefender
Firepower Management Center での自動チューニングは本当に正しく動くのか
# はじめに
この記事は、Cisco Systems Japan Advent Calendar 2019 の 15日目として投稿しています。
シスコシステムズ合同会社としては 2017年、2018年にも Advent Calendar を公開しており、メーカーの中の人からの発信として約に立つ情報から、ただ単に面白いだけの記事までいろいろと掲載しております。
私もこの「お祭り」に参加し、2018年には、VPN ロードバランスという 20年以上前からある技術の検証記事を書いております。2017年版: https://qiita.com/advent-calendar/2017/cisco
2018年版: https://qiita.com/advent-calendar/2018/cisco
2019年版: https://qiita.com/advent-calendar/2019/cisco# IPS 運用の悩み
境界セキュリティ対策の1つに IPS というソリューションがあります。
Intrusion Prevention System の略で、シグニチャやルールといったパ
社内の忘年会の余興に使う『謎解き Web アプリ~天使 vs 悪魔~』を開発した(サーバーサイド編)
# 概要
この記事は[Nssol2019AdventCalendar](https://qiita.com/advent-calendar/2019/nssol)の14日目の記事です.忘年会で謎解きウェブアプリを作成することになり,そのサーバーサイド(Flask, AWS)を主に扱ったのでハマったポイントやサーバーサイドの構築でやったことを書いていきます.そもそもこのアプリとは?といった話やフロントエンドの話は[こちら](https://qiita.com/ychNext9/items/680519e007d149566095)を参考にしてください.
開発が遅れていて,忘年会会場に行くタクシーの中で最終versionをデプロイしました笑
この記事の目的としては,忘年会のような場で発表するような,ある程度まともにアプリを作ろうとした人がどのような手順で構築したらいいかというのがわかるように書いていきたいと思います.# やったこと
今回,ぼくがやったことは主にAWSによるウェブサーバーの構築とウェブサーバー上で稼働するアプリケーションのサーバーサイドの開発です(下の図のオレンジ色の部分
golang で Cloud KMS を使って暗号化/復号化をしてみた。
こんばんわ! @ktoshi です!
今回は機密な情報をDBなどで保管する際に有効な [Cloud KMS](https://cloud.google.com/kms/) を利用した話です。
昨今、クラウドサービスなどのAPIを利用する機会が増えていると思いますが、その認証情報をどのように保存するかは非常に重要な問題です。
現に私もその問題に少し…いやかなり悩まされました。
そんな折、Cloud KMS というサービスを利用をすることとなりました。# Cloud KMS
暗号鍵をセキュアに管理できるGCPのサービスです。
自動ローテーションやIAMでの権限管理でセキュアなアクセスを実現できる上、APIを利用した暗号化/復号化を行えるので非常に柔軟な利用が可能です。
類似したサービスはAWSの「KMS」や Azureの「Key Vault」などがあります。# Key Ring と Key
Cloud KMS では Key を Key Ring で管理しています。
関係性は字のごとく、鍵と鍵束ですね。
ある程度同じ用途で使用される鍵については同じ Key Ring でまとめておくと
サイバー攻撃(サイバーテロ)は人を殺しえるか?
# 自己紹介
どうもはじめまして。
oxlunaxoと申します。
普段は他人の記事を見るのが中心ですが、
いい加減に記事の一つや二つ書かないと深夜にフィッシングサイトのリンクを貼るスパマーや、怪しい製品の宣伝をするスパムアカウントと同類かなと思い、自分の低レベルのスキルでかける記事がなにか無いかと考えながらと、日課のセキュリティブログを流し見してたときに思いついた記事になります。
内容としては実際の攻撃手法とか説明するのでは無く実際にあった事件等を交え、自身に知識とか還元する目的を兼ねて書いているのでどちらかというと初心者向けになるかと思います。結構タイトルは危ないですが、ガチガチの説明口調ではなく砕いてフランクに書く予定なので身構えなくてもいいです。
その代わり主観も結構入ると思うので、そういうのが苦手な方は戻るボタンが懸命かもしれません。
※コメント等での指摘やこういう事例があるよというリンク等は歓迎します。(記事への反映には時間がかかります。)## キッカケ
まずはこの動画(リンク先youtube)を見ていただきたいです。
[Hacknet – Project Juneb
CORS でつまづいた借りを返しにきた
名著[「安全なアプリケーションの作り方」](https://www.amazon.co.jp/dp/B07DVY4H3M/)をめちゃくちゃ参考にしています
より詳細には [MDN web docs の CORS](https://developer.mozilla.org/ja/docs/Web/HTTP/CORS) などを御覧ください
※ 網羅性を担保できてない部分もありますのでご注意ください筆者は S3 + CloudFront のフロントに API Gateway + Lambda のバックエンドという一般的な 静的な Webアプリを作成した際に Cross-Origin Resource Sharing(以下CORS) にハマりました。
その借りを返すべく調べてみました。# CORS の話に入る前に
Web アプリケーションのセキュリティを語る際に、当然ながら Web アプリそのもののセキュリティ対策は語られますが、実はブラウザも多くのセキュリティ対策を施してくれています。ブラウザが実施する多くの対策のうちの一つが、**クライアントスクリプト(Javascript
Azure Key Vault を利用した .env 内の機密情報の管理
# .env と機密情報
Laravel を利用したプロジェクトは通常 `.env` を使って環境変数を管理しています。`.env` には各種認証情報などを含めることもあると思いますが、それらは Git などのバージョン管理システムに平文で保存するべきではありません。
かと言って、どこにも管理されておらず稼動している環境に置いてあるだけの状態というのも心許無さがあります。そこで [Azure Key Vault](https://docs.microsoft.com/azure/key-vault/basic-concepts) (和名:キー コンテナー)の[シークレット](https://docs.microsoft.com/azure/key-vault/about-keys-secrets-and-certificates#key-vault-secrets)と、Go で書いた簡素な [vaultenv](https://github.com/sensyn-robotics/vaultenv) というツールで、 `.env` に直接機密情報を記述することなく管理できるようにし
CTF初心者が問題サーバ(web)を構築してみた【回答編】
## はじめに
こちらの記事は [CTF初心者が問題サーバ(web)を構築してみた【問題編】](https://qiita.com/fiotto/items/a1830cfae6a1fa121ad9)で作成した、Web問題を解き方を解説します。
問題編の最後に、この問題のリポジトリのリンクもあります。
この記事のように、CFTの問題の解説記事はWriteupというようです。
筆者自身が作成し、筆者自身もCTF初心者のため
普通はそのような発想にはならないだろう等の指摘がありましたら、ご教授いただけると幸いです。## 注意点
こちらの内容ではサイバー攻撃の一部を実際に行うことになります。
実際に攻撃を行うことで、どのような効果があるのかを学ぶことを目的としています。
決して、実際のシステムに攻撃を仕掛けることは行わないようにしてください。## 前提
### この問題サーバでのルール
– フラグの形式は`myctf{フラグ}`となります。
– サーバの中には3つのフラグが隠されています。## 実際に問題を解いてみる
まずは、問題サーバへアクセスする。
で社内のいろいろを担当しているakimiです。
いま(2019年12月)タイムリーなHDD廃棄について、USBメモリにDBANをインストールしてHDD上書きまくった話です。
# タイムリーなこと
師走の忙しいこのごろ、今年の汚れ今年のうちによろしく、古くなったり使えなくなった端末を今年中に廃棄しよう!と意気込んでいた所、**[かの事件](https://ja.wikipedia.org/wiki/2019%E5%B9%B4%E7%A5%9E%E5%A5%88%E5%B7%9D%E7%9C%8CHDD%E8%BB%A2%E5%A3%B2%E3%83%BB%E6%83%85%E5%A0%B1%E6%B5%81%E5%87%BA%E4%BA%8B%E4%BB%B6)**が世間をにぎわしました。
弊社で依頼しようとしている業者さんもだいぶ評判いいですが、やはり最後に信じられるのは己のみ・・・ということで、レッツHDD破壊王!!# DBANとは
Darik’s Boot and Nuke (DBAN)はオープンソースのHDDの
AWS 認定セキュリティ – 専門知識 受験対策
先日合格したAWS認定スペシャリティ-セキュリティ試験について、自分が行った対策を紹介します。
## 試験範囲
試験ガイドに記載の通りです。
「インシデント対応」「ログと監視」「インフラストラクチャのセキュリティ」「ID及びアクセス管理」「データ保護」の5分野について
他のプロフェッショナル試験や専門知識同様、170分の試験になります。(受験料:30,000円)## 受験対策
受験にあたり自分が行った対策は以下になります。### AWSのセキュリティ関係のサービスのBlackbeltを読む
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-service-cut/
「AWS クラウドサービス活用資料集」の「Security, Identity & Compliance」に分類されているサービスのBlackbeltに全て目を通しました。
IAMやKMSについてはYouTube動画もあり、理解しやすいです。Security, Identity & Complianceに分類されていたのは以下の通りで
Azure Web Application Firewall (WAF) の導入と運用
[センシンロボティクス Advent Calendar](https://qiita.com/advent-calendar/2019/sensyn-robotics) 11 日目です。
こんにちわ。@kotetsu-sr です。2019年1月にセンシンロボティックスに参画しました。この一年、ドローン周辺の動画配信システムの構築、システム全体のインフラまわりの色々、DevOps みたいなことをやってきました。センシンロボティクスは [Microsoft For Startups に採択されている](https://www.sensyn-robotics.com/news/microsoft-for-startups)こともあり、Microsoft Azure を活用しています。
半年くらい前の話になりますが、Azure Application Gateway 上で提供する Web Application Firewall(以下、WAF)を実際に導入したときの記録です。この記事では WAF の詳細や、Application Gateway そのものの導入には触れません。また Azur
Rainbow Table Attack の理解と実践
# TL;DR
[VALU Advent Calendar 2019](https://qiita.com/advent-calendar/2019/valu)の10日目の記事です。# パスワードとハッシュの関係
一般的なサービスにおいて、パスワードは平文で保存されるのではなく、ハッシュ関数によってハッシュ化されて保存されます。ハッシュ関数は一方向性関数であり、復号化は通常の方法ではできない仕様です。
ユーザーがパスワードを入力するたびに、パスワードはハッシュ値に変換され、すでに格納されているハッシュ値と比較されます。値が一致する場合、ユーザーは認証されます。これが一般的な現代のパスワードの保存方法です。# Rainbow Table とは
Rainbow Tableは、パスワードのハッシュ値を解読してパスワードを取得するために使用されるデータベースです。これは、平文のパスワードとそれに対応するハッシュ値からなる、あらかじめ計算された辞書で、どの平文のパスワードが特定のハッシュ値を生成するかを調べるために使うことができます。# Rainbow Table の作り方
単純に平
CTF例題のデータベース脆弱性まとめ
年末年始大学授業も忙しくて、セキュリティノートを書くことをずいぶん忘れてしまった。
**データベースをめぐるセキュリティホール、脆弱性などセキュリティ問題は、ほとんどSQLインジェクションでしょう。**
#mysql
default port:3306
攻撃手法:
1,弱いパスワード、デフォルト設定そのまま使う:アカウント名:’localhost’@’@” パスワードは任意
2,DOS攻撃(shellおよびHigh権限が必要)
3,CVE-2012-2122など#PostgreSQL
default port:5432
攻撃手法:
1,弱いパスワード設定: postgres postgres
2,buffer-overrun(バッファオーバーラン):CVE-2019-10164
3,CVE-2014-2669
4,CVE-2018-1058など#Oracle
default port:1521
1158
8080
210
それぞれは、データベースポート、Oracle-EMCTL、Oracle-XDB、Oracle-XDB FTPサービス。問題点:パラメータの設置ミス:
リモートワークする時に気を付けている事。(喫茶店・カフェ編)
###はじめに
こんにちは。K’s Software Designです。初めて投稿します。よろしくお願いします。リモート(自宅、喫茶店、シェアオフィスなど)でお仕事をさせてもらって一年。意外と(?)外は無防備なネット―ワークだらけ。リモートワークする時に私達が気を付けているいるポイントが皆様のお役に立てれば幸いです。
###出かける前に
・ソフトウェアは最新にしておきましょう。
・マルウェア対策ソフトのインストール及びアップデートをしておきましょう。リモートで仕事をしなくても、自分を守る為には基本的な事の一つだと思いますので習慣づけておくと良いと思います。
ここでのポイントは、これらを管理された安全な場所で行う事だと思います。ご自宅でお仕事を主にされている方は、自宅でアップデート作業を行うと思います。ご自宅を管理された安全な場所にする方法は、また別の機会に紹介させて頂ければと思います。###接続する前に利用しようとしているWifiのSSIDを確認しましょう。
近くで偽のアクセスポイントを設置している人がいるかもしれません。SSIDやパスワードは定期的に変
FileMakerでセキュアーにパスワード認証をする(2)
昨年のアドベントカレンダーに書いた、[FileMakerでセキュアーにパスワードを認証をする](https://qiita.com/HAZI/items/e7d4c1e10ed43be29c8f) の続きです。
## 振り返り
前回の内容を簡単にまとめると
– パスワードは復号可能な状態で保存することはアンチパターンとして有名で、`CryptEncrypt` で暗号化して保存、 `CryptDecrypt` で復号して認証ということを行うのはやってはいけません。
– DBの管理者がパスワードを知ることができるのは、利用者にとって大きなリスクです。
– 利用者に他で使っているパスワードを使わないように完璧に強要するのは無理ですし、パスワードをどこかにメモする危険性があります。
– なので、パスワードを復号できない状態に暗号化して認証しましょう。
– それにはハッシュ化、ストレッチング、ソルトという方法がありますよ。という内容で、作成したハッシュ関数を公開しました(その他詳細は[前回の記事](https://qiita.com/HAZI/items/e7d4c1e10ed
Yubikeyでもろもろ検証してみました話
[Wano株式会社](https://wano.co.jp/)で社内のいろいろを担当しているakimiです。
この記事は[Wano Group Advent Calendar 2019](https://qiita.com/advent-calendar/2019/wano-group)の10日目の記事にして、わたくし初めてQiitaに投稿する記事となります!
2019年10月ごろにYubikeyを購入して検証した内容を綴っていきます。
# Yubikey検証の目的
OSログインとGoogleログイン時の2段階認証目をYubikeyでやりたい!また、検証の目的はログイン簡素化ではなく、従来のID・パスワードログイン後の2段階認証目をYubikeyを使用することで2要素認証を実現、セキュリティ強化を目的としています。(ここ重要)
# 前提知識(かんたんに)
**【FIDO(ファイド)】**
Fast IDentity Onlineの略で、従来のパスワード認証に代わる認証技術で、標準規格策定団体である[FIDO Alliance](https://fidoalliance.or
ENISAのトレーニング資料やってみた
# 目次
– 概要
– ENISAのトレーニング資料やってみたシリーズについて
– デジタルフォレンジックって何?
– デジタルフォレンジックってどう手順でやるの?
– デジタルフォレンジックって種類とかあるの?# 概要
今シリーズでは[ENISA](https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational)というヨーロッパのCSIRTが出しているトレーニング資料を使って、
デジタルフォレンジックとマルウェア解析を勉強していきたいと思います。
# これからやる内容
今回使用する資料は以下の5つを使っていきます。
– Forensic analysis: Local Incident Response(パート1)
– Forensic analysis: Network Incident Response(パート2)
– Forensic analysis: Webserver Analysis(パ
仙台CTFWrite-up
# 概要
先月に仙台CTFに参加してきました!
面白い問題ばかりでとても勉強になりました。来年も機会があれば参加したいと思います。
問題のジャンルはopenworld(独自)、ネットワーク、フォレンジック、マルウェア、制御システム系でした。
制御システム系以外のジャンルを随時アップしていきたいと思います。# openworld
## 1. 状況確認 100
### [問題の背景] インシデント発生日時: 2019年11月04日(月)– 本日23:42頃、あなたが離席中に、営業所の社員スズキさんから、不審メールが届いたとの電話連絡あったようです。必要な調査・対応を実施してください。
### [問題]
– スズキさんに電話連絡し状況を確認してください。
オープンワールドのスズキさんをクリックすると、証言を確認できます。### [フラグ]
スズキさんの証言の『 』で囲まれた文字列(半角、小文字)例: abc@localdomain.invalid
### 回答
スズキさんの証言を聞くには「オープンワールドURL」をクリックするとネットワーク構成図のような画面ができてきま
