- 1. SOPHOS Cloud OptixでGKEの設定がアンセキュアなものをあぶり出す
- 2. 脱獄検知回避アプリを解析する Liberty lite
- 3. 【セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方】本の感想(Web問題)
- 4. YouTuberヒカルのHP騒動 WordPressの管理パネルはきちんと変えようって話とサイバーセキュリティ
- 5. それなりにセキュアなGKEクラスタを構築する
- 6. sudo がアレなので doas に乗り替えてみる
- 7. IATを特徴量としてマルウェア検出器を作ろうとした(失敗談)
- 8. 1870件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成する試験自動化技術
- 9. 信用には堪えない、廃止済み RSA 形式の SSL 整理ノート 〜 openssl とイラストをそっと添えて〜
- 10. GCPのデータリスク管理プラットフォーム Security Command Center を導入してみた
- 11. 2019年に実施したセキュリティ対策
- 12. 文系大学生がMini Hardeningに参加してみた
- 13. SQLインジェクションとその対策(PHP + PDO)
- 14. 【セキュリティ飯】軍用レーションを食べてみた
- 15. 「秘密の質問」のベストプラクティス
- 16. Azure VM(Windows)においてAzure AD認証がパブリックプレビューになったので早速試してみた!
- 17. AWSセキュリティ対策2020
- 18. 気軽に脆弱性を見つけてみよう!
- 19. Googleの脆弱性を見つけてお金を貰うまでの話
- 20. 『情報共有のトライアングル(ジレンマ)』から学ぶ、作業の進め方
SOPHOS Cloud OptixでGKEの設定がアンセキュアなものをあぶり出す
TOPGATEの堤です。
SOPHOS Cloud Optixというセキュリティ製品を試用する機会があったので、紹介させていただきます。これをGCPやGKEで使えるかどうかも含めて検証してみた。
## SOPHOS Cloud Optixとは・・・
英国のセキュリティベンダーであるSOPHOSがリリースしているセキュリティ可視化ツールといったところだろうか。インスタンスの状態はもちろんのこと、リソースの設定に不備があるかどうかなども、SOPHOSのAI技術を使って分析して、その結果をレポートしてくれるツールと理解しています。
GCP以外にも、AWSやAzureにも対応。詳細は公式HPを御覧ください。
https://www.sophos.com/ja-jp/products/cloud-optix.aspx
Cloud Optixは、30日まで無償で試用できるので、興味ある方はぜひ使ってみてください。
## レポート機能を試す
いろんな機能があるが、今回試すものは、構築したインフラやリソースにアンセキュアな設定がないかどうかを自動的に検出する機能「レポート」を試したいと思
脱獄検知回避アプリを解析する Liberty lite
—
typora-copy-images-to: ipic—
執筆途中
本記事では脱獄についての説明は省きます。
## 脱獄者 vs 開発者
今まで脱獄者は開発者にとって無視できない不都合な事象(アプリケーションの解析やチート、海賊版の作成 etc…)をもたらしてきました。これらの行為を防ぐべく、多くの開発者は__脱獄を検知__してアプリケーションの挙動を変えることで対策しました。
脱獄者の中には少なからず_開発者_や_セキュリティリサーチャー_といった類の「職」を持つ人々がいます。そしてこれらの人々の一部(野心的なデベロッパー・ハッカー)にとって脱獄検知という技術は非常に興味深いものであることに間違いありません。彼らもまた、__脱獄検知を回避__するという手段を通じて開発者に対抗しました。
__これは終わらないイタチごっこに違いありません!__
実際、今まで_Cydia_をはじめとした脱獄アプリストアには多くの__脱獄検知回避Tweak__が並んできました。
_Xcon, BreakThrough, FLEX, Liberty, Lib
【セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方】本の感想(Web問題)
お久しぶりです。長岡です。
最近 CTF に興味を持ちまして、その取っ掛かりとして今回タイトルに記載した本を購入しました。CTF って何って方は以下の URL から CTF の概要が確認できますので、ぜひご参照ください。
[CTF(Capture The Flag)とは?概要から基本ルール、メリットデメリットまで徹底解説](https://cybersecurity-jp.com/security-measures/33780#CTFCapture_The_Flag:embed:cite)
今回は現在の職であるアプリケーションエンジニアと近しい「Web 問題」から読みました。各章ごとに学んだことと、感想について書きます。
– [Web 問題とは](#-web-問題とは)
– [任意コード実行系の脆弱性について](#-任意コード実行系の脆弱性について)
– [各種脆弱性の利用](#-各種脆弱性の利用)
– [シェルを取った後の手法](#-シェルを取った後の手法)
– [FLAG がありそうな場所を探してみる](#flag-がありそうな場所を探してみ
YouTuberヒカルのHP騒動 WordPressの管理パネルはきちんと変えようって話とサイバーセキュリティ
#これで150万円って、本当ですか??
ちらっとYouTubeを見ていると、YouTuber「ヒカル」さんの最新動画を見かけました。
気になったので、ポチってみると…[「【ガチ説教】150万円でヒカルの公式サイト作ったらヒカルにブチ切れられた…」](https://www.youtube.com/watch?v=bgfGRgSMPIg)
[](http://www.youtube.com/watch?v=YOUTUBE_VIDEO_ID_HERE)該当ホームページ: http://hikaruchannal.com/
– doasのソース規模はsudoのそれに比べかなり小さい最近manやmakeを知らない人が居るという事実を見かけるので、その辺りの利用例も含めて少々回りくどく記述しています。
> 本記事はSoftware Design誌 2020年1月号 に掲載された「sudoからdoasへ」の内容とほぼ同じもの、というより元の原稿そのものです。ネタを明かすと、元々Qiitaで公開するつもりで書いたのですが、書きすぎてボリュームが雑誌の記事になるぐらいになってしまったのをSoftware Designに拾っていただいたというのが本当の話です。
#
IATを特徴量としてマルウェア検出器を作ろうとした(失敗談)
#はじめに
マルウェアデータサイエンスという本を読んで機械学習を勉強中です。
本とは違う特徴量を使用してマルウェア検出器を作成してみようと思い、IAT(Import Adress Table)を特徴量としてマルウェア検出器を作ろうとしたのですが実行できませんでした。
現時点までの流れを書いておきます。参考文献: マルウェアデータサイエンス サイバー攻撃の検出と分析
https://book.mynavi.jp/ec/products/detail/id=107362#コードver.1と実行結果
path(ターゲットファイル)からIATを抽出してハッシュ化する。“`コードver.1
def get_iat_features(path,hasher):
IAT_features = {}
pe = pefile.PE(path)
for entry in pe.DIRECTORY_ENTRY_IMPORT:
for function in entry.imports:
IAT_features[function.
1870件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成する試験自動化技術
# はじめに
この記事は [Linux Advent Calendar 2019](https://qiita.com/advent-calendar/2019/linux) の 23 日目の記事です。## 自己紹介
こんにちは。[OSSセキュリティ技術の会](https://secureoss-sig.connpass.com/) の [fujiihda](https://twitter.com/fujiihda) です。これまで Linux カーネルを含む OSS に関連する技術調査、技術講演、開発、サポート等を経験してきました。最近では、技術コミュニティを設立する側や運営側に関わらせていただく機会も増えてきました。## 本記事で扱うテーマ
カーネルの試験自動化技術として Google の Dmitry Vyukov さんが開発し OSS として公開した syzkaller (読み方:シスコーラー [^1] ) について解説します。2019 年 12 月時点では、内部実装まで踏み込んで調査した日本語の記事は本記事が初となるは
信用には堪えない、廃止済み RSA 形式の SSL 整理ノート 〜 openssl とイラストをそっと添えて〜
## 概要
わからんわからんとにかく SSL の仕組みがわからん、いくつネットの記事をめぐってもわからん、書いてあることが違うし「デマ記事が多すぎ」という意見もありどれを信用すべきかわからんし記事を書いている今でもやはりわからん。色んな人たちに「そのへんはブラウザやインフラがよしなにやってくれるからそんなに気にしなくていいよ」と言われたけどやっぱり気になる、わからん。
そんな状態で記事を書いて**本当にすみません。今からデマ記事をもうひとつ増やします。**正確な記事をお求めの方は無視していただきたく。本記事は、ざっと SSL の情報をめぐった結果を私なりにまとめ、湧いた疑問も併記したものになります。それと、各要素が複数の名称で呼ばれていること(サーバ証明書、 SSL 証明書など)も自体を難解にしていると感じたので、そのあたりにも触れつつノートし
GCPのデータリスク管理プラットフォーム Security Command Center を導入してみた
こんにちは、SRE所属の @h_amakasu です。
この記事は、All About Group(株式会社オールアバウト) Advent Calendar 2019 23日目の記事です。GCP を本格的に触るようになって随分たち、リソースがかなり多くなってきました。
将来はさらに増えていくのは確実なので、自動でリスク判定とかできないかなーと思ってたところ、掲題の Security Command Center がGAしたので導入してみました。本記事では、このSecurity Command Centerと機能拡張(スケジューリング、メール通知)の導入手順をまとめてみました。
これを導入のきっかけにしてもらえれば幸いです。
# Security Command Center ってなに?
GCPのセキュリティサービスを統括するサービスで、セキュリティおよびデータリスクを把握するためのリスクデータベースです。
2019年12月時点では導入により Cloud Anomaly Detection, Web Security Scanner, Event Treat Detecti
2019年に実施したセキュリティ対策
世間でも騒がれるほど大きいサイバー攻撃が目立つ年だった2019年ですが、弊社で実施したセキュリティ対策についてまとめておきたいと思います。
## フォームへの不正アクセス対策
Webサービスローンチ直後から、海外のIPアドレスから「お問い合わせフォーム」へ不正なアクセスが繰り返された案件がありました。
即座に対応が求められたため、Googleの reCAPTCHA v3 を導入して解決しました。### reCAPCHA v3
不可視のスコア判定をしてくれるモジュールで、v2の画像認証と比較してエンドユーザーのコンバージョンを落とすことなく導入できます。
導入した画面には reCAPCHAのアイコンが表示されます。
画像認証がないため、ユーザーには優しい反面、スコアや独自のロジックで OK/NG を決めるため、不正なアクセスで
文系大学生がMini Hardeningに参加してみた
#はじめに
現在、東北の大学2年生でリモートでITのスタートアップでアルバイトをしている文系エンジニアの佐藤です。詳しい自己紹介はこちらを参照ください。
(https://qiita.com/RyuseiSato/items/9253a9c4ad735dc5f3cb )#Mini Hardening
今回私はOWASP主催Mini Hardeningに参加してきました!
(https://minihardening.connpass.com/event/152553/ )今回はリモート含めて5つの競技会場があり、私はOWASP FUKUSHIMAが主催する会津会場から参加しました。
Mini Hardeningとは?
>WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。丸一日かけて行われるHardening
SQLインジェクションとその対策(PHP + PDO)
> この記事は、[North Detail Advent Calendar 2019](https://qiita.com/advent-calendar/2019/northdetail) の21日目の記事です。
## はじめに
先日、社内で[「安全なウェブサイトの作り方」](https://www.ipa.go.jp/security/vuln/websecurity.html)を使った読書会が行われました :green_book:
SQLインジェクションについて議題に上がったので、
勉強がてら実際に試してみよう!というのが今回の趣旨になります。## SQLインジェクション?
> SQLインジェクション(英: SQL Injection)とは、
> アプリケーションのセキュリティ上の不備を意図的に利用し、
> アプリケーションが想定しないSQL文を実行させることにより、
> データベースシステムを不正に操作する攻撃方法のこと。
>
> https://ja.wikipedia.org/wiki/SQLインジェクション「Injection」という単語が「注入する」と
【セキュリティ飯】軍用レーションを食べてみた
# はじめに
これは Sansan Advent Calendar 2019 第19日目の記事です。# 食事におけるセキュリティを考える
皆さんこんにちは、Sansanでセキュリティエンジニアをしているものです。
自分はサイバー空間や物理空間におけるセキュリティを日々考えていますが、食事のセキュリティはあまり考えたことがありませんでした。
しかし、歴史を見れば毒殺や食あたりで要人が逝ってしまい歴史が動くこのとも多々あります。
社内のCSIRTメンバーや要人(経営陣・エンジニア・キーマン)などを守ることができる脆弱性の無い食事をどのようにしてとればいいのでしょうか?## セキュリティ飯の要件
以下の二点を満たすことができればセキュアなご飯だといえます…(多分)
1. 可用性:常に食べることができる
2. 完全性:毒を盛られることがない
3. ~~機密性:第三者に知られることがない~~(食事については不要な要素)これらを満たす、セキュリティ飯とはズバリ ***MRE*** でしょう!
 の一節、[Testing for Weak security question/answer (OTG-AUTHN-008)](https://www.owasp.org/index.php/Testing_for_Weak_security_question/answer_(OTG-AUTHN-008)) を参考にしています。
# 「秘密の質問」とは
>秘密の質問(ひみつのしつもん、英語: secret question)またはセキュリティ質問(セキュリティしつもん、英語: security question)は、認証
Azure VM(Windows)においてAzure AD認証がパブリックプレビューになったので早速試してみた!
# はじめに
ついに、Windows OSでもAzure AD認証が利用できるように先日パブリックプレビューになりました!
(Linuxは以前にプレビューしていましたが、私としてはWindowsの方を使いたかったので待っていました笑)記事およびドキュメントは下記となります。
・[Azure AD authentication to Windows VMs in Azure now in public preview](https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-AD-authentication-to-Windows-VMs-in-Azure-now-in-public/ba-p/827840)
・[Sign in to Windows virtual machine in Azure using Azure Active Directory authentication (Preview)](https://docs.microsoft.com/en-us/azure/a
AWSセキュリティ対策2020
[くふうカンパニーアドベントカレンダー](https://qiita.com/advent-calendar/2019/kufu)17日目の記事です。
あなたのサービス、セキュリティ対策万全ですか?
2020年を迎える前に、セキュリティ対策を行う前に脅威や脆弱性についておさらいしてみましょう。
脅威とは、不正アクセスや、サービス妨害、ウィルスなど人間によって引き起こされるものと、災害(地震、台風、火災)など環境によって引き起こされるものに分類されます。その脅威に利用される恐れのある弱点が脆弱性というわけです。脆弱性とは、ソフトウェアやハードウェアの「バグ」や「セキュリティホール」、アクセスコントールの欠如など脆い部分の事を言います。 「脅威」と「リスク」は混同されがちですが、リスクを引き起こす要因が脅威であり、リスクは可能性です。リスクは、脆
気軽に脆弱性を見つけてみよう!
ハイ!どうも皆さん、おはよう!こんにちは!こんばんは!
この季節がやってまいりましたね、[シーエー・アドバンス Advent Calendar 2019](https://qiita.com/advent-calendar/2019/ca-advance)
17日目を担当します、@ihahajimeです。宜しくお願いします!!
シーエーアドバンスに入社しセキュリティのお仕事を始めて1年と2か月くらい、まだまだ修行中です。# はじめに
今回は、自分の経験から**ブラックボックス視点で脆弱性をチェックしてみよう!**という内容となっています。
前職でブラックボックスのソフトウェアテスト[^1]をしていた経験と、今やっている脆弱性診断の経験を掛け合わせて、もっと簡単に脆弱性診断を紹介できればな!と思っています。
フランクな感じでサクッと読んでいただければ幸いです。Take it easy!:santa_tone3:# そもそも脆弱性診断とは
皆さん**脆弱性診断(ゼイジャクセイシンダン)**ってご存じでしょうか?
だじゃくせい?きょじゃくせい?何それおいしいの?って方も、
剛腕セ
Googleの脆弱性を見つけてお金を貰うまでの話
# はじめに
Googleには未発見の脆弱性を報告すると、種類に応じて報奨金が貰える制度「Google Vulnerability Reward Program (VRP)」がある。世のBug bounty hunterたちは、英語を始め様々な”言語”を駆使しているため問題なく報告できるが、偶然にも脆弱性を発見してしまった三流エンジニアは日本語記事が少なく苦労する。そんな人のためと少しの自慢を混ぜてここに記録を置いておく。Google Vulnerability Reward Program (VRP) Rules
https://www.google.com/about/appsecurity/reward-program/## 脆弱性を見つける
2019年10月、以下のGoogleブックスにXSS(クロスサイトスクリプティング)が存在したとの記事を読んだ。やはりネットサーフィンをしていたら
たまたまGoogleのサイトにXSSの脆弱性を見つけたのはまちがっている
http://nootropic.me/blog/blog/2016/09/20/XSS自体、よく知っ
『情報共有のトライアングル(ジレンマ)』から学ぶ、作業の進め方
# はじめに
情報処理安全確保支援士(登録セキスペ)の講習を受講する中で、**情報共有のトライアングル(ジレンマ)**という項目が挙げられており、面白いと思ったので紹介します。**情報共有のトライアングル(ジレンマ)**を理解することで、サイバーセキュリティに限った話ではなく、仕事の進め方全般であったり、不具合対応や資料作成時などに**何を優先し何を優先しないのか**、意識して行動する手助けになリます。
## 情報共有のトライアングル(ジレンマ)とは
以下、日本セキュリティオペレーション事業者協議会 (ISOG-J)より公開されている資料を引用した内容になります。
簡単に言うと、「早さ」、「正確性」、「網羅性」は**いずれかの2つ**しか満たすことができないと言う話になります。>
