- 1. Linuxのパケットフィルタリングツール
- 2. サイボウズに認定されなかった脆弱性?の話
- 3. Vulsはリモートスキャン対象サーバで何をしているのか
- 4. [Googleパスワードマネージャー]Googleアカウントのセキュリティ性を向上させてみた。
- 5. 【Golang】http.ClientにRoot CAを読み込ませる
- 6. 最近話題の偽サイトを効率良く収集して、Maltegoで見てみる
- 7. Dionaea と VirusTotal を自動連携して、未知のマルウェアと出会いたい
- 8. ハニーポットの解析で使っている自作の表やグラフを誰にも頼まれてないのに公開してみる
- 9. Virtual Boxで変更不可のVMを変更したい
- 10. サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その3 T-Pot編~
- 11. サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その2 Azure編~
- 12. サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その1 イントロ編~
- 13. Webサービスによくある各機能の仕様とセキュリティ観点(ユーザ登録機能)
- 14. 情報セキュリティについてのまとめ
- 15. DynamoDBへのNoSQLインジェクション攻撃例
- 16. サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介、機能概要・動作環境構築編
- 17. 【簡潔】Brakeman導入方法-Rails-
- 18. Docker コンテナをログインシェルとして利用してみた
- 19. 政府統一基準とは
- 20. アクセス制御マトリクスを使ってセキュリティテストを作る
Linuxのパケットフィルタリングツール
# はじめに
本記事ではLinuxで使用可能なパケットフィルタリングツールについて記載しています。
環境はCentOS7を例に解説しています。## ebtables
ebtablesはEthernetフレームのルールを設定するためのツールです。
ebtablesではiptablesと同様に「テーブル」、「チェイン」、「ターゲット」を用いてルールを設定します。| テーブル |概要 |使用可能なチェイン |
|:—————–|:——————|:——————|
| filter |Ethernetフレームのフィルタリング|INPUT、OUTPUT、FORWARD|
| nat |MACアドレスの変更|PREROUTING、OUTPUT、POSTROUTING|
| broute |ブリッジとルータ機能|BROUTING|– ルールの追加
`# ebtables -t broute -A BROUTING
サイボウズに認定されなかった脆弱性?の話
## はじめに
サイボウズ株式会社(サイボウズ)ではパッケージ製品やクラウドサービスの脆弱性を発見すると、報奨金を貰うことができる制度「サイボウズ脆弱性報奨金制度」がある。日本の企業でこのような制度を行っているところは少なく、HackerOneなど英語ベースのサイトに比べて日本人が利用しやすい。本記事ではサイボウズに脆弱性として認定されなかったものの、ユーザへのリスクとなり得る報告を置いておく。内容はサイボウズが仕様動作と判断したものであるため、ユーザ側での対策が必要となる。
[サイボウズ脆弱性報奨金制度](https://cybozu.co.jp/products/bug-bounty/)本記事はサイボウズより公開許可を受けています。
本記事の内容を験する場合、法律により処罰される可能性があります。## 脆弱性とは
[サイボウズ脆弱性情報ハンドリングポリシー](https://cybozu.co.jp/company/security-policy/)より
>コンピュータのオペレーティングシステム(OS)、各種ソフトウェア、オ
Vulsはリモートスキャン対象サーバで何をしているのか
# はじめに
Vuls、勝手に脆弱性のあるパッケージを見つけてくれて便利ですよね。
リモートスキャンを使えば、スキャン対象のサーバにインストールする必要もなく、SSHで入って勝手になんか見つけてきてくれます。
でも、本番サーバにSSHで入られるのは少し怖い…
もし問題が起きたときに、スキャンしたせいじゃ無いですよ!と言える根拠が欲しいと思ったので、具体的にどんなことをスキャン対象サーバで行っているのか、調べてみました。調査方法は以下の通りです。`auditctl`でローカル側で実行されたコマンドを全てログし、後から解析してみました。
“`
auditctl -a always,exit -F arch=b64 -S execve
vuls サブコマンド
auditctl -D
cat /var/log/audit/audit.log | grep “EXECVE”
“`## 環境
ローカル“`
# cat /etc/centos-release
CentOS Linux release 7.7.1908 (Core)
# go version
go version
[Googleパスワードマネージャー]Googleアカウントのセキュリティ性を向上させてみた。
つい先日までは不正ログインをされても金銭的に被害を受けるわけじゃないしと思って同じパスワードを200アカウントぐらい使いまわしてたのですがAWSやGCPなどのクラウドサービスを運用するのに**クラウド破産**が怖くなったので2日ほど時間を割いて全部のパスワードを変更してきました。
## パスワードマネージャーの選定
– セキュリティ性が高い
– クラウドベース(紛失防止)
– サービスが終了しずらい
– 利便性が高い
– 無料これら全てを叶えてくれるのが**Googleパスワードマネージャー**だったので迷わず決めました。設定項目の地味な場所にあるのですが個人的に最高峰のパスワードマネージャーだと思います。最悪浮気したくなってもパスワードのエクスポート機能があるので
ごちゃごちゃしていなくてシンプルデザインな上に右クリックでパスワードの自動生成ができて自動入力もでき変に拡張機能を導入しなくてもChromeブラウザで標準装備されているので気に入りました。
## 他のパスワードマネージャー
[List of password managers(Wikipedia)](http
【Golang】http.ClientにRoot CAを読み込ませる
RootCAs が nil だと普通にPCの証明書を取りに行っちゃうのでRoot CAをハードコードする
これでBurp Suiteとかを使った中間者攻撃を対策できる・・・ハズ
“`main.go
ca := `—–BEGIN CERTIFICATE—–
読み込ませる Root CA の中身
—–END CERTIFICATE—–`
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM([]byte(ca))c := &http.Client{
Transport: &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: caCertPool,
},
},
}
“`
最近話題の偽サイトを効率良く収集して、Maltegoで見てみる
# はじめに
2020年5月、1000をも超える偽サイトが作成されているというニュースが流れました。[- 偽サイト1000超か 海外でも被害、謎深まる―売却目的の可能性も・専門家](https://www.jiji.com/jc/article?k=2020051600131&g=soc)
[- 被害サイト1000サイト以上! 規模の大きさも理由も謎だらけ…史上最大の「偽サイト」事件 三上洋氏に聞く](https://maidonanews.jp/article/13374200)詳細についてはリンク先の記事を御覧いただきたいのですが、作成されている偽サイトには以下の共通点があります。
– **ホスティングサービスが CloudFlare**
– **ドメインのオーナーが freenom.com**ここまで分かっているなら、偽サイトらしきサイトを大量に収集し、それが本当に偽サイトかというのを確認してみよう!というのがこの記事の趣旨です。
偽サイトの収集、データクレンジング、Maltego での可視化など、作業が細かくて長いですが、おつきあいください。# 調査対象ドメイ
Dionaea と VirusTotal を自動連携して、未知のマルウェアと出会いたい
Dionaea は攻撃者が送りつけてきたマルウェアを収集できるハニーポットです。ハニーポットを運営する者としては、どのようなマルウェアが送りつけられたのか気になるものですが、Dionaea はマルウェアに関する情報を収集してくれません。
そこで、Dionaea と VirusTotal を連携し、VirusTotal に掲載されているかどうかを確認できるようにしました。これにより、VirusTotal に掲載されていれば既知のマルウェア、掲載されていなければ未知のマルウェアということが分かり、解析対象が絞り込みやすくなります。Dionaea と VirusTotal の連携に関するサイトは検索すればたくさんあるので基本的には焼き直しですが、マルウェアの既知と未知を区別できるように一手間加えたところがこの記事のミソです。
# 1. VirusTotal API の準備
まずは [VirusTotal](https://www.virustotal.com/gui/home) のアカウントを作ってログインします。ログイン後、右上のアイコンをクリックし、「API Key」をクリックしま
ハニーポットの解析で使っている自作の表やグラフを誰にも頼まれてないのに公開してみる
私が使っているT-potというハニーポットでは、さまざまなダッシュボードがプリセットされています。攻撃件数、攻撃元の地図、攻撃タイプなど、これだけでも見ていて楽しいです。楽しいのです!(強め)
このままでも解析はできるのですが、やはり自分が調べたいものに特化したダッシュボードの方が良いのは間違いありません。というわけで、私がよく使っている集計表 / グラフをご紹介します。
KibanaのURLクエリも貼り付けておくので、よかったら使ってください。
Visualize を選択して、
URLの「g=」以降
Virtual Boxで変更不可のVMを変更したい
Virtual Boxで怪しいサイトにアクセスしたり、ハニーポットで受けた攻撃を分析する用の解析VMを作りました。マルウェアに感染することもありうるので、ぶっ壊れる前提の環境にする必要があります。Virtual Boxは、シャットダウンするだけで元の環境に戻せる機能がありますので、それを使います。
# ディスクのタイプを「変更不可」にするだけ
自分がよく使うツールの導入や設定が済んだ時点でディスクの設定を「変更不可」にします。これによりVMをシャットダウンするだけで初期状態に戻るため安全安心です。
しかし、環境を作り終わったあとでも新しいツールを入れたくなったり、ブックマークを追加するなど、変更箇所はどうしても出てきてしまうものです。
Virtual Boxでは「変更不可」の状態から、書き込みができる「Normal」に変えても「変更不可」の
サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その3 T-Pot編~
[前回記事はこちら](https://note.com/believe_in_beer/n/na55bc4327410)
# T-Pot インストール
いよいよ T-Pot のインストールです。その前にとりあえず update と upgrade をしておきます。また、Debian 9 Strech には git が入っていないので git を入れます。“`Bash
sudo apt upgrade -y
sudo apt update -y
sudo apt install git -y
“`git から T-Pot をダウンロード & インストールします。
“`Bash
git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
sudo ./install.sh –type=user
“`少し画面が進むと、以下の画面になります。これは「22番ポートが開いてて、ハニーポットのサービスとかぶるかもしれないけどいいですか?」と聞いています。気にせず Y を押します。
今回は、実際に環境を作っていきます。初心者の方にも分かりやすく細かく書くので若干長くなりますが、ご了承ください。ちなみに、Azure の画面構成やデザインは変更されることがあるので、変わっている場合は適宜読み替えてください。
Azure にログインしたら、「Virtual Machine」を選択します。
「追加」を押します。
# プロジェクトの詳細
プロジェクトの詳細サブ
サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その1 イントロ編~
# はじめに
かねてよりハニーポットには興味があったのですが、サーバー構築経験が無い私にとってはハードルが高く、メンテナンスができるかなどに不安がありました。しかし、実際やってみたところ意外とあっさりと構築できてしまい、それなりに運用できるようになりました。このブログでは、ハニーポットには興味があるけど構築の面で不安がある方向けに、できるだけ丁寧に解説していきたいと思います。
# ハニーポットって?
Wikipediaによるとこのように書いてあります。
> ハニーポット (英語: Honeypot) は、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。
簡単に言うとわざとサイバー攻撃を受けるシステムで、どのような攻撃をしてくるのか、攻撃の手順はどのようなものなのか、世の中的にどのような攻撃が流行っているのかなどを観測するというシステムです。観測して得られた結果から、自分の本当に守りたい環境に対して対策を施すという使い方をします(私の場合は、本当に守りたい環境というのはないので完全に趣味です。攻撃を受けてニヤニヤするだけです)
Webサービスによくある各機能の仕様とセキュリティ観点(ユーザ登録機能)
# この記事の目的
## 課題: Webサービスの各機能の仕様に関するセキュリティ情報があまりない
Webサービスを設計するにあたり、よくある機能というのが存在するかと思います。
– ユーザ登録
– ログイン・ログアウト
– パスワード復旧
– URLで共有
– SNSログイン
– お気に入り登録
– いいねボタン
– マイページ
– 通知
– 等・・・これらに関して、自分の認識をまとめておきたい・意見をもらってブラッシュアップしたいと思い、記事を書きます。
大きい記事たくさん書くの大変なので、機能ごとに書こうかな・・・と思ってますが一つを育てていくかもしれないです。[前書いた記事](https://qiita.com/shioshiota/items/6f6cc42303ac72388693#%E8%A8%88%E7%AE%97%E9%87%8F%E3%81%AE%E8%A6%8B%E7%A9%8D%E3%82%82%E3%82%8A%E3%81%A8%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83
情報セキュリティについてのまとめ
###情報セキュリティ
情報セキュリティとは、WEBサービスにおいてのセキュリティのことを指します。
情報漏洩や不正なアクセスを防ぎつつ権限のあるユーザーの利便性を高めるのが理想です。下記の3つを保持することがWEBサービスの使命です。
1.機密性
-権限のない人が情報資産を見たり使用したりできないようにする
2.完全性
-権限のない人が情報を消したり書き換えたりできないようにする
3.可用性
-権限のある人(ユーザー)がサービスをいつでも利用できるようにする全てにおいてのセキュリティをおびやかす欠陥や問題点のことを脆弱性と言います。
また、脆弱性は開発者のチェック不足やバグによって生まれます。脆弱性の具体例は以下です
-個人情報を勝手に閲覧される(機密性の侵害)
-WEBページの内容が改ざんされる(完全性の侵害)
-WEBページの利用ができなくなる(可用性の侵害)ユーザーへの金銭的補填、開発者の信頼の失墜、機会損失などの被害が生まれてしまうため、
DynamoDBへのNoSQLインジェクション攻撃例
# DynamoDBへのNoSQLインジェクション攻撃
RDB(SQL)よりは危険性は少ないですが、DynamoDB(NoSQL)でも攻撃される可能性はあります。
私の場合はDynamoDBへのアクセスにDynamooseを使っているので、Dynamooseを使った例を説明します。とはいえ、AWS SDKを直接呼び出す場合も、基本的な考え方は同じです。
# コード例
“`javascript
‘use strict’;
// awaitを使いたいので、async関数を即時実行しています(雑ですが・・)。
(async () => {// AWS SDKに~/.aws/configのリージョンを読み込ませる
process.env.AWS_SDK_LOAD_CONFIG=true;const AWS = require(‘aws-sdk’);
const dynamoose = require(‘dynamoose’);
dynamoose.setDDB(new AWS.DynamoDB());
dynamoose.setDefaults({
サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介、機能概要・動作環境構築編
# サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介:機能概要・動作環境構築編
| レッドチーム用画面| ブルーチーム用画面 |
|:—:|:—:|
||
|
※ 上記画像はMITRE CALDERA バージョン 2.6.6 のWebクライアント画面
## はじめに
### 趣旨
私の仕事はサイバーセキュリティの研究で、特に人材育成に関して興味・関心があります。
研究の中で
【簡潔】Brakeman導入方法-Rails-
###Brakeman導入方法
####Brakemanとは
Brakemanとはアプリケーションを開発した際にセキュリティ検査ができるgemの一つです。
Railsでは元からセキュリティについては比較的維持できるものですが、私が開発した際に補助的にこのようなツールを使ってみました。ちなみにBrakemanは静的なツールです。####導入方法
作成中のプロジェクトの`Gemfile`内の`group :development do`と`end`の間に`gem ‘brakeman’, require: false`を追記します。
“`Gemfile
group :development do
gem ‘brakeman’, require: false
end
“`次にターミナルの作成中アプリのディレクトリで`brakeman`と叩けばBrakemanでのセキュリティチェックが始まります。
“`ターミナル
% brakeman
“`
出力はこんな感じです。“`ターミナル
== Brakeman Report ==Application Path:
Docker コンテナをログインシェルとして利用してみた
Linux にログインする時のログインシェルとしては、`/bin/sh` や `/bin/bash` 等がよく利用されます。また、好みに応じて zsh 等を利用する方も多いでしょう。ログインシェルは切り替え可能なので、Docker のサブコマンド `docker run` をログインシェルとして利用し、監獄化した環境を構築してみましたので報告します。
## 改定履歴
* 2015/05/16
* Dockerfile を生成せずに起動できるようにした。
* 上記を実現するにあたり、コメントで @tenmyo さんにヒントを頂きました。ありがとうございます。## なんのためにこんな事を試すのか?
共有サーバー環境において、ユーザー間の隔離を実現するために検証しています。
レンタルサーバー等不特定多数が利用する共有サーバー環境では、モラルの低いユーザーや悪意あるユーザーが紛れ込む事を防げません。そのようなユーザーに対抗するためには各ファイル、ディレクトリに適切なパーミッションを設定する事が最低限必要ですが、chroot 等で監獄環境を構築できればより安心です。chro
政府統一基準とは
# 1. 要約(3行まとめ)
– 政府統一基準は中央省庁や独立行政法人のセキュリティ対策の基準だよ。
– NISCが作って、サイバーセキュリティ戦略本部が決めているよ。
– 中央省庁や独法だけでなく、他の業種でも参考にされることがあるよ。# 2. 政府統一基準とは
– 正式名称:政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)
– 説明:国の行政機関、独立行政法人、指定法人(例:地方公共団体情報システム機構な等)のサイバーセキュリティに関する対策の基準。
– 根拠法:サイバーセキュリティ基本法(平成26年法律第104号)
– 決定:サイバーセキュリティ戦略本部
– 実務(基準案作成等):内閣サイバーセキュリティセンター(NISC)
– 初版:[平成17年に決定(2005年)](https://www.nisc.go.jp/active/general/kijun01.html)
– 構成文書:
– 統一基準群
– 政府機関統一基準適用個別マニュアル群
– 統一基準群(平成30年度版)の教材
– その他:[NISCのWebサイト参照](https://
アクセス制御マトリクスを使ってセキュリティテストを作る
## 概要
本記事では架空のブログサービス(Webアプリケーション)を例に、下記のようなアクセス制御(認可)の欠陥を発見するためのテストを作る流れを説明する。
アクセス制御の欠陥
– ログインしてないのに機能を使えてしまった
– 一般ユーザが管理機能を使えてしまった
– 他のユーザの秘密情報を閲覧・変更できてしまったテストを作るまでの流れ
1. ユースケースをもとにロール、リソース、操作を列挙する
2. アクセス制御マトリクスを作る
3. テストを設計する## ユースケースからユーザ・ロール、リソース、操作を抽出
アクセス制御をテストするには、まず「誰が」「何を」「どう」できる(許可)・できない(不許可)を明確にする必要がある。
1. 誰が:ユーザ・ロール
2. 何を:リソース
3. どう:操作これらはユースケースやユーザーストーリーから抜き出せる。ブログサービスには次のようなユースケースがあるとすると、
– 登録済みユーザは、自己紹介を作成できる
– 登録済みユーザは、記事を投稿・更新・削除できる
– 登録済みユーザは、記事にコメントできる
– 記事とコメ
