本稿は「情報セキュリティ系論文紹介 Advent Calendar 2016 - Adventar」9日目の記事である。 ACM CCS 2016で発表されたWebトラッキングに関する論文を紹介する。なお、本記事で用いられている図表はこの論文から引用したものである。 Online tracking: A 1-million-site measurement and analysis 背景と前提知識 Webトラッキングとは、オンライン上でのユーザーの行動を追跡・分析する営みのことを言う。皆さんも、ショッピングサイトで閲覧したことのある商品（またはそれに関連するもの）の広告が、別のサイトで表示された経験があるのではないだろうか。そういった現象の裏ではWebトラキングの技術が使われている。 Webトラッキングのあまり知識がない場合は、過去に#ssmjpで発表を行った時の資料を参照されたい。 進化

最近 Let's Encrypt が Public Beta になったということで，自分のサイト(https://sonickun.xyz)もSSL化してみた．また，どうせならSSL LabsのテストでA+を取りたいと思いあれこれ試行錯誤したので備忘録として残しておく． Let's Encrypt letsencrypt.org Let's Encrypt は，SSL/TLSサーバ証明書の取得・管理を簡略化できる無料のサービスであり，TLSやHTTPSを普及させることを目的としている．Let's Encryptで取得可能なSSL/TLSサーバ証明書は「ドメイン認証 (DV) SSL/TLS証明書」であり，独自ドメインの所有者であれば誰でも取得可能である．企業認証(OV)SSL/TLS証明書やEV SSL証明書は取得できないが，個人が運営するサイト程度ならDV証明書で十分といえる． Let'

"深淵を覗き込む時、深淵もまたこちら側を覗き込んでいるのだ。" 2015年2月20日のssmjpという勉強会でダークネットについて発表させていただきました．(会場は品川のBIGLOBEのオフィス) 2015年2月の#ssmjp まとめ | ssmjp Infomation 「ダークネット」という，なんとも厨二くさいワードですが，れっきとしたネットワーク用語です． インターネットのダークサイドへようこそ... ダークネットのはなし #ssmjp from sonickun 会場で寄せられた質問は以下のとおり． Q．IPアドレスがダークネットか否かを判断する方法はなにか A．あらゆるリクエストパケットを投げてみて，なにも応答がなかったらダークネットと考える． Q．ダークネットと経路なしの区別はなにか A．ダークネットはパケットが「到達可能」なのに対して，経路なしはパケットが「到達不可能」なもの

SECCON CTF 2014 決勝戦にチームm1z0r3(みぞれ)として出場してきました．結果は431点で24チーム中20位，日本チームでは10位でした．SECCON CTF 2014決勝戦・全国大会カンファレンス SECCON CTF 2014 Finals Ranking 特別賞として，「Medical × Security Hackathon賞」を頂きました．3月に福島で行われるハッカソンに招待していただけるようです． 圧倒的実力不足を痛感しました．Writeupが書けない． 個人的に取り組んだ問題について書いていこうと思います．問題サーバは全部で6台ありましたが，主にWEB系の問題を中心にに1,2,5,6に取り組みました． サーバ 壱 指定されたURLにアクセスするとユーザ登録とログインが出来るようになっている． ログインすると以下の画面が開く．各チームごとにUser Nameや

Dionaeaは低対話型のハニーポットであり，本物"そっくり"のサービスをエミュレートするため，本物とはわずかに異なる挙動を取ることがある．有名なネットワークスキャンツールであるNmapはそういったわずかな挙動の違いを突いてハニーポットを検出することができる．以下のようにNmapに-sVや-Aオプションを付けてスキャンを行うとDionaeaが検出される． $ nmap -sS -sV AAA.BBB.CCC.DDD Starting Nmap 6.46 ( http://nmap.org ) at 2015-01-30 07:08 Asi Nmap scan report for ec2-AAA-BBB-CCC-DDD.us-west-2.compute.amazonaws.com (AAA.BBB.CCC.DDD) Host is up (0.31s latency). Not show

ひょんなことで情報検索の知識が必要になったので，勉強したことを簡単にまとめておきます． 情報検索とは，コンピュータを用いて大量のデータ群から目的に合致した物を取り出すことです． Okapi BM25は情報検索における文章中の単語の重み付けの手法の一つであり，他にもTF-IDFと言ったアルゴリズムがあります． Okapi BM25 - Wikipedia, the free encyclopedia 一般的にはTF-IDFよりも良い結果が得られると言われ，比較手法としてのベースラインになっています． Term Frequency (TF) 文書中において出現頻度の高い単語は重要であるという考え方です． ある単語Tiの文書Dj中における重みを考えると TF(i,j) = (文書Djにおける単語Tiの出現回数) / (文書Djのの総単語数) となります． Inverse Document Fre

ドメインの情報が知りたければdigやnslookupコマンドを叩けば良いっていう話ですが，複数のドメインもしくはIPアドレスをまとめて処理したいってこと，あるあるですよね． Python Script lookup.py # -*- coding: utf-8 -*- import socket import sys # 正引き def foward_lookup(domain): try: return socket.gethostbyname(domain) except: return False # 逆引き def reverse_lookup(ip): try: return socket.gethostbyaddr(ip)[0] except: return False if __name__ == "__main__": f = open(sys.argv[1])　# ファイ

もりたこさん(@mrtc0)の記事を読んで，「Idle Scan」という送信元を隠して行うポートスキャンについて興味をもったので，自宅にあるネットワーク機器にも踏み台になりうるものはないかなーと探していたら，ありました． プリンタが． PSPを利用したIdle Scan - もりたこの日記 完全にもりたこさんの記事の二番煎じになりますが，書きます． Idle Scan の概要 あえて英語で書くと，こう． Probe the zombie's IP ID and record it. Forge a SYN packet from the zombie and send it to the desired port on the target. Depending on the port state, the target's reaction may or may not cause th

※はじめに言っておきますが実際にmasscanで/0スキャンをしたわけではありません． /0アドレス空間をわずか6分でスキャンできると言われる「masscan」というスキャンツールを使ってみました．なんと1秒間に1千万パケットを送信できるそうです．ｵｿﾛｼﾔ robertdavidgraham/masscan · GitHub このまえZMAPという高速スキャナを使いましたが，それよりもはるかに速いです． まずはインストールから $ sudo apt-get install git gcc make libpcap-dev $ git clone https://github.com/robertdavidgraham/masscan $ cd masscan $ make masscanの使い方は基本的にnmapと似ています．また，-Pnオプションや-nオプションなど，nmapのオプショ

Pythonの「GeoIP」というモジュールを使ってIPアドレスやドメイン名から国名などの位置情報を取得します． GeoIP 1.3.2 : Python Package Index GeoIPのインストール インストール方法が少しややこしかったのでまとめておきます． 事前にインストールが必要だったパッケージ(sudo apt-get installでインストール) python-dev libevent-dev libgeoip-dev 上のサイトから「GeoIP-1.3.1.tar.gz」をダウンロードして以下のコマンドを実行 $ tar xvzf GeoIP-1.3.1.tar.gz $ cd GeoIP-1.3.1 $ python setup.py build $ python setup.py install　これでGeoIPモジュールが使えるようになります．/GeoIP-1.