お疲れさまです。インフラチームの山口です。 新型コロナウィルスの影響下でのリモートワークに伴い最近社内でいくつかのVPNアプライアンスのPoCを実施したのでその際に考えたことや振り返ってこうしておくべきだったという内容を戒めとして各フェーズに沿ってエッセイとして記載します。 なお、現在進行系で数種の製品のPoC中のため、「何か特定の製品を使ってうまくいった」や「弊社はこうしている」などの情報は何もない、私が感じたチラシの裏的なレポートになります。 要は、技術的に新規性のあることはない内容ですが、同じような問題意識を持ってる人間に届けばいいなといった感じの文章になります(文章でもなんでも刺さる人にだけ刺さればいいというポリシーなので、そういった感じです)。 本稿の構成を以下に記載します。 まず、筆者の経歴および、前提条件を説明します。 次に、製品選定や実際のPoC準備から実施までに考えたこと
reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。 medium(英語):https://sachiel-archangel.medium.com/ フォレンジック屋さんなのに、何故か暗号ネタが続きます。 なんで暗号やるのかって? もちろん、暗号の正しい実装ができていなければ、そこを突かれてしまうため、性質、制限、必須事項を知っておく必要はありますが。 一番の理由は、マルウェア解析で、ランサムウェアを解析したりするからですよ。 解析できると、当然どんな手法で暗号化しているかが分かるのですが。 ただ、「この実装問題ないの?」というものも結構あり、これサイドチャネル攻撃通るんじゃね?なんて思うこともあります。 ランサムウェアで暗号化されても、身代金払わず復元できるなら・・・なんて思って勉強してる次第です。 それにしても、ラン
reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。 medium(英語):https://sachiel-archangel.medium.com/ サイバー攻撃に関するインシデントのフォレンジック調査をする場合、重宝するのはやはりログです。 これは、どのOS、アプリケーションでも重宝します。 フォレンジック調査は、「データとして残っている」痕跡が無ければ調査できません。 ログはいつ、どのような動きをしていたかをOSやアプリケーションが痕跡を残してくれるため、調査の軸になります。 ただし、ログの改ざん、破壊がされてしまうケースもあり、その対策は必要です。 さて、今回は、「そもそもログが足りているか?」というお話です。 例えばWebサービスからSQLインジェクションで情報を盗まれた可能性がある場合、ケースによってはSQLの
reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。 medium(英語):https://sachiel-archangel.medium.com/ SMBv3の脆弱性でいくつか記事を書きましたが。 「そもそも、バッファオーバーランで、なんでリモートコード実行ができるの?」っていう疑問があるんじゃなかろうか、と思います。 そこで、今回はバッファオーバーランの脆弱性のある関数を用いて、実際にバッファオーバーランするところを、IDAを使って観測してみます。 プログラムの内部でこういうことが起こっているから、リモートコード実行の可能性が発生しうる、だからバッファオーバランには気を付けなければいけない、ということの理解が目的です。 そのため、今回のサンプルでは、あえてリモートコードの実行まではせず、自身のプログラムがクラッシュす
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
VPN製品の社内PoCを通して考えたことなど - エニグモ開発者ブログ
『AES暗号CBCモードの暗号鍵と初期化ベクトル』
『Windowsのイベントログ、足りてますか?』
『バッファオーバーランによるリターンアドレスの書き換え』