今回は、とあるところのとある記事を発端にTwitterでも盛り上がった(？)
パスワードの定期変更について取り上げさせていただきました。

パスワードの定期変更へのボクの見解だけではなく
オンラインパスワードクラッカー（hydara、medusa、ncrack）の話から、
定期変更よりも気をつけないといけないことってあるのでは？
といったお話も書かせていただいております。

それについては、記事の最後でペネトレーションテストの現場では
どのような手法により再現しているかというところにも触れています。

少々長めの記事となっていますが、お読みいただけき
パスワードについて再考する機会となれば幸いです。

今回は、SSHハニーポットからペネトレーションテストの現場での
パスワードによる侵入について書かせていただきました。

SSHハニーポットから狙われやすいアカウントやログイン試行の傾向などを
身近に感じていただければと思います。

そして、ペネトレーションテストの現場の話では
1つのアカウントの脆弱なパスワードにがきっかけとなり
千里の堤、つまり、堅牢と思われたネットワークも
蟻の一穴により陥落していくということを書かせていただいております。

SSHハニーポットの構築方法から、パスワードクラッカーの紹介もさせていただいておりますので
今回も手元で再現しながら読み進めていただければ幸いです。

前回まではCTFネタをお届けしたわけですが
今回は、編集の方のご意向もあり
新人技術者の方への「教育」を意識して、パケットキャプチャネタを書かせていただきました。
紹介させていただいているツールは「Wireshark」付属のコマンドラインツール「tshark」です。
記事中にも書いているのですが、こちらのツールは、「tcpdump」よりも小回りがきくだけでなく
「Wireshark」のフィルタの勉強にもなるということから、こちらのツールを紹介させていただいております。

ボクは、今まで、ペネトレーションテストを生業にさせていただいてきましたが
実は、初仕事は、IDS関連だったりします。
そして、学生時代には、パケットをキャプチャすることで裏側で何をしているのが分かる。
ということを学んで、ワクワクしたこともありました。

そういったこともあり、パケットキャプチャには特別思い入れがあり
「教育」というキーワードを聞いたとき、「コレしかない」と思ったわけです。
ネットワークに関係する仕事をする上で、いつまでも切っても切れないものだと思います。

記事中には、簡単な練習問題も出題していますので
新人の方は、パケットキャプチャに慣れるために
慣れ親しんだ方は、頭の体操にと
手を動かしていただければ幸いです。

前回に引き続きDEFCON CTF予選で出題された問題の解説です。
今回も徐々に解き進めていった様子を紹介しています。
問題ファイルも記事中のリンクからダウンロードできるようになっているので
お読みになる方も是非とも読み進めながらチャレンジしてみてくださいね。

記事の最後にはボクが作成した問題が出題されていますので
こちらも是非是非チャレンジください。

ボクのツイッターで時々、ヒントを出そうかと思っていますので
お気軽にフォローしてください。
# 問題に関係のない、どうでもいいつぶやきもあります。
# その辺りのノイズはご勘弁ください。

あ、言い忘れてることがありました。

みなさん、あけましておめでとうございます。

9月に「セキュリティ対策の「ある視点」」という連載が最終回を迎えたのですが、昨日から新連載を始めさせていただくことになりました。

今回の連載タイトルは「セキュリティ・ダークナイト」です。
# タイトルや画像については各所から色々ご意見をいただいていたりしますｗ

前回の連載では、ペネトレーションテストを軸に書かせていただくことが殆どだったのですが
今回の連載からはボクが気になったことや取り組んでいることを書かせていただきたいと思っています。

タイトルの意味については記事の冒頭に書かせていただいておりますので、お読みいただければ幸いです。

第一回は、6月に参加した「CTF」の予選から抜粋した問題を解き進めていく様子を紹介しています。

以前に脆弱なWebアプリのテスト環境を紹介しました。
公式サイトを見た感じもっとよさそうなものが存在してました。
Web Security DojoというツールでSun VirtualBoxで動作するイメージによる配布のようです。

サイトの説明では
Tools + Targets = Dojo
だそうで、このイメージには検査用のツールとそれを使うための脆弱な環境が同居しています。
これを道場かどうかというの議論はさておき中身は以下の通りです。

Targets include:
– OWASP’s WebGoat v5.2
– Damn Vulnerable Web App v1.0.6
– Hacme Casino v1.0
– OWASP InsecureWebApp v1.0
– simple stand-alone PHP scripts by Maven Security (including REST and JSON)

Tools:
– Burp Suite (free version) v1.2.01
– w3af v1.1
– OWASP Skavengerv0.6.2a
– OWASP Dirbuster v1.0 RC1
– Paros v3.2.13
– Ratproxy v1.57-beta
– sqlmap v0.7
– helpful Firefox add-ons

VirtualBoxされいれてしまえばツールや環境を個別に用意する必要がない分こっちのほうが楽そうですね。

ちょっと調べてみるとよくまとまっているサイトを見かけたので拝借して、自分用にメモ。
こうして見ると結構あるものですね。まだまだ、世の中では「SQLインジェクションの注意喚起」という言葉をちょくちょく目にします。Web系の攻撃は、比較的手法が公開されている印象を受けますので、守る立場の方もお好みのものをセットアップして、調べながら手元で試してみてはいかがでしょうか。
守るだけではなく攻めることでまた、違った視点を持てることができ、守る力に磨きがかかるかもしれませんね。
Continue reading

＠ITで書かせていただいている連載の最終回
Q.E.D.――セキュリティ問題を解決するのは「人」
が公開されました。
これで長らく続けさせていただいた＠ＩＴでの連載も終了です。

連載を開始から今日までの長い間、文字数も気にすることなく好き勝手に書いていたにも関わらず、すばらしいキャッチと編集テクニックでまとめ上げてくださった編集の宮田さん。そして、記事の中で際どい（？）攻撃手法を取り上げているにも関わらず大きな懐で許容してくださった＠ITに感謝しています。

そして、私の記事を一度でも読んでくださった読者の方々。
本当にありがとうございました。

p.s.
あからさまなので気づいている方は多くいらっしゃると思いますが
タイトルや言い回しのところどころはエヴァンゲリオ（ヲ）ンから拝借していました。
最後の三回ではそれぞれのタイトルに新映画版にちなみ「序」「破」「Q」の文字が入っています。さらに、最終回は9年9月9日公開です。
そして、連載回数の17回は使徒の数だったりするわけです。