ハニーポット観察記録20181201

11月の観測

ハニーポットを11月の中旬あたりに再構築したので、分析対象はそれ以降のもの。 f:id:sottisotti:20181201195306p:plain
f:id:sottisotti:20181201195553p:plain
f:id:sottisotti:20181201195612p:plain
f:id:sottisotti:20181201200054p:plain

分析

11月24日~26日が多めに来ていてる。
攻撃の種類としては、SSHスキャンやTROJANやTomcat脆弱性をついた攻撃を観測。
access_logなどを見てもHigh Severityに該当する攻撃が降ってくる前に同一IPから何度も通信が発生している。

今後

ELK Stackを使ってさらに詳しく可視化したり、ログ分析の本などを読み、もっとしっかりとした分析をしたい。

Comptia Security+ 合格体験記

1.試験結果

750点合格ラインの770点で合格でした!
最近試験を受けるときに合格はしますが、かなりギリギリな点数w
今後の試験はもう少し余裕をもって合格したいですね。

2.勉強に使用したツール

教科書(CompTIA Security+ セキュリティ社会の必修科目)
TACのWeb模擬(有料ですが、めっちゃお勧め)の2つ

3.勉強方法

電車で教科書を全ページ読もうと意気込んでいましたが、眠くて寝てしまう日が多く、結局教科書読んだのは50ページぐらいです。
色んな合格体験記を見るとTACのWeb模擬がお勧めと書いてあったので、6000円ぐらいの投資をしました。
このWeb模擬のほとんどが試験と同じ問題または同じような問題だったので、ビックリしましたw
勉強期間は3週間ダラダラと教科書読んだりWeb問やったりで、最後の1週間でWeb問やりまくりました。

4.感想

Web問最高!!って感じるぐらいWeb問がかなり役に立ちました。
本当におすすめです!
ちなみに試験料金高くねってなりましたが、自分は学校で受験チケットがあったのでそれを有効活用しました。
1発で合格できて良かった。

5.次の目標

次は来年の2月中にCCNA(ICND2)取得を目指します。

ハニーポット観察記録20181021

Honeypot Events by Type Histogram

f:id:sottisotti:20181021234614p:plain Cowrieには先週に引き続き、かなり多くの攻撃が来ている。
10月15日あたりにHoneytrapへの攻撃が急増。その後も波がありながら攻撃が来ている。

Honeypot Countries

f:id:sottisotti:20181021235023p:plain
先週に引き続き、アメリカとロシアからの攻撃が多いが、アメリカからの攻撃が約半分を占めている。

Dionaea Username Tagcloud

f:id:sottisotti:20181021235447p:plain
sa、root,userなどの主要なものが多い。

Dionaea Password Tagcloud

f:id:sottisotti:20181021235607p:plain
連番だけでなく、意味がなさそうな文字列も多く混じっている。

T-pot Attack Map

f:id:sottisotti:20181021235727p:plain
ロシア・アメリカからかなりの攻撃が来ているが、ヨーロッパからも数多くの攻撃が来ている。

分析結果

まだ分析と呼べるような分析はできていないが、ロシア・アメリカからの攻撃は先週に引き続きトップだったので、ロシア・アメリカからの攻撃をまずは警戒すべきだろう。

ハニーポット観察記録20181014

Honeypot Events by Type Histogram

f:id:sottisotti:20181014192203p:plain
Cowrieには常に膨大な攻撃が来ているが、10月12日に日付が変わったあたりからHoneytrapとVnclowpotへの攻撃が急増している。 考察として、この時間より少し前に何かの脆弱性が公開され、攻撃者の攻撃が増加した。

Honeypot Countries

f:id:sottisotti:20181014193316p:plain
ロシア・アメリカからの攻撃が半数以上を占めている。
ヨーロッパからの攻撃は約4分の1ほど。

Dionaea Conutries

f:id:sottisotti:20181014194205p:plain
マルウェア系の攻撃は中国、ニュージーランド、ロシアが半数以上。
4分の1が中国と多い。

Dionaea Username Tagcloud

f:id:sottisotti:20181014195021p:plain
定番のrootやadminあたりが使われている。

Dionaea Password Tagcloud

f:id:sottisotti:20181014195124p:plain
12345や11111などの規則制のあるものが多い。 すぐに突破されそうなパスワードが多い。

T-pot Attack Map

f:id:sottisotti:20181014200336p:plain
ロシアから膨大な攻撃が来ている。

分析結果

ロシア・アメリカからの攻撃が多い。 考察だが、何か脆弱性が公開された途端に特定の攻撃が増加する。 それ以外の国からもちょくちょく攻撃は来ている。

セキュリティミニキャンプ in 山梨

今回は、セキュリティミニキャンプ in 山梨に参加して来ました! 近い将来SOCとして働きたいので、ネットワークセキュリティ系のパケット解析とSSL/TLS通信を知ることはとても重要なことだと思い、参加を決意しました!

1.パケット解析

昔から遠隔ログインで使われているTelnetは平文で通信内容を流してしまうのですぐに通信内容が他人に知られてしまう。
パケットを解析することによって通信内容の詳細がわかり、セキュリティにもトラブルシューティングにも使える。
多量のパケットがあるときは、検索フィルターをかけると目的のパケットを早期に見つけられるので便利。

2.SSL/TLSの通信

古くから軍事需要が多く、紛争や戦争と歴史が重なっている。

暗号技術は2種類

コード(Code)

特定の単語やフレーズを置き換える言葉を決めて、その単語を置き換える暗号化手法

サイファー(Cipher)

現在メインで使われている。単語ごとではなく、文字ごとに変換をする暗号化手法

古典暗号

予め決めてある対応表やアルゴリズムに基づいて文字を変換する(アルゴリズムの中身を隠す必要がある)

シーザー暗号

文字をずらす暗号。
換字式暗号、スキュタレー暗号は転置式暗号の代表例。
どの古典暗号も攻撃手法を適用しつつ鍵を総当たりすることにより簡単に解読できてしまう。

現代暗号

現代暗号の定義

Il faut qu’il n’exige pas le secret, et qu’il puisse sans inconvénient tomber entre les mains de l’ennemi;
意味(それ(暗号方式)は秘密であることを必要としてはならず, 敵の手に落ちても不都合がないようにできること.)
鍵の概念があり、アルゴリズムが分かったとしても鍵がわからない限り暗号文を復号することはできないこの考え方のもとで, 現代暗号のほとんどは全ての内部構造が公開されている。
RSA暗号, AES暗号といった有名所の暗号は全て提案論文の中で内部構造を完全に解説している。
当然攻撃手法が見つかったりもするが,「真の悪い人に見つかる前に暗号学者が見つけてしまえば対策を取る時間ができる」という考え方。

秘密鍵暗号

秘密鍵暗号の場合は双方が同じ鍵を用いる。
共通の鍵を用いることから共通鍵暗号という別名を持つ。
シンプルに今まで用いられてきた古典暗号の延長上に存在すると言える暗号方式で, 一般に処理も高速なことが多い。

公開鍵暗号

世界中の会社が鍵ペアを作り, 「弊社の公開鍵はこれです!」と公開した場合, 別の会社からその会社宛てに暗号文を送ることが可能になる。
実際にはいくつかの問題があり, この通りとまでは行かなかったものの今日では公開鍵暗号の提案によって鍵配送問題は解決したとされている。
公開鍵暗号を提案したのはWhitfield DiffieとMartin E. Hellmanで, 1976年のことだった 。

デジタル署名

署名とは? 一般には直筆の名前を書くこと。
公開鍵暗号の概念を応用する。
公開鍵暗号とは逆に「署名できるのは世界で一人だけ」の状況を作ることができる 。

ハッシュ関数

署名したい平文を圧縮してくれるような関数があればいいのではないか?と考える。
署名に使うなら圧縮された文章は戻せる必要がないので不可逆でよい。
パスワードのハッシュ値だけを保存するようにする。
ログインするときには入力されたパスワードのハッシュ値を計算し, それが保存されているそれと一致することを見ればよい。
パスワードをそのまま保存するより安全。

認証

認証とは? 一定の行為または文書が正当な手続・方式でなされたことを公の機関が証明すること。
暗号理論の世界では, 主にデジタル署名を用いて本人証明を行うことで認証を行っています。

SSL/TLSとは?

SSLとは?

Secure Sockets Layerの略 。
1994年にNetscape Communications社が自社のWebブラウザNetscape Navigator 1.1に搭載したSSL2.0が最初。
SSL 1.0は? 提案10分で却下された程度には完成度が低いプロトコルだったために破棄された。
SSL 2.0ではまだまだ安全面の考慮が不十分であるということから1995年にはSSL 3.0も作られ, 同様にNetscape社の製品として公開された。
1996年, ここまでNetscape社が主導して普及させてきたSSLを標準化しようということになった。

TLSとは?

Tranport Layer Securityの略。
TLS1.0の公開後, HTTPをTLSの上に載せるための規格が考案・公開された。
その後アップデートが重ねられた結果, 2018年現在の最新版はTLS 1.3となっている。
具体的には暗号化通信フェーズで通信の暗号化に用いる暗号, 鍵交換の方法, ハッシュ関数等はクライアント・サーバー間でそれぞれひとつずつ決める必要がある。

3.感想

このセキュリティミニキャンプ in 山梨に参加して良かったです。
将来SOCとして働きたいので、パケット解析の基礎やSSL/TLSの歴史や詳細を知れて、自分の成長に繋がった良い経験になりました。 これからもパケット解析を続けていきたいと思います。
就活次第ですが、来年の全国大会は出たいです!
講師とチューターの方々、ありがとうございました!

2週間の短期留学 in Cebu

今回は、英語力の向上と他国の人たちとのコミュニケーションを目的に2週間の短期留学へ行ってきました!

1.なぜ行こうと決意したのか

高校時代は英語は嫌いではなかったのですが、大半が義務感でやっていました。 最近のサイバーセキュリティの最新情報は英語が主流で、技術のドキュメントなども英語が多く、英語ができないと成長できないと思いました。 また、接客業のアルバイトをしていると時々外国のお客さんが来たときに、伝えたい事が伝えられないのがとても悔しくて、行こうと決意しました。

2.費用

費用は合計で25万円程度。 (自腹だったのでかなりきつめ…)
往復の交通費、授業料、海外保険代、3食の食事代、光熱費、水道代などの生活に必要不可欠なものは全て含んで25万円程度。
お土産を多く買いたい人や、土日に観光をしたい人は30万程度あれば安心。

3.初日から最終日までの授業

初日は、成田空港からセブ島のマクタン空港まで行って、マクタン空港から学校へ送迎バスで行ったんですけど、日本とのギャップに驚きましたねw 片側2車線しかないのに3台も車が走ってるし、3秒に1回ぐらいのペースでクラクションが鳴ってましたねw しかも、かなり大きい交差点しか信号がなくて、後の交差点は信号がないので歩行者も車が猛スピードで走行してるのにお構いなしに横断してるので本当にチャレンジャーだと思いましたねw 聞いた話ではスピード規制がないので、空いていたら普通に100kmのスピードで走ってる車もいました。(帰国時に空港に向かう時間が夜中の4時でかなり空いていたので、運転手は軽く120kmか130kmぐらいは出していましたねw)

2日目は、午前中にレベルチェックテストをやって、午後に近くのAyala mallというショッピングモールで各自買い物をした感じです。

3日目から最終日までの平日は朝から夜まで授業で必須ではない授業も間にあったので、その時間はひたすら英単語と英文法の勉強してました。

最終日は、18時30分ぐらいから卒業式でした。 これまた日本とは全く違う雰囲気の卒業式で、日本の卒業式は寡黙な感じの卒業式ですが、留学先の学校(SMEAG)の卒業式は宴会かと思うぐらいの雰囲気でみんなギャーギャー騒いでて、終始大爆笑してましたねww(毎週金曜日が卒業式)

4.食生活について

行く前はかなり心配してましたが、思ったより全然食べれる感じでしたね。 ただ、パターンが結構決まっているので、飽きましたね。 米がパサパサしていて、ずっと心の中で「日本の米が食べたい」と思ってましたw
学校の近くにレストランなどが何店舗かあって、日本食のレストランもあったので、それはすごく良かったです。

5.部屋について

部屋は2,3人で合同で使用するんですけど、シャワーの出がかなり悪くて困りましたね。 一番気がかりだったのが、部屋に小さいアリのような虫が結構いたのでそれも嫌でしたね。(何日か経つと慣れました)
後は、光熱費や水道代は「合計の金額÷部屋の人数」だったので、同部屋の人とどういった感じで使っていくかのコミュニケーションも必要でした(同部屋の人が同じ学校の人だったので良かった)

6.精神面と体力面について

最初の週は精神的にきつかったですね。
初日にセブ島の治安の悪さを見たのと、2日目のタクシーの運転手が行先を伝えても知らないと言って勝手に出発したのでかなり焦りましたね。
後は久しぶりの海外という事もあって気も張ってたので、精神的にかなりつらかったですね。
最終週は、体力的にきつかったですね。
最初の週の疲れたが溜まってるのと、みんな風邪をひき始めて、自分も喉がやられてかなり辛かったですね。
海外へ行くときは、風邪薬や胃薬必須です!

7.先生と他国の生徒について

先生はみんな優しかったですね!
全然わからない人にもちゃんと紳士に向き合ってくれて、発音も徹底的に教えてもらいました。(発音良すぎて逆にわからなかった時も…w)
たまに、プレイベートの話も英語でしてくれるので楽しくできました。
ただ、英語の説明を英語でする/されるがあったのはかなりハードルが高かったですねw
他国の生徒はとにかく英語が出来過ぎてて、「なんで来てんの?www」っていう感じでしたねww
でも、他国の生徒も自分と年齢が近いこともあってすぐに色んな友達ができました。 韓国人や台湾人の友達が結構できましたね。

8.英語力の向上について

正直なところ2週間だけではそこまで向上しないですね。
半年とか1年以上いないとなかなか身につかないです。
でも、Listening力とReading力はかなりついた実感はあります!
本当は長期で行きたかったんですけど、自腹で払える範囲にも限りがあったので…

9.英語を英語で理解する

これ本当に難しいです。
中学生ぐらいから英語を日本語に翻訳してしまう癖がついてしまって、会話の時にListeningしたものを一回脳内で日本語に変換してから英語にして、Speakingも日本語を英語にしてからSpeakingするので、かなり辛い…
英語を文字などではなく、イメージ(絵など)でとらえるのがコツ!
後は、英語授業ではなく、英語授業を受けるのが本当に大事!

10.感想

行ってよかったですね!
何より、英語を義務感ではなく、「やりたい」「話したい」のように変わったのが一番の収穫です。 他国の文化も知れたので良かったです。
後は、韓国人の友達ができたので、就活が終わっていたら、来年の夏休みあたりにソウルに行って、色々案内してもらう予定です!
その時までにもっと英語力を向上させます!!
有意義な2週間でした。

CCENT(ICND1)合格体験記

今回はCisco資格で一番下位資格のCCENTに挑戦してきました!
量が多くて大変でした!

1.試験結果

 まず試験結果ですが、合格でした!
1000点中832点の合格ラインで、自分の点数は846点というかなりギリギリな点数でしたw f:id:sottisotti:20180902095147p:plain

2.勉強に使用したツール

 ping-t、白本、Ciscoインストラクターの教え

3.勉強方法

 ping-tは1ヶ月ダラダラとやり、残りの2週間ぐらいで一気にやったという感じですね。
8割以上は金にしましたが、残りの2割程度は金にできませんでした。
 白本は、通学時の電車の中で1週読むぐらいと、最後の模試を解くぐらいしか手をつけてないです。
 Ciscoインストラクターは、学校の先生がインストラクターだったので、色々と有力な情報を提供して頂き、試験のコツなどを教えて頂きました。

4.次の目標

 次はICND2のrouting and switchingを取得して、CCNAを取得する予定。頑張ろう!
 Security+も受ける予定なので、色々頑張らないと!!