ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

Certified Cybersecurity Technician

EC-Councilの新しい資格

久しぶりにEC-councilのホームページを見たら、新しい資格が追加されていた。

Certified Cybersecurity Technician(CCT)と呼ばれるもの。

 

 

www.eccouncil.org

 

エントリーレベル、ということで、CEHの前提知識のような位置づけになっている。

レーニング期間は5日間でCEHと変わらない。

22個のCourse Moduleから成り、タイトルを見る限り、ネットワークセキュリティや一般的なセキュリティ対応に重点が置かれている。

 

CEHの次のステップにあたる「SPECIALIZATIONS」は15の資格があり、詳細は以下。

 

気になるのは、

EDRP:EC-Council Disaster Recovery Professional

災害復旧プロフェッショナル?。一体、どんな知識を身に付けるのだろうか。

資料を見ると、BCP対策が主眼のようです。

https://www.eccouncil.org/wp-content/uploads/2017/05/edrpv3-brochure.pdf

 

あとは、

Certified Hacking Forensic Investigator (CHFI) に興味がある。

www.eccouncil.org

 

こちらは、GSXで日本語の講座が受講できます。

www.gsx.co.jp

 

5日間コースで65万円。。。

 

IPAの資格試験は、エントリーレベルの基本情報や情報セキュリティマネジメントは試験制度の変更などあるようですが、上級試験で、より実践的な資格があって欲しいと思う。

 

 

セキュリティエンジニアのための機械学習

セキュリティと機械学習

セキュリティ分野において、機械学習が使用されているであろうことは想像できる。

ウイルス対策ソフトのAIによる判定、などと目にするようになった。

その恩恵を受けているものの、機械学習の性質上、詳細はブラックボックス化されてしまう。

セキュリティへの機械学習の適用方法やその理論を理解して、ホワイトハッカーの武器にしたいな、と考えていたところ、良い本がありました。

 

セキュリティエンジニアのための機械学習
――AI技術によるサイバーセキュリティ対策入門

www.oreilly.co.jp

 

相変わらず、動物大好きO'Reillyさんの翻訳本です。

GitHubにサンプルコードが公開されているのも有難いです。

GitHub - oreilly-japan/ml-security-jp: 『セキュリティエンジニアのための機械学習』のリポジトリ

 

分類による、フィッシングサイトや迷惑メールの判定、といった通常の課題から、異常検知やSQLインジェクションの検知、などが解説されている。

さらに、8章は「機械学習システムへの攻撃」というタイトルで、機械学習で防御しているシステムをバイパスする方法が紹介されています。AI vs AI という構図。

O'Reillyさんの翻訳本は、たまに全然頭に入ってこないこともあるのですが、この本は翻訳者のオリジナル内容もあり、より深い理解へのサポートがされているように感じます。

 

多層防御の考えに基づき、人間の運用とともに機械学習による分析も加えて、よりセキュアに出来たら、という妄想をさせてくれる書籍だと思います。

サンプルコードを試しながら、現場に適用してみようと思います。

 

 

OWASP Online Academy

OWASP Online Academyとは

OWASP Online Academyがあるらしい、ということを知り、早速検索してみた。OWASP上のナレッジがe-learning形式になっていることを期待してしまいます。

 

プロジェクトの一覧を見ると、「Projects Needing Website Update」として扱われている。

owasp.org

 

本家のサイトでも、移行中の表示。

https://owasp.org/www-project-online-academy/migrated_content

 

 

上記にある、

https://owasp-academy.teachable.com/ をクリックするとe-learningコンテンツが表示される。

 

Teachableと呼ばれるプラットフォームを使用しているようです。

 

提供されている講座は以下の6つのみ。

  • Web Application & OWASP TOP 10
  • OWASP Appsec Tutorial
  • OWASP ZAP Tutorial
  • OWASP TOP 10 - 2013 Risk Vulnerability
  • OWASP TOP 10 - 2017 Risk Vulnerability
  • SQL Master Course

OWASP TOP10の情報も古く、若干期待外れ感があります。

使えそうなのは、「OWASP ZAP Tutorial」。動画でZAPの使用方法をレクチャーしてくれます。内容は英語なのですが、ある程度画面の動きで、何をしているかわかる部分もあり、とりあえず見てみる価値はあると思いました。

あと、SQL Master Course」については、SQL インジェクションについての講座となり、32単元に分かれて解説がされており、かなり詳しい内容になっていると思います。

まとめ

OWASP Online Academyは現時点では、かなり限定的なコンテンツになっていますが、今後の充実を期待したいです。

Teachableというプラットフォームは無料で使える部分もあるようで、社内でオンライン講座を作ったりするのに有益。

OWASP Cyber Defense Matrix

OWASP Cyber Defense Matrixの図

OWASPのDocumentation ProjectにCyber Defense Matrixというのがあり、以下の図を提唱している。

 

Cyber Defense Matrix

 

横軸の5つのカテゴリ「IDENTIFY,PROTECT,DETECT,RESPOND,RECOVER」はNISTのNIST Cybersecurity Frameworkに定義されている5つの機能と同等。

 

NIST Cybersecurity Frameworkは、こちらを参考にしました。

www.nri-secure.co.jp

 

その横軸に対して、縦軸に5つ(DEVICES,APPLICATIONS,NETWORKS,DATA,USERS)の守るべき資産を定義したものが、Cyber Defense Matrix。

 

似たようなものに、OWASP Threat and Safeguard Matrix (TaSM)というものがある。

owasp.org

こちらは、横軸はNIST Cybersecurity Frameworkに定義されている5つの機能と同じ。縦軸に、脅威を設定している。

Example TaSM

Cyber Defense Matrixと比較して、具体的な脅威に対しての施策という位置づけのように感じる。

 

Cyber Defense Matrixをどう使うか

使い方として、以下が挙げられている。

  • Mapping of vendors
  • Mapping of NIST NICE NCWF skillsets
  • Mapping of measurements and metrics
  • Security design patterns

具体的例は、以下のサイトのリンクなどが分かりやすい

OWASP Cyber Defense Matrix | OWASP Foundation

 

例えば、どこに、どんな対策を適用させるというのが分かりやすく表現できる。

PowerPoint Presentation (awscloud.com)から。

 

セキュリティ製品から見ると、カオスですが、その目的などを提示するにはCyber Defense Matrixは一つの方法かと思いました。

https://momentumcyber.com/docs/CYBERscape.pdf

 

例えば、EDRを導入する際、「Device」に対する「Detect」「Respond」が「People」に依存していたものを「Technology」に代替することでよりセキュアにできる、という説明もしやすいのかと思います。

https://www.ithome.com.tw/news/140095 から引用

 

まとめ

NIST Cybersecurity Frameworkは、IPAから翻訳が出ていますが、なかなか理解ができない。

www.ipa.go.jp

 

そんな考えをベースに、使いやすいフレームワークに落とし込まれたCyber Defense Matrixは有益だと思います。

 

SET(Social-Engineer Toolkit)

ソーシャルエンジニアリング

CEHのテキストの第9章はソーシャルエンジニアリングだった。

以下の3タイプに分けて説明されていた。

  1. Human-based
  2. Computer-based
  3. mobile-based

Human-basedには、盗み見=ショルダースニッフィング、ゴミ箱あさり=ダンプスターダイビング、といった地味な活動にそれなりの名前が付けられている。

 

電話でシステム管理者を装ってIdやパスワードを聞き出す行為は、Vishing(Voice Fishing)と呼ばれている。

 

Computer-basedは、フィッシングやスパムメールが該当する。

それらを丸ごとサポートしてくれるツールがあり、

SET(Social-Engineer Toolkit )です。

SET(Social-Engineer Toolkit )

SETはTrustedSecという会社が提供しているオープンソース

www.trustedsec.com

 

GitHubから取得でき、Kaliにもインストールされている。

github.com

上記サイトに簡易なマニュアルも容易されている。

 

Kaliで起動した画面。

 

ここから

1) Social-Engineering Attacksを選択すると、以下の攻撃手法が選べる。

 

1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector
7) SMS Spoofing Attack Vector
8) Wireless Access Point Attack Vector
9) QRCode Generator Attack Vector
10) Powershell Attack Vectors
11) Third Party Modules

 

以降は、基本的に提示された選択肢を選んでいけば、攻撃が成立するようになっている。

SETでWebサイトをコピーして偽サイト作る記事をよく見かけますが、それ以外にもいろいろできます。

 

例えば、ターゲットにファイルを送りつけて、それを開かせて、リモート操作をしようとする場合、ファイルフォーマットとして、以下22種類が用意されている。

 

ペイロードを選択する。

新しいバージョンでは、ウイルス対策ソフトの監視をすり抜ける設定もあるようです。

マニュアルには、詳細は記載されていないが、攻撃手法の理解をする上で有効であるし、悪意のあるファイルを作成できるのでウイルス対策ソフトの挙動を確認する際に重宝しそうです。

 

製作元は、ペネトレーションテスト用のツールと言っているもの、そのまま攻撃に利用できてしまう感を受ける。

 

 

 

 

Wi-Fiのセキュリティ(aircrack-ngによるクラック)

不正アクセス

不正アクセス禁止法と呼ばれる法律を改めて確認。

elaws.e-gov.go.jp

 

不正アクセス」の定義がありますが、分かりづらい。

ざっくり、

「アクセス権限がないネットワークに侵入したり、パスワードを盗み取ったりすることなどを禁止する法律です。」

と説明されてたりします。

 

Wi-Fiのパスワードを盗むことも該当しますので、他人のアクセスポイントに対してクラックするのはやめましょう。

不正アクセスの刑罰は、3年以下の懲役または100万円以下の罰金に処される可能性があります。

クラックのフロー

aircrack-ng本家のサイトにクラックのフローが用意されている。

f:id:chikuwamaruX:20220416081816p:plain

https://aircrack-ng.org/doku.php?id=tutorial

の「Simple WEP Crack tutorial flowchart and when to use each tool.」から引用。

 

基本的な流れとして、アクセスポイントにクライアントが接続していれば、

偽の“DeAuthentication”パケットをクライアントに送信して、

アクセスポイントと切断させる。

クライアントが接続していない場合のWEPのクラッキングの方法も紹介されている。

 

そうすると、クライアントは再度、接続するために認証を行うので、そのパケットをキャプチャーしておいて、解析する流れ。

 

WEPの場合、暗号化仕様自体に欠陥があるので、すぐに解析できてしまう。

WPA/WPA2の場合は、暗号が強化されているので、パスワードリストを用いて、ブルートフォース攻撃によりパスワードを解析する。本家サイトのチュートリアルを見ると、4ステップでWPA/WPA2のブルートフォースを説明している。

 

ブルートフォース攻撃には、一定期間のアカウントロックアウトなどで、継続的な攻撃を回避させるのが一般的。

アクセスポイントで、そのような機能は聞いたことがない。そもそも、特定のMACアドレスからのリクエストを拒否したとしても、偽装してしまえば、それまで。

 

結局、十分に複雑なパスワードを設定して、定期的に変更するしかないのだろうか。

 

 

Wi-Fiのセキュリティ(aircrack-ng)

aircrack-ngについて

Wi-Fiのハッキングのデファクトはaircrack-ngのようです。

www.aircrack-ng.org

 

aircrack-ngを検索すると、

「Aircrack(エアクラック)は無線LANのパスワードを解析するプログラムを作成するプロジェクト。代表的なソフトウェアにAircrack-ngがある。」

と表示される。

URLは.orgで非営利団体を示していますが、プロジェクトの設立趣旨など全く見つからず、少し不安な面がある。

 

aircrack-ng suiteということで、13個のツール(コマンド)が提供されている。

www.aircrack-ng.org

ネットワークの探索、パケットの盗聴、WEP、WPA/WPA2-PSKのクラックなどが可能、とのことで、つまり、なんでも出来てしまうようです。

 

WEPの危険性は随分前から、言われているが、WPA/WPA2-PSKがどこまで安全なのか検証してみたい。

aircrack-ngの基本

とりあえず、以下の2行を叩くといろんな事が見えてくる。wlan0はKali linux上のインターフェイス名。

airmon-ng start wlan0 ・・・モニターモードの開始
airodump-ng wlan0 ・・・無線状況の確認 

以下が表示される。

f:id:chikuwamaruX:20220410110350j:plain

Wi-Fiのセキュリティとして、AP(アクセスポイント)に以下の設定を実施しているが、無意味ということが分かる。

MACアドレス制限

SSIDの秘匿

 

STATION欄に表示されているのが、APと接続しているクライアントのMACアドレスMACアドレスを偽装することは容易なので、MACアドレス制限は無意味。

SSIDを秘匿していても、APと通信しているクライアントがあると、その通信からSSIDを割り出しているようで、画面に表示されている。

 

となると、Wi-Fiのセキュリティはパスワードに依存することになる。そのパスワードを破ることができるか、ということが気になってくる。

つ・づ・く