ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

CEH

YARA

CEH

マルウェア解析・検知ツール YARAは、マルウェア解析・検知ツールで、Virustotalの開発者Victor Alvarezによって開発された、とWikiに記載がある。 ja.wikipedia.org たまに見かけるので、気になっていた。 YARAという単語自体は、 "YARA: Another Recursive…

IoC(Indicator of Compromise)

CEH

IoCってなんだ IoC(Indicator of Compromise)は、侵害の痕跡、侵害指標、痕跡情報などと訳されることが多い。 サイバー攻撃の痕跡をデータベース化して技術仕様として活用することで、攻撃を受けていることを素早く察知し、その影響範囲の最小化を目指すの…

情報セキュリティマネジメントシステム(ISMS)

CEH

ISMS IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。 ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の…

Certified Cybersecurity Technician

CEH

EC-Councilの新しい資格 久しぶりにEC-councilのホームページを見たら、新しい資格が追加されていた。 Certified Cybersecurity Technician(CCT)と呼ばれるもの。 www.eccouncil.org エントリーレベル、ということで、CEHの前提知識のような位置づけになっ…

SET(Social-Engineer Toolkit)

ソーシャルエンジニアリング CEHのテキストの第9章はソーシャルエンジニアリングだった。 以下の3タイプに分けて説明されていた。 Human-based Computer-based mobile-based Human-basedには、盗み見=ショルダースニッフィング、ゴミ箱あさり=ダンプスター…

Wi-Fiのセキュリティ(aircrack-ngによるクラック)

不正アクセス 不正アクセス禁止法と呼ばれる法律を改めて確認。 elaws.e-gov.go.jp 「不正アクセス」の定義がありますが、分かりづらい。 ざっくり、 「アクセス権限がないネットワークに侵入したり、パスワードを盗み取ったりすることなどを禁止する法律で…

Wi-Fiのセキュリティ(aircrack-ng)

aircrack-ngについて Wi-Fiのハッキングのデファクトはaircrack-ngのようです。 www.aircrack-ng.org aircrack-ngを検索すると、 「Aircrack(エアクラック)は無線LANのパスワードを解析するプログラムを作成するプロジェクト。代表的なソフトウェアにAircr…

Wi-Fiのセキュリティ(準備編)

Wi-Fiのハッキング CEHのセミナー動画で、講師がaircrack-ngと別付けのWi-Fiアダプタを使用して、WEPのキーをクラッキングするデモがあった。 自分でも試してみたいと思い、実施してみた。 前提条件 ・Wi-Fiアダプタについてはモニターモード/インジェクショ…

ECEの更新

CEH資格の維持 CEHの資格を持っています、というためには、 ・80ドル/年 支払い ・ECE120ポイント/3年 獲得 という条件がある。 今回初めて年会費80ドルを納める。 6月までに納めれば良いのだが、忘れてしまいそうだし、円安だし、ということで手続きを検討…

コンテナのセキュリティ

CEH

コンテナアーキテクチャ KubernetesやOpenshiftなどのコンテナ技術に普及は進んでいるようで、それに伴い、コンテナに対する攻撃もある。 xtech.nikkei.com コンテナ環境を標的にした「kinsing」というマルウェアもあるようです。 atmarkit.itmedia.co.jp 一…

Hacking Web Applications

CEH

CEHの復習 Webアプリケーションの脆弱性検査をするため、久々にCEHのテキストを見直す。 14章が「Hacking Web Applications」で300ページほどあり、20章のうちで、特にボリュームが多かったと記憶している。 改めて見直すと、基本的な理論からツールの紹介ま…

セキュリティの原則

CEH

セキュリティの原則とは? 改めて、「セキュリティの原則」とは何だろう?と考えた。 セキュリティとは、C(Confidentiality:機密性)・I(Integrity:完全性)・A(Availability:可用性)の維持、と簡単に説明する事が多い。これは、ISO/IEC 27000に記載され…

脆弱性情報について

CEH

CVE、CWE、CVSS log4jの脆弱性はCVSSが10です、なんてワードを見る。 改めて、その辺の整理をする。 こちらで、さっぱりとまとめてくれています。 qiita.com CVE:脆弱性を識別するための共通ID(CVE識別番号(CVE-ID)) CWE:脆弱性のカテゴリ分けするための…

MITRE

CEH

MITREって? みとれ、とか読んでしまいますが、まいたー、が正しい発音らしいです。 マサチューセッツ州ベッドフォードとバージニア州マクリーンに本社を置くアメリカの非営利団体です。連邦政府が資金提供する研究開発センター(FFRDC)を管理し、航空、防…

1年に1度の大安売り ~その2~

CEH

再度の半額Sale 8月にCyber Awareness Monthということで、EC-Councilが半額Saleをやっていた。 chikuwamarux.hatenablog.com 1年に1度のチャンス、と思っていたけど、またやるようです。 以下の件名のメールが届く。 「EC-Council Cyber Monday 2021- Limit…

セキュア開発

CEH

脆弱性の無い開発のために 先日、情報処理安全確保支援士のオンライン講座の単元で、「セキュア開発」というものがあった。 DXと言われる昨今、ソフトウェアの製造が増えれば、それだけ脆弱性も増える可能性がある。セキュリティのこと考えなければ、DXなん…

OWASP(オワスプ)

改めてOWASPってなんだ? CEHのテキストにもしばしば登場してきたOWASP。特にWebアプリケーションの脆弱性Top10は、テキストでも詳細に説明されていて、CEHの問題集では、Top10に含まれないものはなんでしょう?なんて問題も出ていた。 OWASPはThe Open Web …

ECE登録 ~その2~

オンラインセミナー受講編 前回、オンラインセミナーの受講票が無かったので、セミナーの画面コピーを添付したりして、ECE(EC-Council Continuing Education)ポイントを取得した。 chikuwamarux.hatenablog.com ファイルアップロードで2Mのサイズ制限があ…

Web Applications

Web applicationに関する情報 Web applicationに関するハッキング手法やツールについてまとめようとするが、とくにかく情報量が多い。 CEHのテキストでは、Web Applicationという章がテキストで300ページほどあり、それ以外に、セッション・ハイジャック、We…

1年に1度の大安売り

CEH

「EC-Council's Annual Cyber Awareness Month Promo is here!」 という件名のメールが、EC-Councilから届く。 8月16~31日でセールをするらしい。 その内容はというと、オンラインコースが50%になる、とのこと。うそでしょ? ・1年間のオンラインテキスト…

Vulnerability Analysis

Vulnerability Analysis(脆弱性分析) 英語も日本語も仰々しい感じの単語ですが、脆弱性分析について。 脆弱性があれば、攻撃者はそこを突いてくるので、防御するためには、脆弱性を無くす。 攻撃者の視点を考えれば、ネットワーク経由(エージェントレス)で…

Information GatheringのInformation Gathering

Information Gathering(情報収集) Information Gatheringは、ハッキングにおける情報収集フェーズを表すのですが、言葉が微妙に異なる。 CEHでは、 偵察(Reconnaissance) スキャンニング(Scanning) 列挙(Enumeration) が事前準備として位置づけられ…

ECE登録 ~その1~

初めてのECE(EC-Council Continuing Education)取得 どのカテゴリもハードルが高そうで、まずは「Education Seminar/Conference/Event」で1時間1ポイントが取得できるかに挑戦。 ポイントを得るためには、 「Submit any document/email confirmation/badge…

CEH継続の道のり

CEHを維持するために、1年間80ドルの費用とECE(EC-Council Continuing Education)ポイントを3年間で120貯めないといけない。 専用のWEBサイトが割り当てられ、そこで管理される。 1年間80ドルの費用 試験に合格した月の、1年後の翌月までに、80ドルを支払…

CEHはつづくよ、どこまでも

CEH

CEH合格後、以下の件名のメールが届く。 You Rock! You Passed CEH, You’ve Earned a $450 Gift Card! え?そんなご褒美あるの?と、スパムメールと疑いつつメールを見る。 CEH (Practical) の受験料$550が、今なら$100です、とのこと。 さすが商売熱心なE…

CEHのバージョンについて

CEH

Google先生に聞いたところ、CEHは2003年にスタートしたようです。 最近のバージョンについても検索すると、 2015年9月:v9 2018年3月:v10 2020年9月:v11 という2年半のサイクルになっているようです。 このサイクルに基づけば、2023年3月にv12がリリースされ…

CEH v11 合格の道のり

CEH

認定ホワイトハッカー資格のCEH (312-50) v11を目指して、苦労して、合格できました。 なぜか、英語で勉強して、英語で受験する方法を取りました。 他の方のブログも参考にしたのですが、いろいろと試行錯誤した経緯などが他の方の役に立てば幸いです。 ※記…

CEH受験資格の取得方法

CEH

CEHを受験するためには、受験資格が必要です。 受験資格を得る方法は以下の2つ。 2年間のセキュリティ業務経験の証明 公認のトレーニングを受講する こちらを参考にしています。 Home | CERT コスト的には、 1.の場合100ドル。2年間の経歴が認められなく…

CEH自習学習の教材について

CEH

勢いで申し込んだCEHのiLearn packageという自習教材について。 メールで紹介を受けた際は、以下の内容でした。 One Year Access to the CEH E-courseware Six months access to EC-Council's official Online lab environment (iLabs) EC-Council’s Certifi…

CEH書籍について

CEH

CEHのiLearn packageの自習教材以外にも、書籍を購入しました。 いろんなブログで評価が高い書籍、 を買いました。 これに以下の2冊が含まれます。 Exam Guideは購入したものの、ほとんど読んでいないです。 CEHのオンラインテキストの方が図が多く読みやす…