Dec 31, 2017

firefoxの detectportal.firefox.com/success.txt へのアクセスを止める

プロキシのログを眺めていたら、firefoxが次のサイトにアクセスしているのが見えた。
http://detectportal.firefox.com/success.txt

Captive Portal機能らしいが、自宅PCには必要ないので、
network.captive-portal-service.enabledをfalseにして、様子を見ることにする。

ref.
Firefox が detectportal.firefox.com にアクセスするのを止める (03/31)
https://argrath.ub32.org/annex/2017/03/31-20.html
Captive Portalとは
https://www.designet.co.jp/faq/term/?id=Q2FwdGl2ZSBQb3J0YWw
Turn off captive portal (04/17)
https://support.mozilla.org/ja/questions/1157121network.captive-portal-service.enabledをfalseにする具体手順が分かりやすい

Dec 29, 2017

How to allow Skype through Sophos UTM

1. Purpose

  to use Skype with Sophos UTM Home Edition


2. Assumption

  The UTM has been configured and utilized for web surfing without issues

3. Configuration Procedure


3-1. Definitions & Users -> Network Definitions

  Define all IPs for Skype relay hosts.

ref. https://support.office.com/ja-jp/article/Office-365-URL-%E3%81%8A%E3%82%88%E3%81%B3-IP-%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E7%AF%84%E5%9B%B2-8548a211-3fe7-47cb-abb1-355ea5aa88a2#bkmk_lyo

3-2. Definitions & Users -> Service Definitions

  Define all ports for Skype relay hosts (except 443/tcp, which is already defined for web surfing)

ref. https://support.skype.com/ja/faq/FA148/skype-for-windows-desktopwoshi-yong-suruniha-donopotowokai-fang-surubi-yao-gaarimasuka


3-3. Network Protection -> Firewall

  allow outbound Service in [3-2] to the hosts in [3-1]
  for VPN users { not VPN Pool (L2TP, SSL),
  which didn't work in my environment }

3-4. Further Notes

  NO 45541 tcp/udp definition is necessary < -- verified on 30.Dec



Sophos UTM + squid + MS L2TP/IPsec

1. Purpose

To connect to the internal NIC for Web Admin of the UTM
under VPN (SSL and/or L2TP/IPsec) (through squid proxy)


2. Procedure 
2-1. The proxy config of MS L2TP/IPsec client didn't work

  Once configured as shown in the picture,
  it always goes thru proxy.

2-2. squid config


# vi /etc/squid/squid.conf
acl to_utm201712 dst a.b.c.d/32    # a.b.c.d = IP of Web Admin
    : ... snip ...
acl SSL_ports port 443
    : ... snip ...
acl CONNECT method CONNECT
    : ... snip ...
http_access allow CONNECT to_utm201712
http_access deny CONNECT !SSL_ports

# /etc/init.d/squid restart

2-3. Sophos UTM Home Edition

Management -> WebAdmin Settings
  Allowed Networks : hopefully limited to internal and VPN Pool IPs


Dec 28, 2017

MS17-010、振り返り

EternalBlue悪用の新種もあり得るし、個人的には未だ終わっていないと思っています。
今年を振り返る記事・番組があったら、改めてパッチ適用の重要性を淡々と伝えて欲しい。
下記、良記事と思うので、ここにメモ。

[日本語: Japanese] MS17-010 EternalBlue Exploit / DoublePulsar
 Implant Metasploit Demo - YouTube

WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2 (12/24)

・ワーム能力を身に付けたランサムウェアWannaCryが世界を駆け巡る
 いろいろ頷ける点が多い

WannaCry ランサムウェア – 生かされなかった SlammerConflicker の教訓 (05/14)
『障害 (およびそれに対応するパッチに、すべての Windows システムに存在する SMB などの共通コンポーネントとリモートコード実行が関与している場合には、ポリシーよりも対策が優先されるべきです』 

--> 12/31 追記
手元のUTMが、今週ドロップしたパケット。
445/TCPは WannaCry系か? 未だ Conficker系も有るんだろうか?

TOP10 dropped services
Total dropped packets: 20 112
Top Service Name Protocol Service Packets %
1 MICROSOFT-DS TCP 445 3 211 15.97 %
2 TELNET TCP 23 3 049 15.16 %
 :... snip ...   :   : 
5 MS-SQL-S TCP 1433 768 3.82 %
6 SSH TCP 22 520 2.59 %
7 3D-NFSD TCP 2323 400 1.99 %
8 DOMAIN UDP 53 382 1.90 %
9 TCP 8545 338 1.68 %
10 HTTP TCP 80 309 1.54 %

Dec 26, 2017

記事、ANAの株主優待券を不正転売

・ANA株主優待券不正転売 数億円利益か
元グループ社員解雇も不祥事公開せず (12/25)
『実際に誰かが使用済み優待券を使い、国内線を安く利用したのであればANAに損害が発生した可能性がある ... 事実関係は速やかに公表すべきだったのではないか』

Androidを監視ツール化する「Haven」

・スノーデン氏、Android端末をセキュリティ監視ツールに変えるアプリ「Haven」をβリリース (12/25)
『われわれはHavenをジャーナリスト、人権活動家などのために設計した』
長期休暇のお出かけの監視カメラに重宝しそう。

あのスノーデンが開発したAndroidセキュリティアプリ「Haven: Keep Watch」の使い方 (12/25)
HavenをインストールしたAndroid端末が、周囲の光や音、振動に反応・感知し、異変を別のスマートフォンにSMSで通知するというもの』

設定や、使い方が分り易い。
また、使い勝手など良く考えられて作られた印象。
 
Tor Onionでのリモートアクセスの設定などもある』そうで興味深い。Torじゃなくても良いけど。

Haven: Keep Watch (BETA)

「Windows Hello」赤外線顔写真で突破

・「Windows Hello」による顔認証、赤外線顔写真で突破される (12/21)

Dec 23, 2017

SOCセンターのモニタリング

SOCセンターのモニタリング環境を真似して作ってみる (12/22)
 面白そうなんで URLをメモ。


Dec 21, 2017

2017年のセキュリティ事件


・第4回「2017年のセキュリティ事件に関する意識調査」を実施
 マカフィー、2017年の10大セキュリティ事件ランキングを発 (12/11)

 フィッシングメールやランサムウェア被害が拡大した2017年、
 マカフィーが10大セキュリティ事件ランキングを発表 (12/20)

2017年:サイバーセキュリティの行く年来る年 (12/21)

・関連 今年の振り返り記事


こちらも記憶に残りそうなインシデント
 ↓
JAL、詐欺被害38000万円 777リース料や貨物委託料送金 (12/21)
 送信者側のメールアドレスや、オリジナル請求書そっくりの偽請求書が使われた背景も気になりますね。

以下、リアルワールドのインシデントほか

新幹線車両の台車に亀裂などが発見された重大インシデントについて (12/20)

・脱線の米高速鉄道 自動安全装置を装備せず (12/20)

・ヨーロッパのUberに打撃、EUの最上級審が交通サービスだと裁定 (12/20)

いろいろ:Docker for Windows、Windows Defender、Sophos UTM、DNS over HTTPS、Parrot 3.10

・無償の「Docker for Windows」で手軽にLinuxコンテナを利用する (2016/09/01-2017/04/28)

--> 12/26 追記 ここから
 Dockerコンテナを本番環境で使うためのセキュリティ設定 (2016/12/03)

 docker の実行環境を選択する (2016/03/16)
 『個人的にお勧めするのは現状では Ubuntu ...
  CoreOS は .. 通常の Linux にあるコマンドがなく自分でインストール
--> 12/26 追記 ここまで

・マルウェアの96%は「使い捨て」――マイクロソフトが3カ月分析して分かったこと (12/11)

Windows Defenderによるウイルス対策、どこまでできて何ができないか? (12/20)

【AWS】統合脅威管理「Sophos UTM」を使ってVPCへSSL-VPN接続する(iPhone編) 
 https://dev.classmethod.jp/cloud/aws/ssl-vpn-connection-using-sophos-utm-from-iphone/


DNS over HTTPSの標準化開始 (12/20)

・セキュリティ研究者向けのLinuxディストリビューション「Parrot 3.10」公開 (12/19)

『セキュリティ対策ツールが提供されるほか、サンドボックス化された安全なシステム、エディタやプログラミング言語などを含む開発スタックなどを備える』

VPN、SSL

・データを暗号化? 今さら聞けないVPNの基礎知識 (12/12)
 後半は良くまとまっていて、人に説明するのに役立ちそう

・あなたのサイト、実はSSL化が不十分かも?ユーザーとサービスを本当に正しく保護する方法 (12/12)
『万が一 SSL に対応できないページやサブドメインがあった場合は計り知れない影響を受ける可能性があるので、HSTS を設定する際は極めて慎重に、前述のように徐々に max-age を増やしていくような形で導入を行うことを強くオススメします。

いろいろ:1次情報、CSIRT関連、長期休暇に備えて

・セキュリティでは「裏」を取るなら1次情報の確認を (12/18)
 内容はもちろん、参考リンクも興味深い

2017年版CSIRT/情報セキュリティ担当者が読んでおいたほうがいい資料・スライド (12/19)

・長期休暇に備えて 2017/12 (12/18)
休暇期間に入る前に自組織で管理するネットワーク機器のセキュリティ対策が十分か、今一度ご確認ください。』

Dec 5, 2017

いろいろ: SAP ERPクラウド移行、Cloud4C, Tier-4, AWS/Azure/Google Cloud, Dockerコンテナほか

SAP ERPのクラウド移行はICT基盤刷新の大チャンス (12/01)

 virtustream

 Cloud4CSAP HANAREnterprise CloudSAPとのグローバル・プレミアム・パートナーシップを発表 (2016/08/15)

 Tier-4+public+cloud (Yahoo検索)

 AWS vs. Azure vs. Google Cloud: Which free tier is best? (03/17)

 第5回 信頼性や環境性能をどう評価するか (2008/07/22)

・さくらの新サービス??
 Dockerコンテナホスティングサービス Arukas(アルカス)をご紹介! (2016.08.26)

・無料でGoogleのクラウド上にマインクラフトのサーバーを立てて
 複数人でマルチプレイする方法 (12/01)

・ラズパイと完全互換で低価格なのに高性能でAndroidもサポートするシングルボードコンピューター「Tritium (12/02)
 Tritium 2GB Special

今年の振り返り記事

今年も色々あった。時々、思いついたら追記するかも

・セキュリティクラスタ まとめのまとめ (@IT)
 以下、主に上のサイトから

・【Apache Struts2の脆弱性】大規模情報漏洩事例と有効的な対策について (05/16)
1. 日本郵便でのメールアドレス流出
2. 日本貿易振興機構(JETRO)でのメールアドレス流出
3. 情報通信研究機構(NICT)からの個人情報流出
4. Bリーグサイトからの個人情報流出

Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行 (0413)

WordPressサイトが書き換えられまくり、SHA-1衝突した2 (1/3) (0314)
『「どうして自動アップデートを止めるのか」という意見も多数見られましたが、作成する業者と使用するユーザーが異なるWebサイトでは、自動アップデートで障害が起きたときの責任を考えて、自動アップデートをオフにして納品することがあるようです』

Amazon S3の大規模障害は人為的ミスが原因 (03/03)
4時間以上に及ぶ今回の大規模障害で、「ESPN」や「AOL」を含む約15万サイトが影響を受けた』

・インターネットで大規模障害、DDoS攻撃か? (2/3) (0911)
 Googleの設定ミスの件
 DDoSでも、経路ハイジャックでも無かった

・他人のCPUを使ってビットコインを採掘、マルウェアなのか


さくらのサポート情報 ほか

・さくらのサポート情報
 現在発生中の情報(12時間前後)

以下、事故事例。今は改善されたと期待してます 
・さくらのレンタルサーバーがDoS攻撃を受け接続障害 (09/25)

・さくらインターネットの障害でデータが消えた話 (2016/04/04)
 『バックアップはお客様でお願いしますと規約に書いてあった気はしていました。(未確認)』

●さくらのVPSに無料の外部自動バックアップ機能を追加する方 (10/13)

メモ、この記事 面白そう

Neutral89eR@0x009AD6_810

Kali Linux NetHunter  HID Attack

BDF (BackDoor Factory) Proxy

---
・ZachAttack NTLM THP2 p.163

メモ、ハニーポット、CVE Details

・ハニーポット

・マルチハニーポットプラットフォーム T-Pot の紹介 (02/22)

CVE Details
ベンダー・製品の脆弱性傾向が分りやすくて良さげ

さくらのVPSに私もSophos UTM Home Editionを導入してみた

漸くVPSでUTMが動くようになったので、メモ

1.目的

(1) 家のTVやraspiを保護すること
(2) 出先でもスマホを保護すること

2.実現手段

Sophos UTM Home Edition を選択
同ソフトのisoイメージを導入可能なクラウドを選択
同クラウド経由でデバイスを保護

出来れば青天井でなく、分かりやすい料金体系

で、AWSは諦めて、さくらのVPSにしました。
手元でVMまでは経験済みだったが、初めてのVPSで分かりやすい記事(*1)が有り、大変参考になりました。

3.導入と、ちょっとした路線変更

目的(1)を満たすには、自宅ルータでipsecのつもりだったが、
とりあえず L2TP over IPsec で始めることに。
 
この場合、インスタンス一個で実現可能。

NAT等のルールの書き方が独特で要注意{ 
  L2TPのIPアドレスプールではなく、
  L2TPユーザ( or グループ)を指定して定義
}

4.その他

一晩放っておくと、いろいろな protection結果が見れて興味深い。
視覚的にも見やすく分かりやすい。

23や2323は話題のMirai(亜種)か。
445は未だにWannaCry(亜種)か。
家のルータもだが、一分に一回は何かのスキャンが来るので油断できません。

そう言えば、OS導入時はコントロールパネルで、
ネットワーク切断しておいてもインストール出来たので
それが吉。

5.参考

*1) さくらのVPSに無料UTMのSophos UTM Home Editionを導入してみた。(2016/04/02)
https://serversmanvps.xn--ockc3f5a.com/2016/04/02/%E3%81%95%E3%81%8F%E3%82%89%E3%81%AEvps%E3%81%ABsophos-utm%E3%82%92%E5%B0%8E%E5%85%A5%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F%E3%80%82/


Dec 1, 2017

お札の偽造防止技術

お札の偽造防止技術~現在発行されているお札~
 (独立行政法人 国立印刷局)
http://www.npb.go.jp/ja/intro/gizou/genzai.html

イベントログ可視化 LogonTracer

・イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~2017-11-28

 JPCERTCC GitHub - LogonTracer

 LogonTracerDockerイメージ

DockerTor Browserを動かしてみる何か (2016-03-19)

Nov 24, 2017

いろいろ、インテルCPU脆弱性、スマートホーム

2015年以降のインテルCPUに遠隔攻撃許す深刻な脆弱性。
 サーバーからIoTまで、早急なファームウェアの更新を呼びかけ (11/23)

・スマートホームが隣人に操作される可能性も、市販IoT機器にセキュリティ問題 (11/24)


Nov 22, 2017

いろいろ、WannaCry, Googleロケーション追跡、敵対的AI、ほか

・日立のセキュリティ担当、WannaCry感染の反省を語る (11/21)
 『
1つめは、セキュリティインシデント発生時の経営インパクトが大きくなっていること
2つめは、サーバーセキュリティの徹底不足が露呈したこと
セキュリティパッチの自動適用を実施しているサーバーは感染を防げた。一方で、業務調整が必要だったり、止められないといった理由があったりでタイムリーなパッチ適用ができなかったサーバーは感染被害を受けた」
3つめは、IoT機器へのセキュリティ対策が困難であると再確認したこと
最初に感染した端末は、欧州の拠点にある検査機器(顕微鏡)
4つめは災害対策のBCPとサイバーセキュリティのBCPは異なること
「サイバー攻撃では個別企業が狙われる。ほかの企業は影響を受けずに稼働しているので、1日といった短期間で回復しないとならない。インシデントレスポンスはBCPに直結すると痛感した」
 』

Google collects Android users locations even when location services are disabled
 
--> 11/24 追記ここから
Android、位置情報サービスOFFでも基地局IDGoogleに送信。11月末までに修正予定
「これぐらいいいでしょ?」感が透けて見えるのが問題か (11/23)
--> 11/24 追記ここまで

・“敵対的AI”によるサイバー攻撃はひそかに始まっている (11/22)

・サイバーセキュリティにおけるAIの現状とこれから (11/21)

・「働き方改革」を進めるなかで、管理者負担は増えていないか? (10/18)

・ゴミから得られるのはゴミだけ--機械学習はデータ品質の問題を解決するか (11/21)