11/17 NKC~SECGAHARA

11/17は、名古屋工学院専門学校さんのイベント参加からの、SECGAHARA参加をしてきました。

NKC

名古屋工学院専門学校さんのイベントでは、都合2団体(OWASP / JAWS)の提供セッションを受けました。

  • OWASP NAGOYA 枠
    チャプターリーダー 坂梨さんのチャプター紹介と、宮城さんのOWASP ZAP利用方法の説明。
    ベンダフリーな技術、知識、「自由」という意味でのFreeなツール群。
    Pentestで切っても切れないのが、倫理。すっごい説明難しいけどね…。
  • JAWS 枠
    川路さんのユーザグループ紹介と、筒井さんのサーバレスなAWS利用構成の説明。
    特に筒井さんのサーバレス構成の説明は面白かった!ま、まぁワタシは昔の人なので、「ええいめんどくせえからEC2でmicroでやるんじゃ」とか言いそうですが。
    自分が一人で使うサービスであれば、EC2だったり国内事業者のVPSだったりが選択肢にあるけど、誰かほかの人にも使ってもらいたい!ってなった瞬間に、マネタイズだったりコストパフォーマンスだったりを考える必要が出てくる。

SECGAHARA

夕飯をネカフェで済ませて(料理のラインナップはともかくとして、個室で安心して採血・お注射ができるのですよ)、イベント会場へ徒歩。

  • 小笠さん:仙台でのコミュニティの取り組み
    東北でのOWASPの取り組み。東北でChapterを興すきっかけ、そこから増殖していく過程などなど。
    海外のChapterの話を聞くごとに、海外のコミュニティは漢気すげえな、温かいなと思いつつ、形式はともかくとして日本出も何かしら同じようなことができそうな気がしてきました。
  • 桃原さん:沖縄でのコミュニティの取り組み
    沖縄でのOWASPの取り組み。所属する企業でのPentestに関するあれこれ。
    沖縄ならではの問題として、夏~秋にかけて低気圧に悩まされるとのこと。沖縄、一度は行ってみたいけど、甘い食べ物ばかりなのがアレだよね…orz
  • Pentesterのパネルディスカッション
    WebアプリケーションのPentestではBurpを使うべきかOWASP ZAPを使うべきか問題。
    “Freeは無償のFree”なのか、”Freeは自由のFree”なのか、捉え方で色々変わってしまう。後者の場合、自由を維持するために利用者も開発チームへコミット(例えばコンテンツの日本語訳提供とか)をしようぜ!というのは、自分は賛成。結構英語のまんまで頑張っちゃうけど、まあ英語で頑張っちゃう場合は「xxやるときは英語のxxに従ってやろうぜ!」って情報を共有するとか、そんな感じ?
    Pentestを始める、続けるうえでは、依頼者や発注先とのコミュニケーションは大事だし、たいていのドキュメントは英語なので英語を読み解く力、書いて伝えるチカラも大事。それと好奇心。
    英語のドキュメントは潤沢だけど、中国語のドキュメントも増えつつあるとか。うーん、中国語、勉強しようかな。

一日を通して

改めて、自分がコミュニティに参加する場合にどうふるまえばいいのか、考えるよいきっかけになりました。
今は体調の関係で全力で取り組む、というのがなかなか難しいけれど、できる範囲でコミットというかサポートと言うか。できるように、まずは一歩踏み出してみます。

広告

情報処理安全確保支援士-オンライン講習

そろそろやらなきゃと思っていたらIPAさんから催促されたのでがんばりました(支払いを
うん、6月に入院した分のツケを払うのに苦労したんだヨ…。

お題

  • サイバーセキュリティの動向 1コマ
  • JVNやAppGoatの使い方 3コマ
  • 倫理 2コマ

サイバーセキュリティの動向

何も言うまい。前回のTop10と今回のTop10の比較。

JVNやAppGoatの使い方

  • 情報セキュリティ早期警戒パートナーシップ
    んー、越後湯沢WSから帰ったあとにモヤモヤしてたネタかなぁ。
    https://www.ipa.go.jp/files/000059694.pdf
    (‘A’)<お、王様の耳はロバの耳!
  • JVNの使い方1
    CVSS計算器がどんな数字を吐くのか。そういえば越後湯沢WSでリクルートテクノロジーの西村さまもCVSSの値については言及されてましたね。
    見た目数字が大きくても、自社に適用するとほとんど無影響だったりするし、
    見た目数字が小さくても、サービス停止系なら自社への影響がデカイ、無視できない。
  • JVNの使い方2
    AppGoatの使い方について。
    Fiddler/OWASP ZAPについてもさらっと言及。どういう授業を行えば開発者が育つか?みたいな話も面白かった。
    うん、自分がスーパーマンになるのは大事かもなんだけど、自分がダウンしちゃ意味ないもんね。
    そろそろMAAT爺になりたい(意味深)

倫理

うむ、深い。

  • コンプライアンス、情報公開と内部告発の違い。
  • インシデントはどう管理するのか。やっぱり王様の耳はロバの耳。

まとめ

  • 2万円かかる割にはちょっと物足りなかった。環境の問題かもしれない。
  • せめてISACA/ISC のCPEが適用できればなぁ。
    基礎知識/倫理枠で12000円、別途ISACA/ISCのCPEをxx点分集めて納品しなさい、みたいな形式のほうがいいと思ったりする。
    自分たちRISSにセキュリティマネージャ的側面を求めているかどうかはともかくとして。

はたらくために、たべよう

栄養制限にいろいろ頭を悩ませているアカウントはこちらです。
まあ越後湯沢行った時も立食パーティやら朝のバイキングやらで頭がオーバーヒートしたくらいですからね。

6月に再入院して退院してから、食べることに関してはそれ以上に気を付けるようになりました。
ごく一時期は、お腹が空いてたまらない!というおやつ過食モードもありましたけど。

出先で一番つらいのは、採血と注射…をする場所。
先日も自社の社外イベントが某会議場であったのですが、まあ近くになにもない。食べるところが。
ということで、最寄り駅近くの喫茶店にめぼしを付けて、駅で採血注射して、ダッシュして(あかん)喫茶店で食事、しました。
駅での採血注射も結構しんどいんですよねー。洗面台でっかくて綺麗ならともかく。

外食

フードコートの「から揚げ定食」とかいう地雷を踏みぬいたので結構おびえてますが、うまく選べばおいしく楽しめそう。

持ち帰り

試しに「カップ麺」+「サラダチキン」の組み合わせをやってみたけど、うーん、費用の割に栄養価がイケてなかった。

結論

カーチャンがレシピを見ながら組み立ててくれる献立は偉大。
自分も少しずつ献立の組み立て(と調理)ができるようにならにゃ… うん。

10/5-10/6 越後湯沢ワークショップ(お勉強編)

10/5-10/6 の2日間、初めての新潟へのお出かけ。越後湯沢ワークショップに行ってきました。
会場は、NASPAニューオータニ。駅から結構離れているので、いい運動になりm…まあ健康管理のほうは、もう片方のエントリを見てくれ。
https://gplains.wordpress.com/2018/10/14/1005yuzawa_wellness/

DAY1 ホワイトモーション蔵本さまの講演

  • ざっくり
    車社会のセキュリティはCAN/ECU等の「車の組み込みセキュリティ」や、接点であるiPhone/GPS通信機などのデバイス、その先のAWS等のクラウドまで幅広いものであること。これを再認識できました。
  • 制御系(OT)のセキュリティ
    車は、昔は1本のバス型ネットワークだったそうでして。
    車速計からエンジンからみんな同じネットワークだと、それぞれが発する情報がどんどんふえてきて、誰か制御してくれ!みたいになってきたので、近年ではゲートウェイ(L3SWというかルータというか)が仲介して、よしなに経路制御やらフィルタリングやらをしてくれるそうです。
    この辺は、オライリーさんが出してる「カーハッカーズハンドブック」が詳しいよね。井上先生のお話を時々思い出しながら聞いていました。あと、自分がトラック運送業にいたときのドラレコ導入騒動(パルスが4トンと7トンで違うんじゃーみたいな)を思い出しながら、時折クスクスと笑いながら楽しく聞かせていただきました。
    https://www.oreilly.co.jp/books/9784873118239/
  • iPhoneやGPS通信機などのデバイスとの接続
    この辺は、さっきのゲートウェイが大活躍する話なのですけど、要はたまたま情報系:外部の悪意あるデバイスが制御系と同じバスに同居していると、外部デバイスを通じて悪いことされちゃうよ、と。ジープ・チェロキーの事例(Uコネクト)を紹介されました。
    https://www.sankei.com/world/news/150802/wor1508020005-n1.html
  • クラウド
    制御系と情報系が分けてあるとはいえ、情報系のネットワーク次第では、制御系の情報を溜め込む先(クラウド上のストレージ)が悪意ある技術者にアレとかソレとかされないかな?というところのお話。
  • つまり
    クルマ一台を動かすためには、組み込み技術者、クラウド技術者、運用担当者がみんなで協力しなきゃね!ということを感じました。

DAY1 警察庁 野本さまの講演

DAY1 リクルートテクノロジーズ 西村さまの講演

  • ざっくり
    成長したリクルート社の分社化にあたって、各事業会社と、とりまとめの機能会社(本社側の事務方)の形式をとった。機能会社ならではの脆弱性対策での悩みと、対策のあゆみ。
  • CVSSの扱い
    CVSS v2ベースで物事を考えると、9点台だけど自社機能には緊急度が高くない事例(バッファオーバーフロー系)。一方で、6点台だけど自社機能には影響が大きい事例(DNSサーバのDoSを招くようなもの)。これらのトリアージと、横展開(各事業会社への周知)がすごく大変。
  • 情報収集/展開の変遷
    JPCERTの「情報セキュリティ早期警戒パートナーシップ」や、Twitterの権威あるかた(PIYOKANGOさんとか?)のTLを情報源として情報をとにかく集め、CVSS v3ぽい自社環境に基づいた評価を行うようにした…が、情報量が多いのと、人によってトリアージのムラができてしまう。
    そこで、1.vulndbという外部サービスを使って情報を収集しつつ、 2,グループ各社のサーバから定期的に資産情報を集めて 3.情報源からトリアージした結果と資産情報を付き合わせて適宜対処を行う ような流れを構築した、と。
    社内SNSに毎朝情報源からのニュースを自動共有して、それを担当者が読んで、比較的均等な質での分析対応ができるようになった。また、社内で「影響分析や対策をやってみよう」というメンバが増えてよい結果につながったとのこと。
    「社内留学」という、グループ会社のSEがリクルートテクノロジーズ社に武者修行して、学んだことを帰社後に生かしていくということで全社の総合力・開発力があがった、特に「セキュリティリスクや技術といった項目よりも、法令・ルールを学ぶことを好む」という話も面白かった。(羨ましい!)

DAY1 車座(ラック 七條さま)

  • ざっくり
    SNS上でのある事象についてのお話。事象をたまたま見かけたとして、どう初動すればよいかを考える話…だったのですが、いち市民(ネチズン?)の立場で、公的機関へ通報するとして、どこまで集めれば動いてくれるの?というすごーく頭の痛い話題でした。
    うん、30-40の若い世代ならなんとかがんばれそうだが、ある程度年配の方がこれやるとさすがにしんどいわ。
    問題自体は若い子だけの問題じゃなくて、高齢者にも関係しそう。端緒とか内容はともかく。
    http://www.internethotline.jp/

DAY2 LINE(JILIS)江口さまの講演

  • ざっくり
    LINE社のセキュリティポリシ、(特に静岡・九州でホットな)CSRの取り組みについて。
    また、同社のQR決済展開に際して、いざ企業として少額決済、金融についてどのようなリテラシー教育を進めるとよいか。
  • 神奈川でのLINE社の調査
    インフォグラフィックがなかなか参考になった。
    保育園児/小学校低学年は、親のお古。高学年以上になると、自分のスマートフォンを持たせてもらって、色々と?自立して行動するとのことでした。むむむ。
    https://linecorp.com/ja/csr/newslist/ja/2018/156
  • LINE社がCSRとして考えていること
    これまで、新しいサービスが普及すると、そのプラットホームでのトラブルが増える。そのため、規制官庁は対処療法として動くよ、と。
    例として、コンプガチャ騒動や老舗のSNSの話。
    ガンホー社が高額決済に対して動いた事例として、「メイクシナリオジェネレーター」など。(恐ろしい子の元ネタ、これなの、恐ろしい子…)
    https://resemom.jp/article/2015/04/30/24333.html
  • で、うっかり質問しちゃった
    (‘A’)<あ、あのー。今回の決済プラットホームへの教育は中高生がターゲットということですが、年配の方へのケアはどうなんでしょう?
    LINE自体は中高生のイメージがあるものの、年配の方にも浸透しているので、少額決済のプラットフォームについてのリテラシー教材は年配の方にも準備が進められているとのことでした。
    ただ、交通安全運動と同様に、「こどもが加害者・被害者にならないための仕組みづくり」は声高に叫ばれているものの、一方で「年配の方が加害者・被害者にならないための仕組み作り」は(お役所も)後手に回っている様子。
    特に交通事故の多い愛知県西部民としては…ねぇ。(汗
    DAY1 の警察庁 野本さまのお話にもありましたが、やはり「サイバー防犯運動」は求められているように感じます。

DAY2 東京地検 徳竹さまの講演

  • ざっくり
    仮想通貨(NEM)事件や、海外を迂回する悪意ある通信など。検察の側での論点となる各種法令(刑事訴訟法、条約)を踏まえたお話を伺えました。
  • 検察の方が困っていること
    現行法ではなかなか立件しづらい事例が増えている。不正アクセス禁止法はどの場合に立件できるのか。ウィルス作成罪はどのケースなら立件できるのか。etc
    リモートアクセス捜査はどのケースなら認められるのか…など。
  • 脱線
    QAではお役所の方や、弁護士の方など、サイバー問題と法令に取り組まれているかたの意見が飛び交っていて非常にホットでした。(こわかった)

スポンサーセッション

  • ダークウェブ話
    「ダークウェブはマルウェア感染リスクがあるので、容易に近づいてはいけない」→わかる
    「ダークウェブで、漏洩したクレカや脆弱性の情報は身代金を払って買うのは倫理的によくない」→わかる
    「身代金をはらって買うのはよくないけど、それがさらにリークしててロハだったらもらってもいい」→???
    ちょっと首をひねった。うえ二つはわかるんだが、3番目(若干意訳)は何を言っているんだって思いました。(もちろん漏洩しないのが一番ですけど)
  • シスコさま
    openDNSを元にしたumbrella 。どうやって契約個社のネットワークポリシを一組のDNSサーバ群で振り分けてるのか、やや不思議な仕組みではあったけど、機会がもしあれば使ってみたいかも。
  • ストーンビートセキュリティさま
    セキュリティ教育の講演。中高生向けにはカードゲーム等の教材を通してルール・モラルの啓発をしています、と。
    「子供たちがセキュリティエンジニアになりたいと思える社会」。
    甥っ子の成長を姉からのLINEメッセージ経由で伝え聞いてはいるけど、甥っ子は、さてどんな分野に育つのか。こっち方面なら、お手伝いしたいけど。

そんなこんなで、帰宅して

情報セキュリティの中で、いきなり誰かを教育しなきゃ!というわけでもないのですが、以下の資料は心の片隅に留めておくとよいかも、と感じました。
越後湯沢でも、ISACA 名古屋支部/OWASP Nagoya Chapterの方々(だいたいみなさんが両方に参加されているのですけど)と会話する機会はちょこちょこあって。自分みたいに知識一辺倒の子(子?!)でもできること、となると、やっぱり事務方とか、法令/倫理系の知識展開なのかなぁ、と。うん、少しづつ動いてみます。
– 脆弱性対策:ファジング
いわゆるペネトレーションテストの範疇です。
https://www.ipa.go.jp/security/vuln/fuzzing.html
– 情報セキュリティ早期警戒パートナーシップガイドライン
IPAさんの資料で明確に「脆弱性診断の要所はコレ」と謳っているわけでもないですが、「付録3 法的な論点」はPentestを行う場合の法令面での留意事項になります。
https://www.ipa.go.jp/files/000059694.pdf

10/5-10/6 越後湯沢ワークショップ(健康管理編)

10/5-10/6 の2日間、初めての新潟へのお出かけ。越後湯沢ワークショップに行ってきました。
…あれ?セッションの感想じゃなくて「健康管理」?!

思えば、比較的安定していた 3月の道後シンポジウムと違って、今回はインスリン注射一式を抱えての参加。いろんな意味で大変でした。

注射、どこでやる?

  • 往路
    開場が11:00ということで、10:50越後湯沢着の上越新幹線に乗車。降りる前にご飯を食べなきゃ!となると、毎食直前に注射が必要な私は…
    弁当を用意してダッシュ
    お手洗いで血糖値確認
    接合部でゆらゆらしながらお注射
    うーん、慣れないとうまくいかないね。立った状態でのお注射は比較的慣れているけど、揺れには慣れてない..。
  • 立食セッション
    会場のすぐ近くにお手洗いがあったので、採血と注射をしれっと済ませることができました。
  • ランチセッション
    会場のすぐ近くにお手洗いがあったので、弁当を受け取ってから、採血と注射を済ませることができました。
    本会場脇なので、ちょっと人目がアレですね…
  • 復路
    18時頃は新幹線の中でした。たまたま隣の席に(異性の)乗客がいなかったので、しれっと採血。さすがに注射はヘソ出しなので接合部に移動。
    ちょうど接合部を通るアテンダントさん。
    (‘A’)<ごめん!いまからここでインスリン注射します!
    (^_^)<はいい、どうぞー
    (‘A’;)<…お、おぅ
    ちょいと拍子抜けしましたが、まぁ往路のゆらゆらを思い出しながらうまく注射できました。

ごはん、どれだけ食べる?

  • 本当は単位交換表を頭に叩き込んでおかないといけないのだけど、まだまだわからないことばかり。
  • 往路のお弁当
    いわゆる鳥照り焼き弁当。野菜なし(やっちまった…)
    いつもより1単位増やして問題なし。(でもあとでめいっぱい歩いたので差し引きマイナス….あかん)
  • 夕食:立食セッション
    せっかく新潟なので、おにぎりを1個。ロールぱん1個。生野菜(葉物)は、がっつり。あとローストビーフ少々。
    糖質は控えめにしたので、これはこれで正解だった模様。
  • 朝食:バイキング
    ご飯は、いつもよそう量をイメージ。タンパク質担当は納豆にソーセージ。
    あぁヨーグルト忘れた、ってんで現地で飲むヨーグルトを購入…まさかの糖質20g。やらかしました。 orz
    (といっても、階段昇降してたのでそこまで悪くはなかったり)
  • 昼食:割子弁当
    ご飯の量は180gくらいかな..あとずっと座学だったから動いてないよね、ってことで前日と同様、いつもより+1単位で対応。
    お昼ご飯のあとは体調変化とくになし。
  • 復路でのおやつ
    たしなみ程度に駅ナカの利き酒コーナーへ。親指1関節分くらいの日本酒を3-4杯いただきました。(って結構アルコール量あるよね?!)
    ナッツのパックを買ったつもりが、まさかの「チーズクルトン入り」。炭水化物ががが…(原材料:小麦粉)
    そんなこんなでちょっとカーボ過多。動いたわりには…な血糖値。うーん。

そんなこんなで

  • 注射はまだまだ神経を使いますが、立食パーティでも臨機応変にできることはわかりました。
  • もう少し地元の食べ物、たべたかったなぁ。米どころだからっておにぎり食べたくらいか。あとヨーグルト、たしなみ程度のお酒。
  • いろんな方が参加されてる。老若男女。車椅子の方もみえました。みんな楽しそうでよかった。
  • 大勢の方に気遣っていただきました。ご心配おかけしました。本当にありがとうございました!

9/15 OWASP Day 758

初めての名古屋港ですよ名古屋港!

会場は名古屋港湾会館。うむ、土曜日だからか飲食コーナーが開いてないぞ。お腹空いたぞ。

セッションは、トライコーダ上野さん・セキュアスカイテクノロジー長谷川さんの2方。

上野さん:今夜わかるWebアプリケーション脆弱性診断

  • セッション風景

    世間では「セキュリティ界の巨人」と言われているとか。なんていうか、生で見た上野さん、でかい!

  • 講演資料
    https://www.slideshare.net/uenosen/web-owasp-day-758-2018-114646917
  • 所感
    脆弱性診断のお仕事の流れをつかむことができました。
    自分も安全確保支援士には一応登録してるので(うっ、2018年の更新研修まだ受けてないや)、脆弱性診断のお仕事には興味があるのですが、プラン立てて~実施して~集計して~改善ご提案、の流れはなかなかハードルが高いなぁと感じます。
    一番難しいのは”ご提案”のとこなのかな?
    あと、特にぐっと来たのは「服薬(WAF)すれば医者(脆弱性診断)は要らないのか問題」。頭痛はパブロンやロキソニンなどの市販薬で一時的に黙らせることができるけど、じゃー定期的に市販薬に頼っていればいいの?原因は別のところ(歯だったり肩だったり)にあったりしないの?みたいな。この問題、深いなーって思いました。自分が今爆弾を抱えてるだけに、なおさら。

長谷川さん: 脆弱性診断を通じて見えてくるWebセキュリティ

  • セッション風景

    長谷川さんのセッションを聴くのは、初めてかな…。

  • 講演資料
    https://speakerdeck.com/hasegawayosuke/cui-ruo-xing-zhen-duan-wotong-zitejian-etekuruwebsekiyuritei
  • 所感
    上野さんのセッションとは対を成す感じで、実業務での困った話?診断の際に遭遇したお話しがメインでした。
    QAでは上野さんのセッションの続きで、「服薬(WAF)すれば医者(脆弱性診断)は要らないのか問題」の再開。脆弱性診断とWAFは、可能であれば両方とも実施したい施策。どっちか片方だと検出できない課題もあるよー、と。
    最近ではAWS等のクラウドホスティングも増えてきていて、Webアプリケーションの脆弱性ではなくてホスティング管理アカウント”を”狙う攻撃もあるよ、と。IAMロールを作成したときに対象ロールについてログを収集するなど、アカウント管理+αで「取れる箇所ではログを取る」取り組みが大事、との意見。

で、脆弱性診断とWAFの違いを整理

  • 脆弱性診断
    ビジネスロジックの課題等、不具合を作り込んでしまった箇所を見つけるもの。歯医者さんに悪化している個所を削ってもらったりレジン埋めてもらったりする感じ。
    作り込んだ不具合を見つけた時点で、「これはxxの不具合がありますよー」の報告までで、それ以降(バグを踏みぬいたあとの事象)については調査しないこともある、とのこと。
  • WAF
    Tomcat等の既知の不具合を突く通信が来たときに、アプリケーションサーバの身代わりに受け止めるもの。歯磨き粉やフッ素ペーストみたいな市販薬(まてあれは医薬部外品だが)。
    ビジネスロジックなどの「各社手作りの不具合」については効果は若干うすい一方で、「ミドルウェアの不具合」についてはウィルス対策ソフトよろしく適宜アップデータが配信される(歯磨き粉に新しい成分が追加されるイメージ)。
  • 結論としてどうすれば
    前段ではWAFで統一した防壁を張って、各アプリケーションサーバでは個別に脆弱性診断(と穴埋め)をやりましょう、という結論だったと記憶しています。
    内科で言うとアレだよね。ちょうどいまかかってるんだけど。
    脳筋「眼鏡っ娘せんせー、今実はみぞおちのあたりが痛くて…」
    先生「んー、血液検査(ZAP)では膵炎の可能性はほぼないねー。コテツ君さー、胃潰瘍かもしれんから、胃カメラ(目検)のんどく?(脆弱性診断も、内科も、検査によって得意分野が異なる)」
    脳筋「う、心の準備が…(胃カメラは金銭コストもぼちぼち高いが、前日から絶食等の時間的コストもけっこう高い)」
    先生「だよねー、無理にとは言わないよー。とりあえず頓服で胃薬(WAF)出しとくか。やばそうだったら早めに言うんだよ(眼鏡の奥をキラキラさせながら)」
    脳筋「あ、はい…(症状の悪化も怖いけど先生の目が怖い)」
    …オカネイッパイカカルヨネ

脱線:ついうっかりやってしまったQAでの話

自分、某通信会社に派遣されてた時にあった事例なんですけど、イントラ内のとあるWebシステムについてテストを任されたことがあるんです。工程でいうとST/OTあたりになるのかねー。
といってもテスト手順書もなくて、とりあえずモンキーでやってくれ、と
(‘A’)<いいですとも!
で、やってみたさ。

  • なぜか内部コードがSJIS(テストをやったのは2017年)
  • SJISベースなのになぜか0x5C問題未対応(表示が表示できないバグ)
  • SJISベースなのになぜかローマ数字問題未対応( II とか III などのIBMなSJISとNECなSJISでマッピングが違うやつ)
  • あと引用符の扱いがgdgd(ほげほげインジェクションの温床、論外)

流石に「ちょっとソース見せてもらえるー?」って睨みつけた気がします。
OWASP といえば、岡田さんの口癖でもある「シフトレフト」。前工程でコーディングしながらユニットテストを回して、あと工程でこういった課題が出ないように品質を作り込んでいく。使っているミドルウェア、たとえばtomcatなどに起因する問題はWAFなどで吸収するとして、早い段階で品質が作り込んであれば、ST工程には余裕を持って「ほいこれテスト手順書だ、よしなに」って回せるはずなんだよね。
あんまりOpsの側がDev側にけしかけるのは好かんけど、今後もしそういった状況があったら勇気を持って声を出すようにします。

いろいろあったよ次回予告

  • 11月吉日
    名古屋工学院専門学校さんで、 学園祭にOWASP NAGOYAのブースができるとのこと。スタッフに名古屋工学院の学生さんがいらっしゃるとのことで。当日はアレの試験と被ってる気がするけど、元気が残っていたら見に行こうかしら。
  • 12月1日
    OWASP KANSAI さん主催イベント。大阪中之島で開催予定とのこと。半年ぶりに大阪に行ってみようかな、と少しワクワクしています。
  • 12月2日
    OWASP NAGOYA さん主催イベント。Micro Hardening を実施予定とのこと。アプライアンスがあるのかな?と思ったら、開催用に環境一式をお借りするイメージなのね…Micro Hardening 環境、なんかデカいぞ。本当は10/4の越後湯沢のセッションも見たいぞ。

8/25-8/26 DNS温泉5(日帰りコース)

中京大学の鈴木先生が夏に開催するイベント、DNS温泉5に参加してきました。
なお、自分は体質の都合もあるので、昼開催のセッションだけ参加させていただきました。

教材

鈴木先生のお手製アプライアンス「VITOCHA」。FreeBSDをベースに、(少なくとも)以下のスタックを組み合わせているそうです。

  • ネットワーク
    quagga BGP OSPF
  • DNS
    unbound/nsd bind
  • コンテキスト分離
    chroot(jail) vimage
  • プログラミング言語
    ruby (python/perl)

1日目

  • 座学
    DNS用語の説明(特に反復/再帰の違い)
  • 実習
    nsdで既存DNSホストへのゾーン追加、digでの問い合わせ
  • 社会見学
    スケートリンク

2日目

  • 座学
    DNSSEC
    幽霊ドメイン名脆弱性
  • 実習
    nsdを用いたDNSゾーンの移管方法について
    unboundを用いたキャッシュサーバの挙動の変化を観察する

個人的な感想

  • unbound初心者のいち意見として
    これまで、社内セグメントのネームサーバ更改とかでBINDを触る機会は何度かあったし、今年立て続けに受験したLPIC認定試験でもDNSのお題はBINDだけでした。
    今回、2008年と比較的後発なDNSサーバとしてnsd/unboundのハンズオンを受けて、もう、いかに”先発”bindの設定が難解かを感じることができました。
    流石にDJB先生のアレは出てきませんでしたが、nsd/unboundは後発なだけあって、とにかく設定がシンプルで(BINDはzone定義だけで頭痛くなる)、うまく動いたとき、ダメだったときのメリハリもはっきりしていて、ハンズオンの間「そうだ!うんわかるわかる!」って感じですごく楽しかったのを覚えています。短い時間の中で、いっぱい”転び”ましたけどネ。
  • 初学の間に経験できるトラブルは経験しよう
    TSS先生が「初学の間に経験できるトラブルは経験しよう」みたいな説明をされてたけど、ほんとソレで、検証系なしの環境で「さーx社に業務移管すっから三日後にネームサーバ移転なw」とかやるとレジストラ移転やらNSレコード/Aレコード事前仕込みやらでテンパるので早いうちに経験したほうがいいな、というのは、ボク自身の経験です。
    15年前のベンチャー企業となると、検証系とか予備機になるのは2-3世代前(PenIV全盛期だったから予備機はK6-IIIとかPen2後期型とか)だったり、そもそもそんな機材なかったりするのだけど、さすがにBIND全盛期でBIND本が巷にあふれていたとはいえ、本番機のみで助走なしの移行はハードでした。
    「NSレコード同士で移行→委譲元でNSを移行→旧サーバが止められなかったら旧サーバのzone をざっくり削除→コンテンツサーバ情報を地味に移行」なんてbetterなプラクティスは知らなかったので、幾度となく「あれ、書き戻されてる、なんでー!」って一晩中悲鳴を上げながらコンソールと格闘していたのを思い出します。まぁネタみたいなオマケもついていますが、これはお茶でもすすりながらお話ししましょう。
    ともかく、昔みたいな1ホスト1物理サーバみたいな時代じゃないので、潤沢なメモリのPCにいっぱいdnsサーバのインスタンスを立ててみたり。またはVITOCHAに頼ってみたりして、いっぱい転んで、手順書もそれなりに(正常系の確認手順と退行テストと、あと切り戻し後の確認手順?)書けるようになっておくと、きっと一人前のエンジニアにはなっていると思います。
  • やりそびれたこと
    LPICの試験会場から直接向かったということもありますが…ほぼてぶらでお邪魔してしまいました。茶菓子、前日までに用意しておけばよかた。orz

謝辞

本編(ナイトセッション)には参加できなかったのですが、そのうえで参加を快諾いただいた鈴木先生、多数のビジターにも負けないIPv6(NAT64/DNS64)ネットワーク含め、会場の運営に奮闘されたゼミ生のみなさん、本当にありがとうございました。