やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

第11回総サイLT大会に行ってみた

2ヶ月に一回開催されている総関西サイバーセキュリティLT大会。
https://sec-kansai.connpass.com/event/98346/
前回は登壇しましたが、今回は聴くに専念です。
以下メモ。


[基調講演]
(1)ハニーポット活用事例
個人でハニーポットを運用されている方の講演。
https://speakerdeck.com/morihi_soc/hanipotutohuo-yong-shi-li-shao-jie
ハニーポットの説明
・構築時のコンセプト:お金や特別なシステムを使わない
・検知した攻撃通信のサンプル
今どきの通信はUser-Agent(UA)ありが当たり前。
UAなしの通信はありえないので、それは攻撃のパケットと思ってよい。
UAにOSコマンド入ってるというケースもあった。
最近はStruts脆弱性を突いたコードが書かれた通信も来ている。


UAのパターンをブラックリスト化して攻撃通信を制御している話
UAによる制御は個人で運用するサーバには有効だが、
企業のサーバでの制御にはお勧めしない(ちゃんとIDSやWAFでやるべし)


UAでの制御における注意点
定期的にステータスコード403を確認すること(正常な通信の誤遮断の防止)
【例】検索サイトのクローラ、古いUA(閉鎖環境に多い)、
自作ツールの更新忘れ(拒否リストを増やしたときに影響受ける可能性あり)


・質疑応答
講演のような取り組みが企業ではどのように活用できるか?

「こんなログが出ている。セキュリティ製品を入れているのに、なぜ防げないの?」
というアプローチに使える。




(2)講演内容調整中
ほぼ全面オフレコ。CSIRTネタだったくらいは書いてもいいかな!?




[LT]
(1)インシデントレスポンスネタ
見られたら困る単語がログにいっぱい出てきた。
このくだりはは公開禁止とあったが、確かにこれは公開したらあかんw


(2)セキュキャン行ってきた
セキュリティキャンプ:バラエティトラックに参加した学生さんの講演。
バラエティトラックでは産業システムのセキュリティ、
車載LANのメッセージの仕組み、ブラウザ拡張機能脆弱性探しを行った。
キャンプのメリット:濃い内容と最強の講師。同じことに興味を持つ同年代と知り合える。


(3)侵入検知のファーストステップ
mark3さんによるオープンソースの侵入検知システムOSSECの解説。
今回は神戸のデートスポットの話はありませんw
9月23日の紫秋を見ていたので、すんなり入った。
WAZUHはワザーと読むで確定と思ったらいいんかな。


(4)セキュキャン集中開発コースに参加してみた
(2)と同様、セキュリティキャンプに参加された方の講演。
こちらは集中開発コース(Zトラック)でELFマルウェアを扱った。
Zトラックは存続の危機らしく、真剣に応募者増えてほしいとのこと。


(5)リバースエンジニアリング
セキュキャンでリバースエンジニアリングを学習した話。
ルータにとあることをしたら、簡単にroot取れちゃった(これはぱないw)
セキュキャンは学生が対象だが、社会人でもスポンサーという形で参加可能。




[告知]
・OWASP Kansai
https://owasp-kansai.doorkeeper.jp/events/80767
https://owasp-kansai.doorkeeper.jp/events/81123
・セキュリティマイスター道場
https://sec-dojo.connpass.com/event/103162/
・総関西サイバーセキュリティLT大会
次回は総関西塞馬ーセキュリティLT大会