NHK SpecialのCYBER SHOCK 狙われる日本の機密情報見てたら、 標的型攻撃による情報流出が怖くなりました。 JIPDECとか、表面化してないだけで絶対やられてるんじゃないのかな、 とか思うんですが、それをみるために、 gatewayで宛先IPとportをcheckしたらいいんじゃないのかな、 と思いました。 まず自分のマシンでやってみようと思いました。 隗より始めよ、ですね。 iptablesでOUTPUTのACKなtcpのdportとIPをLOGすれば、 と思ったんですけど、 それだったらsnortの方がいいですか。 でもsnortでoutboundな通信のlogってどうやるんでしょう。 また、それでIPあげつらったとしても、 それをどう検証するのか。 blacklistでもないかなぁ、と思ったら、 カペルスキーとかセキュリティ専門会社は独自blacklist持ってるんですね。
...と、この辺まで書いてたら、 Kodingに「週間使用量をexceedしている」とかいわれて止められちゃいました。 書こうとしてた時に勢いを止められるのはつらいです。 書いた文章もURLも消えちゃいましたし、何書こうとしてたか忘れちゃいました。
blacklist、IP addressで検索していたら、 whatismyipaddressのBlacklist Check、 でもこれは、接続元IPがspammerのblacklistに載っているか、 一括して調べるもの。どこかに載ってたら、 過去にspamを送っていたことがある、 何らかのmalwareに感染してた可能性がある、 ということです。
check your very own IP for any botnet infections というのがあって、これも同じようなserviceなんでしょうか。
C&C serverとのcommunicationは、 DNSのTXT recordでやるそうですね。 そんなのってdetect出来るんでしょうかね。出来そうですね。 何かtoolないのかな。
脆弱性診断研究会には、 よさ気な情報が載ってます。 ↑に載ってましたが、 VAddyというJenkinsに組み込んでCIで脆弱性診断をしてくれる serviceがあるそうです。free planだとSQL injection、XSSしか見てくれないそうですが、 freeで何度も使えるならいいですね。
脆弱性検査tools
- OWASP ZAP
- Vega(Java, included in Kali Linux)
Bug hunterとして生計を立てているKinugawa masatoさんのページが とても勉強になります。徳丸先生の日記は言わずもがな。 ヒロミチュ先生のところは、 最近技術的な話題少ないんですかね。