Fortigateの認証proxy(且つSSLも検閲できるよう間に独自Certをかます)を有効にしたら、 突然見られなくなったサイトが。 DUNS Number検索っていうところなんですけど、 なんでだろー、って調べてったら、とんでもないことが判明。
1 2 3 4 5 6 | |
そんな、わざわざ期限切れのRoot CAなんて配んなくっていいのに...
ただ、そういえば、自分もSSL Cert更新時、 中に含めていた中間証明書をそのまま使い回してverifierにかけたら、 中間証明書が古いって言われて慌てて差し替えたことあります。 自分で作ったcertは期限気にしますが、 間に含めたcertsまではあんまり気にしないんですよね確かに。
気持ちは、わかります。
きょうび、APT(標的型攻撃)は、外向き通信から解析する必要があるでしょうと。 後で読むために。 Assessing Outbound Traffic to Uncover Advanced Persistent Threat
NHK SpecialのCYBER SHOCK 狙われる日本の機密情報見てたら、 標的型攻撃による情報流出が怖くなりました。 JIPDECとか、表面化してないだけで絶対やられてるんじゃないのかな、 とか思うんですが、それをみるために、 gatewayで宛先IPとportをcheckしたらいいんじゃないのかな、 と思いました。 まず自分のマシンでやってみようと思いました。 隗より始めよ、ですね。 iptablesでOUTPUTのACKなtcpのdportとIPをLOGすれば、 と思ったんですけど、 それだったらsnortの方がいいですか。 でもsnortでoutboundな通信のlogってどうやるんでしょう。 また、それでIPあげつらったとしても、 それをどう検証するのか。 blacklistでもないかなぁ、と思ったら、 カペルスキーとかセキュリティ専門会社は独自blacklist持ってるんですね。
...と、この辺まで書いてたら、 Kodingに「週間使用量をexceedしている」とかいわれて止められちゃいました。 書こうとしてた時に勢いを止められるのはつらいです。 書いた文章もURLも消えちゃいましたし、何書こうとしてたか忘れちゃいました。
blacklist、IP addressで検索していたら、 whatismyipaddressのBlacklist Check、 でもこれは、接続元IPがspammerのblacklistに載っているか、 一括して調べるもの。どこかに載ってたら、 過去にspamを送っていたことがある、 何らかのmalwareに感染してた可能性がある、 ということです。
check your very own IP for any botnet infections というのがあって、これも同じようなserviceなんでしょうか。
C&C serverとのcommunicationは、 DNSのTXT recordでやるそうですね。 そんなのってdetect出来るんでしょうかね。出来そうですね。 何かtoolないのかな。
脆弱性診断研究会には、 よさ気な情報が載ってます。 ↑に載ってましたが、 VAddyというJenkinsに組み込んでCIで脆弱性診断をしてくれる serviceがあるそうです。free planだとSQL injection、XSSしか見てくれないそうですが、 freeで何度も使えるならいいですね。
Bug hunterとして生計を立てているKinugawa masatoさんのページが とても勉強になります。徳丸先生の日記は言わずもがな。 ヒロミチュ先生のところは、 最近技術的な話題少ないんですかね。