2019-02-19(火) [長年日記]
■ Becks Japan #1へ参加してきた
新しいITセキュリティコミュニティや勉強会が立ち上がったと聞くと、様子を見にほいほい参加してみる人です。今夜はBecks Japan #1。「Becks」はJRの駅に入ってるカフェじゃなくてBeer & Hacksの略。LINEとGrayLabが共同で立ち上げた勉強会で*1、場所も新宿のLINE社にある広々としたカフェスペース。ビールを始めとしたドリンクと軽食がフリーで提供されている。
トークは3つ:
Hacking Jenkins! by Orange
CIツールとして圧倒的シェアを誇るJenkinsの脆弱性を探す話。しかもRCEなのでかなりヤバいやつ。ルーティングのホワイトリストの穴を使って認証なしで一部サービスを使えるようにする脆弱性と、PipelineのDSLであるGroovyのメタプログラミングを応用してRCEを可能にする脆弱性を組み合わせた技を紹介。Shodanによると、この穴が残ったまま公開運用されているJenkins、まだ万のオーダーであるらしい。こえぇ。
Orange氏の手法で良いと思ったのは、ちゃんとソースと仕様書を読み込んで脆弱性を探しているところ。せっかくOSSにしてソースを公開してる以上、ちゃんと活用してもらえて安全性向上に役立ってるんだから、Jenkinsサイドとしても願ったりだと思う。
Dissecting professional APT team's spear tip by jz (Heungsoo Kang from GrayLab)
LINEの検知システムを通り抜けて侵入してしまったメールの添付ファイルを解析した話。Excelマクロ(VBA)、BATファイル、PowerShellスクリプト、インメモリDLLなどを、難読化しつつ多段階にかまして最終的にC2サーバ接続までするマルウェアだった。それぞれ手法はオーソドックスだけど、こんだけ複雑化されたら検知できなくてもしょうがない。マクロ付きのExcelは問答無用で弾くというストロングスタイルが正解なんだろうな。
The Evolution of Alert & Notification System by mala
技術的に高度なことを面白おかしく語るいつものmala節とはちょっと違って、けっこう肩の力の抜けたトークでしたな。電気ショックを流せる腕時計型のデバイスをハックして、重要な通知を電撃で受け取るようにした話。件のデバイスはこれ:
Pavlok Pro 2nd Gen Shock Clock
pavlok
¥29,800
ネタとして買うには高い(笑)。でも今回のように真面目に使う*2のならありかも知れない……(と思わせる妙な説得力はあった)。でもまー、若いうちなら自分で実験したかも知れんけど、年をとると心臓麻痺とか心配しちゃうよ。
このBecks、面白いのが韓国と台湾でも同時にコミュニティを立ち上げていて、イベントも各地で開催するようだ。今日も3ヶ国から1人ずつ講演者が呼ばれている。しかも日英同時通訳付き(!)。通訳があるんなら、そりゃありがたく利用させてもらうけど、韓国・台湾からの講演者は母語じゃなくて英語で講演してるんだし、英語で統一しちゃってもいいような……?
冒頭あいさつでゆくゆくはコミュニティ主導で運営したいみたいな話があったけど、しょっぱなからこれだけの物量を提供されてたら、LINEの紐を切ることはできないだろうし(というかLINEの本気度の現れでもあるからそれはそれで良い)、今後どうなるのか楽しみではある。
2019-02-16(土) [長年日記]
■ 【FUJI XEROX SUPER CUP】川崎 1-0 浦和@埼玉スタジアム2002
よっしゃ! まずは一冠!!
J1連覇したので、昨年に引き続き他チームより一足先に開幕である。ここのところ朝晩はかなり寒いので完全防寒装備で浦和まで来たものの*1、日中はかなり暖かくて、上着は脱いでシャツ一枚で歩くほど。
それにしてもカップ戦の決勝を、なにも浦和のホームでやることないじゃんねぇ。真ん中をとって味スタあたりでやればいいのに。ほんと遠いよ、浦和美園……。
昨年同様、昼食は新潟にしようかと思ったら今年はタレカツ丼がないそうで、甲府に浮気して「鶏もつカレー」を狙う。が、列管理がぜんぜんできてなくて、直前で売り切れ。代わりに牛カツカレーにしたけど、これのどこが甲府なの……? まぁ単品で鶏もつ買えたからいいけどさ。
昨年はだいぶダメな感じの試合だったが、今年は新加入で先発のダミアン、マギーニョがかなりチームに馴染んでいて、ちゃんと反省が生かされている感じ。初出場で初得点のダミアンはとにかく献身的に走り回る、途中でバテて動けなくなるほどの「大物外人」ってすごいのでは? あと、マギーニョもとても良い。よく走るだけでなく、それほどいい体格じゃないのにタックルされてもびくともしない体幹の強さが伺える(しかも転ぶべきところではきちんと転ぶクレバーさもある)。これはいい右SBを得たなぁという感じだ。
昨年は負けてやけ食いしたとちおとめの乗ったメロンパン、今年は祝杯(?)代わりにいただいた。つーわけで、幸先の良いスタートが切れたので、目標の四冠、あり得るのでは? という気分になっている。
*1 新駅取り放題なので駅メモもブルーライセンスを購入。
2019-02-12(火) [長年日記]
■ CloudGarage Public APIのRuby Bindingを書いた
3連休の成果(というほど時間はかけてないけど)。
せっかくCloudGarageの開発者向けインスタンス無償提供制度でサーバを借りてることだし、なんか関連したもの書いておくか……と思って漁っていたら、昨年末にAPIが公開されていて、言語バインディングもまだほとんどないみたいだから、とりあえずRuby用の薄いレイヤを書いた:
わりと素直なREST APIなので*1、RestClientを使って簡単に。いずれCLIも用意したいですな。
苦労したところ:
RestClientが吐く例外のメッセージがステータスコードの情報だけで、APIから返ってくるメッセージが含まれてない(#response.bodyに入っている)のでデバッグに困った。不便でしょうがないので、例外オブジェクトの特異メソッドでメッセージを足した。本当はRefinementsでやるべきだと思うんだけど、例外クラスが動的生成されてるせいか、なんかうまくいかないんだよなー。Refinementsももうちょっと自在に操れるようになりたいものだ。
あと、サーバ削除のAPIがまともに動いてないような気がする。これは時間みつけて追いかけないとなぁ。
*1 サーバオペレーションまわりの語彙がやや残念な感じはうける。