SynAck Capture Nite 2011 参加してきました。
その名のとおり、ネットワークキャプチャの勉強会に参加してきました。 NiteってNightの間違いじゃないの?と激しく思っていたところ、主催者の方からしっかりと解説
『最近って色々省略するのが流行ですもんねw』
って、えー 本当ですか???
まぁ、そんなこんなで始まったこのSynAck Capture Nite 2011、実は北海道の『北海道情報セキュリティ勉強会(セキュポロ)』にも同時中継されていたようです。
まず、ネットエージェントの杉浦社長によるから『永続的パケットキャプチャのすすめ』という講義を受けました。
普段皆さんもパケットキャプチャに使われているであろうWiresharkですが、これではメモリの要領を超えて記録することはできません。 ということは、永続的にキャプチャし続ることはできない⇒インシデントが起きた時実際のパケットを確認できない!!
そんなわけで紹介されたのがこの Packet Black Hole ・・・まぁ、自社製品の宣伝ですねwww
その後、パケット記録用の媒体(HDD等)の話もありましたが、ここでは割愛させていただきます。
キャプチャだけでなく、IDSを本格的に運用するならSnortとかtsharkとかどう?とのことです。 Snortはセプキャン以来使ってないな・・・と懐かしく思い出されます~
続きまして、この記事のカテゴリにAndroidが含まれてる所以ですね。 一応個人としてもAndroidのアプリ開発者なので、この話にも非常に興味惹かれました。
まぁどういう内容かといいますと、ダウンロードしてるAndroidアプリの解析ですね。 まずはパケットキャプチャです。端末をWi-Fiネットワークに接続し、ミラーリングハブを噛ませてパケットを取ります。 これは単純にWiresharkで十分でしょう。 そこからapkファイルを抽出、それをunzipでclass.dexを取り出します。 Dex2jarをかけてjarファイルに変換し、JDでデコンパイルすればもうそこにはソースコードが・・・
とのことですが、家にはミラーリングハブはありません。なのでARPスプーフィングをしてキャプチャを試みましたが、予想通りSSHの通信は中継できず、試みははなから頓挫しましたorz
まあ、いずれかまた取り組みます!乞うご期待ですね。
次のセッションは、DEFCON19に参加した @ghetto2199さんによるCTFパケット解析の講義です。
ここでまめ知識ですが、DEFCONとは毎年ラスベガスで開催されている世界最大級のセキュリティ会議と言われるものです。 DEFCONでは講演以外にも、セキュリティに関するワークショップなどさまざまなイベントがありますが、その中でも特に人気と言えるのがCTF(Capture The Flag)です。 CTFでは各チームにサーバー機とイメージが配布され、互いに自分のサーバー上のサービスを守りながら、相手の秘密鍵の奪取や上書きなどの攻撃をします。 自らのバイナリを解析して脆弱性を見つけてパッチを当てながら相手を攻撃するとても高度な戦いです。(二十年以内に絶対行ってやる!!!!)
てなわけでDEFCONの説明を簡潔にしたところでパケットの解析された結果です。 @ghetto2199さんの所属するsutegoma2チームが攻撃を受けたサービスの一部を紹介。
1、telephone
Port:1477
キーが奪取される
攻撃パケットはエンコードされていた
上部のパケットがデコーダーになっている
2、htlame
Port:42737
telephone経由で/tmp/foobar/にシンボリックファイルを張られる
キーが奪取される
3、rotary
Port:3375
キーの奪取と上書き
攻撃パケットがIDSに引っかからなかった理由、それはそれぞれが独自のエンコーダを使用しているからとか ヘッダ部分にデコーダとなるバイナリが含まれているとかおそろしや((((;゜Д゜)))