でるたのーと

Cyber security blog


デスノート PC侵入シーンの考察

最近デスノートを見返しているんですけど、やっぱり L が死ぬまでが一番おもしろいですね。逆に最後まで見ちゃうとジェバンニが全てをかっさらっていくので見返すときは L が死ぬところで見るのをやめてます。

さて、作中では完璧な人間として描かれている月ですが、L にセキュリティの知識があれば、割と簡単に勝てたのではないかというシーンを見つけました。それは 3話の、月が総一郎の PC に侵入して捜査資料を盗むシーンです。

ここ!
f:id:deltatan:20171030063745p:plain

月が総一郎のパソコンに侵入した後に

サーバを選んでください

というポップアップが表示され、ログイン後にキラ事件に関する全ての捜査資料がリストアップされています。これはおそらく、警察庁所有の FTPサーバに接続し、内容を見ているということでしょう。

「自分のパソコンから、何の痕跡も残さず、父さんのパソコンに侵入することさえできるよ」

と月は嘘ぶいていますが、それでも普通、サーバへのアクセスやトランザクションにはログが残るはずです。総一郎が記憶しているアクセス日時の申告と、実際のアクセス日時が違っていたら即アウトです。総一郎が捜査資料を漏洩させていた可能性も残りますが、それでも「夜神家が怪しい」ということになります。L がログさえ見ていれば FBI捜査官が死ぬこともなかったのに! *1

L は夜神家に盗聴器と監視カメラを仕掛けていましたが、僕ならフォワードプロキシをかませて通信を盗聴します。月が総一郎のパソコン・ダミーの FTPサーバに不正アクセスしていることを確認し、しかるべき証拠保全が完了した段階で勝負も終わりです。あ、でもデスノートも押さえないといけないのか。まぁこれも、月のパソコンにマルウェアでもしこんで、インカメで「僕は新世界の神になる」あたりのシーンを押さえればいいんじゃないですか。

しかしあの月のことです。FTPサーバにアクセスしたときに、実はサーバにも侵入して、アクセスログを改竄しちゃったりしてるかも... まさかねぇ。いや、いくら極秘の捜査資料をシンクライアントも使わずにアクセスさせているとはいえまさか。容易に推測できるようなパスワード使ったりしてるけどさすがの月でも... いやできるわ! むしろ余裕だわ!

どうか L には、キラ対策本部にセキュリティエンジニアを雇うことを考えてもらいたいものですな。

*1:L は FBI捜査官の死から月がキラである可能性に気付いた

備忘録 9月前半

deltatan.hatenablog.com

8月の終わりに「簡単なニュースとか備忘録的なものを毎日残していく」宣言をしたわけですが、まぁ無理だったよね。いや言い訳をさせて頂くと、9月に入ってから勉強の速度を上げたり、インターンあえて炎上案件に飛びこんだり, なかなか体力持ってかれるようなことばっかしてたんで。
ぶっちゃけセキュキャンの方がきつかったけどな!

まぁ... その... この怠惰の一番の原因はどうせ誰も見てないからいいだろ的な何かだったりするんですけど、それはどうしようもないですね。まぁ、今更ながら 9月前半を振り返ってみます (といってもあんま覚えてないんでツイッターをおもむろに開きながら)。

備忘録

OWASP Nagoya Local Chapter Meeting 1st に参加

9/2 にあった OWASP のイベントに参加してきました。いやー、想像以上におもしろかったですね。OWASP の岡田さんとか、徳丸本の徳丸さんとかの話を聞いてきましたよ。
岡田さんの話で印象に残ってるのは、問題の根本的な原因を考える、シフトレフトの話ですね。これはトヨタ的な思考だなーって思いながら聞いてました。
徳丸さんには SQLインジェクションとか CSRF とかの実演をして頂きました。やっぱ実際に使われてる攻撃を見るのは楽しかったですね。

以下、問題発言名言

「マ◯クロソフトの人間が、日本の大企業の 95% は何かしらのセキュリティ上の問題を抱えているって言ってた」
「サーバールームに設置してある監視カメラのリアルタイム映像をネットに漏らしてる会社があった」
「『よくわかる PHP の教科書』を血祭りにしようと思います
「今まで『よくわかる PHP の教科書』にある脆弱性を題材に色々講演とかやってきたんですが、最近売れてないみたいなんです。もしかして私のせい?


3DS のチートをいじる

現在 3DS のチートツールとして最も使われているのが、NTR CFW ってやつなんですけど、こいつを導入するとチートが C/C++ で書けるようになるんですよ。いやすごくね? 10年ぐらい前、GBA/DS 全盛期世代のチートツールであるプロアクションリプレイとかコードフリークでは、各ゲームのチートプラグインを 16進数で入力してたもんですが、どうやらバイナリアンは滅びゆく運命にあるらしい

ちなみに僕は懐古主義者なので、ポケモン ORAS を買って、チート使って瞬殺で殿堂入りしたりしてました。しっかし感心したのが、チート使ってるので最初からアイテム全て持ってたり、通常のプレイではありえないステートにしてたのにも関わらず、ゲームがフリーズしたりバグったりすることがほとんどなかったこと。しっかりガードかけてるんだろうなぁ。さすがゲーフリ! すごいぞゲーフリ!!

あと使ってるプラグインは、いろいろ勉強になりそうなのでだらだらとコード読んでいじってます。日本語化も進めているので、コミットしてくれる方はこちらまで:
github.com



さすがに 5体のゲンシカイオーガは描画処理が重かった。


VM クラッシュ問題

Bluetoothバイスに接続した途端 VM がクラッシュする問題を発見したんですが、同じ問題が 2ヶ月前に報告されていて、次のリリースで修正されるみたいです (参考: https://www.virtualbox.org/ticket/16969)。


ネタ

君の名は。いいよね

めも on 8/31/2017


ニュース

http://wikileaks.orgDNSレコードが汚染される

www.theguardian.com

備忘録

ニュースについて考えてみました。個人的に気になるのが、どのサイトも DNS ポイズニング と紹介しているところ。おそらく DNS キャッシュポイズニング の意味で使ってるんだと思いますが、もしかしたら別の意味があるのかもしれません。いや、やっぱ汚染されるのはキャッシュサーバーなんでしょうけど。

nslookup の結果がちょくちょく変わってるんですけど、まだ汚染が続いてるのかもしれませんね。もしもそうだった場合、キャッシュサーバはどの問い合わせの返答を信じるんだろう。

Yes, Master? 👉  nslookup wikileaks.org
Server:		172.20.10.1
Address:	172.20.10.1#53

Non-authoritative answer:
Name:	wikileaks.org
Address: 141.105.65.113
Name:	wikileaks.org
Address: 141.105.69.239
Name:	wikileaks.org
Address: 195.35.109.44
Name:	wikileaks.org
Address: 195.35.109.53
Name:	wikileaks.org
Address: 95.211.113.131
Name:	wikileaks.org
Address: 95.211.113.154
Yes, Master? 👉  nslookup wikileaks.org
Server:		172.20.10.1
Address:	172.20.10.1#53

Non-authoritative answer:
Name:	wikileaks.org
Address: 127.0.0.1


というかキャッシュサーバからの返答がループバックアドレスになってるうぅぅ!

こいつ誰だよ... 俺ぢゃねーか みたいな


dig とか使って、どのネームサーバが汚染されたのか見てみるのもありかもしれません。僕は眠いのでやめときます。

その他

セキュリティのニュースでも何でも、手を動かして自分でやってみるのおもしろいですね。

めも on 8/30/2017


ニュース

数千件もの Telnet の認証情報が流出する

www.bleepingcomputer.com

ちょっと古いですが、4日ぐらい前にホストの IPアドレスとユーザ名、パスワードのリストが流出しました。該当ページは削除されたようですが、キャッシュにはまだ残っているようです。

備忘録

Kubernetes

Google製のコンテナのオーケストレーションツールですが、超便利。YouTube など、数多の Google の基盤にはこいつが使われている模様。VM から始まり、Docker が出て、ついに Kubernetes という変態的なツールまで出始めました。抽象性高すぎて気持ち悪い。学習のコストもえげつないですが

その他

HaskellAtCoder の問題解くの楽しい。競技に勝つことを諦めた者への癒し

めも on 8/29/2017





ニュース

ハッカー映画さながらに電子錠を破る

blog.kaspersky.co.jp


備忘録

エロゲー人工知能の人が...


今年は、市販のダッチワイフに改造をほどこしてとんでもないクリーチャーを生み出してた彼ですが、来年のコミケでスケールアップして帰ってきそう。
いや、変な意味はなく、この人の本、学術的におもしろいんだよ...?

その他

関数型ニート、及び暗号屋になるために、cryptonite っていうパッケージをいじってみようかと思います。クラックするパッケージを作ってみたい野望もある。

めも on 8/28/2017




ニュース

アップルの公式サイトにて、隠された求人広告が見つかる

www.bbc.co.uk

なお、該当ページは現在削除されているか、どこかに移動された模様


備忘録

25日に発生した大規模なネットワーク障害について

以下に詳しい説明があります。


BGP leak causing Internet outages in Japan and beyond. | BGPmon
BGPStream Event #98309


このソースによると、Google の自立系が JPIX 管轄の IPプレフィックスを間違えてハイジャックしてしまったみたいですね (最初にベライゾンの自立系に流れた)。
それが原因で OCN 管轄の IPプレフィックスが漏れ出て、Google の自立系をわざわざ経由するような経路になってたみたい。OCN がつぶされたわけではないようです。

ちなみに KDDI の障害の原因はまた別な気がします。根拠としては、OCN が

インターネット上において大量の経路変動が発生し通信が不安定になる状況になっておりましたが、12:45 頃に復旧致しました。
なお、弊社OCN設備に異常はありませんでした。
ご利用のお客様に対し、大変ご迷惑をおかけいたしましたことを深くお詫び申し上げます。

とアナウンスしたのに対して、KDDI の発表内容は

本日発生しておりましたインターネット通信不安定は復旧しております。
一部のお客様のインターネット通信不安定が継続しておりましたが、通信の安定化を図るための対処を行い、一部のお客様についても通信が安定致しました。

というものだったからです。Wikipedia によると、KDDI は tier 2 の自立系を保有していて、それはベライゾンの tier 1 の自立系にぶらさがっています。そっから送られてきた大量の経路情報の変更が、負荷になってつぶれたのではないかと推測します。

しかし、JPIX の 210.171.224.0/24 というプレフィックスへのハイジャックが、OCN 管轄の 114.144.0.0/12 のプレフィックスの流出につながったのはなんでなの...? ぱっと見 JPIX 管轄のプレフィックスとは関係なさそうな感じですけどね。教えて! 詳しい人!


所感

ビール飲みながらセキュリティコンテストチャレンジブック読むと幸せになれますね。

めも on 8/27/2017

今日から、簡単なニュースとか備忘録的なものを毎日残していこうと思います。情報は発信する人のところに集まるみたいなので。




にゅーす

広域のネット障害

ちょいと古いですが、例の障害、Google さんが引き金だったみたいですね。ここに説明があります。明日詳しく見てみよう。


めもらんだむ

セキュキャンの事後課題

終わりました。クソみたいな内容になりましたが提出完了☆ ちなみにこのもくろみは見事に外れ、アンケート書く上で何の役にも立っていません。死にたい。




リカちゃん展

栄でやってたリカちゃん展に友達と行ってきました。年代によって顔とか服装とかが全然違っておもしろかったです。しかし彼女、思った以上に多くの有名人とコラボしてました。牧美也子とか浅田真央とかでんぱ組とか。いい商売ですね。
若干 11歳にしていくら稼いだのかなリカちゃん。君の年商はいくらなんだいリカちゃん。


f:id:deltatan:20170827232005j:plain:w300


SC試験の勉強

すきま時間に午前2 の勉強を細々とやってました。今日はなんだろ、NTPリフレクションとか XMLディジタル署名とかの知見を得ましたね。


諸多

これ、もう少し速く記事書かないと 3日坊主で終わるパターンだ。