かわろぐ

技術、セキュリティ、その他もろもろ

MENU

書評:減らす技術を読んだ

最近公私共にわちゃわちゃしており、やることに追われまくっている気がするので、気になり手に取ってみました。

本の中にあった「生産性だけ上げても意味がない」と言うのはほんと最近実感しています。生産性上げたところでできるようになる作業量なんてたかが知れていますし、現代はそれ以上に色々なものが流れ込んできて油断していたら、情報の洪水にあっという間に流されてしまいます。

制限を設けて、本質に迫ることだけに集中したからだ

なにかを成し遂げたいなら本当に無駄なことをしている時間はないんですよね。子どもが出来てからすごく実感しています。自分の時間なんて殆ど取れないですからね。

一度にひとつづつ変える シングルタスクにする

自身の経験でも実感しましたが、人間はCPUみたいにマルチコアでもないし、ハイパースレッディングなんてことも出来ないので、一度に一つのことに集中したほうが絶対的に良い成果を挙げられるんですよね。あれもこれもと触手を伸ばしていたら、どれも中途半端にできるけどこれと言った成果がどれも出ていない…なんていう残念な状態に陥ってしまいます。

シングルタスクと言っても、最近は通知やチャットなど注意力を削ぐものが非常に多いので、それらが容易に目に入らないようにするために通知を切る、ディスプレイの数を減らすなど対策をして自分の集中力を守るような試みをしています。

さーて、成果出すぞ!

減らす技術 新装版

減らす技術 新装版

WOWHoneypot を構築してみた

Cowrie につづいて、morihi_soc さんが作成されている、WOWHoneypot を植えてみました。

セットアップ方法

基本的には Github に書いてある環境の通りにセットアップしただけです。とても簡単ですね。唯一違う点は OS が Ubuntu 18.04 LTS だという点くらいでしょうか。

ここには書いてありませんが、サーバ自体のセキュリティアップデートは必ず全て適用して、SSHは秘密鍵のみに設定変更してからハニーポットの運用を開始するようにしましょう。ミイラ取りがミイラになっては仕方ないので…

$ sudo ufw default DENY
$ sudo ufw allow 80/tcp
$ sudo ufw allow 8080/tcp
※ SSH のアクセスポートも環境に合わせて追加してください。
$ sudo ufw enable
$ sudo vi /etc/ufw/before.rules
※ 「*filter」より前に下記の4行を追記する。
———————————————————————————
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
COMMIT
———————————————————————————
$ sudo ufw reload
$ cd ~/
$ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot
$ cd wowhoneypot
$ python3 ./wowhoneypot.py

試しにIP直打ちでアクセスしてみると、最下部の2行のようにWOWHoneypotのログにもちゃんと履歴がのこっているし、ログインフォームらしき画面も表示されているので正常に動作していることが確認できました。

f:id:kawa_xxx:20180430160852p:plain

WOWHoneypot を植えて

Cowrieのときはすぐにアクセスが来ましたが、WOWHoneypot の場合は wow と驚く程早く、攻撃者からのアクセスがあるわけではありませんでした。ちゃんとサービス化して気長に待ちましょうかね。

さて、Cowrie と合わせてそろそろログを集積する環境をちゃんとしなくては。

書評:ゼロ秒思考をよんで

まず読み進めて思ったのは、マインドフルネスの中で教わった、ジャーナリングに近いのかもしれないと感じました。ただし、ちょっとフォーマットに縛りはありますが。

特にデスクワークの大半は悩んだり、堂々巡りしたりで時間を浪費する。こうしようか、ああしようか、こう行ったら上司が度言う言うだろうかと悩みはつきない

まさにこのとおりだなぁと。ウンウン唸っているくらいだったらさっと書いて整理して行ってしまったほうが圧倒的に効率高いことは間違いないと思います。 最近は全てPCやスマホで完結しており、手書きで毎日10枚は大変そうだけど少しでも書いて思考を整理する癖をつけていこうと思いました。

ゼロ秒思考  頭がよくなる世界一シンプルなトレーニング

ゼロ秒思考 頭がよくなる世界一シンプルなトレーニング

ハニーポット cowrie をカスタマイズしてみる

環境

  • cowrie
  • Ubuntu 16.04.3

cowrie をカスタマイズする

全てがデフォルトのハニーポットだと、攻撃者に気づかれる可能性もあると思うので何らか変化を加えておきたいですよね。ということで、ログイン後のファイルシステムをそれっぽく見せるべく、カスタマイズ方法を調べてみました。

この記事では、ファイルシステムに変更を加える方法と、ログイン可能なユーザを変更する方法をまとめます。

ファイルシステムをカスタマイズする

createfs コマンドを使ってみる

Github の README.md には honeyfs の説明に file contents for the fake filesystem - feel free to copy a real system here とあるので、この honeyfs 内にファイルを作ればそのまま見れるようになるのかと思い以下の図のように honeyfs/etc/hoge.txt を作成しましたが、そんな単純なことではありませんでした。

f:id:kawa_xxx:20180324150042p:plain

cowrie にある、ファイルシステムを作る bin/createfs コマンドを使ってみようということで、  honeyfs/etc/hoge.txt をつくって bin/createfs > data/fs.pickle して、 cowrie に ssh で繋いでみましたが、hoge.txt の存在がないどころか、バナー表示がなくなったり ls コマンドがなくなったりして何も出来ない残念なhoneypot になってしまいました。。

このコマンドは一体どう使ったらいいのだろうか…

fsctl コマンドを使ってみる

bin/fsctl data/fs.pickle で etc/ に touch で hoge.txt をつくったら上でつくった honeyfs/etc/hoge.txt の内容が見れました。 仮に膨大なファイルを追加した場合に全部 fsctl でやらなくては行けないのかな。めんどくさすぎる…

f:id:kawa_xxx:20180324150038p:plain

ログイン可能なユーザをカスタマイズする

cowrie にログインできるユーザ名とパスワードの組み合わせは、 data/userdb.txt に書かれた組み合わせで決定します。以下がデフォルトの内容です。

f:id:kawa_xxx:20180324150035p:plain

デフォルトの状態では、 root アカウントは root, 123456 以外のパスワードであればログインでき、 richard アカウントはどんなパスワードでもログインできるような設定になっています。

cowrie を動作させてログイン失敗のログに出てきたアカウント名とパスワードをここに追記してあげれば、より多様な攻撃を見ることができるようになるかもしれませんね。

参考文献

サイバー攻撃の足跡を分析するハニーポット観察記録

サイバー攻撃の足跡を分析するハニーポット観察記録

ハニーポット cowrie に囚われてみた

環境

  • cowrie
  • Ubuntu 16.04.3

ハニーポットに囚われるって?

ハニーポットを構築、運用、観察したことはあるけど、自分がハニーポットに入ったことはこれまでありませんでした。ハニーポットにとらわれるとはどんな感じなのか体験するためにやってみました。

cowrie に囚われて /etc/passwd を見てみた

ローカルの環境に VirtualBox で Ubuntu を入れて、その上に cowrie を構築しました。今回は実験用なので、ポート番号等はデフォルトのものから特に変更しませんでした。

まずは、 root で適当なパスワードでログインします。発行したコマンドはログが見やすいように、w コマンドと cat /etc/passwd を発行して exit でログアウトするというシンプルなもののみにしました。

f:id:kawa_xxx:20180321145308p:plain

結構いろんなユーザがあることになってますね。これは cowrie/honeyfs/etc/passwd にテキストで全く同じ内容が書いてあり、その内容が表示されるだけです。

自分の行動を自分で観察してみた

まずは cowrie.log の該当部分をみてみる。 CMD: w , Command found: w などと発行しているコマンドとそのコマンドがあったかどうかが記されているのが見て取れます。tty ログも記録したよというログが残っていますね。

f:id:kawa_xxx:20180321145323p:plain

それではお次は playlog コマンドで自身の行動をハニーポットが記録したものをみてみましょう。

f:id:kawa_xxx:20180321145329p:plain

うむ。やったことがそのまま出てますね。

終わりに

自分の行動を自分で分析してみることで、ハニーポットがどんな感じにログを出すのかの理解が進みやすくなると思うのでおすすめですね。

参考文献

サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]

サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]