Kippoで遊ぶ 3ねん 技術研究課ぐみ たけなが あつし
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Kippoで遊ぶ3ねん 技術研究課ぐみ たけなが あつし
誰だおまえ• たけながです
• 技術研究課に生息
• カメラマン兼プログラマー
• 林檎歴 やっと1年
• マサカリは投げる方が好き
• JOYSOUND教 信者
最近の出来事
カメラバッグを買いましたLowepro ProTactic 350 AW
レンズを買いましたNikon AF-S NIKKOR 28mm f/1.8G
実家に帰ることを諦めましたなんで貯金すぐ死んでしまうん?
おかげさまで 年末年始は酷くヒマ
そして始まる 自宅NWいじり※個人的な趣味であり、会社とは全く関係ありません
帰れなくても 光ファイバーでつながっていた…
…はずだけど 最近つながらない
実家回線は動的IPアドレス
実家PCにこっそり仕込んだ DDNSクライアント
いつまで経っても 更新されないIPアドレス
明らかに動いてない
IPアドレスわからない
結局繋がっていない
本題
ハニーポット ってご存じですか?
Wikipedia先生いわくハニーポット (英語: Honeypot) は、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。元来は「蜜(の詰まった)壷」の意味で、何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目をそらせたり、コンピュータ・フォレンジックスを行うための証拠を集めたりする、一種のおとり手法に使われる。手法そのものをハニーポットと呼ぶこともある。
ハニーポットはおとりのために設置するので正規の通信が発生しないという特徴がある。これは、記録に残るアクセスはすべて不正アクセスとなるので、誤検知を減らし検知洩れをなくすことができる。 ハニーポットの目的として、ウイルスやワームの検体の入手、不正アクセスを行うクラッカーをおびき寄せ重要なシステムから攻撃をそらしたり、記録された操作ログ・通信ログなどから不正アクセスの手法と傾向の調査を行うなど挙げられる。
ハニーポットの初期の事例として、天文学者クリフォード・ストールの著書『カッコウはコンピュータに卵を産む』にある「SDIネット」が挙げられる。1987年、ローレンス・バークレー国立研究所のシステム管理者であったストールは、同所のコンピュータを踏み台にして軍事施設のデータベースを漁っていた侵入者の正体を調べるために、「SDIネット」と名付けたいかにもSDI(戦略防衛構想)の資料を扱っていそうな偽のデータベースを作り上げた。これに侵入者が没頭している間にその居場所を捜査当局に逆探知させることに成功したのである。後の調査で侵入者は入手した情報をKGBに売り渡していたことがわかり、世界的なニュースとなった。
一般的なハニーポットの技術は、オペレーティングシステム (OS) やアプリケーションに脆弱性を残した攻撃を受ける部分と受けた攻撃によって外部への踏み台とならないように通信をコントロールする技術、攻撃者の不正アクセスによって変更された点の検出から成り立つ。また、ハニーポットとは別に通信ログをとることも重要である。
CPUやネットワークリソースを提供してくれるコンピュータはクラッカーにとって恰好のおもちゃとなるため、内部の資源や情報を得ようと攻撃を行う。しかしそのコンピュータに、あらかじめ少々意地の悪い仕掛けを施しておき、特定のホストからの通信が集中すると「メンテナンスのため、あと10分でシャットダウンします」というメッセージを出して、通信をしばらく締め出してしまったり、(架空の)ユーザーが多数利用しているように見せかけて、極端に反応速度を落としたりする(なお、これらと同時に、外部に気付かれない形で、通信ログを取り続けている)。こうすると、クラッカーは余計に中身が気になって、後はもうこのサーバの中身を見ることだけに熱中することになる。
また、メールの第三者中継を許可する設定に見せかけるのもよいだろう。実際にはログを出力するだけにしておいて、第三者中継を許可するように見せかけておけば、スパム送信者が興味深い足跡を残すこともあるし、すべて架空のメールアドレス宛てに設定したメーリングリストを用意しておけば、それ宛にもスパムメールを送ろうとするはずだ。
なお、これらの機能をまとめて提供するソフトウェア製品も多数販売されている。
ハニーポットは、目的に応じて設計されるので目的の数だけハニーポットの形態があるといえるが、実現方法によって次のように分けることができる。
高対話型ハニーポット - The Honeynet Projectのハニーネットの様に実際に脆弱性を残した「本物」のOSやアプリケーションなどをハニーポットとして利用する。「本物」を使う分、高度な情報を得ることができるが、侵入されたときのリスクが高い。また、ハイ・インタラクション型ハニーポットと呼ばれることもある。
低対話型ハニーポット - 特定のOSやアプリケーションをエミュレートし監視を行う。エミュレートした範囲に機能が制限されるので高対話型に比べ比較的安全に運用が出来る。ただ、機能を限定しているので情報量は落ちてしまう。特定用途向けのハニーポット。Honeyd、Spector、GHH ("Google Hack" Honeypot)、mwcollectなどがある。また、ロー・インタラクション型ハニーポットと呼ばれることもある。
わざと 攻撃されやすく作って
攻撃者をあつめる
はちみつで虫集め
釣れるもの
ボット ウィルス クラッカー
まれにスーパーハカー
釣りの理由はさまざま
ウィルスのサンプル集め
攻撃手法の早期発見
行動の観察
セキュリティのお勉強おもしろい、たのしい
aka. 暇つぶし
年末年始の暇つぶしにピッタリ
なので 作った
www.nyoron.jpLT終わったら消しますよ
SSHがガラ空きですと、いう設定
壊して頂いても結構ですばっちこい
遊んでいる間に Kippoの説明
https://github.com/desaster/kippo
SSHハニーポット
実装言語はPython
実環境への影響は無い作者「多分ね」
各種コマンドの実行出来ない場合も多いけど
ファイル操作書き込みも削除もどんとこい
wgetしたものの収集開くなキケン
ちょっとした騙しうちWindowsユーザーは無理かも
操作ログの記録タイピングまでみえるよ
さっそく 操作ログを見てみる
見た目にも分かりやすく 攻撃者を観察できます
観察するだけでも面白い「ハニーポット 観察」でレッツGoogle
攻撃を知れば防御もし易い
まとめ• 防御したいなら攻撃方法を知ろう
• ハニーポットは攻撃方法を知るための便利ツール
• バレないように気をつけて
• IPAのセキュリティスペシャリストは面白い
• 貯金の利用は計画的に
Related Documents
