Motsulog

セキュリティの周辺でもぞもぞするだけの自分用メモ

セキュリティ技術のスキル

ネットエージェントの杉浦氏のインタビューから引用。

やっぱり数学の基礎と低レベルの開発スキルが「セキュリティ技術」ということなんだろうな。

type.jp

―― では、どんな素質を持つエンジニアがホワイトハッカーになれるのでしょう?

大前提として、数学が苦手な人には務まらないでしょう。この仕事では、10進法、16進法くらいは頭の中でできるレベルの数学力が問われます。

技術面では、アセンブラレベルの理解があるなど、低層から理解している人たちになるでしょう。リバースエンジニアリングをしっかりやってきた人も有望です。

セキュリティエンジニアって

このブログ自体がセキュリティ関連の自分用メモとして始めたのだが、セキュリティって相変わらずなんだかよくわからない。

何ができたらセキュリティエンジニアなんだろう。。。

2005年から8年間、セキュリティ製品のディストリビューターに勤めたが、結局皮をむいてもむいても「TCP/IP + オープン系アーキテクチャ(= x86系)上で動作するOS(≒Windows & Linux)」周りの技術しかない。

「セキュリティに固有の技術」なんてないじゃんと思い、「x86システムの運用管理」が自分の守備範囲だと理解してここまでやってきた。

さて。最近セキュリティなるものに少し興味がわいたとき、じゃあDEFCONとかってなんなんだと。

バグハンティングとかマルウェア解析とかって、システム/アプリケーション開発者の領域だよね。Cを基本として複数のコンパイル言語で開発できるスキルを持っているという。ここにはシステム管理者の出番なし。

ペンテスト?なんかツールの使い方を覚えるだけのような気がする。やったことないけど。

インテリジェンス?技術なんも使わないでしょ。どっちかっていうと論客・ジャーナリスト系で、それは目指す技術者の姿じゃない。コンサルとかまったく興味なし。何が面白いのかわからん。

今はただ、ニュース周りをうろついて話題を集めているというだけ。まあ、バグハンティング・エクスプロイット解析だと言われちゃうと、じゃあ開発系のスキルがないとダメじゃん、となって終了。

まあそうなのかもね。ハッカーというカテゴリーに入るためにはシステム開発、アプリケーション開発ががっつりできないと難しいのかもね。そうするとホワイトハッカーなんて一国の中に数えるしかいないって。

じゃあその周りでうぞうぞしているのは何なんだと。ハッカーと言われる人たちが出してくれる情報を読み込めればいいんだったら、やはり「セキュリティスキル」なるものは存在しないと思うんだけど。

そう思って興味を失くしていたわけだが、結論を出すのは少し早いか。もう少しうぞうそしてみるか。

# だからこの定義だと、ペンテスターとか監視員とかはハッカーではない。もっというとセキュリティ技術者ですらない。とある職種に就いているエンジニア、というだけ。たとえばサポートエンジニアとか情シスとかと同じ。

MikroTik Winboxの脆弱性: CVE-2018-14847

侵害されるとルーターの管理者権限が奪われてしまうこと、ルーターOSのパッチなのでなかなか適用が進まないこと等から、影響がかなり大きくなっているようなので、自分の理解のためにまとめてみた。
cve.mitre.org

WinboxはMikroTikのルーターをリモートから操作するためのツールとのこと。

MikroTik RouterOS 6.42以前には、このWinboxの認証をバイパスできる脆弱性があるという。

2018年4月にMikroTikから修正パッチがリリースされたが、なかなか適用されていない模様。

 

Mass MikroTik Router Infection – First we cryptojack Brazil, then we take the World?

Trustwaveの研究者のレポート:

この脆弱性によって最終的にはMikroTikルーターの管理者権限が奪取される。

そして攻撃者は、MikroTikルーターそのものを攻撃するのではなく、MikroTikの機能を悪用して、ルーターを通るHTTP通信にCoinHiveを挿入するよう設定を改変することを思いついた。

1. HTTPアクセスがエラーになった時、カスタムエラーページを返すように設定し、その中にCoinHiveスクリプトへのリダイレクトを仕込んだ。

2. 無線アクセスするとカスタムページに誘導するスクリプトを設定していた。カスタムページは削除されていて中身を確認できなかった。おそらくそのカスタムページには、CoinHiveスクリプトへのリダイレクトが含まれていたと思われる。

そうすると侵入されたMikroTikルーターがWebサーバーへのアクセス経路にあるだけで、ユーザーのコンピューター上でCoinHiveが実行されてしまうという事態になっていた。