あうとぷっと

いんぷっとの整理とあうとぷっとの場

OWASP ZAP Scripting Competition

ZAP

OWASP ZAP スクリプト競技

下記サイトの情報を元にまとめています。
https://www.owasp.org/index.php?title=2015-08-ZAP-ScriptingCompetition&setlang=en


2015年8月中に、もっとも素晴らしいOWASP ZAP スクリプトを書いた方へ、1カテゴリあたり約50ドルの賞金が与えられます。
日ごろからOWASP ZAPを用いてスクリプトを使っている方は、応募してみてはいかがでしょうか?

1. どうすれば参加できますか?

  • OWASP ZAP 2.4.1(最新版)をダウンロードし、インストールしてください
  • ZAPスクリプトを書いてください
  • 2015年8月中に、community-scriptsへPull Requestしてください。

 

2. どのスクリプトタイプで書けば賞金がもらえますか?

上記14カテゴリで賞を貰うと、7000ドルもらえることになります。
※下記で書くことで、さらに50ドルもらえます。

 

3. その他の情報について

追加情報(Additional Info)と注意書き(The fine print)が元ページ(英語)に記されています。
参加される場合は、必ず確認するようにしてください。

下記サイトの情報を元にまとめています。
https://www.owasp.org/index.php?title=2015-08-ZAP-ScriptingCompetition&setlang=en


BlackHat USA 2015 / DEFCON 23 Summary (日本語/English)

BlackHat DEFCON Summary

公開されている情報を中心に、
2015年のBlackHat USAとDEFCONについてまとめてみます。

カテゴリ別記事まとめ(Category)


<<2015/08/26 08:00現在>>

1. カンファレンス概要(Overview)

BlackHat USA 2015
期間:2015/8/1 - 8/6 (8/1-4はトレーニング期間)
会場:Manladay Bay hotels

DEFCON 23
期間:2015/8/6 - 8/9
会場:Paris hotels

2. 言及されている記事(Related Article)

briefings - august 5-6
BlackHat USA 2015のプレゼン資料が公開されています。
https://www.blackhat.com/us-15/briefings.html

基調講演(Keynote)

ソフトウェアの欠陥が、航空機や自動車の欠陥や事故と同一視される時代がくる
http://scan.netsecurity.ne.jp/article/2015/08/06/37052.html
平等・自由・オープンであるはずのインターネットの自由が奪われている
http://scan.netsecurity.ne.jp/article/2015/08/06/37057.html
世界最大級のセキュリティ・カンファレンス「Black Hat USA 2015」 速報
http://csi.sproutgroup.co.jp/archives/000141.html

Dream of Internet freedom dying, Black Hat keynoter says
http://www.zdnet.com/article/dream-of-internet-freedom-dying-black-hat-keynoter-says/
IT security staff have a job for life – possibly a grim, frustrating life
http://www.theregister.co.uk/2015/08/05/it_security_jobs_grim_in_future/

Android

「Stagefright」のバグに起因するAndroid脆弱性― 携帯電話ベンダは対応に苦慮
http://blog.f-secure.jp/archives/50752606.html
「Black Hat 2015」でAndroidの新たな脆弱性が報告される
http://ascii.jp/elem/000/001/037/1037817/
Androidから指紋流出、特権悪用も――セキュリティ問題続々
http://www.itmedia.co.jp/enterprise/articles/1508/07/news064.html
グーグルとサムスン、「アンドロイド」の安全対策を毎月提供へ
http://jp.reuters.com/article/2015/08/07/idJPL3N10I1DV20150807

Check Point: Certifi-Gate-based attacks could take complete control of Android devices
http://www.zdnet.com/article/certifi-gate-big-android-security-trouble-for-hundreds-of-millions-of-users/
Hackers can remotely steal fingerprints from Android phones
http://www.zdnet.com/article/hackers-can-remotely-steal-fingerprints-from-android-phones/
After Stagefright, Samsung and LG join Google with monthly Android patches
http://www.zdnet.com/article/after-stagefright-samsung-and-lg-join-google-with-monthly-android-patches/
Black Hat 2015: Researcher exploits Android bug to take complete control of device
http://www.scmagazine.com/black-hat-2015-researcher-exploits-android-bug-to-take-complete-control-of-device/article/431220/
Biggest security update in history coming up: Google patches Android hijack bug Stagefright
http://www.theregister.co.uk/2015/08/05/android_software_update/
HTC caught storing fingerprints AS WORLD-READABLE CLEARTEXT
http://www.theregister.co.uk/2015/08/10/htc_caught_storing_fingerprints_as_worldreadable_cleartext/
Black Hat 2015: Vulnerability enables complete takeover of any Android device
http://www.scmagazine.com/black-hat-2015-vulnerability-enables-complete-takeover-of-any-android-device/article/431227/

Cloud

クラウドを狙う中間者攻撃「MITC」が浮上、Black Hatで報告
http://www.itmedia.co.jp/enterprise/articles/1508/07/news124.html

Attackers can access Dropbox, Google Drive, OneDrive files without a user's password
http://www.zdnet.com/article/dropbox-google-drive-onedrive-files-man-cloud-attack/
BlackHat 2015: Keeping up with the security of an evolving cloud
http://www.scmagazine.com/blackhat-2015-keeping-up-with-the-security-of-an-evolving-cloud/article/430715/
Imperva demos cloudy man-in-the-middle attack
http://www.theregister.co.uk/2015/08/07/imperva_cloud_maninthemiddle_attack/

Car Hack

ドライバーに衝撃:走行中のジープの乗っ取りに成功
https://blog.kaspersky.co.jp/remote-car-hack/8332/
米テスラ車をハッカーが乗っ取り、今のところ車内から
http://jp.wsj.com/articles/SB10685294686418064255204581155863237245414

OPM wins Pwnie, Google on Android security, DoJ on CFAA: Black Hat 2015 roundup
http://www.zdnet.com/article/opm-wins-pwnie-google-on-android-security-doj-on-cfaa-black-hat-2015-roundup/
Regulators left in dark over Chrysler security flaw for 18 months
http://www.zdnet.com/article/regulators-left-in-dark-over-chrysler-security-flaw-for-18-months/
Death certificates, safes, weapons and Teslas: DEF CON 23
http://www.zdnet.com/article/death-certificates-safes-weapons-and-teslas-def-con-23/
News from DEF CON 23: fake deaths, DHS and Tesla court hackers
http://www.zdnet.com/article/news-from-def-con-23-fake-deaths-dhs-and-tesla-court-hackers/
Hacker-friendly Chrysler hauled into court for class-action showdown
http://www.theregister.co.uk/2015/08/06/chrysler_lawsuit_wireless_car_hacking/

OS

Windows patches can be intercepted and injected with malware
http://www.zdnet.com/article/windows-update-intercept-inject-malware/
Slippery Windows Updates' SOAP bubbles up SYSTEM priveleges
http://www.theregister.co.uk/2015/08/07/slippery_windows_updates_soap_bubbles_up_system_priveleges/

Malware

15時間で侵入? 機械学習マルウェア検出システムに浮上した“不都合な真実” (1/2)
http://techtarget.itmedia.co.jp/tt/news/1508/19/news07.html
Black Hat 2015: Mac OS X malware is mediocre, but could be better
http://www.scmagazine.com/black-hat-2015-mac-os-x-malware-is-mediocre-but-could-be-better/article/430953/
Global cybercrime fraud boss ran secret pro-Moscow intel sorties
http://www.theregister.co.uk/2015/08/06/100m_business_gang_foxit_report/
Intel left a fascinating security flaw in its chips for 16 years – here's how to exploit it
http://www.theregister.co.uk/2015/08/11/memory_hole_roots_intel_processors/
Borg blacklist assimilates Cryptolocker domain name generators
http://www.theregister.co.uk/2015/08/10/borg_malware_blacklist_assimilates_cryptolocker_domain_name_generators/

Exploit

1997年から2010年までのインテル製CPUに脆弱性ルートキット埋め込み可能で対策はほとんどなし
http://japanese.engadget.com/2015/08/10/1997-2010-cpu/
Update Firefox NOW to foil FILE-STEALING vulnerability exploit, warns Mozilla
http://www.theregister.co.uk/2015/08/07/update_firefox_to_foil_russian_filestealing_vuln_exploit/

Crypt

Researchers look sideways to crack SIM card AES-128 encryption
http://www.theregister.co.uk/2015/08/06/researchers_crack_sim_card_aes128_encryption_in_10_minutes_for_cloning/

Hardware

Squareリーダーのハードとソフトの脆弱性を解析
http://scan.netsecurity.ne.jp/article/2015/08/07/37068.html

Square reader to card skimmer in less than 10 minutes
http://www.zdnet.com/article/square-reader-to-card-skimmer-in-less-than-10-minutes/

IoT

ハッカーが30m圏内にいる場合は利用を控えてください」
http://ascii.jp/elem/000/001/039/1039597/
近所のエロ少年が飛ばすドローンを合法的に撃退したい件
http://ascii.jp/elem/000/001/040/1040152/
Critical IoT security flaw leaves connected home devices vulnerable
http://www.zdnet.com/article/critical-security-flaws-leave-connected-home-devices-vulnerable/
Oh no ZigBee, as another front opens on home networking insecurity
http://www.theregister.co.uk/2015/08/06/zigbee_insecurity_home_networking_oit/


SCADA/ICS

Nuclear nightmare: Industrial control switches need fixing, now
http://www.zdnet.com/article/nuclear-nightmare-industrial-control-switches-need-fixing-now/
Black Hat 2015: Honeypots gather data on gas pump monitoring system attacks
http://www.scmagazine.com/uptick-in-interest-in-scada-systems-spur-researchers-to-set-up-honeypots/article/431018/
Crackpot hackpots pop top of GasPots
http://www.theregister.co.uk/2015/08/07/gaspot_experiement_trend_micro/
I could spoof Globalstar satellite messages, boasts infosec bod
http://www.theregister.co.uk/2015/08/05/globalstar_satellite_comms_hacking/

Web Application

Major web template flaw lets miscreants break out of sandboxes
http://www.theregister.co.uk/2015/08/05/web_security_megavuln/

Compliance

Black Hat 2015: USA Freedom Act sparks debate
http://www.scmagazine.com/black-hat-2015-usa-freedom-act-sparks-debate/article/431424/
Black Hat 2015: Justice Dept. not gunning for security researchers
http://www.scmagazine.com/dojs-bailey-assures-cautions-security-researchers/article/431234/
Black Hat 2015: DHS deputy secretary discusses the future of information sharing
http://www.scmagazine.com/black-hat-2015-dhs-deputy-secretary-discusses-the-future-of-information-sharing/article/431312/
Black Hat 2015: Defending, malware and other security trends
http://www.scmagazine.com/black-hat-2015-defending-malware-and-other-security-trends/article/430921/
DEF CON 23: DHS deputy secretary's suggestions for building trust between hackers, gov't
http://www.scmagazine.com/def-con-23-dhs-deputy-secretarys-suggestions-for-building-trust-between-hackers-govt/article/431587/

Business

NRIセキュア、ソリトンのEDR技術導入で米国の監視サービスを強化
http://scan.netsecurity.ne.jp/article/2015/08/06/37061.html
FBIが「サイバー犯罪と戦う人物」を「指名手配」
http://scan.netsecurity.ne.jp/article/2015/08/07/37069.html
ハッカー攻撃機能付きドローン、米デフコンで公開
http://www.afpbb.com/articles/-/3056944
ハッカーのワールドカップで韓国が初優勝
http://japanese.donga.com/srv/service.php3?biid=2015081167528

Microsoft raises the bar for Bug Bounty programs
http://www.zdnet.com/article/microsoft-raises-the-bar-for-bug-bounty-programs/
Chinese hackers hijack commercial VPN service to launch cyberattacks
http://www.zdnet.com/article/chinese-hackers-hijack-commercial-vpn-service-to-launch-cyberattacks/
Chinese hackers lay cybersnares for US, UK firms
http://www.zdnet.com/article/chinese-hackers-lay-cybersnares-for-us-uk-firm/
Black Hat 2015: Vulnerabilities in the first half of 2015
http://www.scmagazine.com/black-hat-2015-vulnerabilities-in-the-first-half-of-2015/article/431320/
Black Hat 2015: Onapsis CTO JP Perez demonstrates Oracle, SAP attack vectors
http://www.scmagazine.com/black-hat-2015-onapsis-cto-jp-perez-demonstrates-oracle-sap-attack-vectors/article/431311/
Ransacked US OPM wins Pwnie Award for 'Most EPIC Fail'
http://www.theregister.co.uk/2015/08/06/opm_pwnie_award_most_epic_fail/
White hat finds vulnerability in white box switches
http://www.theregister.co.uk/2015/08/06/white_hat_finds_vulnerability_in_white_box_switches/
Hacking Team Flash exploit leak revealed lightning reflexes of malware toolkit crafters
http://www.theregister.co.uk/2015/08/05/hacking_team_zero_day_speedy_exploit_kit_authors/
How the Arab Spring blew the lid off the commercial spyware
http://www.theregister.co.uk/2015/08/06/arab_spring_commercial_spyware_industry/
Terracotta: The Chinese VPN that hides Beijing's hackers with pwned biz
http://www.theregister.co.uk/2015/08/05/terracotta_vpn_rsa_research/


Social Engineering CTF(SECTF) - DEFCON 23 -

DEFCON CTF SocialEngineering

Social Engineering CTF(SE CTF)について紹介します。
2015年のDEFCON23の内容をもとに解説しています。

---------------------------------
【注意事項】
本記事にある内容は、CTF競技内でのみ行われています。
ここに記載されていることを実際の企業に試みることは、その国の法律によって罪に問われる可能性があるため、十分注意してください。
---------------------------------

1. Social Engineering CTFとは?

http://www.social-engineer.org/about/

ソーシャルエンジニアリングとは?
 - Influence (影響を与える)
 - Manipulation (巧みに操作する)
 - Elicitation (情報を引き出す)
 - Info Gathering (情報を収集する)
 - Psychology (心理を操る)
 - Science (自然科学)
 - Profiling (特徴を推論する)
 - Communication Modeling (人とのコミュニケーションを作る)
 - Facial Expressions (表情)
 - Body Language (身振り)
 - Art (策謀)
 - Misdirection (誤った指示)
 - Pretexting (身分のなりすまし)
 - Emotional Hijacking (感情の乗っ取り)
 - Rapport (感情の親密さ)

How is it used? (それをどのように使用していますか?)
Communication with your... (あなたと会話する...)
 - Family (家族)
 - Boss (上司)
 - Spouse (配偶者)
 - Friends (友達)
Othe uses include (その他の用途としては、)
 - Breaching Companies (違反する企業)
 - Stealing Data (データの窃盗)
 - Cyber Crime (サイバー犯罪)
 - Cyber Warfare (サイバー戦争)

こういったことから自分の身を守るためには、
ソーシャルエンジニアリングの勉強しないといけません。

という内容が書かれていました(動画参照)。


2. Social Engineering CTFの競技について

http://www.social-engineer.org/ctf/def-con-23-sectf-rules-registration/

「2016年には、また少し変わるよ」といったことも呟かれていますが、
現状は下記のようなルールになっていました。

2.1 Social Engineering CTFの概要

このイベントでは、疑うことの知らない企業から電話でいくつかの情報を収集するため、ソーシャルエンジニアリングの能力を使用してテストします。
各競技者は、対象の企業が割り当てられ、フラグ、サンプルレポート、通話時間が提供されます。
情報収集や報告をするために、3週間の猶予が与えられます。
DEFCONにおいて、30分という時間の中から、出来るだけ多くのフラグを手に入れてください。

以下に該当する人は、ぜひ挑戦してみてください。

  • 男性か女性にあたる人
  • このコンテストに時間を費やすことを厭わない人
  • 独自なSocial Engineering ToolKitを獲得したい人
  • DEFCON 23 Social Engineering 優勝者になりたい人

 

CTFのルール

  • 登録する前にルールを読んでください
  • 対象企業の名前、URLがEメールで関係者に送付されます
  • 競技者には、すべてのフラグと対応する値が含まれています
  • DEFCON競技の前に、競技者は公開されている情報を使用して、出来るだけ多くの情報を収集することが許されています。GoogleやLinkdIn、FacebookTwitterに限らないが、メールや直接連絡を取って対象企業の関係者を呼び出し、任意の方法で接触することは禁止されています。これは不正行為とみなされ、ポイントが差し引かれます。
  • 収集フェーズで得た情報に基づいて、プロ並みの報告書を作成する必要があります。競技者には従うべきガイドラインが送信されます。スコアの大部分は、報告書の内容と質によって決定されます。ただし、数十ページの文書を記すだけでは報告書として受け入れられません。情報を発見したら、その重要性を記す必要があります。これらの報告書は、得点を記す目的であり、公開されることはありません。
  • 報告書で挙げられたフラグは、ハーフポイントが与えられます。それは試してみて呼び出し中に再度このフラグを得ることが出来た場合、フルポイントが与えられます。組み合わせることで、1.5倍のポイントを得ることが可能です。
  • 競技者は、上述の情報を収集し報告書を作成する期間として3週間が与えられます。
  • 競技者は、事前に審査をするため、指定された日に報告書を提出する必要があります。提出が遅れると、審査員は競技から失格にすることが出来ます。酷い場合は、暗いクローゼットの中に押し込められるかもしれません。
  • DEFCON競技中、防音ブースに入れられ、ターゲットを電話で呼び出して電話(複数可)するために30分が与えられます。電話(複数可)中に可能な限り多くのフラグを聞き出そうとします。このフェーズで獲得したフラグは、フルポイントとして加算されます。
  • 時間は競技者の数に応じて調整しますが、すべての競技者に同じ時間が提供されます。
  • 競技者は、電話番号と取得するフラグの番号を報告書の番号と紐づける必要があります。
  • すべての電話番号は、米国ベース(カナダ、南アメリカ、大西洋・太平洋全体であってはいけない)である必要があります。
  • 得点は、報告書とハーフポイントのフラグ、電話中のフルポイントのフラグ、そして審査員に与えられる客観的な点数で構成されます。

 フラグとは

 フラグとは、情報のあらかじめ定義された一覧です。
これを使用して、情報収集や電話中の間に発見する必要があります。
審査員は、この一覧から見つけられた(及び報告に記された)アイテムにポイントを与えます。
この一覧は、競争のために公開されます。

賞品とは

 1位には他にないツールキット(詳細は後日公開)、限定版のチャレンジコイン、いくつかのSocial Engineering会社のロゴ入りグッズが贈られます。
 2位には他にないツールキット(詳細は後日公開)、限定版のチャレンジコインが贈られます。

2.2 Social Engineering CTF競技の模様

一般的な競技の流れ

(1) 競技者の紹介
 簡単な紹介が行われる。

(2) 電話によるソーシャルエンジニアリング
 1. Phone Number(対象企業番号)とSpoofing Number(フラグ)を審査員に伝える
 2. 電話が繋がるまで審査員がSkypeで掛けまくる(繋がらない場合、1からループ)
 3. 相手が出たら、競技者が電話先の担当者にソーシャルエンジニアリングを行う
   (この間、どんなにすごい情報が聞けても、静かにしていないと怒られる)
 4. 電話が終了した際に、情報が聞き出せていれば拍手で迎える(1からループ)
 5. 終了時間が来るか、競技ギブアップされればその時点で終了し、拍手で迎える

(3) ディスカッション
 1. 電話の内容をもとに、下記のような点を審査員と視聴者で議論する
 ・得た情報の内容を整理
 ・得た情報の重要さを整理
 ・得た際のテクニックを評価
 2. 議論した内容をもとに審査員が得点を提示する


3. まとめ(感想)

DEFCON23の競技内では、主にブラウザ等のインターネット利用環境や、社員IDを聞き出すという事例が見られました。
この競技内で禁止されている事項として、 クレジットカード等の機微な情報は聞き出してはならないというルールがあります。限られたルールの中で、サイバー攻撃に繋がりかねない情報を聞き出すことが目的とされていることが良く分かります。

思った返答ではなく、つい笑ってしまうような情報が聞けたり、怪しいと思わればれたりと、このCTFらしい醍醐味があるなと感じました。

また同時に、このようなソーシャルエンジニアリングから様々な情報が漏えいしてしまったことを想定した取り組みはなかなか行われていないことに注意をすべきだと考えます。
「社内のインターネット利用環境」や「社員の情報」も、絶対に漏れるべきではないという姿勢ではなく、漏れてしまっても多重に防御できている環境を準備することが重要だと改めて感じました。