Hatena::ブログ(Diary)

セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード Twitter

2008-10-31

10月の読書リスト

☆☆☆☆☆

できそこないの男たち (光文社新書)

できそこないの男たち (光文社新書)

☆☆☆☆

Slide:Ology: The Art and Science of Creating Great Presentations

Slide:Ology: The Art and Science of Creating Great Presentations

サラリーマン「再起動」マニュアル

サラリーマン「再起動」マニュアル

日本のブルー・オーシャン戦略 10年続く優位性を築く

日本のブルー・オーシャン戦略 10年続く優位性を築く

<勝負脳>の鍛え方 (講談社現代新書)

<勝負脳>の鍛え方 (講談社現代新書)

ダメな議論―論理思考で見抜く (ちくま新書)

ダメな議論―論理思考で見抜く (ちくま新書)

核兵器のしくみ (講談社現代新書)

核兵器のしくみ (講談社現代新書)

すべての経済はバブルに通じる (光文社新書 363)

すべての経済はバブルに通じる (光文社新書 363)

☆☆☆

竹中式マトリクス勉強法

竹中式マトリクス勉強法

ハイエク 知識社会の自由主義 (PHP新書)

ハイエク 知識社会の自由主義 (PHP新書)

2008-10-11

Sockstress

今月にはいって、ちょっとした騒ぎになっている Sockstress。ほとんど全てのサーバOSネットワーク機器のTCP/IPスタック脆弱性があるらしい、ということはどうやら確かなようだが、その詳細が明らかにされていないため、セキュリティ研究者のイライラが高まっているようだ。少し前の Dan Kaminskyの DNS Cache Poisoning問題の時と状況が少し似ている。


著名なセキュリティ研究者たちが、あちらこちらで今回の件について推測しているが、それらをまとめるとこういうことになるらしい。

  1. Client-side SYN Cookieを利用して、Client側のリソースを消費することなく、Server側に対して大量のコネクションをはる
  2. Windowサイズを 0にすることで、コネクションをオープンにしたまま、Server側からの Ack再送を継続的に行わせる
  3. Client側から送信するデータの途中で意図的にパケットをロストさせ、Server側からの Selective Ackに対して、ロストしたデータの再送を行わないまま、後続のデータ送信を続ける
  4. これらの攻撃手法を利用することで、Server側ではタイマーや受信バッファなどのリソースを大量に消費することになり、リソースが枯渇してサービス不能に陥いる

さてベンダーの対応がすんで詳細が公開されるのはいつになるのやら。


(参考情報)

TCP Vulnerability Found|Security News | Outpost24

発見者(Jack C. Louis)が所属する会社 Outost24のプレスリリース

Schedule for 2008

来週行われる T2カンファレンスで 発見者らによる講演が予定されている。

Sec-t | News and updates

先月の Sec-Tカンファレンスで発見者らによる講演があった。プレゼン資料が公開されている。

(ただしもちろん脆弱性の詳細については一切触れられていない。攻撃デモはやったらしい。)

Robert E. Lee

Outpost24の CSOを務める Robert E. Leeさんのブログ

Unicornscan

発見者らが開発している高速ポートスキャナー。今回の脆弱性発見の元になったらしい。

CERT-FI - CERT-FI Statement on the Outpost24 TCP Issues

CERT-FIのコンタクトページ。中身ほとんどなし。

Errata Security: TCP DoS (probably) real

Errata Security: TCP Selective ACK considered evil

Selective ACKについて述べている。

GRC | SockStress on Security Now! — Notes for Episode #164  

Steve Gibsonさんが、Podcast (Security Now!)でこの件についてとりあげている。

Outpost24’s TCP DOS Attack Explained

Nmapの作者である Fyodorさんによるまとめ。Robert E. Leeさんとのやりとりがちょっとおもしろい。

TaoSecurity: DoS Me Like It’s 1996

TaoSecurityの Richard Bejtlichさんによるブログ記事。


その他、ニュース記事など

DoS attack reveals (yet another) crack in net’s core • The Register

New attacks reveal fundamental problems with TCP

Slashdot | New Denial-of-Service Attack Is a Killer

belsec - always on alert - Major update 2 TCP/IP Attack flaw : the info ...

2008-10-02

Live Response vs. Memory Image Analysis

Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis

http://www.cert.org/archive/pdf/08tn017.pdf


単純だがなかなか興味深いレポート。ある一つのシナリオにおいて、ライブ・レスポンスとメモリイメージ解析の結果にどのような違いがでるかを調査している。結論としては、メモリイメージ解析の有効性を主張しつつ、状況に応じて使い分けることを奨めている。ちなみに利用しているツールは Sysinternals, Volatility, PTFinderの 3つ。

レポートの中では、ライブ・レスポンスと比較したメモリイメージ解析の利点として次の 4つを挙げている。

  • システムへの影響を最小限に抑えることができる
  • rootkitなどによる証拠隠蔽の影響を受けにくい
  • 同じ解析を繰り返し実行することができる
  • あとから別の解析手法を追加することができる

逆に大きな欠点としては、メモリの構造が OSの種類やバージョンによって異なるため、解析ツールの対応が現状では不十分であるという点を指摘している。

このネタ、今度のセミナーでも使えそう。

2008-10-01

slide:ology

Presentation Zenの Garrさんオススメの本。細かく読まなくても、見るだけでも楽しい。ブログもある。

プレゼン本は、この 2冊 + BBPがあれば言うことなし!

Slide:Ology: The Art and Science of Creating Great Presentations

Slide:Ology: The Art and Science of Creating Great Presentations

Presentation Zen: Simple Ideas on Presentation Design and Delivery (Voices That Matter)

Presentation Zen: Simple Ideas on Presentation Design and Delivery (Voices That Matter)

SANS Top 7 New IR/Forensic Trends In 2008

Digital Forensics Training | Incident Response Training | SANS

Forensicsのプロがまとめた最新のトレンド。なかなか興味深い。

項目のみを抜粋するとこんな感じ。

  1. Data Breach Investigations Escalating
  2. IR/Forensic Preparedness Low
  3. Clear Need for Forensic Qualifications
  4. eDiscovery Rising
  5. Too Much Data to Forensicate
  6. Mobile Device Forensics
  7. Volatile Data Collection and Analysis Being Critical to Cases

Forensics Summit行きたかったなー。日本から誰か参加する人いるのかな?