他分野の本とセキュリティをかけあわせていくシリーズ。

何気なく「銃、病原菌、鉄」を読んでいて、面白いなと思ったところがあったので、そこだけピックアップして記事を書くことにした。

結論

「最初は模倣から始まる」というが、それは信じて良い。

しかしそこから結果につなげるには、必死で頑張りまくるだけではなく、なにかに気づく「ゆとり」と、現実にアクセスし続ける「継続的な実践」が必要。

発明は突発的なものではない

面白いところは「発明は必要の母である」という章だ。

基本的にこの本は難しくて「へ～」ぐらいの感覚にしかならなかったし、全部読みきれなかったが、ここは結構参考になるなと思った。

内容としては、進化の途中で作られたいくつもの発明は、実は少しずつ発明されていったというものだ。

ライト兄弟が作ったとされる飛行機も、ロジック自体は前からあったらしい。

それが実現されていなかったけれど、そういうのを組み合わせて、結果ライト兄弟が形にできたとのこと。

様々なものがベースとなる発明があってこそだという内容だった。

誰か一人の天才が「急に車ができたぞ！！すげー便利！！」みたいになったわけではないとのことだ。

車自体も、車輪ができたときはいろんな地域に広まっていったが、使われなかった地域もあったとのこと。

全体として「便利だなー！」とはなかなかスムーズにいかないようで、このへんが面白いなと思った。

セキュリティに何が関連するか？

ここまでだったら、別に記事にしなくても個人の感想として持っておけばよかった。

しかしあるときにブルーピリオドを読んでいて、「最初は模倣から始まる」というセリフを見かけて、「これはつながるんじゃないか・・・！？」と思って記事にしたくなった。

ブルーピリオドは美術だが、セキュリティ分野でも「最初は模倣から始まる」は当てはまると思う。

用意された脆弱な環境を使い、脆弱性を再現する。

ブルーチームだったら、ベストプラクティスに従ってログやエンドポイントを整備したり、資料を整えたり、既知の攻撃を調べてそれに備えたりするだろう。

この「最初は模倣から始まる」は、人類自体が進歩していくにあたって使ってきた、根本的なフローだったのだ。

つまり、「学び方」というのはかなり限られてくるのがわかる。

「前例をベースとし、それは現状だとどう展開できるか？」くらいしかないと思う。

対策のバイパスを見つけるのだって、基本形を知っていなければできない。

新しいタイプの脆弱性を見つけるのだって、言語の仕様や言語がどう作られてどう動いているかの理解が必要だ。

「銃、病原菌、鉄」とセキュリティを組み合わせることで、新しい発見があるわけではないが、既存の勉強ロジックがより強固になったことがわかった。

安心して過去ベースの勉強を進めて良い

とりあえず「最初は模倣から始まる」は信頼していいことがわかった。

だが、ここから「発明」といえるレベルにするには、現実と照らし合わせていく必要があると読めた。

本の中では、「ガソリンができたときは、ガソリンは他のものの副産物で出来、使用用途はなかった。その後車の燃料に適していることがわかり、使われるようになった。」とあった。

いろいろと過去ベースで学び試していくうちに、過去ベースにそう形で良いものが出来た。

しかし、その試しが「発明」となるには、運とタイミング、それと現実と照らし合わせてのひらめきが必要だと読めた。

私が思ったこととしては、「自分なりの発明にしていくには、過去ベースで勉強しながらもゆとりは保ち、現実のいろんなものに興味を持ち試す必要がある。」だ。

「なにかいいもの作りたい！すごい脆弱性見つけたい！」と思った際に、過去のすごい成果物や脆弱性から学ぶのは正しいフローだ。

しかしそこから結果につなげるには、必死で頑張りまくるだけではなく、なにかに気づく「ゆとり」と、現実にアクセスし続ける「継続的な実践」が必要なのだ。

終わりに

「銃、病原菌、鉄」の盛大な感想記事になった。

この本は結構根本的なことが多く書かれていて、結構楽しめた。

全然染み付く気配なかったけど・・・。

また落ち着いたとき、なんか気になったときに読み直そうと思う。

現段階でも結構なことを得られた。

著者、結構本出してるから読んでみるのもありかもなー。

※脆弱性診断を行う上でのスキルアップとして検証を行っております。この記事で知り得たことを悪用することは禁止とします。

概要

アドバイザリから引用した。

https://github.com/advisories/GHSA-6g8q-qfpv-57wp

サニタイズされていないユーザー要求データが渡された場合、メソッドCake\Database\Query::limit()とメソッドは SQL インジェクションに対して脆弱です。Cake\Database\Query::offset()

Impact https://github.com/advisories/GHSA-6g8q-qfpv-57wp

この問題は、4.2.12、4.3.11、4.4.10 で修正されています。

patch https://github.com/advisories/GHSA-6g8q-qfpv-57wp

環境作成メモ

ガンガンchatGPTに聞いた。

環境

• M1 Mac
• Docker

ミス1 platform: linux/arm64 が入ってなくて動かないコンテナがあった。

⇨M1 Macの場合はarm指定を入れる。

ミス2 volumesを仮想？にしていて、検証するうちにゴミが溜まってエラーになった。

⇨dockerマスターになるまではローカルのディレクトリを指定する。

出てきた課題1 古いバージョンのCakePHPはどうやってインストールする？

⇨composer.jsonでバージョンいじってcomposer updateする。

動作確認

4.4.9

脆弱性が存在する4.4.9であることを確認した。

chatGPTに頼んでデータやら容易してもらった。

INSERT INTO posts (title, body, created, modified) VALUES
('First Post', 'This is the first post.', NOW(), NOW()),
('Second Post', 'This is the second post.', NOW(), NOW()),
('Third Post', 'This is the third post.', NOW(), NOW());

public function limited()
{
    if ($this->request->is('post')) {
        $limit = $this->request->getData('limit');
        $posts = $this->Posts->find()
            ->limit($limit)
            ->order(['created' => 'DESC']);
    } else {
        $posts = [];
    }

    $this->set(compact('posts'));
}

修正時のテストとして使われている「--」（コメント）で試してみる。

https://github.com/cakephp/cakephp/commit/3f463e7084b5a15e67205ced3a622577cca7a239#diff-000573bb2b704f30344f3f525c5360bcbe979ca256c513f453458010e55da897

正常系

コメントあり(エラー起こらない想定)

コメント構文エラー

SQLインジェクションが成立していることが確認できた。

4.4.10(修正後)

修正後のコード。文字列チェックが入っている。

https://github.com/cakephp/cakephp/commit/3f463e7084b5a15e67205ced3a622577cca7a239#diff-000573bb2b704f30344f3f525c5360bcbe979ca256c513f453458010e55da897

4.4.10に上げた。

先ほどと同じコメントを投げてみた。

修正コード通りのメッセージが表示されていた。

まとめ

仕様上では文字列以外を想定している関数もあるので、「'"」をエスケープするというだけではSQLインジェクションは防げない。

このCVEが2023というのが、これが浸透していない証拠だと感じる。

(djangoでも似たようなのあったよね)

色々あって記事にできてなかった・・・

NIST Retires SHA-1 Cryptographic Algorithm

https://www.nist.gov/news-events/news/2022/12/nist-retires-sha-1-cryptographic-algorithm

SHA-1も終わった・・・！！！

政府機関と警察庁が年末年始のセキュリティに関する注意喚起、要点をポスター化 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1465305.html

https://www.npa.go.jp/cybersecurity/pdf/20221220press_2.pdf

大事なやつやなー。

耐性とか、「誰にも連絡つかん！！！」とかになるもんな・・・

Safeurl HTTP library brings SSRF protection to Go applications | The Daily Swig

https://portswigger.net/daily-swig/safeurl-http-library-brings-ssrf-protection-to-go-applications

なんか便利なのできてるなーって思った。

結局、こういうのを使うの忘れたってなりがちなんだろうけども。

組み込み RE の概要: UBoot を介した UART の検出とファームウェアの抽出

https://voidstarsec.com/blog/uart-uboot-and-usb

細かいハードウェア解析記事やなーおもろい

本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び

https://yamagata-u.ac.jp/jp/information/info/202212161/…

当該サーバ内の他のサイトの保存領域にもアクセス可能であり

ペンテストしててこういう環境だったら「あっ」ってなるやつ

Release Radar · November 2022 Edition

https://github.blog/2022-12-16-release-radar-nov-2022/

これいろんなライブラリの存在知るのにいいな！！

Webアプリケーションフレームワーク「SvelteKit 1.0」正式リリース。SSR/SSG/SPAなど対応 － Publickey

https://www.publickey1.jp/blog/22/websveltekit_10ssrssgspa.html

JavaScriptのサーバサイドかー 脆弱性あるかな？

Tauri+Next.jsでモバイルアプリ開発｜laiso

https://zenn.dev/laiso/articles/825ee7e652ad1b…

セキュリティ関係ないけど、初めて知った技術的なやつ。

クロスプラットフォームのモバイルアプリは結構あるから、知っとくと便利だな〜って感じだった。

デコンパイルの時の出方とか知らんとビビってしまうからね・・・

私のキャリアとかインタビューでまぁまぁ聞かれるのでメモした。

一応結論としては、何か技術力が大切なわけではないと思ったというところ。

小学生時代

天才ハッカーのエピソードであるような「父親のパソコンをつかってプログラムをしていたんだ！」ってなはない。

普通に漫画を読んだりゲームをしたりそとでどろけーしたりしていた。

このころにポケモンやロックマンエグゼを履修した。面白かったなぁ…

中学生時代

剣道部に入ったため、部活に悩殺された。

ブラック部活だったので、ガンガンに練習を詰め込まれて将来とか勉強とかじゃなかった。

みんなお利口さんで偏差値を高めるのに勤しんでいた学校だった。

だから、規則を破ったり勉強に慣れなかったり集団で行動するのが苦手な人に対してかなりバッシングする文化があった…

日本の極みみたいな中学校だった。

私も例外なく勉強して偏差値を高めていた。

でも60くらいになれば満足してそれ以上は興味出なかった。

歴史や国語はまったく興味が出ず、感覚に任せていた。

趣味はもっぱらモンハンをしていた。

普通に2ndGにハマりまくっていた。

将来の夢としてゲームプログラマーを目指していたので、情報系の高校に行くことになった。

このころはそれほどゲームが好きだったのだ。

プログラマーにしたのは、周りがゲームクリエイターを目指す人が多く、同じの目指すのつまらんと思ったと言うだけだった。

高校生時代

情報系の学科に入った。

基盤に抵抗とかトランジスタとかハンダ付けしたり、C言語やったりした。

情報のベースとして二進数計算とかめちゃやった。

この時は意識が高かったので、在学中にITパスポートと基本情報技術者をとった。

ゲーム作成を仕事にしたかったのだが、授業で作りたいゲームを作って満足してしまったのでやめた。

特にこれといってやりたい感じのことがあるわけではなかった。

家の事情的に進学は難しいし、奨学金もらってまで何か知りたいことはないので就職することにした。

プログラミングは面白かったので、プログラミングできる会社に就職することにした。

新卒〜4年くらい(1社目)

プログラミングする会社に入社したけど、あまり関係ない仕事についた。

最初は技術なんて言ってられなく、ビジネスメールや上司との話し方、電話対応など基本的な対応習得に迫られた。

1年くらいでビジネス周りは落ち着いた。

その感、なんだかんだプログラムは好きだったのでJavaの資格は取った。

というか、仕事がプログラミングじゃなかったので流石にプログラミングしたかった。

資格を取ったり、現場で成果を出した(つもりでいた)が、プログラミングは出来なかったので転職した。

プログラミングはできなかったが、Windowsの細かい設定や情報セキュリティ周りには触れていた。

当時はそんな興味なかった。

一般企業のパッチ管理、社員教育、監視、インシデント一次対応は大変だった。

この辺の経験があってか、こういう防御面はあまりやりたくないと今は思っている。

やりたいとしたら、もう少し歳を取ってからかな。

社員とか経営層に舐められるんだよね、若いと。

とまぁ、結構普通に新卒を過ごしてきたのだが、あえて役に立ったことをあげるとすれば「適応力」か。

とにもかくにも新しいことをやったり、現場特有のルールがあったりしたので、馴染むことが何より大事だった。

脆弱性診断をやっている今でも、「適応力」は便利に使えている。

ただ、自分に芯がないと周りに合わせて残業したしまったり、まわりのネガティヴな空気に巻き込まれたりする。

私は絶賛芯が無かったので、良くも悪くも適応していろいろ酷い目にあったりした…

社会人4年目〜6年目(2社目)

プログラミングを仕事にした。

しかし、上司が厳しくてプログラミングを断念した。

変数名とか無駄なロジックとかで、お客さんの前で数時間単位の説教してくるのよね、、、

辛すぎて顔が歪むので、後半はマスクが手放せなかった。

「これで根を上げてたら上達できないよ？」と言われていた。

当時はそれが嫌だったのでなんとしてでもやっていたが、今思えばそんな辛い思いしてまで習得したくはない。

後、一般的な開発フローが意外とつまらなかった。

自分の作りたいものを作りたいだけで、誰かが作りたいものを作ってあげたいわけじゃないんだなぁと思った。

キャリアが途切れたので、必死にやりたいことを考えた。

この時の気持ちは揺れに揺れていた。

マルウェア解析に興味を持っていたりもしたので、プログラミング経験を積むのもアリだと思っていた。

しかし、プログラミングをするにはあまりにもつまらない…

学生時代を参考にしてゲームを作ろうともした。

面接を2社受けたけど、どっちにも「向いてなさそうだからやめときな！まだまだチャンスはあるって！落ち着いて！」と丁寧なアドバイスをもらった。

専門学校にいっめ学び直そうかと思ったけどそこまでの熱意は出なかったので諦めた。

だいぶ悩んだ末に「マルウェア解析」が残り、こっちの業界に行こうとした。

ただ、「マルウェア解析」は必要なキャリアが足りなかった。

なんかマルウェアとか攻撃分析ならそれもいいなぁと思って求人漁ったり情報を調べたりする日々が続いた。

有志の勉強会に参加したり、SECCONのカンファレンスに行ったりといった感じだ。

なんだかんだといろいろご縁があって、脆弱性診断の仕事につけるようになった。

ここでの学びといえば、挫折したことととりあえず行動したことだろうか？

今を見直すのは大切だったし、わからないことだらけでもとりあえず動き回るのも大切だった。

社会人6年目〜(いま)

いま！粛々と脆弱性診断やらペネトレーションテストやらをやっている。

1年ごとに新たな分野にチャレンジさせてもらっていて、2022年はペネトレーションテストをやっていた。

来年は何をしようかな。

終わりに

これまでのキャリアまとめだった。

誰かに向いて書いたと言うよりかは、また誰かに聞かれた時ように話す私用のメモ。