Qiitaの初心者なんですが、インターンの会社から「とりあえずここでなにか書いてみよう」と要求されたが、一体最初は何を書くべきがわからなくて、一応中途半端な日本語を使いながらサイバーセキュリティ、KALILINUXに関する話を進めたいと考えております。もちろんインターンで学習したプログラミングに関する知識も最優先で記録したいと思います。どうぞよろしくお願いいたします。
サイバーセキュリティーサイバーセキュリティ(無限)...こういう単語はニュース、新聞、インターネットでよく聞いていますが、正直、他の人に聞いてみたら、サイバーセキュリティって何をやるべきかほとんど知らないです。わたくしの考え方は、守る側(ホワイトハッカー)に対し、サイバーセキュリティは「ペネトレーションテスト」と同じです。
簡単に言うと、「ペネトレーションテスト」は検証テストです。潜在的な病気、人間は検査を受け、早めに発見できます。パソコン、計算機、車、あらゆるのシステムも検証テストを受け、商品を販売する前に致命的な欠点を発見し、修復します。ペネトレーションテストも同じ、だが診断を受ける対象はWEBシステムのは多いです。
もちろん、ペネトレーションテストも標準、仕様などのルールを従わなければならないです。JISみたいな工業規格はペネトレーションテストの世界では「PTES」と呼びます。(Penetration Testing Execution Standard)7要素です。
1.Pre-engagement interactions
2.Intelligence Gathering
3.Threat Modeling
4.Vulnerability Analysis
5.Exploitation
6.Post Exploitation
7.Reporting
一番目の意味は、ペネトレーションテストを開始する前、検査対象(委託人)と意見を交換します。例えば、テストの目標(サーバ、社内WIFI環境、ページのコードのデバッグ)、テストの範囲(ipアドレスは192.168.1.xから192.168.2.xのみテストを行う)、制限条件(機密情報保持、カーネルサーバーアクセス禁止)、テスト時間帯(お昼サーバ使うから、夜中でテストをやってください)など、委託人の都合より、準備方法、仕事の全体像を大まかに把握します。
二番目は漸く今日のメインテーマ:情報収集です。サイバーセキュリティに少し関心を持つ方は、「ソーシャルエンジニアリング」という言葉を聞いたことがあるかもしれません。むしろブラックハッカー現在よく使われている情報収集の技術です。情報収集の段階は、マシン(システム)の運行状況及び情報(委託人提供されたドメイン名のIPアドレスはなに?サーバーは何のサービスを使っている?APPACHE?)、管理ルールのセキュリティホール(委託人の会社の正門は認証装置がある?社員さんのパソコンは会社からの貸し出し?それは簡単で手に入れる?)、人的な弱点(サーバ-保守の人はどのような人?生活習慣:登社退社時刻?性格タイプ:騙されやすい?お金欲しい?)など、想像力が豊富な人は様々な情報収集の方法を使っています。
(ソーシャルエンジニアリングを使って情報収集したい方はぜひこの本を読んでみてください)
https://www.amazon.co.jp/Art-Deception-Controlling-Element-Security/dp/076454280X
今日会社のインターン任務をやらないといけないからここまでです。次回は情報収集の「OSINT」方法及び関連ツールを紹介したいと思います。