2021/11/30

オープンソース研究を始めるためのファーストステップ / First Steps to Getting Started in Open Source Research

 First Steps to Getting Started in Open Source Research

オープンソース・リサーチは、ジャーナリストや特定の機関の研究者だけでなく、誰もが不正行為を明らかにし、犯罪や残虐行為の加害者に責任を取らせるための調査に貢献できることを約束するものです。

インターネットに接続できる環境があり、自由な時間があり、事実を正しく伝えようとする頑固な姿勢があれば、あなたもオープンソース・リサーチの研究者になれるのです。

オープンソース・リサーチを始めることは、特にこの分野がまったくの初心者であれば、困難なことです。しかし、恐れる必要はありません。このガイドでは、スキルを身につけ、自分の興味に合ったコミュニティを見つけ、最終的に重要な研究に手を貸すための具体的なステップを説明します。

これらのステップを踏むことで、どこでオープンソースの研究者を見つけるか、彼らの仕事を観察して学ぶ方法、そして身につけた新しいスキルを実践する方法を学ぶことができます。

1. 自分のスキルや興味を把握する

あなたは特定の紛争に興味がありますか?あるいは、パズルを解くのが好きで、それが画像の地理的な位置を特定することにつながるのでしょうか?プログラミングの経験があったり、複数の言語の知識があったりしますか?あるいは、軍事的な機械や設備に興味がありますか?

自分がどのようなテーマに興味があり、何が得意なのかを把握しておけば、ソーシャルメディアでフォローしたい研究者を見つけることができ、最終的には自分の研究に役立てることができるでしょう。

自分のスキルや興味がこの分野にどのように反映されるかわからない場合でも、心配する必要はありません。それは、あなたがもっと多くのことを発見できるということです。

2. Twitterでの情報発信

このステップの重要性は、いくら強調してもし過ぎることはありません。

Twitterは、オープンソースの研究を特定し、議論し、普及させるための主要なメディアです。Twitterには、最良の方法や実践について他の人と議論したり、自分や他の人の研究を共有したりすることに熱心な実践者がたくさんいます。Twitterのアカウントを持っていれば、研究者をフォローして、彼らの研究から学ぶことができるだけでなく、同じ考えを持つ研究者に質問したり、議論に参加したりすることができます。

セキュリティを重視する方や、匿名にしたい理由がある方は、本名やその他の個人情報を含まないTwitterアカウントを簡単に作成することができます。オープンソースの研究コミュニティでは、匿名のアカウントを歓迎していますし、匿名で活動することにネガティブな意味合いはありません(ただし、出版物のオファーや仕事の機会があれば、最終的には自分の身元を明かさなければならないかもしれません)。

それでもツイッターに抵抗がある人は、何も投稿しなくてもいいことを覚えておいてください。ツイッターの主な目的は、他の研究者が何を言っているか、何を発表しているかを紹介することですから、希望しない限り誰とも交流する必要はありません。

3. 人を探す(リストに入れる)

Twitterを始めたら、多くのオープンソース研究者をフォローしてみましょう。そうすることで、この分野がどのようなトピックに興味を持っているのか、どの組織がどのような問題に焦点を当てているのか、どのような手法で研究を行っているのかを知ることができます。さらに重要なのは、手法やツール、ベストプラクティスについて、専門家から直接学ぶことができるということです。

オープンソース研究の世界を知ったばかりの方は、New York Times Visual InvestigationsBellingcat、Washington Post Visual Forensicsチームなどの確立された機関の研究者を広くフォローするのが良いかもしれません。

オープンソースの研究者を見つける簡単な方法の1つは、Twitterのリストをフォローすることです。ユーザーは誰でもアカウントのリストを作ることができ、ニューヨーク・タイムズのVisual InvestigationsチームのMalachy Browneのように、そのリストを公開している人もいます。彼の「OOSIリスト」には200人以上のオープンソース研究者が含まれており、リストをフォローすることでその研究内容を知ることができます。

OOSI、OSINT、OSI - 名前に込められた意味とは?

「オンラインオープンソース調査」(OOSI)という言葉を使う人もいれば、「オープンソース調査」(OSI)という言葉を使う人もいますが、最も長く使われていて、ソーシャルメディアで最もよく使われているのは「オープンソースインテリジェンス」(OSINT)という言葉です。これらの用語は通常、同じ意味で使われていますが、これらの用語にはいくつかの違いがあるので、検討してみてください。

OOSIとOSIの違いは名前にあります。OOSIはオンラインソースのみを使用した調査を意味しますが、OSIはオフラインのオープンソースも使用した調査を意味します。

OSINTの代わりにOOSIやOSIを使う人がいるのは、「OSINT」という名称が諜報機関に直結していると感じるからである。これらの機関にとってOSINTは、HUMINT(ヒューマン・インテリジェンス)、SOCMINT(ソーシャル・メディア・インテリジェンス)、IMINT(イメージ・インテリジェンス)などを含む情報源のエコシステムの一部である。独立系の研究者の中には、そのような意味合いに違和感を覚える人もいるかもしれませんが、この言葉は今でも広く使われており、おそらく最も認知されていると思います。

いずれにしても、これらの検索用語をすべて使用して、利用できるリソースを広げることをお勧めします。

Malachy BrowneのOOSI Twitter Listには、200人以上の研究者や組織が登録されており、彼らの活動を知ることができます。

研究者のTwitterリストは他にもあります。

時間が経ち、この分野に慣れてくると、その幅の広さと多様性に気づくでしょう。あるコーナーでは、紛争地域のビデオに映っている武器を特定することに専念している研究者がいたり、航空機船舶の追跡に時間を費やしている人がいたり、ジオロケーターの専門家がいたりします。ニッチな研究者のリストを自分で作りたいと思うかもしれませんが、それはこのガイドの手順に従えば可能です。

4. 地域のコミュニティを探す

オープンソースの研究者や愛好家は、オンラインで過ごす時間が長いため、Twitter以外のデジタルスペースにも顔を出している可能性があります。

Discordは人気のあるメッセージングアプリで、いくつかのオープンソースコミュニティが拠点を設けています。これらのコミュニティは、インターネット初期のチャットルームのようなもので、Discordの用語では「サーバー」と呼ばれています。

BellingcatのDiscordサーバーはここにあります。誰でも参加でき、ツールを共有したり、質問をしたり、研究プロジェクトを共同で進めたりすることができます。サーバーはトピックに分かれており、ユーザーは関連する内容を投稿して議論することができます。

Discordサーバーを持つ他のオープンソースコミュニティをチェックしてみましょう。

  • The OSINT Curious ProjectOSINT Curiousプロジェクト:オープンソース研究に関するニュースや教育情報を共有するためのウェブサイト、OSINT Curiousのコミュニティハブ。

  • Project OWL:オープンソース研究のあらゆる側面に特化したこの広大なサーバーでは、常に数千人のメンバーがオンラインで活動しています。

  • Bridaga Osint:スペイン語圏のコミュニティのための情報やリソースを共有するためのサーバーです。
オープンソースに特化したDiscordサーバーは他にもたくさんありますので、探すのをやめないでください。オープンソースの研究は共同作業であることを忘れずに、外に出てネットワークを作ることを恐れないでください。

Discordチャンネルは、研究に興味のある他の人と会って話をするのに最適な場所です。BellingcatのDiscordサーバーには、リサーチツールやリソースを共有するためのチャンネルがあります。

r/OSINTは26,000人以上のメンバーがおり、この分野に関するあらゆる質問や回答が集まる活発なハブとなっています。

r/TraceAnObjectサブレディットは、EUROPOLの#TraceAnObjectキャンペーンやFBIのEndangered Child Alert Programに協力したい人たちを集めるための専用サブレディットです。このキャンペーンでは、法執行機関が、児童の性的虐待画像に写っている個人や物、場所を特定するために、一般の人々に支援を要請することができます。これらのサブレディットに時間を費やすことで、子供の救出に協力できる可能性があるだけでなく、その過程でオープンソースリサーチのスキルを身につけることができます。Bellingcatのカルロス・ゴンザレスは、この2つのキャンペーンをパートタイムで手伝ったことで、オープンソース・リサーチを始めました。

このような場に参加し、仲間や研究者と交流することで、重要なプロジェクトに貢献する機会が得られるかもしれませんし、自分でプロジェクトを立ち上げるきっかけになるかもしれません。

5. 観察、学習、そして実践

コミュニティの様子や、研究者が集まる場所、誰が何を研究しているのかを把握した後は、身につけた新しいスキルの開発と実践に時間を割くことができます。

研究スキルを磨くための優れた方法のひとつに、Twitterの@Quiztimeチャレンジがあります。このアカウントは、毎日画像を投稿し、その画像がどこで撮影されたかを正確に調べることに挑戦しています。

クイズは、画像に写っているものが何であるか、いつ撮影されたものであるか、というように、画像の地理的な位置関係をもとにして行われることもあります。

今回のクイズタイムでは、この橋がどこにあって、いつ建設されたかを調べてください。あなたならどうしますか?

クイズタイムのチャレンジで身につけられるスキルは、地理的なものだけではありません。

先ほどの例で言えば、「地球上のどこか」から「特定の国や地域」に絞り込むにはどうすればいいでしょうか?それがどんな橋なのか、どうやって判断するのか。逆画像検索でいいのか、それとももっと橋のデザインを掘り下げないといけないのか。橋梁建築のデータベースなどがあれば、それを利用することもできます。地理的な位置を特定するためにはGoogleマップが必要ですが、世界の多くの場所にはGoogleストリートビューがありません。もし、この橋がある場所がそうだとしたら、他にどのようにしてその場所のストリートレベルの画像を見つけることができるでしょうか?

これらは、この課題を解決するために自分自身に問いかける質問のほんの一部であり、紛争地域での残虐行為の画像を検証するオープンソースプロジェクトに取り組む際にも同じような質問が投げかけられることでしょう。

同様に、Geoguessrは、オープンソースコミュニティで人気の高い位置情報ゲームです(BellingcatOSINT Curiousは、TwitchでGeoguessrゲームを配信しています)。このゲームでは、Googleストリートビューの画像の中に入り、その写真がどこで撮影されたかを正確に当てるのが仕事です。推測するたびに、ポイントが与えられます。あなたの推測が実際の場所に近ければ近いほど、より多くのポイントを得ることができます。

情報をググってはいけない」「着地した場所から動いてはいけない」など、さまざまなルールでプレイすることができます。これにより、ゲームの難易度を自分の好みに合わせて調整することができ、何度もプレイすることができます。

「Geoguessr」では、何時間もかけてジオロケーションのスキルを磨くことができます。

この時点で、いくつかのステップを組み立てることができます。例えば、他のTwitterユーザーと協力してクイズタイムに挑戦したり、BellingcatのDiscordサーバーで知り合った人たちとGeoguessr Game Nightを開催したりすることができます。

また、Trace LabのSearch Party CTFのように、4人のチームで行方不明者の情報を探して競うイベントに参加することも考えられます(Trace Labsが具体的に何をしているのか、なぜそうしているのかについては、彼らの「About」ページで詳しく説明されています)。これらのイベントに参加することで、行方不明者の発見に貢献できる可能性があるだけでなく、自分のスキルをチームで実践することで、他のOSI愛好家と仕事をする(そして学ぶ)機会を得ることができるのです。

さて、すべての準備が整ったところで、あなたの道を切り開くためのいくつかのアイデアをご紹介しましょう。

コミュニティ・リソースをブックマークする

オープンソース・リサーチ・コミュニティの大きな特徴の一つは、知識の共有を積極的に行っていることです。このような知識の共有は、ツールや研究プロジェクトを紹介するニュースレターやコミュニティリソースページの形で行われることもあります。

Sector035の「Week in OSINT」は、オープンソースリサーチの世界における過去7日間を振り返る週刊ニュースレターです。ニュースレターでは、コミュニティが発見・開発した新しいツールから、発表されたばかりの記事やその他のリソースまでをカバーしています。Week in OSINTは、オープンソース・リサーチの最良かつ最新の情報をあなたの受信箱にお届けし、この分野を学ぶための確実な方法となっています。

Bellingcatの「ガイドとリソース」セクションには、方法論に焦点を当てた記事が含まれています。このセクションの記事の目的は、読者に新しいツールやテクニックを紹介し、それを研究プロジェクトでどのように使用するかの例を提供することです。また、デジタル調査ツールキットも用意しており、定期的に新しいツールを更新しています。

先にDiscordチャンネルで紹介したOSINT Curiousは、オープンソース研究者のコミュニティで、ポッドキャストを制作したり、オープンソースに関するあらゆることをライブ配信しています。彼らは常に新しいコンテンツを発信しているので、学ぶべきことに事欠くことはありません。

また、 hatless1derのUltimate OSINT CollectionOSINT Hubのように、個々の研究者が率先してリソースを収集し、公開しています。ツイッターでの研究状況に慣れてくると、このような有用なリソースを自主的にコミュニティで共有している個人を見つけることができるでしょう。

オープンソースの研究プロジェクトの進め方を隅々まで知りたいという方は、Berkeley Protocol on Digital Open Source Investigationsをブックマークしてください。この文書は、研究の倫理的・法的考察から、セキュリティ意識、データの収集・分析まで、ワークフローに関するあらゆる疑問を解決するためのワンストップ・リソースです。このプロトコルは、カリフォルニア大学バークレー校の人権センターが中心となって、この分野で最も優秀な人材を集めた素晴らしいチームによって作成されました

辛抱強く、そして楽しく

おそらく、地理的位置、時間的位置、画像内のオブジェクトを判断するなど、あなたが開発しようとしているその他のスキルを習得するのは難しいとすぐに気づくことでしょう。また、@Quiztimeの課題を解くことができなかったり、Discordサーバーで人々が交わしている会話の中に、自分が聞いたこともないようなトピックやテクニックが含まれていたりするかもしれません。

落ち込んではいけません。辛抱してください。

この仕事を生業としている私たちの誰もが、最初の日、最初の週、あるいは最初の月に、これらのスキルのどれかを持っていたわけではありません(重要なことに、多くの、あるいはほとんどの熟練した研究者は、この仕事をまったく生業としていません)。実際、オープンソースの研究者に聞いてみると、毎日のように新しいことを学んでいるし、この分野では自分も初心者であるということを言うでしょう(例えば、私はPythonについてほとんど何も知りません)。

勉強のペースが遅いと感じても、落胆しないでください。楽しく学んでいるうちに、必ず上達していきます。頑張れば、1ヶ月後、1年後の初日を振り返ったときに、自分がどれだけ進歩したかを実感できるはずです。

心のケアを忘れずに。

オープンソースの研究者として旅に出る際には、調査するトピックや出来事によっては、トラウマになるような内容に触れる可能性があることを認識しておくことが重要です。紛争地域での映像、環境破壊、自然災害後の人間の悲劇などがそれにあたります。人はそれぞれ異なるので、トラウマになるような素材を扱う際のトリガーや閾値も異なります。

トラウマについて学び、回復力を高めるためのオンラインリソースがあることを知っておくことは重要です。Dart Centre for Journalism & Traumaは、ジャーナリストや研究者に、トラウマを扱うための実用的なガイドなど、トラウマを扱うためのリソースを提供しています。苦しくなってからではなく、これらのリソースをチェックしましょう。悩んでからではなく、これらのリソースに慣れ親しみ、その提案をワークフローに取り入れて、心の健康と幸福を確保してください。

2021/11/29

LockBit 2.0ランサムウエアギャングは、“hanshin-dp.co.jp”をハッキングしたと宣言 / LockBit 2.0 Ransomware Group just added a new Hack: “hanshin-dp.co.jp”(転載)


LockBit 2.0 Ransomware Group just added a new Hack: “hanshin-dp.co.jp” Twitter Telegram © ALL RIGHTS RESERVED TO DarkFeed 2020

The post LockBit 2.0 appeared first on DeepWeb intelligence Feed.



LockBit 2.0ランサムウェアギャングは“siix.co.jp”をハックしたと宣言 / LockBit 2.0 Ransomware Group just added a new Hack: “siix.co.jp”


LockBit 2.0 Ransomware Group just added a new Hack: “siix.co.jp” Twitter Telegram © ALL RIGHTS RESERVED TO DarkFeed 2020

The post LockBit 2.0 appeared first on DeepWeb intelligence Feed.


週刊OSINT 2021-41号 / WEEK IN OSINT #2021-41(転載)

Week in OSINT #2021-41

今号のトピック。

  • Mapping Tutorial
  • Does This Person Exist?
  • Social Media CSE
  • Another "Week in..."
  • Syrian Datasets
  • Layer 8 Videos
  • Be Careful What You Search With

メディア: Mapping Tutorial

ベンジャミン・ストリック氏による素晴らしいビデオが公開されました。私はこのビデオを見たのですが、単に時間がなくて最後のエピソードに入れることができませんでした。ベンは、基本的なOverPass Turboのクエリを実行する方法、Google Earth Proにインポートする方法、面白いものの地図を素早く描くための他の無料ツールを紹介しています。


記事: Does This Person Exist?

TwitterユーザーのOSINT Shinobiさんが先週、面白い話をしていました。フランスのカーン・ノルマンディー大学では、「この人は存在しません」で生成される画像を研究しています。いわゆる「メンバーシップ攻撃」を用いて、画像をトレーニングデータと比較することで、画像の出所を特定しようとしています。学習データの中から出所を見つけることで、誰かの画像が無断で学習用に使われていないかどうかを調べたり、著作権を侵害していないかどうかを証明したりすることができるのです。



検索: Social Media CSE

Brijesh Singhは、Googleのプログラマブル・サーチ・エンジン(CSE)を駆使しています。彼は、ソーシャルメディアのためのワンストップCSEを作りました。一度の検索で、Medium、Pinterest、Reddit、Twitter、LinkedInなどの結果を見ることができます。Pinterest、Reddit、Twitter、LinkedInなどなど。すでに多くのCSEが存在することは知っていますが、追加のオプションを共有することは常に良いことです。


記事: Another "Week in..."

Bleeping Computerは素晴らしいニュースプラットフォームですが、毎週概要を掲載しているようです。これは通常のOSINTではありませんが、ランサムウェアに関する週刊の概要を探しているのであれば、このサイトはフィードリーダーに追加すべき本当に素晴らしいサイトです。Lawrence Abramsのおかげで、ランサムウェアに関する最新のニュースや情報を入手することができます。


サイト: Syrian Datasets

OpenFactoはフランスの組織で、OSINTトレーニング、ファクトチェック、NGOや通信社などの支援を専門としています。彼らは、The Syria Reportが2つのデータベースを公開し、無料で提供していることを知らせてくれました。それは、シリア政府の官報と、住宅・土地・不動産のデータセットです。


メディア: Layer 8 Videos

今月初めに開催されたLayer 8のカンファレンスでは、最近YouTubeにいくつかのビデオがアップロードされました。ソーシャルエンジニアリングやメンタルヘルスなど、オープンソースの調査に関わるものなら何でもOKです。座って、これらの話を楽しんでください。TOCPの仲間であるChristina LekatiRae BakerInês Narcisoにも特別な拍手を送りたいと思います。


注意喚起: Be Careful What You Search With


TOCPのDiscord、Twitter、OSINTサブのRedditなどで、たくさんのリンクが共有されているのを目にします。しかし、時に物事は見かけによらないものです。例えば、Twitterユーザーのfe_tsocさんが先週シェアしたstreamingsearch[.]xyzというウェブサイト。このサイトは、動画などを検索するための複数の方法が用意されており、とても素晴らしいサイトのように見えます。しかし、EngimaSoftのこのページのように、複数のサイトによると、実際にはブラウザをハイジャックするマルウェアが隠されています。URLscan.ioでウェブサイトをチェックしたところ、cfgnt.jsonという特徴的なファイル名が使われていました。これにより、他にも回避すべきウェブサイトがいくつか見つかりました。


別々のスキャン結果を見てみると、URLscanで撮影したスクリーンショットには同じレイアウトとアイコンが表示されており、私の疑念を裏付ける結果となりました。だから覚えておいてください。斬新なウェブサイトを利用する際には、必ず事前に調べてから利用するようにしましょう。仮想マシンやクリーンな研究用ノートパソコンを使って、いろいろと試してみるといいでしょう。また、念のため、最新のウイルススキャナーを実行してください。物事は見かけによらないこともありますからね。

2021/11/28

特典航空券のシェアリングサービス「Conemile」(転載)


特典航空券のシェアリングサービス「Conemile」(コネマイル):

特典航空券の仲介サービス。

本土内は一律片道1.1万円・沖縄路線は1.65万円で、第三者のマイル/ポイントを使った形での特典航空券でフライトできるというもの。

Conemile(コネマイル)ー航空券申し込みサイトー

以下、サマリー。

予約をすると「一定のルールのもと第三者に航空券付与が可能な航空会社のマイルを保有するシェアリング可能な個人、または世界中のエアラインマイルと交換できる特定ポイントを保有している方」から同社がマイル/ポイントを取得した上で、同社側で予約希望者の名前・希望日時で発券する流れになっている模様。

同社のポジショニングとしては、シェアリングサービスのプラットフォーム業。

チケット販売しているのでなく、マイル提供者と予約者をマッチングするにあたっての手数料を取ってるという形。

こちらで予約した場合、ANAもしくはJALになる(選べない)。

LCCなどは含まれない。

予約のタネ銭が日系マイルか海外系マイルかは不明。

固定価格で受け付けている関係上、同社の価格より安い航空会社側の料金がでる可能性のある早期予約期間を避け、直前予約に特化した形で同サービスでの予約は「出発の21日前から」となっている。

なお、特典航空券で飛ぶ形となるので、フライトに際してのマイル付与やLTマイルはナシとなる。

2021/11/27

ハピタスからJALマイル20%レートアップ&最大10%ポイントバックキャンペーン(2021/11/1~2021/12/31)(転載)



ハピタスは、JALマイル20%レートアップキャンペーンを開催、さらに、最大10%ポイントバック!:

JAL公式ポイントサイト ハピタスは、JALマイル20%レートアップキャンペーンを開催しています。


ハピタスは、「経由するだけ」でポイントがたまるおトクなポイントサイトです。

旅行予約やネットショッピング、カード発行など、ポイントのたまるサービスは3,000以上で、人気ショップも多数掲載中。

獲得したポイントも、JALのマイルに交換可能。

通常ハピタスからJALマイルへの交換は、100pt=50マイルなので交換レートは50%。

今回のキャンペーンを利用すれば20%レートアップ、100pt=60マイルで交換となります。

~JALのマイル20%レートアップキャンペーン ~さらに、最大10%ポイントバック!~

キャンペーン期間は、2021年11月1日 0:00(月)~2021年12月31日 23:59 (金)

●ハピタスポイントをJALマイレージバンクに交換すると、20%レートアップ。

●ハピタスで初めてJALマイレージバンクに交換された方には、交換額5%分のボーナスポイントがプレゼントされます。

●会員のランクに応じて、交換額の1~5%分のボーナスポイントをプレゼントいたします。

例:ゴールド会員(楽天などのショップ・サービス利用10件)で、ハピタスで初めて3,000ハピタスポイントをJALマイレージバンクに交換した場合通常1,500マイルが1,800マイル、さらにランク特典として交換額の5%分の150ptがボーナスポイントとしてプレゼントされます。

ハピタスは、ユニクロやGUの利用でもポイントがもらえるサイト。

詳細はこちらでご確認ください。→ JALのマイル20%レートアップキャンペーン">JALのマイル20%レートアップキャンペーン

2021/11/26

2021年9月16日~30日 サイバー攻撃のタイムライン / 16-30 September 2021 Cyber Attacks Timeline


16-30 September 2021 Cyber Attacks Timeline:

2021年9月の第2回目のタイムラインが登場し、この間の特徴である成長の傾向が確認できました。今回のタイムラインでは、前回のタイムラインの98件を上回る108件のイベントを収集しました(正直に言うと、以前には含まれていなかったイベントをいくつか追加しています)。ランサムウェア攻撃のレベルは安定しており(8月の25.8%に対して26.8%)、引き続き脅威の状況を特徴づけています)、標的の歓迎されないリストに新たな高名な被害者が加わりました。

同様に、注目度の高い脆弱性が悪用されることもこの時期の特徴です。例えば、Confluence (CVE-2021-26084)、Microsoft MSHTMLレンダリングエンジン(CVE-2021-40444)、あるいはZoho (CVE-2021-40539)のように、古くから知られているものもあります。その他にも、ここ数年の危険な傾向を裏付けるような新しいものもあります。CVE-2021-22005(VMWare)や、Apple(CVE-2021-30869)、Google Chrome(CVE-2021-37973、CVE-2021-37975、CVE-2021-37976)などがあります。

DeFi(分散型金融)に携わる組織も、引き続き圧力を受けています。この2週間の間に、2つの組織が深刻なハッキングに遭い、1200万ドル相当(pNetwork)と300万ドル相当(SushiSwap)の暗号価値が盗まれました。

サイバー・スパイ活動の分野でも、複数の国家機関が世界中の組織からデータを流出させようと躍起になっています。よく知られているアクターとしては、APT29(aka Nobelium)が挙げられますが、記録によると、Turla(TinyTurlaという新しいバックドアを搭載)、APT27(aka Emissary Panda)、APT36、TAG-28、Calypso APT、Red Foxtrotなどのキャンペーンも行われています。また、FamousSparrowやChamelGeangのような新しいアクターも登場しています。特に興味深いのは、4つの異なる中国グループに狙われたアフガニスタンの通信事業者、Roshanのケースです。最後になりましたが、欧州連合(EU)は、EUの高官やジャーナリスト、一般市民を標的にした「Ghostwriter」と呼ばれるハッキング活動について、ロシアを公式に非難しています。

日本関連は1件です。

JVCケンウッドがContiランサムウェア攻撃を受けました。この攻撃では、脅威となる人物が1.7TBのデータを盗んだと主張し、700万ドルの身代金を要求しています。


2021/11/25

Netlas.ioでインターネット上の脆弱なシステムを見つける / Open Source Intelligence (OSINT): Finding Vulnerable Systems Across the Internet with Netlas.io(転載)


 Open Source Intelligence (OSINT): Finding Vulnerable Systems Across the Internet with Netlas.io

しばしば、セキュリティスペシャリストとして、自分や他の人のシステムが様々な既知の脆弱性や攻撃に対して脆弱であるかどうかを確認する必要があります。ペネトレーション・テスターやセキュリティ・エンジニア、あるいはその他の悪意のあるアクターにとって、このような情報はミッションの成功に欠かせないものとなります。ShodanCensysなど、この重要な分野についての洞察を提供するウェブサイトは他にも多数ありますが、netlas.ioはおそらく最高のものです。正直なところ、netlas.ioを利用していないのであれば、インターネット上の最高のリソースの1つを逃していることになります。

Netlas.ioは、以下のような少なくとも5つの異なるユースケースで使用することができます。

  1. OSINT
  2. 攻めのセキュリティ
  3. 防御的セキュリティ
  4. リードとコンタクト 
  5. マーケティングリサーチ

このチュートリアルでは、ペネトレーションテストの観点で、攻撃的なセキュリティツールとしてnetlas.ioを使用することに焦点を当てます。偵察やアタックサーフェスの形成など、ペネトレーションテストの最初のステップは、Netlas.ioを使うことでより早く、より簡単になります。 ネットワーク境界の形成、スケーリング、アトリビューションのために、A、NS、PTR、MX、SPFレコードを含む、whois検索、DNSのフォワードおよびリバース検索を使用します。

ステップ1: netlas.ioへのログイン 

最初のステップは、netlas.ioに移動してアカウントを作成することです。


netlas.ioはα版として開発されているため、ソーシャルメディアで紹介するだけで、複数の無料アカウントを提供しています。

ステップ2:基本的な検索クエリ

他の多くの検索エンジンと同様に、検索フィールドと検索フレーズをコロン(:)で区切って検索クエリを構築することができます。 IPアドレス、ホスト、whois、その他多くのフィールドで検索することができます。さらに、フィールド名とサブフィールド名をピリオドで区切って、サブフィールドで検索することもできます。

フィールド.サブフィールド:値

つまり、apacheのウェブサーバーを探す場合は、次のように入力します。

tag.name:apache 


以下のように、netlas.ioは、apacheを使った9400万台のサーバーを見つけることができました。

各リストには、レスポンスタブ、証明書タブ、Whoisタブ、ドメインタブがあります。ドメインタブをクリックすると、そのIPアドレスでホストされているすべてのドメインが表示されます。


構文を使って、ホストで検索することもできます。

host:cybrary


ステップ3: 脆弱性の検索

このサイトの優れた点の一つは、脆弱性やCVEで検索できることです。例えば、CVEの脆弱性が9以上のサイトをすべて見たい場合は、次のように検索を入力します。

cve.base_score:>9


もし、すべてのサイトがSMBに対応しているかどうかを知りたければ、検索に入力することができます。

smb:*


レスポンスフィールドには、「smbv1_support」というサブフィールドがあることに注意してください。このサブフィールドを使用して、欠陥のある脆弱なSMBv1が有効(true)になっているサイトをすべて見つけることができます。

smb.smbv1_support:true


なお、この時代遅れの欠陥のあるバージョンのSMBを使用しているサイトは113,000以上見つかっています。


また、公開されている既知のエクスプロイトが存在するサイトを検索で探すこともできます。

cve.has_exploit:*


この検索では、7,400万以上のサイトが既知の公開された脆弱性を持っている可能性があることがわかります。画面の右端には、見つかった脆弱性のCVEが表示されています。このリストの上にあるCVEタブをクリックすると、netlas.ioは既知の脆弱性をすべてリストアップします。下のサイトには、深刻度が9以上の脆弱性が3つあることに注目してください。


また、既知の脆弱性の深刻度で検索することもできます。深刻度が「重要」と評価されたすべてのサイトを見たい場合は、下記で検索します。

cve.severity:critical


悪名高いEternalBlueエクスプロイト(SMBリモートコード実行)に脆弱なサイトをすべて見つけたい場合は、CVE名で検索をリクエストすることができます。

cve.name: CVE-2017-0145


161,000以上のサイトがこの脆弱性にさらされています。参考までに、NVDに掲載されているCVEリストを紹介します。


ステップ4 論理演算子を使う

netlas.ioに似た他のサイトと同様に、論理演算子を使って検索を絞り込むことができます。使用できるのは、AND、OR、NOT(それぞれ、&&、 ||、 !) デフォルトの演算子はANDです。

つまり、ASN番号が4134の、時代遅れで脆弱なMySQL v5を実行しているサイトを探す場合、次のようなクエリを作成することができます。

mysql.server.version:5 and asn.number:4134


また、Netlas.ioでは、正規表現(regex)やワイルドカード(*と?)を使った検索が可能です。

もしあなたがペネトレーションやOSINTの仕事をしているなら、netlas.ioは必須のツールです。重要な情報や脆弱性の検索にかかる時間を短縮することができます。言うまでもなく、完璧なツールはなく、それはnetlas.ioにも当てはまります。だからこそ、様々なツールに慣れ親しみ、仕事や状況に応じて最適なツールを使う必要があるのです。

2021/11/24

ddosify - Golangで書かれた高性能な負荷テストツール / ddosify - a high-performance load testing tool, written in Golang(転載)


ddosify - a high-performance load testing tool, written in Golang

特徴

✔️ プロトコルにとらわれない - 現在、HTTP、HTTPS、HTTP/2をサポートしています。その他のプロトコルも予定しています。

✔️ シナリオベース - JSON ファイルでフローを作成します。コードは1行もありません。

✔️ 異なる負荷タイプ - 異なる負荷タイプでシステムの限界をテストします。


 インストール

ddosifyはDocker、Homebrew Tap、およびリリースページからコンパイル済みのバイナリをダウンロードして、macOS、Linux、Windowsで利用できます。


Docker

docker run -it --rm ddosify/ddosify


Homebrew Tap (macOS and Linux)

brew install ddosify/tap/ddosify


apk, deb, rpm packages

# For Redhat based (Fedora, CentOS, RHEL, etc.)
rpm -i https://github.com/ddosify/ddosify/releases/download/v0.1.1/ddosify_amd64.rpm

# For Debian based (Ubuntu, Linux Mint, etc.)
wget https://github.com/ddosify/ddosify/releases/download/v0.1.1/ddosify_amd64.deb
dpkg -i ddosify_amd64.deb

# For Alpine
wget https://github.com/ddosify/ddosify/releases/download/v0.1.1/ddosify_amd64.apk
apk add --allow-untrusted ddosify_amd64.apk


便利なスクリプトを使う(macOS、Linux)

  • このスクリプトでは、ddosify のバイナリを /usr/local/bin に移動するために root または sudo の権限が必要です。
  • スクリプトは、オペレーティングシステム(macOSまたはLinux)とアーキテクチャ(arm64、x86、amd64)を検出して、リリースページから適切なバイナリをダウンロードしようとします。
  • デフォルトでは、スクリプトは最新バージョンのddosifyをインストールします。
  • 問題がある場合は、一般的な問題を確認してください。
  • 必要なパッケージ: curl と sudo


ソースからインストールする(macOS、Linux、Windows)

go install -v go.ddosify.com/ddosify@latest


簡単なスタート

このセクションでは、Ddosifyの使い方を簡単に説明しています。

1.簡易負荷テスト

 ddosify -t target_site.com

上記のコマンドでは、デフォルト値である10秒間に100回のリクエストを行う負荷テストを実行します。


2.いくつかの機能を使う

 ddosify -t target_site.com -n 1000 -d 20 -p HTTPS -m PUT -T 7 -P http://proxy_server.com:80

Ddosify は、プロキシ http://proxy_server.com:80 を通じて https://target_site.com に、1 リクエストあたり 7 秒のタイムアウトで 20 秒間に合計 1000 の PUT リクエストを送信します。


3.シナリオベースの負荷テスト

 ddosify -config config_examples/config.json

Ddosify はまず、プロキシ http://proxy_host.com:proxy_port を通じて、基本的な認証情報 test_user:12345 を用いて、HTTP/2 の POST リクエストを https://test_site1.com/endpoint_1 に送信し、タイムアウトを 3 秒に設定する。レスポンスを受け取ると、HTTPS GET リクエストが、config_examples/payload.txt ファイルに含まれるペイロードとともに https://test_site1.com/endpoint_2 に送信され、2秒のタイムアウトが設定される。このフローは、5秒間に20回繰り返され、レスポンスが標準出力に書き込まれます。

詳細

ロードテストの設定は、CLIオプションまたはコンフィグファイルで行うことができます。コンフィグファイルは、CLIよりも多くの機能をサポートしています。例えば、CLIオプションでは、シナリオベースの負荷テストを作成することはできません。

CLIフラグ

ddosify [FLAG]
Flag
DescriptionTypeDefaultRequired?
-tTarget website URL. Example: https://ddosify.comstring-Yes
-nTotal request countint100No
-dTest duration in seconds.int10No
-pProtocol of the request. Supported protocols are HTTP, HTTPS. HTTP/2 support is only available by using a config file as described. More protocols will be added.stringHTTPSNo
-mRequest method. Available methods for HTTP(s) are GET, POST, PUT, DELETE, UPDATE, PATCHstringGETNo
-bThe payload of the network packet. AKA body for the HTTP.string-No
-aBasic authentication. Usage: -a username:passwordstring-No
-hHeaders of the request. You can provide multiple headers with multiple -h flag.string-No
-TTimeout of the request in seconds.int5No
-PProxy address as host:port. -P http://user:pass@proxy_host.com:port'string-No
-oTest result output destination. Other output types will be added.stringstdoutNo
-lType of the load test. Ddosify supports 3 load types.stringlinearNo
-configConfig File of the load test.string-No
-versionPrints version, git commit, built date (utc), go information and quit--No

Load Types

Linear

ddosify -t target_site.com -l linear

結果:

注:指定された期間に対してリクエスト数が少なすぎる場合、テストが予想よりも早く終了する可能性があります。

Incremental

ddosify -t target_site.com -l incremental

結果:


Waved

ddosify -t target_site.com -l waved

結果:



コンフィグファイル

コンフィグファイルは、Ddosifyの全ての機能を使用するためのものです。

コンフィグファイルで使用可能な機能

  • シナリオ作成
  • ファイルからのペイロード
  • キープアライブの有効化/無効化ロジックなどの追加接続設定
  • HTTP2のサポート

使い方

ddosify -config <json_config_path>

config_examples/config.jsonには、サンプルの設定ファイルがあります。このファイルには、使用できるすべてのパラメータが含まれています。各パラメータの詳細です。


  • request_count optional

    これは、-nフラグと同等のものです。違いは、シナリオに複数のステップがある場合、この値はステップの反復回数を表すことです。

  • load_type optional

    これは -l フラグと同じです。

  • duration optional

    これは -d フラグに該当します。

  • proxy optional

    これは -P フラグと同じです。

  • output optional

    これは -o フラグと同じです。

  • steps mandatory

    このパラメータで、シナリオを作成することができます。Ddosifyは、指定されたステップをそれぞれ実行します。与えられたファイルの例では、ステップID:1のレスポンスを受信した直後にステップID:2が実行されます。実行の順番は、コンフィグファイル内のステップの順番と同じです。


ステップの各パラメータの詳細

    • id mandatory

      各ステップには、一意の整数IDが必要です。

    • url mandatory

      これは -t フラグと同じです。

    • protocol optional

      これは -p フラグと同じです。

    • method optional

       -m フラグと同じです。

    • headers optional

      key:value形式のヘッダのリスト。

    • payload optional

       -b と同義

    • payload_file optional

      長いペイロードが必要な場合は、 payloadの代わりにこのパラメータを使用することをお勧めします。

    • auth optional

      ベーシック認証

      "auth": {
          "username": "test_user",
          "password": "12345"
      }
    • others optional

      このパラメータには、使用するプロトコルの接続詳細を設定するための動的なキーと値のペアを入力します。

      "others": {
          "keep-alive": true,              // Default false
          "disable-compression": false,    // Default true
          "h2": true,                      // Enables HTTP/2. Default false.
          "disable-redirect": true         // Default false
      }