| SECURITY 504 | ||||||||||||||||||||||||
Hacker Techniques, Exploits and Incident Handling
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
受講に必要なPC環境
SEC504 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。 WindowsノートPCを各自ご持参ください。お持ちいただいたノートPCは、コースでご用意する演習用のネットワークに直接接続していただきますので、イーサネット接続できるよう、事前に正しく設定してください。 演習にはWindowsベースのものとLinuxベースのものがありますので、VMware PlayerまたはVMware Workstationが必要です。
ノートパソコンのハードウェア要件
Windows
Windows XP Pro、Windows Vista(Business、Enterprise、Ultimateのいずれか)、またはWindows 2003 Serverが搭載されたノートPCもしくはバーチャルマシンをご持参ください。 VMware
演習を行うに当たって、VMwareを使用してWindowsやLinuxのOSを同時に運用します。受講前に、無料版VMware Player 1.0もしくはそれ以降のバージョン、市販のVMware Workstation 4.0もしくはそれ以降のバージョンをシステムにインストールしておいてください。VMware Playerは、www.vmware.comから無料でダウンロードできます。また、より柔軟で設定しやすいツールをお求めの場合は、www.vmware.comから、VMware Workstationの30日間トライアル版を無料でダウンロードしてください。サイトで無料トライアル登録を行えば、VMwareからVMware Workstationの期間制限付きシリアル番号が届きます。VMware Playerには、シリアル番号は必要ありません。 このコースでは、多数のアタックツールの入ったCDを受講者にお配りし、演習を行います。使用後のCDはお持ち帰りいただきき、今後の分析にお役立てください。VMware PlayerやVMware Workstation上で全てのツールがインストールされた状態をLinuxイメージとして再現できます。 Linux
VMwareでLinuxイメージを利用される方は、Linuxシステムをご持参いただく必要はありませんが、VMware WorkstationもしくはVMware Playerを必ずご用意ください。本コースはVirtual PCはサポートしておりません。SANSが用意するVMwareの仮想環境でなくご自身でインストールしたLinuxを使用したい場合は、コースCDから全ツール(Nmap、Nessus、covert_tcp、Metasploit、John the Ripper、Netcat)をコース時間中にご自分でインストールする必要があります。 留意事項
このコースのワークショップでは、地球上で最も危険なネットワークのひとつに接続します。ご持参いただいたノートPCが攻撃を受けるかもしれません。したがって、システム上にいかなる機密情報も保存しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。 |
||||||||||||||||||||||||
組織のコンピュータシステムがインターネットに接続されている、または組織内部に不満を抱いた従業員がいるという場合、システムは攻撃を受ける可能性が高いと言えるでしょう。悪質ハッカーがインターネット経由で攻撃を仕掛けたり、内部関係者がたやすく重要な情報資産にアクセスしたり。アタッカーは悪質・巧妙な手口をさらに増幅させながら、組織のシステムをねらっています。
このコースは、このような悪意者のねらいとその手口を詳細に理解し、それを踏まえた脆弱性の発見と侵入検知の実技経験を養い、総合的なインシデントハンドリングが行えるようになることを目的としています。受講を通じて得られる知識とスキルによってアタッカーより優位な立場に立てるでしょう。このコースでは、いまだ幅をきかせている”古き良き”タイプの攻撃から今まさに最新の狡猾な攻撃ベクトルに至るまで、あらゆる種類の攻撃手法を押さえます。単なるハッキング攻撃技術の講義にとどまらず、アタッカーによる攻撃手法を詳細に見ていくことで攻撃に対する準備、検知、レスポンスを可能にし、段階的なプロセスを経たコンピュータインシデントレスポンス手法の習得を目指します。そして、演習を通じて、アタッカーより先にセキュリティホールを検知する訓練を行います。さらに、従業員の監視や法的措置を取る際の手順、証拠の保全といった、コンピュータアタックのレスポンスに絡む法的な問題についても取り上げます。
このコースは、特にインシデントハンドリングに携わる方の受講をお勧めします。また、一般的なセキュリティ業務、システム管理、セキュリティ構築などを担当している方にも、攻撃の阻止、検知、レスポンスを行うためのシステム設計、構築、運用の方法が理解できるという点で有益でしょう。
ただし、このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、しかるべきテストを経て適用することも重要です。
注意:コースでは、トレーニング用仮想環境へのアクセスを行います。
Hacker Techniques, Exploits, and Incident Handlingのコースを担当していて最も楽しいのは、受講生の方が理解に至る瞬間に立ち会えるところです。受講生の方は、たいてい2段階のプロセスを経ます。まず、攻撃にはいかに悪意に満ちたものがあるかを認識するところからです。中には、悪意に満ちた企みを目の当たりにして非常に感情的に反応し、悪態の声を上げる受講生もいます。ここでコースが終わってしまったら、相当酷です。次は、もっと楽しい段階に入ります。コースが進むにつれ、たとえ攻撃がどんなにひどいものであっても、阻止、検知、レスポンスができるということを徐々に理解していきます。コースで習得した知識を用いることで、悪意者がシステムを攻撃するに至ったとしても、それに対する手立てがあるということがわかるのです。要は、悪意者に対抗できる備えの有無次第なのです。 - Ed Skoudis
インフラの保護は、セキュリティリスクとそれに相反する業務需要のバランスをとる複雑な任務です。新しい脆弱性がほとんど毎日のように発見されており、絶えず侵入される脅威が存在します。オンラインによる侵入に加えて、火災や洪水といった自然災害や犯罪などの脅威もあります。こういった事態に見舞われた場合に備えて、システムやサービスをできるだけ早く安全に復旧させるための適切なインシデント対応手順が必要です。
本日の第1部は、とても有益なIncident Handling Step-by-Stepモデルに沿って進みます。このモデルは、企業、政府機関、教育機関に所属する経験豊富なインシデントハンドラ達のコンセンサスを得て作成されたもので、何百もの組織において効果的であることが実証されています。このセクションで、コンピュータインシデントに備え、対処にあたって踏襲する必要のある6段階のプロセス(準備、識別、コンテインメント、根絶、回復、教訓)による完全なインシデントハンドリングプロセスの導入方法を提供します。
第2部ではアタッカーを特定するのに何が有効であるか、事例を通して検証します。システム管理者がアタッカーを捕捉する確率を高め、彼らを起訴するために価値あるデータを提供します。
一見したところ無害に思えるデータの漏えいでも、システムに大きなダメージを与える手がかりをアタッカーに提供している可能性があります。コースの2日目は、予備調査とスキャンについて詳しく学習します。いずれも多くの攻撃において最初のフェーズにあたるものです。
ネットワークは、潜在的なアタッカーに莫大な量の情報を晒しています。アタッカーは情報漏えいを探すばかりでなく、システムを細かくスキャンして防御壁を切り崩そうとしています。脆弱なDMZシステムやファイアウォールやセキュアでないモデムなどの盲点やますます普及しているワイヤレスLANを突いて、ネットワークに押し入る機会を狙っているのです。アタッカーは侵入源や侵入の意図をわかりにくくする手段として、逆スキャンやブラインドスキャン、バウンススキャンを採用する傾向にあります。また、狙いを定めたネットワークの通信ルールを知って悪用する目的で、ファイアウォールも標的とするのです。コンピュータアタックの世界で最も注目すべきもう1つの分野は、侵入検知システムの回避や警報をすり抜ける技術です。
もし、これらの危機的な攻撃フェーズを詳しく理解するために必要な技術を有していないのであれば、システムを守ることは不可能です。このコースを受講することで、こうした攻撃とその対処法の数々について理解することができるでしょう。
アタッカーは新手の方法で次々とネットワークやシステムを攻撃してきます。その上、彼らの技術は日々高まっているのです。3日目のテーマはアクセス権取得です。
アタッカーはシステム乗っ取りのために、ネットワークレベルからアプリケーションレベルに至るまで様々な戦略をとっています。このセクションでは、バッファオーバーフロー、フォーマットストリング攻撃から、おおむねセキュアだとされているプロトコルのセッションハイジャックといった最新の攻撃まで広く深く解説します。さらに、スニッファや目覚しく柔軟性のあるNetcatツールを使用した演習を行います。
システム管理者は、現実にこうした攻撃を阻止できるよう、攻撃および関連する防御機能についてその要点を押さえる必要があります。コースでは、各攻撃ごとにその脆弱性、様々なツールを使用した悪用方法、攻撃の形跡、攻撃に対してシステムやアプリケーションを強化する方法を説明します。倫理使用誓約書に署名した受講者には、コースで検証した攻撃ツールが入ったCD-ROMを差し上げます。
4日目は、アタッカーがシステムを侵害する際に好んで用いるテクニックを取り上げることからスタートします。それはワームです。ここ2年間のワーム開発について分析し、将来我々が対峙することになるであろうスーパーワームの出現に備えましょう。続いて、テーマはアタッカーに悪用されることが多いもう1つの重要な分野に移ります。それはWebアプリケーションです。自家製Webアプリケーションのほとんどは商用ソフトウェアのセキュリティ検査を受けていないため、アタッカーはこうしたターゲットに対してSQLインジェクション、クロスサイトスクリプティング、セッションクローニングほか、様々なメカニズムを用いて悪用するのです。これらの詳細を見ていきます。
不愉快なDoS(サービス拒否)攻撃の分類についても取り上げ、アタッカーがいかにしてサービスを停止したりリソースを枯渇させたりするのか、そしてアタッカーの非道な行為を阻止するために我々が取るべき行動とは何か、についても見ていきます。
また、侵入者はシステムへのアクセス権を一度獲得すると、そのアクセスを保持し、煩わしいシステム管理者やセキュリティ担当者達に自分の存在をかぎつけられないよう立ち回ります。
アタッカーは、ターゲットを欺くべく、バックドアツールをインストールしたりシステム内のソフトウェアをいじったりして、彼ら流のやり方でアクセスを維持します。
こうした攻撃の数々を防御するためには、アタッカーがシステム侵害につながる些細なきっかけを検知するためにいかにしてシステムを改ざんするのか、理解する必要があります。受講することで、アタッカーによるアクセスの保持と痕跡の隠ぺいから身を守るための知識とツールのスキルを身につけることができるでしょう。
5日目は多くのハッカー攻撃の第4、5段階を学習します。
それは、アクセスの維持と痕跡の隠ぺいです。
コンピュータアタッカーはバックドアをインストールしてRootKitを適用し、時には自らの非道な行為を隠すためにカーネルそのものまで操作してしまうこともあります。こうしたツールのカテゴリごとにそれぞれ、システム保護のための特別な防御策というものがあります。このコースでは、もっとも一般的に使用されている悪意のあるコードのサンプルを分析し、BIOSレベルや結合したマルウェアの可能性を含めてマルウェアの将来動向について研究します。
アタッカーはその痕跡を消すのに、ファイル、スニッファ、ネットワーク使用履歴、活動プロセスを隠すという方法をとることもあります。加えて、最強のステルススニッフィングバックドアを使用して調査の目を逃れることが次第に多くなっています。最終的にアタッカーはシステムログを改ざんし、侵害されたシステムが全く問題なく見えるように仕向けるのです。受講することで、コンピュータやネットワークへのこうした活動を検知し、それに対抗するのに必要なツールやテクニックについてのスキルを習得することができるでしょう。
セキュリティ産業はハッカーを止めるために何年もかけて高度化し、効果的な対策を打ち出しながら成長してきましたが、残念ながらハッカーツールもまた、進歩と複雑化の一途をたどっています。敵を食い止めるのに最も効果的な方法のひとつは、アタッカーが使用していると想定されるツールや戦術でテストを行うことです。
最終日は、このコースで学習してきたことを実際に試してみていただきます。地球上で最も危険なネットワークのひとつに接続します。このネットワークはインターネット環境をシミュレートしたもので、稼動しているマシンに対する実際の攻撃にトライし、こうした攻撃に対する防御方法を学ぶことができる環境です。すでに学んだ内容を補完し、受講生に明快な理解を促すため、アタックツールを使用して対策を講じる時間を設けます。インストラクターが、悪用事例としてまさに発生している事態と防御策の実行についてガイダンスを行います。受講生が様々な悪用事例に取り組み、マスターして行くに従って環境はますます厳しいものとなるので、受講生は演習を成功させるためさらなるスキルの習得に迫られることになります。
さらに、Capture The Flagゲームが待っています。この魅力的なゲームでは、システムに侵入し、不明瞭なフローを検知し、パズルを解くようなテクニックを使用することで、習得してきたスキルを試すことになります。一着でゴールした方にはごほうびがありますよ。
お持ちいただいたノートPCは攻撃を受けることになります。重要な情報等は絶対にシステムに格納しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。。
Copyright (C) 2005-2010 SANS JAPAN Project All Rights Reserved.
