京SECの話第12回｢ペネトレーションテストの入門｣に参加してきました。

Twitterで流れてきたのを見て、今興味のある内容で、実践としてCTFやるということだったので飛びつくように参加申し込みしました。

講師: 田中ザックさん http://www.tanakazakku.com/index.html
日本語が普通にしゃべれちゃうアメリカの方。

前半、後半に分かれていて、前半ではペネトレーションテストについての説明的な講義。後半は、実践でCTF。

資料は講師の方が後々アップされるようなので、内容の説明はざっとで。主に自分が気になったところ。

ペンテストの概要や、難しさについての説明がされた。
情報の流れの速さや、技術の多さから1人ですべてを担当するのでなく分業制にしないといけない。

ネットワーク上の対策だけじゃなく、物理的な対策も必要。無線LANの対策もしないといけない。
攻撃方法は結講あるのに、あまりやられていない？

ソーシャルエンジニアリングについて。
高い確率で情報が手に入ってしまうハッキング技術。
騙すだけじゃなくて、やってほしいことについて説得する力
営業、マーケティングや、親子関係、心理療法にも関係し、使われているもの
振り込め詐欺も考え方によってはソーシャルエンジニアリングといえる？

ペンテストのやり方
現状:
情報をほとんど集めないで、スキャン、攻撃を数撃ちゃ当たるで実行している
理想:
情報をしっかり集めて、脆弱性を分析し、exploitを用意、侵入、検査。

一方的に教えるのではなくわからなかったらどんどん聞くようなスタイルにしたかったそうですが、やっぱりいきなりは難しい…。
サクラ役の人を用意して雰囲気を作っておくといいのかなぁ。
ソーシャルエンジニアリングってハッキングとかの外にあるものなイメージがあったけど、ハッキングの一部なんやなぁと。

後半のCTFについても記事を書くつもりでいますが、スライドが公開されてからにします。
とりあえず前半部分だけ。