Virus TotalのWebサイトで URL を調査すると、こんな感じで「Details」タブにそのURLのカテゴリ情報が表示されます。
この情報を、Virus Totalから提供されている API を使って取得できないかと思い調べていたところ、以下のAPIで取得できることがわかりました。
curl --request GET \ --url 'https://www.virustotal.com/api/v3/search?query=<検索したいURL>' \ --header 'x-apikey: <自分のAPIキー>'
試しに1つこのAPIを使ってURLを調べてみたところ、実行結果は以下の通りとなりました。
結果の最初の方にCluster25からのレポートが記載されており、MIRAI のボットネットで利用されていることがわかります。
また結果の最後の方を見ると、Sophosなど各社がこのURLのカテゴリをどう判定しているかを確認することが可能です。
このAPIを使えば、セキュリティ調査の効率化につながりそうです。
XSOARに提供されている Virus Totalのコマンドをつかって通信先のカテゴリを調べるには以下のコマンドを使えばいいことがわかりました。
このコマンドはPlaygroundにて以下のようにコマンドを実行します。
!vt-search query=<調査したいURL>
その結果、下図のようにカテゴリを取得することができました。
今回のURLについては、
・Forcepoint ThreatSeeker
・Sophos
・Xcitium
の3社からの報告が上がっているようですが、個人的にいくつかURLを調べてみたところ、Sophos が結構いろいろなURLに対して報告を上げているような気がします。
ある日突然、iMac で使っていた純正マウスが Bluetoothで接続されなくなりました。
しばらくは原因がわからず、有線のマウスで対応していましたが、そのあとマウスの裏にスイッチ(下図の赤枠部分)があることに気がつき、一度そのスイッチをオフ・オンしたところ無事に再接続されました。
なお、上記のオフ・オンのタイミングで、Macの「システム環境設定」にある「マウス」の設定画面に「System Administrator’s Mouse」が表示され、接続済みとなりました。
マウスのオフ・オンでもダメな場合は、上記の設定を確認してみることをおすすめします。
最近 Open Interpreterの記事をいろいろ見つけたので自分のMacにもインストールしようとしてみたところ、以下のようなエラーが出ました。
% pip install open-interpreter ERROR: Ignored the following versions that require a different python version: 0.0.1 Requires-Python >=3.10,<4.0; 0.0.2 Requires-Python >=3.10,<4.0; 0.0.21 Requires-Python >=3.10,<4.0; 0.0.22 Requires-Python >=3.10,<4.0; 0.0.221 ・・・ ・・・ Requires-Python >=3.10,<4.0; 0.1.4 Requires-Python >=3.10,<4.0 ERROR: Could not find a version that satisfies the requirement open-interpreter (from versions: none) ERROR: No matching distribution found for open-interpreter
結論としては、どうやら Macの Pythonのバージョンが Python 3.8.3 のままになっていたのが原因のようでした。
以下の要領で 3.10.0 にアップしたところ、Open Interpreterを正常にインストールすることができました。
% python --version Python 3.8.3 % pyenv install -list Available versions: ・・・ 3.10.0 3.10-dev 3.11-dev ・・・ stackless-3.7.5 % pyenv install 3.10.0 python-build: use openssl@1.1 from homebrew ・・・ Installed Python-3.10.0 to /・・・/.pyenv/versions/3.10.0 % pyenv local 3.10.0 % Python -V Python 3.10.0 % pip install open-interpreter Collecting open-interpreter Downloading open_interpreter-0.1.4-py3-none-any.whl (35 kB) ・・・ WARNING: You are using pip version 21.2.3; however, version 23.2.1 is available. You should consider upgrading via the '/Users/katsuhiro.kurita/.pyenv/versions/3.10.0/bin/python3.10 -m pip install --upgrade pip' command.
シーケンス図とか最初はPower Pointで作っていましたが、条件分岐とか複雑なものをつくり始めたらつらくなってきたので、Marmaidというツールを試しに使ってみました。
mermaid live editorはオンラインにてフリーで利用でき、アカウントも作成する必要がないので、誰でも自由に Markdown形式の記述からシーケンス図を作成できてしまいます。
mermaid live editor https://mermaid-js.github.io/mermaid-live-editor/edit
Markdown形式ってなんだか難しそうに聞こえますが、意外と簡単です。
初めて作成した私でも下記の記述程度であれば、見よう見までで30分〜1時間程度でかけてしまいました。
sequenceDiagram ← シーケンズ図であることを宣言
Ar->>Xs: data ← ArからXsにメッセージ(data)を渡す場合はこう書く
Note right of Ar: IoC etc ← 黄色い付箋にノートが書ける
Xs->>Xs: data check
alt C2 ← 条件分岐を記載
Xs ->> Xs: transparent check;
alt blocked
Xs->>Xs: write down
else passed
Xs->>So: investigation request
end
else phishing
Xs ->> Xs: transparent check
alt blocked
Xs->>Xs: write down
else passed
Xs->>So: investigation request
end
else others
Xs ->> Vi: evaluation check
Vi ->> Xs: result
Xs ->> Xs: result check
alt benign
Xs ->> Xs: write down
else malignant
Xs ->> So: investigation request
end
end
Xs ->> Ar:investigation result
So ->> So:investiogate
So ->> Cs:investigation result
So ->> Ar:investigation result
Cs ->> Cs:traffic number check
alt over N
Cs ->> Si: white regist
else under N
Cs ->> Cs: block request
end
Cs ->> Ar: result
mermaid live editorの左ペインで、2.に掲載したMarkdown形式のシーケンスを書いていると、右ペインにリアルタイムでシーケンス図が描かれます。
これはおもった以上に便利ですね。
いきなりPower Point でこのシーケンス図を描こうとするとかなり難儀ですが、一旦、mermaid live editorで作成しておいて、後で Power Point で清書するという使い方もありかと思います。
Power Point 形式でデータ出力してくれるとありがたいですが。。。。
・エクセルでシーケンス図書くのやめませんか?mermaidが便利ですよ(Qiita) https://qiita.com/naoki114/items/f46082e488fcb1562662 ・markdownでシーケンス図を書こう https://qiita.com/konitech913/items/90f91687cfe7ece50020
sequenceDiagram
Ar->>Xs: data
Note right of Ar: IoC etc
alt C2
Xs->>Xs: write down
else phishing
Xs ->> Xs: transparent check
Xs->>Xs: write down
else others
Xs ->> Vi: evaluation check
Vi ->> Xs: result
Xs ->> Xs: result check
end
Xs ->> So:investigation request
Xs ->> Ar:investigation result
So ->> So:investiogate
So ->> Cs:investigation result
So ->> Ar:investigation result
Cs ->> Cs:remediation dicision
alt benign
Cs ->> Cs: block request
else malignant
Cs ->> So: quarantine request
Cs ->> As: quarantine report
So ->> So: quarantine execute
So ->> Ci: quarantine fin report
As ->> Cs: status report
end
Cs ->> Ar: result
先日、Macにて control+shift+5 でスナップショットを撮ってみたところ、スナップショットを撮り終わっているにもかかわらず、画面が暗いままになっている事象が発生しました。
しばらくは Macのバグだろうとおもっていたのですが、どうやら使い方を間違っているようでしたのでここに記録しておきます。
もし上記の現象が発生している場合は、control+shift+5 を押した時に下部に表示されるツールバーの右端が、「収録」ではなく「取り込む」になっているか確認してください。
もし「収録」となっている場合は「スナップショットモード」ではなく「録画モード」になっていますので、そのツールバーの左から3番目(選択部分を取り込む)などを選択し直すと改善されます。
すごくささいなミスですが、意外と気がつかないですね。
前のブログで bandit を利用し、Webサイトのスクレイピングを行っている pythonプログラムのセキュリティチェックを行ってみました。
すると、上記ブログにも記載したとおり「Requests call without timeout」という警告が出てしまった為、警告の指示通り、requests の部分に timeout を設定してみることにしました。
修正前は、ただ「requests.get(url)」としているだけでした。
response = requests.get(url)
html = response.content.decode("utf-8")
「requests.get(url)」としていた部分を「requests.get(url, timeout=(6.0, 10.0))」とし、タイムアウトが発生した際の例外処理を行っています。
from requests.exceptions import Timeout
・・・
# Get the HTML content of the top page
try:
response = requests.get(url, timeout=(6.0, 10.0))
html = response.content.decode("utf-8")
except Timeout:
print(f"\n[Timeout {url}]")
なお、timeout の後ろに2つ数字を書いている理由ですが、
timeoutには、connect timeout(前) と read timeout(後) の2種類がある為です。
この2種類のタイムアウトについては、以下のサイトで詳しく説明されていますのでご紹介しておきます。(ありがとうございました!)
【Python】requestsを使うときは必ずtimeoutを設定するべき(Cosnomi Blog)https://blog.cosnomi.com/posts/1259/
以下が修正後の pythonプログラムに対する実行結果です。
「Test results:」が「No issues identified.」となっており、問題が解消されたことが確認できました。
% bandit test.py [main] INFO profile include tests: None [main] INFO profile exclude tests: None [main] INFO cli include tests: None [main] INFO cli exclude tests: None [main] INFO running on Python 3.8.3 [node_visitor] WARNING Unable to find qualified name for module: test.py Run started:2023-08-14 08:04:48.814175 Test results: No issues identified. Code scanned: Total lines of code: 53 Total lines skipped (#nosec): 0 Run metrics: Total issues (by severity): Undefined: 0 Low: 0 Medium: 0 High: 0 Total issues (by confidence): Undefined: 0 Low: 0 Medium: 0 High: 0 Files skipped (0): %
python言語ってC言語などにくらべると安全そうなイメージがありますが、やはりセキュリティには気をつけないといけない、ということで 開発した python コードが安全かどうか調べるツールがないか調べてみました。
すると、bandit というツールが無償で利用できることがわかりました。
そこでこのツールを使って自分で開発した python プログラムのセキュリティチェックを行ってみましたのでここに記録しておきます。
なお、この bandit でチェックする前に、python のコーディング規約チェッカーである PEP 8 を使ってある程度(- -; コーディング規約に従うようにプログラムを修正しております。
この PEP 8 の PyCharm での利用方法については以下のサイトに記載しております。
それでは bandit をインストールするところから行きたいと思います。
bandit のインストールは非常に簡単です。
pip がインストールされていれば、以下のコマンドを実行するだけです。
$ pip install pandit
なお、私の環境では pythonのバージョンがデフォルトで 2.X系になってしまっていた為、以下のような警告が出てしまいました。
これを3系に変えようと思い pyenv を利用してみましたが一筋縄ではいかず、以下のサイトに助けていただきうまくいきました。ありがとうございました。m(_ _)m
pyenvでPythonのバージョンが切り替わらないときの対処方法【Mac Apple silicon環境】(ヒトリセカイ)https://hitori-sekai.com/python/error-pyenv/
bandit の実行も非常に簡単です。以下のとおりコマンドを打つだけです。
$ bandit <プログラム名>
実際に自分で作成したスクレイピングを行う pythonプログラムに対して実行してみた結果は以下の通りです。
ちょっと上の画像は見にくいので、テキストでも掲載しておきます。
% bandit test.py
[main] INFO profile include tests: None
[main] INFO profile exclude tests: None
[main] INFO cli include tests: None
[main] INFO cli exclude tests: None
[main] INFO running on Python 3.8.3
[node_visitor] WARNING Unable to find qualified name for module: test.py
Run started:2023-08-14 01:37:45.050500
Test results:
>> Issue: [B113:request_without_timeout] Requests call without timeout
Severity: Medium Confidence: Low
CWE: CWE-400 (https://cwe.mitre.org/data/definitions/400.html)
More Info: https://bandit.readthedocs.io/en/1.7.5/plugins/b113_request_without_timeout.html
Location: test.py:31:11
30 # Get the HTML content of the top page
31 response = requests.get(url)
32 html = response.content.decode("utf-8")
--------------------------------------------------
>> Issue: [B113:request_without_timeout] Requests call without timeout
Severity: Medium Confidence: Low
CWE: CWE-400 (https://cwe.mitre.org/data/definitions/400.html)
More Info: https://bandit.readthedocs.io/en/1.7.5/plugins/b113_request_without_timeout.html
Location: test.py:62:15
61
62 response = requests.get(link)
63 html = response.content.decode("utf-8")
--------------------------------------------------
Code scanned:
Total lines of code: 46
Total lines skipped (#nosec): 0
Run metrics:
Total issues (by severity):
Undefined: 0
Low: 0
Medium: 2
High: 0
Total issues (by confidence):
Undefined: 0
Low: 2
Medium: 0
High: 0
Files skipped (0):
%
どうやら「Test results:」という部分にプログラムの問題点が列挙されているようです。
2つ「Issue」が記載されていますが、どちらも Requests call without timeout となっています。
実際このプログラムでは指定したWebサイトからデータを取ってきているのですが、その時にタイムアウトの処理をしていませんでした。
たしかにこのままだと、Webサイトから応答が返ってくるまで繋ぎっぱなしになってしまい、そのまま何度もこのプログラムを実行するとサーバもクライアントもリソーズ不足になってしまいそうです。
改めて、こういったセキュリティチェック(ツール)の重要性を認識することができました。
最近たまにPythonのプログラムを作成することがあるのですが、そんな中、PEP 8 というPythonのコーディング規約があることを知りました。
そこで PEP 8 を試しに使ってみようと思い調べていたところ、pythonなどの開発環境であるPyChart には、すでにそのチェック機能が実装されているとのことでした。
しかしながらそのチェック(警告)の設定がデフォルトでは「Weak Warning」となっており、あまり目立たなくなっていた為、試しに「Error」となるように設定変更してみました。
PyCharmの「Preference」を選択すると、以下のポップアップ画面が表示されますので、その中から下図の通り、
「Editor」-「Inspections」-「PEP 8 coding style violation」
と選択していきます。
すると Severity を設定するところがありますので、「Weak Warning」から「Error」 に変えてみました。(「Warning」でもよかったですが。。)
1.の設定変更後、PyChart の編集画面にて自作の pythonを表示させてみたところ、下図の赤枠の通り、右上にエラーが11件あることが表示されていました。
さらにその赤枠の部分をクリックすると、画面下に新しいウィンドウが開き、エラーの一覧が表示されました。
大半が “,(カンマ)” や “#(コメント)”の後ろに「スペース」が無いというものでしたが、複数の人間で共同開発する場合は、こういった規約に従うことが重要なのだと思います。
2023年にはいってから、それまでISC2のサイトで提供されていた Professional Magazine が News and Insights に変わってしまい、CPE ポイントを稼ぎづらくなってしまいました。(ここは個人的な感想ですが。)
その為、約1時間の視聴で1ポイント稼げる Webinarsを頼りにしてきましたが、インターネットを調べていると、自分が書いたセキュリティ関連のブログでも申請できる(しかも10ポイント!)ようなので、さっそくこのサイトで書いたブログについて申請してみました。
ISC2のサイトにログイン後、CPE の申請画面から該当するブログの作成日付を選びます。
すると次に申請カテゴリを登録する画面が表示されますので、赤枠で囲った通り申請しました。
1.で「Writing, Researching, Publishing」を選択し、下にスクロールするとタイトルなどを入れるフィールドが出てきますので、1つ1つ入れていきます。
なお、Publisher の部分は個人ブログなのでどう書こうかすこし悩みましたが、インターネットの情報を参考にして、ブログのURLを記載しておきました。
Credits の部分は、もちろん10ポイントにしました!
その後はいつも通り Domain を適当に選んで申請しました。
申請するとすぐに以下の赤枠のとおり通り受け付けられました。
残り3ヶ月で13ポイントくらい稼がないといけなかったので、この10ポイントは大きいですね。
・ブログ記事を書いてCPEを申請する(晴耕雨読)https://tex2e.github.io/blog/security/cpe-credit-blo