Got Some \W+ech?

Could be Japanese. Could be English. Android, セキュリティ, 機械学習などをメインに、たまにポエムったり雑感記載したりします。

GCPのIdentity-Aware Proxyためしてみた #GCP #IAP

GCPで動かしてるWebサービスのstg環境にIdentity-Aware Proxy(IAP)噛ませてみた。これにより外部からアクセスする際、ドメインのサイトにたどり着く前にGoogleアカウントの認証が必要になった。事前に許可されたGoogleアカウントでなければサイトにたどり着…

DockerfileのADD/COPYに--chownオプションができた

11/10: 追記。CI/CDでの制限について書いてなかった。 Dockerのベストプラクティスに、サービスをnon-rootユーザーで走らせなさい、というのがある。 docs.docker.com そうすること自体は簡単なのだけれども、当然ながらユーザー権限にあわせてコンテナ内の…

SMSによる2要素認証は本当に非推奨なのか?

きっかけ ssmjpで発表してきました。最近、「NISTはSMSによる2段階認証を非推奨」という記事をよく見るようになりました。でも、それって昨年度のPreview版の話で、2017年7月のPublic版でもそうなの?という疑問がわいたので、根性だしてNIST SP800-63bを読…

(翻訳)セキュリティで飯食いたい人向けの行動指針

(7/21) コメント欄の指摘を受け英訳追記 前文 本記事はGoogleのセキュリティ担当者 Parisa Tabriz氏(異名: Security Princess)のSo, you want to work in security?を翻訳したものです。 go for it!— Parisa Tabriz (@laparisa) 2016年12月25日 うっ…半年以…

チェキしたいセキュリティ系スタートアップ - 2017年編

1月から書こうと思ってた内容をいまさら書くという。 多分偏ってる。 所感: 大体のサービスにおいてポリシーをもとに設定するという文が目立った。恐らく会社のポリシーがあることが前提になるので、それをしないで導入しても所謂運用でカバーするみたいな残…

GCP + k8sで共有registryからコンテナImageを読み込む #gcp #メモ

プロジェクト毎にregistry作るの意味なくね?と思ったので、ほぼ全てのコンテナImageをアップロードしたregistry付きプロジェクト(以降project-reg)を作った。 ここに対してImageをpullするには、docker login -e相当のことをpodでしなければならない。 Serv…

GCP上のプロジェクトをTerraformで作成する #GCP #Terraform

追記 2017/05/12: 下記の備忘録は正確ではない可能性がある。下記の設定を実際に反映させてないのに、プロジェクトが作成できたから。 本編 GCPの備忘録を作っていこうと思う。 今までプロジェクトを2個つくり、最初は GUIでポチポチと、2個目は極力gcloud …

Railsアプリ(Production)のシークレットキーをGKE & k8sに読み込ませる

An unhandled lowlevel error occurred. The application logs may have details. kubectl create -f services hogehoge.ymlし、公開IPにアクセスした際に出た表示↑ Application系のエラーらしいので、kubectl logs -f [POD_NAME] [IMAGE_NAME]でログを流し…

DroidKaigi2017の振返り「ドキッ★脆弱性 onCreate() から onDestroy() まで」#droidkaigi #android

DroidKaigi2017に登壇・運営スタッフ参加したので、その振返りです。 ドキッ★脆弱性 onCreate() から onDestroy() まで スピーカーとしての振返り 8000円の参加費をとる平日開催のカンファレンスなので気合いれてたつもりだ。 まずやったことは、OverViewの…

Demistoによって俺たちはSOCから解放されるのではないか #セキュリティ #chatops #demisto

結論: とりあえずSlackのintegrationでDemisto入れてみようず Demistoとは SOC的な業務は面白い事も沢山ありますが、それと同じくらいダルくもあります。例えば、「ドキュメントの作成」「進捗図の更新」「エビデンスの確保」「レスポンス前の細かい初期確認…

もしも社長がセキュリティ対策を聞いてきたら

もしも社長がセキュリティ対策を聞いてきたら(日経BP Next ICT選書)作者: 蔵本雄一出版社/メーカー: 日経BP社発売日: 2015/06/30メディア: Kindle版この商品を含むブログを見る 上記のメモといっても、自分が流し読みした本に対するいいまとめがあったので…

大陽日酸に対するサイバー攻撃についてまとめてみた

イントロ 工場や医療現場で使われる酸素や窒素、二酸化炭素などを製造、販売する国内最大手の大陽日酸がサイバー攻撃に合っていた模様。報道された2017/1/1には対応済みっぽい。 タイムライン 日時 出来事 備考 2015/11 最遅でもこの時点で侵入済み 2016/3/1…

2016年の振り返りと2017年の目標

振返り Keep ジムにコンスタントにいくこと 登壇すること 勉強会にもよく参加してた Docker/SIEM/AWS/GCPなどに取り組んだのは良かった。 Goを始めたのもよかった。 本は結構読んだ Problem やる気にムラがあった お金系(401k, NISA使い切らない)などがなか…

Googleが買収したセキュリティ企業

2016年12月までにGoogleが買収したセキュリティ企業を調べてみた。きれいな案件だけでなく、潰しにかかってるっぽいものもあって面白かった(小並感。企業買収をExitとするなら、対象企業がカバーできてないソリューションを開発するのがいいという事だけは…

AndroidのConcealライブラリの中身を読む

色々あれがこれなので、Facebookが出している暗号化ライブラリ「Conceal」のソースコードを読んでみました。 使い方については、こちらの記事を参照いただくといいと思います。 Concealとは Facebookが開発したライブラリです。共通鍵暗号アルゴリズム AES(2…

GoでAESアルゴリズム(GCMモード)を使った実装をする

GoでAESアルゴリズム(CBCモード)+PKCS7パディング+HMACを使った実装をするの続きです さて、前回はHMACを組み合わせることで、暗号化における機密性(Confidentiality)だけでなく、完全性(Integrity)からなる認証まで実現することができました。しかし、これ…

GoでAESアルゴリズム(CBCモード)+PKCS7パディング+HMACを使った実装をする

GoでAESアルゴリズム(CBCモード)+PKCS7パディング+HMACを使った実装をするの続きです。 さて、前回はAES+CBC+PKCSパディングを使った実装例を紹介した。パディングを使って、任意の平文をブロック型暗号で暗号化することが可能になったが、一方で脆弱性がう…

GoでAESアルゴリズム(CBCモード)+PKCS7パディングを使った実装をする 編集

GoでAESアルゴリズム(CBCモード)を使った実装をするの続き AESはブロック暗号であるため、16の倍数バイトの平文にしか適用できない。そうでない平文をAESで暗号化するには追加のデータ(パディング)を付与して16の倍数バイトにしてやる必要がある。AESを含め…

GoでAESアルゴリズム(CBCモード)を使った実装をする

前回ではAESアルゴリズムを用いた暗号化・復号をGoで実装してみたの続きです。 今日の内容 ただAESアルゴリズムによる暗号のみだと、攻撃者は暗号文を操作 => 平文を操作することができます。これを解決するための1つのやり方が、SSL/TLSにも用いられている…

GoでAESアルゴリズムを使った実装をする (と暗号歴史を一部紹介)

実はCISSPを受験しようと思ってて、最近その勉強をしている。(結構長く勉強してるはずなんだけど、業務が忙しくて実質時間が書けられてなくて進捗だめであああああああああああああああああああああああああああああああ)。まあ、こういうこと書いてるから…

Github + CircleCI + DockerでGCEを動かす - ファイル暗号化 on Github編

先に断っておくと本編はあまり、DockerとGCE関係ない。 見られたくないファイルをGithubにあげたい場合、Github上では暗号化してCircleCIのビルドのタイミングで複合化したいニーズがあると思う。 例えば 証明書をNGINXイメージに埋め込むとか。 なのでGithu…

Github + CircleCI + DockerでGCEを動かす - デプロイ編

今日はデプロイするところまで. 基本的にはKubernetesのチュートリアルを参考にしつつ作った. 説明はしないスタイルで。 Kubernetes関連用語 説明はしないと言ったな。アレは嘘だ。 Kubernetesはコンテナ化されたアプリをClusterにデプロイしたり、配布をス…

Github + CircleCI + DockerでGCEを動かす - レジストリ編

2017/08/31: コメントでの指摘を受け、一部コマンドを変更 背景: 今、(ほぼ)1人チームで継続性が強く必要な仕事をしているので、あらゆる面で運用を楽にしていきたい。なのでコードで楽に管理でき、デプロイまで自動でやってくれて、オフィスアカウント(goog…

DockerイメージをGKEのレジストリにアップロードする

背景: 今、(ほぼ)1人チームで継続性が強く必要な仕事をしているので、あらゆる面で運用を楽にしていきたい。なのでコードで楽に管理でき、デプロイまで自動でやってくれて、オフィスアカウント(googleアカウント)との連携もできるGCPに強く興味がある。特にC…

VagrantとAnsibleを触ってみたのでメモ

構成管理に手を出してみたので、メモ。 AnsibleとVagrantで。 本ドキュメントでは手順とハマリポイントを紹介しますが、手順は他の本やブログでもさんざん上がってるので、最小限にとどめます。 目的 実践的な意味での構成管理、プロビジョニングの勘所を探…

JTB不正アクセス & 個人情報流出についてまとめてみた

更新履歴 (6/15更新)下記にてpiyologが更新されているので、そちらを見つつ足りてない情報を加え、情報を再整理d.hatena.ne.jp (6/16更新)6/15午前から6/16 0時までに公表された情報を追加 (6/16 18:20更新)タイムラインを更新 (6/17 01:30更新)6/16から6/17…

2016年Hardening 100 Value x Valueを振り返ってみる

2016/6/4~2016/6/5に沖縄県宜野湾市で開催されたHardening 100 Value x Valueにチームリーダーとして参加したので、振り返って見ようと思う。ただし、技術情報やシステム構成は秘密扱いなので、どんな攻撃があったかは話さない(話せない)のでご容赦を。ち…

RecyclerViewAdapterのnotifyDataSetChangedとnotifyItemRangeChangedの違い

notifyDataSetChangedでリスト(recyclerView)を更新したい時に、意図しない挙動になってた このリスト内の値がかわることはあるけども、構成自体は固定だっった。 このリストはnestedScrollViewの中にある 例えばあるモデルを選択して、そのモデルをリストに…

Railsで1対他のリレーションになっているモデル・コントローラにパラメタを渡したい

最近、所用でRailsでWebアプリを作っているので、その時にぶちあたったメモ 今回は下記をしようと思っています モデルAはモデルBをhas_manyしている モデルBのmodels_pathにアクセスする時、モデルAに紐づくモデルBのみを表示したい 詰まってたこと 例えばVi…

DroidKaigiで登壇 & スタッフしたから振り返るお

DroidKaigiで登壇 & スタッフしたから振り返るお おっきなカンファレンスで初めて登壇 + スタッフをやってみたので、色々考えてみる 発表資料はこちら 明日、敗訴しないためのセキュアコーディング from Kengo Suzuki www.slideshare.net 運営編 何故ス…