Vuls祭＃04 2018/08/27 19:00 – 22:00 大崎フューチャー株式会社

さて、待ちにまったVuls祭＃04 Reportをさせていただきます。18:45分に現地に到着し、受付を済ませて最前列に陣取って記事を書く準備を行う。間もなく開場である。今回私はブログ枠での参加の為、Report記事を記載しています。スライドはアップされ次第、追記させて頂きます。

19:00- 会場諸注意 (5分)

会場及び飲食等の諸注意等を行います。

開場は、フリーwifiを用意いただいているようです。
私は、LTE回線がタブレットについているので、VPN経由でブログに直接記事を書く方式でどんどん記事を書いていこうと思います。
開場の設備説明をいただき、いよいよvuls祭開始の時がきました。

19:05- 「VulsとNIRVANAの連携」（30分）

国立研究開発法人 情報通信研究機構(NICT) 井上 様
InteropTokyo2018で話題となった「Vulsと連動するNIRVANA」について、お話頂く予定です。 NICTプレスリリース

NIRVANAとは、今年の6月に発表したNIRVANAとVulsと連携のスライドを発表頂きました。

国立研究開発法人 情報通信研究機構(NICT)はどのような会社なのか？
原子時計・ファイバーの開発・衛星のフライトモデルを作っていたり、ナノマシン・BMIで脳波を取り出してコントロールしたり、
多言語翻訳するモジュールを開発したりする会社。殻機動隊 STAND ALONE COMPLEXを作っている会社である。

グローバルIPアドレス、無差別攻撃対策　local監視を行うソリューションがある。
たちこまくん、WarpDriveを入れると、危ないサイトのブロックしたりする機能を有する。

https://warpdrive-project.jp/

今日は、Passive local側の話

標的型攻撃かなり行われている。→ Cyber Kill Chain

セキュリティあるある

がんばればがんばるほど、大量のalertに終われる地獄の日々そういう時こそ、NIRVANAを使って欲しい
ネットワークにセキュリティを可視化する事が可能

NIRVANAとは？

Interrop Tokyoで出典

• alert連携
• アプライアンス
• ソフトウェア

かなり、ヴィジュアル的にネットワークトラフィックやセキュリティ等を可視化できるツール

NIRVANA改弐（Vulsとの連携）を現在開発中

NIRVANA＋Vulsの連携がNIRVANA改弐で現在プロトタイプを作成中

脆弱性対応にもNIRVANAが必要である
インシデントハンドリングと脆弱性ハンドリングが不可欠

さらに、ンゴ感

NIRVANA改弐デモンストレーション

321　vulsのかけ声で、全サーバ緊急フルスキャンデモンストレーションを実際にデモで実施
確かに、ンゴ感は、感じる事が出来ました。

NIRVANA弐改は、まだプロトタイプであって、売ってない状況である。
コンタクトは、フェイスブックなどでコンタクト可能

本当にあったIT怖い話

意外にツボる内容が多い。インフラ側が評価されない実態をつぶやくつぶやきがなんともシュールで心に響く模様。

https://togetter.com/li/1259977

Interner Week2018イベントの告知

Interner Week2018　9月半ばにプログラムが完成するので、お金もかかりますが、是非経費精算出来るなら会社のお金で来て欲しい。

雑談

ンゴ感を出す為に、3日エンジニアが徹夜した裏話がこっそり話されてました。

19:35- 「Vuls v0.5.0の新機能」（20分）

フューチャー株式会社 Vuls作者 kotakanbe

Vuls祭り#4当日リリース予定のVuls v0.5.0では、100コミット以上、1万行以上が追加されました。 スキャン精度が大幅に向上し、便利な新機能が盛りだくさん。 本基調講演では、v0.5.0の新機能、バージョンアップの注意点などを紹介します。

• NVD JSONをサポートによりCPE指定の検知精度大幅向上、CVSS v3情報が出るように
• RedHatのAPI情報のサポートにより、RHEL, CentOSにてパッチ未提供な脆弱性を検知可能に。さらにアップデート以外の手段での緩和策が表示可能に。
• Debian Security Trackerのサポートによりパッチ未提供な脆弱性を検知可能に。
• サーバモード追加によりワンライナーでスキャン可能に（詳細はknqyf263氏のセッションにて）
• オフラインスキャンモード追加
• スキャンモードをconfig.tomlで定義可能に
• OWASP Top10に該当する注意すべき脆弱性かどうかを表示可能に
• CWEの英語、日本語タイトルを表示可能に
• Stride通知
• ChatWork通知
• TUI, Slack, Emailレポートの変更
• 脆弱性ごとにパッチ提供、未提供かを表示可能に
• go-cve-dictionaryのlistコマンド
• 無視したいpackageを正規表現で定義可能に

などなど。

Vuls Git Hub STARについて

VulsのGitHub STARの数が5000台にのった、他の有名オープンソースの中でも、ひときわ高い伸び率を有している。

Vuls Twitterについて

ツイっターのアカウントもあるので、フォローしてもらえれば、リリース情報が掲載される
下記フォローをお願いしたいそうでした。

Tweets by vuls_ja

今回のアップデートの抜粋

• 今回のアップデートは、本当にやばい。１万３０００行以上作り込まれた内容
• 後方互換性はない、新規インストールしか駄目らしい
• スキャン精度が飛躍的に向上している。

XMLではマッチングしたかった件も、JSONに対応したことでCPEで書いた奴が適切に検知できるようになった。

Gostというツールを作った、Debianのセキュリティトラッカーなどを取り込めるようになった
パッチが出てない脆弱性もヒットする事ができる用になった。

知った所で、どうするか？が運用者の腕の見せ所ですね。

Vuls Serverも今回同梱されている。

スキャンモード

スキャンモードが４種類に増えた。

• ファーストモード
• ファーストルートモード
• ディープスキャンモード
• オフラインスキャンモード

大きな目玉としては、オフラインスキャンモード　インターネットにアクセスしなくてもスキャン出来る様になった。
この脆弱性に対応したプロセスも出るようになった。アップデートする場合、注意する必要があるプロセスも分かる。

configの中でReport不要パッケージの正規表現をかけるようになった。例えば、Linuxの中にインストールされているFirefoxなど不要ならReportをスキャン対象外に出来る機能を搭載した。

19:55- Vulsクラウドサービス「Future Vuls」をイチから書き直した話（10分）

フューチャー株式会社 Future Vulsプロダクトオーナ kotakanbe

サービスイン半年にして、なんと、、、Webフロントエンドをイチから書き換えました。早ッ！！ 検知後の脆弱性のトリアージを漏れなく、楽に。生まれ変わったFuture Vulsお披露目します。

画面は無料で見れる様になった。
https://vuls.biz

対応するかしないかを、サポートしてくれるサービス
オープンソースは、Linuxだけ、有償版はwindowsにも対応している。
今回、大規模に画面の作りなおしたそうです。オープンソース版は無料で使えるとの事なので一回使って見たいと思います。

20:05- 乾杯（10分）

ソフトドリンクやビールで乾杯！
内、20:05-20:10頃で、ビアスポンサーLT

sansan　　Eight　データ分析とか

脆弱性検知・管理・運用を楽にしたい
OSの種類も多い　Amazon Linux　CentOS7とか　Windows等があり運用管理が大変という事でVulsを導入した。

20:15- 「3分間でvuls scanとreportできるのかチャレンジ!」（200秒チャレンジ）

ランサーズ株式会社 @adachin0817様

Vulsを分かりやすく説明する伝道者として、自称エバンジェリスト/広報/コントリビューターによる、Vulsを導入及び運用している経験を元にした、初心者向けハンズオンを行います。＊3分＊ で、Vulsの独自開発環境であるDockerを起動し、ローカルホストをスキャン、Slack/ChatWorkにレポートを実演します。

実際に200秒でチャンレジを実施　SREをやっているあだちんさん　29才
普段は、ディグダグ・fluentdなどをやっている。

初心者向けのデモンストレーション開発環境は、Dockerを使って構築する・・・。
多分、自分的にも、Dockerを使うんだろうな、Docekrをpullして設定してスキャンしてギリギリ２００秒おさまるか？って話かと思ったら、
むむむ！54秒で構築？　いやいや、configが書かれててDocker runしてスキャンして、結果をslackとチャットワークに飛ばすだけ。

20:20- 「開発環境提供スポンサーセッション: 『ホスティング・クラウド事業者が観るインシデント発生傾向・原因・対策(ショートバージョン)』」（5分）

さくらインターネット株式会社 エバンジェリスト/仮想化基盤チーム 横田真俊 様
ホスティング・クラウド事業者で近年に起きたセキュリティインシデントの傾向についてご紹介いたします。

レンタルサーバ・Cloud・割り引きクーポンも提供いただけるそうです。帰りにもらって帰ろうかと思います。
クーポンもらってきました。結構イニシャル安く使えそうな気がしました。数枚もらってきちゃいました。

メールで注意喚起すると何故か余計ふえてしまう。パスワードは確実に設定してください。
Wordpressは、自動アップデートの設定は確実にしてください。

Wordpressの脆弱性対応について、どんどん減ってきているが、
見えない所でクラックさせて、マイニングを埋め込まれているパターンに移行しているんじゃないか？と推測している
ただし、サクラのWordpressがのっているサーバは、BSD系なので、そもそもマイニングツールが動作しないという・・・。

20:25- 「新機能 “Vuls Server” 〜ワンライナーで始めるパッチマネジメント〜」（15分）

ゴールドジムプロテイン愛好会 knqyf263 様

従来のVulsのローカルスキャンは非常駐型のエージェントとして動作していましたが、サーバモードが新機能として追加されました。 Vuls Serverを一つのサーバで起動すれば、各サーバからはrpm/dpkgの結果をcurl等のワンライナーでVuls Serverに送るだけで脆弱性を検出してくれるようになります。 その結果、SSHログインを許可したくない人やスキャナーを各サーバにインストールしたくない人でもVulsを利用可能になります。

本発表では既存の構成管理ツールとの連携など、利用例をいくつか紹介させていただきます。

サーバの構成情報をvuls Serverをたてて、CurlなどでPostすると、そこで脆弱性診断が可能である。
ansibleなどでも送る事も可能。

既存の構成管理ツールと統合する事が出来る
chefとかansibleなどと統合

AWS Systems Manager 連携

適当なスクリプトでvulsサーバに投げ込む事で結果が得られる
vuls Serverだと、若干の制約がありエージェントより検知性能が劣る
ただし、ＳＳＨが駄目とか、バイナリのインストールが出来ない環境でも、構成管理ツールがあれば連携する事が可能が強みである。
VulsのVer0.5.0にはVulsServerが同梱されている。別途インストールしなくても使用する事が出来る。

下記資料が公開されたしたので、貼っておきますが、もしかしたらログインしないと見れないかも知れません。

20:40- 「開発環境提供スポンサーセッション: IDCFクラウドのセキュリティ事情(仮)」（5分）

IDCフロンティア 藤城 様
IDCFクラウドやその裏側の環境での、セキュリティ関連の情報等のお話です。

vulsのtemplateがCloud上につくって置いているので、使いたい方は使っていただきたいと思います。ただし、Ver0.5.0ではない。Ver0.4.2系のみ。今後Ver0.5.系も作らないとねと言ってました。
ここからは、DCすなわちデータセンターのセキュリティの話

DCを隠さず公表している意味？

• DCの所在値・電力会社など明かしている理由は、公開しても生体認証などがあり、行ってすぐ入れる様なものではない。
• 隠して欲しいというお客様より、公開して欲しいお客様の方が多い
• 隠してもばれる　－＞サーバ納品するにも、住所必要ですよね？隠すはセキュアにならない。

20:45- 「VulsRepoの更新について」（5分）

usiusi360様
VulsRepoの Vuls v0.5.0 対応についての話です。

急遽、登壇する事になった為、VulsRepoの Vuls v0.5.0 対応についての話では無いっぽい。

－＞vulsとOpenVASの比較

IoTSecJP 車のハッキング・ドローンのハッキングなどを研究している。

OpenVASは、それぞれの個別のパッケージは見ていない。
ただ、それ以外の手法で保管している。
OpenVASについては、その他の手法も使ってやっているが、ペネトレーションテストほどではない。

vulsのほうが残存している脆弱性を検知している。
思想の違いである。

20:50- 「会場提供スポンサーセッション」（5分）

フューチャー株式会社
会場提供頂いた フューチャー株式会社様の、スポンサーセッションです。

フューチャー株式会社にはキャリアパスがある。
評価精度がある。プレゼンして優勝すると、ボーナスをもらえる。
社内イベント・ハワイに行ったり、色々とイベントがある。

やることをやっていれば、自由である。
テレワークなども可能の会社

20:55- 「LT time #1: Soracom x Vuls」（5分）

株式会社ソラコム 須田様
VulsとSoracomの連携についてのセッションです。

IoTな環境でもVulsやってみた。

SORACOM

株式会社ソラコムってどんな会社？

simの会社

IoTで脆弱性の管理？

汎用Linuxを積んだ機器を活用され始めている（ゲートウェイ機器）
ユーザ側でプロアクティブにチェックできないか？

Raspbian OSを使っている機器が多いResin.ioのDockerベースと相性がいい
LB越しにVuls Serverも使える/healthcheckを使えば動かせる。

会社的に最近採用を始めている。下記URLにて詳細を確認されたし！

https://careers.soracom.jp/

21:00- 「LT: (仮)Vuls x CircleCIで実現する継続的Vulnerability Management」（5分）

国島様

CircleCI上で、Vulsを動かしてみた話をしたい。
CircleCI Ver2.0になって、好きなDockerを動かせるようになった。

必要なDockerイメージは更新で手に入る物

Jobの流れ

成果物をworkspaceを使って共有して各プロダクトで使い回す
workflowsを使って順番を定義して、辞書更新後スキャンを実行する方法としている。

感想

個人用途としては、これで十分だと思われる。
無料で使える点が大きい
サーバが複数あると、ちょっと辛いかも

21:05- 「LT time #3 オープンソースの持続可能性について」（5分）

BoostIO株式会社 横溝一将様
IssueHuntを活用した、オープンソースの持続可能性についての話です。

Boostnote というオープンソースを開発している
開発者が抱えている悩み

日中現場で仕事して、夜帰宅してオープンソースの開発をする。そんな日々を過ごしているなか
全然収益と結びつかない現実がある。そこでIssueをお金に換えるソリューションを立ち上げた。

絶望の淵にいた僕を救ってくれたオープンソース開発者をヒーローにしたい
日本をオープンソースでぶち上げる

21:10- 「LT time #4」(5分）

Interner Week2018の告知再び

11/28 - 30で開催予定
1日券がうん万円するイベントらしいので、9月下旬プログラム公開・事前登録開始

21:15- クロージング（5分）

今回の纏めと、記念撮影をして終了です。

かんべさん　より締めの言葉を頂き記念撮影して終了となりました。私も帰り支度をして会場を後にしました。

22:00- 完全撤収

終了は、２１時４０分頃だった気がします。

今回の所感

雷と豪雨が降る中のイベントでしたが、今回も楽しく為になるVuls祭を堪能できたと思います。
次もタイミングが合えば参加させて頂きます。また、この後、個人的にVer0.5.0を試しにインストールさせて動作の確認をする予定です。

The post vuls祭#04Report first appeared on ～下町物語～.

Vuls祭 #04本日開催

さて、本日Vuls祭＃０４です。今日は、現場１７時30分頃に引き上げて参加してこようと思っています。枠としては一般枠じゃなくて、5つあるブログ枠でのエントリーです。会場の模様も含めてreportを書いて行きたいと思っています。機材は、いつもブログを書いているタブレットPCと外付けキーボードとマウス及びiPhoneで録音＋フルHDのビデオカメラを用意しました。主に講演の内容を録画してブログの記事の確認用に使う用途です。盛りだくさんの講演があるっぽいので、楽しみにしております。

知識的に、source修正してプルリクを上げたりする様な事は出来ませんが、内容は理解して行きたいと思っています。前回総意味では、座談会などが結構参考になった気がしました。

今回は、vuls Ver5系の発表などもあるようなので、どのように進化をとげたのか？見届けたいと思っています。

The post Vuls祭 #04本日開催 first appeared on ～下町物語～.

Vuls祭り＃4参加申し込み

一般枠が埋まっていたので、なんと恐れ多いですが、ブログ枠でエントリーしてしまったという。今現場でもvuls担当として、実運用に使って居る状況で、前回Vuls祭り＃3を参加させてもらっており、色々勉強させていただきましたので、今回もお邪魔する予定です。

見所は、色々あると思いますが、なんと言ってもVulsのVer.0.5.0についてのセッションが興味深いです。

見所

Vuls祭り#4当日リリース予定のVuls v0.5.0では、100コミット以上、1万行以上が追加されました。 
スキャン精度が大幅に向上し、便利な新機能が盛りだくさん。 
本基調講演では、v0.5.0の新機能、バージョンアップの注意点などを紹介します。

NVD JSONをサポートによりCPE指定の検知精度大幅向上、CVSS v3情報が出るように
RedHatのAPI情報のサポートにより、RHEL, CentOSにてパッチ未提供な脆弱性を検知可能に。さらにアップデート以外の手段での緩和策が表示可能に。
Debian Security Trackerのサポートによりパッチ未提供な脆弱性を検知可能に。
OWASP Top10に該当する注意すべき脆弱性かどうかを表示可能に
サーバモード追加によりワンライナーでスキャン可能に（詳細はknqyf263氏のセッションにて）
CWEの英語、日本語タイトルを表示可能に
Stride通知
ChatWork通知
TUI, Slack, Emailレポートの変更
スキャンモードをconfig.tomlで定義可能に
脆弱性ごとにパッチ提供、未提供かを表示可能に
go-cve-dictionaryのlistコマンド
無視したいpackageを正規表現で定義可能に
などなど。

今現状の最新版をつかっているので、そこからどう変わっていくのか、かなり興味深いですね。当日は、皆様に詳細が分かる記事を書ければと思っています。ある程度は、現地からVPNつないで書く予定ですが、体裁などは、自宅に帰ってから書く事になるのかな？と持っています。

ご期待ください。

The post Vuls祭り＃4参加申し込み first appeared on ～下町物語～.

今dockerで色々やってますが、どうもうまく行かない・・・。何が上手く行かないのか？

今Docker版のvulsを自動デプロイに着手してますが、これが、ローカル環境だと上手く行くのですが、別環境に持って行くと、全く上手く行かないのです。

vulsのレポートツールや辞書更新は全く問題ないです。ただ、vuls scanが外部に対してdockerからssh出来ないのです。今これの調査をしてますが、昨日自宅にｖｍ作ってテストしたのですが、同じ挙動をしていたので、それかな？と思う所を１つ発見したので、今日今現場に向かっていますが、確認したいと思います。

一旦、そうであれば解決ですが、そうじゃないときついですよね。いやはや、ドキドキしますね。

最初iptablesが影響して、dockerから外部にいけなかったので、iptablesを適切に設定して回避しました。しかしながら、ローカル環境では、全くそんな設定してないので何かが、ローカル環境と別環境で違う感じですね。一応、同じテンプレートから作ったつもりですが、何ともですね。

結果、SElinuxはディセイブルで特に問題無いようでした。結論からすると、VulsDockerでバグが発生しているというより、先祖返り？が発生している気がします。かなり昔のVerで修正された部分が再燃している感覚がしてならないのです。

The post dockerにはまる・・・。 first appeared on ～下町物語～.