Lazy

先來說說2019的資安大會，與往年不一樣的地方： 首先，EDR的廠商感覺增加了不少，有些還在會議中心的入口報到處擺攤。再來就是場地的增加，除了會議中心外，今年還多了世貿一館，這三天光是為了參加議程而兩邊跑了不下十次。其三，工控的主題變多了，在21號的大會堂中，也以火車模型展示了當駭客任意變更軌道時，所造成的公共安全問題，最後一點，是學生今年多了很多，小編覺得這是好事，代表新鮮的肝…哦！不是，是年輕人越來越希望能夠了解資安，期待資訊人才能夠直接與學生接軌。 感覺今年的Cyber lab(一些現場報名的實作課程)與去年的目標不同，去年比較重技術或是如何滲透，今年比較重鑑識及軌跡分析。 另外，還多了”Blue team workshop”， 課程的主題主要是以資策會採用了以色列開發的Cyberbit range所開發的攻擊演練系統，感覺這套系統也是因應去年底出來的資安法，為了讓金融，政府單位能訓練人才及通過法令(主要應該是法令) 。可惜的是在資策會的正式課程中，每一個攻擊演練都必花費至少數個小時完成，要在資安大會中的短短兩個小時中完成目標還是略顯不足。   Cyber Lab & Blue team workshop   Target ranson – 無需惡意程式的目標式勒索攻擊手法 這個課程小編覺得還不錯，題目符合實際操作，是利用Windows本來就有的工具來進行攻擊，如用Powershell進行提權，利用Pordump取得使用者的密碼，再利用使用者遠端進行檔案加密，且加密的工具是RAR，除了解密必需要使用Mimikatz外，幾乎是不用什麼特別的工具。當然最後還要伴演MIS，利用趨勢自家的EDR來去畫出駭客的軌跡，畢竟這堂課是他們開的，總是要幫自己打一下廣告吧！   Cyberbit Range Blue Team演練 Part 2 – Trojan Data Leakage攻防演練 課程一開始就花了較多的時間在解釋資策會如何去找到以色列的這套攻防演練軟體Cyberbit Range，並且期待要以這套軟體加強MIS或資安相關人才的培育，另外也是符合2018年底出來的資安法，針對公務機關都要進行攻防演練。最後花了半小時在操作這套演練系統，然後半小時解說，只能說是進來看看在做什麼，但其實沒有辦法把整個流程走完，以課程安排來說有點差強人意，但企業想加強人員的訓練，這個環境到是也不錯，連結貼在下面，有興趣的可以看看。 https://cybersecurity.tisnet.com.tw/Home/CenterIntroduce   議程   使用軟體無線電進行封包重送、逆向與偽造 這個議程是趨勢科技利用研究及實作來針對工業機具常使用的無線電控制器，在針對機具進行遙控時做無線電的側錄，並且進行指令的重送，成功的控制機具。在簡報中也提到這類型的攻擊會因為軟體定義無線電，而使得攻擊所花的成本越來越低，同時也利用這項研究，再一次說明工業用的機具在早期設計時並不會考慮到資安問題，但如果機具商不從現在開始考慮，就很有可能會造成工安事件，到時候損失將難以估計。   工業控制 Testbed 與資安攻防研究 這個議程由安碁資訊主講，跟上面的議程都是在探討資安風險的，不過這個議程是在大會堂辦的，所以人數多很多，主要是利用火車模型來模擬當基礎建設遇到駭客時，如果不注意資安風險，就會發生重大工安事件。也跟大多數的攻擊相同，一開始先針對工業語法Modbus進行封包側錄，在取得了包含燈開關、進出隧道、切換軌道等資料後，在火車下一次經過軌道時，發出假的訊號來迫使軌道切換，造成火車出軌。由這個實驗也帶出工控應該如何進行防護。 潛入黑色飯店窺探駭客足跡   一開始就放了這張圖，講述一個駭客集團被稱作”DarkHotel”，起因於這個集團並不像其他集團是針對系統漏洞或是釣魚來進行滲透，而是直接入侵飯店的網路系統，而當有價值的旅客來入住時使用飯店的網路時，趁機安裝惡意程式來取得機密資料。在此份研究當中，提到DarkHotel主要針對投資，政府機構，國防工業，電子製造商和能源政策制定者進行資料竊取。…

BGP 協定中，有一條是關於Load balance的，但這種balance跟我們一般在說的L4 或L7 load balance本質上有些不同，這裡不多做解釋。 主要目標是要利用HP Switch來完成BGP的建置，而我被要求balance的數量要在16，但預設HP switch BGP balance數量是8。 所以在HP 的Swtich中，有一個設定是在改寫這個設定，這個設定的名稱是 max-ecmp-num XXX #最大值為32   改寫這段設定後需要重開機，重開後就可以依你剛剛設定的值來增加BGP balance的數量。   再次進到BGP來，就可以看到最初只能設定8條的限制，現在變成可以設定到32條了。   我目前測試了幾個型號，沒有支援的：5500HI，5130EI 有支援的：5900AF ，5940 以上，供給各位做參考。

有客戶在問，如何將Fortigate的介面設定為Trunk，並設定多個Vlan，之前我並沒特別做這類型的設定，所以上網找了一下，但不知是我的領悟能力太差還是相關的資料不夠多，最後還是問了工程師後才做出來，所以特別紀錄，有需要的就參考一下吧！     1. 讓Interface 脫離Hardware Switch 進到Network > Interfaces，點選紅色Internal的介面。     讓原先已在Hardware中的介面，選其中一個並按X脫離。     脫離完的介面會出現在Physical的欄位中。     2. 建立Vlan Interface 點選Create New，新建Interface。     輸入Vlan的名稱、Type、及綁入剛脫離Hardware Switch的介面。記得設定介面IP並確認是否要使用DHCP Server。         3. Switch設定及接線測試 與Fortigate介接的Switch，該介面請記得設定Trunking mode。 確認無誤後接上線，Client就可以取得IP位置了。

突然接到SNMP傳來磁碟空間超過80%以上的資訊，目標是要找出空間被用到哪去了。   1. 找出空間消失到哪去了？   利用指令”du <目標位置>”來確認空間的使用狀態， -m 代表空間以MB呈現。   以MB來呈現，會發現Citrix的空間全被”/var/nstrace”佔住了，這個空間是當Debug時用來存放封包的檔案，有的時間已經久遠可以移除了。   2. 清理空間   從UI上刪除不必要的檔案，當然您想要用CLI介面來刪除也是可以   3. 再次確認現有空間   清除完畢後，再次確認空間，可以看到空間釋放出來了。

從2018年 10/15 – 10/30 因防火牆更換作業，有時候網頁會不正常，請晚點再連線。 謝謝各位的支持！