システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
August 4, 2016 10:00
by 『Security Affairs』
今日は、機械学習をベースにしたクラウドセキュリティ企業CloudSekの創業者Rahul Sasi氏へのインタビューを紹介する。
Rahul Sasi氏(@fb1h2s)は、機械学習をベースにしたクラウドセキュリティ企業CloudSekの創業者である。彼は Garage4hackers.comの管理メンバーでもあった。彼はCloudSekの創業以前、 Citrixで製品がハッキングに耐えられるようにするという職務のシニアエンジニアを務めていた。彼がセキュリティ研究者としての経歴をスタートさせたのはiSIGHT Partners(現在のFireEye)である。
Sasi氏を知る人々は、彼のことを多岐にわたる分野のとても有能なハッカーだと説明する。知識を人に伝える能力をはじめ、彼の才能は素晴らしい。そこで私は彼に会いインタビューすることにした。
El Regより
Q:あなたは最も有能なハッカーの一人ですね。あなたの技術的な経歴とハッキングを始めた時期を教えてください。
A:個人的に自分が有能なハッカーだとは思わないし、そう呼ばれるのにふさわしい、私より優れた人々は沢山いると思う。しかし確かに私は野心家で努力家だ。
元々映画の影響でコンピューターやセキュリティにずっと興味はあったものの、2008年の大学2回生の時に初めてコンピューターを手にするまでそれらに関わる機会が全くなかった。大学生の間は様々なハッキングコミュニティーに参加し、オープンソースのツールを作成したり、知りたいことを学んだりすることに大半の時間を費やした。私は新しいことを学ぶのに夢中になったが、大学はそんなに役に立たなかった。そこで私は大学を中退し、セキュリティコンサルタントとして働き始めた。だから私は全て、インターネットと専門的な経験から学んだのだ。
Q:最大のチャレンジについて教えてください。
A:ケーブルテレビ(DVB-C)のセキュリティ研究に興味をそそられていた。主な理由は、調査を実現するために必要なインフラとリソースは、容易に利用できるものではないからだ。私は家から400マイル離れたケーブルテレビのオペレーターとどうにか提携した。
契約は彼らのために無料のセキュリティ監査を行うというもので、その見返りとして私は調査結果を発表した。私は現地に研究室を設置し、週末は調査のためにこの施設に通った。私はこのルーティーンを約7ヵ月続けた。
・Hacking cable TV Networks Like Die hard Movie(slideshare)
Q:ハッカーの必需品として欠かせないツールとその理由を教えてください。
A:私が一番使用するのはデバッガー(WindbgとOllydbg)やBurpsuite、逆コンパイラ(JD-UI)、Wiresharkだ。
Q:今ウェブ上で最も面白いハッキングコミュニティーを教えてください。
A:インドのハッキングコミュニティについてお話しする。Eラーニングとオフラインコミュニティの両方がある。
Garage4hackers.comは、Eラーニングに特化したトップコミュニティの一つだ。 G4Hは、ウェブ放送シリーズやフォーラム、チャリティー企画でとても人気となっている。
オフラインコミュニティーで最も人気なのがNullだ。Nullでは毎月セキュリティの会合を開催したり、4ヵ国13の支部で無料のセキュリティトレーニングを行っている。また、リバースエンジニアリングとマルウェア解析の無料教育を提供することに打ち込む素晴らしい人たちのグループsecurityxploded.comもある。それから、www.is-ra.orgや ClubHackは、フリーマガジンやセキュリティイベントを通して自分たちの取り組みを共有している。
Q:サイバー攻撃に最も晒されている業界(ヘルスケア、自動車、通信、金融等)とその理由を教えてください。
A:金融業界や通信業界のセキュリティは常に懸念されている。しかしこれらの業界が新しい技術に徐々に適応することで、良い状況になってきた。一方で、ヘルスケアや自動車産業は、IoTやクラウド、自動運転車両といった形の大胆な行動を取っている。よって、焦点と重点を置くべきはこの2つの業種だ。
Q:インターネット上でより危惧していることは何ですか。
A:私が危惧しているのは、たくさん時間があり、優れたインターネット接続環境があるハッカーである。
翻訳:編集部
原文:Hacker Interviews Rahul Sasi (@fb1h2s)
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。
Fb1h2s ことRahul Sasi氏プロフィール
情報セキュリティ研究者
・Garage4hackers
・Fb1h2s aka Rahul Sasi’s Blog(Garage4hackers内にあるFb1h2s氏のブログ)
・Facebook
・Twitter
・linkedin
1
日本で進むネット世論操作と右傾化
March 29, 2018
2
政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる
February 16, 2018
3
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
4
多くの生体認証は手軽に突破可能!? 百度のハッカーが語る「生体認証の破り方」
March 6, 2018
5
世界をリードする南米のATMハッキング術
March 23, 2018
6
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(前編)
February 1, 2018
7
スマートフォンの指紋認証をセロハンテープでハッキング
February 5, 2018
8
「教科書アダルトリンク事件」の犯人が逮捕される
February 13, 2018
9
中国ホワイトハッカーが選ぶ「中国黒産業5大事件」2017年版
March 26, 2018
10
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)
February 8, 2018