2020-10-19

令和2年度10月情報処理安全確保支援士の午前問題復習

雑記

受けてきたので復習がてら記録に残すこととする｡
午前1免除は本当に楽ちんでこれがなくなったら受けると思うと憂鬱
全体的に知らないことが多かった､もっといろいろ勉強しないとだめだなという感想
結局過去問演習で用語を理解するのが良いのだろうね

午前1

免除だったのでやってない

午前2

問1
Webサーバに攻撃されたリクエストヘッダがあって悪用しようとした脆弱性は?

GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1  
(略

解答は OSコマンドインジェクション
;cat%20/etc/passwd が cat /etc/passwd UNIXコマンドでパスワードファイル読み込もうとしているから

他の解答

HTTPヘッダインジェクション
URLに改行コードの後に Set-Cookie 等入れてCookie設定をさせる
SQLインジェクション
入力欄で'hoge' or 'fuga'='fuga' みたいなのを入れることでSQL文を組み立てる
クロスサイトスクリプティング
リンク先を別のサイトに置き換えるようなスクリプトを埋め込んだりする

問2
SAMLの説明

Webサービスの機能など検索できるようにする仕組み
UDDI? ちょっとわからん
権限がない利用者による改竄から電子メールを保護する仕様 SSL TLSとかPGP･S/MIME?
ディジタル署名を管理するWebサービスわからん XLMS?
認証情報と属性アクセス制御を送る仕組み
SAML

問3
エクスプロイトコードとは

攻撃コード､ソフトウェアの脆弱性を悪用
エクスプロイトコードのこと
マルウェア定義ファイル､マルウェア検知に使われる
pattern file, virus definition file のこと
メッセージとシークレットから計算されるハッシュコード
ハッシュ関数で照合すること?
ログインのたびに変化する認証コード
OTPとか

問4
サイドチャネル攻撃とは

物理デバイスから得られるデータをみる
サイドチャネル攻撃
ゴミ箱から情報を見つける
トラッシング
通信を行う間に割り込んで盗聴
中間車攻撃
SQL文を入れて改竄
SQLインジェクション

問5
ブロックチェーンの記述

RADIUSで一元管理
RADIUSで認証管理する奴
SPFで電子メール
送信ドメイン認証のこと
楕円曲線暗号でp2p暗号化
ブロックチェーンで使われる
ハッシュ関数でデータ改竄
改竄見地

問6
NOTICEとは?

NICTがダークネット観測する
NICTER プロジェクトらしい知らなかった
国内のグローバルIPに攻撃する
NOTICE
申告したIoT機器への無料診断
わからんー
IoTテストベッド
わからん IICテストベッドかなんかか?

問7
サイバーフィジカルセキュリティ対策フレームワーク
答え通りでは

問8
CRYPTRECの活動内容

暗号技術の技術検討､安全性向上
CRYPTREC
情報セキュリティ対策の推進
情報セキュリティ対策推進会議?
情報セキュリティマネジメントシステムを認証して評価
ISMS
暗号モジュール試験報告書作成支援
CRYPTIPA

問9
3Dセキュア
そのまま PINとかセキュリティコードとかは漏れがち

問10
ネットバンキング MITB対策に有効なのは
トランザクション証明が効果的

問11
クラウドサービス定義が云々
どこまで責任を負うか考えればよし

問12
HTTPSのSecure属性
SecureついているCookieはHTTPには送らないとか仕組みを理解する

問13
ディジタルフォレンジックスとは

画像や音楽に著作権者情報を入れる
電子透かし?
実際に攻撃して試験
Penetration Test
話術や盗み聞き
ソーシャルエンジニアリング
データを調査分析
ディジタルフォレンジックス

問14
DMZのDBを内部に入れるときのFWの設定変更
そもそもDMZに入れるなって言うお話だけど

アを削除するとインターネットからWEBサーバにアクセスできなくなる
イを削除しないと存在しないDBへのルールが残るので必要な者だけを許可するために削除するウを追加するとWEBサーバからDBにSSHできてしまう
エを追加してもあんまり意味ないけどODBCはWEBに投げるものではない

問15
DNSSECで実現できること

改竄されてないことの検証
DNSSEC
通信暗号化ゾーン情報漏洩対策
DNSSECは暗号化しない暗号化するには DNS over TLS か DNS over HTTPS
似た文字で正規サイトに見せかけ防止
関係ない
URLの入力間違いで偽サイト
タイポスワッティングとかいわれるやつ

問16
SMTP-AUTH
SMTPはユーザ認証がないからそれを追加する仕組み

問17
IP25Bとは
動的IPから送られた25番ポート(SMTP)の通信をブロックする仕組み

問18
サブネットがわからないPCの名前解決
ブロードキャストかつ自分自身がわからないときはどうすればよいか､全部に聞く

問19
リモートアクセスで認証情報をやりとりするプロトコルはどれ

CHAP
PPPの時メッセージダイジェスト関数で比較して認証する仕組み
PAP
パスワード認証プロトコル
PPTP
VPNとかでつかうトンネリングするやつ
RADIUS
認証するプロトコル

問20
L2でループを防ぐプロトコルは?

IGMP
ホストをグループするプロトコル
RIP ルーティングプロトコル､数が少ない経路を選んだりする
SIP
セッション確立するためのプロトコル
スパニングツリー
ループを防止する

問21
DBMSがトランザクションのコミット完了はいつか
ログまで完全に完了してからでないと完全性が担保できない

問22
ソフトウェア要件定義の仮想の人物

エピック
関連するユーザーストーリの集合
ステークホルダ
利害関係者
プロダクトオーナ
アジャイル開発とかでの責任者､ビジネス研ぎ出芽わかっている人がやるはず
ペルソナ
謎の登場人物

問23
アジャイルでのふりかえりを行うタイミングは
次のスプリントが始まる前のタイミング

問24
計算問題

問25
プライバシーマークの監査での指摘事項
よくわからないけど､｢取得があった場合だけ｣ってのがだめそう
定期的にやるのが良いと言われてる気がする

2020-10-06

2020年秋アニメ 1話感想魔女の旅々

雑記アニメ

2020年の秋アニメ

秋アニメ､何か新しい面白い物はあるのかなと思ってみてみる
最近はアニメを見るのも面倒になってみなくなりつつあるけどタイトル的には期待できそう

魔女の旅々

原作も読みたいと思っていた(読めてない)
キャラデも好みで1話を見た限り良さそうなので見ることにする

ニケの冒険譚､これってイレイナのお母さんのでしょ多分
お母さんは自分の娘が同じ道を進むのを後押ししている一方､父親は心配して止めたいという気持ちを感じる
お父さんを見るにお母さんも偉大な魔女だったのでしょう
その優秀な魔力を受け継いでいるからイレイナも才能があるというのはよくある話で納得できる設定かな

星屑の魔女に弟子入りしてもしばらく何も教えてくれない､イレイナの成長のためってのはよくあるストーリーライン
気になったのは別れ際の｢会いたい人がいたから来た｣というところ｡
これはもうイレイナのお母さん以外無いでしょうね､つまりフランの師匠の魔女はお母さん
頼まれたシーンも｢お金で受けるなんて~｣って言っているあたりお母さんに大変な恩義があることがうかがえる
原作読んでないけど多分書いてあるんだろうな
お母さん-フラン-イレイナの弟子､美しいお話だなぁ
星屑の魔女って名前もお母さんの命名とすると師匠譲りなんだなぁ

旅立ちのシーン､お母さんがいろいろと渡していたのは自分の経験からかな
日記は自分がやっていたから､なのだろうかでもこれは娘の成長を見たいって方が大きいのかな
続きが楽しみ

2020-08-26

最近麻雀が流行っているらしい

麻雀雑記

最近雀魂なる麻雀が流行っている

MJやら麻雀ファイトクラブやら麻雀ゲームはいろいろあるけれど､最近はネット麻雀である雀魂なるものが流行っているらしい
ネット麻雀は天鳳を少しやっていただけでへっぽこなのだけれどやってみようとおもう
天鳳は特上程度のじつりきだったけれど今回は楽しめるのかな

キャラがかわいくてグラフィックも力入れているようで割とマシンスペックを要求されるよう
もちろんネトゲ用のメインマシンなら余裕だけれどこの前買ったタブレットPCでは高画質にすると固まってしまった
ちょっとやってみたところ下から2番目の段位には楽々到達できた
さすがに銅や銀は打ち方ぬるくて簡単
これより上の金からは多少変わるのかな?
ほどほどに疲れない程度に頑張っていこう

f:id:Type-Zer0:20200826142148p:plain — 成績

4位率が低いのでほぼノンストップで上に行けている
放縦率はやや高めなのかな
打点が低めなので､対局終了時の点数によってポイント変わるから苦労しそうだ

2020-05-21

Ubuntu 19.04 から Ubuntu20.04 へのアップグレード

Linux PC Ubuntu

Ubuntuをアップグレードする

仕事でも使っているMy PC Ubuntu 19.04 Disco Dingo を先日公開された Ubuntu 20.04 Focal Fossa へアップグレードする

アップグレード準備

− 環境確認

cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=19.04
DISTRIB_CODENAME=disco
DISTRIB_DESCRIPTION="Ubuntu 19.04"

 cat /etc/update-manager/release-upgrades | grep Prompt
Prompt=normal

− アップグレード準備

sudo apt install update-manager
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
update-manager はすでに最新バージョン (1:19.04.5) です。
update-manager は手動でインストールしたと設定されました。
アップグレード: 0 個、新規インストール: 0 個、削除: 0 個、保留: 0 個。
ripple@ripple-ThinkPad-A285~> sudo apt dist-upgrade
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
アップグレードパッケージを検出しています... 完了
アップグレード: 0 個、新規インストール: 0 個、削除: 0 個、保留: 0 個。

− アップグレード
更新が打ち切られているバージョンからの更新なので少し巷にある方法とは違う

 sudo do-release-upgrade 
新しい Ubuntu のリリースをチェックしています
このバージョンのUbuntuは既にサポートが打ち切られています。
アップグレード情報は以下を参照:
http://www.ubuntu.com/releaseendoflife
Checking for installed snaps

Calculating snap size requirements
cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=19.10
DISTRIB_CODENAME=eoan
DISTRIB_DESCRIPTION="Ubuntu 19.10"

リポジトリ情報のアップデート

サードパーティが提供するリポジトリを使わない設定にしました 

sources.list にあるサードパーティが提供するリポジトリを使わない設定にしました。アップグレード完了後、'ソフトウェアソース' 
ツールもしくはパッケージマネージャーを使って再び利用可能な設定にすることができます。 

続けるには [ENTER] キーを押してください
パッケージマネージャーをチェック中です
パッケージリストを読み込んでいます... 完了  
依存関係ツリーを作成しています           
状態情報を読み取っています... 完了      

変更点を確認中

変更点を確認中

アップグレードを開始しますか？ 


8 個のパッケージが削除されます。 106 個の新規パッケージがインストールされます。 1680 個のパッケージがアップグレードされます。 

合計 1,560 M をダウンロードする必要があります。 このダウンロードは 1Mbit DSL 接続で約 3 時間 18 分 、56k 
モデムで約 2 日 12 時間 かかります。 

アップグレードの取得とインストールには数時間かかることがあります。ダウンロードが完了してしまうと、処理はキャンセルできません。 

 続行する[yN]  詳細 [d]

削除: gns3 

(自動インストールされた) chromium-browser-l10n command-not-found-data cryptsetup 
  cryptsetup-initramfs cryptsetup-run diffstat example-content 
  freetype2-doc g++-8 gconf-service gconf-service-backend 
  gconf2-common gettext gir1.2-mutter-4 ifupdown intltool-debian 
  libappindicator1 libapt-inst2.0 libapt-pkg-perl libapt-pkg5.0 
  libarchive-zip-perl libasync-mergepoint-perl 
  libb-hooks-op-check-perl libbison-dev libc++abi1-8 
  libcapture-tiny-perl libcgi-fast-perl libcgi-pm-perl 
  libclass-accessor-perl libclass-method-modifiers-perl 
  libclass-xsaccessor-perl libclone-perl libcrystalhd3 
  libdbusmenu-gtk4 libdevel-callchecker-perl 
  libdevel-globaldestruction-perl libdigest-bubblebabble-perl 
  libdigest-hmac-perl libdouble-conversion1 
  libdynaloader-functions-perl libebook-contacts-1.2-2 libecal-1.2-19 
  libemail-valid-perl libexporter-tiny-perl libfcgi-perl 
  libfile-find-rule-perl libfuture-perl libgconf-2-4 
  libgnome-desktop-3-17 libigdgmm5 libimport-into-perl 
  libio-async-loop-epoll-perl libio-async-perl libio-pty-perl 
  libio-string-perl libip4tc0 libip6tc0 libipc-run-perl libisl19 
  libjson-c3 liblinux-epoll-perl liblist-compare-perl 
  liblist-moreutils-perl libllvm8 libllvm8:i386 liblouisutdml8 
  liblvm2app2.2 liblvm2cmd2.02 libmodule-runtime-perl libmoo-perl 
  libmutter-4-0 libmysqlclient20 libnet-dns-perl libnet-dns-sec-perl 
  libnet-domain-tld-perl libnet-ip-perl libnumber-compare-perl 
  libparams-classify-perl libparse-debianchangelog-perl 
  libpath-tiny-perl libperlio-gzip-perl libpoppler85 libreadonly-perl 
  libref-util-perl libref-util-xs-perl 
  libreoffice-avmedia-backend-gstreamer librole-tiny-perl librsync1 
  libsereal-decoder-perl libsereal-encoder-perl libsereal-perl 
  libstrictures-perl libstruct-dumb-perl 
  libsub-exporter-progressive-perl libsub-name-perl libsub-quote-perl 
  libtagc0 libtest-fatal-perl libtest-refcount-perl libtext-glob-perl 
  libtext-levenshtein-perl libtype-tiny-perl libtype-tiny-xs-perl 
  libunicode-utf8-perl libvpx5 libwireshark11 libwiretap8 libwsutil9 
  libx265-165 libxdg-basedir1 libxml-libxml-perl 
  libxml-namespacesupport-perl libxml-sax-base-perl 
  libxml-sax-expat-perl libxml-sax-perl libxml-simple-perl 
  libyaml-libyaml-perl lintian linux-headers-5.0.0-38 
  linux-headers-5.0.0-38-generic mlocate multiarch-support node-co 
  patchutils pppconfig pppoeconf python-certifi python-fasteners 
  python-idna python-lockfile python-monotonic python-requests 
  python-urllib3 qt-at-spi t1utils ubuntu-wallpapers-disco を削除 

(END)

システムのアップグレードが完了しました。

再起動が必要です 

アップグレードを完了するには再起動が必要です。 
'Y' を選択すると再起動します。 

続行する[yN] 



cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=19.10
DISTRIB_CODENAME=eoan
DISTRIB_DESCRIPTION="Ubuntu 19.10"

19.10 -> 20.04

同じ手順省略

− 結果

ripple@ripple-ThinkPad-A285:~$ uname -a
Linux ripple-ThinkPad-A285 5.4.0-31-generic #35-Ubuntu SMP Thu May 7 20:20:34 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
ripple@ripple-ThinkPad-A285:~$ cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=20.04
DISTRIB_CODENAME=focal
DISTRIB_DESCRIPTION="Ubuntu 20.04 LTS"
ripple@ripple-ThinkPad-A285:~$

アップデート終わり

これでひとまずログインまでできてデータもそのまま(一部パッケージあたりで動かないのがあった rubyをか) 使っている内に必要なモノを足していけば良さそう｡

おまけ

Windows側のアップデートかけたりしたらブートローダが吹っ飛んだらしくUbuntu起動できなくなりました･･････
後で修復します

2020-05-20

Thinkpad A285 今更BIOSアプデ来てたみたい

PC Windows

BIOSアップデート　　

メインマシンのUbuntu更新をしていたら、BIOS更新しろと通知が来た　　

　入手先　　

support.lenovo.com

リリース日 2020年1月23日　　

　リリースノート　　

このパッケージの役割次のデバイスが使用できるように、ソフトウェア (AMD ビデオドライバー) をインストールします。　デバイス名　デバイスマネージャー上でのデバイス名　AMD Ryzen 3 PRO 2300U with Radeon Vega Mobile Gfx 　AMD Ryzen 5 PRO 2500U with Radeon Vega Mobile Gfx 　AMD Ryzen 7 PRO 2700U with Radeon Vega Mobile Gfx 　AMD Radeon(TM) Vega 6 Graphics 　AMD Radeon(TM) Vega 8 Graphics 　AMD Radeon(TM) Vega 10 Graphics　　

　感想　　

グラフィックうまく使えてなかったの仕様だと思ってた
いくら何でも更新遅すぎませんかね?

pcsupport.lenovo.com

定期的に確認する癖つけないとなぁ

Type-Zer0のブログ

趣味について垂れ流す場所