10月19日(日)は。。。

こんばんは。ぺーた ニコ です。

タイトルにもありますけれど、10月19日(日)は何の日でしょうか?

はい、知っている人は知っていますね。

秋季情報処理技術者試験です。


o...rz


申し訳ない気持ちでいっぱいになりながら、(お察しください。)

情報処理技術者試験を管轄している

独立行政法人情報処理推進機構(IPA)のサイトを見たところ、

平成21年度の春試験から新たにスタートする新試験制度の

サンプル問題 なるものがありました。




つらーっと見たところ、

新しい基本情報技術者試験、

上流工程の香りが強くなっているような印象を受けました。




ぺーたが受験した頃の基本情報技術者試験は、

アルゴリズムとプログラム言語に関する問題の印象が非常に強く、

どちらかと言うと下流工程の問題のボリュームがあったような気がするんですよね。

(あ、あと表計算の問題もあるのね。)



んで、肝心の情報セキュリティスペシャリスト試験の問題ですが、












んっ?















んんんんんっ????














問題文なげぇぇぇえぇぇぇー!!










ちょっと大げさに驚いてみました。

冊子にすると、4.5ページ、行間をつめると4ページくらいでしょうか。

まぁ、情報処理技術者試験の場合、この位は想定の範囲内ではありますが。

(なんて、つよがってみたり。)




しかしながら、この長文は中々の曲者なんですよね。

のんびり読んでると、あっという間に試験時間が無くなってしまいます。




その昔、この長文に苦戦していた時ですね、どこかのサイトで、

「はじめに設問を見てから、答えを問題文から見つけたほうが良い」

みたいな事が書いてあったので実践してみましたが、

これはぺーた的にはNGです。




まったく読んでいない問題文から設問の答えを探すのは難しいし、

問題文の端っこに申し訳なさそうに書いてある舞台背景を見落とし、

設問の罠に引っかかります。




そして、結局この問題は何をしたいのかが理解できず、

しかたなく最初から問題文を読むという、

本末転倒の結果を招きます。(少なくともぺーたは。)




だから、この手の問題は、

1. さらっと問題文を読み、その舞台を頭にイメージ
2. ずばっと設問を読み、答えのヒントを問題文から探す

という解き方をお勧めします。(僭越ながら。)




特に何も考えず自由に書いていたら、
思いのほか盛り上がってしまいましたが、
この辺を着地点にして、(着地してない?笑)
今日は寝ます。


ぺーた。

第2章の8回目(その他の攻撃方法)

こんばんは。ぺーた ap です。

いやー、もう木曜日も終わりなのですね。
最近は(特に今週は)時間の流れるのが早い早い。

今までには無かったような時間の流れ方だなぁ、
なんて感じています。

そして、明日が終われば三連休。
今回のお休みは何をしようかなぁ。

家でのんびり?
それとも町へ繰り出しショッピング?
はたまた実家へ帰って親孝行?

考えるだけでも楽しいものですよね。

アメーバ

さて、今日もお勉強をしていきましょう。

今回は「その他の攻撃方法」ということで、
今まで取り上げてきた攻撃方法には入っていないものについて見ていきます。

ざっと対策本を見た限りだと、「これ、攻撃じゃなくね?」ってのが、
ちらほらあるように感じますが、その辺はご愛嬌ということで。

アメーバ

○ソーシャルエンジニアリング

IT技術に頼らず、人的な脆弱性を利用して情報を得る手法。
決してmixiではない。

# ソーシャルエンジニアリングについては
# なりすましの記事 でちょっと取り上げたよね。

(1)ショルダーハッキング

・ユーザIDやパスワードなどを入力している人の肩口から、情報を覗き見る。
・キーボードのタイプが遅い人などはパスワードがバレやすい。

(1’)ショルダーハッキングへの対策

・重要な情報を入力する時は、周りに人がいないか確認する。
・ディスプレイに、横からは見えないフィルタを貼る。
・パスワードがバレないよう、素早くタイプする練習をする。

(2)スキャビンジング

・ゴミ箱に捨てられた書類から情報を盗む。
・シュレッダーから情報を復元されるケースもある。(こういうこと?

(2’)スキャビンジングへの対策

・高性能なシュレッダーで確実に裁断する。
・守秘義務契約をした外部業者に廃棄を依頼する。
・磁気データの破棄の場合は、物理的に破壊するなど、確実にデータを抹消する。

(3)会話の盗み聞き

・重要な話に、聞き耳をたてる。
・壁に耳あり、障子に目あり。歩く姿はホウレンソウ

(3’)会話の盗み聞きへの対策

・他の人に聞かれちゃマズい話は、みんながいる場所ではしない。

○スパムメール

(1)スパムメール

・大量のうざい広告メール。
・セキュリティの甘いメールサーバを利用して送信する。
・量が量だけに、メールサーバに負荷がかかってしまい、正規のメールのやり取りに
影響が出る場合がある。

# ↑サービス妨害の仲間だね。

(1’)スパムメールへの対策

・メールサーバのセキュリティを強化する。
・オプトインを実施する。(e-Words - オプトイン

○DNSキャッシュ汚染(10月16日追記)

(1)DNSキャッシュ汚染

・DNSサーバのキャッシュに不正な情報を登録させ、偽サイトなどへ誘導させる
・URLは合っているのに偽サイトへ繋がる = フィッシングするための有効な手段
ダン・カミンスキーさん は良い笑顔

(1’)DNSキャッシュ汚染への対策

・修正パッチを適用する


アメーバ

あまり「攻撃」という感じではありませんが、身近な危険ではありますね。

ぼけーっとしてたり、うっかりしていると、あなたと、あなたの企業の
重要な情報が盗まれてしまう恐れがあるかもしれません。

これで第2章は終わりです。(長かった!)
次回は確認テストということで、問題を解いていきたいと思います。

ぺーた。

あたま・あるご・ぐるぐる

こんにちは。ぺーた 骨 です。


今、個人的に、家で、ちょっとしたWebサイトを作っているのですが、

どうにもこうにもうまく行かなくて、頭の中が回っています。


細かいこと書くと長くなってしまうので、ここでは書きませんが、

簡単に言うと、プログラムが思ったとおりに動いてくれないんです orz


いつか、「プログラムは思ったとおりに動くんじゃなくて、

書いたとおりに動くんだよ」みたいな言葉を聞いたことがありますが。


ここ2日ばかりは、帰宅してから、眠くなってダウンするまで、

ずっと書いたとおりだと動かないプログラムと、格闘してます。


途中で休めばいいんでしょうけど、どうにもこうにも止まらないのですよね。


今日は、夢にまで出てきました。しかも、1回じゃなくて、5回くらい。

いずれの夢も、動作する画期的なプログラムの流れがひらめいて、

完成する夢。


でも、その肝心な画期的なプログラムの流れは、

目が覚めると頭に残っていません。


今日こそは、夢の中じゃなくて、

現実の世界で完成させたいな。


ぺーた。






[ここからその後] ----->




(10月8日 20時17分)


で、できたぁぁぁあ嗚呼嗚呼嗚呼あぁぁぁぁぁぁぁぁあぁぁああああぁぁ!!!!

たった今、まさに今、ほんの3分ほど前、ぐるぐるがかいけつしましたぁぁぁああぁぁぁぁぁ!!!!!


あぁ、嬉しくて、気持ちよくて泣きそうだ!!!

すごく、感動している!!!!!


ああ、やっぱりコレだからやめられない(´u`*)


今夜はぐっすり眠れそうです。


詳しくは、ブログマンズ のほうで♪

ぺーた。

第2章の7回目(サービス妨害)

こんばんは。ぺーた ピンクきのこ(マリオ) です。

今、風呂上がりなんですけど、あちいです。非常に。
ほんっっっと、どうでもいい事なんですけどね。

小型の扇風機を浴びながら、書きますね。
ついでに窓もあけちゃおう♪

(ほんっっっっっっっと、どうでもいい事ですんません。
 でも、冒頭に何か書かないと落ち着かなくて。グスン。)

アメーバ

よし、落ち着いた所で勉強をはじめましょう!

ええっと、前回 は攻撃方法の1種である「なりすまし」について勉強したのでしたね。
今回のお題はってぇ~と、「サービス妨害」についてです。

要は、邪魔するんですね。
もう少し詳しく見ていきましょう。

アメーバ

○サービス妨害とは

サーバに対して故意に負荷をかけたりする事で、サーバを使用不能にさせる行為。
DoS攻撃とも言われる。(Denial of Service attack の略 -> で、でにゃる おぶ さーびす あたっく?)

○サービス妨害の種類

(1)TCP SYN Flood

・3ウェイハンドシェイクを利用した攻撃方法。
・要求者が、相手に対して最後に送るACKに応答しないことで、 相手をずっと待たせ、
 相手側の資源を消費させる。(wikipedia - SYN Flood

(1’)TCP SYN Floodへの対策

・不成立コネクションを強制的にタイムアウトさせる。
・不正なアクセスを思われるIPアドレスからの通信を遮断する。

(2)Ping of Death

・たしか、Xbox360が壊れたことを示すあk
・許容範囲を超えるのpingデータを相手に送りつけ、コンピュータをクラッシュさせる。

(2’)Ping of Deathへの対策

・Xbox360を修理にだs
・セキュリティパッチを適用したり、OSのバージョンアップを行う。

(3)DDoS攻撃

・複数台の端末から攻撃目標に対して集中アクセスを行う。

# しばらく前に、ニコニコ動画でもこれがあったんだね。
# (it-media - ニコニコ動画にDDoS攻撃
# この記事を見る限りでは、複数台の端末からSYN Floodの攻撃をしたみたいだね。

(3’)DDoS攻撃への対策

・IDS(自動進入検知 & 防御システム)を導入する。
月間情報セキュリティ - 不正アクセス監視

アメーバ

ここで紹介したさまざまな攻撃方法、英単語が並んで一見難しそうに見えるけど、
その内容を調べてみると、結構単純な仕組みなんですね。

ふと思ったんだけど、ちょっとプログラムができる人なら、
特定のメールアドレス宛に、大量のメールを送る攻撃ができそうだ。。。
これも攻撃のひとつだよね。(絶対やってはいけません。)

次回は攻撃方法シリーズ最終章、「その他の攻撃」をお送りします。

ぺーた。

第2章の ? 回目(睡眠妨害)

こんばんは。ぺーた くま です。


なんだか最近はめっきり寒くなってきましたね。

朝、お布団から出るのがおっくうで仕方ありません。


でも、なぜだか最近5時くらいに目が覚めるときがあります。

毎日就寝時間は12時過ぎくらいなので、いっぱい寝たから

目が覚めたというわけではなさそうなんだけれど。


調べてみると、睡眠の深さが関係している模様。

人は寝ていると浅い眠りと深い眠りがおよそ90分周期にやってくるそうです。


そいで、寝た時間から計算して丁度眠りが浅い時間が5時位なようで、

めでたくぺーたが目覚めたと。そういう事みたいです。


さすがに目が覚めたときは眠いのだけれど、

「よし!」、っていう感じで気合を入れると簡単に起きれます。

(本当に眠いときと比べると、全然違うのです。)


* --- * ここからはちゃんと起きれた時の感想 * --- *


早く起きた朝は、あつーくて、こゆーい、モーニングコーヒーを飲んでしまえば、

もう頭も体も活動モード。もう布団に戻ろうという気持ちはなくなります。


活動モードに入ったらしめたもので、

やれインターネットで調べ物だ、

やれテレビのニュースだ、

やれ朝ごはんだ、

などなど... とても充実した時間を過ごせます。


早起きは3文の云々なんていいますけど、

まさにそんな気がします。


心も体もとても好調な状態で、

出勤することができるのですね。


そんな日は、若干ではありますが、

仕事の集中力も上がっているような気がします。


アメーバ


ということで、興味がありましたら、お試しあれ。

ぺーた式早起き法(笑)


12時過ぎに布団に入り、

12時半頃に眠りにつけば、

5時ごろにさわやかな目覚め。

(の予定。)


ぺーた(22)@健康が一番