【バグハンターインタビュー】Bitmap
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
【バグハンターインタビュー】は、バグバウンティ業界の専門家がバグの種類やトレンドに光を当てるインタビューシリーズです。次回から3回のインタビューでは、2020年第1四半期のリーダーボードで上位3名のバグハンターを紹介します。
Bitmap(Tom)氏はExceptionalで連勝し2位となりました。報奨金やポスターの回収の合間を縫って、我々の質問に答えてくれました。
Tomさん、こんにちは。あなた自身について、またバグハンターになった経緯について教えてください。
こんにちは!ベルギー生まれ、ベルギー育ちの23歳、Tomです。
現在、ガールフレンドと一緒に家を建てていて、ローウィーというバーニーズマウンテンドッグを飼っています。最近は週に3回、頭をすっきりさせて体力をつけるために武術を練習しています。
小さい頃からITに熱中していて、兄のデスクトップに侵入して新しいゲーム「DOOM」(DOOM III)をプレイしようとしたりしました。Windowsのコマンドや、同じネットワーク上の他の人を騙すためのトリック、たとえばmsg.exeやシャットダウンコマンドなどを、面白いと思って遊びまわってました。当時11〜12歳だった私は、backtrackを起動し、シェルの概念や基本的なマルウェアを学び、新しいビデオゲームだと言って友達に送って彼らのシステムを破壊していました。
人間科学科の高校を卒業後、大学でサイバー犯罪を学ぶことになり、そこで初めてバグバウンティに触れました。当時、Arne Swinnenが大学でInstagramの知見について講演し、Intigritiのステッカーを配ってくれたんです。その時にプラットフォームに登録しましたが、当時はあまり積極的なメンバーではありませんでした。
大学卒業後、ペネトレーションテスターとして就職し、最初の1年間は多くのことを学びました。また、より多くのバグハンティングを行い、成功を収めました。時間が経ち、知識が増えるにつれて、より重要なものを見つけ、バグハンティングにのめり込むようになりました。
では、今はどのような生活を送っているのでしょうか。バグバウンティをどのようなペースで行い、それはあなたの生活にどのようにフィットしているのでしょうか?
現在もNTTベルギーでフルタイムのペネトレーションテスターとして、ペネトレーションテストとゼロデイリサーチ、レッドチームの任務を兼ねて働いています。帰宅後、1日3〜4時間、週末にバグハントをしています。まだ趣味のようなものですが、正直言って、少し中毒気味なので、ガールフレンドが定期的に私をノートパソコンから引き離しています。
どのようにターゲットにアプローチしますか?決められた手順に従っていますか?考えられる全てのバグ、全てのエンドポイントに対して脆弱性のテストを行いますか?あるいはそれ以外の方法でしょうか?
私は、重複の可能性が低いという点から、少し古いターゲットを選ぶ傾向があります。私は大抵、すべてのドメインの偵察とスクリーンショットから始め、その後、共通の、あるいは興味深いディレクトリを素早く見つけるために、小さなワードリストでディレクトリのブルートフォースを行います。面白い、あるいは有望だと感じたら、より大きなワードリストで各ドメインを1つずつ手動でチェックします。
私はいつも、ドメインに対して次のような流れでアプローチをしています。まず最初に、XSS、IDOR(Insecure DirectObjectReferenceという脆弱性)、SQLiなど、より一般的な問題をすべてのドメインで確認します。次に、興味深いドメインを深く掘り下げ、ロジックバグやより複雑な連鎖を見つけるよう努めます。最後に、システムやアプリケーションの間に悪用される可能性のある相互接続があるかどうかをチェックする傾向があります(例えば、別のウェブアプリケーションでも気づいたデータを返すAPIなどです)。
バグハントで重要な役割を果たすのは偵察ですか?また、それはあなたにとってどのようなものですか?
偵察は、他の人が発見していない、あるいはまだ発見していない範囲を明らかにすることができる可能性があるので重宝しています。私は、サブドメインなどを素早く発見するために、公開されているAPIに基づいて偵察するカスタムスクリプトをいくつか作成し、また、徹底的に範囲をカバーするためにブルートフォースドサブドメインのテクニックを使いました。
最も力を入れて探す脆弱性のターゲットがあれば、その脆弱性名とその理由を教えてください。
好きなターゲットのタイプを挙げるとすれば、ホスティングプロバイダーでしょうか。内部テストからレッドチームまで、日常的にインフラ関連の仕事をすることが多いのですが、ネットワークやアクティブディレクトリをハックするのは気持ちがいいからです。インフラ系のターゲットはかなり限られているので、日常的に使っているターゲットや、調べてみて面白そうなターゲットを選ぶことがほとんどです。
好きなバグの種類は特にありませんが、サンドボックスエスケープ、ローカルファイルのインクルージョン、IDORなどが好きです。
見つけたバグの中で一番面白かったもの(またはお気に入り)を教えてください。
私のお気に入りは、ホスティングプロバイダーのネットワークにおけるアクティブディレクトリのハッキングです。私はホスティングパッケージをエントリポイントとして使用し、クラウドボックスへのソックストンネルを作成して、内部ネットワークへのsmbおよびldapトラフィックを中継し、最終的に彼らのActive Directoryのドメイン管理者権限を取得しました。
あなたの強みはどのようなものですか?どのような種類のツールを頼りにしているのか、どのように選んでいるのか、そしてどれがお気に入りなのか教えてください。
私のセットアップは、他のバグハンターと比較するとごく標準的なものだと思います。Burpsuiteをローカルプロキシとして、authorize、reflector、file upload scannerなどのプラグインと一緒に使っています。カスタム動作が必要な場合は、Burpの上にmitmproxyを載せてカスタムスクリプトを使うのが好きです。
Dirsearch は、興味深いディレクトリを素早く見つけることができるため、非常に気に入っています。
インフラに関しては、rpivotとimpacket suiteがソックス・トンネルとADインタラクションのための私のベストツールです。
バグハントについて、過去の自分にどんなアドバイスをしますか?
忍耐、忍耐、そして…忍耐ですね。
過去の自分は、2、3時間以内に何も見つからなければ、別のターゲットに移っていました。私は、常に急いで結果を出そうとするのではなく、時間をかけてターゲットのさまざまなエリアとさまざまな機能のロジックを学ぶことを学びました。
普段、どのような生活を送っているのでしょうか。バグバウンティをどのようなペースで行い、それはあなたの生活にどのようにフィットしているのでしょうか?
個人的には、1日のうちバグハンティングに費やす時間は、仕事が終わってから3、4時間程度に抑えるようにしています。そうしないと、夜遅くまでかかってしまうんです。もちろん、これからイベントや他の仕事がある場合は、この時間は変動します。週末は恋人や家族、友人と充実した時間を過ごすために、夕方の時間を確保するようにしています。
ハッキングのスキルを向上させるという意味では、ブログの記事や文章から多くを学びました。最も興味深いものをカバーするために、日々新しい投稿を追いかけるようにしています。
すべてを把握するのに役立つのが、上手にメモを取ることだと思いますが、何かメモを取るアプリやナレッジマネジメントシステムをお使いですか?
昔から使っていて慣れたので、メモを取るときはいつもマークダウンを使っています。画像の挿入やフローの作成が手間なくできて、そのうえきちんとした出力形式があるのが良い点だと思います。Visual Studio CodeとMarkdown Preview Enhancedプラグインの組み合わせは、現在、私がマークダウンのメモを取るために使用しているツールです。
なぜハッキングをするのか、どんな困難があってもバグハントを続ける原動力は何なのか。
バグハンティングやITセキュリティに魅力を感じています。問題を発見したときの「血が騒ぐ」感じが好きなんです。さらに、レッドチームのためにカスタムマルウェアを作ったり、自分の生活を楽にするスクリプトを作ったりと、何かを壊すことと同じくらい、何かを作ることも好きなんです。
メンターでもコミュニティメンバーでも、あなたがエールを送りたいハッカーは誰ですか?
今までほとんど知識のなかったファットクライアントのことをたくさん教えてくれた @rogue_kdc に感謝したいです。
また、ほとんどのADスキルを教えてくれて、いつでもブレインストーミングができる @Ward_V にも送りたいです。
すでに他のバグハンターとコラボレーションをしたことがありますか?また、今後コラボレーションを希望する人がいれば教えてください。
今までまともなコラボをしたことがありませんでした。
ですがどなたかもしコラボレーションしてくれるのであれば、TwitterかSlackで気軽にメッセージをください。
バグバウンティプラットフォームに期待すること、Intigritiを選んだ理由を教えてください。
プラットフォームでの短いレスポンスとサポートがとても気に入っています。ただ、トリアージ後の数週間から数ヶ月の間、自分の報告したバグを見続けるのは辛いです。Intigritiは、トリアージチームがバグハンターが相応の報奨金をできるだけ早く手に入れるために、本当に一生懸命働いているので気になるのだと思います。コミュニティメンバーが常にSlackで対象範囲やその他の質問に答えてくれるので、サポートに時間をとられることなく、バグを見つけることに集中することができるのです。
インタビューに答えていただき、ありがとうございました。最後に一言お願いします。
Intigritiの皆さん、この度はインタビューしていただきありがとうございました。
出典:Intigriti
https://blog.intigriti.com/2020/07/07/bug-business-5-get-to-know-intigritis-q1-top-3-hackers-bitmap/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。