スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月29~30日くらいのtwitterセキュリティクラスタ

セキュリティクラスタは絶賛ゴールデンウイーク中でバカンスに大忙しのようですで、ほとんどつぶやきはありません。その中から気になることを軽くピックアップ。

twitterに書き込むだけでアラートが出て面白いですねヽ(゚∀゚)ノ
kinugawamasato: あ [sec] twitterkensakutest"><script>alert(1)</script>
kinugawamasato: test <img src=x onerror=alert(1)>
kinugawamasato: テストです最後です <img src=x onerror=alert(1)>
kinugawamasato: 多分これはアラートでるんじゃないかなー "><script>alert(0)</script>
kinugawamasato: @hoshikuzu twitterkensaku.comは多分ブラックリストでも対処していなくて、ツイートに一定数(?)全角文字が含まれていないと検索結果にでないような仕様っぽいです。
kinugawamasato: @hoshikuzu http://twitter.com/kinugawamasato/status/13114544082はアラートでませんがhttp://twitter.com/kinugawamasato/status/13114627386は出ます。
hoshikuzu: .@kinugawamasato さん、了解です。ご教示ありがとうございます。確かに、アラーとしますね。 → http://bit.ly/c63M6f



問題を見ても難しくてよくわかりませんが、CTFの問題ですよ。
ucq: なんか見つけた。 http://bit.ly/ck5JMj
ucq: んー? なんかCTFの問題が載ってるっぽい



確かに。
HiromitsuTakagi: まず広めなくてはいけないのは、契約者固有IDが無くても「簡単ログイン」は実現できる(一部の機種を除いて)という認識。「IDがなくなると簡単ログインできなくなるじゃん」と言わせないようにすること。


中国は外部にも出ていかないようにフィルタリングするようになったのでしょうか。
scannetsecurity: スパム配信国ワースト12から中国が消え、米、印、ブラジル、韓国が上位に(ソフォス): http://url4.eu/34YsS

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

4月28日のtwitterセキュリティクラスタ

ゴールデンウイーク前でTLはおとなしいですね。このサイトもゴールデンウイーク中は、面白そうなポストがたまり次第更新ということにします。あとGW前に赤プリ閉店という残念なお知らせが。個人的には地下の和食屋で先輩議員にこびへつらってるサンダーファイヤーな元議員を見たのが印象的でしたが、セキュリティとは全く関係ないですね。


盛り上がっているのは相変わらずの「かんたんログイン」について。
HiromitsuTakagi: そもそも「簡単ログイン」ボタンがあるUIがおかしい。だって、押せば入れるんだから事実上それは「ログアウト不可」状態なんであって、だったらはじめっから入りっぱなしでいいわけで、ボタンがある意味が無い。なんでこんなのが広まっているのか。で、PCではそれをcookieで実現してきた。
HiromitsuTakagi: そのとき用のボタンがあればいいじゃん。ていうか、Amazon.comが普通にそうなってるじゃん。QT @nagaseyasuhito はじめっから入りっぱなしだと別ユーザーでログインしたいときちょっと困る、かも。
HiromitsuTakagi: まず広めなくてはいけないのは、契約者固有IDが無くても「簡単ログイン」は実現できる(一部の機種を除いて)という認識。「IDがなくなると簡単ログインできなくなるじゃん」と言わせないようにすること。


実は簡単実装だと思ってる人もいそうな予感。
rryu2010: なんか、かんたんログインの「かんたん」がユーザーが簡単にログインできるという意味だったのが、開発者が簡単に実装できるという意味に変わってきているような気がする。で、簡単お気軽に実装して死ぬと。



そして、開発者側としてはこうも言いたくなるでしょう。セキュリティと利便性とお金と他社との兼ね合いと、いろいろ絡み合うところなのでセキュリティ一辺倒というわけにもいかないのかもしれません。
tokuhirom: ケータイで入力させられるパスワードって、4桁の暗証番号が限界なのでは。
tokuhirom: ていうか、他社がケータイパスワードで簡単にログインできるのに、「うちはパスワード入力させる」とかやれるわけがない。ユーザーが逃げちゃう。

ockeghem: tokuhiromでさえこういうこと言う状況では、アプリ側で対策不可能な突破法を公表するしかないのかしら
tokuhirom: @ockeghem 仕事となると、危険性を認識していても、カジュアルハックされるっていう状況にならないと、お客さんの要望はなかなか拒絶できないですねー。



@gred_botに短縮URLを書き込めばいいらしいです。
scannetsecurity: @gred_botをフォロー、安全な URLかをチェックするTwitter botを公開(セキュアブレイン): http://url4.eu/318Wr


怪しい薬屋からはよくバイアグラ系のspamが送られてくるのですが、あんな怪しいもの買う人がいるんですかねえ。
ymzkei5: ■サイト改ざんに新展開:8080系改ざんサイトが怪しい薬局キャンペーンを支援 http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2225


ラッコもニョンタスもお引っ越しだそうです。
lac_security: 中のラッコです。GW連休明けからは新しいオフィスからつぶやく予定です。 お引越し準備も意外と大変なんですよ~。あっ! ニョンタス~忘れるところでした。w 皆様も素敵なGWをお過ごしください。金曜日は・・・営業してます。_|ヽ/|○ ポキッ

テーマ : セキュリティ
ジャンル : コンピュータ

4月27日のtwitterセキュリティクラスタ

今日はNICTの仕分けがあったのですが、セキュリティクラスタはネットワークにはあまり興味がないのか、すでにゴールデンウイークなのか知りませんが、あまり盛り上がらず。
私も中継は見ていなかったのですが、印象に残るツイートが。今回の仕分けは、もう、ダメかもわからんね。
tsuda: 最後に市川眞一氏から「光ルータ、オール光化ということに選択集中するという話だが、もし仮に明日光より速い技術が出てきたら、どうするんですか?」←( ゚д゚)ポカーン



第1回セキュリティもんじゃだそうです。今見たところあと2人は席があまってるようです。
uemat7: こんなイベントがあったとわ…(`・ω´・;) RT @ymzkei5: @uemat7 そんなあなたにw→第1回セキュリティもんじゃ。http://atnd.org/events/4186



基本的なぜい弱性対策を徹底するのが現時点でのGumblar対策法だそうですよ。
connect24h: 本日、第2回目が公開。あと、28日と30日に連続して公開されます。RT @ITMediaWatch: Webコンテンツ作成関連端末ではソフトの“穴”を確実にふさごう - 実践、Gumblar対策 http://goo.gl/fb/hKOSt


そしてGumblarでもう1つ。
lac_security: 日本シーサート協議会のガンブラーまとめサイトが、更新されていますね。 http://www.nca.gr.jp/2010/netanzen/index.html



Ninja security toolですって。ゴールデンウイーク中に使ってみたいですね。
kikuzou: ロゴが良い感じw 「Security Ninja security tool http://bit.ly/arfXQy



自治体って高い金かけてる割に運用が甘い印象がありますが、どうなんでしょう。
NobMiwa: 自治体のサーバーを悪用して迷惑メール送信 http://www.nikkeibp.co.jp/article/column/20100426/223362/



「情報セキュリティ早期警戒パートナーシップ 裏マニュアル」ぜひ読みたいです。
bakera: 「情報セキュリティ早期警戒パートナーシップ 裏マニュアル」というコンテンツを作ったら需要あるかしら?
hasegawayosuke: 裏マニュアル…。「…セキュリティセンターです。先程のメールの From に誤りがありましたので、再送いたします。失礼いたしました。お手数ですが、先程のメールは破棄していただけますよう、お願いいたします。」
ymzkei5: どんな裏テクニックが披露されるんだろうw 中華料理をご馳走になるコツ?w



よっぽど特殊な手法があるのか、根本的な認識が間違っているのか…
hasegawayosuke: XSS修正ということで HTMLPurifier 4.1.0 がリリースされましたが、発見者によるとまだ修正しきれていないそうで…。



かんたんログインって確かにログインした状態を保っているだけというか、ユニークキーを使ったBasic認証みたいなものなんですよね。ユニークキーがユニークで改ざんされず漏洩しないという前提が崩れそうな今、使うのは得策ではない気がします。
ikepyon: かんたんログインの問題を未だに誤解している人が居るみたいだなぁ。これの問題は端末識別番号が改ざんできないことが前提になっている認証だと言うことなんだが・・・
ikepyon: ところが、スマートフォンとかの登場で、その前提が崩れつつある。それどころかPCからのアクセスも可能と言うものすらある。ってこと。
ikepyon: それに加え、固定されたセッションIDを使っているというかBasic認証と同じことをやっていると言うべきかもな。
ikepyon: かんたんログインは認証ではなく、セッション維持だということ
ikepyon: ログインと言う言葉に惑わされたw


そして、シャレにならない予感。
ockeghem: すくなくとも日本で二人がかんたんログインの突破口を探しているが、アプリ側で対策が採れない方法が見つかってしまうと、発表するわけにもいかず困ってしまう件
HiromitsuTakagi: 簡単ログインをやめて、cookieによる「ログイン状態を保持する」に移行すればよいのだから、対策はできますね。docomo以外なら。
ockeghem: 同意ですが、移行に時間が掛かるので、今のうちから移行の用意をしていこうと呼びかけておられるわけですね


そしてIPAから注意喚起が。
2009年度に届け出られた携帯サイトの脆弱性の1/3以上が「なりすましの危険性あり」だそうです。携帯サイト怖い。
bakera: [セキュリティ] 携帯サイトに関する注意喚起が出ていますね。http://www.ipa.go.jp/about/press/20100427.html


そして高木先生も吼えてますが、まあ。
HiromitsuTakagi: RT 「かんたんログイン終了」となったBuzzurlですが、何もやめてしまわなくても、cookieで実現すればよかったのでは? 有効期限は1週間とかで。その場合、名称は「かんたんログイン」じゃなくて、「次回から入力を省略」とか「ログイン状態を保持する」ですね。期待してます。
HiromitsuTakagi: iモード1.0以外に対してcookieで提供すればいいだけの話では。@FLCLjp どうしても「簡単ログイン」という機能をつけたいのならば、iモード1.0がcookie非対応なのでcookieを使わない方法でやるしかないんじゃないですかね。
HiromitsuTakagi: 非対応機種だけ別方式にして準備しておくのでは? 意識が高いのなら。 @office_acer docomoの対応端末が増えてきたとはいえまだ旧機種も多く、移行できるタイミングを図っている段階だと思います、意識の高いCPでも。



これからはマインドマップで調査項目が示される時代が来たりするのでしょうか…
port139: フォレンジック調査のマインドマップを、一部(画像)更新と2個(USBとウイルス)追加 http://www.ji2.co.jp/forensics/map/index.html



インチキギャングスタラッパーがカスペルスキで防ぐってラップしてます。そういやGAOって歌手が、なにがあったのか知りませんが女性ギャングスタラッパーになって、日本で女で何でギャングスタなんだよと思った記憶がありますが、どうでもいいですね。
yarai1978: 吹いた。http://www.narcissisticvulnerabilitypimps.com/video/kaspersky-me-packin-the-k



寂しいことですが、お爺さまの遺言が変わることはないので、現れることはないんでしょうね。
Akira_Murakami: 訳のわからん、理由(笑)RT @ymzkei5 @cchanabo 今日も、「じいちゃんの遺言だからTwitterは絶対やらない!」と宣言してましたよw




セキュリティとは全く関係ありませんが、個人的に気になった電子レンジのすご技。
connect24h: 電子レンジのすご技メモ。グレープフルーツを600wで30秒ほど加熱すると、簡単に絞るだけでジュースにできる。スダチも同じ。
connect24h: 電子レンジのすご技メモ。冷凍肉まんは、濡らしたキャベツ(白菜、レタスでも可)にくるんでふっくらラップした後に2分すると、べちゃべ茶ならずにふっくらできる。そのまま野菜もおいしく頂いてうまー。
connect24h: 電子レンジのすご技メモ。冷凍ご飯を解凍するときは、常温である程度解凍してからチンしたほうが水分が抜けなくて甘くておいしいらしい。
connect24h: 電子レンジのすご技メモ。干しシイタケや昆布は電子レンジでチンしたほうが、雑菌が死んで長持ちする。


テーマ : セキュリティ
ジャンル : コンピュータ

4月26日のtwitterセキュリティクラスタ

今日の大きな話題は日大の流出です。不倫のハメ撮り画像は、まあ、どうでもいいのですが、大学の人事や懲戒など資料が含まれているそうで、気になります。
Hagexx: 日大の流出データファイルをみたが、内容がやばすぎるので閲覧していて血の気が引いた…


確かにサイトが消滅したとか、リニューアルでそのプログラム使われてないよ、とかいう連絡がありますよね。
bakera: 「修正した旨の連絡は無いけどサイトが消滅している」系の取扱終了がちょこちょこありますね。


Javaでありがちな変数のレースコンディションで、他の人のデータが見えてしまったりという情報技術者処理試験の話題です。最近はJavaのプログラムを触る機会がまるでないのですが、状況はあまり変わってないのでしょうか。
bakera: [メモ] あとで。そういえば情報技術者処理試験で、static変数のレースコンディションで情報漏洩してしまうWebアプリが出題されていましたね。http://el.jibun.atmarkit.co.jp/minagawa/2010/04/post-ebc4.html
ockeghem: @bakera static変数だとあたりまえ過ぎて面白くないので、インスタンス変数にして欲しかったです>レースコンディション
bakera: あ、ちゃんと確認したら私の記憶違いで、出題されていたのはHTTPservlet(の派生クラス)のインスタンス変数でした。
ockeghem: @bakera あっ、そうでしたか。HTTPServletのインスタンス変数は定番ネタですが、最近あまり聞きませんね。どこかで密かに「別人問題」が発生している可能性はありますね
bakera: レースコンディションは気づかれていない可能性ありますよね。テストでも見付けにくそうですし。


脆弱性の報告って、報告された側は手間が増えるだけで、(後で攻撃されるリスクは減らされるにせよ)表面的にはちっともいいことはないですからね。せめてありがとうくらいは言われるようになりたいものです。
NobMiwa: 脆弱性情報がサーバの管理者に歓迎されていない場合、どうすれば喜ばれるのかについて(せめて嫌われないように)思いを巡らせている
itnavi: パッチをあてるとサーバ管理者にパッチ手当てが支払われるとか。
yarai1978: パッチをあてるとサーバが感謝の気持ちをしゃべってくれるとか。サーバ管理者をホメ倒してくれるとか。
NobMiwa: やはりパッチをあててもらうためには、「子供手当」のような政策が必要なのだろうか、切ない
yarai1978: 穴だらけの海外のサーバ554台分を申請。
yumano: 切な過ぎる(T-T


携帯電話で決済とか買い物とかしたことないのですが(スマートフォンだったのでさせてもらえなかったのです)、携帯電話の閉じた網からインターネット網にアクセスできるようになって、思った以上に危険になっている予感。
ikepyon: かんたんログインって、どうでもいいようなサイトだったら使ってもいいと思うんだが、どこもかしこもだと困るよねぇorzせめてお金を取り扱うサイトぐらいはユーザーIDは入力しなくても済むけどパスワードの入力ぐらいは必須にして欲しいなぁ
hasegawayosuke: 簡単ログインより行動履歴の追跡のほうが恐怖を感じるので、携帯電話でWebとか使わないという宗教に入ってます。


行こう行こうと思いつついつも申し込みが遅れて行けませんが次は行きたいと思います。。
vulcain: もうすぐ RT @ghetto2199 あれ?次のまっちゃ445っていつなんだっけ?


もう、プライバシーを守るためにはMACアドレスをローテーションしたりするか、偽のAPを100個くらい立てるしかないのでしょうかね。
ymzkei5: ■Googleストリートビューカーが街中の無線LANをスキャンして記録、2010年末までに表示開始か - GIGAZINE http://bit.ly/cCd0T3


大体の会社はセキュリティを考える余裕はないと思うのですが、それでもちょっと知らないよりは知っておいたほうがいいと思います。
ripjyr: I'm reading now:セキュリティ対策、中小企業の知識不足が明らかに http://japan.internet.com/webtech/20100426/12.html?rss


川口さんっていい加減にtwitterに出てこないんですかね。
laccotv: 『Webページ改ざん事件の真相~川口洋のつぶやき 第9回 04/23/2010』公開しました!! http://www.youtube.com/watch?v=E9Tsviq0MhM


いよいよプロCTFerの時代がやってくるのでしょうか!? 僕も1問も解けないですが目指してみたい!
tessy_jp: CTFで食える時代ももうすぐか?(ないないw) RT @thomas_coseinc First Prize for CTF'10 - S$10,000 cash.

テーマ : セキュリティ
ジャンル : コンピュータ

4月24、25日のtwitterセキュリティクラスタ

セキュリティクラスタは基本的にリア充のようですので、週末はほぼ沈んでますが、
少しだけニュースがあったので更新しておきます。


GnackTrackというセキュリティ系のLive-DVDです。BackTrackのGNOME版という位置づけなのでしょうか。試しにVMWare PlayerでLiveDVDとして起動したのですが、ターミナルを動かそうとすると固まるのでオススメできません。
MEGATTACK_: GnackTrack- Penetration Testing Distro for Gnome Fans http://bit.ly/azCTdb


Aircrack-ng v1.1が出た模様。ほぼバグフィックスみたいですが。
aircrackng: Aircrack-ng v1.1 is released. Blog post: http://bit.ly/9zjyJB Sources: http://bit.ly/9bI83p #aircrack-ng


こちらは新ツール。ファイルのハッシュを比較するツールのようです。
Ji2Japan: フォレンジック調査チーム作成ツールに MD5、SHA-1ハッシュ値によるファイル一致判別ツール「蟹八種 Ver1.0」をUPしました。http://bit.ly/5wpcAN


FTPサーバって基本的には盗まれてもいいデータだけ、置くようにしないといけないんでしょうね。もしくは1日経ったら消えるとか。
ntsuji: このFTPサーバってID/PASS設定されてなかったんでしょうかね。 「個人情報を狙うマルウェア、4Gバイト以上のデータを搾取か」http://www.itmedia.co.jp/enterprise/articles/1004/23/news088.html


SNSからカード番号がわかるというわけですか。怖いですなあ。
windowsmachowto: Social Networking Site Exposes Credit Card Numbers http://is.gd/bFEIg #privacy #security #tech


どこから出るのでしょうか。やっぱデータハウスかな。
ucq: 待ちに待ったウイルス製造本が6月出るらしい。期待age


うわ、ちょっと…
junichi_m: 青空のしたexploitを書いているなう。自分でも極めて異常な光景だと思う。

テーマ : セキュリティ
ジャンル : コンピュータ

4月23日のtwitterセキュリティクラスタ

今日は雨で寒いからか、リア充な皆様は週末で忙しいからかしりませんが、全体的に盛り上がりに欠ける一日でした。水面下では頻繁なDMのやり取りが行われているのか知りませんが。

フォレンジック系はあまりチェックしていなかったのですが、知らないうちにHelixって有料になってたのですね。
yumano: そういえば、Helixが有料化されてしまった今、代わりになるのって、SANS Investigative Forensic Toolkitくらいかな?
MasafumiNegishi: DEFT Linuxとかどうでしょう? http://www.deftlinux.net/
MasafumiNegishi: Helixは有償になっても中身はほとんど変わっていないし、Access Dataに買われてしまい、開発者も流出。去年のことですね。最近の状況はあまりおさえてませんが。
yumano: DEFTみてみます。自分でLive用ツールを集めるのでもいっか・・ RT @MasafumiNegishi: Helixは有償になっても中身はほとんど変わっていないし、Access Dataに買われてしまい、開発者も流出。去年のことですね。


そして、Metasploit Frameworkも有料のものが出てきた模様。
yumano: Metasploit Express is a commercial product .http://bit.ly/c0CJKS



案の定出てきましたね。そういやMcAfeeって、不安定だったりウイルスを見つけるのが苦手だったりするので、昔からあんまり使いたくないのですが、最近はよくなったのでしょうか。
ymzkei5: ■McAfeeの誤検知問題に便乗するサイバー攻撃が発生 - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1004/23/news015.html


英語だけどよくまとまってます。
vulcain: よくまとまってると思う。セキュリティとハックツールのカテゴライズされた一覧 http://bit.ly/aZfl7H


似たようなことを試してみたら変なエラーメッセージが出たので怖いからもうやりません。
ikepyon: 昨日のteitterkensakuのネタを見てをつぶやきに埋め込んで TwitterアプリのXSSを見つけ出すライフハックを思いついたw


知財関係は知っておくに越したことはないと思いますが、資格持っててもあまり役に立たなそうな予感。
katt87: 知的財産教育協会がコンテンツプロデューサーの国家資格を新設へ: アニメや漫画、ゲームなどコンテンツのビジネス業務と権利処理の知識を持った専門家を認定する新たな国家資格が創設される。 http://bit.ly/apluzo


そういや某資格もv6資格認定になったので、もっとv6勉強しますとも。
expl01t: [ac] 【超速報】 FIT2010にてIPv6セキュリティパネルが正式に開催決定.日時:9月9日10:00-12:30 あっと第1イベント会場.222名収容です.皆さまのご参加をお待ちしております.登壇者の皆さまに依頼が行きますんでご快諾いただきますようお願い致します_o_



そして、週末に読みたいドキュメント。
connect24h: RT @yumano: シマンテック、2009 ウイルス動向レポート。フルレポートは97ページ大作だ [pdf] サマリ http://bit.ly/aZhEm7 フルレポート http://bit.ly/bwsIw4
yumano: 自分用メモ 後で読む 難読化の解除と視覚化 De-obfuscating the obfuscated binaries with visualization: http://bit.ly/9bo7XX
packet_storm: HITB Magazine Volume 1, Issue 2 http://packetstormsecurity.org/filedesc/HITB-Ezine-Issue-002.pdf.html

テーマ : セキュリティ
ジャンル : コンピュータ

4月22日のtwitterセキュリティクラスタ

昨日は暖かくてコートをしまおうと思ったら、今日は渋谷で雪が降ったくらい寒くて困ったものです。4月も終わりそうなのに、暖房今日も入れてますよ…

JavaScriptが実行されるようなWebサイトについて。いきなりアラートが出るのでびっくりしますよ。そしてなぜかあの人をdisる流れに。
hoshikuzu: http://twitterkensaku.com/hasegawayosuke.html を表示したら、 1 を alert してくれた。  ログイン不要のサービスだから狭い意味でのXSS脆弱性ではないなぁ、と思うが、なんか嫌な感じ。
hasegawayosuke: HTMLを生成してるのに、「"」を「\"」って吐きだすクソアプリは何なんだろうね。自分が何を作ってるか分かってないのかなぁ。
ikepyon: それ、magic_quotes_gpcがOnになってるだけじゃね?
ockeghem: Yahoo!知恵袋を見ているとよく分かりますよ。エスケープしろと言われたので、エスケープ関数の中から自分の知っているのを呼んでいるのです
bakera: 恐ろしいことに、そう説明しているHTML本が存在しました。10年くらい前の話ですが。
ockeghem: そんなに遡らなくても、2009年にそういう説明がありました。しかもセキュリティ専門家です。 http://j.mp/cno0yt
hoshikuzu: XSS対策として「属性中の " を \" とする病気」への特効薬はないけれど、やっぱ、基本に戻るなら、http://bakera.jp/w2cwg に説明してある原理をよく理解することから始まるのではないでしょうか。


結局IPAに届けられたようです。一応脆弱性という扱いになるんでしょうかねえ。
hoshikuzu: IPAに届け出ました。 twitterkensaku.com の件。



そして、はてなのXSS。つかそんなにXSSが残ってるんですか。パフォーマンス優先で命令1つでも少なくしたいのでしょうか。
kinugawamasato: はてなのXSS修正速度がおちてきた



WizardBibleのVol.50が出た模様。ぼくも昔書いたことがあるんですよ。
hoshikuzu: [sec]http://wizardbible.org/50/50.txt 一読。 CSRF対策への影響がいまいちわからなかった。
kinyuka: @hoshikuzu 影響ないです
mincemaker: ケビン・ミトニックの名刺で実際にピッキングしてみたというのがすごいな > Wizard Bible vol.50


新ツール2つ。
kikuzou: なかなか楽しげ。後で見てみることに。「pinata-csrf-tool http://bit.ly/c0GORYsecurebastion: Passive Vulnerability Scanner 3.2 released http://goo.gl/fb/M6k9e #infosec #security



McAfeeこわいすなああ
ntsuji: 似たような名前のプロセス作るマルウェアはもちろんアレですが、消すののも相当アレですよ。「McAfeeのウイルス定義ファイルで障害発生 Windowsファイルを誤認識」http://bit.ly/9VMR3D



資料&ドキュメント。
antiphishing_jp: 資料公開: フィッシング対策ガイドラインの公表についてを掲載しました。http://www.antiphishing.jp/wg/wg821.html
expl01t: [ac] IPA, 脆弱性対策情報データベースJVN iPediaの登録状況 http://www.ipa.go.jp/security/vuln/report/JVNiPedia2010q1.html // アクセス数上位20件とか必要な情報ではない気もするけど興味深い
lac_security: JPCERT/CCさんから「CERT C Secure Coding Standards 日本語版」が掲載されてますね。 http://www.jpcert.or.jp/sc-rules/index.html


昨日の特許関連。
ockeghem: OSコマンドインジェクション対策として、すべてのUNIXコマンドの名前を変えてしまうのはどうか…しっ、しまった。特許を出願してからつぶやくべきだったかw


1年かけて実装されるのでしょうか。楽しみです+(0゚・∀・) + ワクテカ +
ockeghem: エイプリルフールのネタとして、「安全なアダルトサイトを示すAVSSL…アドレスバーがピンクに」というのを思いついたのだけど、HASHコンサルティングのホームページでやるのは憚られる


どっかの雑誌かwebに企画持ち込みたいけど、絶対企画通らない気がwww
kinyuka: 漏れの中ではウェブアプリ型コンソールから好きなときにサーバをニョキニョキ増やせるのが本物のクラウド(IaaS?PaaS?に限る)なので、まずその条件を満たせるクラウドが少ない。国内でNifty以外で今まともに使えるのあるのかな?
kinyuka: エセクラウドランキングとか誰かやらないかな
kinyuka: 「初期費がかかる」「営業マンが見積もりにくる」「サーバ起動まで一週間かかる」「サーバを起動すると以後スペックが変えられない」「月あるいは年単位でしか契約できない」「サーバを増やすときは営業マンに連絡する」等の要素で判定>エセクラウドランキング


テーマ : セキュリティ
ジャンル : コンピュータ

4月21日のtwitterセキュリティクラスタ

いきなり今日は暑くなってびっくりです。冷房入れ忘れてサーバが熱暴走とかありそうですがどうなんでしょう。

今日盛り上がった話題はこれ。SQLインジェクション対策の特許だそうですが、どうも金床さんが以前から公開していた方法っぽいです。公知なので特許は取れないんでしょうかね。
ymzkei5: .@kinyukaさんの書籍は2007/7 発売。この特許の出願は2008/8。>■予約語の変更によるSQLインジェクション対策 http://bit.ly/cR7KAn
hasegawayosuke: いろいろツッコミどころが。とりあえず@kinyukaさんが儲かったらおごってもらう
kinyuka: @hasegawayosuke へー、こんな特許もあるんですね。ちなみにhttp://wizardbible.org/23/23.txtが 2005年ですw
ockeghem: 儲かるためにはまずこの方法が普及しないとww
yumano: これ、CTFの問題ネタとしていけるんじゃね?w RT @ockeghem @hasegawayosuke RT @ymzkei5: .@kinyukaさんの…>■予約語の変更によるSQLインジェクション対策
ucq: いや、予約語変更しても一部のSQL Injectionはできるからw
ucq: 対策が甘い甘い
ucq: ヒント:記号は予約語じゃない
ucq: 少なくともMySQLではそうなってるっぽい
yumano: そうだけどさw ソースをDL可能にしてそこをヒントに解く問題とか・・・ やりたくないなw RT @ucq: いや、予約語変更しても一部のSQL Injectionはできるからw


WordとかExcelって綴りを勝手に修正するから困ったものです。余計なお世話だよ!
NobMiwa: 最近の学生は、Denial of Service をDosと書くらしい
ymzkei5:
DoSと書きたいのにWordに勝手に直される~というオチだったら面白いですねw


道理でどこにもデフォルトユーザとパスワード情報が公開されていないわけですね。VMWareにでもインストールするかな。
kikuzou: もしかして 「Ubuntu Pentest Edition」 ってHDDインストールが前提!? ログインユーザ名/パスワードが不明なため、isoをばらしてpasswdファイルを見ても追加されたユーザ名が見あたらない・・・


これはちょっと楽しみなwツールです。
kikuzou: 噂(?)のツール Netsparker Community Edition is out. http://bit.ly/ajeeaX Grab your free web app security scanner now #netsparker


こういうのもあるんですね。お高いんでしょうけど。
naonee: Webアプリケーション検査ツール VEX http://www.ubsecure.jp/products.php 国産だから、一味違う?


Opera mini for iPhoneは証明書をちゃんと見てないんだか面倒だから警告しないんだか。
ripjyr: I'm reading now:Opera mini for iPhoneではオレオレ証明書が警告されない - disり用。 http://d.hatena.ne.jp/rryu/20100418/1271595278


読んでみたいけどPythonもバイナリもよくわからんので読んでわかるかどうかは秘密。
hasegawayosuke: 来月、O'Reilly Japan から出る「リバースエンジニアリング - Pythonによるバイナリ解析技法」は、http://oreilly.com/pub/pr/2286 の邦訳なんですかね。



あとは今夜読みたいWebサイト。
ripjyr: I'm reading now:【ハウツー】FiddlerとWatcherでWebサイトのセキュリティをチェックする http://journal.mycom.co.jp/articles/2010/04/21/fiddler/index.html
lifehackerjapan: 【最新記事】Googleの認証コードが盗まれる! #lh_jp http://onc.li/h2e128
Murashima: Gmailに集団ハッキングか? 他人のアカウントを悪用 - ITmedia エンタープライズ http://goo.gl/mEi3

テーマ : セキュリティ
ジャンル : コンピュータ

4月20日のtwitterセキュリティクラスタ

仕事して雨に降られているうちに一日が過ぎていきます。twitter界隈では特に諍いもなく淡々と過ぎていったようですが、飛行機も徐々に飛んでいるようで、ヨーロッパ方面にようやく行ったり帰ったりできるようですね。


XSS調査の新ツール、XSSTest21です。有料版は注文があってから作るとサイトに書いてありましたが。
makitamakoto: 後で試す。 (有料版は後日) →  "XSStest21" [Fiddler2 Extension] by yamagata21 http://goo.gl/LORl

早速注文した人がいたようですw
hasegawayosuke: XSSTest21の有料版欲しい、とメールだしたけど返事がないただのしかば(ry



たぶんリース落ちのメーカー製PCの、プロダクトキーだけ引っぱがして売ってるんじゃないのかと思うのですが、どうなんでしょう。WindowsXPのOEMライセンスはそのPCにだけ帰属して他のPCで使えないことになってるはずですから、たぶん規約違反だと思います。
ymzkei5: ■Yahoo!オークションで出品されているWindows XP(プロダクトキー)の正体 http://web.ll0k.net/Yahoo-Auctions-Windows-XP/



USB怖いですなあ。とはいえUSBキーボードを使わせないわけにも行かないですし。
bakera: [メモ] USBキーボードから感染。見た目がキーボードである必要はない。http://journal.mycom.co.jp/news/2010/04/20/010/index.html


Chromeも狙われているようです。怖いですなあ。
risa_ozaki: Google Chromeユーザを狙うスパムが横行。ブラウザのエクステンションを装い、マルウェアに感染させる手法。Spammers Target Google Chrome Users http://henew.com/aac7n via @HostExploit



最近たまたまこういう話をする機会があったのですが、理解しているけど、自分たちは使わないからどうでもいい的なニュアンスでした。
ikepyon: キャリアの連中は自分とこのGWのIPアドレスが何に使われてるか理解してないの?http://ke-tai.org/blog/2010/04/19/sbipdel201004/


192.168.0.1は俺のアドレスだから勝手に使わないでください! 雑誌に載せるなんてどんな出版社だ! って怒りの電話が昔いた編集部にかかってきて、大変だった記憶があります。
bugbird: @ockeghem ちょっと違うけど、IRC で自称ハッカーと言っている奴に、自分のアドレスだといって 127.0.0.1 を攻撃させて自滅させたという話がありましたねぇ


確かに。何がセキュリティが高いのかわかんないですからね。
ockeghem: IPAの「情報セキュリティ読本」はわりかしいいのだが、この表現はどうか「(ブラウザは)標準設定をそのまま使用せず、使用環境に合わせて、セキュリティの設定をできるだけ高く設定するように心がけましょう」←具体的に書かないと実行できないし、標準から低くしないことを強調すべきではないか?


もんじゃを食べてセキュリティの話をするらしいです。ぼくも行ってもいいですか。
uta46: じゃ「セキュもじゃ」第1回は 5/12 に決定。とりあえずテーブル2つ予約しておきます。参加者だらだらと募集中。RT @sen_u: @uta46 おぉ、さっそく。12か26日がいいです。


ざっと見た限りではキャンプや脆弱性の届出は仕分け対象にはなってないみたいですが、情報処理試験の運営を民間委託するそうで、会場の手配やら問題の配送やらをどこが請け負うのか気になります。実は意外と大変なんですよね…
hasegawayosuke: 【経済産業省所管独立行政法人の改革について】http://bit.ly/aPtMQR 「情報処理推進機構は…これらを支える高度IT 人材の育成といった公共的な基幹3分野にリソースを集中して強化を図る」 …どうなる、キャンプ。 #spcamp


PHPのセキュリティチェックリストとチートシートですが、思った以上に項目が多くてびっくりです。
MS85: [MS] PHP security checklist - http://tinyurl.com/ybdg9en #php #security


テーマ : セキュリティ
ジャンル : コンピュータ

4月19日のtwitterセキュリティクラスタ

昨日は終日会議という修行に出ておりましたので、朝の更新になります。座ってるだけなのに疲れがどっと出ていますが、今日も仕事…


簡単に推測できるようなパスワードはやめましょう。
maname: ラーメン二郎bot、パスワードをmashimashiにしていてアカウントを乗っ取られる http://twitter.com/jirolian/statuses/12274033919


ウイルスバスターって世界的には普及してないのでしょうか?
risa_ozaki: Virus Bulletinの性能比較テスト実施 60製品ノミネートされるもウイルスバスター含まれず http://bit.ly/9MzPOF


知らないうちにバブルだったんですね。
hasegawayosuke: Web界隈、HTML5バブルすぎて飽きた。


美味しい思いをしようとすると狙われるのはいつものことですので、注意したいものです。
risa_ozaki: iPhoneのロック解除で誘惑!トロイの木馬に注意: 「iPhone ロック解除」を求めるユーザーを狙って、マルウェアに感染させようとするスパムメールが出回っている。 http://bit.ly/aV4W5c


「ハッキング」とか「クラック」とかセキュリティの用語ってフィルタに引っかかりやすいのでしょうね。実は「自社セキュリティサイトを使え!」なのかもしれませんがw
hoshikuzu: http://yamagata.int21h.jp/d/ および http://d.hatena.ne.jp/hoshikuzu/ が、i-フィルター ( デジタルアーツのWEBフィルタリング ) に有害サイトであると認定されているかもしれない。現在アクセスできない。 さすがだ。


一般的な学校のセキュリティってこんなかんじなんですかね。
ucq: この講義がせきゅあじゃない。 IDとPWが全員分書かれた紙を見て自分の見つけろとか。まぁ、他人のでログインしても意味なさそうだけど・・・


恥ずかしながらはじめて知りました。今ダウンロード中。
MEGATTACK_: Ubuntu Pentest Edition 2.03 http://bit.ly/dve9YR


ようやく。
MEGATTACK_: The OWASP Top 10 Web Application Security Risks for 2010 http://bit.ly/9euyUP


id:sen_u氏はセミナーづいてますね。お金のない人は通販協会、ある人はサイバーディフェンスの方でw
sen_u: 通販協会の「ネット通販セキュリティ対策セミナー」で全国4カ所で話してきます。 http://www.jadma.org/netsec/2010/
sen_u: 5月18日~21日はサイバーディフェンス研究所主催のZone-H実践ハッキングセミナー(NW、Web) http://bit.ly/bMPqv6 http://bit.ly/cT0v8m
sen_u: 6月14日15日はサイバーディフェンス研究所主催 実践Web脆弱性診断セミナー http://www.cyberdefense.jp/service_seminar/seminar09.html


テーマ : セキュリティ
ジャンル : コンピュータ

4月17、18日のtwitterセキュリティクラスタ

週末は情報処理の試験だったようです。みんな忙しいのに勉強してるんですね。


確かにこうして覚えましたが、今さらOSI7層とか使うんでしょうか。まあ、感覚としては知っておいた方がいいと思いますが。
totoromasaki: うちの学校でも、そのように教えてますね RT OSI基本参照モデルは上から頭文字を取って「アプセトネデブ」って憶えるといいよ! (via @rainnote) *YF*


いろいろ週末に読んでおけば良かったサイトです。
Murashima: 無名でも知っておくべきアンチウイルスツール10選--LinuxやMac用のツールもご紹介 - IT業界を生き抜く秘密10箇条 - ZDNet Japan http://goo.gl/UQ92
computerworldjp: [BLOG] 1980年代~2000年のマルウェア傾向 http://bit.ly/cJMPuU
computerworldjp: 【Black Hat Europe 2010】圧縮ファイルにマルウェアを隠す手法をセキュリティ研究者が報告 http://bit.ly/9HIK5l



15日のid:ockeghem氏のハッカージャパン誌の原稿に対するツイート↓があったのですが、
ockeghem: ハッカージャパンの「日本における脆弱性報告の悲しい現実」は、ネガティブな気持ちが前面に出すぎて、これだと脆弱性報告しても意味ないと言っているように見えるね。
ockeghem: それに、個人情報を含むCSVを読み出してしまったのは「寸止め」を超えている。もちっと分かっている人に書かせるか、ちゃんとレビューしてもらいたいと思いました。まぁ、ハッカージャパンがそういう性格の雑誌なのでしょうが


それに対して、筆者であるid:harusanda氏からの執筆背景の説明というか意見というかです。
harusanda: @ockeghem 読んでいただいて、そのうえ感想までいただいたこと、すごく感謝しています。(ほんとうに)。そのうえで、もう少し感想をお聞きしたいので、お話させていただきたいのです。
harusanda: ありがとうございます。ハッシュタグを特定してつぶやくので、その中で何か思うところがあれば、おっしゃってくださるのが、ご迷惑にならないかもです。もちろん何もおっしゃらなくても結構です。 RT @ockeghem 了解しました。どうすればいいですか? #HJopi
harusanda: まず 重要なこととして これから述べることを「反論」とか「議論」として受け取ってほしくありません。その点は、読まれるみなさんにお願いしたいです。著者によるSPが あたるぐらいの気軽さで読んでいただくとちょうどです。 #HJopi
harusanda: 掲載書が私には到着してないので、最終的なあがりを確認していませんが、ハッカージャパン5月号の「はじめての脆弱性報告」について、twitterでも貴重なご意見をいただきました。(ほんの数件ですが、とてもうれしかったです)ありがとうございます。 #HJopi
harusanda: まず、この企画全体が 私が編集部に持ち込んだ企画です。編集部に編集責任があるのは事実ですが、インタビューから、末尾のIPA記事にいたるまで、企画責任者は一手に私ひとりです。 #HJopi
harusanda: なので、述べていることは 一貫してるのですが、なぜか末尾の記事だけがどういうわけか「違和感」として強く否定されている。これは興味深い現象なのです。ひとりいるからには、声に出さない数は もっといるかもしれない。だから、まず 声をだしてくれた方々に大感謝です。 #HJopi
harusanda: 読者を説得し切れなかった理由は、かならず確かめなければプロとしては失格です。まして、そういった声を反論で封殺したり、言い訳して別の問題にすりかえたり、あるいは無視・黙殺していては、いずれ読者に見離される・・・私はそのように思っています。 #HJopi
harusanda: この記事を企画するにあたって、最重要事項としたのは (1)中立の名のある査読者をたてること (2)IPAにはかならずインタビューを行い、そのいいぶんは、その主張どおり全面的に掲載すること。 (3)報告に熟知したライターに報告様式を書かせること ・・・ #HJopi
harusanda: そして (4)実際にIPAを利用し、IPAと報告者のそれぞれの地位が、相手方サーバー管理者から実際に尊重されたかどうか を第一義に述べることすべて理由があるのですが、それは最後に述べます。 #HJopi
harusanda: ご意見いただいた方のうち、違和感あるいは否定意見が多かったのが 最後の(4)ということになります。 #HJopi
harusanda: 編集部の都合で、最終的な見出しとキャプションを私は確認してないので、本質的なところで 私はいま トンチンカンなことを言っているのかもしれませんが、そのときは ごめんなさいです。 #HJopi
harusanda: (4)の記事を IPAと報告者との関係を述べている記事、という立場で読めば、おっしゃるような見方になってもしかたないと思います。おそらく、それは「IPAはセキュリティ報告を委託・中継する場所」という考えですね。 #HJopi
harusanda: そういう方が一般的に多いことは承知していますが、私の見方はもう少し異なり、 そのIPAが機能するには、そもそも相手方がIPAを重要視してくれなければ意味がない、 という考え方に立脚しています。 #HJopi
harusanda: この記事は、それを実際に検証するスタンスで書かれています。その結果が 私の意に沿うか・沿わぬか、また読者の社会理想や希望に沿うか・沿わぬかは別の問題だと思っています。そこを記事で「操作」するのはいけない、と私は思っています。 #HJopi
harusanda: 査読者(1)については、構成の監修とすべての査読をお願いしました。査読は(4)にも当然行われ、事実関係の誤りが一部指摘され、修正されています。 #HJopi
harusanda: なのでレビューが必要である・・・というご指摘が「査読されていない」という意味であればそれについては、あたりません。査読はハッカージャパンでは執筆経験がなく、かつ考えうる最高レベルの「外の方」にお願いしましたので、お気持ちがあればご訂正くださるのがよいかもしれません。 #HJopi
harusanda: なお、(4)の記事は、本処理中にIPAに実名での記事化が可能か相談したところ、法的な懸念がアドバイスされたことにより、実名については控えることを判断しました。(4)の記事はその見解に基づいており、経緯が記事(4)になることはIPAはあらかじめ知っています。 #HJopi
harusanda: その点以外は、事実と所感をありのまま書きました。これは(2)でIPAの主張を全面的に掲載するのであれば、同時に公知の役割を持った雑誌としての良心は、一方で確実に検証し果たさなければならないためです。その落差に違和感を持たれたのでしたら、それはいたしかたありません。 #HJopi
harusanda: 両者ともに、主張は事実であり、動かせません。読者の方がどう思うかはもちろん自由ですが、両方を事実としてあわせて受け止めてくれることを願って書きました。 #HJopi
harusanda: また、ある方は「調べればちょっとわかること」なのにスタンスが偏っている?といった印象を持たれたようですね。それは当然だと思います。 #HJopi
harusanda: これは文中でもお断りをしているのですが、記事中のセキュリティ問題は現在でも再現できる可能性が残っており、環境や再現方法については意図的に書かなかったことが多数あります。ですので、意見は当然だと思いますが、しかし、それをもって全文を否定されたとしたら困ってしまいます。 #HJopi
harusanda: 私が危惧するのは、「脆弱性報告は誰からも評価歓迎されて当然である」と盲目に信じる人が多すぎることと、IPAも報告者も大変に危険な地位にあり、じつのところなんら安全への担保がないにもかかわらず、両者の存在について議論や試行が遅々として進んでいないことです。(日本は) #HJopi
harusanda: 私の「記事」の目的は、その議論の一石になることであり、記事は一貫してそのスタンスで書きましたが、残念なことに、そもそもの議論以前に、議論の母数が小さいことがいま露呈しているように感じています。もっと発達していると思ったのですが、この点について、私は口惜しいです。 #HJopi
harusanda: ただしそれは記事の目的であり、「企画」の目的はまた別にあります。小なりとはいえ雑誌に問題点が記載され「公知」された事実が完成しました。もちろん、twitterでご意見くださったひとりひとりの方も、その証人というわけです。 #HJopi
harusanda: これにより、私はこの問題を国に提案することができるようになりました。じつは文中で、さりげなく国会議事録を引用しているのです。その引用部分に関与された方々に、返答をもらう。これが本企画の真の目的です。 #HJopi
harusanda: 雑誌のアドバンテージは公知による証明力にほかならず、そのための 冒頭の「最重要事項」です。 #HJopi
harusanda: なお バイアスがかかってはいけませんので(3)のライターさんは、このスタンスを執筆時点では知らせていません。編集部の配慮ですが、発刊後に伝えたときは、さすがにちょっと驚かれた様子でした。 #HJopi
harusanda: 私にこの企画を書く資格があったかどうかについては、私も同感です。この企画を執筆中、それについては何度も自問・自答しました。私よりもっとましなひとは、もちろんいるでしょう。実際、原稿依頼も出しましたが、IPAと対峙する意見を書く方が業界におられなかったのも事実です。 #HJopi
harusanda: ただ一切手抜きなく全力で書いたことも事実であり、残念なことにこれが私の限界でもあるのです。資格については、おっしゃるとおりですし、それが理由で雑誌の品位を下げていたのだとしたら他のライターに申し訳なく思います。 #HJopi
harusanda: 以上が本記事の背景と、私のスタンス(思っていることです)。長々とよんでいただきありがとうございました。今後もご意見(どのようなものでも)お待ちします。サイレントマジョリティで構成されたこの業界でご意見くださった方々、本当にありがとうございました。 #HJopi


一方、これに対してid:ockeghem氏のコメントならびにid:harusanda氏とのやり取り。
ockeghem: レビューについては、読者には査読されているかどうかは分かりませんので、アウトプットのクォリティについて書きました。すなわち、きちんとレビューされたクォリティではないと思った、という意味です。 #HJopi
harusanda: ぎゃふん! RT @ockeghem きちんとレビューされたクォリティではないと思った #HJopi
ockeghem: 山崎はるかさんの狙いと、媒体の性格がミスマッチだったのではありませんか? 読者は、この雑誌はこういう読者層に書いているという想定をして読んでいると思いますので、そこから外れた内容だと違和感を感じます。前節からの流れもありますし #HJopi
harusanda: たしかに、それは否めないところですね。構成時の工夫も、もっとあったのじゃないかと今でも悩みどころです。>媒体の性格がミスマッチだったのでは #HJopi
harusanda: 一方で、IPAと真正面から取り組む覚悟がある雑誌も限られてたんですよね。 #HJopi
harusanda: じつのところ、IPAが、脆弱性の受付にいったいどれだけの人数を割り当てているか、みなさん その事実を知ったら、その少なさに仰天すると思います。 #HJopi
harusanda: 私は、それを知って「これは国防レベルの危機だよ」とほんとに思いました。なんとしてでも、機能不全にある!という方向から、法律と予算を考えてもらなわないといけない。それは機能しています!と主張しなければならないIPAではできないことでもあります。独善的ではありますが。 #HJopi



それよりもむしろこっちの方が驚きです。
harusanda: 今後は、こちらで宣言したとおり、小説に軸足をうつします。 どうぞよろしくです。 http://rikunabi-next.yahoo.co.jp/tech/docs/ct_s03600.jsp?p=001567
harusanda: でも、いろいろありつつも、支えてくださった読者の方には大感謝。 僕は、今号にて すべての連載を終了しましたが、みなさん どうぞ今後も本誌をよろしくお願いします。>HJ


テーマ : セキュリティ
ジャンル : コンピュータ

4月16日のtwitterセキュリティクラスタ

今日はハッカージャパンの飲み会に参加させていただくため、早めの更新です。名だたるスーパーハカーの人たちを遠巻きに眺めたいと思いますが、カメラを向けると採石場に連れて行かれそうなので、実況なんかはしませんよ。


定期的にパスワードは変更しましょうって言われていますが、そんなに効果がないということがわかったらしいです。変えすぎて自分が忘れることが多くてこまりますね。
tkmc: 『「頻繁なパスワード変更はサイバー攻撃に対してどれだけ効果的か」を調査したが、効果がないことが示されたという。』 http://bit.ly/aye3r2
ryugyosoft: というかむしろ、頻繁なパスワード変更により、パスワードを忘れてオンラインバンクにログインできずロックされて銀行まで再発行手続き(一週間)に行かされた俺。それ以降不用意に変更するものではないと思った。
ryugyosoft: というかむしろ、頻繁なパスワード変更により、パスワードを忘れてオンラインバンクにログインできずロックされて銀行まで再発行手続き(一週間)に行かされた俺。それ以降不用意に変更するものではないと思った。
ryugyosoft: そもそも1.オンラインバンク系のパスワードはSSL通信されて容易に解読できるものではない 2.解読したところでその被害者は俺だけではない 3.変更したところでキーロガーを用いて盗み出したものであればそれもすぐにハッキングされる。
ryugyosoft: というわけで頻繁にパスワードを変えるだけ時間の無駄というを俺は覚えた。
ryugyosoft: むしろキーロガーの侵入を防ぐ駆除ソフトとか、無線LANの暗号化の強化とか、他人に教えたりパスワードをどっかに書いたりしない方が、よっぽとパスワード流出の防止策になるとおもう。


今週はAdobe Readerいろいろ怖いですなあ。
gleentea: AcrobatReaderの新しいアップデータは要注意かも?更新実行時に管理者権限要求 ->詳細クリック->管理者権限でブラウザ起動。閉じずにそのまま使用継続した場合管理者権限のままブラウジングすることに。


JSONのXSSについてです。勉強になります。そして、期待しております+(0゚・∀・) + ワクテカ +
ockeghem: はせがわさんがつぶやいていたJSONのXSS、こうすればできるかもというのを思い付いたが、前提条件がきつすぎてやる気が出ない件
hasegawayosuke: @ockeghem: JSONでXSSは(1)Content-Type:がApplication/jsonのようにIEが知らないものである、(2)URLに任意の PATH_INFOをつけても動く、JSON内で <> がエスケープされていない、という3条件で可能です。(続く)
hasegawayosuke: @ockeghem: (続き) (2)に関しては例えば"*.php/a.html"のようにアクセスするとIEはHTMLとみなすので。加えて元のPATH_INFO末尾が *.cgi、*.exe、*/ な場合は QUERY_STRING に "&a.html" を付加することでもOK
hasegawayosuke: (続き) PATH_INFO magic は「拡張子ではなく、内容によって…」の設定に関わらず作用する。IE8ではServer側でX-Content-Type-Options: nosniffを吐き出すと防げる。
hasegawayosuke: 非HTMLコンテンツを利用したXSSはJSONに限らずatom/rssなどでも可能。 Adobe Readerがない環境相手だとPDFでもできるかも知れない(未確認)。
ockeghem: @hasegawayosuke ありがとうございます。そこはできそうかなと思っていたのですが、クロスドメインでリクエストを投げる方法を検討していました



セキュリティ対策を「うざい」と思っている人に。確かにしたからといって儲かるわけではないですからね。
bugbird: セキュリティ対策を「うざい」と思っている人に送る言葉「あなたは道路を横断する時に左右確認しますよね? それってあなたのいうところの「うざい」じゃないんですか?」
bugbird: 道路を渡りたいなら、さっさと渡れば良い。左右の安全確認をするのは、まさにセキュリティ対策なんですけどね
bugbird: 道路を渡る時に左右確認しているあなたが、なぜ ICT の安全対策をないがしろにできるんですか?(つぶらな瞳


新クリックジャッキングツールです。ブラウザーで動かすみたいです。
yumano: Clickjacking tools BHE 2010 の発表だね http://bit.ly/9AmFiT


グループウェアのセキュリティとか誰かがんばってくれないものですかねえ。がんばってるけど表に出してない|出しちゃいけない だけかもしれませんが。
connect24h: ガルーンはクセス権とか中規模以上の組織運用に耐えられない仕様。部がなくなるとか、想定してない。セキュリティに期待してはいけない。あくまで情報共有ツール。個人データバックアップ不可。あくまで、部内情報共有ツールだと思う RT @sugipooh: @HiromitsuTakagi


手抜きしちゃいけないってことですか。そうじゃないって。
slashdotjp: http://bit.ly/bPMH7S #security 巨大ボットネットの運営グループが逮捕されていたらしい


テーマ : セキュリティ
ジャンル : コンピュータ

4月15日のtwitterセキュリティクラスタ

今日からtwitterドラマが始まるそうですよ。内容については全く知らないのですが、修造が一時間ずっと気合いを入れたり、通りすがりのハマコーが「だう!」とか言うんだと思います。あとはXSSでシステムが止まったりってそれはwassrでしたか。


さて、世間ではどうでもいい感がただようCSRFやXSSですが、

リスクが低いのと危険がないのは大違いなんだと思いますけどね。
ikb: CSRF (シーサーフ) は危険でないなどというたわけた記事への反論 #security: CSRF Isn’t A Big Deal - Duh! ha.ckers.org web application security lab http://goo.gl/XhsN
ikb: 「ぼくはまちちゃん」のおかげで CSRF はすごく身近になったとおもうんだけどなー。 twitter でもなんどかあった。 bio とか名前だとかにスクリプト仕込んどく手口。 #security


そして、ApacheのサイトはXSSでセッションハイジャックされたようです、XSSも馬鹿にはできませんね。
Hiroserena: IT業界の人間としては見逃せないなぁ・・・ #mycomj http://j.mp/dAPrZi Apacheふたたび侵入を許す、その手口



そして、新しい攻撃もどんどん出てきているようです。

クリックジャッキングの新手法。
MasafumiNegishi: RT Next-Generation Clickjacking Attacks Revealed http://bit.ly/90XEuw


Javaの脆弱性も狙われているようです。JavaのVM動かさないようにした方がいいのかしら。
Murashima: タイトルが抜けたので再ツイート Javaの脆弱性を狙うネット犯罪者に注意 ウイルス対策インターネットセキュリティ G DATA http://goo.gl/rg85



安物買いの銭失いって奴なのかなあ。
hatebu: 【2ch】ニュー速クオリティ:【ワロタ】 ウイルスセキュリティZERO パソコンが起動しなくなる凄まじい不具合 (58 users) http://bit.ly/bguJnY



ハッカージャパンの最新号関連。あとでちゃんと読みます。ちなみに脆弱性報告については1月たたずに修正されたのもあれば、数年放置もあります。IPAは関係なく、サイトやプログラマーの問題だと思いますが。
ockeghem: ハッカージャパンの「日本における脆弱性報告の悲しい現実」は、ネガティブな気持ちが前面に出すぎて、これだと脆弱性報告しても意味ないと言っているように見えるね。
ockeghem: それに、個人情報を含むCSVを読み出してしまったのは「寸止め」を超えている。もちっと分かっている人に書かせるか、ちゃんとレビューしてもらいたいと思いました。まぁ、ハッカージャパンがそういう性格の雑誌なのでしょうが


Gumblarは濃い記事でしたね。
keigo1456: HJのGumblar記事、大変勉強になります。こんな情報こそ、IPAがちゃんと出せとゆいたい。 http://www.byakuya-shobo.co.jp/hj/



iPhoneはじめスマートフォンがこれだけ普及したら、携帯網だから安全という意識は考え直さなきゃいけない時期に来てるんでしょうねね。
Murashima: 高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想 http://goo.gl/CQeS


もうちょっとそっとしておいてあげてください><って… 僕は部外者なのですが。
bulkneets: みんなクソ重いのによく新しいgooメールの脆弱性チェックとかできるな。



今後の展開に期待しています。
mincemaker: ゲーム開発と夜遊びの話をするとヘビーな内容になるのでツイッターでのイメージを大事にしてやめておこう。
mincemaker: 課金稼ぐで道をとると、いかにおっさんか、若い女性を騙すかの話になるので社会のためにならない。


iPad発売延期で海外から買って使うと電波法違反ですよというお話。HyoさんGJ!
誰か技適申請に行く勇者はいないのかな。
HyoYoshikawa: 先程の件、ブログにまとめました。「海外で購入したiPadを国内でWi-Fiに接続すると違法なのか。」への総務省の見解: http://ow.ly/1yHRH


そりゃ全力でつぶすでしょw
ripjyr: なに、マジコンビルってもうつぶれたの?!>http://blog.esuteru.com/archives/243385.html


今日の怖い一言。
ockeghem: 大垣さん、変数に型のある言語使ったことないの? 『最低限でもps.setLong(3, “; DELETE FROM user; --”)などと出来ないようにバリデーションはしていると思われる』

テーマ : セキュリティ
ジャンル : コンピュータ

4月14日のtwitterセキュリティクラスタ

今日はdisりdisられで楽しい一日です。個人的には淡々と仕事なのでtwitterくらい楽しくないとねえ。

確かに何が何だかわかんないです。
sen_u: セキュリティ診断の挿絵の意味がよくわからん。 https://www.verisign.co.jp/secdiag/netdiag/external.html
ymzkei5: この赤い人は、診断をしているのか、されているのかwww
bakera: 血圧測定?
Akira_Murakami: 見た目のインパクト?


そこからなぜかサービス自体がdisられるように。
ntsuji: @sen_u 「専任のコンサルタントが高性能なツールを使用し、擬似的な攻撃を試行して 精度の高い診断を行います」ということは… 脆弱性スキャンのプロでしょうか。
sen_u: 完全にツール依存っぽいですね。w
ymzkei5: @ntsuji @sen_u すごい格好良くボタンを押すプロなのでしょうねw “高性能なツール”をアピールしてるようにしか聞こえないw


一方、まあ心当たりのある人は複数いると思いますが、激しくdisられてますね。なんかやられたんでしょうか。
masui: サービスを破壊する行為は滅茶苦茶カコワルイと思うのだが何が面白くてやるんだろう
masui: もう一度言う。サービスの穴を発見して破壊して面白がる行為は「滅茶苦茶格好悪い」からね。カギがかかってない家を捜して泥棒するぐらい格好悪い。
yoggy: サービスを利用する上で何が「格好悪い」のか、そもそも共通認識が存在していないような気が…
masui: @yoggy 人のミスをつつく行為や弱者をイジメる行為は一般に格好悪いと言ってるんですが。


企業がTwitterを利用にするときのセキュリティ対策について。やっぱなりすまし対策なんでしょうかねwww
NobMiwa: 企業がTwitterを利用にするときのセキュリティ対策についてブレーンストーミングちう
NobMiwa: 偽アカウントの削除依頼とかww
NobMiwa: 手動RTでデマが広がった場合の対応とかww
NobMiwa: アカウントが乗っ取られて、メアドが変えられて、デマtweetされまくりとかww
NobMiwa: あ、パスワードが変えられて、という


他人に厳しいけど自分は面倒だからサイバーノーガード戦法という人はいますよね。
NobMiwa: セキュリティ関連のMLで、添付ファイルに暗号化されているが、1分後に「先ほどのパスワード」が配信されてきた、暗号化されていても暗号強度はゼロに近い


またまた新たなマルウェアの予感。
dameodo: ああ、やだなぁ。これが元で第二のgumblarみたいのが現れたら…(;_;) マイクロソフト月例パッチ--自動ダウンロード攻撃用のコードが近日中に登場か http://ow.ly/1ycov


会社だと焦りますよね。個人的には会議中にtumblerを見てて焦ることが最近多いですがw
yarai1978: 徹底したソーシャルエンジニアリング。RT @nikkeibpITpro: 「アダルトサイトを表示して焦らせる」――新たな偽ソフト出現(ニュース) #itprojp http://tinyurl.com/y7bdeo9



24日発売ですか。「本来攻撃を防ぎ、対策を講じるはずの「ITセキュリティ産業」の人たちが、結果的にかえってユーザを危険にさらしていることや、ユーザが正しい防御策と信じている事柄の危険性を指摘し、ITセキュリティの真の姿を明らかにする」だそうですよ。
k_morihisa: これ読んでみたい:セキュリティの神話 http://bit.ly/a2yK04


新人じゃない奴にも読ませましょう。
ikb: 無料はいいねえ… #security: 窓の杜 - 【NEWS】JPCERT、新入社員向けセキュリティ教育用のPDF文書2種を無償公開 http://goo.gl/dKht


試してみたいもんですなあ。
vulcain: 試してみたいが時間が取れない、、、そもそも比較材料がないやorz QT @hasegawayosuke Hey XSSers, Has anybody ever used x5s? how is the quality? http://xss.codeplex.com/


いると思いますよ。会社でtwitterとかやっちゃいけないらしいので、見てる人少ないと思いますがw
HiromitsuTakagi: いやいくらでもいるでしょう。それなのになぜこうなのか考えてみませんか。QT @tarchan NTTにもわかってる技術者が来てくれるといいですね


僕も朝同じことを思いました。
ymzkei5: Adobe Readerのアップデートをして、てっきりReaderの再起動かと思って、「今すぐ再起動する」を選択したらマシンごと再起動させられて、Adobe 社の方角を向いて叫びたい気分なう。(長いw

テーマ : セキュリティ
ジャンル : コンピュータ

4月13日のtwitterセキュリティクラスタ

引き続き多忙な感じでTLをじっくり眺めている時間もありません。そして、暇ができたらtwitter落ちてたりw

もうそろそろGumblarも落ち着いてきたみたいですが、どうなんですかねえ。
lac_security: @ITで川口洋の最新コラムが公開されました!今回は、Gumblarのその後について⇒ http://bit.ly/bJ00E9


橋本さんがn.tt持ってたよなあ。
ymzkei5: 1文字のドメインが取れるんだ。tl。>■pixivがURL短縮サービス「p.tl」 - ITmedia News http://www.itmedia.co.jp/news/articles/1004/13/news047.html
ockeghem: j.mpもありますね


そしてもう1つドメイン関連。日本だと訴訟起こされて、負けちゃうんでしょうけど。
expl01t: [ac] 2014.ru が250万ルーブル(800万円)で売れた.もうドメイン名ビジネスなんてと思ってた矢先RT: @CombonewsRu Домен 2014.ru был продан за 2,5 миллиона рублей http://bit.ly/cBy3KL


笠原さんの原稿です。日本でもやんないですかね。
takesako: 【セキュリティ魂】ハッカーショーをテレビ番組が放映「盗難してくれてありがとう」 http://news.livedoor.com/article/detail/3586044/


一太郎か… 卒業論文書いたとき以来使ってませんが、まだあるんですね。
ntsuji: 就職活動の一環です。(キリッ … では許されないですね。 ― 「白紙の履歴書」にご用心―「一太郎」に新たな脆弱性 http://bit.ly/dhvPU2


マルウェアって言葉もまだ馴染みませんが、ランサムウェアとかバッドウェアとか大変です。
ntsuji: ランサムウェアって言葉はあまり定着しなかったみたいですね。記事にもマルウェアと書いていますし。そういえばバッドウェアって言葉もありましたね。 http://bit.ly/daBMZS


フラグメントIDを使った攻撃とか出てきたりするのかもしれませんが…
bakera: @securecat http://law.e-gov.go.jp/htmldata/S25/S25HO100.html#1000000000000000000000000000000000000000000000006800200000000000000000000000000
ockeghem: @bakera やけに長いフラグメントIDですね。脆弱性でもあるのかと一瞬思ってしまいました
bakera: @ockeghem 長いですよね。しかも、少なくともRFC的には Location: フィールドにフラグメントIDつきのURIは書けませんので、URL短縮サービスも利用できないという……。


まだまだURLとか文字コードとか難しくて面白そうなことがいろいろあるんでしょうね。
bugbird: だめだ。ヘブライ文字を URL に入れてると URL 短縮が壊れる


結局あんまりさわってないまま今に至ってますな。来週暇になったら…
hir0_t: ncrackを使ってみよう!と思ったけど、まだプロトコルはtelnet, FTP, SSH, HTTP(Basic)くらいしか対応してないのね。


医者の不養生ってやつですか。
JVN: 複数のアンチウィルス製品に脆弱性 http://jvn.jp/cert/JVNVU545953/


テーマ : セキュリティ
ジャンル : コンピュータ

4月12日のtwitterセキュリティクラスタ

出張に行ってました。セキュリティとは全然関係ない話ですがgooメールってリニューアルしてたんですね。知らなかった。

自分は何もしなくても世界は回っているんですよね。
sugusugu77: しばらく忙しくて twitter は放置しておいた。放置している間、特に地球もいつも通り回っていたよ。約2週間半ぶりに覗き見て、呟きは減ることもなく、電網を漂っているなぁ。


これを悪用する人が出てきたりすると危険な気はするんですけどね。
MasafumiNegishi: RT Adobe Readerで「自動更新」が利用可能に、パッチを自動的に適用(ニュース) - http://j.mp/drf7Di


そして、あまり関係はないけど、こちらも危険な香りの漂うPDFの仕様「Launch action」 について。
yumano: これはいいまとめ! RT @v_avenger: サードパーティPDFソフトを含め丁寧にまとめられていて勉強になります。 RT PDFの仕様「Launch action」 について思う http://bit.ly/bhR2Yg


代金を回収できない事故が起こる可能性があるようです。注意しないと。
yumano: 興味深い。善人かつ間違いが起こらないっていうのが前提で考えたのかなぁ? RT @Hidehisa: ECサイト運営・開発者は、JNBのワンタイムデビットに注意! - フジイユウジ::ドットネット http://bit.ly/9tGj0R


新ツール蟹源だそうですよ。KaniGenですか。
port139: その名も『蟹源』ver 1.0 リリース > http://www.ji2.co.jp/forensics/tools/index.html
port139: 『蟹源』を使うと、EnCaseのキーワードで、CodePage を任意に指定したインポートリストを生成することができます。CodePageを個別にいちいちブルーチェックしなくて済みます(w


ミサイル基地とか見えてたから首領様が抗議でもしたんですかね。
sen_u: ホントだ。Googleマップから北朝鮮がキレイさっぱりなくなってる。


作れるとベリサインは大変ですね。そういや、昨日あたりEV SSLってベ○サインが儲けるために作ったんだろ?とか誰かが言ってた気がするのですが、疲れているので夢かもしれません。
rryu2010: EV SSLのオレオレ証明書って作れるんだろうか。


もともと閉じたネットワークを想定した携帯のログインやら認証やらはいろいろ問題があるんでしょうね。掘ればもっといろいろ出てくる気がするのですが。
HiromitsuTakagi: cookieなら全社使えますね。使えない旧機種にはログイン用iアプリでも提供すれば? QT @tk4168 Cookieを扱えないガラケーだと実質的に他に選択肢ないのよ。まさか接続するたびに数桁の英数字混じりのパスワードとIDを●で伏せられた状態で携帯のキーで入力しろと?



確かにこれはひどいですね。自重しろよ。
ripjyr: これはひどい。>http://twitpic.com/1ehv3v

テーマ : セキュリティ
ジャンル : コンピュータ

4月9日のtwitterセキュリティクラスタ

今日の興味深いところはXSS脆弱性についてです。さまざまなサイトにまだXSSが残ってたりするのですね。
k_u_s_a_i: DoCoMoの課金認証ページにXSS脆弱性がある感じ Aのサイトに登録するために認証したのに、Bのサイトに登録へ登録されっちゃってました・・・  的なことが出来そうな出来なさそうな
bulkneets: ログインとか無いし影響ないよね http://buzztter.com/ja/k/%27+alert%281%29+%27
bulkneets: 具体的なサンプルが無いとどういう仕組みでXSSが起きるのかが周知されないので、XSSがあっても影響がでないサイトでゼロデイ公開してけば良いと思う 例:↓
javascripter: http://bit.ly/bUhqHg 文字列リテラル内でののエスケープ漏れによるXSS脆弱性。このパターンはXSSAuditorが効かない。JSを動的に作るのは危険になりやすいと思う。
kinugawamasato: ログインとか無いし影響ないよね http://la.ma.la/blog/?page=%3Cscript%3Ealert%281%29%3C/script%3E
kinugawamasato: はてなのexpressionのXSSがもう2こ修正されました! http://bit.ly/artWxj


それに関連したauのメールフィルターの昔話。今はきっと対応されているものだと思いたいです。
k_u_s_a_i: 昔、auのメールフィルター(受信拒否設定)にCSRF脆弱性があって、細工?されたページを読み込むと『@』を含むメールアドレスからを拒否するよう設定になって、報告して修正されたんだけど発表的なことは一切されてなかった>脆弱性ではなく仕様で片付けられた・・ そんなものなのかな


twitterを使っているとやたらと短縮URLをクリックするので危険ですね。
NOTE_MAN: 【気になる記事】短縮URLを使うIMスパムでワームに感染 http://bit.ly/aJCoJz


カーネギーメロン大学日本校って閉校したんですね。武田先生がいらしたような。そして、授業料がめちゃくちゃ高かったような。
ttmtko: 兵庫県が誘致したアメリカ名門大学の日本校が先月、閉校しました。(略)日本人は企業から派遣されてきた社員がほとんどで、一般の学生は5年で3人だけだった。 http://www.mbs.jp/voice/special/201004/06_28384.shtml


自動スキャナってちゃんと脆弱性見つけてくれるのかどうか、これを参考に試してみたいです。
takesako: [security][xss]Webアプリケーション向けの自動セキュリティスキャナ「Skipfish」を試してみた記事 http://blog.asial.co.jp/682


twitterにつぶやくのは遺言で禁じられてるから顔出し動画でつぶやくそうですよ。
lac_security: LACCOTV: 「Gumblarの脅威!新たな危険挙動を追跡中!」~ 川口洋のつぶやき 第7回 04/09/2010 http://www.youtube.com/user/laccotv#p/u/0/R1t4QPIRzsg


うへえ。何でも個人情報が埋め込まれてるのか…
takesako: [mp3][privacy][DRM] MP3ファイルには個人情報の電子透かしあり, クラウドに対するDRMに利用されそう http://bit.ly/a54c0U


もっと近隣の国からの方が多そうな気がしていたのですが、アメリカが一番なんですね。
lac_security: JSOC攻撃元国別ランキング(2010年3月)JSOCにて検知した海外から日本に対して攻撃(調査活動を含む)2010/3/1~2010/3/31日 1.アメリカ20.8% 2.韓国4.9% 3.中国14.0% 4.台湾5.1% 5.ドイツ5.0%


今夜はこれ見ようと思います。物理層って大切ですよ。
shinichiro_beck: 2010年04月09日(金曜日) セキュリティショー:  (16:30)今夜の「世の中進歩堂」は、『防犯システム最前線を目撃!最先端セキュリティ技術が結集した一大イベントに潜入!』を放送します。今夜 BS7夜10時24分から。 ... http://bit.ly/aXC3LZ



なお、明日から3日間出張ですので、更新できません。あしからずご了承ください。

テーマ : セキュリティ
ジャンル : コンピュータ

4月8日のtwitterセキュリティクラスタ

CTFは知力も体力も必要な協議なんだなと言うのを改めて実感したこの2日間でした。

CODEGATEのCTFが終了したようです。日本から参加のチームsutegomaは7位だったようです。参加者の皆様お疲れ様でした。解説なんかも期待していますよ。
07c00: #codegate 上位4チームが2問解答。次の3チームが1問解答。つまり全8チーム中7チームが問題を解答しますた。ちなみにsutegoma2は1問解答で現在7位w 少しずつ落ちてきたyo! 上位チームと下位チームの差は1問w
murachue: Chal. 3とけたーーーー!!!! 7位にあがったよ。まだ1時間以上あるので、油断禁物 #codegate2010
sutegoma2: challenge3クリア 1560点を獲得してsutegoma2 は7位に浮上! #codegate
_kana: HFS優勝、PPPが二位、3位がSEXYPANDA、日本は七位でした。ブービーじゃないよ。みんなよくがんばった!

yoggy: CTFお疲れさまでしたー→ホテルに戻って気絶→ようやく起きる→寝ぼけて外に出る→部屋に鍵を忘れて入れない←いまココ


CTFに参加していた愛甲さんはその後講演を行ったようです。すごい体力。
_kana: 愛甲さんがCODEGATEで講演中。Haver Flake や Tora の講演がわかる人にわかる内容であるのに対し、愛甲さんの講演は難しいことをわかりやすく説明していてとても親切。
_kana: 聴衆も身を乗り出してデモを見ています。


CODEGATE2010の写真はこちら。
tessy_jp: #codegate RT @julianor: some codegate 2010 pictures http://www.flickr.com/photos/49088372@N03



先日お伝えしたtwitterのXSSが修正されたようです。IE限定だったのですね。
hasegawayosuke: Twitter's XSS for IE6/7 was fixed by @bulkneets's work. http://bit.ly/dd62vs+
bulkneets: twitterのIE限定XSS直りました。


IEは8でも相変わらず危険だというお話。「拡張子でなく、内容によってファイルを開く」を無効にしていた場合でも自動判別されるということのようです。
hasegawayosuke: I think IE is still danger even at 8. Because IE assumes no-HTML as HTML even if "X-Content-Type-Options nosniff" was specified.
hasegawayosuke: Ah, miss. not "X-Content-Type-Option". Setting of IE "Open files based on content, not file extension" is "disable".
sirdarckcat: @hasegawayosuke do you have a PoC =D?
hasegawayosuke: @sirdarckcat disable the setting : "Open files based on content, not file extension" and open http://utf-8.jp/cgi-bin/xss.cgi?a.html
hasegawayosuke: "nosniff" header looks like working pretty. better than "Open files based on content, not file extension" option. :)



Webアプリも自動的に脆弱性が見つけてくれるスキャナがあればいいのでしょうけど、なかなか自動化するのも大変なのでしょうね。
vulcain: xss専用のスキャナーってないのかな? SQLinjection系だといろいろ引っかかるのに。
vulcain: あと、ログインフォームに対応したスキャナー。クッキー読み込ませるのはあるのだが。
ikepyon: http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=2&lid=6 中途半端だけど、一応出来るよ!


興味はあるけどお金がありませんよ。会社からお金出してもらえそうな人はぜひ。
lac_security: 実践!デジタルフォレンジックハンズオンコース2 タイムライン解析コース http://www.lac.co.jp/event/20100427.html UNIXコマンドに抵抗感の無い方是非!タイムラインから読み解く


中国も気になりますね。
lac_security: リンクがおかしかったので、再掲。 気になるニュースでしたので。「中国ハッカー、インド国防省から情報入手」どんな脆弱性が利用されたのかは不明みたいですが。http://news.livedoor.com/article/detail/4706202/


ガンブラーウイルスの飛び先だそうです。
ymzkei5: ■ガンブラーウイルスの飛び先「ru:8080」の次? - 無題なブログ http://blogs.yahoo.co.jp/noooo_spam/59734115.html



テーマ : セキュリティ
ジャンル : コンピュータ

4月7日のtwitterセキュリティクラスタ

今日は朝から脆弱性対策やプログラミングの教育などについて熱い議論が交わされて、twitterならではのリアルタイム性を感じた一日でした。

まずは初心者用のプログラミング書籍やサイトについて。
ikepyon: 初心者用の言語の本やサイトで、脆弱性のあるコードを平気で書いたり、「セキュリティは難しいので後で説明します」とかいうことを書いているのはクズだと思う
ikepyon: セキュリティ対策の説明が難しいなら、「この部分はお約束です。後で説明します。」とでも書いとけばいいじゃん!
ikepyon: そこできっちり書かないからセキュリティ対策=難しいとかコストがかかるとか思われるのではないか?実際はそんなこと無いのに・・・
ikepyon: C言語の本で「#include 」を最初にきちんと説明してある本を見た記憶が無いw
rip_: 多分、きちんと説明したらそこで心折れる人が続出するw
ikepyon: 確かにw それと同じでセキュリティ対策用のコードも最初に説明せずに、入れときゃいいんじゃねと思うのですよ。 RT: @rip_: 多分、きちんと説明したらそこで心折れる人が続出するw
ikepyon: 古いのはしょうがないけど、去年とかにかかれたので、これは無いと思う。http://gihyo.jp/dev/serial/01/zf-ajax/0003
rip_: @ikepyon ですよねー。説明したい事以外を削った結果なのかもしれませんが、おかげで害のあるサンプルコードが巷にあふれてますね
ikepyon: さっき確認したら、大垣さんの記事のコードが安全そうなものになってた。直した?http://gihyo.jp/dev/serial/01/zf-ajax/0003?page=2


そしてSQLインジェクションやXSSをなくす方法についての議論に発展していきました。
ikepyon: いい加減SQLインジェクションやXSSをなくす方法を対策と言うのはやめたほうがいいのかもしれない。「対策」というから身構える人もいるのではないか?
ockeghem: @ikepyon 同意だけど、「対策する」と言いたい文脈でどういうかが問題ですよ。「XSSちゃんとする」とか? (^o^)
ikepyon: 言葉の問題はありますよねぇorz「当たり前にしなきゃいけないことをする」だとなんだかわからないですし・・・
paper130: バグと言ったらいかがですか?
ikepyon: 確かに、SQLインジェクションやXSSはバグですからねぇ。その修正方法と言えばいいかもしれませんね。
paper130: 彼らにとって新しい「セキュリティ」という言葉を使うから身構えるし、追加要件なんていう変な反論が出てきます。
rryu2010: @ockeghem 結局サニタイズ脳がエスケープ脳に変化しただけで状況は以前とあまり変化していないというか、むしろサニタイズ処理コピペからエスケープ関数を適当に選んで間違ったりするので悪化しているような気もします

ikepyon: XSSやSQLインジェクションはバグなんだし、そんなバグ作りこまないのが当然と言う風潮にしなきゃいけない。対策対策言うんじゃなくて(それ言うと身構えるから)、普通こういう風にコードを書きます。みたいな言い方にしないといけないのではないか?


そして、セキュリティに対して無防備なプログラマーへの意識を変えることについて進んでいきます。
_hito_: @ikepyon 彼らの「きちんと動く」は「見た目動いてるけどセキュリティ無防備」と同義語なんですが、そのあたりはどうやって意識改革を起こしますか? それを今考えてるんだ、という話かもしれませんが、循環論法に見えます。
ikepyon: それを考えないといけないと思ってます。そのために受け入れやすい方法は何かなぁということですよ。
_hito_: @ikepyon んーと、その論法が理解できないんですが、「コスト追加負担しろ」と迫ってるのと同じですよね。そもそもの時点で受け入れられない可能性はどう越えるので?
_hito_: @ikepyon より論点を明確にするなら、「黒船であるにも関わらずソフトな物腰を実現する方法は?」というナンセンスさを交えた問題提起に見えます。問題文を考え直してもらわないと議論の軸がブレます。
Vipper_The_NEET: @ikepyon まともにテストされていればいいはずなんですよ。想定外の値が入力されたときの挙動が正しくエラー処理されていればいい。それができてないわけだから,バグとしては恥ずかしい部類で,開発現場に対しては,モジュールの単体テストをちゃんとやれば発見修正できる程度のバグだ,と。
rryu2010: XSSは攻撃方法の名前なので「対策」になってしまうのは仕方の無いところ。脆弱性そのものの方に名前をつけないといけないけどなかなか難しい。
ockeghem: @rryu2010 本当ですね。こんなことだったら、まだサニタイズ脳の方がマシだった。危険になり得る記号を削除すれば、ともかく対策としては機能しますからね
ikepyon: @_hito_ 例えば「SQLインジェクション対策はバインド機能を使うのだ」と伝えるのではなく
ikepyon: 「Tully'sを検索するSQL文はどうかくの?じゃ、任意の入力した文字列をDBで検索するプログラムはどうかくの?最後に作ったプログラムでTully'sって検索できる?」みたいなやり方で説明するとかいった方法の話ですが
ikepyon: @Vipper_The_NEET 確かに。でもそのテストが出来ていないorzどういった値が入ってくる可能性があるのかという想像がかけているのが現状でしょうね
ikepyon: いきなりセキュリティと言う言葉を使うのではなく、もっと開発者に受け入れやすい言葉で方法を説明する必要があると思う。「きちんと動く」と言うのはどんな状況でも想定通りに動くと言うことだと思うのだけど


そして、安全なコピペひな形集があればいいんじゃないかと。どこかの出版社さん興味ありませんか?
_hito_: @ikepyon それで全ケースがカバーできるならそれでいいんですが、「ユーザーが通常は入力しないであろう特殊なinput」への対策への動機として機能しなくないですか? それは置いて、ひとまず分かりやすい領域へ対処しようとしていますか?
ikepyon: @_hito_ IPAの報告にあがっているのやら、アプリ関連の事件事故の報道を見るとその多くは「ユーザーが通常は入力しないであろうと鳩首名input」への対策が抜けてたからですよね。だから、取っ掛かりの動機としてはいいと思います。
ockeghem: コピペ脳の人には、結局のところ、安全でコピペしやすいひな形集をそろえるしかないんじゃないですかね。PHP逆引きレシピは、割といい線いっていると思いますけど
yumano: @ockeghem コピペで作る、安全なPHP Webアプリケーションって本を出せばいいのかな?
ikepyon: そうして作ったものが安全なものでした。ほら、セキュリティってそんな特別なことじゃないでしょう?だから、みんなもセキュリティを考えようと持っていけばいいと思う
ikepyon: セキュリティ対策することは目的ではない。安全できちんと動くアプリを作ることが目的なんだから
Zephid: @ikepyon 「彼ら」というのが何を指すのかわからないで書きますが全ての開発者とすると、「風潮」の風に触れることのない開発者って多いと思いますよ。多分そういう人の方が多数派。
ikepyon: @Zephid そこに到達するには、入門書とか入門サイトで説明するしかないと思います
_hito_: @ikepyon それは真なんですが、「 XSSやSQLインジェクションはバグなんだし、そんなバグ作りこまないのが当然
_hito_: @ikepyon というのとは別の表現を使うべき話に見えます。なんつーかサニタイズゆうなみたいな、そんなリスキーな情報流布じゃないかなーと。
bugbird: セキュリティは BCP のための手段です(会社)そして LCP (Life continuity plan) のための手段(個人) RT @ikepyon: セキュリティ対策することは目的ではない。安全できちんと動くアプリを作ることが目的なんだから
vulcain: @ikepyon 町工場でコピペと言うと技術の発展的継承を指すが、ウェブでは劣化的継承を指す。地道な作業は得意だが、創造的な作業苦手な日本人らしいが、日本に限った話かどうかはナゾ。



韓国で行われているCODEGATEのCTF決勝戦始まったらしいです。がんばってください-。
07c00: CTF決勝の開幕式が始まったなう
07c00: internetはHTTPのみ使用可(トンネル作りたいw)。問題サーバのあるネットワークはクローズ環境。そろそろ競技スタートかな
07c00: 朝飯用にコーラとポテトとハンバーガー買ってきてもらったら、CTF運営側からの差し入れでコーラとポテトとハンバーガーが提供されたw
07c00: 最初はWeb(XSS)と、プロトコル解析?みたいな問題の2問。
07c00: 3GBの物理メモリをダンプしたファイルをもらった。3問目はこのファイルを解析する問題だと言われた。3GBのダンプファイルとかww
07c00: 別の韓国チームが1問解答。現在2チームが共に1問解答済み。僕らも惜しいところまで来ていると思うんだけどなぁ
07c00: eggpodさん2問目を解答。現在暫定4位。
07c00: 1位の韓国チームGoNが1問目を解答。これで1問目と2問目を解答したことになり、暫定1位を維持。sutegoma2は4位継続。
07c00: #codegate 上位4チームが2問解答。次の3チームが1問解答。つまり全8チーム中7チームが問題を解答しますた。ちなみにsutegoma2は1問解答で現在7位w 少しずつ落ちてきたyo! 上位チームと下位チームの差は1問w


そしてCODEGATE2010 CTFのオープニングです。かっこいいですね。
yoggy: CODEGATE2010 CTFのオープニングの動画をアップしました http://www.flickr.com/photos/yoggy0/4498823109/


IIJのレポートですか。無料なんですね。すごい。
connect24h: Internet Infrastructure Review(定期発行技術レポート) http://ow.ly/1vqKx これは、LACのレポート並にすばらしい統計データが。ありがたや。ありがたや。


携帯のセキュリティ問題についての愚痴w確かに技術的なことについてわかっていない&興味がない記者は多い気がします。
HiromitsuTakagi: ケータイ評論家諸氏からの取材等は一度もありませんでした。一方、一般紙の社会部、科学部からは数社複数記者から取材がありました。一般紙の方が関心が高く理解もされるのですが、一般紙が記事にできるほど問題が易しくないため表に出ない場合が大半でした。読者が理解できないことは書けないのです。


ボチボチやっていきますー
kikuzou: twitterセキュリティネタまとめ http://bit.ly/aqAG5y 大変そうですが、がんばって下さい(*´∀`)ノ

テーマ : セキュリティ
ジャンル : コンピュータ

4月6日のtwitterセキュリティクラスタ

今日盛り上がってたのはYahoo知恵袋のSQLインジェクション対策についてでした。
ockeghem: Yahoo!知恵袋のセキュリティ関連のQ&Aがひどいことになっているようだけど、ではどこで聞けば質の高い回答が得られるかというと、思いつかない
ikepyon: これがベストアンサーかよorz http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1438736814
ockeghem: セキュリティコンサルタントが無償でセキュリティの質問に答えだしたら自分の商売否定することにならない?と思ったのだけど、Yahoo!知恵袋で質問する人とコンサルタント雇う人は「客層」が違うから大丈夫かもね
ockeghem: とりあえず、DNSリバインディングのシリーズが一段落したら、『勝手に回答』みたいなのを始めるか。質問サイトの質問に勝手に答えるの。dankogaiみたいだw
ockeghem: 回答者もいろいろだなぁ。プレースホルダ使っているのに『あと、「SQLインジェクションの関係で、エスケープさせる必要があります」と書かれているのに、無害化のコードが書かれていないのが気になりました。』どうしてもサニタイズしないと気が済まないのか?
bakera: 脆弱性関連FAQコンテンツを作った方が良いのかしら。「CSRF FAQ」とか「SQLインジェクションFAQ」とか。
ikepyon: それ作っても見るのは業界人だけというオチがw


それに引き続き質問サイトについて。たまにえらそうに間違ったこと書いてる人がいてげんなりしますよね。
ockeghem: 質問サイトのアクティブユーザって、一日に何件も質問するのですね。プログラム書いててわからないところが出てきたら質問してる? まぁ少しは試しているのでしょうが
ikepyon: 回答者本人が理解してないなんてorz
bakera: @ikepyon 知ったかぶりの回答者って、ニフティの時代からいましたね。嘘の回答をされると迷惑ではあるのですが、本人は善意のつもりなので非常に面倒です。
ikepyon: すみません。それ私だったりorz何とか直さないとなぁorz


それに対してこういう意見が。確かに追加という認識だと余計なコストがかかると思うのも理解できます。
rryu2010: @ockeghem セキュアなプログラムというのは普通はやらないセキュリティ確保専用の処理を追加で行っているものという認識を持っている人が結構いるような気がします。
rryu2010: バグにより発生する仕様外の挙動の中にセキュリティ的に危険なものがあるという認識を持っていない場合、バグを直すという発想ではなく、セキュリティ的に危険な挙動を封じ込めるための処理を追加するという発想になるような気がする。



そしてまだまだ続くメッセサンオー
HowManyFiles: メッセサンオーの顧客管理システムを作ったところが、今回の情報流出を受けてセキュリティの記事を書いてるのだけど、的はずれなことを書いてて面白い。http://j.mp/9tJatW


twitterに未対応の脆弱性があるの??
bakera: これは @hasegawayosuke さんが届出済み、という理解でOK? http://b.hatena.ne.jp/entry/gyazo.com/66e43b0db83b2db830e1fd2a6b0f1316.png
hasegawayosuke: @bakera 私は届け出てませんが、@bulkneets さんがTwitter側に直接連絡を取っているけれど未修正のままclose扱いになったと理解しています。



CODEGATEご一行様韓国に無事着いたようです。
tessy_jp: I departed to #codegate. Today,Tokyo is too hot. See you soon!
yoggy: 出国なう
yumano: @ockeghem @mihochannel 韓国いってきます!
ucq: 韓国のホテルなう
tessy_jp: 慌てて持ってきた硬貨類が中国元だった件について



今年一番の脅威になるかもしれないDNSリバインディングとその対策ですよ。
ockeghem: 日記書いた 『PROXY(プロキシ)経由でのDNSリバインディングと対策 』 http://www.tokumaru.org/d/20100406.html#p01


URIエンコード各方法のまとめとGumblar関連。IPAもがんばってますね。
hasegawayosuke: JavaScriptにおけるURIエンコード各方法のまとめ。 http://www.ipa.go.jp/security/fy21/reports/tech1-tg/b_09.html
connect24h: 超マニアックだな。9 URI のエスケープ Gumblarも良くまとまっている。5 Web媒介型攻撃Gumblarの動向調査 http://ow.ly/1uVYl 情報セキュリティ技術動向調査(2009 年下期)
RBBTODAY: 【インフラストラクチャセキュリティ】Gumblarの再流行(Vol.1) http://bit.ly/dnkaE8


テーマ : セキュリティ
ジャンル : コンピュータ

4月5日のtwitterセキュリティクラスタ

月曜日だからか年度初めだからかわかりませんが、今日のセキュリティクラスタは地味に進行しています。

週末から引き続きメッセサンオー関連
ymzkei5: ■メッセサンオー個人情報流出事件の損害賠償額を計算したらエラいことになった http://shakediary.blog93.fc2.com/blog-entry-2476.html


またまたCGIの方は改修したみたいですが、今度はCookieに生パスワードが入っているようです。
bakera: 「WEBインベーダー」っ……!? http://wb-i.net/wforum/wforum.cgi?mode=allread&no=4566
ikepyon: 今はCookieにパスワードを入れる方式に変えてるみたいですねorz それだったら、基本認証使ったほうがまだましのような・・・ RT: @bakera: 「WEBインベーダー」っ……!? http://bit.ly/cj71Q3
ikepyon: 言うつもりに100カノッサw RT: @_xcorp_: @bakera なんと!…マジだ(;´Д`) まさかこれで「認証情報をCookieに入れるようにしたのでセキュアです」とか言うんじゃないだろうな…


そして出版関係者としてはちょっと気になる日経電子版は相変わらずリンク禁止とか言ってるんですね。
sasakitoshinao: いまだにこんなことを言ってるのか、日経。果てしないトホホ感。/ 日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 - スラッシュドット・ジャパン http://bit.ly/c8ATPN
HiromitsuTakagi: 日経新聞電子版は、ブラウザソフトの提供行為も禁止事項に挙げてる。http://www.nikkei.com/info/policy.html 「禁止事項「日本経済新聞 電子版」の各ページ情報の一部を表示したり蓄積するなどを目的とするソフトウエアの提供または公開はお断りします。」


twitter.co.jpって実は他の会社の持ち物だったのね。
koyhoge: twitter.co.jp のドメインスクワッティングに対して裁定。 http://bit.ly/d04ZIn


これもちょっと気になるところです。
ikb: 「閲覧禁止。なお、きみのアクセスは記録された」というのの回避に使えそう。: あらゆるWEBページをメールにして送れてしまう「EmailTheWeb」 - WEBマーケティング ブログ http://goo.gl/m1o9


Wizard Bibleいよいよ50号なんですね。私も何かネタがあったら書きたいのですが…
ipusiron: WB50原稿募集開始


韓国で行われるCODEGATEのCTFに参戦のtessyさんご一行、がんばってくださいー
tessy_jp: 明日宿泊予定の韓国のホテル。かなりぼろいらしいという情報w

テーマ : セキュリティ
ジャンル : コンピュータ

4月3、4日のtwitterセキュリティクラスタ

休みの日はセキュリティクラスタはあまり書き込みがありません。みんなリア充なんですね。それとももう休みの日は画面なんか見たくないのでしょうか。

中国からのアクセスを弾くための新アイデア。大好評です。
murachue :ナイスアイディア! RT @Woggieeee: RT @kzk_mover: これは凄いw RT @nya3jp: これはまじめに利用したいw RT @yzn8: なるほどこれは.w RT @rofi: この発想はなかったwww http://2tu.us/1x3c



エイプリルフールに現れたニョンタスが3D化しそうです。
tacozzy :http://twitpic.com/1cumi5 - ニョンタス作りは~じめ。まずは型紙を作るためにトレースします。 #ndk
tacozzy :型紙完成! #ndk - http://twitpic.com/1cun8d
tacozzy :次にトレーシングペーパーに写します。 #ndk - http://twitpic.com/1cuoce
tacozzy :トレーシングペーパーを型に沿って切り、セロテープでフエルトに張り付けます。 #ndk - http://twitpic.com/1cupms
tacozzy :http://twitpic.com/1cuqrn - 貼り付けたトレーシングペーパーに沿って、フエルトを切ります。これを二枚作ります。今日はここまでかな。 #ndk


すでにフェルトで作った人も現れました。
daaaki :http://twitpic.com/1d48xe - フエルトで作ってみたよ。ニョンタス。無計画に作ったから、バランス悪いねえ。。。



週末から引き続き個人情報を垂れ流した原因となったCGIについて。10年以上前のスクリプトを引き続き使用しているところがあったりもするんでしょうね。
bakera :ログインフォームがPOSTになっていますね。その先は変わっていませんので無意味ですが。 http://wb-i.kir.jp/sample/Contents_Mall/admin.html
bakera :あ、よく見たら、リンク先はframeによってURLが隠されるようになっているのですね。調査時はCtrl+クリックを多用しているので気付いていませんでした。
bakera :@Mitukasa もちろん本質的な解決にはなっていないです。ちなみに、管理画面には開発元のサイトへのリンクが入っているので、開発元はRefererを取れるというお得な設計になっております。


そして最近は使われないjcode.plについて。
Mocel :今時 jcode.pl 使ってるようなスクリプトは、作った人が昔の知識だけで最近の技術について勉強していないことが明らかで信用できないから使わないほうがいい。
uta46 :ちなみに jocde.pl-2.13 には、明らかなバグが2つあります。8年前に直したけどリリースしてませんよ。


あとちょっと気になったもの。
suma90h :ふと「マルウェア解析のための統計テクニック」とかいうタイトルを思い浮かんだ。あれば、局所的に流行るぞ
takesako :[疑似科学][教育] 疑似科学とのつきあいかた ~教師を目指す皆さんへ~ http://hdl.handle.net/10069/23093
MEGATTACK_ :Ubitack - Wireless Pentest and Assessment Tool http://bit.ly/9FWCvE


テーマ : セキュリティ
ジャンル : コンピュータ

4月2日のtwitterセキュリティクラスタ

今日はセキュリティインシデントがあったり新サービスがあったりでいろいろ書き込みも多かったです。

メッセサンオーの通販CGIのデータが全部丸見えになって、どうやらエロゲーの購入者の住所氏名電話番号などが公開された模様。どうやら今は対策されているようです。
mincemaker: メッサンオーの通販CGIがすごいことになってるのか……
akedon: メッセサンオー、ヤバす

顛末についてはこのあたりで。
ucq: ちなみに開発元のサイトもひどい・・・RT @syuu1228: いい記事だけど、タグは「ネット」じゃなくて「ネタ」じゃないかな;-) RT @m_bird: メッセサンオーの件、軽くエントリ書いた。 http://bit.ly/cQb0CX

このサイトの問題点が早速考察されているのがtwitterらしいスピード感を感じさせます。
_xcorp_: (;´Д`) RT @bakera: @ockeghem それが、パスワードは引き回しされるのですよ。この設置サンプルをご覧いただければと。http://wb-i.kir.jp/sample/Contents_Mall/member.cgi?pass=1234
ockeghem: 意外にきれいなソースですけど、モジュールもなにも使わない、いかにも昔のCGIのスタイルですねぇ QT @bakera: @ockeghem @ikepyon ソースはこんな雰囲気? http://www.begran.com/cart/shop.cgi
ikepyon: ソースらしきものを見たら2002年のものでした。そのまま修正修正できたのかな? RT: @ockeghem: 同意 QT @_xcorp_: たぶん昔はそれなりにできる人だったんでしょうけど、技術の進歩に追いつけず、当時の技術で食いつないでいるいる系ではなかろうかと。
bakera: @ikepyon 1ガバスw しかし、「Cookie無効でも動く」かつ「管理画面内のリンクはGETで動作」なんて要件を満たそうとすると他に方法がないわけで、前提となっている要件を根本的に変えないと駄目なんですよね。
ockeghem: こういう凄いのを目の当たりにすると、セッションフィクセーションとかDNSリバインディングみたいな複雑な手順のアタック手法を研究していることが馬鹿らしくなりますね


調子に乗っていじると不正アクセス禁止法違反ですよ。
hasegawayosuke: URLのパラメータをいじって個人情報など保護されているであろう情報にアクセスすることは、不正アクセス禁止法的に微妙なのでやらないほうがよい。


これからはパンダセキュリティなのかもしれません。
totoromasaki: どうやら、AVASTから、パンダセキュリティのクラウド版に移行が始まってるらしい。
totoromasaki: 先日のまっちゃに参加した学生いわく「パンダセキュリティ使いまくり」って話が・・・


auのbiblioやWi-Fi WINについてのやりとりが興味深いです。
ikepyon: 簡単ログインはWi-Fi WIN捨ての方向かなぁ?
ikepyon: でも、Wi-Fi WINからの簡単ログイン捨てだと、きっと「何で簡単ログインできないんだよ!何とかしろよ!」と言われて、対応しちゃいそうorz
ikepyon: うわ、Wi-Fi WIN使うと今までIP制限できてたのが出来なくなるんじゃね?http://www.au.kddi.com/service/kino/wifi/index.html
ikepyon: どうも別途契約が必要みたいだから、一旦auのゲートウェイと押すのかな?なら何とかなりそう?
yumano: ゲートウェイプロキシ方式ではないかなぁ
ikepyon: でも、送信されるパケットは生のままなのだろうか?さすがに、それはないよね、きっと
ikepyon: あーやっぱりIPSecでゲートウェイとやり取りしてるのかhttp://www15.atwiki.jp/tsy01/pages/22.html
ikepyon: だれかWi-Fi WINの調査してくれないかなぁ?
ockeghem: それ確認するために、biblioと無線APとバカHUB買ったお
ockeghem: @ikepyon やつら凄いと思ったのは、PCサイトビューアーのパケットまでゲートウェイ通していること


GmailがOAuth認証をサポートしたようです。これで他のサイトもgoogleアカウントでログインできるようになったりするわけですか、
sen_u: いいタイミング。GmailがOAuth認証をサポート。 http://www.itmedia.co.jp/news/articles/1004/01/news020.html


ようやく対策ですか。
takesako: [Mozilla][security]CSSによるWeb訪問履歴の漏洩にFirefoxが具体的対策、楽天ad4Uなど無効化へ http://www.publickey1.jp/blog/10/csswebad4u.html


ヘッドハンターのお話。うらやましい限りです。
kazuho: ヘッドハンターから「日本で初めてフルjavaのサイトを構築する等、技術力を重視し全て内製化」した会社のリクルートな手紙が届く → ググる → 会社設立年月日と資本金がわかる → なんだやっぱりDeNAか (今ココ)
ockeghem: うちに来たヘッドハンターはもっと明快で、「社名は言えないんですが、外資ですが日本に本拠があって、××のシェアが日本一で…なんて言ったら社名分かっちゃいますよね」と明るく説明してました RT @kazuho: @ockeghem なるほど! 勉強になります。
mincemaker: 僕のところにもTroll Headhunterでいいのでヘッドハンターが来て欲しい。


ファミ通WaveDVDという雑誌のWebサイトがハッキングされたというエイプリルフールネタです。なかなかの大作でした。
famiwave: ファミ通WaveDVDの公式サイトがハッキングされたようです。現在、謎のジョークサイトに変更されています。本日5月号の内容に更新される予定で、昨日アップロード直前に確認したページは問題ありませんでした。現在お伝えする手段が Twitterしかないので……取り急ぎご報告です(野口)
famiwave: 公式Webページの復旧作業を続けていますが、なぜかファミ通WaveDVDのディレクトリにのみアクセスできない模様。専門スタッフにより原因を追求しているが、管理者権限のあるマスターIDでもファミ通WaveDVDのディレクトリだけが弾かれてしまうそうです。
famiwave: 会社全体のサービスに影響するため、現在Webサーバーを落とすわけにはいかないそうです。このハッキング騒動については、セキュリティ面の都合上、公開できる範疇にて随時報告していきます。(野口)
famiwave: ルパン編集長のパソコンに異常発生。突然、北欧系美女のヌード写真がデスクトップ上にポップアップし、「安全のためにセキュリティソフトを買いなさい」といった内容のメッセージ(英文)が表示されるようです。LANケーブルを抜き、このパソコンも同時に調査することに。(野口)
famiwave: ルパン編集長のパソコンからマルウェアおよびトロイの木馬が43件検出。本人曰く「そういえば昨日エロサイト見てたら、突然ページが真っ白になって何も表示されなくなったことがあった」。昨日の午後22時ごろ、チェック用サーバの30秒CMを確認しながらエロサイトを巡回していたそう。(野口)
famiwave: http://twitpic.com/1cbu92 - マルウェアのキーロガーによって当編集部のIDとパスワードを盗まれたことも発覚……。で、緊急対策ミーティング中。呼び出されたルパン編集長ですが、なにやら会議室から怒声が……。静まり返る編集部。大丈夫かなあ(野口)
famiwave: ポルノ鈴木氏が来社。この一連の流れを伝えるために、ポキャスにて臨時放送をすることになりました。関連スタッフ一同、招集しています。今回の件の詳細は、編集長交えてこの放送にて正式に告知する予定です。(野口)
famiwave: http://twitpic.com/1cc3ug - 突貫準備でこれから収録開始です。MA前だというのに、音声は無理言って現場にいたウケチが担当。収録終わりましたらアップいたしますー(野口)
famiwave: サーバのアクセスログを調査したところ、サウジアラビアからの怪しい接続履歴が見つかったとか。なんでそんなとこから……。そのとき何者かにIDおよびパスワードを改変されたらしいです。それにしても、なぜファミ通WaveDVDだけ?
famiwave: サウジアラビアからの接続の詳細が判明したのですが、どうやらそれは大本ではない可能性が出てきました。PROXYサーバー経由のアクセスである可能性が非常に高いため、ログを解析してさらにアクセス元を見つける作業を進めています。
famiwave: PROXYサーバへのアクセス元が判明。韓国からの接続のようだが、どうやらこれもまた別の PROXYサーバを経由した可能性があるとのこと。ハッキングを仕掛けた端末をつきとめ、IDとパスワードを元に戻すことが急務です。
famiwave: 最悪の場合、このファミ通WaveDVDのWebサイトだけのために、会社のWeb上のシステムを初期化することになるかもしれません。4000万どころじゃ済まない話になってしまうので、それだけは絶対に避けたい!
famiwave: やはり韓国からの接続もPROXYサーバーでした。さらにアクセス元を追及したところ、日本国内からのハッキングだったことが判明。絶対に見つけます!
famiwave: 東京のとあるサーバー管理会社へ行き着きました! どうやらそこが大本のアクセス元なのだそうです。すでに現在の状況とハッキングの詳細は連絡済で、すぐに対応してもらうことになりました。
famiwave: アクセス元の端末の割り出しに成功! コモンネームは「rolling-web」。あれ、これは、まさか……
famiwave: ローリング内沢氏に連絡したところ「休刊されたら困るから翌月すぐに復刊するべき」という言葉を残して失踪。その後、携帯電話も繋がらなくなってしま
famiwave: 4月1日のTwitter上の一連の発言は、すべてエイプリルフールによる嘘です。ハッキングの事実はありません。関係各位お騒がせしまして大変申し訳ありません。なお、「緊急放送野菜Ver.」も消去しております。嘘公式サイトは本日の AM4:00に正しい姿へと戻ります。

テーマ : セキュリティ
ジャンル : コンピュータ

4月1日のtwitterセキュリティクラスタ

今日はエイプリルフールで、何が本当で何がウソなのかわかんないです。サイボウズとLACがラブプラスインスパイアでかぶってるのがちょっと悲しいです。
ymzkei5: おw かぶってるwww >■社内恋愛促進グループウェア サイボウズ Office 0(ラブ) http://products.cybozu.co.jp/office/uso/
110_: 「絶望した!」でおなじみの、ではなく。『にょんたす』 LOVE機能を搭載したWAF運用管理サービス「WAF24+LOVE」 http://www.lac.co.jp/news/press20100401.html


LACの打ち明け話。
ymzkei5: 「WAF24+LOVE」は、もともと「ワフプラス+」で、もっとラブプラスネタに走ったものだったのですが、マーケティング部の素敵女子たちに、「何これキモーイ」 「特定の人たちにしかウケない」 と袋叩きにされて、今の形に落ち着いたとか。(←4/1だけにウソかも知れないw)
ymzkei5: .@dry2さんが味方についてくれたのですが、ステキ女子の前では無力でしたw RT @yumano 吹っ切れてないところが残念だ。次回は尊い犠牲を出してでも突き抜けてほしい RT @cchanabo 社内にテキがいたのか… RT @ymzkei5 もっとラブプラスネタだった…


高木先生まで。
bakera: あやうくだまされるところだった。http://takagi-hiromitsu.jp/diary/20100401.html#p01


どうなんでしょうねえ。
vulcain: 嘘の中に真実を混ぜるのと真実の中に嘘を混ぜるのとどっちが難易度高いんだろ?



最近流行のクラウドもセキュリティ問題がいろいろありそうですよね。
kinyuka: @EijiYoshida ヒマなときに各方面クラウド(PaaS)のLANのセキュリティとか調べてください。arpスプーフィングとか怖い。
EijiYoshida: @kinyuka なんか面白そうですが、実際に試すと怒られそうですね(^^;)
kinyuka: @EijiYoshida arpスプーフィングの調査がばれるくらいしっかり監視しているベンダーなら安心!ということで人柱ヨロヽ(´ー`)ノ
EijiYoshida: @kinyuka 人柱は困るけど試してみたいですね~。仕事でやらせてくれないかなぁ~
kinyuka: @EijiYoshida PaaS型クラウドサービスやってるとこに営業行ってみたらどうですか?マジでありだと思ってます
connect24h: 某所でVLAN対応の監視システムが導入されて普通にping打ったら電話がかかってきました。(ICMP3回でout)Arp Spoofしたら、担当者が飛んできそう



「4月はヒマだ」とつぶやくと仕事が降ってくるという、徳丸メソッドだそうです。
sen_u: つぶやき効果か。お仕事ありがとうございます!
ymzkei5: あれ効果あったのですかwww 霊験あらたか徳丸メソッド! RT @sen_u: つぶやき効果か。お仕事ありがとうございます!
EijiYoshida: @sen_u なにそれオレも便乗したい~!
kosaki55tea: 4月はヒマだとつぶやくだけで仕事がもらえるらしい。オレもやるか? RT @sen_u @EijiYoshida 「4月はヒマだ」とつぶやくと仕事が降ってくるという、安心安全の徳丸印のメソッドですよ。w
EijiYoshida: @sen_u 少し気になるのはヒマと言ったときに仕事がかぶると断り辛くない?
sen_u: 気合いと根性で。w


Xperia今日発売だそうです。数人お買い上げのようで。
ntsuji: xperia当日入荷分があると聞いて今、某DSに着いたのですがボクしかいません。あと1時間…
suma90h: Xperiaゲットして帰宅した


JPNIC WHOISへの転送が終了したようです。
suzuki: 「WHOISシステムの分離について十分周知がなされた状況」とありますが、すみません知りませんでした。。。 http://j.mp/9N2TQx

umq: @sen_u 終るのは「共同運営」ですね。JPNIC WHOIS への転送がされなくなるだけで、JPNIC WHOIS とか JP WHOIS 使ってたからインパクトがよくわかんない


レピュテーションって評判リスクの対策らしいですね。
sen_u: 「レピュテーション」って言葉は広まってきたのか?まだ全然な気がする。


そして北海道で勉強会だそうですよ。
tadasushiga: 北海道情報セキュリティ勉強会(せきゅぽろ)ナイトセミナー 4月16日金曜日19時開催です。『ガンブラー対策をめぐるWeb制作者とセキュリティ技術者との対話』http://secpolo.techtalk.jp/nightseminar3


アメリカで引用が多かったのはこれ。2010年オススメのインターネットツールベスト10というまあおなじみのあれです。
dstreetinc: Top 10 Internet Security Suites of 2010 http://bit.ly/bmBrZR #socialmedia #security

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
04-2010
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

03   05

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。