スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月29日のtwitterセキュリティクラスタ

日本負けてしまいましたね。PK戦なのでしょうがないかもしれませんが、パラグアイの選手はPKがうまかったような気がします。
それはともかく今日のセキュリティクラスタですよ。


取材ということでタダで受講するライフハックが使えればいいのですが、そんな都合のいいことは今まで経験したことがありません。
hasegawayosuke: "脆弱性管理講座 | LAC" http://www.lac.co.jp/event/20100714.html 受けたいけど高いっ!! ><

yumano: 個人では受けれないのぅ orz RT @lac_security: 2010年7月14日(水)?15日(木) 脆弱性関連情報の読み方や取扱い方を学ぶ「脆弱性管理講座」が開催されます。 (^ま)http://www.lac.co.jp/event/20100714.html



面倒だから-fをつけて実行したけど、実は消すところを間違ってて泣いた人の多いrmコマンドについて。
deusx_tw: sudo のとき,自分の alias は反映されない.root 用の profile だとか rc ファイルに alias rm='rm -i' 入れとけってこってすね! [from lost ground]

noztos: @deusx_tw -f 付けた時点で、 -i が無効にならない? NetBSD の man によると、後ろに -i があれば大丈夫っぽいけど

nakj: @deusx_tw redhatだと-i 入ってるみたいだけど -fの方が強いのか黙って消してくれるよ

deusx_tw: @nakj @noztos 本当ですね!f が後に来ると i 消えちゃいますね!また一つ勉強になった! [from lost ground]

murachue: ものによってはrm -rf /すると/: cannot removeみたいなエラーを出して動かないrmもあるよ

nakj: alias 'rm -rf'='rm -ri' こうか

atyan: 間違えて rm -fr /etc したトラウマが思い出される RT @murachue: rm -fr / RT @nakj: alias 'rm -rf'='rm -ri' こうか

murachue: /etc削除はかわいそす… RT @atyan: 間違えて rm -fr /etc したトラウマが思い出される RT @murachue: rm -fr / RT @nakj: alias 'rm -rf'='rm -ri' こうか



手元にあった「PHPサイバーテロの技法」が2005年発行だったので、この時点で公知のものだったんですよね… と思っていたら、同じサイトにすでに記載があるという斜め上の展開に。コードをどっかからもらってきたなら、掲載する前にチェックすればよかったのに。
ockeghem: こういうサンプルを見つけてしまいました。2006年12月だと普通の書き方だったのでしょうか。 " http://www.phppro.jp/news/249

ockeghem: @ockeghem もちろん脆弱性なんだけど、PHPは鬼門が多いな、と改めておもった

kenji_s: @ockeghem 2006/8の記事に $_SERVER['PHP_SELF'] とXSS脆弱性 というのがちゃんとありますね http://www.phppro.jp/phptips/index.php#backnumber

ockeghem: .@kenji_s 本当ですね。すると、同じ媒体で既に説明されていた脆弱性を作り込んでしまった

ockeghem: ですね RT @kenji_s: @ockeghem というか、$PHP_SELFっていつの時代のコードですか?という感じですね



メモリースティックで何を検査してたんでしょ。ウイルスじゃないのだけは確かですが。
ripjyr: I'm reading now:中古PCにウイルス感染の可能性、ヤマダ電機グループのインバースネット http://internet.watch.impress.co.jp/docs/news/20100629_377435.html?ref=rss



MSの人とはちょっと美的感覚や環境が違うようなので何とも言えないのですが、とりあえず、早くてかっこよければいいんですけどね。それよりも今どうして流出したんだか…
C_ko: むぅ。。。Cnet「Windows 8」の社外秘文書、ウェブに流出か--顔認識や起動時間改善など言及 http://tinyurl.com/28pzqxt



登録が必要なので見れませんが、40問で30分とはずいぶん急かせますね。
ntsuji: IPA、情報セキュリティ対策の自己診断サイトを刷新 - 40問で成熟度を評価 | エンタープライズ | マイコミジャーナル - http://journal.mycom.co.jp/news/2010/06/29/050/index.html



最近ちょこちょこダウングレードする人が増えてますね。3Gだとよっぽど遅いのでしょうか。前の携帯(X-01T)で遅いのに本当に困ったので気持ちはわかりますが、我が家はそれなりにサクサク動いていますよ。わーい。
yumano: ダウングレード。RecBootは何するんだろ。認証突破? http://www.lifehacker.jp/2010/06/100628iphone-os4-downgrade.html


パスワードは定期的に変更しても、それ自体が脆弱だとクラックされちゃいますからね。しかも忘れるし(涙)
bugbird: 「パスワードは定期的に変更しましょう」というのは、システム要件のために脆弱なパスワードしか設定することができなかった時代のはなし。今様なら『品質の良いパスワードを設定しましょう』が正解

bugbird: 脆弱なパスワードを継続的に使用していると BF な攻撃へのリスクが増大するから、変更する必要があった。…で、これはリスクをリセットするだけで、0にはならない

bugbird: 本質的な解決は、品質の良いパスワードを使える環境の導入であって、脆弱なパスワードを定期的に変更するのは、危険の迂回でしかない。


Javaならば java.security.SecureRandom。一部UNIXなら /dev/randomだそうですよ。
tarchan: Togetter - まとめ IPAの「安全なウェブサイトの作り方 改訂第4版」におけるCSRF対策の「擬似乱数の生成」について高木先生に聞いてみた http://togetter.com/li/32262 #security


おいらもがんばって秘密を解読したいと思います。できるかなあ。
tamiyata: 大変お待たせいたしました。セキュリティ・ダークナイト(@ntsuji さん)第4回「パケットキャプチャ術で秘密もちょっぴりこぼれた?」を公開いたしました。tsharkを使えるようになれます! http://bit.ly/cLQgME

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

6月28日のtwitterセキュリティクラスタ

先週から挨拶もなしに家の前で東京水道局が水道工事を始めて大変迷惑です。公道なので工事自体はご自由にどうぞ、なのですが、騒音がひどかったり家が揺れたりするのはさすがに困るので事前に一言くらい連絡してくれよということですよ。目的はともあれ、近隣準民が嫌がることはDoSなんだなあと思いますがどうなんでしょう。水道局さん。


正論ですね。利用者もボットも相手のことをもうちょっと考えてほしいですよね。
bulkneets: クローラを書く人はクロール頻度よりもクローラの目的や連絡先が分かるかどうか気にしろ。 robots.txtやmetaタグ無視するようなのなら尚更。twitterのbot書く人は発言頻度よりも目的や連絡先が分かるかどうか気にしろ。フォローしてないやつにreply飛ばすようなのなら尚更



そして岡崎市図書館に関連して、ヘボいシステムを建て直すお話。あそこもOSSで落ちないようになったりするのでしょうか。
bugbird: @ikepyon (まぁ、そろそろ時効だろうから)ん億円という予算で作ったシステムがボロボロな実装で、ん百万の OSS なシステムで機能補填をして体裁を繕ったなんてのを目の前で見てます

bugbird: 大概の場合は「ダメもと」で振ってるから、うまく行けば儲け物。ダメだったら「いあ?、元がダメでしたから、どうしようもありませんでした」としゃぁしゃぁと逃げる

bugbird: で、結論。「建て直し屋」ってのは全然割りにあわん。顧客も、組織の評価も充分にもらえないもんね。

bugbird: こちとら「建て直し屋」として、得る物は大きかったですけどね。PC-SUCCESS の建て直しの時も役に立った経験だし



50ドルでお金の降ってくるカードが使えるんですね。そこから商品や現金を手元に持ってくるのが大変そうですが。
cardsagas: クレジットカード情報のブラックマーケットでの取引価格。カード番号とセキュリティコードがセットで2~15ドル。氏名、生年月日、使用期限などの情報を含むと50ドル前後にも。 http://ow.ly/23WD7



サザエさんもiPadで読書したり、Webから三河屋に注文したりすることになるんですかねえ。最近久しぶりにサザエさんを見たのですが、まだテレビはブラウン管でした。地デジ対応はチューナーを使うのでしょうか。
wata0712: マスオの会社は海外赴任はないのだろうか。RT @hiroki3118: RT @A_xtu: #IFRS で売上減リスク RT @masahirok_jp: “@eddie0120: マスオさんは商社勤めだから転勤、単身赴任リスクをかかえてるのか、と今更ながら認識を新たにした件

wata0712: 上海に赴任するマスオさん。イササカ先生の著作の電子書籍化に取り組むノリスケさん。永年の経験を買われ内部監査を担当する波平さん なんて展開はまずないだろうか #sazaesan

wata0712: 甚六、大学浪人の次は会計士浪人。タラちゃんのお受験。ツィッター広告をはじめる花沢不動産。三河屋さんのネットショップ。@gems_ul: @cchanabo #sazaesan

cchanabo: ネットショップ三河屋の顧客情報流出!!」とか。 RT @wata0712: 甚六、大学浪人の次は会計士浪人。タラちゃんのお受験。ツィッター広告をはじめる花沢不動産。三河屋さんのネットショップ。@gems_ul: @cchanabo #sazaesan



twitterやtumblrなんかがあるおかげか、最近はてなの価値が相対的にどんどん下がっている気がします。
hasegawayosuke: Twitter連携してる人のはてブってS/N悪い人が増えてる。いくつか読む量を減らそうと思う。つまり、Twitter連携によりはてなは価値を減らしてる。



ぼくは同僚がいない引きこもりのぼっちなので、同僚ネットワークに登録すると、より一層ぼっちが際立ちますね。同僚ネットワークに登録しても一人。山本。
tokuhirom: さて、mixi同僚ネットワークに登録するかな!

6月26~27日のtwitterセキュリティクラスタ

ワールドカップとか宝塚記念とかF1とか週末はいろいろありました。外、出ろよ。俺。で、セキュリティクラスタはアクティブな人が多いようで、週末の更新は相変わらず少なめです。

アカウントは取ったのですが、重たいしよくわからないしちっともつかってませんね。日本語の画像がテキストになるってことは聞いたのですが…お金くれたら僕もほめたりするので、お話ください。
Hamachiya2: Evernoteって紹介記事みるたびにぼくも使ってみようかなとか思うんだけど、PC版は UIに無駄が多すぎて嫌になるしiPhone版は重すぎて使えない…。よくみる活用しようみたいな記事書いてる人はお金でももらってるのかなあ



これでiPhone4を買ったときに3GSも使えるのかな。うふふ。
mincemaker: おー、上海問屋さんのmicroSIM→SIMアダプタで、iPhone4 の microSIMが3GSで使えるのか。 http://www.youtube.com/watch?v=6Eo5BtINX4w



早速インストールするすることに。
yohgaki: 私も使ってる。オススメ RT @LuckOfWise: きゃー、すてきー! RT @stachibana: Automatic Task Killerが今日明日中には25万DL超えるな。ステーキでも食いに行こっかな。



特に指摘することがないけど自分の存在をアピールしたい奴って、ムカつくくらい大げさに誤字を指摘したりしますよね。
yumano: 似た経験あり。ちゅうのっ! RT @suzukimasatomo この手の男は、委員会や審議会では、よく配布資料の誤字脱字あたりを指摘する傾向がある。どうでもいいっちゅうの。



あ、じゃあ簡単に作れるんだ。変換プロキシとかわらわら出てくる予感。
rryu2010: ePubフォーマットの中味って、XHTMLだったのか。



mixiってクローズドだったのもあって、初期は本名登録を薦めてましたよね。そしてわけわかんない奴がたくさん流入してきて匿名推奨に急展開した記憶が。
miryu: そういう人は今でも本名だよね。本名だった人が匿名に変わった訳じゃない。 RT @riskeyroe: 初期は本名多かった記憶 RT @miryu: ID 3394だけど全然本名なんていなかった。 RT @shi_naoking55: mixiの初期はみんな本名 @mohideki

miryu: ID 3394だけど、周り全然本名なんていなかったけどなあ。よくあるクラスタの問題じゃないの? RT @shi_naoking55: でもmixiの初期はみんな本名でやってたけどね~ 自分はID30万番台 RT @mohideki: そうなのかな?やはり、2ちゃんでは?



本もブログも期待しております。本のポリシーと想定読者層を考えて、使えないことを読者が知っておくのが有益であると考えるのであれば書いておくのもいいと思いますが、なかなか思っていることを全部入れ込むのは大変ですよね。
ockeghem: 今書いている本の中で、「こういうやり方もあるが、××の理由で使えない」と書いていたら、レビュアーのお一人から「使えない方法を説明しても仕方がない」というごもっともな指摘。調べたら書きたくなるんだけど、敢えて削るが吉

ockeghem: @ockeghem 本に載せないネタは、もったいないのでブログに書くかな。



セキュリティに気を遣いつつ、実用的にしなきゃならんので、サンプルコード書く側も大変です。
ockeghem: 読んだ『「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について』 http://www.on-sky.net/~hs/index.cgi?date=20100623#p01



そして、週をまたいでまだ盛り上がる図書館ハック関連。会社のアクセスはきれいなアクセス派(警察)が出てきたことですし、そろそろ図書館のサーバーが止まるのはハニーポットだったんだよ派とか、図書館のサーバーはクラウドに移行すべき派とかが出てきて斜め上に進んだりしないかなあとか考えております。↓は昔はこんなことがあったなあと。
bakera: 普通のブラウザアクセス一撃でサーバが死ぬ可能性だってあるのですよね。昔はうちもRFC違反のRefererを送られただけで涙目でしたし ( http://bakera.jp/ebi/topic/575 )。サーバ側がしょぼ過ぎて死ぬのは予見できないですよ。 #librahack

テーマ : セキュリティ
ジャンル : コンピュータ

6月25日のtwitterセキュリティクラスタ

まだまだ議論が続く、岡崎図書館関連。どうにもTLは揚げ足の取り合いの様相を呈してきましたが、気になったとこはこの辺。よーし、個人がダメならパパも法人作っちゃうぞー
tetsutalow: 私の立場じゃとても言えませぬが誰かこれくらいのこと出してくださいよ(笑)> 「サーバダウンの故意なく自動巡回プログラムを作動させた技術者が逮捕され、事前に警察に相談せよと言われるような国に、ITで世界をリードすることなどできない」 #librahack

HiromitsuTakagi: @tetsutalow 今週岡崎署に電話したとき、「会社がやっているものを逮捕することはないので大丈夫です。」と言われました。私は「個人か会社かで犯罪か否かを左右するのは間違っているのでは?」と尋ねましたが、答えはありませんでした。いずれ書くつもりです。 #librahack

bakera: うちの掲示板に執拗に広告spam投稿をPOSTしてくるのは、たぶん個人ではなくて業者だと思うのですよね。会社がやったらOK、という話はちょっと受け入れにくいですね。 #librahack



そして、このようなことをおっしゃってますので、先生の次の行動をワクテカしながら待つことにしましょう。高木先生の戦う姿がリアルタイムに見られるのはtwitterだけ!
HiromitsuTakagi: やはり今、徹底的に戦う必要があります。日本のインターネットの発展が殺されるかの瀬戸際です。



また上野宣かと高木せんせい、夢のコラボレーションです。一般読者には何が何だかちっともわからないでしょうけどw
sen_u: あの人とのコラム後悔。いや、公開。 http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html

hasegawayosuke: 高木先生、すごくいい笑顔だなぁ。 上野宣の前なのに(え http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html



仕様だそうですか。
yumano: 秘密の質問って変更できないのか・・・ orz 消し去りたい RT @h_okumura: とうとうヤフーから返事は来ませでした RT @ttmtko: ペイリンさん事件→ http://oku.edu.mie-u.ac.jp/~okumura/blog/node/2268



IEって無理矢理解釈して読めるようにするやさしいんだかやさしくないんだかちょっとよくわからない仕様があって素敵ですね。さすがにそろそろ懲りてきたのだとは思いますが。
hoshikuzu: とある書籍を読み感銘。Windowsにて。notepad で一行、 "シフトJIS" と書いて、拡張子を .html として保存。 IE でそれを開くと Shift_JIS として開いていることになる。次にメニューバーを使ってエンコードを EUC-JP に変更する。(続く)
hoshikuzu: (続き) エンコードを変えてもなお、"シフト" という字が見える ( hoshikuzu註あなたのIEのバージョンが古いときだ) と書かれている。で、EUC-JPばかりでなくて、ほかの国のエンコードでもとある。ヨシャバテ!



JavaScriptが動くとなるとCookie読んだりとかリダイレクトとかもできたりするのですかね。一部の人は萌えそうなかんじです。関係ない話ですが、O'Rilleyで検索できない書籍検索サイトは困ったものですね。
7032: こういうの結構好きです。 RT @inuro これはちょっと燃えるな。 “@digiken: EPUB電子書籍へのJavaScriptコード埋め込み、iBooksでも制限付きで動作することが明らかに: http://bit.ly/cZwsu0



iPadがウイルスに感染するそうですね。まあ、コンピューターですから。
totoromasaki: ん?。まぁ、そうなんだけどねぇ・・・http://bit.ly/bT6qAU *YF*



もし仕事することがあれば使うことにします。
yumano: #atode 見る 新しく何かやる時漏れがないか確認するときとかに使えそう 共通セキュリティ設定一覧CCE概説 http://www.ipa.go.jp/security/vuln/CCE.html

テーマ : セキュリティ
ジャンル : コンピュータ

6月24日のtwitterセキュリティクラスタ

寝てる間に日本が勝ったようで、すごいですね。

4つの原則を守ればいいそうです。ずいぶんざっくりとしているので、なんだかなあという感じです。それならもっとシンプルに、脆弱性のあるアプリを作らない、という原則1つでいいじゃないですか。
ntsuji: ふぬ。「Webアプリの脆弱性対策は簡単です」 - 記者の眼:ITpro - http://itpro.nikkeibp.co.jp/article/Watcher/20100622/349499/


ymzkei5: 面白いアピールの方法ですね。>“米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。” RT @ntsuji: 「Webアプリの脆弱性対策は簡単です」 http://bit.ly/9axnfO



これに呼応するかのように脆弱性対策の原則が。脆弱性対策には今のところ6000をはるかに越えるいろんな原則があるようです。
hasegawayosuke: 脆弱性対策6324原則 その3859: IE6を使っているユーザは拒否し、IE8を使わせる。

h12o: ちょww RT @ikepyon: www RT: @ockeghem: 私も脆弱性対策の3原則を得た。第1原則「脆弱性対策は正しいプログラムを書くことに集約される」。第2原則「セキュリティ屋は原則を作りたがる」。第3 原則「いかなる脆弱性対策の原則も実際の役には立たない」

bakera: @ockeghem 届出件数は特定少数の人のやる気に依存するという法則。



まだ引き続いている、図書館探検して逮捕された話関連。明日は我が身なのでみんな真剣ですが、robots.txtに書かれていない他のクローラもやっぱり訴えられるのでしょうかね。
bulkneets: クローラ作者はUserAgentに連絡先を入れましょう。サービス運営者は(クローラ作者に連絡手段が無い場合)ポリス沙汰にすると取り敢えず逮捕アンド勾留っていう前例があるから迷惑ユーザーとしてプロバイダ経由で連絡しましょう。いやーポリスマジ無能で怖いですねー。 #librahack



最近になっても見つかりまくりのXSS絡みです。Twitterの話はこれだったのでしょうか。
MasafumiNegishi: Twitterのアプリ登録ページに XSSか。 RT Persistent XSS on Twitter.com - http://j.mp/c4mz0M


そして、exciteは修正されないようで。
kinugawamasato: 日記書いた XSSの脆弱性についてのコメント http://d.hatena.ne.jp/masatokinugawa/20100624/excite_xss


そして、見つかった側のコメント。毎回ソースをコピーして作っている企業は、使いまわしているソースすべてに脆弱性もコピーされてしまうと思います。ですか。
risa_ozaki: XSSの脆弱性についてのコメント: サイト運営者の視点でXSSの脆弱性についてコメントしたいと思います。このlivedoorブログだけでなく、エキサイトでもXSSの脆弱性は過去にありました... http://bit.ly/cr5Y4Z via @FSECUREBLOG



お、すごい。これから有名になるにはiPadやiPhone関連の脆弱性を見つけまくって、報告したり喧嘩を売ったりするのが手っ取り早いかもしれませんね。
yarai1978: .@ymzkei5 がiPadアプリに脆弱性を発見。cool!


ライバルになりそうなAndroidはどうなんでしょう。3回くらいしか触ったことなくて、感想は遅いだけだったのですが。
ymzkei5: ■2割のAndroidアプリが個人情報を取得 犯罪に悪用される恐れも - ITmedia News http://www.itmedia.co.jp/news/articles/1006/24/news019.html



おめでとうございます。
jpcert: こんにちは。JPCERT/CCです。プレスリリース「JPCERT/CC、国内初のCNAに認定」を公開しました。 https://www.jpcert.or.jp/press/2010/PR20100624_cna.pdf


テーマ : セキュリティ
ジャンル : コンピュータ

6月23日のtwitterセキュリティクラスタ


セキュリティ&プログラミングキャンプの募集がはじまったので、キャンプの話題が多いです。学生のうちに興味を持って参加しようというだけでもすごいと思う元私立文系の私です。
hasegawayosuke: セキュリティ&プログラミングキャンプ2010の講師、講義詳細が公表されました! もちろん僕はWebセキュリティ組です! 世界で通用する技術を一緒に学びましょう! http://bit.ly/aGFSLp #spcamp

hasegawayosuke: 「セプキャン2010応募を迷っている人/考えている人へ」 http://bit.ly/bRppRi @kensukesan さんの「キャンプは加速装置」というのはよい例えですね。 #spcamp

hasegawayosuke: セキュリティ&プログラミングキャンプで、周囲から「交通費までタダなんて怪しい。詐欺じゃないの?」みたいな理由で反対されているという方はぜひ相談してください。説得材料になるのかわかりませんが、経済産業省、文部科学省の名前の入ったパンフレットくらいならお送りできます! #spcamp



IPv6が自動ONで、デフォルトがステートレスアドレス自動設定でMACアドレスがv6アドレスにセットされるってことですか。
h_okumura: なになに,iOS4がIPv6オフにできない,RAが届くとMACアドレスでIPアドレスを作るので端末識別ができちゃうのか



twitterにもXSSがあったらしいです。よく見つけますよね。
kinugawamasato: ツイッター結構まずいところにXSSがあるみたいだ。中の人把握してるのかな

kinugawamasato: 気付いてて修正してるらしい。>ツイッターXSS



iPadを使ってPDFを読書するという淡い夢は今のところ果たせそうにないようです。人柱お疲れ様です。
sen_u: 本をスキャンしたPDFファイルをiPadのGoodReaderで読んでみたがあんまり全然快適じゃない。次のページの読み込みに時間が掛かる感じ。他のアプリも試してみるか。

sen_u: i文庫HDでも書籍をスキャンしたPDFを読むとほとんどフリーズ状態。ページすら繰れない



実は失効してたりとか、微妙なCAを使うとか、オレオレとか、デジタル証明書も意外と盲点が多そうで興味深いです。最近のウイルスって証明書が付いてたりするんですね。
bakera: [メモ] うーむ。失効の仕組みもイマイチ機能していないのですか。 http://pc.nikkeibp.co.jp/article/news/20100622/1025682/



セキュリティとは関係ないですが、検定とかガイドラインとか見慣れた単語がw 運営をしっかりするとお金がかかって大変なんですよ。受検者が少ないとそれだけで死んでしまいます。まあガイドラインを作ってきちんと評価されることは大切ですが、いろいろ大変だとは思います。
cchanabo: 【文部科学省から(自分用メモ)】 『「『検定試験の評価ガイドライン(試案)』について(検討のまとめ)」について』http://bit.ly/aEJPKH 現状の検定試験についての問題は確かに概要のとおりだとは思うけど、文科省こういうのを全部取り仕切りたいのだろうか・・・



またやってるw
Hamachiya2: えっすごい RT 本当だ! RT なにこれすごい当たる!マジで驚き! http://bit.ly/bnCvwk

Hamachiya2: こういうの応用して、もっとちゃんとした形の占いや性格診断をtwitter上に流行らせれば、そこでパスワード抜くかわりに、たくさんの属性つき個人情報(性別とか既婚であるとか年収とか)やらメアドを集められるんじゃないかな。まだアンケート業者には及ばないか…

テーマ : セキュリティ
ジャンル : コンピュータ

6月22日のtwitterセキュリティクラスタ

昨日は一日iOS祭りな感で、至る所でアプリが動かなかったりデータが消えたりと、これがAppleじゃなかったら大変なことになってるんだろうなあとか。


そしていきなり脱獄ツール。
eagle0wl: iOS 4、正式リリースから数時間で脱獄ツール公開 : ギズモード・ジャパン http://www.gizmodo.jp/2010/06/ios_4.html


そして、犯罪者御用達のシャッター音を無音にする方法もいきなり。わざと穴を開けているような迅速さです。
lifehackerjapan: 【最新記事】iOS4でカメラのシャッター音を無音にする方法 #lh_jp http://onc.li/fO4d9X



思いっきりソーシャルにやられてるNTTデータです。他人には厳しいけど自分には甘甘なんですよね。
fazz_twi: NTTデータタイーホ。コンプライアンスは何処行った(w http://mainichi.jp/select/jiken/news/20100623k0000m040075000c.html

fazz_twi: この案件で学ぶべきは、こんな立派な文章作ってセキュリティ戦略担当役員(CISO)を設置しても、悪いことをする奴はするってことですね。 http://bit.ly/aetUfZ

yumano: 不正は行われるものという考えが基本として必要。残念ながら。 RT @fazz_twi この案件で学ぶべきは、こんな立派な文章作ってセキュリティ戦略担当役員(CISO)を設置しても、悪いことをする奴はするってことですね。 http://bit.ly/aetUfZ

fazz_twi: これからNTTデータで公共関連かかわる人は大変になるねぇ、コンプライアンス違反の社員のせいで。



もうlzhには手を出さないようにしたいものですが、まだ使ってる人がいるので送られて来るんですよね…
lac_security: 使っていらっしゃる方も多いのでは? JVN#34729123 Explzh におけるバッファオーバーフローの脆弱性(^む) http://jvn.jp/jp/JVN34729123/



またまたまたまたはてなXSS。はてなXSSってサービス名みたいですね。
kinugawamasato: これ僕ですね…最初bタグでHTMLが有効になることを示して報告したのに昨日全くなおってない状態で修正が完了しましたってきたのでスクリプトに変えて再度報告したら気付かれてしまった。今は修正されたみたい。 http://d.hatena.ne.jp/sardine/20100621



最近だとゲスト用アカウントよりゲスト用端末がありそうですが、まあ。
yumano: Guest アカウントをセキュアに使うには 人にパソコン貸す用 めも http://technet.microsoft.com/ja-jp/windows/win7_tips39.aspx



プレゼンやセミナーの企画出しの時にこれらのワードを饒舌に語れると、トレンドのわかる人のふりができそうですね。ぼくも早速覚えますw
ripjyr: I'm reading now:FIRSTカンファレンス - キーワードはAPT、DNSSEC、クラウド http://blog.f-secure.jp/archives/50416678.html



5年くらい前に書いたコードとか見ると、俺、なんでこんなこと書いてるんだとか思いますよね。
Akira_Murakami: (苦笑)wRT @powhei: 部下:XXXサイトに使わず放置されている古いCGIプログラムにコマンドインジェクションの脆弱性を見つけました。私:まったく仕方ないな。先方の上司に連絡しておいてくれ。誰だよ、作ったの?部下:1996 powheiって、コメントが・・・私:・・・

テーマ : セキュリティ
ジャンル : コンピュータ

6月21日のtwitterセキュリティクラスタ


今朝はiPhoneのOSアップデートで、いろいろやってる人はいろいろ大変なことになっているようですが、ほぼラジオしか聞いてない私は特に何もなく成功しました。ラジオというと今日近所に毒蝮三太夫がやってくるらしいので、そろそろマムちゃんコールをしに行こうかと思います。
katsuya_ds: はいさっそくTipsきたよー。おやんみ。 : iOS4のTIPSまとめ http://j.mp/b42wHj



えらい人がガンガン更新している会社は、クビになる心配は少なくて安心ですね。自分はいいけど部下はダメって人はいそうですがw
Akira_Murakami: [壁])≡サッ!! RT @ntsuji: RT @tweeterjp: RT @momikura: 友人の会社で、ツイッターで首になった社員が出てしまったなう。ツイッター上での失言じゃなく、職務中にツイッターばかり見ていて、仕事のスピードが遅くなっていることが原因らしい。



ライブドアのサービスに脆弱性があって、そのあおりを食らったらしいエフセキュアブログですが、他にも脆弱性があるのでしょうか。
kinugawamasato: 脆弱性があったことを小さくおさめようとしたりライブドアのせいにしたりせず報告したエフセキュアさんの真摯な対応に敬意を表したい。

bulkneets: エフセキュアブログの脆弱性見つけたけど報告するのが面倒くさい



セキュリティは3分割されて「ソフトウェアセキュリティ組」「Webセキュリティ組」「ネットワークセキュリティ組」だそうで、どんどんレベルが専門的になって、ちょっと興味あるだけじゃ申し込むのもはばかられるような雰囲気ですね。
scannetsecurity: セキュリティ&プログラミングキャンプの参加者募集を開始、7月5日まで(IPA): http://url4.eu/4o0yv



電話網DoSですか。VoIPだと呼だけでDoSできたりするんでしょうね。それを世間じゃ輻輳っていうんでしょうけど。これからWeb輻輳とかいうと正月の携帯網みたいで誰も悪くないような気がします。
MasafumiNegishi: TDoSですか。 RT Telecommunications Denial of Service attacks - http://j.mp/cMFF2e



Gumblarのときもそうですが、データのリアルな置き場所もわからない今、どんどん責任の所在もクラウドの中に入り込んでわからなくなっていく気がします。
NobMiwa: 責任はどこにある??クラウド時代の情報セキュリティ http://enterprisezine.jp/itiday/07



おめでとうございますー。携帯も年齢と同じくらい持ってらっしゃるのでしょうか。
ockeghem: 今日は誕生日だった…けど、既に昨日か。50歳になりました。立派なジジイですね



岡崎市中央図書館の件は引き続き。

テーマ : セキュリティ
ジャンル : コンピュータ

6月19~20日のtwitterセキュリティクラスタ


DoSなのかスクレイピングなのかで議論になった、図書館に1秒1回しかアクセスしてないのにタイーホされてしまったかわいそうな人ですが、嫌疑不十分で不起訴になったそうです。各人のコメントについては長いのでtogetterにまとめてありますので、そちらからどうぞ。
googleも明日は我が身ですね。


週末はセキュそばだったようですね。いつも食べるのが大変だという話ですが、今回も胃腸は大丈夫だったのでしょうか。

vulcain: . #secusoba RT @kuroneko_stacy: 今回の蕎麦は、サッカーから建築まで話は幅広い。今回一番学んだのはサッカーなのは間違いないw



そして、勉強会屋とか四天王ってなんだろう。勉強会にも魑魅魍魎が巣食うようになったのでしょうか。
mincemaker: 勉強会屋とか四天王は見るからに地雷オーラ出てるのでそもそもイベント未経験のやる気のある人が間違って参加することがないのでどうでもいい(笑)



間違ってなさそうなことでも、自分たちの利益のために動いてるのがわかると醒めてしまいますね。
gohsuket: @tessy_jp どもすみませぬ?。なんか調べ物でヘロヘロに。でも重要なこと判た。今政府の言い出してる国民ID案を裏で出してるのは、ICカード業界団体会長の某大学の人らしいコト判明。住基カードから始まり、ICカードを政策に突っ込んで、業界に利益誘導してるとしか考えられず。



しぶとく生き残っているWEPもいよいよ消えるときがやってくるようです。
aircrackng: WifiNetNews: Say goodbye to WEP and TKIP http://j.mp/cSFSvj #wifi #security


便利そう。
ntsuji: チートシートがいっぱいいっぱい。 http://bit.ly/aZ0rQN


XSSなんて普通攻撃できないだろプゲラと思ってる人も多いんでしょうね。
risa_ozaki: XSS: 企業がクロスサイト・スクリプティング(XSS)攻撃を受けた場合、その出来事の重大性を軽視するのは自然な反応だ。結局、サイトのXSS脆弱性は、そのサイトがハッキングされるとか、シャットダウンされる… http://bit.ly/aoPt3j via FSECUREBLOG



長くても使い回すとそのぶん強度って下がるんですよね。1つ見つかると終わりですし。
risa_ozaki: 海外ユーザーの2割がパスワードを使い回す--エフセキュア注意喚起 | CNET Japan http://bit.ly/cHI3Rs



テーマ : セキュリティ
ジャンル : コンピュータ

6月18日のtwitterセキュリティクラスタ

ワールドカップが面白くなってきました。番狂わせって素敵ですね。

これはひどい。DROP TABLEブラウザーを作りたくなってきますね。
Yuzu_n: Webアプリのテストしてて、ユーザーエージェントの情報をそのままSQLに書き出すコードを見つけたので報告したら「直す工数なんかないし、そんな脆弱性見つけたのはあんただけだから、攻撃受けて情報漏洩したらあんたが犯人だと警察に言うからいいよ」とのこと。ちょっと殺害したい。

Yuzu_n: あまりにアレなのでその会社の法務にメールしてみた。返事待ち。



Guestって難しいですよね。権限あげすぎるとそれだけでセキュリティホールですし。
Murashima: セキュリティで保護された Guest アカウントを作成するためのベスト プラクティス http://goo.gl/bpfQ



CSSを使ったXSSですが、昔はCSSを使ったCSSとか言われてわけがわかんなかったなあとか。僕も日本語訳応援してます!
kinugawamasato: 誰かCSSの変態文法やってほしい。主にスタイルからのXSSのための。

hasegawayosuke: @kinugawamasato http://heideri.ch/jso/#css もっと集めたいですね。

kinugawamasato: @hasegawayosuke あ、そうか。そこにありましたね。日本語訳応援してます!



誰も読まないこと前提なんでしょうか。
hasegawayosuke: need PDF Reader for reading EULA of Adobe Reader... http://www.adobe.com/products/eulas/ (via @teramako)



いつものようにAdobeはその場しのぎなだけのようですね。
MasafumiNegishi: RT アドビの「authplay.dll」脆弱性はFlash Playerの最新版でも回避できない(NTTデータ・セキュリティ) - http://j.mp/bLM3Dj



最近フォローされるのはスパムと宣伝アカウントばっかりです。うっとおしいなあ。
HyoYoshikawa: ツイッタースパムの手口と対策 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞) http://ow.ly/206Pa

テーマ : セキュリティ
ジャンル : コンピュータ

6月17日のtwitterセキュリティクラスタ


突然はじまったセキュリティ夜話が面白かったです。長いのでtoggeterにまとめようと思ったのですが、エラーが出たのでこちらの方に。はじまりはレンサバに脆弱性検証ツールやデモを埋め込んでも大丈夫?という話。

kaito834: レンタルサーバに Web Exploit Kit や Web Backdoor を設置したら、利用規約違反になるんだろうか。改ざん等で埋め込むのではなくインストールするイメージ。

ntsuji: @kaito834 少なくとも脆弱性再現のデモは怒られないっぽいです。

kaito834: @ntsuji おぉー、そうなんですか。シェルコードを置き換えておけば大丈夫かな

ntsuji: @kaito834 今とは違うところですが、電卓起動のシェルコードを含んだファイルを置いていたときも何も言われなかったですね。


そして話は、それを閲覧した困ったちゃんががAVに引っかかって騒ぎになってしまう話に。
yumano: . @ntsuji @kaito834 結局、ペイロードは見ず、そこまでの過程を引っ掛けるのでそこを閲覧したユーザーがAV引っかかったと騒ぐ可能性があります。検証用のファイルなのにAV で警告がでると大騒動になるケースが・・・orz

ntsuji: .@yumano @kaito834 きちんと「こういうことしてます。」「自己責任でね。」ってのも無視して騒ぎ立てる人もいますからね。ちなみに、今まで色々なデモを公開したことがあるのですが、その度に、Site Advisorやコンテンツフィルタなどにブロックされてきました。

kaito834: . @ntsuji 自動でブロックされるのなら分かりますが、利用者からの報告をベースとする SiteAdivisor でもブロックされてしまう場合があるんですね。

yumano: . @ntsuji @kaito834 そうなんですよね。システムが脆弱であることの確認。対策ができてるかどうかの検証用。赤字で書いているのにクリックしたあと騒ぐのはなぜ?絶対に他のところでもウイルス感染しているよ。

yumano: . @kaito834 @ntsuji 私が使っているAVは基本的にペイロードを見ていないので、PoCをちまちまと編集して検知しないように変更したり・・・metasploitのコードのみ止めるというヒドい製品がありますからねぇ。

kaito834: . @ntsuji @yumano 「これこれこういう脆弱性を悪用して、calc.exe が起動します。場合によっては、XX アプリが異常終了する可能性があります。それを理解した上で自己責任で」と説明していれば、説明責任は果たしている気がしますよね。 *Tw*



そして、話は広がっていき、脆弱性やセキュリティ対策って伝えるのが難しいよねという方向に。
yumano: . @kaito834 @ntsuji そもそも、脆弱性という言葉が理解できていないんじゃないかと感じることがあります・・・

kaito834: . @ntsuji @yumano ただ自動で実行されてしまうとか、何も説明がなく「自己責任で」というだけだと説明不足でもあるのかなと感じます。

ntsuji: .@yumano @kaito834 理解されてないフシはありますね。何の前触れもなく実行しちゃうってのは問題あるので、こちらとしては最低限の説明を書くのですが、それでもAV至上主義的な部分ってのこっているので、ウイルスじゃないか!と騒ぎ立てられることもあるのも事実ですね。

yumano: . @kaito834 @ntsuji 本当はクリックひとつも自己責任なんだけどね・・・やさしく説明し、きつめに注意するデレツンな感じで知ってもらうしかないですよね。

ntsuji: .@yumano @kaito834 広げるとインターネット使うってことそのものが自己責任なんだろうなーって思うこともあります。でも、やはり、伝わり切れていない。まだまだ、認知度、理解度向上いう課題は残っているなーって痛感します。

yumano: . @ntsuji @kaito834 そうなんですよね。お客さんにそういうことを伝えたいけど、社内にも伝えるのが難しい。頭が固い一部の人たちはどうしようもない気がする。

ucq: たとえ知り合いのサイトの脆弱性のデモだとしてもある程度確認しないと実行しない俺。わけのわからないものは実行しちゃ行けません(キリッ

kaito834: おぉ。知り合いだからこその場合があるかも(笑 RT @ucq: たとえ知り合いのサイトの脆弱性のデモだとしてもある程度確認しないと実行しない俺。わけのわからないものは実行しちゃ行けません(キリッ

kaito834: . @yumano @ntsuji 脆弱性を分かりやすく伝えるのは難しいですよね。特にメモリ周りの stack overflow や heap overflow とかは自分の理解が中途半端(おそらくメモリの使い方をそらで説明できない)からなおさら。

ntsuji: .@kaito834 @yumano @ucq 会社の人間の試験用PCに対しては、何度かサイトに誘導してシェルを奪ったことはあります…(もちろんローカル環境で) ということでこんなのに引っかからないように。みたいな。リテラシーの向上のためです(キリッ

yumano: ▼●▼●■● な方のサイトとか・・

ntsuji: @yumano その伏字絶妙すぎますw

ntsuji: .@kaito834 @yumano 何回かに分けて社内では勉強会を開催しないとなーと地道に資料作成してたりします。自分で書いて、自分で誤動作させるみたいな。

kaito834: . @yumano @ntsuji 脆弱性はそれだけでニッチな分野なので、まずは分かりやすい脅威が伝わるといいのかなと思います。calc.exe が起動するだけ shellcode ではなく、以前 @ymzkei5 さんが言っていた画面が燃えるようなコードがいいかも(笑

ntsuji: @kaito834 @yumano ボクが公にデモするときはガイコツを歩かせますねw

110_: @ntsuji @kaito834  @yumano 「これはまずい」と知らしめるのに効果的なデモって、難しいですね。cmd系でも計算機でもわかる人なら「おぉ」ってなるけど、この二つでわからん人に適当な何かが動いても、「ぽかーん」となるだけだよなぁと。情報引っこ抜き系に一票。

ntsuji: @110_ @kaito834 @yumano cmd, calcはデモちゃあデモなんですけど、立証でしかないのかなぁと思います。パスワードを設定してもらって、回避したり、テキストファイルを新規作成してもらってそれを読みだしたりってのもしましたよー

110_: @ntsuji @kaito834 @yumano セミナーとかだとそっちの方がウケは良いですよねw これを、不特定多数向けの資料にすると面倒だったり。。。うーむむむ。。。って感じです。

yumano: 僕は違う(キリッ RT @minsaa: @ntsuji 辻さんも黒いこといっぱいされてるようで安心しましたw 社内だとフリーダムだから楽しいですよねー



ユーザーIDがわからなければパスワードもわからないから大丈夫なんです(キリッ
ikepyon: CookieにユーザーIDとMD5でハッシュしたパスワードを格納するアプリって・・・・・わざと脆弱性のあるものだよね?orz



連載の次回はこれになるのでしょうか。待ってます。
yarai1978: やりましょう(一度言ってみたかった) RT @yumano: 後で試す(してほしい) AdobeのあれはEMETで止まるかどうか



SEとプログラマーの違いってなんだろ?
takesako: エレベータで聞こえた衝撃の女子トーク「今つきあってる彼氏ってIT系なの?」「うん」「SE なの?プログラマーなの?」「え」「30(才)でプログラマーなんておわりだよ。SEだったら違うけど…」Σ(゚д゚;≡;゚д゚)!?



とか考えてたら、セキュリティ系を作った人がw。
sonodam: 応用編:「今つきあってる彼氏ってセキュリティ系なの?」「うん」「Web系なの?ソーシャル系なの?」「え」「ソーシャル系はマジ辞めた方がいいよ。詐欺師だし。Web系もプロアクティブな人多いしね…」Σ(゚д゚;≡;゚д゚)!?


ゼロデイコワイコワイヒー! 注意しましょうね。
lac_security: 気になるニュース 「Windows XPを狙ったゼロデイ攻撃が出現」  http://ht.ly/1ZyyV  回避策はLACCOTVでも公開中。 http://www.youtube.com/user/laccotv#p/u/1/fPcnrBbVN3o


見てみたいー。
connect24h: どこのビデオだ?警察の? RT @tsukichi43n: 会社の講習会で見せられた、「winnyとか使うとマジ家庭崩壊になりますよ」ってビデオが怖すぎた。つーか、ホントにああいう事態が起きかねないから使うのはやめたほうがよいよ…としか…

テーマ : セキュリティ
ジャンル : コンピュータ

6月16日のtwitterセキュリティクラスタ

今日も凶悪に暑くなりそうで、10時の時点ですっかりやる気がなくなってきました。暑さでやる気をなくすように仕向ける、誰かのサイバー攻撃ですよ。意味不明ですが。

まずは、素敵なチェックリストのお話。
ockeghem: システム連携の悪用対策にWAFとな?

vulcain: http://bit.ly/bm2iVK ですか?すごいWAFですね。 QT @ockeghem: システム連携の悪用対策にWAFとな?

ockeghem: そのレベルの矛盾が多くて読んでてイライラします RT @vulcain: http://bit.ly/bm2iVK ですか?すごいWAFですね。 QT @ockeghem: システム連携の悪用対策にWAFとな?

ockeghem: これも面白いな『■絶対的な本人認証/生体認証等を組み合わせ、定期的なポリシー変更を実施する』<『ポリシー』を定期的に変更しちゃだめでしょう。継続的に見直すくらいにしないと

vulcain: ネタとしか思えない QT @ockeghem: これも面白いな『■絶対的な本人認証/生体認証等を組み合わせ、定期的なポリシー変更を実施する』<『ポリシー』を定期的に変更しちゃだめでしょう。継続的に見直すくらいにしないと



MicrosoftのEnhanced Mitigation Evaluation Toolkit、略してEMETだそうですよ。
yarai1978: 今週のアライ出しが公開されました。みてね~ http://journal.mycom.co.jp/column/itsecurity/036/index.html

yumano: EMET すごい! RT @yarai1978: 今週のアライ出しが公開されました。みてね~ http://journal.mycom.co.jp/column/itsecurity/036/index.html

yumano: 後で試す(してほしい) AdobeのあれはEMETで止まるかどうか



IPv6もそろそろ攻撃ツールが出てきてるんですね。ICMPv6とかDHCPv6とかよくわかんないです…
packet_storm: THC-IPV6 Attack Tool 1.1 http://packetstormsecurity.org/filedesc/thc-ipv6-1.1.tar-gz.html


使ってみよ。
packet_storm: WATOBO Web Application Toolbox Auditor 0.9.1-96 http://packetstormsecurity.org/filedesc/watobo_0.9.1-96.zip.html



アメリカにも別件逮捕ってあるんですね、関係ないのかもしれませんが。
yarai1978: AT&T経由でiPad利用者のデータを流出させた人物が薬物所持容疑でFBIにより逮捕 RT @pedramamini: RT @michaelawsutton Why you shouldn't hack stoned http://is.gd/cQVmG



サイバーテロこえーってことでクジラサイバーテロリスト対策としてtwitterのサーバーを日本に置いたりすればいいと思いますよ。
lac_security: 内閣官房情報セキュリティセンターから 「セキュア・ジャパン2010(仮称)」(案)に関する意見の募集がでていますね。(^む) http://www.nisc.go.jp/active/kihon/sj2010.html


こちらもサイバーテロと言えなくもない素敵なスクワッディングの続報。Rubyは大丈夫だけどPerlやばいんじゃね?と言われてましたが、大丈夫なんでしょうか。
ymzkei5: ■プログラミング言語"Perl"の商標登録について - Japan Perl Association運営ブログ http://blog.perlassociation.org/2010/06/perl-trademark.html



はてなもそこまで考えてなかったんだろうなあと思われるXSSです。思い浮かぶのがすごいですよね。
kinugawamasato: はてなのリファラを使ったXSS http://d.hatena.ne.jp/masatokinugawa/20100616/referer_xss



被害に遭うまでは他人事なんですよ。
kikuzou: Rmote Root Exploit, Local Root Exploit, パスワードクラッキングなど、社内セキュリティ教育を行っていましたが、あまりの反応の無さに心が折れました・・・



社外のふりしてtwitterで言うのが一番早いって聞きますが、なんて社員を信用していない会社なんでしょうね。
ockeghem: 実は本日、元ソフトバンクという方から感謝のメールを頂戴しました。よくぞ「かんたんログイン」の問題を公開してくれた、と。優秀な方も多いでしょうし忸怩たる思いもあるのかと RT @rasio12: トップダウンでの対応が速いのは認めるが、内部の声は届きにくいのでは?と邪推してしまう。



仕事関係で仲良くさせていただいてた人とは、仕事が変わると本当に付き合いがなくなるよなあと1人になって思います。真面目に定年まで勤め上げて空っぽになる人は、仕事以外の付き合いがほとんどない人なんだろうなあ。
hasegawayosuke: 普段オンラインで仲良くしてる人が転職すると聞いたときなんかは「おお、そうなんだ」と思うけど、MSでお世話になってる人が辞めると聞くと寂しいなと感じてしまうのは、個人的な友人としてではなくMicrosoftという会社の人として付き合ってたからなんだろうな。と思い至ってそれもまた寂し

hasegawayosuke: というわけで、もっと個人対個人の友人として、会社とか仕事とか抜きで仲良くなりたいなと思う梅雨の夜なのでした。

テーマ : セキュリティ
ジャンル : コンピュータ

6月15日のtwitterセキュリティクラスタ

昨日は悲しいことに日中ほぼクジラだったのでTLはほぼありませんでした。

ASP.NETウェブアプリに対して、ウイルスとiframeとSQLインジェクションで1000サイト書き換えですか。こわいなあ。
eEye: SQL Injection Attacks Return;malicious iFrame attack infects 1,000 pages: http://bit.ly/cn1BKi


5%以下なら有意じゃないって心理学の授業で習ったから安全に違いありません。そういや最近アダルトも大手に集約されてる気がするのですが、そこじゃ物足りない人がいろいろ漁ったりしてるんですかねえ。
vulcain: アダルトサイトは意外と安全ってこと? RT @ymzkei5 ■アダルトサイトにマルウエアが仕込まれている確率は 3.23 % - スラッシュドット・ジャパン http://slashdot.jp/it/10/06/15/0153210.shtml



早くもバージョンアップですか。
Ji2Japan: フォレンジック調査チーム作成ツールにEnCase(R) Keywordパターンジェネレーター「蟹源」のVer.2をUPしました。各コードページHexでのEnCase形式ファイルの出力指定、キーワードフォルダ名指定などが追加されています。 http://bit.ly/5wpcAN



何でも避難する人はいるので何とも。
NobMiwa: Windowsの脆弱性を報告したグーグル社員に非難の声も http://bit.ly/c9abV1



続きが気になるー
scannetsecurity: 海外における個人情報流出事件とその対応第223回 ATMハッキング犯、覆面捜査員により逮捕(1)ATMの再プログラミングで不正出金を計画: http://url4.eu/4WGml



IT系のWebサイトって校正が甘かったり、書いたことを読まずにそのまま載せるだけのところが多くて、なんか心配になりますね。
ymzkei5: 大垣さんの記事。“UNIONクエリーやサブクエリーなどを利用した攻撃も検出できる”(?) >■なぜPHPアプリにセキュリティホールが多いのか?:第30回 番外編:簡単なガンブラー対策 http://gihyo.jp/dev/serial/01/php-security/0030

ockeghem: @ymzkei5 大垣さんもヤマザキさんにレビューを依頼すべきでした(^o^)


テーマ : セキュリティ
ジャンル : コンピュータ

6月14日のtwitterセキュリティクラスタ

ワールドカップで予想外に日本が勝ってしまったので、いろいろな意味でセキュリティが甘くなっている人が多くなる気がします。何か頼むなら思い切って今日頼むといいでしょうね。


韓国もワールドカップで楽勝して浮かれてる隙を突こうとしたのでしょうか。
lac_security: 気になるニュース 「韓国でハッキング攻撃 政府機関サイト 被害なし」 (^む) http://sankei.jp.msn.com/world/korea/100612/kor1006121652006-n1.htm



ここを見てる若い子はいない気がしますがセキュリティキャンプです。来年もあると思うな、だそうで、参加したい人は万難を排して申し込むしかないようですね。
hyoshiok: 応募に躊躇している諸君。来年もあると思うなよ。今年が最後かもしれないぞ。 QT 今年もやります。セキュリティ&プログラミングキャンプ http://bit.ly/9pdNta #spcamp

Blass000: これを見ると自分が参加していいの?とは思ってしまう・・・。 http://itpro.nikkeibp.co.jp/article/NEWS/20090817/335588/ #spcamp

wakatono: 大丈夫っしょ。つうか、応募せんことには始まらないすよ。 RT @Blass000: これを見ると自分が参加していいの?とは思ってしまう・・・。 http://bit.ly/35TJd #spcamp

kumojima: IT-Keysが仕分けられちゃったことを考えると…リアルだ RT: @hyoshiok: 応募に躊躇している諸君。来年もあると思うなよ。今年が最後かもしれないぞ。 QT 今年もやります。セキュリティ&プログラミングキャンプ http://bit.ly/9pdNta #spcamp

wakatono: ICTスクールも仕分けられました… RT @ykfksm: RT @kumojima: IT-Keysが仕分けられちゃったことを考えると…リアルだ RT: @hyoshiok: 応募に躊躇している諸君。来年もあると思うなよ。今年が最後かもしれないぞ。


そして、応募したい人はこれを読んだ方がいいと思います。RTFM!
wakatono: 不確定要素多いけど、とりあえず書いた。http://bit.ly/ax3mH4 #spcamp



かっこいいなあ。私も1人なのでCHOとかCIOとか研究所長とかエバンジェリストとか名乗りまくりですが、恥ずかしいので名刺には書けません。
ymzkei5: 先ほど、弊社の某・新井氏の名刺を見せてもらったら、肩書きの部分に「Chief Hacking Officer」と書いてあった。何それ。格好良すぎwww



フェンリル製のといわれてもピンと来ませんが、Sleipnirのプラグインのことですか。使ってる人多そうですね。
ymzkei5: 現時点では修正版なし。>■フェンリル製のプラグインソフトに複数の脆弱性 - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1006/14/news057.html



0-Dayも防げるFFRのYaraiは最近流行のAdobeの脆弱性も防げるんですね。すげー。
yumano: さすがyarai Adobe Flash Player and Reader 0-day 脆弱性 vs FFR yarai http://blog.fourteenforty.jp/blog/2010/06/adobe-flash-pla.html



サイトが意味不明でちゃんと読めないので攻撃してみようとも思いません。
hasegawayosuke: "Microsoft-XPが搭載されたサーバーで、Willtyのファイヤーウォール・ソフトで護られている下記アドレスのテストサイトが用意してあります。どうぞハッキングの攻撃を掛けて攻略できるか試してみて下さい。" http://bit.ly/9emHgu



こちらもまったくもって意味がわかりません。
takesako: 前代未聞の画期的な圧縮方法により、圧縮後のファイルサイズを0バイトにすることに成功しました。チェックサムも付いて多い日でも安心http://www.geocities.co.jp/Playtown-Denei/1184/satoimo/

yumano: ぅぇ、意味不明で頭を抱えた。びっくりw RT @zusanzusan: CAB暗号を思い出してしまいました。 RT @hasegawayosuke: .@yumano: http://j.mp/agaDvP http://j.mp/90jYnL via @takesako



またまた何かはじまりそうな予感。期待しております。
ikepyon: iアプリ使ってごにょごにょできないかな?http://ja.wikipedia.org/wiki/I%E3%82%A2%E3%83%97%E3%83%AA

ockeghem: ネットエージェントの愛甲さん@07c00が既にゴニョゴニョやっておられますヨ RT @ikepyon: iアプリ使ってごにょごにょできないかな?http://ja.wikipedia.org/wiki/I%E3%82%A2%E3%83%97%E3%83%AA



ペネトレーションテストがどんな内容なのかは知りませんが、nmapは使えます。やとってくださいw
sen_u: 某社っぽい。2000円~て。w RT @katsuny3: ぺネトレーションテストができるエンジニアの時給2000円~ http://haken-bosyu.net/item/1020/6781259/city_cd=13101/sub_occupation_cd=3001

テーマ : セキュリティ
ジャンル : コンピュータ

6月12~13日のtwitterセキュリティクラスタ

この週末はワールドカップとかはやぶさとかF1とかに忙しくて、セキュリティクラスタではセキュリティの話はほぼほぼ行われてない感じなので、週末の更新はほぼお休みです。


「ハッキングの達人」というムックが7月16日発売だそうですよ。内容はきっとハッカージャパンの特集記事がまとめて一冊になっている気がします。
sen_u: 書評10冊書けた。

kinyuka: @sen_u どこで読めますか?

sen_u: 7月16日発売の「ハッキングの達人」で読めます!w RT @kinyuka: @sen_u どこで読めますか?



素晴らしい検証記事です。最近はWebで良質な検証記事を読むことができなくなってきました。みんな有料になってしまっているのでしょうか。
kaito834: ブログ書いた。攻撃コードで Exploit コードを読み込むまでのチェックルーチンのあたりについて。「どのブラウザだとExploitコードが実行されてしまうのか確認してみる」 http://bit.ly/b3XoZN

connect24h: これは良い記事 RT @kaito834: ブログ書いた。攻撃コードで Exploit コードを読み込むまでのチェックルーチンのあたりについて。「どのブラウザだとExploitコードが実行されてしまうのか確認してみる」 http://bit.ly/b3XoZN *Tw*



家から出なくなると友達減りますよね。使うお金も減りますが。先週何年かぶりに大学の友人と話して10年以上会ってないんだなあとか。
miryu: 早く帰宅して、土日は家族に尽くすと友達が減る。諸刃の剣。パパ友は作れない。 #wlb_bar

taisho__: 個人的な友達との付き合いは維持出来ないよね。それでいいかって話。 RT @miryu: 早く帰宅して、土日は家族に尽くすと友達が減る。諸刃の剣。パパ友は作れない。 #wlb_bar

miryu: できない。独身時代の友人は9割消えたし、じゃあ新しい友人が増えたかって言うと増えてない。 RT @taisho__: 個人的な友達との付き合いは維持出来ないよね。それでいいかって話。 RT @miryu: 早く帰宅して、土日は家族に尽くすと友達が減る。 #wlb_bar



日本のヒップホップって伝えたいことがないから雰囲気で押し通せみたいなのが気持ち悪いんですよね。
shinsuke4586: ヒップホップ系のイベントに行って、全員が「大丈夫」「親に感謝」「仲間を信じて」ってみつをみたいなわかりきったあほフレーズオンリーだったので、本気でこれは新しいカルト宗教のイベントかも?・・と思ってたら全部一般の人達で驚いた。今のヒップホップってこれが普通なの!?一部腐り始めてる?

asukargot: 女子ポップは「会いたい」「会えなくてさびしい」「会えてうれしい」ばっかだしなぁ。 RT @shinsuke4586: ヒップホップ系のイベントに行って、全員が「大丈夫」「親に感謝」「仲間を信じて」ってみつをみたいなわかりきったあほフレーズオンリーだったので、本気でこれは新しいカル

6月11日のtwitterセキュリティクラスタ

昨日も鯨が多すぎてタイムラインを追うのが大変な状況です。

そんな中で盛り上がったのは、先日から問題になっていたソフトバンク製iPhoneアプリがセキュリティ的に問題があるのではないかという件について。やっぱ、予想通りダメだったっぽいです。

詳しいことはrocaz 氏がまとめていらっしゃいますので、こちらをどうぞ。

iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ


iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ



仕分けされずに生き残った模様です。大人も参加したいですけどね。
okdt: 本年もやるという告知が始まりました。<セキュリティ&プログラミングキャンプ2010 http://bit.ly/bkNQm9



FlashのExploitが発表されて、すぐに検証されています。流れがわかるところがtwitterの面白みですね。
yarai1978: 昨日付で Flash の Exploit が出てるね。 http://bit.ly/anJej0

yarai1978: Flash Playerが入っていなくても Adobe Reader からは Flash が再生できる。で、その PoC が作れるのがさっきつぶやいたモジュール。Adobe Readerの修正プログラムはまだ出てない。つまりり0-dayなう。

yarai1978: Adobe Readerは少なくともバージョン9.2からDEPの保護をオンにしている(SetProcessDEPPolicy?)ので楽観的にしてたけど、今回のはROPを使っているのでDEP回避できるかも。調査中。

yarai1978: 検証完了。PDF経由でExploitできます。

yarai1978: 当該設定項目をオフにしてもダメポでした。。。RT @itssay2: Reader内でのFlash再生は止められないんでしょうかね、特に要らないし。"マルチメディア操作を許可"という設定がありますが。

yarai1978: Adobe ReaderのAcrobat JavaScriptオフならこのexploitの影響は受けない。なぜなら、ペイロード作成にJavaScriptを使うから~



よく英語の偽アンチウイルスのポップアップがあがりますが、日本語だと騙されちゃいそうですよね。
mikamiyoh: MSそっくりソフトの記事書きました 偽セキュリティー対策ソフトが横行:読売オンライン http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100611-OYT8T00775.htm



情報商材を買ったら大量の宣伝メールが来そうなので、ネタにしたくても怖くて買えないですよね。
ockeghem: 『完全数量限定【ブラックマネーメール】⇒1,980円 / もう既に長蛇の列が出来上がっています!!! / いそいで《特別会場》までお越し下さい!!!!! http://www.rakuten.ne.jp/gold/jnl/d/102856.html

satoh_fumiyasu: \1980程度なら、ネタに書いたくなるな。危ない。RT @ockeghem: 『完全数量限定【ブラックマネーメール】⇒1,980円 http://www.rakuten.ne.jp/gold/jnl/d/102856.html 』

kensukesan: で、大量の「買いませんか?」メールを無料特典としてもらう・・・と(笑 RT @佐藤文優 \1980程度なら、ネタに書いたくなるな。危ない。RT @ockeghem: 『完全数量限定【ブラックマネーメール】⇒1,980円

ockeghem: ブラックマネーメールのページ、楽天さんに問い合わせ入れたらマイルドになってた。使用前 http://bit.ly/9gDjJC 使用後 http://www.rakuten.ne.jp/gold/jnl/d/102856.html



私も自宅研究者の研究の一環として、自分の管理してないホストにツールとか撃ち込んでいいですか。
lac_security: 現場の一言。8日頃から特定ホストからのXSSが大量に発生。調査したところ、ニューヨークの州立大学から発生しており、とある研究機関が行っている調査の一環のようだ。調査にしては広すぎる。このような事象は過去に存在しているが、研究が一線を超えないように気をつけていただきたい。 (^あ)



DNSからホスト情報を調べまくるFierceの新バージョンだそうですよ。
hackersorg: Fierce 2.0 To Be Released http://is.gd/cLheX

テーマ : セキュリティ
ジャンル : コンピュータ

6月10日のtwitterセキュリティクラスタ

今日はInterrop最終日です。毎年縮小傾向で、今年もそれより縮小傾向っぽいですね。
Akira_Murakami: ちょっとだけブース見てみたが、数年間と比べるとこじんまりしちゃったかな?シスコさんがばってル感じ。



ケータイIDによる利用者認証は、なりすましアクセスが不正アクセス禁止法で保護されないという高木先生の主張についてのbakeraさんのやり取りがとても参考になったのですが、長いのでtogttterにまとめておきました。



すでに他の国でもDPI広告ってはじまってるんですね。知らなかった。
HiromitsuTakagi: ブラジルでDPI広告(3月から始まったPhorm)への抵抗が盛り上がり中のもよう。ポルトガル語の読める方の解説を望む



相変わらず携帯関連はセキュリティ的にはアツいことになってます。まずAT&Tで携帯のデータが抜かれまくったそうです。間抜けですね。
ymzkei5: RT @47news: 米でアドレス11万件が流出 iPad所有者 http://bit.ly/9WtRfu

bugbird: うぎゃー < iPad 3G 購入者情報漏洩@アメリカ

bugbird: 端末識別番号まで抜かれましたって…あなた……

kinyuka: AT&Tハカーされたやつ、穴しょぼすぎワロ

kinyuka: ウェブアプリケーションセキュリティ!とか騒いで10年経ってるのにUser-Agent 偽装でデータが入手できる素敵なインターネットです



そしてドコモ2.0のCSRF。
ockeghem: .@ikepyon 昨日話題になっていたドコモ公式のCSRFですが、POSTメソッドの場合、JavaScriptが有効でないと攻撃できないので、iモード2.0の新たな脅威とも言えますよね。公式サイト向けには外部からアドバイザリを出せないので、キャリアから出してもらわないと…

ikepyon: @bakera ありそうですね。そっちのこと失念してました。あくまでHTTP or HTTPSでの限定だと思ってました

ockeghem: @bakera そもそも、ボタン押しただけでユーザが被害にあうのは、サギか、サイトの脆弱性か、ブラウザの脆弱性であって、ユーザに気をつけろというのは酷ですよね



そして携帯公式サイトのネットワーク構成について。他サイトの連携もあって、ユーザは公式なのに公式じゃないネットワークにアクセスしたりしてるのかもという話ですが。
ikepyon: 携帯公式サイトはキャリアのGWとしか通信しないから、セキュリティ対策あんまり考えなくて OKというところって、同じネットワーク上にあるほかの機器はきちんと対策取れてるんだろうか?

ikepyon: 同じネットワークなら、公式サイトに攻撃できるよね。ホスト単位で制限したとしても、公式サイトのARPテーブル書き換えて、ごにょごにょすれば、IP Spoofも出来るだろうし・・・そういう脅威ってちゃんと考えてるよね?

bakera: @ikepyon @ockeghem 「キャリアのGWとしか通信しない」というのはWebサーバに携帯公式サイトひとつだけしか乗っていない、かつ外部連携一切なしという場合ですよね。最近だともっと複雑な構成になっている場合が多そうな気もしますが、どうなのでしょう?

ikepyon: @bakera 外部とのやり取りがあるのはキャリアのGWだけと理解してます。公式サイトだけのセグメントがあるというのはさすがに少ない気がするので、同一セグメントからの攻撃ってきちんと考えているのかが不安です

ikepyon: 可能性としては、PC用のサイトと携帯用のサイトが同一セグメント上にあって、お互い直接の通信は出来ないが、DBサーバを解して通信できるとかはありそう。でPC用サイトは静的ページしかなくて、運用がザルとか・・・

ockeghem: 今の「公式」はどうですかね。昔は厳しかったのですが、緩くなっているかも RT @bakera: @ikepyon @ockeghem 「キャリアのGWとしか通信しない」というのはWebサーバに携帯公式サイトひとつだけしか乗っていない、かつ外部連携一切なし…最近だともっと複雑な構成



そしてもう1つ、携帯公式サイトのちょっと間抜けなセキュリティ対策のお話。ゲートウェイでフィルタした後に同じようにフィルタするっていう喜ぶのは業者だけなかんじです。
ockeghem: 某携帯事業者は、特定ジャンルの公式サイトに対して「IPSまたは同等のセキュリティ対策を施すこと」みたいなレギュレーションを貸しているそうなんですが、「同等」の代替ソリューションなんかないので、普通IPSを導入するわけです(続く)

ockeghem: で、リプレースの案件でそれを知ったんだけど、ヒアリングで「IPSのアラートはどれくらいの頻度であがりますか?」と聞いたら、「今まで一度もあがったことがない」という。そんな馬鹿なと一瞬思ったけど(続く)

ockeghem: 携帯公式サイトはゲートウェイのIPとのみ通信するように制限するから、IPSで検知するレベルの攻撃は来ないのよね、と納得。しかし、だったらIPS意味ないじゃん(続く)

ockeghem: 携帯端末からSQLインジェクション攻撃とかやればIPSも働くかもしれないけど、投資としては効果的ではない。まだWAFを導入した方がいい。もっと効果的なのはHASHコンサルティングという会社に検査を依頼することだけど(そこかよw

ockeghem: 携帯公式サイトに対する脅威分析なんて、ちゃんとできる人はほとんどいないでしょうね。だから、「IPS導入しろ」なんて話になる。何かやらないとまずいと思ったんでしょうね、きっと



はてなのXSSが着々と修正されている模様です。
kinugawamasato: はてなのexpressionのXSSが修正されました!(5回目) http://d.hatena.ne.jp/masatokinugawa/20100610/expression_xss5

hasegawayosuke: alert(document['cook'+'ie']); RT @kinugawamasato: はてなのexpressionのXSSが修正されました!(5回目) http://bit.ly/b9jVbK




勉強会について。こういうのを読むと次回は遅れないように申し込んで、勉強会初体験しなきゃって気になります。
ripjyr: 勉強会の本番は懇親会!とか言っている人もいるようだが、もちろん両方大事だとおもう。それより初参加の人に以下に再度来てもらうか、その上友達・同僚を誘いたくなるような勉強会にする方法を議論したほうが良い。

ripjyr: ぶっちゃけると、勉強会は飲み会が本番だよねーそうだよねー!よりは実りある議論だろう QT @amidaku: これがむずかしいよね RT @ripjyr:友達・同僚を誘いたくなるような勉強会にする方法を議論したほうが良い。

ntsuji: @ripjyr リピート大切ですよね。ちなみにボクは、先日、445にスピーカで呼んでいただいて、初参加させていたたいたわけですが、また、行きたいと思うものでしたよ。

ripjyr: うほーーー!嬉しいなぁ。こういう発言!!! QT @ntsuji: @ripjyr リピート大切ですよね。ちなみにボクは、先日、445にスピーカで呼んでいただいて、初参加させていたたいたわけですが、また、行きたいと思うものでしたよ。



ウイルス対策ソフトでその手の都市伝説はよく聞くのですが…
masa141421356: 自社製品のユーザーに攻撃を仕掛けて困らせて保守費用をとろうとして逮捕なんて事件が本当にあるとは

テーマ : セキュリティ
ジャンル : コンピュータ

6月9日のtwitterセキュリティクラスタ

きのうは鯨が現れっぱなしで、仕事に専念されていた方が多かったようです。たまには仕事しなくちゃね。そういやInteropの展示が始まったみたいです。毎年ショボくなっていく気がするのですが、今年は盛り上がっているのでしょうかね。


そろそろBlackhatも近づいてきました。
BlackHatEvents: Just Announced! The Arsenal at #BlackHatUSA 2010 - Call for Tools/Demos: For more info visit http://bit.ly/bHcyTJ


そして、対となるDEFCONの方もCTF予選の結果がアップされています。
tessy_jp: DEFCON18 CTF予選の最終結果がアップされてます。 RT @ddtek: Official quals scores, stats, and table positions posted at www.ddtek.biz.



最近人気の携帯網のセキュリティ話。

ソフトバンクのNVMOであるディズニーモバイルをチェックされています。
ymzkei5: 携帯サイト制作道場:見過ごされがちなセキュリティ。徳丸さん。 RT @bakera: [メモ] http://www.flexfirm.jp/technicalnote/dojo/index.html


実はもっと基本的な話が見過ごされているではないのかというのが次に。

問題なのはもともと閉じてたところに携帯電話じゃないものがアクセスできる可能性があったり、その閉じたところでのセキュリティに対する考えを、閉じてない勝手サイトでも当てはめようとするところなんでしょうね。
naonee: 昨日、携帯サイトの開発担当者と話す機会があった。ドコモ公式サイトは、閉じられたネットワークなので、ある程度のセキュリティは担保されており、PCサイトと同等なセキュリティ対策はしなくてもよいという認識だった。

ikepyon: 閉じたネットワークってどういうことなのだろう? RT: @naonee: 昨日、携帯サイトの開発担当者と話す機会があった。ドコモ公式サイトは、閉じられたネットワークなので、ある程度のセキュリティは担保されており、PCサイトと同等なセキュリティ対策はしなくてもよいという認識だった。

naonee: @ikepyon 簡単に言えば盗聴が出来ないということかと。

ikepyon: @naonee それって、公式サイトってインターネットとは別のネットワークにあるってことですか?

ikepyon: うーん、もしそうだとすると認識がひどいorz

naonee: @ikepyon 公式サイトは必ずドコモのゲートウェイを通らないとアクセスできないんです。従って、Webサーバー側から見れば、ドコモのゲートウェイからの送信元IP アドレスのリクエストしか受け付けません。

naonee: そうなんですよ。UIDによるセッション管理でも、クロスサイトリクエストフォージェリ対策しろなんて仕様は書いてないとか言ってるし・・・。 QT @ikepyon うーん、もしそうだとすると認識がひどいorz

ikepyon: なるほど、そういうことで、閉じられたネットワークという認識ですか。RT: @naonee: @ikepyon 公式サイトは必ずドコモのGWを通らないとアクセスできないんです。従って、Webサーバー側から見れば、ドコモのGWからの送信元IPアドレスのリクエストしか受け付けません。

ikepyon: なんてこったいorz泣けますねぇ(涙 RT: @naonee: そうなんですよ。UIDによるセッション管理でも、クロスサイトリクエストフォージェリ対策しろなんて仕様は書いてないとか言ってるし・・・。

ikepyon: これが、ケータイWeb開発者の真の実力ということかorz もちろん、ちゃんと理解している人はいるんだろうけど。

ikepyon: しかし、こういう話を聞くと、DNS Rebindingを使った攻撃の危険性以前の問題のような気がするなぁ




MSって面白いことやっても作り込みが甘くて逆に嫌われるケースが多いですよね。基本的にサイトは訪問するたびに嫌いになっていく造りですし。セキュリティとは関係ないですがw
rakugodesi: このページにリンクされているテンプレート集にはサンプルが無いので、米国のサンプル集からダウンロードしたが、ベータ版で作成されているとのたまって動作しないのが多数。そのうち修正されたものがでてくるのだろうか? http://ow.ly/1W01w


お、久しぶりですね。これからも更新を期待しております。
yarai1978: 復活第一稿が公開です。 http://journal.mycom.co.jp/column/itsecurity/035/index.html


テーマ : セキュリティ
ジャンル : コンピュータ

6月8日のtwitterセキュリティクラスタ


昨日はF-Secureブログ一周年記念パネルディスカッションがありました。このブログもそういうところで書ければいいのですが… で、昨日のパネルディスカッションから気になったツイートを。

M1n0x: 悩みの種はMSよりAdobe」 #fsecure_jp #FSBLOG

takumi_onodera: Vista/7の機能が使われていない件は、耳が痛い #fsblog

kyo_ago: 「Google自体を信用したとしても、公的機関から参照受ければGoogleは個人情報を渡すだろう」 #fsblog #fsecure_jp

M1n0x: 「我々はGoogleのユーザーであって顧客ではない。顧客は広告主。」 #fsecure_jp #FSBLOG

ripjyr: 一般にセキュリティレベルは技術者の5年前のレベル。#fsecure_jp

ripjyr: これはtsudaりじゃなくて、僕の意見です。それも、「一般に」ではなく、「一般の」@k_satoh QT @vulcain: なんと(;゜0゜) RT @ripjyr 一般にセキュリティレベルは技術者の5年前のレベル。#fsecure_jp


そういや休憩中に中継を見てつぶやいた人に向けての抽選会がありました。セキュリティは専門家ですが、抽選やイベント運営には慣れてない感じでほほえましかったです。
ripjyr: ぶっちゃけ、F-Secureさんの抽選あたってうれしいけど、@v_avengerが当たらなくてよかったとホッとしている僕がいるw



確かに他のレイヤーで設計時にセキュリティホールが減らせるならそれに越したことはないと思います。コーダーはセキュリティよりも最小限の工数で終わらせる方が好きでしょうし。
ikepyon: 今のWebアプリにおけるセキュリティ対策って、コードに依存しすぎていると思う。結果、一般的なプログラマにとって大きな負担になりすぎているのではないか?

ikepyon: もっと、要件定義や設計段階からなるべく脆弱性が出来ないような仕組みにしていったほうがいいんじゃないかと思う



枝葉を責めるなら幹から辿った方が効率的ですものね。そういや昨日セキュリティツールをダウンロードするための登録画面にXSSがありました。セキュリティってなんなんでしょうね。
bulkneets: ダメなWeb制作会社の実績紹介ページ、XSS探すのに便利



そしてXSSフィルタ誤検出のお話。誤検出した後の画面で脅威が起こるって本末転倒な話ですが。
bulkneets: IE8のXSSフィルタ誤検出で起こるscriptタグ破壊によって本来JSとして出力されるはずの要素がHTMLとして出力されることによって引き起こされる脅威の度合いがどれぐらいか調べてる。

bulkneets: ソースが表示されてユーザーが怖がるのはscriptを内に書くことで回避出来る。いくつか試したけどformとかonmouseoverもついでに無効化されるから悪用は出来ないっぽい感じがする。基本的にはHTMLとして解釈してもJSとして解釈しても安全にしといた方がいい

bulkneets: 元々出力されるHTMLに含まれるscriptタグを検索文字列に指定することで大体のサイトでXSSフィルタの誤検出は起こせるんだけど、ユーザーが知らないもんだから脆弱性があるとか勘違いする。

bulkneets: 脅威の度合いとしては誤検出なのに騒ぐユーザーが一番大きい

kinugawamasato: XSSフィルタやNoScriptがXSSと思わしき動作を遮断(誤検知) → 大変や!XSS脆弱性や!→ 報告 →それは脆弱性じゃないです って流れ経験したことある人いそう。



おやようやく。AdobeってMSみたいに変節なく、昔から首尾一貫していい加減で、それはそれですごいですよね。昔コードを読んだ人がひどい… って言ってましたが変わってないのかなあ。
kaito834: Adobe Flash Player の脆弱性については、2010年6月11日(日本時間)に修正プログラムが公開されるようだ。アドバイザリAPSA10-01が更新されていた。 http://tinyurl.com/2da3pt6 *Tw*

テーマ : セキュリティ
ジャンル : コンピュータ

6月7日のtwitterセキュリティクラスタ

iPhone4が発売されたそうです。199ドルですか。電話なくても買いたい気分になる値段ですね。

そういやInteropです。都内から幕張って遠いうえに、Interopのときはだいたい雨が降ってて京葉線が遅れたり止まったりする気がします。
sonodam: 早め切り上げで打ち合わせに向かわなければならないんだけど、幕張メッセって微妙に交通の便が悪いんだよなー。



の作り方に期待。というか解析がわかれば作り方はわかるようなわからないような。
suma90h: 『デコンパイリングJava』のカバー見てて今気づいた 今秋発売予定『アナライジング・マルウェア』 豪華執筆陣

suma90h: 目次(予定)の「~の解析」などを「~の作り方」にするととても危ない内容に見えるハック



そして、昨日話題だったのは、UNLHA32.DLLの開発停止のこと。JVAがlhaで圧縮したウイルスがアンチウイルスをすり抜けることをIPAが脆弱性として認めなかったからのようです。

h_okumura: UNLHA32.DLL開発停止って,だれが言ったの? どこに書いてあるの? http://internet.watch.impress.co.jp/docs/yajiuma/20100607_372657.html

h_okumura: いずれにせよMiccoさんはJVNが脆弱性報告を受理しなかったことでお怒りのようです。どうしてこんなことになったのでしょうか http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602

scannetsecurity: 「LZH」アーカイバの開発を中止、JVNへ脆弱性報告では「不受理」(Micco's HomePage): http://url4.eu/48em0



それに対する、報告者からの意見。至極全うです。
hasegawayosuke: そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので不受理だろう (経産省告示第235号)。 ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。

hasegawayosuke: LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲しいなら英語で bugtraqにでも投げればいい。その際、LZH形式がどれだけ日本でメジャーなのかをきちんと伝えること。

hasegawayosuke: ちなみにIPAで受理/不受理の境界でもっとも疑問に感じたのは、Namazuが不受理だったのにHyperEstraierは受理だったこれ。http://jvn.jp/jp/JVN18282718/index.html




CSV吐かせる場合、区切り文字関係はエスケープしないと普通にテスト通過しないでしょうからねえ。
itochif: @ikepyon DBやブラウザへの出力では出来ていない(何も考えていない)人が、CSVを吐き出すコードを書かせた時だけ、それなりにエスケープさせている不思議

ikepyon: テストで「"」「,」を含むデータをたまたま入れて、おかしくなったことがあったからじゃ?RT: @itochif: @ikepyon DBやブラウザへの出力では出来ていない(何も考えていない)人が、CSVを吐き出すコードを書かせた時だけ、それなりにエスケープさせている不思議。

bakera: @ikepyon @itochif 確かに……。あの伝説の csvmail.cgi も、XSS・ディレクトリトラバーサル・メールの不正中継と何でもありだったのに、CSV のエスケープだけはちゃんとできていたという……。



そりゃ見れるものは何でも見るでしょうよ。
sasakitoshinao: DPIをイラン政府が情報検閲に利用している。/ ディープ・パケット・インスペクション: イラン政府のインターネット検閲を通信企業が支援した技術はアメリカでも広く利用されている: マスコミに載らない海外記事 http://bit.ly/agAAta



個人使用はフリーになったので使おうと思ったけどまだ使ってないPaketiXがオープンソースになるのですか。
togakushi: PacketiX VPN をオープンソース (GPL) 化し筑波大学 VPN プロジェクト (UT-VPN) としてダウンロード開始 http://tinyurl.com/2dka3kw



今夜ですね。忘れないようにしよう。
gohsuket: 明日の17時スタート @FSECUREBLOG のUstイベント http://is.gd/cBQQv RT @risa_ozaki: …最新ITセキュリティレビューをUstream& Twitterで実況生中継 http://bit.ly/aEvDyh #fsblog



愛がないとセキュリティ検査なんてしないと思いますよ。犯罪者は別だと思いますが。
WASForum: 「セキュリティスペシャリストはツンデレってのは重要だ」 #SDL_WS



コメント取りって自分たちの言いたいことを補強するためにすることも多いですから、曲解されたり、都合よくねじ曲げたりすることが多いですから、取材される側もする側も読む側も注意したいものです。
sonodam: 朝日新聞にあんなこと言ってないぜバーロー

sonodam: 言ったのはこういうことだ>「DPI活用は一義的にはセキュリティ。匿名性の悪用を防ぐ有効な手立てとなりえるかもしれない。

sonodam: しかし、プロバイダーにとって通信の秘密は絶対であり、付随的にマーケティング素材として活用できるかもしれないが、オプトイン、オプトアウトなどによって利用者の承諾を得ることは大前提である。」

sonodam: 総務省もあたかも許容することを「決めた」かのように書かれているが、んなこたぁ無いんだよ。

sonodam: ・・・という講演の最後のところが一番おもしろかったかも知れないな(笑)。




ずいぶん前の話のような気がしていましたが、WASForumの講演レポート。
ymzkei5: ■"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 http://journal.mycom.co.jp/articles/2010/06/07/wasforum/index.html



Unicode関連とか突けばまだまだいろいろあるんでしょうねえ。
masa141421356: 16進の数値文字参照をつぶやく→ハッシュタグ検索するとエスケープされて表示。そのツイートを単独で表示するとエスケープされていない #x1D4C1

masa141421356: そのまま 𝓁 手動エスケープ 𝓁 単独

テーマ : セキュリティ
ジャンル : コンピュータ

6月5~6日のtwitterセキュリティクラスタ

週末のセキュリティクラスタは相変わらずおとなしめです。

その中でも土曜日も「サイバー犯罪に関する白浜シンポジウム2010」は続いていました。

印象に残ったのはこのツイート。ISPの中の技術屋さんはDPIなんて許さないと思うんですけどねえ。
tetsutalow: 「えーマジDPI広告?」「キモーイ」「DPIで許されるのは帯域制御までだよねー」「キャハハハハ」 これがいままで通信の秘密の理念が骨身に染みついたISPの通常の感覚ではないかと思うのだがなぁイカガ? #sccs2010


そして、3日目もまとめました。



そろそろ僕のアカウントよりもボットの方がフォロワーが多くなりそうなので、protectedな人の発言読みまくりですかね。
bulkneets: むかし、フォローされてることを条件にprotectedな人の発言を読めるようになってた頃、大衆受けする便利bot作ってフォローさせればprotectedの発言読めまくりじゃね、って話をしていたのが今はOAuthでそれが行われている感じですよね。



基本的にzipメインでlhaは使っていなかったのですが、お疲れ様です。7zipも日本じゃまだまだ流行りませんね。
ntsuji: Unlha32.dll開発停止なんですね。長年使ってないのですが、これを機に7zipあたりをメインにしましょうかね。もちろん自分向けで。



いろいろしなくてもよさそうな苦労をされて大変ですなあ。
a902: 悪マニ管理人が、証人尋問を受けます。色々あって遅くなりましたが、ご連絡です。http://www.a902.net/topics/2010/0607.html



ジョブスがadobeフリーにしたい気持ちもわかりますね。
risa_ozaki: Adobeのフラッシュやアクロバットに脆弱性。ゼロデイ攻撃の可能性。 0-day vulnerability announced in Adobe Flash, Reader and Acrobat http://bit.ly/a1MXYK via @patrikrunald



使ってないけど気になります。
anemo: iPadのプリペイドAPの穴を見つけた

テーマ : セキュリティ
ジャンル : コンピュータ

6月4日のtwitterセキュリティクラスタ

昨日はあんなに暑かったのに今朝はひんやりです。白浜に負けないようにこの2日は飲んでいたので頭はぼんやりです。

で、サイバー犯罪に関する白浜シンポジウム2010 2日目講演のまとめはこちら。



バイナリアン御用達のOllyDbgの新バージョンだそうですよ。
yumano: 待望の正式バージョン! RT @tessy_jp おー RT @ghetto2199 とうとうリリースされたのか・・・OllyDbg 2.0 http://www.ollydbg.de/



DefConとBlackhatですね。私も相当前に参加したことがありますが、ラスベガスのホテルってでかいですね。
kikuzou: 「インターネットセキュリティツアー2010」の参加者募集が開始されたようです。興味のある方は是非!!(と軽く宣伝してみるw) http://bit.ly/bDKKnS



論理的にあり得ないとか書かれると、途端にうさんくささを感じてしまいます。
ripjyr: I'm reading now:「個人情報漏えいは論理的にあり得ない」セールスフォース宇陀社長 http://itpro.nikkeibp.co.jp/article/COLUMN/20100203/344112/



イーモバとソフトバンクだけの問題じゃなかったっぽいです。DNS Rebindingできるのかはわかりませんが。
ymzkei5: WASF話。>■Yahoo!ケータイのXHRでHost:チェックを突破できる話 | 水無月ばけらのえび日記 http://bakera.jp/ebi/topic/4150



セキュリティ関係者大喜びと思ってよく見たら、私の地元じゃないですか。いつの間にやらこんなもの作るようになってたんですね。滝の水は涸れたっつうのに…
sen_u: ダブルIPA http://twitpic.com/1tsv31



という詐欺のお話だったんですね。こえーっ
不正入金グループを逮捕したらその中に僕の通帳があり千五百万振り込まれていた

テーマ : セキュリティ
ジャンル : コンピュータ

6月3日のtwitterセキュリティクラスタ

昨日から第14回サイバー犯罪に関する白浜シンポジウムが開催されています。うらやましいですね。
とりあえず昨日の様子はtogetterにまとめておきました。




タダで家で見れるのは素敵です。6月8日の17時からだそうです。
risa_ozaki: エフセキュアブログの開設一周年を記念し、ソーシャルメディアを駆使したパネルディスカッションを開催: 最前線のITセキュリティ専門家による最新ITセキュリティレビューをUstream& Twitterで実況生中継 http://bit.ly/aEvDyh



有名サービスにもXSSが残ってるところってまだまだあるんですね。
kinugawamasato: livedoor ReaderのXSSみっけた


最近は特にセキュリティ関連の日本語の情報は公開されていない気がします。公開することがむしろデメリットになることも多いのかもしれませんので、仕方ないのかもしれませんが。
ntsuji: 気軽に無料でアクセスできるような情報を公開する文化が定着していないように感じます。それに助けられたことがある自分たちが、それをしないことは、良い連鎖を止めることに繋がるという意識を持たなければならないと思います。



1つクリアするごとに罰金を払って寄付するならげんなりですが、面白そうな試みです。
tessy_jp: チャリティを組み合わせた新しいCTF 6/19-20開催 Hacking Challenge #2 ? HSIYF for Charity http://bit.ly/boY5XO



情報漏えいが増加した背景の1つに、ITサービスや製品の普及の歴史が関係しているってなんじゃこりゃ?
risa_ozaki: 情報漏えいの上手な対応方法、ネットエージェントが指南: 情報漏えいの影響を最小限に抑制するには、情報漏えいの特徴を平時から理解しておくことが重要になる。 http://bit.ly/di8BnF



知らないうちにデータハウスの公式アカウントができているようで、フォローしてRTすると、新刊がもらえるそうですよ。僕にください。
datahouseinfo: [プレゼント企画@PC] Twitter連動企画第1弾!2010年6月30日までにフォロー&リツイートするだけで応募完了!5名様に新刊『コンピュータウイルス製造入門』を抽選でプレゼント!

datahouseinfo: [プレゼント企画@PC] Twitter連動企画第2弾!2010年6月30日までにフォロー&リツイートするだけで応募完了!5名様に新刊『パスワード解析 完全版』を抽選でプレゼント!


増加する「サーバ設定の不備」や「クロスサイト・スクリプティング脆弱性」、一方で認知と対策が進んだ「SQLインジェクション脆弱性」の減少傾向だそうですが、もらうには個人情報の入力が必要になります。
connect24h: KCCS 2010年版 Webアプリケーション脆弱性傾向 http://ow.ly/1Tqxn


まあ、4Gくらい積んでるのが当たり前の昨今ですから。僕は使いませんが。
rryu2010: MacOS版Symantec AntiVirusのAutoProtectが120MBもメモリを使うという驚愕の事実。



世界に名だたる脅威の目grep力を発揮されたわけですね。
ucq: RT @sutegoma2: CODEGATEの本戦問題の解説 sutegoma2が紹介されています:p RT @n0fate 오랜 시간 뒤에 올리네요 CodeGate 2010 CTF Final Challenge 3 : http://bit.ly/drURX3

ucq: 適当な訳「もちろんsutegoma2チームの場合、直接3.2ギガのメモリーを stringsある概略500メガのデータを目で見て解く驚異的な能力を見せたことだ:p」 これを解いた人 >> @murachue


glibc、eglibcの脆弱性でremote exploit可能だそうですが。
_hito_: CVE-2010-0296がすごくいーかんじでヤバいなぁ。sudoedit問題より楽しげ。


便利になればなったで、攻撃する手法も増えるのかと思いますが、どうなんでしょうね。
bakera: [メモ] 「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」 http://www.publickey1.jp/blog/10/html5javascriptdouglas_crockford.html

hasegawayosuke: HTML5の複雑さが攻撃者の武器になるという点は同意もできるな。 RT @bakera: [メモ] 「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」http://bit.ly/d2ejDW


テーマ : セキュリティ
ジャンル : コンピュータ

6月2日のtwitterセキュリティクラスタ

今日からサイバー犯罪に関する白浜シンポジウムだそうです。いい天気なので楽しそうですね。ぼくも経費でいけるならぜひとも行きたいものですが、そういうわけにいくはずもなく、自宅警備に勤しむ所存でございます。

ブログ開設一周年ですか。ぼくもそろそろ退職2周年が迫ってきましたので、催しでも考えるかもしれません。
yarai1978: エフセキュアブログ開設1周年記念の催しが来週あたりにあるそうです。お見逃しなく。


どこがやってんだろ。検定試験というのにはちょっと敏感な私もわからんです。
cchanabo: 【NHKニュースより(自分用メモ&誰か詳細教えてちょんまげ)】 『ネット犯罪防止で検定試験』 この“検定試験”とか“東京のNPO”について知ってる人は教えてちょんまげ。 http://bit.ly/92b9OF


ITproって会員登録しないと1ページ目しか読めない難読化をしてるんですよね。
ymzkei5: ■Twitter用APIを悪用したJavaScriptの多重難読化 - 世界のセキュリティ・ラボから:ITpro http://itpro.nikkeibp.co.jp/article/COLUMN/20100531/348641/


どっかの会社がWindowsをやめてMacにするそうですね。
yohgaki: スパイウェアをMacにインストールするアプリのリスト http://ow.ly/1SLY3

yohgaki: 何をされるかはここ。http://ow.ly/1SM1x ポート開くわ、ファイルはスキャンするわ、Webページは書き換えるわ、いろいろやるようです。


標的にされたのが問題ってのもあると思いますが、Windowsのせいにするんじゃなくて、お得意の技術で対抗すればいいのにとか思います。
ntsuji: GoogleがWindowsの利用中止?本当だとしたらそれは、対策として本質的じゃない気がします。標的型攻撃を受けたことがあるなら、脆弱性は、「OS」だけではなく「人」にもあったということが分かりそうなものなのですが。


1つのメールを処理する時間をちょっとだけ増やしてチェックすればいいのでしょうか。
ntsuji: 「めっちゃ気をつける」ってのも大切なんですよね。 「メールの“違和感”に注目すべし、IPAが標的型攻撃を解説」http://www.itmedia.co.jp/enterprise/articles/1006/02/news071.html


Facebookはいろいろ大変だなあ。これは関係ないと思いますが、昨日3万人が退会したんでしたっけ。
yohgaki: Facebookにクリックジャッキング攻撃 http://ow.ly/1SLxg


Hakin9 Magazineの最新号です。こういうのを読むとiPhoneジェイルブレイクしたくなるのですが、失敗が怖くてなかなか手を出せません。
yumano: #atode 読む Hakin9 Magazine Is DDoS still a threat ? http://hakin9.org/magazine/1112-is-ddos-still-a-threat


意外とありがちな、ページが消えるセキュリティ対策ですね。
kinugawamasato: mixiのXSSなおった、っていうかフォト機能がリニューアルしてページが消えた。 http://f.hatena.ne.jp/masatokinugawa/20100602174654



凛子や愛花もバイナリいじられて、あんなことやこんなことをされたりしてるのでしょうか。むしろそっちのセキュリティの方が大切ですね。そうですね。
aido_hpf: もはや日本のセキュリティはオワタと実感しているので、俺はプラプラスに生きることにしただよ。



とりあえず原稿を最後まで書くってことが大切ですので、まずは書くことを頑張ってください。そういや某社ではじめて校正を読んだ原稿がなぜか高木先生のもので、ちゃんと原稿書いてるってびっくりした記憶があります。
ockeghem: セキュmemo様から『高木先生の二の舞にならないことを祈ります』とのご忠告(エール?)を頂戴しました。http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20100602__ockeghem



セキュリティ業界もこういう飲み会でいろいろ漏れてしまったり隙を見せたりしているのかもしれませんね。ぼくも恥ずかしい写真とか撮りたいので連れてってください。
laccotv: 遅くなりましたがLACCOTV第15回を公開。「川口と愉快な仲間たちの夜のつぶやき!」今回は問題作。http://www.youtube.com/watch?v=CITS-5iVGHM

テーマ : セキュリティ
ジャンル : コンピュータ

6月1日のtwitterセキュリティクラスタ

6月になって、なぜか徐々に忙しくなってきました。仕事ってどうして重なるんでしょうね。それはどうでもいいとして、今日もセキュリティクラスタの方々は淡々と仕事に励まれていたようで、若干おとなしめです。

ネットエージェント10周年記念ということで、Winnyネットワークもそれを祝うかのように活発になってます。
HiromitsuTakagi: Winnyネットワーク観測システムが再び異常を検出。24時間の累積ノード数で、8万ノードが急増。接続成功率が急降下。ランダムIPアドレス観測。


そして、昨日の講演につきましては、togetterにまとめておきましたのでどうぞ。



はてなのXSSがなくなったそうです。指摘されてたはてなの@jkondoさん、がんばったのでしょうか。
kinugawamasato: これなおったね。 http://twitter.com/kinugawamasato/status/14843716515 ひとまずこれではてなのXSSストックがなくなった。


スーパーエンジニアの話。セキュリティの知識がないといくらスーパーな人でも脆弱性はほったらかしだったりするんですかね。
ockeghem: 昔、公開直前のサイトを診断したところ、XSSとか山のように出てきたことがあった。報告会の席で、謎のベトナム人が「そんなもの直す必要があるのか」みたいな顔で聞いていたし、量的にもとても公開までに直せないだろうと思ったけど、そのベトナム人一晩で直しちゃった。あれは凄かった



芸能人でも容赦なし。まあ、悪いのは管理してる人なんでしょうけど。
ymzkei5: ■NON STYLE 井上裕介さんの個人ページ「Gumblar.8080」改ざん - 無題なブログ - Yahoo!ブログ http://blogs.yahoo.co.jp/noooo_spam/59934681.html



忘れたパスワードを見つける8ツール。こういうのって他人のを探すよりも断然自分のパスワードを探す機会が多い私は記憶力が脆弱なんでしょうか。
Flipbooks: 8 Free #Tools To Recover Your Lost Password Stored In Popular Applications http://is.gd/51Mn9 #Security #Useful!


今回も無事出るみたいです。密かに私も書かせていただいてます。
ucq: 無事に出るのか RT @connect24h: もうすぐでる。RT @ssshinkan82: [新刊発見] 2010-06-08 Hacker Japan (ハッカー ジャパン)2010年 07月号 [雑誌] http://bit.ly/bHfzPK



引き続きDPIについて、高木先生のコメントを。通信の秘密とかプライバシーとかどう考えているのでしょう。
HiromitsuTakagi: DPI広告実施ISP事業者の同意を求める利用者への説明に真実でない記述が含まれていて、その記述は故意によるものではなかった場合、刑事訴追できるのだろうか。発覚したときに「間違えました」と言えばそれで終わりなのか。

HiromitsuTakagi: 説明に誤りがあった時点でそれまでの同意は無効になるが、無効だった期間に行われた通信傍受は、電気通信事業者の取扱中に係る通信の秘密が侵されたことになるが、その傍受行為に対して刑事責任は問えないのだろうか。

SASSER15: DPIの件。よくネット業界が待ち望んでいるという書き方をされている記事を見るのだが、どちらかというと待ち望んでいるのは広告業界では?そこからお金をもらいたい、という意味ではネット業界も欲しい技術ではあるのだろうけど

HiromitsuTakagi: しかし、事業者からのパブコメ提出意見によると、OCNとNiftyとSo-netはやる気満々のようですよ。@SASSER15

HiromitsuTakagi: OCN提出意見「行動ターゲティング広告に利用するためのDPI技術による通信情報の取得については、「例えば(中略)同意する旨の項目を契約書に設けて、明示的に確認すること等の方法を行う必要がある」ということですが、ライフログ取得に関して利用者にわかりやすく説明することを前提に、…

HiromitsuTakagi: (続き)…ことを前提に、個人向けのサービスの申し込み形態として利用度が高い「オンライン・サインアップ」等も同意取得の有効な手段の例示として追記されると利用者にもわかりやすいと考えます。」(OCN提出意見)

HiromitsuTakagi: 説明の誤りが発覚したとき、それまでに同意した利用者を当該ISPはどう扱うのか。一旦、全員未同意状態にリセットして再度同意を求めるのがスジだろうが、それが行われない予感がする。その場合、有効な同意でなくなったのを知りながら通信傍受を続けることになるので、刑事訴追できるのではないか。

HiromitsuTakagi: Nifty提出意見「ディープ・パケット・インスペクション技術の活用は、「行動ターゲティング広告」という新たなビジネスの可能性があり、通信の秘密の保護、個人情報の保護及びプライバシーの保護に関する課題など提言案にある配慮を考慮しなから、利用者に十分な理解を求めた上で実現の可能性を…

HiromitsuTakagi: (続き)可能性を模索していくことが新産業育成の観点からも重要であると考えております。」(Nifty提出意見)

HiromitsuTakagi: So-net提出意見「ライフログサービスは利用者に新たな価値を提供するサービスであり、新たな産業創造の可能性がある。事業者としてその可能性に大いに期待している。 DPIなどの個別のログ取得手法にはプライバシー保護や通信の秘密などの課題はあるが、提言案に示されたような配慮原則に基…

HiromitsuTakagi: (続き)…配慮原則に基づき、利用者の十分な理解の下に進めれば問題はないだろうと考える。」(So-net提出意見)

HiromitsuTakagi: So-netは提言案の意味すら読み違えているようだけど大丈夫か?提言の配慮原則に基づいて進めれば問題ないと言うけど、この「配慮原則」というのは、オプトアウトでOKとする従来の行動ターゲティング広告についての話であって、DPIのことは含んでいない。

HiromitsuTakagi: コメント欄 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2010/05/dpiiinspection-.html


通信の秘密っていったいどうなっちゃうんでしょうね。
bugbird: 古典的な通信事業従事者の合い言葉は「秘密は墓まで持って行け」だった。DPI はそれを破戒するということ。だから、通信事業者の長があんな軽薄な事を言うべきではなかった




5月31日のtwitterセキュリティクラスタ

いよいよ6月になってしまいましたが、相変わらず涼しいです。地球温暖化ってどうなったんでしょうね。


ネットエージェント10周年記念パーティは今日ですか。さすがパケットブラックホールの会社だけあって言うことが違います。
lumin: @hasegawayosuke パケットキャプチャしている人は自動的に録画できるじゃないの? RT 明日の講演のustream中継は、録画もするんでしたっけ?

hasegawayosuke: @lumin ustream側で録画してるとパケットキャプチャしてない人でもうれしいですね!



ライブドアに脆弱性の報告を行うと1万5000円もらえるみたいなので、みんなで見つければいいと思いますが、仕事でやってる人って日給換算するとそれくらいはもらってんですよね。
kinugawamasato: malaさんにお礼の日記書きました! http://d.hatena.ne.jp/masatokinugawa/20100529/thx_mala

bakera: [メモ] これはいろいろな問題をはらんでいますね……。 http://d.hatena.ne.jp/masatokinugawa/20100529/thx_mala

ymzkei5: メモ。脆弱性報告→お礼という流れ。 RT @bakera: [メモ] これはいろいろな問題をはらんでいますね……。http://d.hatena.ne.jp/masatokinugawa/20100529/thx_mala



脆弱性診断についてのあれこれ。本職の人たちのリアルな会話が、ただのウォッチャーである私にも、セキュリティ診断業界の光と闇を感じさせてくれます(大げさ)。実際どんな調査が行われているのか取材してみたいんですけどねえ。
ockeghem: 昔の診断屋は、脆弱性が見つからない時はプライドにかけて秘技を繰り出してなんとか脆弱性を見つけようとしたものだが、イマドキの促成栽培された診断屋はそんなことしないのかな(体験者の感想です。効果には個人差があります)

bakera: @ockeghem それが「Server: フィールドにバージョンが出ている」とかいう「脆弱性」につながるのでしょうか……。

ockeghem: そういうのは「秘技」に値しませんが、診断屋はよくやりますね。OPTIONSを許容しているとか…もっとすごいのもあるけどないしょw RT @bakera: @ockeghem それが「Server: フィールドにバージョンが出ている」とかいう「脆弱性」につながるのでしょうか……。

ockeghem: .@umq 本来、診断のレギュレーションが明確であれば、秘技は必要ないと思います。レギュレーションが公開されているのは「ウェブ健康診断」くらいではないでしょうか?

ymzkei5: 「Apache Running」とかですね、わかりますw RT @ockeghem: そういうのは「秘技」に値しませんが、診断屋はよくやりますね。OPTIONSを許容しているとか…もっとすごいのもあるけどないしょw RT @bakera

hasegawayosuke: 秘技売ります。値段要相談。

ymzkei5: もしも報告書に載せるにしても「Vulnerability」と「Information」で分けると思いますけどねぇ。 RT @ockeghem: OPTIONSを許容しているとか… RT @bakera: 「Server: フィールドにバージョンが出ている」とかいう「脆弱性」…

ymzkei5: 最近はメニューが細分化されていますから、お安いほうのメニューでは割り切ってやっているかとw RT @ockeghem: 昔の診断屋は、脆弱性が見つからない時はプライドにかけて秘技を繰り出してなんとか脆弱性を見つけようとしたものだが、イマドキの診断屋はそんなことしないのかな

umq: @ockeghem レギュレーションがきっちりしてないビジネスって、いびつですね

ockeghem: .@umq 買ってみるまで中身が分からない、1回目はよくても2回目もよいとは限らない、ということがまかり通ってますからね。なんとかしたいとは思うわけですが

bakera: @ockeghem @umq @ymzkei5 発注側(?)としては、何を基準にして脆弱性診断の業者選定をしたら良いのかが良く分からないです。値段の違いや実績で選ぶことはできるのですが、内容の違いは分かりにくく……。

ockeghem: .@bakera 基準はある程度作れるのですが、中身を埋めるのが難しいですね。自己申告になるとか、相対比較が難しいとか…脆弱性診断業者選びのコンサルティングとか前から構想していますが、需要がよめないです

MasafumiNegishi: 脆弱性診断はよくも悪くも診断を実施する人に依存するサービス。昔からツールが進化した今でもそこは変わっていない。平準化とか作業の標準化なんて幻想だが、ユーザには伝わっていない。ユーザだけじゃないかww ただし、判断基準は示すべきだし、それはできるはず。できてないけど。



制御システムセキュリティだそうで、このあたりの分野はこれまでセキュリティとかあんまり考えられていない気がしますが、気のせいでしょうか。攻撃とかされなさそうですしね。
lac_security: JPCERT/CCさんから制御システムセキュリティ関連の資料が公開されていますね。(^む)  http://www.jpcert.or.jp/ics/information02.html



国際化電子メールアドレスですか。制御文字とか埋め込まれると大変なことになりそうです。
hasegawayosuke: |┃≡⊂( ・∀・) ガラッ 呼ばれたと聞いて。@ando_Tw: 国際化電子メールアドレス?EAI。ローカルパートも国際化、ヘッダもUTF8直埋め込み? ハセガワヨウスケ君(仮名)の出番か!? DKIM壊れるけどいいのかよ? SMTP下位互換? 委員会でも筋悪すぎという意見。



OpenVASとNessusの結果の違いだそうです。
vulcain: 今日の懇親会で触れたOpenVASとNessusの比較資料(約1年前の物) http://bit.ly/cnXsHK #matcha445

vulcain: http://security.lss.hr/en/Services/openvas.html で公開されていたものだけど、新しい脆弱性にはOpenVASって結果 #matcha445



週末、新聞の一面に出たらしいDPIについて。ISPが流れるパケットを見て行動ターゲッティングですか。意見はたくさん出ていたのですが、多すぎるので高木先生のものだけ。
masanork: DPIのロビイングしていた人々は「個別同意は不要、政府がガイドライン整備、通常の行動ターゲティングと同様のオプトアウト」を望んでた模様。それに対しWGは「個別同意は必要、政府はガイドラインを作らず」としたのに「総務省容認」と書かれる訳で

HiromitsuTakagi: DPI広告の件だけど、家族で回線を共有してるから云々という声があるけど、調べてみると、利用者の嗜好はブラウザ単位で(おそらくcookieで識別して)蓄積されるみたい。ということは逆に、利用者の完全な同意をとるには家族全員の同意をとる必要があり、それしなければ違法だよね。

HiromitsuTakagi: さっきの話。ブラウザ単位で制御するなら、ブラウザごとに個別の同意をとればOKということになるのかもしれないが、オプトインでないと違法だから、cookieが消える毎に再度の同意処理が必要になると思われ、さすがにそれだと利用者が減っちゃうから、回線単位での同意にしたがるはず。

HiromitsuTakagi: DPI広告の実現方法、同意した顧客の通信と不同意の顧客の通信の判別をどうやってやるのか。 DPIで判別したら不同意顧客の通信を傍受することになるので違法。それとも正当業務行為? 顧客ごとにルーティングを分けるのが正しいだろうが、ブラウザ単位の同意の場合、DPIしないと分けられない。

HiromitsuTakagi: というわけでやはり、家族全員の「有効な同意」を得ないと違法じゃないだろうか。

HiromitsuTakagi: DPI広告は、URLではなくペイロードを見るようですよ。少なくともPhormの場合。(日本で導入されようとしているものがPhormかはわかりませんが。) QT @masanork 今回の報告書でいうとDPIで参照するURLはHTTP層としてはペイロードではなくヘッダに当たり…

HiromitsuTakagi: @masanork ページ内の文字列から嗜好を分析すると、Phorm社の仕組み説明に書かれています。 http://www.phorm.com/isps/personalised_advertising/how_it_works.html

HiromitsuTakagi: @masanork Gmailの場合は、AdSense同様に、ブラウザ上で処理が完結しているから問題が小さい(相対的に)のだと思います。ブラウザプラグインを入れたのと同じことをJavaScript上で実現したのが画期的だったわけで。

HiromitsuTakagi: ええ?そんな要望が通ると思うISPがあるとすれば驚愕。そんなISPは日ごろから何をしてるかわかったものではないですね。 @masanork DPIのロビイングしていた人々は「個別同意は不要、政府がガイドライン整備、通常の行動ターゲティングと同様のオプトアウト」を望んでた模様。…


そして、DPIをやろうとしている側の言い分。セキュリティ対策ですか?
shunmomo: 30日朝日朝刊1面トップ記事、(いつものことだけど)なかなか言ったことをチャント書いてくれないのは辛いナァ...ネット犯罪がひどくなる中で、健全なインターネット発展のためにも、1.セキュリティ対策としてのDPIと、2.利用者権利重視としてのオプト・インの重要性を言ったのにナ!


他の人のツイートについては

http://togetter.com/li/25443
http://togetter.com/li/25334

などを参照すればいいかと思います。

これを機会にAnonymizerとかTorを真剣に使う機会を考えた方いいのかもと思ったのですが、現状でもgoogleには明け渡しているようなもので、そっちについても考えにゃならんなあと思う次第です。
gohsuket: Anonymizer.comは健在。Lanceと話して日本展開すっかな? RT @_nat: しかしDPI本気でやられそうになってきたらISPの向こう側にSSLのproxy建ててISPに読み取られないようにするなどと言うことも真面目に考えなきゃいけなくなるんでしょうね #dpi



ちょっと興味ありますが、個人ではなかなかクラウドは使わないので。実際問題、クラウドって使う側よりも使わせたい業者や広告がほしいマスコミが騒いでるだけのような気がするのですが、どうなんでしょうね。
_kana: 6/8火午後2時よりCSA JC(クラウドセキュリティアライアンス日本支部)のキックオフセミナーやります。事前登録&無料セミナーですので興味ある方はぜひ。http://j.mp/dD3dqV



実はページランクを上げるためにリンクした疑惑ですか…
yumano: ああ、ページランク・・・ RT @rocaz: 経産省が利用された特撮.comからリンクされページランクが流れていたと思われるサイト集1 : http://bit.ly/dwv9yw http://bit.ly/dc3Zdt http://bit.ly/9rGziD



選挙を乗っ取って国をハックすればやりたい放題ですものね。わかります。
ymzkei5: ■インドの投票システムで不正に対する脆弱性が明らかに : ネット選挙ドットコム http://www.net--election.com/news_wPdTBeAkn.html

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
06-2010
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 - - -

05   07

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。