スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

8月30日のtwitterセキュリティクラスタ

セキュリティクラスタは元気なさげです。残暑にやられたのか、Kindle3が届いてそっちに夢中なのか、借りてきたネコが先住猫と仲良くできなくて大変なのか、原稿が忙しくて大変なのか、仕事しすぎて肩こりがひどいのか、そんなかんじなんでしょうか。全部俺のことやがな!


マカフィーって買収されたらもうちょっとまともにマルウェア見つけてくれるようになるんですかね。ウイルスバスターはどうしちゃったんでしょうか。バスターできなかったのでしょうか。
risa_ozaki: AVーTestが総合的な製品評価テストを実施 マカフィーとトレンドマイクロが失格 http://antivirus-news.net/2010/08/avtest-1.html



よく考えるとキーが同じでも暗号化方式を変えるだけで再設定が必要なので、会社だと稟議通すのが実は大変だったりして、WEPのまま残っているところが多かったりするのでしょうね。
kensukesan: ブログを更新 - もしかしたら、802.11b+WEP+802.1xを駆逐できるか? http://www.famm.jp/wireless/modules/weblog/details.php?blog_id=333



会社でそれをやると一斉に忘れる人が出てくるわけですね。
F0ro: 情報セキュリティの日に国民全員が自分のパスワードを一斉変更するってのはとてもユニークなアイデアだと思う

MasafumiNegishi: 変更しないと強制的にロックしちゃうとかw RT @F0ro: 情報セキュリティの日に国民全員が自分のパスワードを一斉変更するってのはとてもユニークなアイデアだと思う



XOOPSって結構使っているところが多いのになあとか思ったら、最新バージョンは2.4.5だったりするのですね。ふるっ。
packet_storm: XOOPS 2.0.14 SQL Injection http://packetstormsecurity.org/filedesc/xoops2014-sql.txt.html



原稿の締め切りっていつだったっけ… まだまだ先だったはず…
harusanda: さて、原稿は残り2ページ。進行号はムック(A4)なので字数が多く、今回ちょっと時間がかかってしまった。それでも締切2週間前に出すおれえらい。



Adobeの製品は印刷環境とかの問題で最新バージョンをあえて使わないことがほとんどだったりしますので、セキュリティを考えるとネットから切り離して使うことが重要ですね(キリッ 関係ないですが、昔のAdobeソフトってAppleTalkで通信してて、同じシリアルの製品がネットワークで2つ使われてたら片方が使えなくなってすごいなあと思ってました。インターネットでやれば面白いけど、トラフィックが半端ねえんでしょうな。
yumano: セキュリティ入門を書くときに一番困るもの。adobeの商用ソフトウェア。最新版を使ってくださいと言って、アップデートさせるのは無理。コスト高。業務PCから切り離して利用をお勧めするのが妥当な落とし所だと思うけど、どうだろ?
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

8月27日のtwitterセキュリティクラスタ

Kindleがもうすぐ届くようなのですが、読む本がありません。しばらくはpdfリーダーとして過ごすことになるのですね。きっと。

Cookieのセキュリティのお話。結局平文だと盗聴されるとアレだから、気になるならSecureオプション付けようぜとかいうしかないんですかね。
ockeghem: Cookieに生データを格納することは好ましくない、みたいな説明をして、いざ理由を書こうとすると、明快に書けない…

hebikuzure: 生のままネットワークに流れるから、じゃないの QT @ockeghem: Cookieに生データを格納することは好ましくない、みたいな説明をして、いざ理由を書こうとすると、明快に書けない…

tomoki0sanaki: URLEncode/URLDecode ではまる。セキュリティじゃないじゃん...orz RT @ockeghem Cookieに生データを格納することは好ましくない・・・

ockeghem: .@hebikuzure hiddenに生データを格納してよくて、Cookieはよくないという理由が難しいです。容量制限とか、ごちゃごちゃになりやすいとかは書けますが、すっきりしないという

hebikuzure: . @ockeghem hidden も最近はあまり使うな的な言われ方が多くないですか??

ockeghem: .@hebikuzure POSTのhiddenが一番安全だと思いますけどね。セッション変数に入れちゃうと、セッション固定で盗まれるとか、かえってややこしいです



ログの解析時間が平均約5分の1だそうです。これまで使ってなかった人もぜひ使ってみましょう。
lac_security: IPAさんから「ウェブサイト攻撃の検出ツール『iLogScanner』の性能向上版」がでています。(^わ) http://www.ipa.go.jp/about/press/20100827.html



セキュアなプログラムを意識されててもやはりなくならないんですかね。単純にはいかないようです。
hasegawayosuke: サイボウズOfficeのXSSか。 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/08.html#20100827_cybozu



これを読んで理解できた人が業者を選定すると安心だというわけですね…
msaitotypeR: 日本セキュリティオペレーション事業者協議会(ISOG-J)のマネージドセキュリティサービス選定ガイドラインが公開されました! ISOG-J http://bit.ly/9OQmrs ガイドライン http://bit.ly/9YZgYb



キーが抜かれるわけじゃなくDoSされるということで。
kensukesan: [spcamp-BOF2][WLAN-TKIP-DoS] マイコミジャーナルの記事についてコメントを記載 http://tinyurl.com/2v6u9yn #spcamp [TWNv950]


テーマ : セキュリティ
ジャンル : コンピュータ

8月26日のtwitterセキュリティクラスタ

もうすぐ九月だというのに暑かったり、忙しかったり、猫がやってきたりでいろいろ大変です。twitterも相変わらずよく障害が出てますね。


Librahack関連で、面白い実験データが。LIKEって別に使ってもいいじゃない。
bakera: [メモ] あとで。http://www.nantoka.com/~kei/diary/?20100827S1 B!



そして、もう1つLibrahack関連。法律が守られていない運用が全国の図書館で行われているのが最近の問題みたいですね。
bulkneets: 国会図書館法の改正の条文とパンフレット読んだんだけどさ、法律で許可無く収集して良いことに決めたんだからそもそもrobots.txt見る必要性なんかないだろ。アホか。



確かに専門家じゃない人が書くことは、だいたい調べるか、手を動かせばそれなりに同じようなことは書けることなんですよね。問題はやるか、やらないか、というだけで。
kaito834: 帰り道、後輩からの僕のブログについて「あそこまで書けないっす」と教えてもらった。嬉しい限りだが、僕のブログについては調べれば誰でもたどり着ける。やるか、やらないかだ。

kaito834: 普段その分野を専門にしている方には、「いやいや、ここ間違っている」という意見がいただきたい。やはり、日曜大工ならむ、日曜調査の域を出ないものだと思う。



それに関連して、コピペブログはかんべんして欲しいなあとか思ったり。それ、時間の無駄だから。
togakushi: 技術的なことを勉強してるのはいいんだけど、ぐぐって出てくることをそのままやって、出来たと満足してそれで終わる。応用も出来なけりゃ、根っこの部分も理解していないのですぐ忘れる。本人はすぐに結果が出るので効率がいいと思ってるからタチが悪い。



とりあえず、千代田区1-1ということだからなのでしょうか。海外のその手のサービスって日本では基本的に大間違いな印象がありますが最近はどうなんでしょう。
bulkneets: IPアドレスから位置情報割り出すサービス、日本ってことしか分からない場合に皇居返したりするし、割と有名



資格って興味はあるけどお金がかかるうえに落ちるとすべて台無しですからねえ。なかなか簡単に受けに行けません。
ISACAJapan: CISA/CISM/CGEIT 試験の早期割引締切は8月27日(金)です. http://bit.ly/b8qTjx #isacajp



今のところまだ掲載されていませんが、楽しみです。そういや某えらい人の原稿もハードルが高くて… あ、人が来たみたい。
hasegawayosuke: 明日掲載予定の愛甲さんのブログ原稿がひどいw hexdump libc.so.6 | grep な結果をドン!と示して「ごらんの通り」みたいな書き方ww かつてないハードルの高さだ。


テーマ : セキュリティ
ジャンル : コンピュータ

8月25日のtwitterセキュリティクラスタ

夏休み明けは忙しくて困るなあとか、今頃思ってますが、すでにいつ夏休みだったか忘れ気味です。それにしても新しい攻撃がまだまだ出てきますよね。10年前にネタ切れとか言われていたのが懐かしいです。


自分のフォルダにPATH通すみたいなことをやっちゃってるんですか…
ntsuji: WindowsのDLL読み込みの欠陥により任意のコードが実行可能な脆弱性に関する検証レポート[PDF] 公開されてます。http://bit.ly/9KRSyv

ntsuji: レポート中には記載されてませんが、検証で利用したのはFirefox経由です。 RT @ntsuji: WindowsのDLL読み込みの欠陥により任意のコードが実行可能な脆弱性に関する検証レポート[PDF] 公開されてます。http://bit.ly/9KRSyv



JavaScriptとCSSをPNGファイルに含めて圧縮する方法だそうですよ。どうしてこんなことしようとするんでしょうかねえ。
masa141421356: 新しい攻撃手法も登場する気がする。http://journal.mycom.co.jp/articles/2010/08/25/js-and-css-in-png/index.html



暗号共有してるとパケット見放題なので、盗聴を気にするなら無線LANの暗号化形式よりは自力で暗号化した経路を作るのが得策だと思います。
ikutana: コンピュータセキュリティシンポジウムで提供されていた無線LANだけど、一回全く暗号化かかってなかったことがあった。 まあ、WEPは無意味だし、WPA-TKIPだって解かれちゃうんだが。そういう割り切りもありかと逆に感心した。 こういう時のために自宅にVPNあると良いよね。



生粋のXSSerってw。そういや今http://utf-8.jp/にアクセスできないのはXSSが関係あるのでしょうか。
hasegawayosuke: キャンプのCTFで出したXSS問題を生粋のXSSerな人に見てもらったら、難易度高すぎと言われた件。

yumano: お~、キャンプの XSS問題! http://d.hatena.ne.jp/hasegawayosuke/20100825/p1



PHPが危険といわれているのは、言語と言うよりは関わってる人の質に問題があるのかもしれないと思っているのですが、どうなんですかねえ。
scannetsecurity: 国内初となるPHPに特化したセキュアプログラミング教育コースを開設(SST): http://url4.eu/71Vqd



レンサバのphpMyAdminとか代えられないところとか意外とあって、大変そうだなあと思いますが、使われている脆弱性は古いのですね。
scannetsecurity: phpMyAdminの脆弱性を悪用する新手のSSHブルートフォースツールを確認(NRIセキュア): http://url4.eu/71Vqb



最近WireSharkの原稿を書いているので参加したいのですが、あいにくその日は東京にいない予定で。
hebikuzure: ネットワーク パケットを読む会(仮) 第2回、好評につき定員を拡大しました。現時点でキャンセル待ちの方は全員参加可能です。http://bit.ly/dDxBY7



発表していないと、セキュリティ会社が落とされてるm9(^Д^)プギャーとなってしまうのでしょうね。
ymzkei5: 8月27日(金) 21:00~24:00 にアクセスが出来なくても、DDoSに陥落したわけじゃありません、とw >■LACホームページの一時停止について http://www.lac.co.jp/news/news20100825.html



YouTubeでつぶやいてる人はtwitterには出てこないのですか?
lac_security: 川口洋のつぶやき 第31回 「iPhone/iPadのiOSをアップデートしよう」(^ま) http://www.youtube.com/watch?v=18SCqHL_PQE



たしかにー。業界の隅っこの方にいた私の記憶によると、そのへんは情報提供側の発表をそのまま垂れ流しているだけだと思いますよ。
ntsuji: 「○○に深刻な脆弱性」とメディアでよく見かけますがどういう基準で「深刻」しているのでしょう?

テーマ : セキュリティ
ジャンル : コンピュータ

8月21~24日のtwitterセキュリティクラスタ

新たな脆弱性というか手法というかがいくつか発表されていますね。

Javaを使うって感じなのでしょうか。
hasegawayosuke: これ、オープンリダイレクタがあればXSSなくてもCookie奪えるってことか。あとで試してみよう。 http://sla.ckers.org/forum/read.php?2,35422,page=1#msg-35454


最近セキュリティじゃない方向で話題だったmemcachedはインジェクションできたりするんですね。こえー。
nakamurasousuke: memcachedでもインジェクションできちゃったりするのかー。 http://gihyo.jp/dev/feature/01/memcached_advanced/0002?page=2


これは今発売中のハッカージャパンでも同じ人によって解説されていましたね。
rsac_japan2010: IEEE 802.11eの脆弱性を突いてQoS偽造攻撃を行うことで攻撃が成立、WPA-AESへの移行を。【レポート】7分でほぼ全無線LAN機器を攻撃可能! - 森井教授がWPA-TKIPの脆弱性を解説 http://ow.ly/2tKAz


短縮URLって相変わらず今ひとつ信用できませんね。
kinugawamasato: t.co、webから見るとURLが一部展開されるんだけどこんな具合にするとリダイレクト先を偽装できてしまうようだ。 → http://t.co/QyJcjn6?http://t.co/tbHSmu



略語とか用語とかって1人が反対したところでどうにかなるものではないと思いますが、どうでしょう。そういや私のところにも某編集部にも「ハッカーは間違いクラッカーにしろ」メールが届いたりしたものですが、すっかりいなくなりましたね。
ockeghem: Web Application Firewallの略称をWAFとするのは、Web Application Frameworkとかぶるからやめろ」→じゃ何と略せば? @ymzkei5: 「クロスサイトスクリプティングの略称をCSSとするのは、スタイルシートとかぶってるからやめろ」

ikepyon: WAFWと言うのはどうですか?両方同じ略語になるからダメ?w RT: @ockeghem: 「Web Application Firewallの略称をWAFとするのは、Web Application Frameworkとかぶるからやめろ」→じゃ何と略せば?

ockeghem: .@ikepyon Frameworkの方はWAK、Firewallの方はWALとか。今後は、ワフじゃなくて、ワルと呼ぼうぜw

ockeghem: じっさい、WAFは文脈見ないと、どっちを指すのか分からない

ymzkei5: まぁ、ファイアウォールがFWですし、WAFWですかね?(←やだw)(わっふるわっふる  RT @ockeghem: 「Web Application Firewallの略称をWAFとするのは、Web Application Frameworkとかぶるからやめろ」→じゃ何と略せば?




Appleって被害者に冷たい印象がありますがどうなのでしょうか。
TechCrunchJAPAN: iTunesストアに警報―PayPalアカウントを通じて大金を盗まれた被害者続出 http://bit.ly/9qb4EU by @erickschonfeld 翻訳 @namekawa01



librahackは新たなまとめが発表されたり、SQLの彼亡き後、新たなる刺客が現れたりとまだまだずいぶん元気ですね。
yhitme: “@danateaa: よく分かるまとめ 「岡崎図書館HP大量アクセス事件について」 http://bit.ly/a1STiH RT @hisa_kami: この事件はひどいなあ。 http://bit.ly/b1W6Z7” @myen



これまでいくつかの会社でお世話になっていますが、僕の上司はずっと女性(心は女性含む)だったなあとか。珍しいですよね。
gohsuket: 今日でしたか RT @powhei: さすがに女子多し!@女子BoF #secuko



そういやまだ戦争中なんでしたっけ。
hiropooh: おお、アカウントあったんだね! QT @computerworldjp 韓国政府、北朝鮮のTwitterアカウントをブロック http://bit.ly/cAi4Vq

swim_taiyaki: 今もおフランス経由でアクセスしてるのかな?北の家族の国は。 QT @hiropooh: おお、アカウントあったんだね! QT @computerworldjp 韓国政府、北朝鮮のTwitterアカウントをブロック http://bit.ly/cAi4Vq

ockeghem: どんな手法でブロックしたんでしょうね RT @tessy_jp: RT @fkoji: 韓国政府、北朝鮮のTwitterアカウントをブロック : IT業界動向 - Computerworld.jp http://htn.to/mXYHZH



ほんまかいな。
risa_ozaki: 2年前のスパンエアーJK5022便離陸失敗事故の一因にマルウェア感染との報道。 http://www.msnbc.msn.com/id/38790670/ns/technology_and_science-security via @yarai1978



技術者でもなく英語もわかりません><
dry2: 知り合いが、とある外資系セキュリティ会社(マルウェア対策系)の社長をやるのですが、技術者を一人探しています。英語のメールの読み書きが出来て技術サポートが出来ればいいと思うのですが。

テーマ : セキュリティ
ジャンル : コンピュータ

8月20日のtwitterセキュリティクラスタ

ずっと密室にいたのでTLも見落とし気味です。忙しいって大変ですね。


最近あまり使ってないのですが、mixiはこうやって使えばいいのですね。友達のみ公開とかできますし。
tokuhirom: 僕は、DoS ツールは mixi で友達のみに公開でアップする程度に慎重派です!



librahackはついに朝日にまで取り上げられたみたいです。
Vipper_The_NEET: 朝日オンラインで記事出ました http://www.asahi.com/national/update/0820/NGY201008200021.html #librahack



起動していきなり再起動とかイライラしますよね。
jpcert: おはようございます。Adobe Systems社からAdobe Acrobat/Readerの更新プログラムが公開されました。更新しましょう! ^YK https://www.jpcert.or.jp/at/2010/at100022.txt

yarai1978: Adobeの日です。 http://www.adobe.com/support/security/bulletins/apsb10-17.html



まだWinny使ってる人いるんですね。やはり時代はBitTorrent?
jpcert: 海外で攻撃手法が発表されたことなどを受け、Winnyの脆弱性を新たに4件公開しました。 Winnyの利用は控えてください。 ^KK http://jvn.jp/jp/JVN91740962/index.html



それって素敵やん。
ucq: ユーザ名:Administrator パスワード:user はどうかと思うんだ。

テーマ : セキュリティ
ジャンル : コンピュータ

8月19日のtwitterセキュリティクラスタ

多忙です。困ったものです。

ハッカージャパン9月号絶賛発売中ですよ。Hack in the Cafe行きたいなあ。なんか遠かった気がするのですが。
decoyservice: 白夜書房(@byakuya_shobo)HJ 編集部殿より、HJ誌最新号とハッキングの達人をいただきました。ありがとうございます。ばりかた勉強会にて参加者プレゼントとさせていただきます。 #barikata

decoyservice: っていうか、HJ誌最新号はもう発売されていたのか。気が付かなかった

prettyelmo_: おいおい!RT @decoyservice っていうか、HJ誌最新号はもう発売されていたのか。気が付かなかった

decoyservice: うっ RT @prettyelmo_: おいおい!RT @decoyservice っていうか、HJ誌最新号はもう発売されていたのか。気が付かなかった

decoyservice: のようですね。またHack in the Cafeしないと。 #hackinthecafe RT @lupinkouyama: @decoyservice 今号は無線LANですよー! RT っていうか、HJ誌最新号はもう発売されていたのか。気が付かなかった



このところコンピュータも誤動作する暑さですが、今朝はちょっと涼しげな感じです。昼になるとまた暑くなったりするのでしょうか。
ucq: 熱くてxssがとおりません



はてなちょっといい話。相変わらずヌルいかんじですね。
kinugawamasato: はてなから「別のXSS脆弱性のお問い合わせと間違えて修正完了のメールを送信しておりました。申し訳ございません。」ってきた。 この件→http://twitter.com/kinugawamasato/status/21394712349 おっちょこちょいだ…



もう始まってるよ!
ripjyr: I'm reading now:atnder: 10時から「DefConCTFの予選に出場するためのチームメンバー募集」(ネスト赤羽2階会議室)が始まるよ http://bit.ly/dfW95K 今日だよ!



php?code=で検索すればワラワラと沸いて出てくるのかなあ。あぶなっかしいですね。
ripjyr: I'm reading now:ラック、ECサイトを標的とした新たな攻撃に注意喚起 http://internet.watch.impress.co.jp/docs/news/20100819_387971.html?ref=rss



これは楽しみです。その前にKindle2を予約してしまいましたが。
Murashima: Chrome OS搭載のHTC製タブレットが11月下旬に登場か : UMPC/ネットブック - Computerworld.jp http://goo.gl/CaIe



そしてiPhoneの方は新バージョンに早速対応したJailBreakが出ているようです。無線機の受信改造を思い出すお手軽さですね。
tessy_jp: 非公式だけど出たみたい。RT @KMJBT [Jailbreak]iPhone3GS iOS4.0.2 Jailbreak with PwnageTool! http://bit.ly/aJDJlG



メモメモ。ちゃんと使えるのかなあ。
kikuzou: rebind - DNS Rebinding Tool http://bit.ly/9vN22Q



国が無料でウイルススキャナとか配れば良いんじゃね?とか思いましたが民業圧迫とかいわれるのかなあ。
jpcert: こんにちは。 サイバークリーンセンターのボット駆除ツール「CCCクリーナー」がアップデートされました。^AM  Update:2010/08/18 17:40 https://www.ccc.go.jp/flow/index.html



児童ポルノを自動遮断ですか。キャッシュされるだけで逮捕されそうな世の中が近づいているようなので遮断されるのはありがたいですが、基準は難しいですよね。
ripjyr: I'm reading now:児童ポルノ遮断 試験的運用へ http://www3.nhk.or.jp/news/html/20100819/k10013437161000.html

テーマ : セキュリティ
ジャンル : コンピュータ

8月18日のtwitterセキュリティクラスタ

昨日までが暑すぎたから、今朝は涼しいような気がします。きっと気のせいなんでしょうけど。

やはりキャンプ疲れの人は多いのかもしれません。正常運行は来週からだったりするのでしょうか。
port139: キャンプ後遺症?なのか、仕事にぜんぜん気合いが入ってないのは気のせいということにしておこう。



そして、キャンプの感想が読みたい人はここから。
hasegawayosuke: キャンプ関連日記はこのへんにだいたい集まってるよ。 http://b.hatena.ne.jp/t/spcamp?sort=eid #spcamp



脆弱性には盆も正月もないんだなあと。
jpcert: こんにちは。Weekly Report 2010-08-18を公開しました。^YK https://www.jpcert.or.jp/wr/2010/wr103101.html



まだまだ盛り上がるlibrahackについて@Vipper_The_NEET氏がまとめwikiを作成されているようです。更新が楽しみですね。
Vipper_The_NEET: とりあえず今こんな感じ http://www26.atwiki.jp/librahack/pages/1.html 用語集以外はもらった情報ベースでとりあえず埋めた感じ。時系列は昼飯喰ってからぼちぼち書き始める。 #librahack



そして、このテーマで研究会が開催されるようです。robots.txt無視するロボットってもはや犯罪者扱いなんですかねえ。
port139: 一般の参加もOK RT 「ウェブアクセスの自動化と業務妨害について」 http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=257&continue=on



今週のアライ出しと、マルウェア解析本について。どことは言いませんが出版社に見せたいような優良進行で、うらやましい限りです。
ripjyr: ちょっwwww今週のアライ出し内輪ネタすぎるwwww http://journal.mycom.co.jp/column/itsecurity/043/index.html

tessy_jp: おたよりコーナー吹いたw そういえばマルウェア本の発売日は決まったんでしたっけ? RT @yarai1978: 今週のアライ出しです。みてね! http://journal.mycom.co.jp/column/itsecurity/043/index.html

yarai1978: @tessy_jp マルウェア解析本はいまのところ11月くらいになりそうです。

v_avenger: 「アナライジング・マルウェア」楽しみです! RT @yarai1978: @tessy_jp マルウェア解析本はいまのところ11月くらいになりそうです。

yumano: 楽しみです! RT @v_avenger: 「アナライジング・マルウェア」楽しみです! RT @yarai1978: @tessy_jp マルウェア解析本はいまのところ11月くらいになりそうです。

yarai1978: @v_avenger ありがとうございます。もうすぐ執筆自体は完了なんですけどね。

yarai1978: @yumano ありがとうございます。出版イベントがあるかもしれませんので、そちらもどうぞ。



オンラインパスクラッカーの話。ncrackは表現しづらいところですが、なんだか使いにくいですよね。オプションにくせがあるからかもしれませんが。
ntsuji: そろそろ、検査用VMに「medusa」導入を検討しますよ。

kaito834: @ntsuji 「medusa」を使うんですね。個人的な印象では「hydra」が使いやすいです。

ntsuji: @kaito834 今は「hydra」なんですけど「medusa」との比較をして導入するかどうかを検討しようかと思っています。「hydra」たまにこぼすときありますよねw

kaito834: @ntsuji なるほどー。Ncrack は使ったことありますか?少し気になりますw http://nmap.org/ncrack/

ntsuji: @kaito834 「ncrack」使ったことありますよー。あれは今後に期待って感じですね。あとオプションにクセがあるのでとっつきにくい印象がありますね。あと対応プロトコルがFTP, SSH, TELNET, HTTP(S), POP3(S)なのであと一声って感じです。

kaito834: @ntsuji まだ対応プロトコル自体は少ないんですね。Nmapと同じ開発者であれば、今後も開発がすすみそうですね!



HITB2010のCTFですが、今のところ参加希望はチームステゴマ2だけのようです。このままだと優勝決定ですね。
yoggy: 一番乗りみたいw http://bit.ly/criJKX RT @tessy_jp: 参加希望メール送信した。返信待ち

テーマ : セキュリティ
ジャンル : コンピュータ

8月17日のtwitterセキュリティクラスタ

引き続き夏休みを引きずっているようで、セキュリティクラスタは静かです。キャンプの疲れが出ている人もたくさんいるのではないでしょうか。


キャンプのレポートがちらほらでていますね。今年はCTFが充実していたみたいですが、問題の公表とかないんですかね。やっぱ、税金使ってますし…
yasulib: ネットエージェント official blog 「セキュリティ&プログラミングキャンプ2010に参加しました」 はせがわさん http://www.netagent-blog.jp/archives/51460319.html

tamiyata: CTFは出題側の皆さまがTwitter上でキャッキャいいながら問題作ってる様子が面白かったです。お疲れさまでした。/天才たちを受け入れられる企業は増えていくのか:三輪信雄「ここが変だよみんなの対策」 - http://bit.ly/9qkY5G



隠せるものが流行るとやっぱり犯罪者も隠したがりますね。こまった。
trendmicro_jp: [セキュリティ最前線]IM、短縮URL、SNSを組み合わせた攻撃について解説 http://jp.trendmicro.com/jp/threat/securityheadlines/article/20100816111135.html



ざっくり世界の最新事情がつかめるのでいいですね。海外ニュースはあまり日本には流れてきませんし。
trendmicro_jp: [インターネット・セキュリティ・ナレッジ]頻発に発生している「Webサイト改ざん」ほか、最新の脅威を画像付きで解説 http://is702.jp/column/775/partner/97_t/



ぼくもネット犯罪を監視するためにあんな画像やこんな動画を探す仕事がしたいです。もちろん証拠は保全させていただきますよ(キリッ
yumano: 面白い試み。 RT @itnow_jp: ネット犯罪 愛媛大、松山大の10人の学生が監視…愛媛県警「サイバーパト」委嘱 - 読売新聞 http://tinyurl.com/2u8wg6s



ユーザー名もしくはその他 local-part の最大長は64オクテットだそうですよ。
bakera: この人はいますぐRFC5321の4.5.3.1.1の記述を100回音読するべき。 http://gigazine.net/index.php?/news/comments/20100816_longest_email_address/



フォティーンフォティかと思いました。
twohno: ちょっとビックリした。CNET Japan - HP、セキュリティ企業フォーティファイ・ソフトウェアを買収へ http://bit.ly/aGNfjF



デモがあるとより一層怖さがわかりますね。JB怖い!ゲラッパ!
lac_security: 8月12日にリリースした注意喚起「アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して」ページに、動画デモ「スマートフォンに対するドライブバイダウンロード攻撃コンセプト・デモ」を追加しました。ぜひご覧ください。(^ま)http://bit.ly/bLysph


テーマ : セキュリティ
ジャンル : コンピュータ

8月16日のtwitterセキュリティクラスタ

酷暑の上に夏休みがまだ続いているらしく、セキュリティクラスタはおとなしめです。今日もちょっとだけ。

インターネット上のサービスにおけるプライバシーについての調査結果だそうです。どうしてEUとの比較なのかはよくわかりませんが、今のところ、そんなに気にしなくてもそれなりに安全な日本はやはり平和なのでしょうね。
ikuotaka: eIDとプライバシの報告書がやっと公開になりました。 納品した報告書よりブラッシュアップされて、その一方で、分析は、ちょっとマイルドになっています。 http://www.ipa.go.jp/security/economics/report/eid201008.html



自分の不案内な技術な場合は特に、技術書を読むと信じてしまいがちなのですが、最適なやり方は1つじゃなくて、しかも正しいとも限らないわけで、いろいろ考えさせられます。
ockeghem: 『プロになるためのWeb技術入門』をちびちび読んでいるけど、今までで一番気になったのはここ>『たいていの場合はPOSTメソッドを使った方がよいのですが、検索条件などほかの人に見られてもあまり問題がなく、かつパラメータごと保存できる方が便利な場合は、GETメソッドを使った方がよい』

ockeghem: @ockeghem セキュリティ屋としてはここかな『SQLでは「'」「--」といった文字が無害化の対象となるため、出力対象にあわせた処理を行う必要があります』って、「--」を無害化するとなると削除くらいしかないと思いますけど

ockeghem: ん、Amazonのレビューでは「プロになるためのWeb技術入門」が★五つで、「Webを支える技術」が★四つなのか。どう考えても逆だろう



やはりスマートフォンは攻撃され放題なのでしょうか。直接グローバル持つと大変なことになっているのでしょうね。
Murashima: 【注意喚起】アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して | LAC http://www.lac.co.jp/info/alert/alert20100812.html

eEye: Hacked smartphones pose military threat - Network World http://bit.ly/9wMiac


ああ、やっぱり。
tessy_jp: OpenSSHインストール&3G回線ONして10分後に最初のアクセスが来ました.>iOS4.01 : jailbreak(脱獄)メモ | MY IPHONE . JP http://bit.ly/ciZBZo



普段見られないようなマニアックなパケットを見て愛でたりするのでしょうか。想像つきませんが。
Hexa: ネットワーク パケットを読む会(仮) 第2回 - http://bit.ly/bu970g



次回こそキャンセル待ちから脱却したいところです。
ripjyr: 喪前、いい加減に「まっちゃ139」開催しやがれゴラァって声が聞こえてきた気がするので検討開始するか



とばっちりくらったのでしょうか。そして、時代はプライベートクラウドに… いや、それは…
tdaitoku: 今朝の朝日新聞2面にクラウド記事、米国で昨年、捜査当局がデータセンターの機材を押収し、顧客約50社がデータを使えなくなった件が気になる。

テーマ : セキュリティ
ジャンル : コンピュータ

8月15日のtwitterセキュリティクラスタ

夏休みも明けて一週間ぶりくらいの更新です。べ、別に、サボってたわけじゃ、ないんだからね!


世間がお盆休みの間にセキュリティ&プログラミングブートキャンプで日本の将来を担う強靱な若者が生産されていたようです。
kensukesan: 君たちは、今日、「キャンプ卒業生」の称号を手に入れる。(ドラクエのレベルアップの音(笑)) #spcamp [TWNv950]

kensukesan: それを[生かす]か[殺す]かは君たち次第。もしかしたら、数年後は、僕らの代わりに教壇の上に立っているかもしれないわけで・・・。 #spcamp [TWNv950]



キャンプでは意地悪な講師たちが問題を作成したCTFが行われていたようです。好評だった模様。選ばれた人たちは違いますなあ。
ucq: CTF系の問題をもっとやりたいって方はhttp://bit.ly/9E8ZkVらへんをやるといいかも。中でもHackThisSiteは有名だしおすすめ #spcamp

ucq: 今気づいた。HackThisSiteはWikipediaに載ってるのか http://bit.ly/8YliBL



そして、会場は「仕分け」されるらしく、今年限りだそうです。
uehiro: 今日をもって4年間、この時期にお世話になったOVTAで過ごすのは最後。次のオーナーが見つかることを切に願っております。



キャンプに参加していろいろ目覚めた人たちは、ここに書いてみるのも良いかもしれません。
ipusiron: WB51の原稿募集 http://bit.ly/96sFom



休みと関係なくまだまだ続くlibrahack。ついに議員さんが問題にしていましたが、どうなることやら。それにしても、利用者が外部からシステムの脆弱性を予想できても、サイト単体の脆弱性としてしか考えてもらえないのは、ちょっと違うような気もしますが、IPA的には会社間に首を突っ込めない弱虫なんですかねえ。
HiromitsuTakagi: 脆弱性届出制度で図書館システムの脆弱性を届けても製品の脆弱性として扱われない(サイトの脆弱性として扱われる)理由は、B2Bで閉じた製品だから。制度の根拠の経産省告示が適用範囲を「被害が不特定多数の者に」としているように、B2Bで解決しない問題への取組だから。 #librahack

HiromitsuTakagi: たとえば、社内だけで使われている製品は制度の対象外だし、製品の提供先が限定的で製品開発者によって完全に掌握されている場合も対象外。JVNでの公表の必要性がないから。B2Bでは当事者間の問題であり、公的に介入する理屈が立たない。(一方、B2Cではそうでない。) #librahack



URL晒せばいいと思いますよw
ockeghem: amebloで、記事のまるごとコピーばかり(引用ではない)のブログを見かけたんだけど、こういう場合はどうするのがいいんですかね



今は名前解決すらできないので、学内サーバの大規模移転とかやってるのかもしれませんん。
bakera: セキュリティホールmemoがNot Foundになっている……?



偽ソフト怖い!
ymzkei5: ■偽セキュリティソフト「Security Tool」の画像 【日本語表記】 - 無題なブログ - Yahoo!ブログ http://blogs.yahoo.co.jp/noooo_spam/60190012.html


Twitterも怖いかも…
kinugawamasato: yahooメールに届いたTwitterのHTMLメールがすごいXSSしそうなことになってる。しらべる。 http://gyazo.com/a3e7fa4675d6990b377e38d5096a6f5a.png



そして、虚弱性。日本語って大切ですね。以前えらい人が脆弱性のことを「ひんじゃくせい」って言ってたのですが、部下たちは誰一人訂正しないので、イヤな会社だなあと思ったことがありました。
bakera: まさかの「虚弱性防護」 http://rikunabi-next.yahoo.co.jp/rnc/docs/cp_s01800.jsp?fr=cp_s00880&rqmt_id=0007224387

hasegawayosuke: "私たちは「Yarai」のエンジンを利用して、Windows2000向けに虚弱性防護を行う製品をリリース。多くの引き合いが来ています。" http://bit.ly/b1TZxb

hasegawayosuke: セキュリティ用語集 - 虚弱性 http://www.azcure.net/security-words

kikuzou: 虚弱性とは http://bit.ly/8XKUWw くそ笑ろたw

hebikuzure: @hasegawayosuke 「虚弱」と「脆弱」じゃちょっと違う ww。虚弱なシステムって例の岡崎の図書館とか、そういうのかなあ。

ymzkei5: ぶふw まぢすかwww RT @hasegawayosuke: 昔、LAC さんもアドバイザりに虚弱性って書いてましたよね。もう消えてるけど。

Akira_Murakami: 攻撃に弱い鯖を虚弱体質な鯖 ww RT @ymzkei5: ぶふw まぢすかwww RT @hasegawayosuke: 昔、LAC さんもアドバイザりに虚弱性って書いてましたよね。もう消えてるけど。

rryu2010: 虚弱性と言われると某図書館のサーバを思い浮かべてしまう……


今週はお休みします

セキュリティクラスタの活動が少ないため、今週いっぱいくらいというかお盆明けまではお休みをいただきます。
あしからずご了承ください。

これまで休み中の小ネタ。

ufcpp: なんか「他の場所でログインされました」的なメッセージとともにメッセンジャーが切れたと思ったら、フレンドリスト宛てに変なメッセージ届いてた。 No-No-No-My-Pics.com とかいうSPAMサイトへの誘導。しかもwhoisしてみたら中国。なにこれ怖い。

yumano: 垢ハックの実例・・・なにこれ怖い RT @ufcpp: なんか「他の場所でログインされました」的なメッセージとともにメッセンジャーが切れたと思ったら、フレンドリスト宛てに変なメッセージ届いてた。 No-No-No-My-Pics.com とかいうSPAMサイトへの誘導。しかもwh



ymzkei5: フォレンジック泣かせ?>■「忘れ去るHDD」が登場へ、東芝がHDDを機器から取り外すだけで瞬時にデータを無効化する技術を開発 - GIGAZINE http://gigazine.net/index.php?/news/comments/20100810_forget_hdd/

swim_taiyaki: コレは泣く!マジで泣く! QT @ymzkei5: フォレンジック泣かせ?>■「忘れ去るHDD」が登場へ、東芝がHDDを機器から取り外すだけで瞬時にデータを無効化する技術を開発 - GIGAZINE http://j.mp/ckxyMj


yumano: #atode 読みたい http://bitblaze.cs.berkeley.edu/ bitblaze Adobeの0-dayはこれ使って見つけたのかな? 今年のBHUSAでのCharlie Millerのネタ。「Crash Analysis using BitBlaze」


kikuzou: Metasploit 3.4 and SET 0.6.1 on iPhone 4 http://bit.ly/bpVORr これは良いネタになりそう。どっかでも書きましたが SET おすすめです。

8月6日のtwitterセキュリティクラスタ

いよいよ夏休みっぽいですね。このブログもTLの勢い次第でしばらく更新できないかもしれません。まあ、暑いしtwitterはエコじゃないですしね。


脆弱性てんこ盛りWebアプリを見つけられた件。IPAに報告しても作った側は名前出されると恥ずかしいから逆に対応しないんじゃないかと、ふと思いました。
ikepyon: 久々にSQLインジェクション、XSSてんこ盛りなWebアプリを見た。これって、DBアクセスあるとこや、画面表示しているとこ全てに問題あるんじゃなかろうかorz

ockeghem: @ikepyon そのサイトは、最近開発されたのでしょうか?

ikepyon: 今って2010年だよね?10年ぐらい前のアプリを見ている気分w

office_acer: @ockeghem @ikepyon 私も先週、オープン直前のサイトでXSSとCSRF山盛りになっているのを見て途方に暮れました。急いで修正させましたが結局間に合わず、サービスインを 1ヶ月延期することになりましたが。

ikepyon: @ockeghem 最初に出来たのは2001年ごろみたいですねぇ。その後ちょこちょこ修正は入っているようですが、今のは全面作り直したのかどうか分かりません

ikepyon: うーん、なんとなく2007年当たりに全面刷新してるっぽいなぁ

it_tutor: タイムリープしてしまったのですねww QT @ikepyon: 今って2010年だよね?10年ぐらい前のアプリを見ている気分w

ikepyon: @it_tutor まさにそんな感じですw問題が発覚して無いだけじゃないかと不安ですw

vulcain: 自社アプリだったらガックリくるよね RT @ikepyon 久々にSQLインジェクション、XSSてんこ盛りなWebアプリを見た。これって、DBアクセスあるとこや、画面表示しているとこ全てに問題あるんじゃなかろうかorz



WizardBibleってイプさんがずっと続けられて有名なものかと思っていたら、意外と知られていないものなんですね。ちなみに僕もちょっとだけ書いたことがありますよ。
MasafumiNegishi: Twitterのせいですな。86 Results!! http://bit.ly/cXxs17 RT @kinyuka: なぜか今になってはてブで話題になってる!http://bit.ly/aJWBVi  WizardBibleはプロモーション不足なんだろうなぁ(;´Д`)w



インチキツールかっこいいです。
hasegawayosuke: JSONって奥が深いですね!さっぱり意味がわかりません。 「JSONファイル修復ツール fixanyfile.com :: てくてく糸巻き」 http://blog.ptlabo.net/index.php?id=10070035



meetsとか書くと、アーティストっぽいですが、ロクでもないようなことで。
shu_tom: Gumbler meets SQL Injection http://bit.ly/dg3cpq



JSOC見学会第二弾があった模様。いいなあ、いきたかったなあ。仕事面倒だなあ。
shima_nakatomo: 情報セキュリティの地球防衛軍「JSOC」見学会なう。自分がここにいていい立場かどうかは謎。 #jsoc

yumano: 一昨日、いってきました。中にいる人に手を振ったけど、反応してもらえなかった orz RT @shima_nakatomo: 情報セキュリティの地球防衛軍「JSOC」見学会なう。自分がここにいていい立場かどうかは謎。 #jsoc

cchanabo: 水族館じゃないしww QT @yumano: 一昨日、いってきました。中にいる人に手を振ったけど、反応してもらえなかった orz RT @shima_nakatomo: 情報セキュリティの地球防衛軍「JSOC」見学会なう。自分がここにいていい立場かどうかは謎。 #jsoc



そんなにも手法があるのか( ゚д゚)ハッ!
yohgaki: RSnakeは28個もSSLのMTIM攻撃手法を発表したのか。4割くらいしかSSLが正しく設定されてないのは酷い。

yohgaki: 24個か



自分が大学生の頃は酒飲んでカラオケ行ってた記憶しかないのですが、今の学生さんはいろいろできて楽しそうですな。
anemo: 某NA社がインターンシップ募集してる.超おもしろそう. / 新卒採用:NetAgent Co., Ltd. http://htn.to/La4wYX



テーマ : セキュリティ
ジャンル : コンピュータ

8月5日のtwitterセキュリティクラスタ

昨日は久しぶりに会議室に閉じ込められていました。寒くて大変でした。サラリーマンって大変ですね。


世間ではそろそろ夏休み、というか会社によってはもう休んでて、なんだかなあ、というかんじです。自宅警備員は毎日休み無しで本当に大変ですよ。
lac_security: IPAさんから注意喚起「夏休み前に対策を」がでていますね。(^わ) http://www.ipa.go.jp/security/topics/alert20100805.html



そして、Google Wave開発終了だそうです。私もアカウントは持っているのですが、結局1回だけログインしただけでした。だってよくわからないんだもの。
Hagexx: な、なんだって? RT @yutawatanabe: Google Wave開発終了のお知らせ。「多数の利点があり多くの熱心なファンがいるにもかかわらず、実際活用してもらえるケースがなかった」 http://bit.ly/aABavD


ちなみにGoogle Wave追悼会というのが行われようとしています。寂しい限りですね。
http://atnd.org/events/6995


セキュリティ系の海外イベントはデザインがかっこよくていいですよね。
kinyuka: HITB2010のロゴがかっこよすぎる http://conference.hackinthebox.org/hitbsecconf2010mal/



だいたい英語だから偽セキュリティソフトは回避されてきたと思うのですが、日本語ならひっかかりそうな間抜けな人がたくさん出てきそうで管理者は頭が痛いですね。
tdaitoku: RT 日本語の偽セキュリティソフトに注意―トレンドマイクロの月例報告 http://www.itmedia.co.jp/enterprise/articles/1008/05/news059.html



今はないんですね。なんだ。
yasulib: ブラウザから直接NTFS属性にアクセスしたときにスクリプトコードが返される可能生があったんだ。JP188806 http://support.microsoft.com/default.aspx?scid=kb;ja;188806



引き続きタコイカウイルスについて、法律家の中でも意見が分かれるんですね。法律の解釈って大変です。
yumano: 効用喪失説にたつのか~ RT @MasafumiNegishi: RT @port139: イカタコ?タコイカ?のウイルス事件について、コメント欄における先生方のお話がとても参考になる > http://bit.ly/bYI7KV



いいことなのか悪いことなのかはよくわかりませんが、日本はゆるゆるのようです。
MasafumiNegishi: RT プライバシー情報を国外へ持ち出せる国、持ち出せない国の一覧 - http://j.mp/bLveKw



失礼ながらイランとネットがあまり結びつかなかったのですが、イラン経由だといろいろよさげだなあとか思ったり思わなかったり。
scannetsecurity: LNK脆弱性悪用のStuxnetワームとイランでの高い感染率: http://url4.eu/6kabN



SQLインジェクションされたんですかね。ご愁傷様です。
yumano: ああ、これか RT 情報流出:カード情報1万件 ユニーなど、ネットスーパー8社分 http://mainichi.jp/select/jiken/news/20100805ddm041040087000c.html



PDFは怖いので読みません(キリッ
tdaitoku: RT Adobe ReaderとAcrobatに未解決の脆弱性情報、不審なPDFに注意 http://www.itmedia.co.jp/enterprise/articles/1008/05/news014.html



なんでサポートしているのかわからないUTF-7のサポートをFirefoxはようやくやめるようで。
hasegawayosuke: Firefox will remove to support UTF-7 and x-imap4-modified-utf7? https://bugzilla.mozilla.org/show_bug.cgi?id=414064 (via @masa141421356)

テーマ : セキュリティ
ジャンル : コンピュータ

8月4日のtwitterセキュリティクラスタ

もしかするとそろそろお盆休みも近いのかなあとか思う今日この頃。TLも休み前で忙しいのか、ちと寂しげです。


昨日は「タコイカウイルス」の作者が逮捕されたらしいです。ウイルス撒いたら器物損壊で逮捕ってのが不思議な話ですね。
nizi0: <器物損壊容疑>「タコイカウイルス」作成者を逮捕(毎日新聞) - Yahoo!ニュース - http://goo.gl/tOsy 器物損壊になるんかー

yumano: PC上のファイルを全部消す実行ファイルを実行した。なんで器物損壊でいけるんだろ・・・

Hideo_Ogura: パソコンとしての機能を失わせるウイルスは器物損壊となりうるけど、データを書き換えたり消去したりするだけだと、本来は器物損壊罪の射程範囲外。その意味では、特殊なウイルスについて器物損壊でいけても、ウイルス作成罪不要という話にはならないでしょうね。RT @suzukimasatomo

suzukimasatomo: 教科書には記憶媒体上の磁性体の配列の変更も入ると書いてあるから、それで決まりという者が少なくない。「本来は器物損壊罪の射程範囲外」という感覚は共有できないようなのだ。RT @Hideo_Ogura ...データを書き換えたり消去したりするだけだと、本来は器物損壊罪の射程範囲外。



このウイルス、WinnyとかShareで流れてたんですね。なんか懐かしい感じです。エグいっていうか派手ですよね。
gyokuto: 最近の例に外れた エグいウィルスやな,と思ってたけど,Winny界隈が感染源だったのね<タコイカ RT @nelnia: 器物損壊容疑:「タコイカウイルス」作成者を逮捕 http://bit.ly/99eVBV

hitoshiman: タコに感染する人のほとんどが、winnyかshareの利用者。ある意味、正義のウィルスだったんだが。デスノートのキラと同じか。 RT @perutoro: RT @75mix: QT @komoko: 「タコイカウイルス」作成者逮捕 http://htn.to/Ecr7Qa

yarai1978: ほほう。 http://www.itmedia.co.jp/news/articles/0912/21/news051.html



そして、逮捕された人、ウイルスで逮捕されて執行猶予中だったんですね。懲りないんだなあ。
itmedia_news: 「タコイカウイルス」の作者を警視庁が器物損壊容疑で逮捕。CLANNAD画像入りの「原田ウイルス」作者として執行猶予中の男でした^編 http://bit.ly/cQKTne



LACのSOC見学会だったそうです。楽しそうで、仕事がなければ行きたかったなあ。
vulcain: LAC見学会おわた。いやー、楽しかった。参加された皆さんも楽しんで頂けてたら嬉しいです。



面白そうだけど、福岡ですか。遠いですね。
mincemaker: 福岡の 公開セミナー「実習:パケット解析と侵入検知」カレンダに載せといた。 http://www.cyber-u.ac.jp/information/2010/100716/index.html



もう1つ、セミナーの話題。USBってautorun.infが有効になってたらいろいろ起動し放題ですからねえ。
QualityCorp: おはようございまキュ!今日は外部デバイス制御ツール「eX WP」を使った、USBメモリの危機管理セミナーでキュ。隠れ人気セミナーになってまキュが、それだけ今から対策を始める企業が多いということでキュね。 http://bit.ly/daufkF



最近流行の非実在の人について。たまには女性よりバイナリが好きな人がいるようですが、セキュリティ屋さんだって、人間だもの。みつを。
msaitotypeR: 存在しない女性にセキュリティ屋がみんなで群がったというお話の資料。Getting In Bed with Robin Sage. http://bit.ly/ddmVGU

8月3日のtwitterセキュリティクラスタ

日々暑くて困ったものです。地獄の業火に投げ込むと言ってるのは又吉イエスですが、すでに投げ込まれた様な気分です。早くエアコン入れないと。


まずは「なるほど4時じゃねーの」という騒動があったそうです。「なるほど4時じゃねーの」というアプリの作者がOAuthでのアクセス許可を悪用して、特定のツイートにfavを付けたということのようです。何も考えず許可しちゃいけませんよ、奧さん、ってかんじですが、注意したいものですね。詳細については↓に。
http://anond.hatelabo.jp/20100803155332

便乗犯にも注意しましょう。
falcon2001: これ、ユーザー名とパスワード抜き取りツールじゃないですか? RT @iwako13: RT @S___i___x: RT @Hamachiya2: これすごいべんり → なるほど4時じゃねーの解除ツール http://bit.ly/cRPWXv



JailBreakは一応合法となったみたいで、リスクは自分で背負ってやればいいと思うのですが、WebからいきなりJBできるとなれば、やはりさまざまな問題が考えられるわけで、そのあたりの話をtogetterにまとめておきました。ぼくはヘタレで貧乏なのでやりませんが。


そしてまだまだあるiPhone/iPod touch関連。壊してもいい中古が欲しくなりますね。
tessy_jp: 噂のw> MobileHackerz再起動日記: iPod touchをiPhoneにしてしまう脅威の道具(動画あり)<http://blog.mobilehackerz.jp/2010/08/ipod-touchiphone.html>

tessy_jp: RT @KMJBT: [Jailbreak]{速報!}iPhone4対応SIMUnlockTool「Ultrasn0w 1.0-1」もうくる! http://bit.ly/bcc5q1

tessy_jp: これから流行りそうw RT @elkentaro: RT @0xcharlie: Jailbreaking the apple store http://tweetphoto.com/36502745



これでどこにいても、居場所が… ってXSS対応してくださいお願いします。
gohsuket: あうあう RT @Astro_ken: google street viewとルーターのmac addrとXSSで現実世界の居場所発見しちゃう!予想通り過ぎですねw XSS &Google To Find Physical Location http://is.gd/dZM3k



お疲れ様でした。日本からも予選を突破して、ここにチーム名が載るようになればいいですね。
tessy_jp: お、出たね、お疲れ様でした。 FINAL DEFCON 18 CTF RANKING http://ddtek.biz/



外部からの入力をそのままコマンドのオプションに使わせるな、ってことで、そんな事情は最近ではそんなにないと思いますが、まだまだあるもんですかねえ。
ockeghem: ほとんど書き上げてあるOSコマンド・インジェクションの節が中々リリースできない理由の一つは、バランス的に量が多すぎるような気がするから。でも削るのも躊躇している…外部コマンドなど呼び出すなで済ませたい・済ませるべき・ところなのだが

ockeghem: .@ockeghem その点、金床本がコマンド・インジェクション脆弱性に3ページちょっとしか割いていないのは正解なのだろう

ockeghem: SQLインジェクション脆弱性については、プレースホルダ使え、プレースホルダのないような RDB使うなというのはありだと思うけど、外部プログラムを呼び出さざるを得ない局面はあり得る。初心者はそんな難しいことするなというべきなのか…でも、必要が生ずれば、彼らはやるだろう

tomoki0sanaki: 一般的には有り得るとは思いますが、初心者が書きたいプログラムに限定すると、かなり希少な場面かもしれません(個人的には二次の微小量(^^)ぐらいの確率)。 RT @ockeghem 外部プログラムを呼び出さざるを得ない局面はあり得る。



今日のこれはひどい。コード署名の話のようですが、10月まではオレオレ扱いになるのでしょうか。
umq: 日本ベリサインから電話がかかってきた。Windows向けのAuthenticode証明書がIE7以降非対応なんだけど、ついでに確認したら今年の10月までそれが続くらしい、ひどい。https://www.verisign.co.jp/ssl/about/20100128b.html



あとゼロがひとつ減れば…
sen_u: 実践ハッキングセミナー受講者募集中(主催:サイバーディフェンス研究所)【NW編8月24 日~25日、Web編8月26日~27日】私経由で申し込むと多少良いことあるかも。 http://www.cyberdefense.jp/



今日からXConの始まりのようです。DEFCONから中国直行というひともいたりするのでしょうか。
furumai_yoshiko: ハッカーサミット、だってww RT @mranti: Attention: Chinese Hackers Summit (XCon 2010), Aug 4-5, Gehua New Century Hotel, Beijing http://is.gd/dZdtE



昨日は朝から再起動タイムでしたね。
FSECUREBLOG: LNK脆弱性に関するMicrosoftの定例外アップデート:  Microsoftは今日、悪用されているLNK脆弱性(2286198)に対処するため、定例外のアップデートをリリースする。セキュリティアップデートは、太平洋夏時間... http://bit.ly/aof4Hg

lac_security: IPAさんから緊急対策情報「Windows シェルの脆弱性(MS10-046)について」がでていますね。(^わ) http://www.ipa.go.jp/security/ciadr/vul/20100803-ms10-046.html



まあ設定さえちゃんとすれば、基本ApacheとPHPですし。
mincemaker: XAMPPで公開用サーバ作るとかしている人達が少なからずいるのか。

テーマ : セキュリティ
ジャンル : コンピュータ

8月1~3日のtwitterセキュリティクラスタ

週末はDEFCONでした。数年前に行ったときはパスを盗まれたり置き去りになったりしましたが、それも遠い昔の思い出の様な気がします。また行きたいものですが、この時期は忙しくてなかなか行けないですね。英語もわかんないですし。


昨朝、今年のDEFCONが終了しました。参加者の皆様お疲れ様です。
そんな中、日本からリモート参加の@ucqさんが DEF CONのBackdoor Hiding Contestで優勝したようです。おめでとうございます。それに関連したTLをtogetterにまとめていますので、どうぞ。



そして、togetterにXSSがあったみたいです。まだ、修正されていませんが、まずいですね。
kinugawamasato: @yositosi こんにちは。TogetterにXSS脆弱性を確認しましたのでご報告します。 http://bit.ly/cOMgZG 対策をお勧めします



そしてyaplogのXSS。これも結構いかんですね。
kinugawamasato: yaplogのコメント者の名前を表示する部分はXSSに脆弱でコメント欄が閉じられていなければ他人のブログに任意のスクリプトが書ける状態でとてもまずいんだけど、5月中旬には報告し、順次対応すると返事がきましたが、未だ対応されません。 #yabalog

kinugawamasato: そんなわけでヤプログのスパムブログに自分のブログにリダイレクトするようなスクリプトを書くとかすればいいと思う



BlackHat/DEFCONの内容がちらちらWebに掲載されて、ちょっとうらやましいような、大変なような、そんな気分です。
tessy_jp: TLで出ていたゲーム機の話はこっちのじゃなかったのか >DEFCON2日目@ラスベガス - 風見鶏のひとりごと <http://bit.ly/aA8wdH



そして、今のところ日本版DEFCONといえなくもない、AVTOKYOが今年も開催されますが、今年もBlackHatは開催されないんですかねえ。たぶん参加するので、まとめの話が聞きたい奇特な人がいればお話ししましょう。
_kana: 今年もAVTOKYO2010 開催しますー。11/6(土)18時開始予定@新宿ロフトプラスワン。CFPその他詳細は後日Webサイトにて告知。しばしお待ちを?。http://www.avtokyo.org/



新たなJailBrakeMe.comはsafari だけで脱獄できるそうなのですが、セキュティ的にはどうなのって。確かに。
tessy_jp: 全機種対応版キター Dev-Team Blog - The return of jailbreakme.com! <http://bit.ly/bPS3om

yoggy: Jailbreakme.comの仕組みって、裏を返せば悪意のあるサイトを見ただけでひどい目にあわされる可能性があるということなのかな…?

tessy_jp: 一撃ってことですな RT @yoggy: Jailbreakme.comの仕組みって、裏を返せば悪意のあるサイトを見ただけでひどい目にあわされる可能性があるということなのかな…?



BlackBerryにどんなセキュリティ問題があるのかわからないですが、気になるところです。
ymzkei5: ■UAEがBlackBerryのサービス制限 セキュリティ上の懸念から - ITmedia News http://www.itmedia.co.jp/news/articles/1008/02/news022.html



decodeURI("%C0%80") だけでもある程度ブラウザ判別できるです。面白いなあ。
masa141421356: decodeURIの挙動の違いをまとめてみた。http://d.hatena.ne.jp/masa141421356/20100801



裏の裏を突くんですね。
scannetsecurity: gredセキュリティレポートVol.12を公表、あえて難読化しない新たな手口も(セキュアブレイン): http://url4.eu/6i2KS



というわけでアップデートしたので、今から再起動します。では。
FSECUREBLOG: LNK脆弱性に関するMicrosoftの定例外アップデート:  Microsoftは今日、悪用されているLNK脆弱性(2286198)に対処するため、定例外のアップデートをリリースする。セキュリティアップデートは、太平洋夏時間... http://bit.ly/aof4Hg


テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2010
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。