昨日は久しぶりに飲みに行ったらこのありさまです。眠いです。


相変わらずのlibraack。Anonymousに書き込み権限って、20世紀でもそんなになかったようないいお話ですね。

connect24h: これはひどい。Anonymos ftpに書き込み権限があったって事？高木浩光＠自宅の日記 - 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 http://bit.ly/9FzQ0h

110_: RT @connect24h これはひどい。Anonymos ftpに書き込み権限があったって事？高木浩光＠自宅の日記 - 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 http://bit.ly/9FzQ0h

Ivarn: おおぅ！ナンダコリャ(>_<) 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 - http://j.mp/beZvVx - 「パスワードがない方が便利」だと！？これは，誤りとかミスとかいうレベルじゃない希ガス(-_-) #librahack

中国って規制が多そうなのにマルウェアの攻撃は赤い壁を通過できたりするのでしょうかね。

gohsuket: マルウェアは多目的可能。でも中国？>Forbe's RT @dangerroom Was #Stuxnet a Chinese attack on Indian satellite? http://bit.ly/9kRVnk @blakehounshell @joshrogin

いくら気をつけてても普通に感染するものですので、駆除って大切だなあと思います。

yumano: @connect24h さんの良記事。実事例はイメージが沸きやすく、イメージしやすいな。実録！コンピュータウィルス駆除大作戦 http://bit.ly/bmpBQd

誘導されるだけならいいんですが…

yumano: ドライブバイしこまれてる気がするような…実物見てない RT @monjudoh: え、ひょっとして偽セキュリティソフトのインストーラダウンロードページに誘導するだけなの? "国内98サイトのバナー広告に「わな」、「偽ソフト」に感染する恐れ http://is.gd/fyVuZ

ようやくですか。よかったです。

yomoyomo: [Security] office氏の帰還 http://bit.ly/b23Whe

新twitterの件。ぼくのアカウントに新twitterはなかなかやってきませんが、botにはやってきましたよ（涙

kinugawamasato: 「＆＃０；」(実際は全部半角)ってツイートするだけでOpera/IE上のNew TwitterでTLの一部見えなくなったりするし結構困るバグだ。ヌル文字愛用家の人は自粛が求められる。

ymzkei5: 新しいTwitter、まだページのjavascriptの中に、/^(staging\d+ \.local)\.twitter\.com$/i とか、localhost.twitter.com:3000 とか、色々開発中の情報が書かれているｗ

9月28日のtwitterセキュリティクラスタ

昨日はなんといっても例の図書館が実は利用者の情報を流出させていたということが発覚しました。図書館サイトの不具合を検証したら、実は業者がいろいろグダグダだったようで…　印象的なものをピックアップしましたが、詳しいことはまとめサイトとかtogetterにあると思うので探してみてください。

hoshikuzu: [security] 岡崎市立図書館の利用者情報流出…MDISによる…ＮＨＫ名古屋の地方ニュースで報道…(via @Vipper_The_NEET )

Vipper_The_NEET: 「岡崎市立図書館の利用者情報流出ｷﾀｰ 　しかも、そのシステムを作ったMDISがやらかした。 　今、ＮＨＫ名古屋の地方ニュースで報道。 　もうじきサイトに掲載されるかな。 」とのこと。 #librahack

hoshikuzu: [security] 「三菱電機インフォメーションシステムズ」が設計したコンピューターシステムを使っていますが、この会社が別の会社を通じてほかの公立図書館に貸し出しのためのシステムを販売した際誤って個人情報を消去せずに販売したと言うことです。流出先は全国の30以上の図書館と見られ

ikepyon: なんとなく、SQL文で毎回DB作るのではなく、岡崎に納品したときのDB丸ごとバックアップして、それを他でもリストアしただけだったんだろうな。さすがに、これは普通考えられないけど・・・

_hito_: みんな勘違いしている。ISMSには「自浄作用を保持すること」なんて項目はない！　情報セキュリティインシデントが起きたら速やかに対応するとか書いてあるだけで、「身内に途方もない馬鹿なコードを書くやつがいるけど、自浄作用がなくて検出できない」は未対応でもOKだ！（最悪

ikepyon: MDISはコピペ超人軍団と呼ばれても良いと思うｗ

ockeghem: 『弊社図書館システムにおける個人情報の混入及び流出について（お詫び）』 http://www.mdis.co.jp/news/press/2010/0928.html #librahack

hasegawayosuke: MDISのサイト内から、「岡崎市」を含むページが軒並み消えてる。 http://www.google.co.jp/search?q=site%3Amdis.co.jp+%E5%B2%A1%E5%B4%8E%E5%B8%82&ie=utf-8&oe=utf-8

こちらにはなかなか出現しませんねえ。10月まで待てばって…　すぐそこじゃないですか。

togakushi: 「Pssst... the new version of Twitter is here. Try it now!」って出たぞ。ついに新しいUIだー

Apple TVでもJailBreakできたようで。

risa_ozaki: Jailbreak hole found in Apple TV firmware http://bit.ly/9Uj5cx via @teksquisite

朝からクジラが出たのはそのせいだったのか。スーパーハカーおそろしいです＞＜

hasegawayosuke: .@ucq がTwitterのテストを始めたので over capacity 出た。

はてなの任意スクリプトの実行について。偽ブログパーツで攻撃って流行りそうだなあとか思ったり。

bulkneets: 関係者の名誉のために申し上げますと、前提としてはてなダイアリー上で任意script実行出来ると他のブログよりもリスクが大きい問題があって、加えてブログパーツ自体に問題があるケースと、ブログパーツ貼付けコードのバリデーションに問題があるケースがあります。区別できない奴は言及するな。

パッケージで殴り合ったり、ハッシュの大きさを比べたわけでもなくちゃんと評価されてます。ウイルスバスターが入ってないのは評価以前の問題だったりするのでしょうか。

risa_ozaki: 2010年上半期の最強アンチウイルスソフトが決定 http://j.mp/95NYgS

ウイルスをあまり見つけてくれないので有名だったMcAfee（最近のことは知りません）がURL短縮サービスをはじめたようです。

bakera: [これはひどい] 凄く安全そうな雰囲気をかもし出せてしまいますね。下のフレーム内で遷移しても上の表示が変わらないのもポイント。 http://mcaf.ee/780df<

bakera: [これはひどい] あとで。http://internet.watch.impress.co.jp/docs/news/20100924_395726.html

9月27日のtwitterセキュリティクラスタ

twitterのセッションidがログアウトしても破棄されてないらしい件について。そういやなかなか新UIが現れません。嫌われているのでしょうか。

bulkneets: twitterのログアウトがサーバー側でセッションidを破棄していない件のスクリーンキャプチャとった http://bit.ly/ddAqXy

bulkneets: リモートデスクトップ使って別IPアドレスで試すのもやったけど成功する

bulkneets: パスワード変更でセッション破棄はちゃんとやってるように見えるな、それはDan the なんとか事件の時に問題になったはず(セッション生きてる限りアカウント使い続けられるというので)

もうそろそろ。

kanda_daisuke: 本日は午前１１時から岡崎市とMDISによる会見もあります。中身についてはまたのちほど… #librahack

301はいろいろ楽しいですよね。

yasulib: Ettercapを用いてのMITMデモ。PEファイルをダウンロードする時に301でウェブ上の任意のファイルにリダイレクトしてる。 http://securitytube.net/Ettercap-MITM-Attack-Demo-video.aspx

ソーシャルの腕を他で生かせればいいのですが。

kaito834: チャットでパスワード（またはパスワードに繋がる情報）を聞き出した模様。"ネット上の仮想通貨・物品、盗んで転売大もうけ : 社会 : YOMIURI ONLINE（読売新聞）" http://goo.gl/PJJO

IE9のバグ？

masa141421356: <a href="www.example.jp%00microsoft.com">example</a>と書いたリンクを右クリックしてプロパティを表示しようとするとエラーになる >IE9beta

会社の人がお詫び記事を紹介すると、ご自身の会社がお詫びしていると間違えられるよなあとか。

dry2: 弊社利用広告サーバーにおけるセキュリティ問題に関するお詫びとお願い http://as-web.jp/news/info.php?c_id=7&no=29483

文字コード難しいです＞＜

ockeghem: そういえば、MySQLはUTF-8の4バイト表現にまだ対応していないんだよね。𠮷（つちよし、U+20BB7）がきちんと通るというのは、ストレージは何を使っているのかな?

そして難しさを逆手にとった攻撃の可能性がいろいろあるので、そのあたりをうまく防御する方法について。

ockeghem: 日記書いた『文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定 』 http://www.tokumaru.org/d/20100927.html#p01 #phpcon2010

やる気だったのですが、雨が降ってると申し込みたくなくなりますよね。

hasegawayosuke: 「ブラックハットジャパンその後 関西編」のその後に懇親会やりますよ。僕も参加します！ http://bit.ly/c2HMzQ

逃げちゃダメだと言われても、さすがに泊まりがけは行かずに逃げたくなりますね。

Akira_Murakami: CISSP　TrustedCPE　認定です。@yuzawaws: 10月7日(木)～9日(土)「情報セキュリティワークショップin越後湯沢2010」 今年のテーマは「～逃げちゃダメだ！～ IT社会のBCP・BCM。なう！」です。 http://ht.ly/2KKfT

これからしばらくクラウドに関わりそうな雲行きなのですが、データ消えるとか怖いですね。

connect24h: @dry2さんの記事。ｓｉｄｅkickの事例は、10月の講演でもしゃべる予定。データが消えた！！クラウド利用の注意点[1/2] | LAC http://ow.ly/2KbJT

25万件超ってことは必要ないデータもため込んでたということなのかしら。

MasafumiNegishi: RT ユニットコム運営サーバに不正アクセス被害、ツートップ&フェイスのECから25万件超の個人情報流出か 【増田@maskin真樹】 - http://j.mp/byhUqg

ついにXSSもエクストリームスポーツの仲間入りですか。目grepなんかはすでに十分エクストリームスポーツだと思いますが。つか、CTFってエクストリームスポーツじゃなくないですか？

ripjyr: デムパをどう確保するのかと言う方が重要な気がするｗ QT @office_acer: PCの予備バッテリー必須 QT @ymzkei5: 山に登りながらXSS解くのかと思った。エクストリームXSS。 RT @ripjyr: XSS Cha http://bit.ly/b2VXRp

9月21～26日くらいのtwitterセキュリティクラスタ

休んでいた間にすごいことになっていたのはtwitterのXSSですが、それ以外にもいろいろありました。明日からは正常運転したいところですが、今日はざっくりです。

hasegawayosuke: XSS Challenges が再ブームなのか。時代はXSSですよ、みなさん！

Iori_o: 昨日のXSSの件に対して、世の中の道理がひっくり返る程の出来事と評価してる人がいて、結構道理は簡単に返せるんだと教えられた。

mincemaker: ゼロデイではしゃいじゃっても逮捕されなかったらセキュリティ界隈から村八分にされないでクネクネコミュニケーションになっちゃう体質が僕はあまり好きではないので意図的に避けてしまうのです。

gohsuket: 昨日のXSSやったと主張する17歳オーストラリア人登場。おいおい、便乗で有名人狙い？ RT @stevesilberman Meet @zzap, the Aussie teen who hacked Twitter ystrday. http://bit.ly/awJprH

tessy_jp: RT @ripjyr: なんと、北陸でXSS Challenges登山だと！ QT [北陸エンジニア] XSS Challenges 登山会 > http://bit.ly/aMKGha

kinugawamasato: #つけたのはクリックしてちゃんと飛べるようにするためであって#はXSSに必要ないです。 URLの後に続くスラッシュとスラッシュの間にある@の後のダブルクォートがエスケープされずにタグの中に入る。 http://example.com/@"/

Hamachiya2: こう？ http://twitter.com/#@"onmouseover="alert(document.cookie)"style="background:red"/

tyfk: #@"でhrefが終了、それに続くonclickとかのハンドラがそのままa要素の属性として埋め込まれる脆弱性。

gohsuket: w@isologue httpp://a.noo/"kono mouseover=";$('sawagi:de').kon'na(code.gaNAGARE);$('.teru-kedo').ore()" mo="hikkakatta:#to;omoware:#rukana?;/

hasegawayosuke: とりあえず、http://twitter.com/#!//www.google.com でオープンリダイレクタになることはわかったけど、僕には alert は出せなかった。

gohsuket: RT @MasafumiNegishi: RT ロシアで天才ハッカーが育つ裏事情 - http://j.mp/cUSckU

security_info: Twitter Facebook で、最も有効なセキュリティ対策は JavaScript 無効 ...: マツジローのネットワークセキュリティ日記のTwitter Facebook で、最も有効なセキュリティ対策は JavaSc... http://bit.ly/ciRWGE

bakera: しょうがないから「たまたま任意スクリプトは実行できないけどセキュリティに不安がある」ということだけ書いておきました。

ripjyr: I'm reading now:「Yahoo!モバゲーβ版」で障害が発生--一部登録情報が閲覧できる状態に http://japan.cnet.com/mobile/story/0,3800078151,20420502,00.htm?ref=rss

_xcorp_: めも RT @keigo1456: Apache設定のVirtualHost設定を<VirtualHost *:80>で記載している中に、ひとつだけ<VirtualHost 123.456.789:80>のようにIPアドレス指定をまぜると、すべての:80アクセスをぶんどることが分

jpcert: こんちは。サイバークリーンセンターのボット駆除ツールCCCクリーナーが更新されています。　＾AM　　https://www.ccc.go.jp/flow/index.html 2010/09/22 17:35

sen_u: VMWare Workstationをもう1ライセンス。20%オフクーポン使って$151.2なので12,800円ほどか。円建てで買うと26,306円なのでずいぶん円高メリットがあるな。

kinyuka: トレ○ンドマイクロからXSSが！まっちゃさんに連絡しなきゃ！と思ったらどうもプロキシっぽいな(;´Д`)

mincemaker: はてブがまた1userなのに4294967295 users になっているのがあるぞw

Vipper_The_NEET: 結局ワクチンの更新手順が盛り込まれず，大阪市は翌年ウイルス感染騒ぎを起こしましたとさ。とっぴんぱらりのぷう。

今年流行のiOS…　じゃなくてCISCOの方のDoSいろいろ。

packet_storm: Cisco Security Advisory - IOS SIP Denial Of Service http://packetstormsecurity.org/filedesc/cisco-sa-20100922-sip.txt.html

packet_storm: Cisco Security Advisory - IOS NAT Denial Of Service http://packetstormsecurity.org/filedesc/cisco-sa-20100922-nat.txt.html

packet_storm: Cisco Security Advisory - IOS H.323 Denial Of Service http://packetstormsecurity.org/filedesc/cisco-sa-20100922-h323.txt.html

rakugodesi: IISの設定はftpで変更できないからでは!(^^)! RT @biac: 今は http-equiv="Refresh" content="0;URL=hp/index.html" が返ってくる。IISの設定変えんの? QT @keikuma: @Vipper_The_NEET

tomoki0sanaki: 個人的には管理者の自己満足が満たされる程度 RT @ucq 必要以上に情報を与えない方がいいってのはわかるけど、Apacheとかのバージョン隠蔽って実際どのくらい効果あるのだろう。

risa_ozaki: LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?: 7月に報告されたWindowsのLNKショートカットのゼロディを悪用する「Stuxnet」ワームについては… http://bit.ly/d0ySCV via @FSECUREBLOG

MasafumiNegishi: RT 偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃 - http://j.mp/9qqz2Z

yohgaki: PHPcon二次会でローカルプレゼンしたRIPSというPHPソースコードスキャナは全ての PHPユーザにおススメです。 http://ow.ly/2JYiO 今時のフレームワークを利用したアプリでは必ずしも有効に動作しませんが、非常に参考になるツールです。#phpcon2010

risa_ozaki: MSの個人向け無償セキュリティソフト、中小企業でも利用可能に http://bit.ly/bfwqLx via @slashdotjp

yhitme: 定員は超えたんですが満員までw少し余裕があります。お早めに。RT @IAjapan: 10月9日（土）に大阪にて「現在の日本のセキュリティ～ブラックハットジャパンその後 関西編～」を開催します。 http://j.mp/cxN8qq

connect24h: これはひどい。『私用のパソコンでダウンロードしたソフトを使った。改ざんは見あたらなかったため、そのソフトを使ってＦＤの更新日時データを書き換えて遊んでいた。』 QT @Akira_Murakami: フォレンジック技術は凄い！ http://bit.ly/aR0vqR

tomoki0sanaki: Vista以降には「dir /r」で代替ストリームが表示されるのか!?

security_info: IPAとNISC、政府機関の情報セキュリティ対策で連携｜ウイルス対策 ...: IPAが得た情報セキュリティの脆弱性などに関連する情報のうち、 政府機関でも必要と考えられるものをNISCと共有することで政府機関の情報セキュリティ... http://bit.ly/bGQD7o

yarai1978: 「ポケモン」マジコン用パッチを装う情報流出プログラムが出回る http://headlines.yahoo.co.jp/hl?a=20100921-00000029-zdn_n-inet

ockeghem: [security][charcode][php][event]講演資料アップロードしました。「文字コードに起因する脆弱性とその対策」 http://www.slideshare.net/ockeghem/ss-5283574 #phpcon2010

9月18～20日のtwitterセキュリティクラスタ

連休と祝日の間ですが、普通に仕事です。なお明日は終日会議のため更新できません。きっと次の更新は月曜日になります。


三連休は終わってしまいましたが、今日明日仕事すればまた休みですよ。フリーに休日は関係ないですけどね（涙）

security_info: ウイルスの脅威からPCを守れ！無料でセキュリティを強化するテクニック ...: サラリーマンには、待ちに待った3連休がやってきた。日頃はなかなかできない家族サービスに勤しむ人も多いと思われるが、自宅でのんびりと過ごす人は、この機... http://bit.ly/b7vvn8

SSDだから何でも良いわけじゃないんですね。セキュリティ系のアプリでたまにあるようにマウスを動かすなど乱数のシードに他のものを使えばいいってことなんでしょうけど。

tomoki0sanaki: 最近、読んだ Web ページだと、/dev/random や /dev/urandom は乱雑性に HDD のシークタイムなどを使っているため、SSD の場合は乱雑性が落ちるという話。

へえ－。じゃあわざとエラー起こすとDoSできるというわけですか。意味ないですけど。

masa141421356: IEの困った動作 HTTPSでFRAMEにしている時に子のFRAMEが通信エラーになってIEのエラー画面が代わりに入るとHTTPではない物が混在していると誤認してダイアログが出てしまう

masa141421356: で、ダイアログなので閉じるまでスクリプトが動かない

さすがに修正されてるんでしょうけど、探しちゃダメですからね＞＜

yohgaki: http://www.opencart.com/ ってどれくらい使われてる？ファイルアップロードでWebルートに任意ファイルがおけるらしい。つまり完全に乗っ取りが可能らしい。

さすがはてな。

mincemaker: はてブがまたintオーバーフローしてる。回帰テストをするつもりが全くないのに安全重視の運営とか言わないで欲しい。

先日のアクセス履歴ネットワークの話ですね。広告会社に振り回されないようにしたいものです。

HiromitsuTakagi: 昨日の講演が西日本新聞福岡ローカル面に出てた。「…高木浩光氏が、個人の…アクセス履歴などが企業に収集され、企業間での売買が始まろうとしている現状を紹介。『安易な売買が横行すれば、悪用する業者が出てくる。法整備や調査、監督する第三者機関の創設など…ルール作りが必要だ』と指摘した。」

librahackは大ごとになってるみたいなので若干放置気味ですが、図書館法におけるrobots.txtの取り扱いについて。

Vipper_The_NEET: これ，まとめからもリンクしておきます。 RT: @tyappi: 毎回説明するのめんどくさくなってきたので、blog に robots.txt に関する法令をまとめておきました。 http://bit.ly/aS3uve #librahack

tyappi: 「Robots.txt に関する法令解釈」をトゥギャりました。 http://togetter.com/li/52133

クラウドだってレンサバだって社内サーバだって、担当者の意識の問題ですからねえ。こればっかりは。

connect24h: これがあるから、クラウドは最終的に信用できないんだよなぁ。Googleプライバシー事件と情報漏えい対策の困難さ【湯川】 http://bit.ly/bTJKDe

何が起こるんだ…

_hito_: ハッ○ー○ャパンのとある記事に「あわしろいくや」ちぅ面白い文字列が入ること確定。

9月17日のtwitterセキュリティクラスタ

先週はガラスの向こうでは泳いでいたというのに、すっかり秋になってしまいました。

電話帳のメールアドレスにカンマがあるとちゃんとメールが送れない携帯電話。発売停止になるのもわかります。区切り文字をスルーしているみたいなので他にコマンドが通ったりもするのでしょうか。テストしようぜー

ktai_watch: [ニュース] ドコモ、「LYNX SH-10B」を一時販売停止 http://bit.ly/cFXmnI

もしかすると、この携帯だったりするのか、それとも違うアプリなのか。意外とメールって見落とされているのでしょうか。

tomoki0sanaki: 先日、SMTP コマンドが通りました。しかもメールの本文で！！アリエネー！というのが、最初の感想でした。更にどんなライブラリつかってんねん！と思いました。

tomoki0sanaki: メールの本文で先頭に「.」を使うとそれ以降が消える、てかバグレポートがすぐにあがるはずだし、そんなベータ版のようなライブラリを使っているなんて・・・orz

tomoki0sanaki: "セキュリティ" と言うテーマで sendmail コマンドの -i オプションの説明のある Web サイト/記事は少ないですね。

HTTPヘッダインジェクションの話。Location:にCRLFが突っ込めるということでしょうか。

ockeghem: .@tomoki0sanaki 佐名木さん、CGI.pmのredirect関数調べたら、HTTPヘッダインジェクションできますねぇ。仕様が変わったのかも【業務連絡】

tomoki0sanaki: あらら、私の実験ミスかな!?...orz RT @ockeghem @tomoki0sanaki 佐名木さん、CGI.pmのredirect関数調べたら、HTTPヘッダインジェクションできますねぇ。

ockeghem: 俗に言うCrLfインジェクション（メールヘッダとHTTPヘッダ）は、本来、高機能API使えば脆弱性対策になる *べき* なんだけど、未だに穴が結構あるのがなんだかなー、という感じです

IE9イベントの資料が公開されています。HSTSをIEで無理矢理使う方法ですが、Betaが取れたときには単体で使えるようになっているかもしれませんね。

hasegawayosuke: 昨日の資料を公開しました。 "HSTS for IE and others" http://utf-8.jp/public/20100916/hstsforie.pdf #ie9j #welcomie9 #welcomeie9

そして、NAブログはまっちゃだいふくさんです。秋は勉強会デビューしたいですね。

security_info: NetAgent Official Blog : 全国で増殖中？！ 情報セキュリティ勉強会の ...: 2004年頃より「まっちゃ１３９」という情報セキュリティに関する勉強会を開催し始め、2008年より弊社でエバンジェリストとし... http://bit.ly/daXftJ

結局攻撃があったみたいですね。たいしたことはなさげですが。

msaitotypeR: むむむ。 警察庁ＨＰにサイバー攻撃か、中国からの可能性 http://bit.ly/c2XONe あ、これも下も読売新聞です。

うわ。ほんとだ。

masa141421356: それだと XSS になるってば。http://ap.atmarkit.co.jp/bbs/core/fjava/24540

日本だとAppleStoreみたいにイヤな感じになるのでしょうけど。

miryu: これは良いかも。 / IE9に新セキュリティ技術　DLするファイルを「評判」で判定 - ITmedia News http://htn.to/8Asyjg

原発作る予算の中にアプリ代くらい入れておけよ…

gohsuket: ライセンスエラーが稼動予定イラン原発のシーメンスWinCC画面に RT @mikkohypponen: Remember to renew your software licenses. Especially if you are… http://bit.ly/9vZIS1

HDCPのマスターキーが流出したのですか。これで無力になったりするのかなあ。

BlackHatEvents: RT @schneierblog: Master HDCP Key Cracked: The master key for the High-Bandwidth Digital Content Protection standard -- http://bit.ly/cqNZA0

またまたウイルスが喜びそうな…

security_info: Windows LSASSのActive Directoryリモートセキュリティ問題(CVE-2010 ...: 情報セキュリティブログ(unixfreaxjp.blogspot.comのミラーサイト） http://bit.ly/9jaj3N

FTPを止めるってのはセキュリティ的な意味では、ある意味正しいのでしょうけど、なかなか難しいのでしょうかね。つか、今はblogとかアプリ貸しだけにしてHPスペースの提供止めちゃえばいいのに。

tdaitoku: とあるISPがサイバーテロ攻撃対策としてFTPによるHP更新機能を停止させるそうな・・・。何か違うような気もするが危機意識を持って対応されてるということですね。だったら、いっそのこと全部止めちゃえばいいのに・・・。って、それって奴らに屈したということかw

9月16日のtwitterセキュリティクラスタ

涼しくて雨で、そういや秋ってこんな感じだったなあとか思い出した昨日でした。そろそろ半ズボンは寒くなる気がしますが、がんばってください。


さて、IE9ベータが出ました。いきなりセキュリティ的なテストをしてる人が数名いらっしゃったので、まとめておきました。だんだんよくなっているみたいですね。個人的にはIE7、8と使ってないのでちょっとよくわかりませんが。



結局、DDoSは誤報だったということでよろしいのでしょうか。あんま意味なさそうですしね。

furumai_yoshiko: 【中国のツイート】「昨夜、公安局が尖閣抗議デモの申請を受け付けたという情報が流れ、一時中国語TLが騒然となったが、元は朝日新聞の記事だったらしい。デモの主催者とされた機関、そして公安局はその事実を否定」// じゃ、否定したからにはだれが主催するのかな～～？とww

kaito834: 実際にDDoSが行われるかはグレーかな。 RT @kaokaokaokao: きょうにはこういうニュースも流れているので、サイバー攻撃は中止みたい？ http://www.enet.com.cn/article/2010/0915/A20100915728462.shtml

組織とは関係なさげだと思いますが、改ざんはされてるみたいですね。実は某図書館みたいにAnonymousでアクセスできたのかもしれませんがｗ

47news: 中国ハッカーの攻撃か　金沢大付属高のＨＰ改ざん http://bit.ly/cUPaXh

L2で検知って、フレームの宛先と頻度だけチェックするんですかね。ウイルス感染して接続しまくりは排除できると思いますが、どうでしょう。

ntsuji: 検知精度と遮断までの流れがが気になる子ちゃんですよ。 社内PCのセキュリティ対策をレイヤ2スイッチで実現 － ＠IT - http://bit.ly/coFKVf

WindowsというかIEの設定に書かれているものの、ちょっとよくわからないアレですね。

bakera: [メモ] たぶん誰も使っていない「Javaアプレットのスクリプト」について。 http://download.oracle.com/javase/1.4.2/docs/guide/plugin/developer_guide/js_java.html

UIが新しくなっただけじゃなくて、XSSも修正されてよかったです。

kinugawamasato: Twitter widgetのXSSが修正された。これが→http://bit.ly/axGCun こうだった→http://gyazo.com/ebd71eaff11b9a4d0d2ae2ab132bc949.png

twitterボットネットですか…　人が増えると使って悪いことしようとする人も増えてきますね。

hackinthebox: Mexican Twitter-Controlled Botnet Detected - https://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=37894

頻繁にアクセスすると威力業務妨害に問われますよとか。

rryu2010: ウェブサイトの強度は見た目では分からないので、トップページに「当サイトは段ボールハウス並みの強度なので、優しくアクセスするようご配慮をお願いいたします」と書いておくべきですね。 / ぜんぜん知らないおじさんオフィシャルブログ Power… http://htn.to/eGXASJ

9月15日のtwitterセキュリティクラスタ

今日もまたまた雨です。季節の変わり目はいろいろ大変ですね。


昨日開催されたオプトのセミナーに対する高木先生のつぶやきが興味深かったのでまとめておきました。行動ターゲッティング広告のデータを共有するらしいです。個人情報のない番号で管理するから安心、という話ですが、各社それに対応する個人情報を握っているので紐付けは簡単にできそうですね。



JailBreakしてなくても使えるんですね。タダなので使い途はないけどとりあえず入れてみようかと思います。

kikuzou: Nessus の iPhoneアプリ。http://bit.ly/cg4tSu うちのチームはこれでiPhone必須となりましたｗｗｗ

ニッチな資格ですが、何人くらい取得するのでしょうか。

connect24h: クラウド・セキュリティの認定資格「CCSK」 http://hase-sec.cocolog-nifty.com/blog/2010/08/ccsk-9a6f.html

うまいこと言おうとして、より難しくしているのが痛々しいですね。

lac_security: .@laccotv 川口のつぶやき　 「ファイアウォール(FW)のログはどう見るべきか？重要なのはInbound(入り鉄砲)ではなく、Outbound(出女)」　（＾ま）　http://www.youtube.com/watch?v=lwlpi9bRaC4

中国はどうしちゃったのでしょうか。USJのサイトにDDoSしても日本に何の影響もないと思いますが。

connect24h: 中国のハッカー集団が攻撃予告、日本政府やＴＤＬ、ＵＳＪも対象 http://news.searchina.ne.jp/disp.cgi?y=2010&d=0914&f=national_0914_113.shtml

そして18日に攻撃が来そうなフラグがｗ

lac_security: 現場の一言。中国から日本に対するDDoS攻撃の予告がされていますが、SOCでは現時点で予兆はありません。引き続き動静を見守っています。また、18日はTさんの結婚式のようですので、出来ることなら攻撃は止めていただきたいところです。 (^あ）

ymzkei5: くっそー。みんなして幸せになりやがってっ。私がDoSかけたい気分だよ…。（うそｗ）　RT @lac_security: 18日はTさんの結婚式のようですので、出来ることなら攻撃は止めていただきたいところです。 (^あ）

9月14日のtwitterセキュリティクラスタ

急に涼しくなってきました。夜も冷え込んでびっくりですね。

今年もBlackHat Japanは開催されないものの「ブラックハットジャパンその後」が開催されるそうです。遠いけど10月なら行けるような行けないような…　誰かに誘われたら行こうかな。

ripjyr: 予告をしていた、10月09日の関西での勉強会「現在の日本のセキュリティ　～ブラックハットジャパンその後 関西編～」が募集開始しました！はせがわさん、鵜飼さん、岡谷さんが講演！僕も参加しますので、お会いできるのを楽しみにしています！＞http://bit.ly/cSYUIL

yumano: 新潟にいるからいけない（T-T RT @amidaku: 「ブラックハットジャパンその後 関西編」参加します http://d.hatena.ne.jp/isol/20100914/1284468838

hasegawayosuke: ニセ脆弱性とニセセキュリティを満載した虚言まみれのプレゼンがほぼ完成。あとは Conclusionだけだ。70ページくらいかな。

hasegawayosuke: 「ブラックハットジャパンその後」で話す内容についてブログ書いた。 http://d.hatena.ne.jp/hasegawayosuke/20100914/p1

ncrack0.3について、いろいろできることが増えたみたいなのですが、まだ触ってないので時間作って触ってみたいなあ。

ntsuji: ncrack-0.3ALPHA入れてみました。ヘルプにはMODULESにRDP,SMBの表記がないですが「-V」するとでてきましたよ。

ntsuji: ncrackのオプションを真面目に読み始めましたよ。色々と柔軟な記述ができるのねということが分かってきましたよ。nmapの結果を読み込ませられるのもよいですね。

個人で他人のカード情報を知ってても、あんまり使い途がないのですが、大きな組織で世界を股にかけることでいろいろ隠せるんでしょうね。

gohsuket: 個人情報保護、プライバシー議論の関係者は必読 RT @MasafumiNegishi: RT 解説：システマチックに大量流通--クレジットカード情報を売買する「闇サイト」の実態 - http://j.mp/9JjLF8

IPAにはもうちょっとがんばってほしいものですね。

Akira_Murakami: いわゆる脆弱性情報等に関して連携をしたっていことですかね？ RT @cchanabo: RT @cnet_japan: IPAとNISC、政府機関の情報セキュリティ対策で連携 http://bit.ly/d9DSjH

これが中国ハッカーからの日本攻撃に使われたりするのでしょうか。

yumano: 阿拉丁UDP洪水攻?器2.1 http://www.cnxhacker.com/Soft/hacker/ddos/200608/546.html 単純なUDP floodっぽい

またですか。これでiOSにFlash採用の道はまた遠くなったような。

MasafumiNegishi: RT Flash Playerにもパッチ未提供の脆弱性、これを悪用した攻撃も発生 - http://j.mp/afQP5V

裏では変態紳士養成キャンプだったりしたのでしょうか＞＜

yumano: 読んでわかったこと⇒キャンプは変態の集まり RT @tyage: [セプキャン] / ＠IT：そこはコンピュータ版「精神と時の部屋」（1/3） http://htn.to/s8V3Wm

9月10～13日くらいのtwitterセキュリティクラスタ

引きこもりのはずなのに出張という甘い言葉に誘われてつい外に出てしまったものの、行き先はタコ部屋でした。
仕事って大変ですね。ということでようやく脱出してきましたが、まだちょっと忙しくて困ったものですよ。

ぼくも脆弱性を検査しようと思ってKindle3を買いました。ポートは1つも開いてませんが、USBストレージに見えるから、ウイルスだって混入するかもしれません＞＜

hasegawayosuke: 「%s を買えば %s の脆弱性を研究できますよ。」←人に新しいガジェットを買わせるときに便利なテンプレ。

ockeghem: あなたの場合は、自分が新しいガジェットを買う際の言い訳（自己正当化）では?www RT @ymzkei5: RT @hasegawayosuke: 「%s を買えば %s の脆弱性を研究できますよ。」←人に新しいガジェットを買わせるときに便利なテンプレ。

ということでUSBストレージに見えたのではないかと思われるルータにウイルス混入だそうです。昔はBBルータってデフォルトでインターネットからデフォルトパスワードで入れるものがあったりしましたが、今はどうでしょう。

kalab1998: このルータはUSBストレージに見えるということかな?QT @nikkeibpITpro: バッファロー、NTT東日本のモバイルルーターにウイルス混入（ニュース） http://j.mp/cM58tL #itprojp

Linuxのサポート切れについて。まあ、Windowsってサポート切れるまではWindows Updateがあるものの、昔のLinuxにはそんなものはなく、担当が手動でがんばるイメージで、しかもパッチも提供されなくなったらそれは大変痛いなあとか。

ockeghem: Windows2000のサポート切れ問題に対して、Linuxにすればという意見はもっともだと思いつつ、サポート切れのRed Hat Linux使い続けているところも相当あるようなので、実は似た状況はLinuxにもあるんです

ockeghem: 脆弱性診断でPHPのバージョンが古いから更新してくださいと報告した際に、「検証が大変だからできない」という答えは予測の範囲だったが、実際に帰ってきた答えが「Redhat更新するお金がないからできない」だったのは僕には新鮮な驚きだった。彼らにはPHPも無料じゃないんだ

hebikuzure: @ockeghem 結局スキルやスキルを獲得する時間を金で買った以上、どこまでもお金を使うしかない状況になるという事が正しく認識されていないのだなあ。

ockeghem: ですね。だからそういう人に「CentOSやUbuntuなら無料です」とは勧めにくいです RT @hebikuzure: @ockeghem 結局スキルやスキルを獲得する時間を金で買った以上、どこまでもお金を使うしかない状況になるという事が正しく認識されていないのだなあ。

hebikuzure: これからスキルを上げようという人 (組織) ならいいんですけどね。まあ Windows ならスキル無くてもいいのかというとそれはまた違うんですが ww QT @ockeghem: ですね。だからそういう人に「CentOSやUbuntuなら無料です」とは勧めにくいです

connect24h: VMware ESXi USBパススルー評価記事。blog書きました。@ShigeoKagami 自宅サーバ使いに贈るVMware ESXiがUSBパススルー機能によりネ申木幾に昇格した瞬間 http://ow.ly/2AChT

MasafumiNegishi: RT 車載コンピューターをハッキングされてハンドルもブレーキも利かなくなる恐怖！ - http://j.mp/aMMyRu

yumano: EMETを用いた脆弱性対策。普通の人には無理不可能！！ http://japan.cnet.com/news/service/story/0,3800104747,20419900,00.htm

ntsuji: ncrackにRDPやSMBモジュールが追加されて、ブランクパスワードへの対応もなされた模様ですよ。 http://nmap.org/ncrack/

sen_u: 紅客連盟中国が18日までに日本政府機関Webサイトを攻撃する方針を発表。そのターゲットリスト http://www.cfdd.org.cn/bbs/thread-71680-1-1.html

hasegawayosuke: 愛甲さんところはﾏｶﾌｨｰか。金ﾄｺさんところはトレンドマイクロのが危険サイトっていう警告だしてたな。

会議中に短縮URLをクリックすると、たまに大変なページが表示されてあせりますね。

ockeghem: マジレスすると、見えないiframe内に恥ずかしい商品表示させたら、ばれにくいですね。 CSRFといえなくもない RT @ntsuji: オススメポイゾニングと命名したいです。 RT @reptone: amazonの恥ずかしい商品の短縮URL踏ませておすすめを汚す嫌がらせ

お休みのお知らせ

出張のため月曜日までお休みさせていただきます。
あしからずご了承ください。

mattn_jp: HTMLのcharsetやtypeで偽装するなんて当たり前になってきたから、そろそろユーザ指定の属性なんて廃止して全部Guessで行こうぜ！このゲス！

hasegawayosuke: 昔,IEがPNGをHTML扱いしてたときの理由がそれ。「サーバから送られてきた Content-Typeが信頼できないのでIEが自分でファイルタイプを判断する」って。アホかと思った。 https://twitter.com/mattn_jp/status/23867076757

9月7日のtwitterセキュリティクラスタ

昨日までのクソ暑い日々から一変して、今日は土砂降りの雨です。落差が激しいですね。

twitterのXSSです。まだまだありますね。

kinugawamasato: dev.twitter.com XSS still hasn't been completely fixed. http://bit.ly/dvpJyO #XSS #twitter

展開されるURLはこんなかんじ。
http://dev.twitter.com/search?query=%25C0%3C/script%20%25C0%3E%25C0%3Cscript%20%25C0%3Ealert%281%29//%25C0%3C/script%20%25C0%3E

そして、これじゃないようですが、TwitterのXSSで、閲覧者のCookieが狙われているみたいです。

MasafumiNegishi: RT Attackers Target Twitter XSS Bug - http://j.mp/a71ygf

MasafumiNegishi: RT Twitter XSS in the wild - http://j.mp/cyJ24j

日本語記事があるようなので追加しておきます。

tdaitoku: RT Twitterで悪質なスクリプトが流通、cookie盗難の恐れ http://bit.ly/9gY3sj

プロの目からもやはりいろいろおかしいみたいなので、これからもまだいろいろ起こるかもしれません。

hasegawayosuke: Twitterは文字コード周り、やっぱりおかしいね。

ルートサーバーに続き、いよいよjpドメインにもDNSSECが導入されるようです。そして、DNSSECって使われてるの？の答え。

Murashima: JPドメイン名サービスへのDNSSEC導入、2011年1月16日に決定 -INTERNET Watch http://goo.gl/Tgdn

MasafumiNegishi: RT DNSクライアントによるDNSSECのリクエスト量 - http://j.mp/aHSILq

TechCrunchのヨーロッパ版が乗っ取られていたようです。日本でアダルトサイトになったのはtechnoratiでしたか。

RosehrMarketing: TechCrunch Europe hacked, serving malware http://ow.ly/2ApZK #News #Info #Security

最近、実験クライアントとして古い時計のおかしいPCを引っ張り出してきたのですが、すべてのSSLアクセスで証明書が期限が未来過ぎておかしいって出て泣きそうになりました。時計って大切ですね。

gohsuket: ん？httpsで？ RT @izuizu: chromeでtwitterのURLにどくろマークが・・・なにこれこわい・・・ http://twitpic.com/2m0fvj

高木先生からSFCの人に問題提起。近日中に情報セキュリティじゃないけど関係者に会うので聞いてみよっと。

HiromitsuTakagi: 慶應SFCの学生（特に情報セキュリティ関係）に試練の課題。2週間以内にこのサービス https://itcsecure.sfc.keio.ac.jp/ssh/ の中止を実現せよ。（ただし「秘密鍵生成をサーバ側で行うのが不適切」という指摘は誤りなので注意すること。）

HiromitsuTakagi: ヒント: 大学側への要望書には次の3点を説明する必要がある。(1)SSH公開鍵認証を使う意義、使わない場合との差は何か（技術的観点）。(2)このサービスの存在によってセキュリティは低下するか否か（技術的観点）。(3)それなのになぜこのサービスの中止が必要なのか（社会的観点）。

HiromitsuTakagi: ヒント: (2)の説明には少なくとも次の事実確認（とその考察）を含む必要がある。(i)鍵登録後のログイン手段、(ii)鍵登録後に強制パスワード変更があるか否か、(iii)鍵登録作業の全員への強制の有無と(i)の将来予定、(iv)当該機能を利用可能なネットワーク上の範囲。

まあ、それなら公開鍵認証じゃなくてもいいんじゃないかということですね。

kinyuka: KO大学の鍵の件、何が問題なんだかいまいちわからない…　最近はSSLの鍵も生成してもらう時代だし…　http://jp.globalsign.com/service/ssl/skip/

kinyuka: 公開鍵の自動登録をしちゃうのか　それはまずいな

高木先生の批判のきっかけとなった、このサービスが紹介されているエントリがこちら。
http://d.hatena.ne.jp/daigaku-syokuin/20100905/p1

そして、参考になるエントリがこちら。
http://d.hatena.ne.jp/y-kawaz/20100907/1283849508


そしてこちらははせがわさんからの問題定義。こっちは難しくてよくわかんないです。

hasegawayosuke: JSONPを返すAPIにて攻撃者がJSONPフォーマットを壊して自由にJSを埋め込めるとしたらどんな脅威がある? そのままJSONPをブラウザで開いてもHTML扱いされないのでXSSは発生しない場合。

hasegawayosuke: (続き) JSONPの破壊が持続性を持つような場合だと、そのJSONPを呼んでいる他のサイトに対するXSSか。JSONPの破壊が反射的な場合は実害なし? 例えば callbak 名に好きな文字列が入る、みたいな。

ＩＰＡによると、職場のパソコンが感染してしまった中年サラリーマンから「どうしたらいいんだ」「何とかしてくれ」と、助けを求める電話が相次いでいるという。って中年限定かよｗ

ymzkei5: IPAセキュリティセンターの加賀谷さんのコメントあり。＞■会社ＰＣ危ない！アダルトサイト詐欺急増、衝撃の手口(ZAKZAK（夕刊フジ）)　http://news.livedoor.com/article/detail/4992024/

9月6日のtwitterセキュリティクラスタ

今日も暑いです。なんとかならないのでしょうか。


.LNKの脆弱性を使って自動実行を無効にしても実行されてしまうStuxnetウイルスについて。こいつは大変そうです。Webを見たり、共有フォルダを覗くだけでも感染するのですね。

connect24h: うわーん。こんなの出てきたら、いまからセキュリティ訓練のコンテンツに追加しなきゃいけなくなるじゃないかー。新たな攻撃手口で、USB メモリなどを介して感染拡大するウイルスが出現！http://ow.ly/2zSmQ

MasafumiNegishi: RT 「オートラン機能無効化」が効かないUSBメモリ感染ウイルス?IPAが注意喚起 - http://j.mp/bkcgJA

USBメモリやファイル共有からDLL呼び出しできるようで、次にウイルスの対象になりそうなDLL Preloading Attackについて。まあ、Active Directoryな会社はファイル共有ありまくりでしょう。

kaito834: DLL Preloading Attack では、WebDAV や SMB 接続での CWD の DLL 呼び出しが危険視されているけど、USB メモリ経由の方が危険ではないか。

kaito834: 現状 Fix It を適用すれば、WebDAV や SMB 経由の CWD の DLL 呼び出しを防げるけど、USBメモリ経由では防げない。CWDIllegalInDllSearch を 0xFFFFFFFF にする選択肢もあるけど、副作用が心配。

kaito834: 根本的には影響を受ける各アプリケーションが修正する必要があるわけだけど、すべてのアプリケーションがすぐに修正されるわけではないだろうし。LNK ファイルの脆弱性（MS10-046 で修正）も知る限りだと、USB メモリ経由での悪用事例しかない。

ucq: @kaito834 自分もそう思ってるのですが、あまり言われてませんよね。LNKの方の影響が大きくてってのもあるのかもしれませんが。

ucq: 前からDLLの検索順位はたびたび話題になってたけど、ここまでひどくなるもんだと思ってなかったなぁ。。。

kaito834: @ucq なんでですかね。WebDAV や SMB を使ったインターネット経由のファイル共有って、どこまで使われているのかが疑問です。少なくとも、自分では業務でも使うことないので、悪用されて成立するの？という感じですね。

Niktoってずいぶん昔のものの印象があったのですが、まだ更新されているのですね。

MasafumiNegishi: RT Nikto 2.1.3 released - http://j.mp/anUd7i

意味はよくわかりませんがこの表現はどこかで使ってみたいです。

ucq: なんだと！？ >「当サイトへのリンクは不正アクセス禁止法で制限できます。 」

銀行って右クリック禁止が多い印象が。あと僕の使ってる銀行でもソフトウェアキーボード使わないとアラートが出て非常にウザいです。

ockeghem: 北國銀行さんのオンラインバンキング、今時右クリック禁止とかソフトウェアキーボードとか、意味のない「セキュリティ対策」を律儀にやっている感じですね

高円寺あたりでもやらないものでしょうか。もしくは阿佐ヶ谷とか野方とか。

ripjyr: IT勉強会において、神奈川による逆襲が始まった。めっちゃくちゃ増えてきた気がする。

レポート読んでると行きたくなりますよね。

smokeymonkey: 愛甲さんが面白い話してたのかwこれは見たかったなぁ。　Watching:エフスタ!!＆東北情報セキュリティ勉強会 レポート - ふぁいんでぃんぐねもの日記 http://bit.ly/dfEUMU

どこなんだ…

bulkneets: あらtwitter未修正のXSSさらされてる

前任者から引き継ぎなく回ってきたものに手を入れて、それをまた引き継いで…

bugbird: ヒント：手段が目的になってしまっているから　RT @bakera: 何が目的なのか全く理解できないセキュリティポリシーが多すぎる。

NTTもいろいろやってるよなあとか。

hir0_t: 大湊さんでてる RT @ntsuji 第9回　NTTグループの「NTT-CERT」――研究所の活動として運営，研修開きノウハウを伝授 http://bit.ly/ctoEdj

RubyのWebアプリの脆弱性検査フレームワークですか。

kikuzou: Arachni - Web Application Vulnerability Scanning Framework http://bit.ly/doviAd

9月3日のtwitterセキュリティクラスタ

あっという間に週末です。貧乏暇無しですね。


名前がややこしいiTunesのPingですが、プライバシー的には結構問題みたいですね。iTunesの情報はカード情報と紐付いていることが多いので、できれば明かされたくないのですが…

abfly: Ping、デフォルトで実名と住所（市区まで）が公開になってます。もしまだでしたら住所は消した方がいいかも。名前は変えるとクレジットカードの請求名が変わってしまうので変えると厄介な事に RT @Mkikai: iTunesのPing登録してみたけど、なんだかまだよく分かんね。

Mkikai: 住所はぼかしました。名前は実名漢字表記をローマ字(実名)に直しましたけど、これでもカード関係まずいですかね？RT @abfly: Ping、デフォルトで実名と住所（市区まで）が公開になってます...名前は変えるとクレジットカードの請求名が変わってしまうので変えると厄介な事に

abfly: .@Mkikai どうなんでしょうね。ローマ字なら大丈夫ではないかと。クレジットカードとのひも付け、やめてほしいんですけどね。実名制にしたいのでしょうけど……

abfly: まてよ……。Ping、名前クレジットカードの名義とひも付けされてるという事は………Lady GAGAってクレカの名義ガガなのか！？

yumano: やっぱ、google buzzなみのセキュリティホールが・・・ orz RT @abfly: Ping、デフォルトで実名と住所（市区まで）が公開になってます。もしまだでしたら住所は消した方がいいかも。名前は変えるとクレジットカードの請求名が変わってしまうので変えると厄介な事に R

Mkikai: 実名制は自分的にはOKなんですが、クレカとかその辺と切り離せないのは恐いですねー RT @abfly: @Mkikai どうなんでしょうね。ローマ字なら大丈夫ではないかと。クレジットカードとのひも付け、やめてほしいんですけどね。実名制にしたいのでしょうけど……

最近仕事で某SaaSに関わってますが、ハニーポットとか構築すると激怒されそうですｗ

kensukesan: さくらのVPS、カーネルレベルのKVMで完全仮想化なので、ハニーポッドの運用とかにいいかも？ http://tinyurl.com/27jeysf #spcamp

いよいよサービスレベルでもv6なんですかね。某v6の本場ではアプリケーション層とLANに関しては悲観的ですが、どうなんでしょうね。

otsune: IPv6の大規模トライアル、ドワンゴ、ミクシィ、ヤフーらが参加 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100902_391168.html

つか、いつでもなんでも情報収集しておくに越したことはないと思いますが。

topitmedia: Windowsのショートカット処理に関する脆弱性などを例に。／「新手のサイバー攻撃には情報収集が不可欠」、IPAが注意喚起 - ITmedia エンタープライズ http://ow.ly/2yWLU

9月2日のtwitterセキュリティクラスタ

忙しく仕事している間にもう週末ですよ。忙しいって大変だなあ。


いろいろなところからレポートが発表されているDLLハイジャッキング脆弱性ですが、ようやく回避ツールが出たようです。

msaitotypeR: Microsoft、DLL読み込みの脆弱性について回避策適用ツール「Fix it」を公開 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100901_390757.html?ref=rss

引き続きcalc.exeについて。遠回しにドコモがバカにされているのが面白いです。

hasegawayosuke: calc.exe を実行禁止にしておけば、バッファオーバーフローも怖くないですね！

ockeghem: ドコモがXSS対策としてalertを殺したように、マイクロソフトがバッファオーバーフロー対策としてcalc.exeをバンドルしなくなる日も近いか

そして、こっちもまずいんじゃないかと思うQuicktimeの脆弱性です。ビデオは相変わらず電卓。

yumano: calc.exeが起動しない・・・orz ie6 + quicktime 7.6.7 じゃダメなのかな？

yumano: あれ、計算機をちゃんと立ち上げてるのになぁ http://www.youtube.com/watch?v=iCN02i713CY&feature=youtu.be&a

kikuzou: @yumano WinXP SP3 + IE8 + QuickTime 7.6.7 の環境では動作しました。

yumano: @kikuzou IE6->IE8にしたら行けました。Test OKと書いてあるけど、動かなかったのはどうしてだろ。それにしても、DEP ONで突き刺さるのはス（ｒｙ

確かにエラーが出なければSQLインジェクションって人からは見つけられないかもしれませんが、エラーを見ないツールやボットは関係ないかも。

ikepyon: そういや、この間「SQLインジェクションの危険性があります」といったら、「検証環境なんで、エラー表示があったから見つかったんですよね。本番環境ではエラー表示が無いからみつから無いですよね？」みたいなこと言われたorz

ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz

gutei: 気付かない（ふりの出来る）ことは存在しない RT @ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz

ikepyon: 知らぬが仏って奴ですねorz RT: @gutei: 気付かない（ふりの出来る）ことは存在しない RT @ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz

いいだしっぺが作る法則なのでしょうか。

ikepyon: 結合テスト後のセキュリティテスト方法はLASDECのWeb健康診断をやれば良いと思うけど、単体テストでの指標なりテンプレート、ツールが欲しいなぁと思っている今日この頃

ネットにつながってると何でも危険な可能性があるということなのでしょうか。気にしすぎって気がしなくはないですが。

lac_security: IPAさんから　「デジタル複合機の脆弱性に関する調査報告書の公開～多機能化するデジタル複合機に潜む脆弱性の多角的な調査～」がでてますね。　（＾む）　http://www.ipa.go.jp/about/press/20100830.html

CISCOじゃないみたいです。

lac_security: 気になるニュース　セキュリティ責任者のユーザー会「日本CISO協会」が発足　（＾む）　http://itpro.nikkeibp.co.jp/article/NEWS/20100901/351687/

ちょっと楽しみです。以前もこういうイベントありましたよね。

MasafumiNegishi: RT 研究者が宣言、「有名ソフトの『ゼロデイ脆弱性』を毎日公開する」（ニュース） - http://j.mp/bd4RjD

9月1日のtwitterセキュリティクラスタ

新しいiPod nanoと、iPod touch、とiPod shuffleが発表されたようです。特に使い途もないのですが、ほしくなりますね。


そういやUNYUNさんがWindowsの脆弱性突き始めた頃から実行するのは電卓でしたね。なんでだろ。

ntsuji: デスクトップ上にcalc.exeが上がっていると任意のコードを実行したんだーと思ってしまいますよ。

ockeghem: 任意のコードが実行されるって、実は理解されにくいんだけど、「任意というのは電卓のことか」と思われても困りますね～ XSSのalertも似た感じだけど

yumano: それ以外でcalc.exe立ち上げることないし・・・ RT @ntsuji: デスクトップ上にcalc.exeが上がっていると任意のコードを実行したんだーと思ってしまいますよ。

つか検出方法の方が気になりますが。

hasegawayosuke: プライベートブラウジングがリモートから検出可能になると、プライベートブラウジングでは通常の動作をしない、ひねくれたWebアプリが出てくる可能性が。「堂々と見てくれ。ちゃんと履歴に残して、再訪してくれ。」という主張で。

ソーシャルエンジニアリングについて。社会工学っていう訳語と実際にやることの乖離は気になりますよね。

uta46: この講師の仕込んだキーは 2501 かもねというような所から攻めるのがソーシャルエンジニアリングです。 #itkeys

tama_nara: そういわれてみるとソーシャルエンジニアリングについて詳しくは講義していません。これもちゃんと教えないと行けないですよね... RT @uta46: この講師の仕込んだキーは 2501 かもねというような所から攻めるのがソーシャルエンジニアリングです。 #itkeys

uta46: .@tama_nara ソーシャルエンジニアリングを日本語にすると社会工学と書いてあることが多いのですが、社会でも工学でもなく、社交工作くらいの方が適当なのではないかと思っています。 #itkeys

なりすましのやり方が簡潔に解説されています。参考に…　せずに防御に役立てましょう。

tdaitoku: RT 巧妙化する「なりすまし犯罪」、サイバーと伝統的な手口から身を守る方法 http://bit.ly/brCrPo

実装できないかどうかはともかくこれを機会に止めちゃうアカウントが多そうなので、そいつらはリムーブしたいですが探すのも面倒ですし。

mincemaker: Basic認証のTwitter Botしか実装できない人達がサービス終了しているみたいなのでアカウント纏めとか欲しいな。

QuickTimeって使わないのに入れられてることが多いので、こいつは流行りそうですね。

kikuzou: QuickTime 7.6.7 の脆弱性(CVE-2010-1818) ですが、任意のコマンドが実行されることを確認しました。きれいに動くのでヤバそうです。

MasafumiNegishi: RT Backdoor discovered in QuickTime - http://j.mp/d9Ka6x

信頼性とか考えてると短縮URLって危険すぎて使えないですよね。

sugusugu77: twitter で使っている tiny URL のマッピングが信頼性を持って行われていることは、どう保証しているのかな。昨日の議論で、かなり気になった。どうなんだろう。

今のところAmazonからしか買えないのですか。そうですか。流通絞るって大切ですね。

miryu: お、出ましたか / 情報処理推進機構：情報セキュリティ：情報セキュリティ白書2010 http://htn.to/rELYdN

OSのバージョン指定までされて…　XSS廃人限定問題ですね。

hasegawayosuke: XSSチャレンジ…。 ４問目がさっぱりわかんないな。 http://sla.ckers.org/forum/read.php?24,35534,35534#msg-35534

8月31日のtwitterセキュリティクラスタ

懸念されていたことですが、いよいよ9月が始まったようです。8月は仕事ばかりしていたので9月は休みたいです。


延期されていたOAuthへの全面移行がいよいよ来てしまいました。私の使っているサイトやツールはすでにOAuthなのですが、これを機会にやめちゃうところとか、

itmedia_news: Twitter、8月31日からAPI認証をOAuth方式に全面移行し、BASIC認証を終了^海外担当 http://bit.ly/bK9mXn

国内販売できるようにするにはソースコード提出させたりするのでしょうか。そして数年後には似たような製品が中国メーカーから発売されたり。

uemat7: 中国の規制強化で外国セキュリティ・ベンダーが締め出されるおそれ http://www.computerworld.jp/topics/vs/189091.html

脆弱性を報告することで、相手に修正に費用をかけさせたり恨まれたりするというリスクは心の片隅に留めておかなきゃいけませんね。

Vipper_The_NEET: もし，ばけらさんとか俺とかがIPA通じて報告したような脆弱性云々で修正費用発生してたらと思うとなんかキツイな。

Vipper_The_NEET: 図書館にコスト負担させるつもりでやってるわけじゃないんだけどなあ・・・

mutsuki99: そこの誤解は解かないとまずいですね。頑なに敵視されるのは避けたい。コストが発生したとしてもきっかけと原因は別ですし。 RT @Vipper_The_NEET: 図書館にコスト負担させるつもりでやってるわけじゃないんだけどなあ・・・

Vipper_The_NEET: IPA経由なので誤解は避けられると思いたいですが，結果としてそうなってしまうのは心外・・・ RT: @mutsuki99: そこの誤解は解かないとまずいですね。頑なに敵視されるのは避けたい。コストが発生したとしてもきっかけと原因は別ですし。

全部のサイトで証明書が有効になったりしちゃうのでしょうか。

secuniadvisory: [2/5] Mozilla Firefox NSS Certificate IP Address Wildcard Matching Vulnerability http://secunia.com/advisories/41244/

60万ドルかあ、いいなあ。ほしいなあ。

risa_ozaki: Hackers Steal $600000 from Catholic Diocese http://ow.ly/18NykR via @WebSecurityNews

暗号化キーとか何とかなっちゃうもんなんですね。やってみたいです。もちろん電波法違反ですけどね。

connect24h: 勝手にケータイの基地局を立ち上げて、全通話を盗聴可能にしちゃいました！ http://bit.ly/aSIA6H

ここで新バージョンですか…　原稿書いているのでうれしいようなうれしくないような。

hebikuzure: "Wireshark 1.4 does not support Windows 2000" 仕方ないか... QT @hebikuzure: Wireshark 1.4.0 リリース。1.3 ってのは無かったんだ。http://www.wireshark.org/

ネットゲームとかマイクロペイメントなものはアカウント取るだけでいろいろできそうですし、注意したいものです。

antiphishing_jp: 緊急情報：PlayOnline(プレイオンライン)を騙るフィッシング(2010/08 /31)を掲載しました。https://www.antiphishing.jp/alert/alert456.html

クロスドメインでリソースを読み込むタグについて。いろいろあるんですね。

hasegawayosuke: CSSを介したクロスドメインでの情報漏洩は、ブラウザ側が修正すべき問題であり、Webアプリ側で対策する必要はないと思うので、書籍には「過去にはそういう問題もあった…」程度でよいように思います。

hasegawayosuke: クロスドメインでリソースを読み込み可能なのって他に何があるだろう。 CSS,<script>,<img>,<iframe>,<object>,<embed>,<input type="image">,importScripts,XHR,...

azu_re: <APPLET>と<BGSOUND>はクロスドメインなもの読み込めたっけ?

hasegawayosuke: @azu_re なるほど。最近だと、 <video> あたりもそうですね。

hoshikuzu: んー。<image> 。 RT @hasegawayosuke: クロスドメインでリソースを読み込み可能なのって他に何があるだろう。

masa141421356: @hasegawayosuke iじゃない frame、あと、XHRで読み込んだ XML の DTD もいけた気がする