スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

10月29日のtwitterセキュリティクラスタ

今日は台風だそうなので家に閉じこもって自宅のセキュリティを固めようと思います。

気になったことはこのあたり。

JVN: Adobe Flash に脆弱性 http://jvn.jp/cert/JVNVU298081/

Murashima: ScanNetSecurity - 「Adobe Flash Player」に新たな脆弱性、ゼロデイ攻撃に注意(アドビ) http://goo.gl/yBB7



Murashima: ScanNetSecurity - KoobfaceワームのMac OS X版を確認、まだ不完全で感染はせず(Intego) http://goo.gl/nV7u



connect24h: GJ!! RT @kikuzou: アフィリエイト目的のようです。ウイルス解析担当者GJ!! RT: @trendmicro_jp: [セキュリティブログ]アフィリエイトによる金銭取得が目的!? http://ow.ly/1rjxk3



hasegawayosuke: (無名function内で動かすという制約条件を満たせば)JavaScriptは6文字種の記号の組み合わせでチューリング完全ということがわかった。7文字のx86機械語より1文字少ない!勝った!



hoshikuzu: 『XSSなんてへいきのプー!』 という記事はいつ発表されるのだろうか・・・まちどおしい。



kinugawamasato: TwitterのIE onlyなXSSなおったよー! http://bit.ly/bKFRuI

kinugawamasato: ついでにTwitterに割と問題なCSRFみつけたので報告する



tessy_jp: 1337とかも?w RT @Musshar 車のナンバー443とか139見ると、お!って思ってしまう自分がいやだ(´Д` )



paymentnavi: PCI DSSのVer.2.0の翻訳版NTTデータ・セキュリティ、日立ソリューションズが公開しています。米国現地時間の10月28日に公開となりました。 http://bit.ly/aAEH2v



lac_security: IPAさんから「2009年 国内における情報セキュリティ事象被害状況調査」報告書の公開について」が公開されてますね。(^む) http://www.ipa.go.jp/about/press/20101029.html



jpcert: こんにちは。東京・大阪・福岡(博多)でJPCERT/CCが運営をしているフィッシング対策協議会のセミナーが開催されます。是非ご参加ください。 ^AM  http://www.jpcert.or.jp/event/antiphishing-event2010.html

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

10月28日のtwitterセキュリティクラスタ

今日は猫の手術なのでドキドキしていますが、待つしかないので困ったものですね。

昨日はIPA Forumが開催されたみたいです。
okdt: 本日開催 IPA Forum 2010 | オープンソフトウェア プログラム詳細 http://bit.ly/aQjVTJ



診断している人たちによる脆弱性検査について。たしかにちゃんとしてるところでは脆弱性が見つからなくて大変だと思います。
ockeghem: Webアプリの診断は、@ikepyon が言うように8~9割は機械的に診断パターンを打ち込む作業なので、手診断の場合も診断機械と化して打ち込み続けるのがコツなんだけど、人間なので機械になりきるのは難しいことと、たまに念力を発揮しないといけないところが難しい

ikepyon: @ockeghem 脆弱性があるとスカッとするんですがねぇw安全すぎるサイトの検査は淡々と同じことの繰り返しなので飽きます

ockeghem: @ikepyon なんにもないと、念力やら黒魔術使いたくなりますね。手始めに「尾骶骨」と打ってみるとかw

hasegawayosuke: 黒魔術使って機械診断では漏れるような脆弱性を見つけることはできるけれど、機械と化して淡々と診断を作業としてするのは出来ません。



携帯Flashについて。そういや昔ながらの携帯ってファームウェアのアップデートってしませんよね。となるといろいろ…
ikepyon: 携帯のFlashなんてアップデートかけないから古いのだとヘッダーの書き換えできちゃったりしちゃわないのだろうか?

ikepyon: だれか検証しないかなぁ?



あと気になったのはこんなところ。

kinyuka: 今日もまた新たなファンキーなHTTPリクエストを目撃してしまった(;´Д`) WAFサービスなんてやってるとネタがたまりますなぁ


connect24h: ウィルス対策ベンダーじゃわからないと思う。あえてわかる可能性があるのはSOCか、組織内部にインシデント対応部隊がある組織くらい。 RT @wys_: シマンテック、マカフィー、トレンドマイクロ等 大手ウイルス対策ソフトが無反応だったのが感染拡大の原因かな。


cchanabo: #isaca RT @shita: ITGI Japan カンファレンス 2010「クラウドコンピューティングの真の価値を探る ?セキュリティとコントロールの評価を中心に? 」 11/17 http://itgi.jp/conf201011/index.html


decoy_service: .@youmeen 12/18(土)13:00から、博多駅付近にてセキュリティのカンファレンスやります。あんな人やこんな人も来ますよ。80名まで入れる予定なので、みなさんでお越しくださーい。 #hackinthecafe #kupf


Murashima: 「.com」サイトの3つに1つが危険サイト 日本にも潜在的リスク - ITmedia エンタープライズ http://goo.gl/4wUy


ockeghem: おっともう修正されましたか。CVE-2010-3765 / MFSA 2010-73: document.write と DOM 挿入の組み合わせによるヒープバッファオーバーフロー http://htn.to/e17zu1

テーマ : セキュリティ
ジャンル : コンピュータ

10月27日のtwitterセキュリティクラスタ

いきなり冬が来たみたいに寒くなりました。キーボード用の手袋ってないのでしょうか。


いつも使っているFFに脆弱性がとりあえずJavaScriptをオフにするかNoScriptを使えばいいのですね。
norix: Firefox 3.5 と 3.6 の重大な脆弱性について http://bit.ly/9v749e


ripjyr: I'm reading now: Firefox 3.6と3.5に重大なセキュリティ問題、JavaScript無効化で一時回避 | エンタープライズ | マイコミジャーナル http://bit.ly/bLD2UZ



ちらちらTLに出ていた「mstmp」ウィルス関連の記事がようやく現れたみたいですね。デビューおめでとうございます。
connect24h: 記事出ました。今回は、zou団@k4mez0uさん、@kikuzouさんとの共同執筆です。RT いきなり襲ってきた「mstmp」ウィルスに大わらわ - セキュリティ、ここが不安:ITpro http://ow.ly/30i7g

kikuzou: zou団 ITproデビューw 「いきなり襲ってきた「mstmp」ウィルスに大わらわ : ITPro」 http://bit.ly/c16h2Q



そして、JPCERTとIBMからもレポートが出ているようです。
jpcert: 「アクセス解析サービスを使用したWebサイト経由での攻撃に関する注意喚起」を公開しました。PC がマルウエアに感染しているか確認してください。^YK https://www.jpcert.or.jp/at/2010/at100028.txt


shu_tom: New Blog Post: ドライブ・バイ・ダウンロード攻撃で感染する”mstmp”ウイルスについて(Tokyo SOC Report) http://bit.ly/bKzsvn 遅くなってしまいましたが、JPCERTからも注意が出ている件です。



一方IEは。
okomeki: IPAよりIEのiso-2022-jp脆弱的なバグが12月修正されるらしい。



診断ってページ5万くらいなんですか。とちょっと漏れる脆弱性診断の裏に興味津々ですw
ockeghem: 昨日の @ikepyon の講演で釈然としないのは、まともな脆弱性診断頼むと開発費より高くつくかも、というとこなんだけど、いま診断のページ単価は高くても5万円以下くらいだと思うので、1ページ3万くらいで開発してくれるとこがあるということ? それとも弊社が安く過ぎるのか?

ikepyon: @ockeghem あそこで話したのは、全ページ診断しないと漏れがあるかもよということと、それをサービスに頼むとけっこうするよ。と言うことなんです。不当に高いと言うイメージを診断サービスにつけるつもりはなかったです。

ikepyon: そういった開発も300万とかで請け負うことあるだろうなぁという推測です

ockeghem: @ikepyon ややマジレスすると、不当に高い印象を与えられると診断業者としては困るのですが。100ページのアプリを診断すると高いですが、開発費も高いので…といっても100ページを全部手で診断することは、確かにまれかもしれません


ikepyon: @ockeghem そこは、古い情報しか知らないので^^;全部で100ページぐらいあったら、全体診断依頼すると結構するかなぁと


今回も密かに中の人っぽいことをやりますので、何かあれば連絡くださいませ。
connect24h: 今年もInstall Maniax 4がいつの間にか開始されているし RT Install Maniax 4 Azure祭り 碧空の勇者たち | 今度の舞台は雲の上。さあ、撃墜王を目指せ ! http://ow.ly/30fV3



あと気になったことはこのあたり。

ipv4: いつの間に、セプキャン2010の実施報告が公開されてる。今年は5.2倍でしたか。 #spcamp


yasulib: 「@random な勉強会」が10/30で台風が近づくみたいなんで、電車が心配...一応、帰れなくなった時のために泊まれる場所を探しておいた方がいいかな。 #atrandomkyoto


kaito834: おぉ!:) CVE-2010-0840,CVE-2010-0886あたりですかね?。 RT @shu_tom: こんなのどうでしょう http://bit.ly/92ew7t QT @kaito834: 最近悪用されているJava関連ソフトウェアの脆弱性に変化はあるのかな。


port139: 不正調査での当局の情報力に脱帽!専門家が駆使する「デジタルフォレンジック」技術とは http://diamond.jp/articles/-/9874


NobMiwa: 勝手クラウドにご用心 http://bit.ly/d5Gxpb


sonodam: CYBEXのお話ナウ。>http://www.atmarkit.co.jp/fsecurity/rensai/cybex01/cybex01.html


expl01t: P2PサービスのLimeWireが停止 裁判所命令でhttp://www.itmedia.co.jp/news/articles/1010/27/news048.html // 確かに LEGAL NOTICE が出ますね http://www.limewire.com/ja/


sonodam: フィッシングサイト自動判定の話。ブラウザのプラグインレベルに落とすことができたらいいなー。


ymzkei5: ■Kazuho@Cybozu Labs: XSSに強いウェブサイトを作る ? テンプレートエンジンの選定基準とスニペットの生成手法 http://developer.cybozu.co.jp/kazuho/2010/10/xss-f211.html

テーマ : セキュリティ
ジャンル : コンピュータ

10月26日のtwitterセキュリティクラスタ

昨日は第一回神泉セキュリティ勉強会が開催されました。惜しくも行けなかったので、これについてのつぶやきをまとめておきました。ツイートを見ているだけで食いつきの良さが感じて取れますw




お久しぶりのびっくり爺さんです。AVTokyoも近いので復活してきたのでしょうか。
jii3: 今度は、ハッキング・クイズ!「パスワードの盗め」なのじゃw http://www.p-sec.net/pw/2010/10/post-70.html



怖い会社…
yarai1978: ウチの社内でただいまこれが流行中。 http://japanese.engadget.com/2010/10/25/iphone/ iPhone のロック画面を迂回するバグ、履歴や連絡先、写真にアクセス可能



SSLからSSLじゃないサイトに移行するときは警告とか出てた気がするのですが普通の人々はすっ飛ばしますよね。というかIFLAMEとかJSとかで引っ張れたりするのでしたっけ。
hasegawayosuke: クライアント側でSSLを強制って難しいよね。twiterでいうと、twitter.com と api.twitter.com をssl指定していても、 ja.twitter.com とかに誘導されたらアウトだし。どのドメインが生きててCookie共有されてるのか把握できない。

tomoki0sanaki: @hasegawayosuke punnycode?

hasegawayosuke: @tomoki0sanaki TwitterのURL判別がくさってるだけです。



あと気になったのはこんなところ。

ikepyon: だれが、かんたんログインなんて言い出したんだろ?ログインなんていうから認証だと多くの人は思ってるんじゃないの?「かんたんログインが許されるのは小学生までが作ったサイトだよねwwww」と流行れば良いのにw



ockeghem: 高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生 http://htn.to/RqbDsR


nca_gr_jp: マルウェア Stuxnet(スタクスネット) についてを掲載しまた。(せ)http://www.nca.gr.jp/2010/stuxnet/index.html


connect24h: すいません。早くて木曜日になりそうです。RT @akibaryu: RT @connect24h: 関係者の協力のもと、mstmp系ウイルスの速報をまとめた。明日には、公開される様に頑張る。


kenji_s: CodeIgniter 2.0のリリースが近いようです。 http://codeigniter.com/news/whats_happening_now/ #codeigniter


suzukimasatomo: Pマーク制度の収益は、しょうもない雇傭維持と団体存続のために費消されてしまうのではなくて、日々新たな問題が発生する行政ニーズに機動的に応える役所の第二の財布として機能すべきなのだ。研究会運営、シンポジウム開催、パンフレット作成など手足となって金も出して行政を補完すべきなのだ。


ymzkei5: ■「違法DLでネット切断」法で、レーベルから1日2万5000件の通報 - ITmedia News http://www.itmedia.co.jp/news/articles/1010/26/news057.html


ikepyon: セキュリティ検査の誤解みたいなお題で誰かしゃべってくれないかな?検査すれば脆弱性がみんな見つかると思ってる人多そうだしw

テーマ : セキュリティ
ジャンル : コンピュータ

10月25日のtwitterセキュリティクラスタ

昨日話題だったクロネコモバイルの脆弱性についてまとめておきました。サイト、ブラウザーどちらの作成者も対応がよかったようで、すでに沈静化したようでなによりです。





惜しくも今使ってる3.6.3には対応していないと言われたのでソース直す必要がありそうですが、ぜひ使ってみたいものですね。
yasulib: エフセキュアブログ 「「Firesheep」:複雑だったことを容易にするツール」 mikko_hypponen氏 http://blog.f-secure.jp/archives/50457114.html



あと気になったことはこのあたり。

dry2: 最近の改ざんサイトの言い逃れが醜いなぁ。潔くやったらと思うけど。日本ではまだ、犯罪者扱いなのかなぁ?悪いのは改ざんした奴なんだけど。でも、隠しても分かるんだよね。言えないけど。


akirakanaoka: 後で見る。 IPA「欧州ENISAのクラウドのセキュリティに関するガイドラインの翻訳」 http://www.ipa.go.jp/security/publications/enisa/index.html


bulkneets: AutoPagerizeアップデートしないのは別に自由だと思うのだが 1.彼らに配慮した結果としてテストケース(悪用コードにもなる)の公開が阻害されていないか? 2.作者やテストケースの提供者は免責されるのか、被害にあっても自己責任というのは徹底されるのか? ということを考えてる


MasafumiNegishi: RT Nessus Reaches Plugin 50000 - http://j.mp/cK3ohD


connect24h: 関係者の協力のもと、mstmp系ウイルスの速報をまとめた。明日には、公開される様に頑張る。


yumano: Hootersセキュリティ勉強会(ボソッ

テーマ : セキュリティ
ジャンル : コンピュータ

9月23~24日のtwitterセキュリティクラスタ

まっちゃ445参加させていただきました。立派な壁の花として咲いてきましたよ。相手してくださった皆様ありがとうございます。
vulcain: イベント開催時に事前に確認が難しい事はその場で確認して既成事実化する。事前にルール化すると押しつけ感があるけど、現場でやると相互同意が取られたという雰囲気を醸し出すため納得されやすい。



まっちゃ445でもテーマとなったlibrahackについて。個人だと2000あるですが、パッケージ売る方としては2000しかないんですよね。
tetsutalow: 今や自治体なんて全国2000弱しかなく、公共図書館パッケージの市場規模もその程度。それをまた結構な数のベンダで取り合ってる上、1ベンダ内でも複数のパッケージがある。おまけに各図書館の現場の要求は多種多様。これじゃ現実はコード流用による個別開発になりますわね。 #librahack



クロネコの荷物の状況がわかるサイトに脆弱性があったみたいですね。IDのなりすましができるとか。これまで問題提起されてたことと関係があるのですかね。
HiromitsuTakagi: 私の日記サイトで閲覧障害w。何事?と思いきや、ヤフーニュースからリンクされてる。http://dailynews.yahoo.co.jp/fc/computer/iphone/ (ちなみにこの記事は、今日の読売朝刊の方が詳しく載ってるので、そちらを。)

HiromitsuTakagi: 他のサイトも同様になってる。http://brd.dailynews.yahoo.co.jp/SIG=11pb5l8fh/EXP=1288568775/*http%3A//blog.rocaz.net/2010/04/873.html これは、レンタルサーバで作るサイトの限界。

masa141421356: 偶然ぶつかると危険な動作が発生する問題は、攻撃者が実用的なコストの範囲内で意図的にぶつけることが可能なら場合は脆弱性と判断するべき



と思ったら単にクロネコの問題なのですか。
ockeghem: だとすると、SBrowserのせいみたいに書いた読売は誤報だな。これはクロネコヤマトモバイルサイトの問題

ockeghem: (1)SBrowserがダミーで共通のケータイIDつけていた、(2)サイト側がIPアドレス制限かけていなかった、(3)同じケータイIDのユーザ同士で個人情報が漏洩、と推測。結論:サイトの脆弱性と推測される / iPhoneで人の情報丸見… http://htn.to/bMJa1g

ockeghem: SBrowserが共通のケータイIDをつけているために、IDの衝突が起きたのかな? いわゆる別人問題>クロネコヤマトモバイル



個別ブラウザーへの対応は新しいものがどうなるか予想するのが大変そうです。
bulkneets: ある程度自由にタグがかけるサービス、次ページ判定誤爆 + XHR level2でクロスドメイン可能になったことに起因するXSSが可能だったので報告して直りました。

bulkneets: 拡張機能じゃなくても xhr.open("GET", path) でpathが任意に入力できる+evalしたり描画してるケースが危険。"/" + pathでも //example.com/ が通るので危険。"/api_path/" + pathやフルのURLにする必要がある

bulkneets: 今まで安全に動いていたものがある日突然ブラウザの仕様変更で安全ではなくなる好例だな、これ。


まあ、意図してない人もいるんでしょうけど。
connect24h: Share上の児童ポルノコレクターは「2万人以上」 ネットエージェント調査 - ITmedia News http://bit.ly/cLFQVo



AVTokyo昼の部もあるようです。おじさんは今腰が痛いのでたぶん夜だけの参加かなあ。
hasegawayosuke: AVTokyo、昼の部もやるのね。 ucq と muracue 見たいけど、ちょっと行けそうにないなあ。 http://ja.avtokyo.org/meetshj

テーマ : セキュリティ
ジャンル : コンピュータ

10月22日のtwitterセキュリティクラスタ

今日はまっちゃ445に参加しますよ。立派な壁の花として咲いてみせます。
piyokango: 明日はまっちゃ445だった。朝からいけるように早起き?しないと。



まさか、ベータだから何でも許されると思ったわけでは無かろうがすぐに修正して欲しいバグだ。だってw
MasafumiNegishi: RT FaceTime for Mac Betaに深刻なセキュリティ問題 - http://j.mp/c4PYWO

MasafumiNegishi: RT 「FaceTime for Mac」で恥ずかしいセキュリティバグ - http://j.mp/cgJBoX


午前Iが難しすぎる…
cchanabo: 【IPAより(自分用メモ)】『平成22年度秋期試験(1) 問題冊子・配点割合・解答例・採点講評』http://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2010h22.html 内容のチラ見が全然できてないー。



あと気になったことはこんなかんじ。

kenji_s: 国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog) http://ow.ly/2XFPy



jnsa: 日本セキュリティ監査協会(JASA)さまより、第1回JASA月例のご案内。「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の策定について http://www.jasa.jp/seminar/monthly2010/monthly201011.html



ikepyon: 大丈夫です。 RT: @haruyama: 第1回神泉セキュリティ勉強会 http://j.mp/dAijRH #SinSec のLTの募集は締切ました. @ikepyon さん @lilyfanjp さん @m_norii さん(ご都合いかがでしょう?) お願い致します.



yumano: 0と1でしかセキュリティを語らない人をみるともやもやする。求めているのは\爽快セキュリティ!/



tamiyata: あーこれは極悪…/報告された攻撃サイト! セキュリティツールの最新のトリック - ITmedia エンタープライズ http://ow.ly/2XvA7

テーマ : セキュリティ
ジャンル : コンピュータ

10月21日のtwitterセキュリティクラスタ

ヒマな日に限って雨ですよ。引きこもりは雨が降ると外に出ないので今日は雨が止んでほしいなあとか思います。


CSRFで強制書き込みよりは強制ログアウトの方が対策取られてるところが少なそうな予感。
ockeghem: ログアウト処理にCSRF対策していないサイトは多いので、ログアウト処理でもきっちりトークン入れとけば「こいつは堅そうだ」と攻撃者が避けて通る…という期待は甘いよね ^^;

tomoki0sanaki: おっ!確かに、見かけないですね QT @ockeghem ログアウト処理にCSRF対策していないサイトは多いので・・・

umq: @ockeghem 「ログアウト処理」に内包される処理(i.e.どんなオブジェクトを廃棄するか)の想定が違うとそのあたりかわってくるのでは。



そして引き続き、パスワードの変更についての議論。そういや昔は/etc/passwdにパスワードが書いてありましたなあ。クラックも簡単でした。
ockeghem: パスワードの定期変更をする理由を探し回った結果、今のところもっとも根拠となるかなと思うのは、「うっかりフィッシングに引っかかった際の保険的対策」…でも、それだと、3ヶ月に一回では少なすぎる。1時間に1回パスワード変更しても完全とは言えないわけだし

tomoki0sanaki: 「一般的にパスワードは8文字」と最初に言った人が、「いつ」なのか、は重要。ムーアの法則では 2倍/年で向上しているから、そろそろ9文字かも知れない...。が、私の知っている限りのISMSコンサルタントはそんな事を夢にも思っていないのが痛い...orz

ikepyon: ISO27001とかにパスワードの定期的変更とかなかったっけ?そこに書かれているから、どこもかしこも右へならえでポリシーに定期的なパスワード変更が書かれているんじゃ?

ikepyon: 誰がどういう理由でパスワードの定期的な変更をISO27001に入れたのかは分からないけど

tomoki0sanaki: パスワードの定期変更は、総当りの攻撃や、辞書攻撃には全く意味がない。なぜなら、攻撃をうける格子空間は変わらないからだ。

tomoki0sanaki: パスワード変更の利点は、「ローカルパスワードクラックが行われている場合」「既にクラックされ成りすましされた場合」だ。・・・というか、これらの前提の時点で既にアウトのような気がする。

tomoki0sanaki: 8文字のパスワードを一ヶ月に一回変更するより、10年間パスワード変更しなくても、127文字のパスワードの方が強度があるはずだ。

tomoki0sanaki: そもそも、誰が「一般的にパスワードは8文字以上」と言ったんだ?!。私の知りうる限りの ISMS系コンサルタントは誰も答えられない。まぁ、薄々あいつだろう、って疑惑はあるんだけどねぇ~...(^_^;)

ikepyon: @tomoki0sanaki 最近は知りませんが、かつては、ISMSのコンサルはISO9000とかのコンサルがなりあがっている人多いですからね。最新技術に追いついて無い人が結構いましたし

katsuny3: 強制的に変更する仕組みなら、「他のサービスと同一のパスワードを使いまわすことを防止する。」って効果もあるんじゃないですかね。 RT @tomoki0sanaki: パスワード変更の利点は、「ローカルパスワードクラックが行われている場合」「既にクラックされ成りすましされた場合」だ。

bakera: @ockeghem 大昔は /etc/passwd にパスワードのハッシュ値が書かれていてそれを誰でも読めた時代があり、ローカルでパスワード解析ができたために定期変更に一定の意味があったのではないでしょうか。今はそんなことはないので原則として無意味、という理解です。

ockeghem: .@bakera 私も同じ考えで、以前ブログに書いたことがあります http://d.hatena.ne.jp/ockeghem/20080226/p1



報道は基本的にわかってないだろうから、本当の情報を知りたいものですって、一応そっちサイドのものが書いたら身も蓋もないですね。
dry2: そういえば、広告サイト改ざんの件、報道されていること以外の事象が起きているように思う。被害が余計に拡大しなければよいが。また、JREには注意しておきましょう。アップできないところも多いので。



自炊してpdfにすれば棚も軽くなると思いますよと、休刊されると生活が苦しくなる私は思いますよ。そういやうちには全巻どころかなぜか2冊あるものがあったりします。
sen_u: それは困るわ。創刊号からの著者より。w RT @secondflash1999: @sen_u 私は増え続ける白夜書房HJ誌が休刊になれ!とどこかの誰か様が聞いたら殴られそうな事を密かに思ってます。創刊号からの読者よりQT: 定期的に本の置き場に・・・。



両方理解してると2倍働かされるからじゃないですか?
yumano: 「問題が多すぎて解決が不能」だと指摘された orz RT @publickey: ブログ書きました: 技術もビジネスも理解する人材「ギーク・スーツ」が日本でなぜ育ちにくいか? 野村総研のまじめな研究 http://bit.ly/aaPw7r



あと気になったのはこのあたり。

lac_security: IPAさんから「脆弱性対策情報データベースJVN iPediaの登録状況 [2010年第3四半期(7月~9月)]」がでています。(^わ) http://www.ipa.go.jp/about/press/20101020.html


ockeghem: 『パッケージに顧客情報が紛れ込む前代未聞の事件』<前代未聞の事件が立て続けに発生する事象は、どう形容したらいいものやら / 利用者逮捕に続き個人情報流出 - 日経コンピュータReport:ITpro http://htn.to/riAugC


security_info: 「TeraPad」におけるセキュリティ上の弱点(脆弱性)の注意喚起: http://bit.ly/c3o5Ym


yarai1978: 『アナライジング・マルウェア』は当初予定よりも若干遅れましたが、何とか年内刊行に間に合いそうです。書店に並ぶまでいましばしお待ちくださいまし。状況は追ってツイートします。


PR_M_Commerce: 情報セキュリティ対策 エムコマースのブログ : 指紋認証豆知識(その1) http://blog.livedoor.jp/mckk00/archives/1320823.html


ikepyon: しかしなぁ、映画やドラマのパスワードって、ちょくちょくユーザーの奥さんや子供の名前とか単語1つの簡単なものが使われてるけど、そんなんだったら、わざわざ危険を冒して盗み出す必要ないよね?w

テーマ : セキュリティ
ジャンル : コンピュータ

10月20日のtwitterセキュリティクラスタ


カスペルスキーのサイトが改ざんされていたようです。自分とこの改ざんはリアルタイム検出できなかったのでしょうかね。
newsycombinator: Kaspersky's Download Site Hacked http://j.mp/cIsQAZ

ntsuji: 医者の不養生 + α ですかね。 RT @vulcain: ミイラ取りがミイラは例えが違うかな? RT @ntsuji なんたる皮肉… Kasperskyのサイト改ざん ユーザーを偽サイトに転送 http://bit.ly/9QcEm1

kogawam: コード署名を徹底してれば被害出なかったかも/2008年にトレマイのサイトが改竄された事例あり。私はマカフィーサイトのパスワードリマインダ使ったら、平文メールでパスワード送ってきやがった。そんなレベル / Kasperskyのサイト改ざん… http://htn.to/dLr9aU



一昨日から話題のログイン状態の保持とCookieについて。確かにノートPCなんてサスペンドさせるだけで基本的に点けっぱなしですね。
bakera: ちなみに、最近はタブブラウザで開きっぱなしにしているユーザーが多くて、むしろ期限が無い Cookieのほうが生存期間が長い場合があるのではないか、という議論もありますが。

ockeghem: 大垣さんは間違った自動ログインの実装として『セッションIDクッキーの有効期限を長くする』を挙げているけど、トークン方式に比べてなぜリスクが増すのか説明して欲しいです / なぜPHPアプリにセキュリティホールが多いのか?:【スクリプトイン… http://htn.to/p3bSBx

ockeghem: セッションを延ばすとログインされるだけでなく、セッション変数に入っている情報まで見られるということかな? 大差ないような気もするけど、アプリケーションによっては問題になるか



まだまだ勉強会や講演会が開かれます。平日の昼間に行ける人たちってどんな人なんだろうと疑問に感じるのですが、抜け出すヒマのないぼくのいた会社が間違っていたのかもしれません。
ripjyr: I'm reading now: 第9回山陰ITPro勉強会のお知らせ - 山陰ITPro勉強会 http://sitw.techtalk.jp/sitwinfo/info09

ripjyr: 北陸のXSS Challenge登山会は12月4日になる予定だそうだ>http://bit.ly/b2VXRp

yumano: IIJ TechWeek 11/17-19 豪華メンバーによる講演!行けたら行きたいな。 http://www.iij.ad.jp/news/seminar/2010/techweek.html



川口エヴァンジェリストだったのですね。そして爽快セキュリティ流行ってるのか…
laccotv: 川口洋のつぶやき 第39回 ? 「偽ウイルス対策ソフトを進んでインストールさせるワザ」を公開しました。 http://www.youtube.com/watch?v=WqpUuLUOZOk ※音声が小さいようですので後日修正します。VolUpしてください。すみません。

Akira_Murakami: \爽快セキュリティー /頂きました。川口エバンジェリストへのお土産を託された?(`_´)ゞ http://twitpic.com/2z8or5



間違ってるのかふざけてるのか知りませんが、公式の報告で「こんにちわ」はないだろうと思いますけど。
jpcert: こんにちわ。Weekly Report 2010-10-20を公開しました。^YK https://www.jpcert.or.jp/wr/2010/wr104001.html



あと気になったことはこのへん。

kinugawamasato: 【理想的なシナリオ】僕「はてダは挿入でtoken盗れるよ! j.mp/ddnJop 」→はてな民「ええ怖い、はてななんとかして!」→はてな「サササッ!修正しました!」→はてな民「対応早い!さすがはてな!」 【現実】僕「盗れるよ!」→はてな民「なんとかして!」→おわり



masa141421356: Chrome 6 (for Windows)以降はSSL/TLSのモジュールがNSSに変わったのか http://code.google.com/p/chromium/issues/detail?id=28744



rryu2010: #librahack MDISのPマークを認定したJISAはそろそろアップを始めるべきではないだろうか。http://www.jisa.or.jp/privacy/aply/accident.html


Murashima: Microsoft、企業向けクラウドサービス「Office 365」を発表 -INTERNET Watch http://goo.gl/0Q3P


tokoroten: ボットネットをはじめとするサイバー攻撃が複雑化、サイバー攻撃はボーダーレス。 一国だけで対策するのは難しくなってきている。 国際連携が必要。 #CSS2010

テーマ : セキュリティ
ジャンル : コンピュータ

10月19日のtwitterセキュリティクラスタ

昨日は忙しくてネタも少なかったので、すっとばしました。寒かったとか寝坊したからとかじゃないですよ。

Cookieを使ったログイン状態の保持について。セッションIDで保持させるのはじゃやっぱり大変みたいですが、勉強になります。
ockeghem: ログイン状態の保持の実装として、セッションIDのexpiresを指定すればできるかと思ったけど、PHPってセッションタイムアウトをアプリケーション単位でしか設定できないよね。ということは、全ユーザのセッションタイムアウト時間を一週間とかに延ばさないといけない。これはまずいな


ockeghem: まぁ、トークンにしとくか>ログイン状態の保持


umq: @ockeghem えっと、アプリケーション単位なんですか? それはどの辺の設定項目が念頭にあるんでしょうか


ockeghem: @umq session.maxlifetime が念頭にありました…が、これを長くしても、アプリ側でハンドルすればなんとかなりますね。もっといい方法があれば教えてください


umq: @ockeghem session.gc_maxlifetime ですかね、session.gc_* は、ファイルとして保存されているセションオブジェクトの廃棄設定なので、どちらかといえば session.cookie_lifetime でしょうか


ockeghem: @umq session.cookie_lifetime でcookieの寿命は制御できますが、サーバー側を削除してやらないと、セッションタイムアウトの意味があまりないので…


umq: @ockeghem setcookie() で、状況に応じて expire を変えると見た目の永続期間がかわるんじゃないでしょか


umq: @ockeghem するとやはり、ログイン状態の永続は標準のセションオブジェクトとは別に管理した方がいいのかも


ockeghem: @umq cookieは制御可能です。サーバー側を制御したいのです。セッションのデータダンプしてもタイムアウト情報に関する情報は入ってないので、消すときは共通のルールで消されるのだと理解しました。マニュアルには、はっきり書いていませんが


ockeghem: @umq PHPは緩く設定しておいて、アプリ側で細かく設定することは一応可能ですね。今実装を検討中です



「従前」とか書かれてたので、わかりやすくなる期待は薄いっぽいです。
msaitotypeR: IPAさんの窓口を一本化した、ということですね。 RT @MasafumiNegishi RT 情報セキュリティ安心相談窓口を開設 - http://j.mp/cUyZYW



昨日はコンピュータセキュリティシンポジウム2010があったようです。全く追いかけられてませんが面白い講演とかあったんでしょうね。
Akira_Murakami: CSS2010・ MWS2010 初日終了! 皆様お疲れ様でした~ #mws2010 #css2010



近頃ようやく話題のDNSSECですが、.jpドメインもDNSSECに対応してるのですよね。
kenji_rikitake: 多分空振りになったと思うけど,DNSSECの話を #CSS2010 でした.皆さん .jp の署名には対応してくださいね.セキュリティの研究者なら :)

yasulib: DNSSECは普及するだろうか...動向が気になる :) 「最近のDNSSECの動向」 ネットエージェント 山口さん http://www.netagent-blog.jp/

yasulib: ブログのトップへリンクはってしまってた。記事のURL訂正。 ネットエージェントオフィシャルブログ「最近のDNSSECの動向」 山口さん http://www.netagent-blog.jp/archives/51489071.html



ここだけの話、僕もGがなにか今年まで知りませんでしたよ。3.9Gとか中途半端なんだよ。
ntsuji: 知人が3G回線を3ギガ回線って読んでましたよ。

ntsuji: 続き  ボク:「3ギガ回線って何がギガだと思ったんですか?」  知人:「通信速度。無線LANより遅いなーって思って使ってたんだよなー」



僕の関わっていた某はいつも延長していましたが、それは申し込みの数が… あ、誰か来たようなので。
PacSecjp: PacSec2010は早期割引登録を10月23日まで延長中★ 青山ダイアモンドホールにて11月10-11日開催。早期割引なら1日パス\49,875、2日間通しパス\89,250。? http://pacsec.jp/ スポンサーも募集中。



あと気になったことはこんなかんじ。

ntsuji: Javaの脆弱性を狙う攻撃が激増――Microsoftの報告 - ITmedia エンタープライズ - http://bit.ly/cRMr2X



ripjyr: I'm reading now: Sitecore CMS、Windows Azure対応クラウド版を2010年内に日本でも早期導入開始へ - ニュース:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20101015/352995/



hiropooh: こわいなぁ RT @scipblogbot 偽の Stuxnet 駆除ツールによりコンピュータが空っぽにされる http://bit.ly/bXF9WR



vulcain: 【拡散希望】IBM SOC見学会は10/25ではなく日付変更します。詳細は来月あたりまっちゃ445MLに流れる予定なので乞うご期待 #matcha445



risa_ozaki: 【更新】 エフセキュアが2010年度第3四半期のセキュリティ総括を発表しました ⇒ http://www.f-secure.com/system/fsgalleries/pdf/201010_SecurityWrapUp_FY10Q3_jp.pdf



risa_ozaki: 偽ウイルス対策ソフト、あなたは見分けがつきますか http://itpro.nikkeibp.co.jp/article/COLUMN/20101016/352998/?ST=security



lac_security: コンピュータセキュリティシンポジウム2010(岡山)で当社のマルウエア解析研研究所の金子が「プリズムマップによる可視化を用いたマルウエア動向解析」について発表もなか。(^む) http://www.iwsec.org/mws/2010/program.html#1A1



ymzkei5: “Apacheのモジュールが改ざんされたウェブサイトが確認され、結構厄介” >■エフセキュアブログ : そのApacheのモジュールは本物ですか? http://blog.f-secure.jp/archives/50455216.html



vulcain: 今回のプレスやニュースではWAFという表現がなくなってますね。PCIDSSブームが去った証拠か RT @naoto_matsumoto 「Deep Securityスターターパック」が、150万円となる。 仮想化環境も本格的にビジネスになってきたナウ。


テーマ : セキュリティ
ジャンル : コンピュータ

10月16~17日のtwitterセキュリティクラスタ

週末のまっちゃ445に参加できることとなりました。勉強会デビューですよ。立派な壁の花としてgkbrしている予定なのでそっとしておいてください。


秋はInternet Weekなどもあって、講演も多いですね。徳丸さんの文字コードのお話も聞けるようですよ。
ockeghem: 日記書いた / 講演予告3題 - ockeghem(徳丸浩)の日記 http://htn.to/aq5iQj



東北情報セキュリティ勉強会も開催されるようです。
ripjyr: 第5回東北情報セキュリティ勉強会は11月13日に仙台 東北大学にて開催!@sasata299さんにMongoDBとかHadoopとかNoSQLについてお話をお伺いします!なお東北情報セキュリティ勉強会は学生の勉強会参加を応援ます! http://bit.ly/THKITS-5th



そういやおいら中野区民だった。
Vipper_The_NEET: 中野区は開発期間中に個人情報が持ち出されてMDIS社内で使われていて,岡崎市はリリース後の調整時に持ち出されてMDIS社内で使われている。えびのは稼動時にテストで作られた?データがそのままFTPで露見していた,というシナリオのようです。 #librahack

Vipper_The_NEET: まあ,小耳に挟んだところでは,複数の方向から「今回の情報漏洩等に関してMDISは無断に近い状況でデータ消してる」という声が聞こえた気がしますけれども気のせいでしょう。脳内の妖精のせいだと思います。 #librahack



あと気になったのはこのあたり。

kaito834: JVN(http://jvn.jp/)を見てたら、Binary Planting の問題が修正されたソフトウェアがいくつかあるな。Lhasa, Lhaplus, K2Editor, XacRett。この前確認した Safari 同様、絶対パス指定で問題を解消したのかが気になる。



suzukimasatomo: 学生からのメール。1年生のうちはケータイメール文化どっぷり。すぐに直るけども、必ず1,2名は注意しても、自分の氏名を書かない。署名もない。アドレスから本人を割り出すほかないけど面倒なのでスルー。



ntsuji: 「迷惑メールの2割は米国発、ウイルス感染パソコンが送信元」 http://bit.ly/8YpKW1



rryu2010: これ、wifineというアクセスポイントを勝手に立てればタダ乗りできるというか、もっとアレなことが出来てしまうのでは。 / ワイファイン│Wi-Fi、街に出る! http://htn.to/mfWXPG



piyokango: ダウンロードで逮捕って、罰則規定ないはずのにどうやってと思ったら複製権侵害で逮捕か。 http://mcaf.ee/6acf9



hoshikuzu: [security] 栞: ソフトバンク携帯のSSL/TLSの仕様変更( http://goo.gl/ZPSP )



petrucci_2005: Password Patterns : http://bit.ly/dBPIO3



piyokango: SMBCの文字はランダムなように見えて規則性(左右横にずれるだけ)があるのか。というか、クリックするときに文字が消えるのってどうにかならないのかな。。。開発した担当者はこれ使っているんだろうか。。

テーマ : セキュリティ
ジャンル : コンピュータ

10月15日のtwitterセキュリティクラスタ

昨日に引き続き、パスワードを定期的に変えるか否かという話題。セキュリティ基準で定められているというのも大きいのかもしれませんね。
piyokango: ただ、PCIDSS(v1.2)だと90日最長で変更が強要される。担当者が変わったときの変更とかは触れられていない。

piyokango: 定期的な変更よりも、イベントドリブン的に担当者変更や不正アクセスのようなものが何か起こったときとかに検知と変更ができる仕組みは必要だと思う。

piyokango: パスワードの定期的変更の話が。。。自分は意味がないと考える派。

ikepyon: 定期的なパスワード変更って、どうしてもサイクリックしちゃうよねwうちの会社も3ヶ月に1回の変更が必要で、3回分ぐらい記憶してるので、4つのパスワードを順番に使ってるのが現状w(変なのに変えると忘れちゃうもんw



そして、話題は銀行のログインについて。各銀行のログインについてなんかまとめるという話があったような気がするのですが… Wikiとか使えばいいのかな。
ikepyon: 三井住友に比べれば、ジャパンネットバンクのワンタイムパスワードの使われ方は霞むw SecureIDくばってんのにログインのパスワードは固定パスワードだったりするw振込みとかにはワンタイムパスワード使うけどなw

ikepyon: ちなみに、ジャパンネット銀行の携帯サイトへのログインは4桁の暗証番号がパスワードだったりするwこれは勘弁して欲しいw

sagami22: いやそれsmbcもトークン使わなければ一緒w RT @ikepyon ちなみに、ジャパンネット銀行の携帯サイトへのログインは4桁の暗証番号がパスワードだったりするwこれは勘弁して欲しいw

ikepyon: トークン使えるだけまし、4桁の暗証番号しかないのですよw RT: @sagami22: いやそれsmbcもトークン使わなければ一緒w RT @ikepyon ちなみに、ジャパンネット銀行の携帯サイトへのログインは4桁の暗証番号がパスワードだったりするwこれは勘弁して欲しいw

ockeghem: @ikepyon ジャパンネットバンク方式の方が、ワンタイムトークンの使い方は妥当だと思いますけどね

ikepyon: ジャパンネットバンクはパスワード忘れたとき、リセットに手数料取るんだよねぇorzそれが嫌なら、携帯サイトからパスワード変更しろと。そのときはワンタイムパスワードが必要なんだけど・・・そんなことするなら、ログインパスワードもワンタイムパスワードにして欲しい

ockeghem: @ikepyon あのトークンが生成するワンタイムパスワードは数字6桁ですから、1回の試行で100万分の1の確率でビンゴするわけでしょ。通常のパスワードとして使うには弱いと思いますけど

ikepyon: @ockeghem ま、そうですけど、さすがに1分間に100万回の試行を行ったらばれるでしょうし、簡単なパスワードをつけられて、それによる被害を補填しろと言われるよりはましだと思います。

ikepyon: 銀行のパスワードって難しいのつけるんだけど、あんまり使わないから、ちょくちょく忘れるw

ockeghem: @ikepyon 振り込みの時はワンタイムパスワード入力するわけだから、そこで止めるという考え方でしょう。三井住友方式だと、セッションハイジャックされた後は乱数表だけですから

ockeghem: @ikepyon 一分以内に100万回試行しなくても、ゆっくり時間を掛けて試しても、統計的にはいつかはあたりますよ(外れ続ける確率は無限に小さくなると言う意味で)

ikepyon: @ockeghem ま、そうなんですけどね。少なくとも、携帯サイトは何とかして欲しいです。現状4桁の暗証番号ですから・・・

ikepyon: 確か、残高とか、口座の入出金情報は駄々もれなんだよなぁ

ockeghem: @ikepyon 4桁の暗証番号はひどいですね

ikepyon: @ockeghem そうなんですよ^^;おかげで、パスワードが変更できて助かったことはあるのですけどw

ockeghem: @ikepyon @sagami22 まだ見ていないんですが、かんたんログインですか? キャリア公式の認証ではなくて?

ikepyon: これはひどい・・・ RT: @sagami22: @ikepyon すいません、今見たらsmbcは携帯サイト(au)は4桁暗証とかんたんログインだけっぽい…

sagami22: ez番号登録⇒契約者番号省略でパスワード(4桁)は必要なんで、いわゆるかんたん某ではない…ですかね。 RT @ockeghem @ikepyon @sagami22 まだ見ていないんですが、かんたんログインですか? キャリア公式の認証ではなくて?



そして、話題はソフトウェアキーボードへ。個人的には面倒なので使いませんが、あれって何かいいことあるのでしょうか。
ikepyon: 楽天、SBIはソフトウェアキーボード無いみたいだけど、それ以外のネット証券会社結構ソフトウェアキーボード持ってるみたいorz

ockeghem: えーっと、興味がないので忘れてしまっていたけど、ソフトウェアキーボードの目的って、スパイウェア対策だったっけ?

ikepyon: @ockeghem そのようです。キーロガー対策みたいです。

ikepyon: カード会社で流行ってないのはPCIDSSで言って無いからか?w

ockeghem: @ikepyon @sachikoy @kjur そうそう、キーロガー対策でしたね。キーロガーに入られてしまった時点で終わりだろうにね

ikepyon: なるほど。安いからと言って、偽のセキュリティ対策は困りますねぇorz RT: @connect24h: ソフトウェアキーボードは安いからね。カード会社は、意味がない事を知っているからやってない。

ockeghem: 『クリックする際にキーの内容を消すことで…クリックと同時に画面情報を盗み取るタイプのスパイウェアから防御できます』<これは使いにくい。英数字8桁まで、大文字小文字の区別なし。かえって安全でない / お使いのパソコン、本当に大丈夫ですか?… http://htn.to/jW8wbs

ikepyon: 使う側からすれば、それでいいんですけどね。それがセキュリティ対策だと胸張っていわれると・・・ RT: @ockeghem: @ikepyon ソフトウェアキーボードがあっても、使わなくてもよいなら、別にいいですけどね

ikepyon: これはだめだろw http://www.dai-ichi-life.co.jp/contractor/internet/faq/login.html#a08 画面情報を読み取るスパイウェアが入ってる時点で、ソフトウェアキーボードでもパスワード取られちゃうからw




librahackでは、突っ込まれまくりの業者がいよいよ大変な状況になってきたようですね。
Vipper_The_NEET: 「その後の調査により、更に中野区立図書館様(2名分)の個人情報が」 お前らが調査したわけじゃねえだろ( ´ー`)y-~~~ #librahack

bakera: [メモ] 「その後の調査により……判明」というのは、「その後の(たりきさんの)調査により判明」という意味ですかね。 http://www.mdis.co.jp/news/topics/2010/1015.html

rakugodesi: @Vipper_TheNEET 「弊社は現在、流出原因となった製品への個人情報混入等の詳細について、各図書館様のご了解を得て現地調査を進めており」と矛盾してる。

Dullahan: #librahack 『図書館システム 業者の契約解除』( http://bit.ly/dyBQWq )



@ikepyonさんって池田雅一さんだったんですね。
ockeghem: 池田容疑者は、きっとセキュリティにも詳しかったのでしょうねw RT @sen_u: 池田容疑者。w RT @ikepyon: あんなので、ぼろもうけできると思っていたのがめでたいなぁ / タダ乗りネット:ネット通販にも出店 機器、大量販… http://htn.to/zvjjgm

ikepyon: 誰かツッコむかなぁとは思ってましたwちなみに親族ではありません RT: @sen_u: 池田容疑者。w



その他気になったことはこのへん。

yumano: @a4lg F.Y.I です。 マルウェアの解析妨害機能を回避せよ!~ステルスデバッガ開発秘話 ってのがRSA カンファレンス2010であったみたい https://rsacon2010.smartseminar.jp/public/session/view/38



a4lg: @yumano なるほど、NTT もステルスデバッガの研究やってるんですね。ただ HVM ベースのデバッガ研究って結構盛んな割にやってることが既知のデバッガとそんなに変わらない気がするのですが、気のせいでしょうか? 私の場合それを超えたいというのもモチベのひとつなので。



ockeghem: これは重要。振り返りに備えて今のうちに調査を済ませておこう>自分 / 携帯サイト閲覧時の重要なお知らせ | SoftBank http://htn.to/K8jo8



masa141421356: 某サイトのHTTP404ページにcharset指定が無くて、もう少しで陥落しそうなんだけどなかなかうまくいかない。



ikepyon: もしかしてりそなはログインIDが間違ったときとパスワードが違ったときでエラーが違う? http://www.resona-gr.co.jp/resonagr/direct/help/kihon/login.html#040

テーマ : セキュリティ
ジャンル : コンピュータ

10月14日のtwitterセキュリティクラスタ


夜中に盛り上がった、パスワードって定期的に変更するものなの? という話題。僕はだいたい変更を重ねたあげくわからなくなってリセットということが多いので、なるべく変えたくない派です。パスワードの強度って盗聴とかソーシャルとかにはあんまり意味がないんですよね。
ockeghem: 次は認証の章を書こうと思って準備していて、アノ話題に触れるかどうかで、考え中。アレとは「パスワードの定期的変更問題」 #wasbook

ymzkei5: @ockeghem ユーザIDと同じパスワードは許さないとか、英数字だけでなく記号も含めて○文字以上にしろとか、そういうパスワードポリシーの話の一環として参考までに触れる程度とか。。

ockeghem: .@ymzkei5 いや、もっと過激なことを考えていまして、無駄だからやるなとか>パスワードの定期的変更

ockeghem: 仮に、パスワードを3ヶ月毎に変更することに意味があるとする。パスワード長を一文字長くすると、組み合わせの総数が約90倍増えるから、3ヶ月×90=22.5年 で、20年に一回変更すればよいことにならないか?

ockeghem: いや、その間にCPUも速くなるから、そういう単純計算にはならないけど、では2文字増やせば…パスワードを定期的に変更するくらいなら、パスワードを2文字長くする方をとる人が多いのでは?

hebikuzure: @ockeghem 同じパスワードを長く使えば、何らかの理由で第三者に知られる危険が大きくなるからでは???

ockeghem: @hebikuzure そういう状況が大いにあり得る(パスワードが洩れているがおおっぴらには悪用されない)ならば考慮の余地がありますが、洩れないことに全力を注いだ方がよい場合が大変だと思いますけどね

ockeghem: パスワードの定期的変更が意味がある状況は2種類あると思っていて、一つは、共用アカウントを使っている場合。これは、そもそも共用アカウントを廃止すべきだけど、難しい場合は、パスワードを知っている人がチームを抜けたタイミングなどでパスワードを変更すべき。定期的ではない

hebikuzure: @ockeghem う~ん、「パスワードはメモれ」という話もありますが、その場合は手帳なりにメモした物が密かに第三者に見られていたら、とか考えないとダメなようにも思いますが。結局はケースバイケースという事になるのかもしれません。

ockeghem: もう一つは、オフラインクラック対策なんだけど、そもそもオフラインさせるなということと、 3ヶ月もつパスワードやめて100年もつパスワードにすればいいだけだと

hebikuzure: @ockeghem パスワードはメモしない、ショルダーハックもされない、ソーシャルエンジニアリングにも引っかからない、という前提なら変更するより強度の高いパスワード、というのはあるなあ。その辺りのリスクの評価でしょうかね。

ockeghem: まぁ、コラムに書く程度かなぁ。「パスワードの定期的変更は、ほとんどのケースで意味がありません」と本文に書く勇気が・・・というより、「意味がないことなら本文に書くな」というか

ten_forward: @ockeghem さん,セキュリティの問題なので,「良く言われている事だから」「人に言われたから」という理由でなく,なぜそうするべきなのかを常に考えましょう,というのを理解してほしいなと思いますね.自分がそう出来ているかというと出来てませんが^^;

ockeghem: @ten_forward 100%同意します

sonodam: すでにパスワードを盗まれていて悪用されてしまっているとき、パスワードを変えると悪用しているヤツに嫌がらせすることができる。相手が再度盗みに来てくれたら、そこで気づく可能性が出てくる。・・・その程度かな?>定期的な変更の意義

sonodam: まるっきり無意味とは思わないけど、普通の人にとっては苦労する割に得るモノが少ないかも(笑)>定期的変更

sonodam: そもそも、普通の人にとって「難しい」パスワードをどうやって運用するのか、ということと合わせて考える必要がありそうな希ガス。

sonodam: トータルリスク管理コーディネート(笑)な感じで。



そして、話はネットバンキングのパスワードの話に。三井住友から振り込むことは年に数回なので、そのときは乱数表を探し回ることになります。

hebikuzure: @ockeghem 使ってる銀行のネットバンキングで定期的なパスワード変更を求められるのだけど、これは銀行側のアリバイ作りという事なのかなあ www

ockeghem: 三井住友は警告は出ますが無視していますね。ログイン時にワンタイムパスワードも入れているし…。三井住友は色々文句があるんですけどね。きっとMBSDさんがコンサルで入ってないんでしょうね

ockeghem: 三井住友銀行のオンラインバンキングに対する文句ですぐ思いつくのは、1)ワンタイムパスワードの入力画面がマスク表示、2)振り込みなど重要操作の時には「乱数表」が必要、の2点かな。ワンタイムパスワードのトークン使っているのに、振り込みの時は乱数表ですぜ

ockeghem: あと、「パスワードの保存はハッシュにすべきで、復号可能な暗号はだめ」という「常識」にも疑問を持っています

ripjyr: @ten_forward @ockeghem カード番号を全部とか保存するのもやめてほしい、最後の桁は保存せずに置いてほしい。

ockeghem: @ripjyr カード番号の保存は話が全然別ですよね。パスワードは何らかの形(ハッシュも含めて)で保存しないとパスワードとしての要件を満たさないですから。

nouvellelune: @ockeghem 平文保存は論外としても、復号可能暗号と不可逆暗号(ハッシュ)であれば、さほど差はないということでしょうか。RT "あと、「パスワードの保存はハッシュにすべきで…"

ockeghem: @nouvellelune 復号可能暗号の運用が難しいのは、鍵の管理が難しいところですが、そういう議論なしに、不可逆暗号が万能みたいな議論が気に入らないですね。不可逆暗号を安全に使うのもそれなりに難しいです

nouvellelune: 「暗号化して保存→定期的に復号して別な鍵で暗号化(前の鍵は破棄)」のサイクルを回せれば、むしろ可逆暗号保存のほうがハッシュ保存より強度が高くなるのでは…。

ockeghem: 「パスワードはハッシュで保存するのが常識だろ」と言うのは簡単ですが、復号可能な暗号化する場合とどのように安全性に差があるのかとか、ちゃんと考えている人は少ないように思えますね。発言の内容から推測するに

ymzkei5: @ockeghem 暗号化を許すと、暗号の強度の話とか、鍵の保管の話とか、鍵を変更した場合のデータの更新の話とか、色々考えなきゃいけなくて、正直、面倒くさいのかも?w 通常は元の文字列に復元できるようにする必要が無いのだから、ハッシュ化が一番マッチするのでは。

ymzkei5: @ockeghem カード番号をDBに保存する際、(DB側での暗号化はともかく、)Webアプリ側で暗号化しているサイトはあまり見かけないですね。(←そういうサイトのご支援をする案件が多いからかも知れませんが。(^-^;)



チームsutegoma2がHITB2010のCTFに参加されていたようです。結果最下位だったそうですが、一瞬1位になったり惜しいところもあったようです。お疲れ様でした。
sutegoma2: チームsutegoma2は、今年もCTFに参戦します。明日10:00競技開始です。 #HITB2010KL http://twitpic.com/2x12qe

sutegoma2: 現在2位。いくつかのチームは攻撃可能な状態になつでいて、膠着している感じです。 #HITB2010KUL http://twitpic.com/2x7dco

tessy_jp: 現在279500で@sutegoma2 暫定1位!ただ、攻撃1発で最下位という接戦状態!

yoggy: というわけで、1時間の延長戦の末、最下位で終了w。おつかれさまでしたー

tessy_jp: CTF Final score! #HITB2010KUL http://plixi.com/p/50547907



IEでのXSSについて。IEってXSSだけを考えると他にない面白ブラウザみたいなのですが、どうして人気が下がってるのでしょう。
ockeghem: 画像やファイルダウンロードによるXSS脆弱性の保険的対策として、画像などを別ドメインにわけるというのを書きかけたんだけど、IE7以前限定だし、そこまですることはないかと、思いとどまった

hasegawayosuke: @ockeghem IE8でもダウンロード指令を無視してXSS発生できます。丹念に探せば、方法も公開されてます。また、JSONやatomのような非HTMLをHTML 扱いさせてXSSさせる方法も健在です。

ockeghem: .@hasegawayosuke ありがとうございます。書き方が難しいですね。工夫してみます

hasegawayosuke: @ockeghem ドメインを分ける、URLを推測できないものにする、というくらいしか対策は取れないと思います。

masa141421356: @ockeghem セキュリティ上の理由でアップロードされたファイルを別ドメインに分ける実例がこれですね。http://www.bugzilla.org/security/2.22.6/



京大なのに…
rakugodesi: tetsutalowさんが頭抱えてたりして!(^^)! RT @Dullahan: #librahack #iedu_is 図書館事件に関してあまりにもひどいエントリを読んだので、カウンターとして書いてみた。> http://bit.ly/afUiZV



ハニーポットじゃなくってXPのバグだそうです。
HyoYoshikawa: 格さんだな、これ。RT @flyer_to: よく見かける[Free Public WiFi]の正体はコレだったのか。 > 「無料公衆WiFi」の正体&繋いじゃいけない理由 http://t.co/G2NIxKT via @gizmodojapan



あと気になったこと。

ntsuji: Yahoo!JAPAN障害、原因は負荷分散サーバの不具合 - ITmedia News - http://bit.ly/djiMjC


_shimizu: "JSF,Ruby on Rails,ASP.NET に影響する「パディングオラクル」" http://bit.ly/aJSlVr DEMO動画が上がってた→http://bit.ly/9JFK9q


a4lg: …とはいえ、今回の PacSec における発表はかなり長い間取り組んだ成果が含まれている。バイナリ変換に関する見識は去年の AVTokyo 以前からあったアイデアだし、リバースエンジニアリングの効率化というのも自分の数年にわたる AD/HD と「やりたがり」を考えれば必然。


テーマ : セキュリティ
ジャンル : コンピュータ

10月13日のtwitterセキュリティクラスタ

昨夜はYahooが落ちてましたね。どうやらDNSがらみのトラブルだったようですが。

_hito_: DNSがヘンだから原稿書けませんでした! とか笑顔で言ってみたい。まちがいなく怒られる。

Iori_o: http://tv.yahoo.co.jp/ が半端な感じか。

_xcorp_: www.yahoo.co.jpのドメインが取れるといってる人は今一度DNSの勉強をし直したほうがいいですよ。特にゾーンとか。

_xcorp_: yahooはyimg.jpがダメだなー



AVTokyoやPacSecだけじゃなくて、今月と来月はイベントがたくさんありそうですね。私もちょこちょこ顔を出して壁の花として貢献したいと思いますw
ripjyr: 第5回東北情報セキュリティ勉強会は11月13日に仙台(東北大学)にて開催!@sasata299さんにMongoDBとかHadoopとかNoSQLについてお話をお伺いします!>http://bit.ly/THKITS-5th

decoyservice: 月末にはSecurity業界のあんな人やこんな人が博多にやってくるようです。懇親会やる予定なので、スケジュール決まり次第勝手に声かけます #hackinthecafe



コストを考えると全部手動ってわけにはいかないのでしょうで、上手なツールの使い方って知る必要がありますよね。
ikepyon: そういえば、twitterで検査ツールがDisられていたので、「検査ツールの勧め」と言うねたでLTやるのいいかもなとふと思ったw


ikepyon: いいですよ。26でしたっけ?それまでにプレゼン作らないと RT: @haruyama: #SinSec でお願いできますか? 弊社も検査ツール使っています.



SSHのハニーポットですか。置いておくとたくさんアクセスがありそうですが、たぶん何の得にもなりません。
kikuzou: なかなか楽しそうなので時間があれば試してみよう。 RT: @ntsuji: セキュリティ・ダークナイト 第五回 公開されてますよ。リアリティはないけど、脅威は確かにいるよ - @IT - http://bit.ly/9lOWT3



何でも「ステルスマーケティングが~」とか「電通が~」とか気持ち悪いので止めてほしいんですけど。
bulkneets: ステルスマーケティングの際にステルスマーケティング否定要員を準備しておくと炎上しない。

bulkneets: A:実際の宣伝要員 → B:Aの友達で特に金はもらっていない → C:Bにステルスマーケティング疑惑をかける役 → Bが疑惑を必死で否定。全ては闇に葬り去られる…



あと気になったことはこんなかんじ。

hasegawayosuke: Microsoft Security Intelligence Report の新しい版が出てますね。日本のbot感染率は2010Q1はごく微増だけど、ほとんど変化なく依然として低い。 http://www.microsoft.com/sir



lac_security: NTT東日本さんから、中堅中小企業向けの安価な「Web セキュリティ診断」の提供が開始されました。 ラッコも技術協力をしてます。 (^ま) http://bit.ly/9GT8Me



bulkneets: CSRFはセッションハイジャックと違って書き込みしかできないけど、非公開設定を公開設定に変えるようなのは、ふつーに情報漏洩につながるよなーと



trendmicro_jp: [セキュリティブログ] イランへのサイバー攻撃に使用されているとされる「スタクスネット」を解説 http://blog.trendmicro.co.jp/archives/3711



ikepyon: AVのオーディションに申し込むの?w RT: @vulcain: そういえばAVに申し込んでないな



_hito_: コピーコントロール回避が違法になると、 @ucq 所持罪とかそんな感じの犯罪が成立するようになる気がしてきた。ぴんち。



tamiyata: タグを利用したtoken奪取 - masatokinugawaの日記 http://ow.ly/2SFwt



ntsuji: 1日1プロトコルのオンラインクラッキング祭になっていますよ… 今日はFTPです。



hebikuzure: 拡散!! 「IE9ベータリリース、だからIE6の課題を考える」 http://bit.ly/aXrHn1 #ie9j #welcomie9 #BrowserWS #html5j


10月12日のtwitterセキュリティクラスタ

今日はWindowsUpdateの日でした。起動してすぐに再起動は切ない気分になりますね。

そして今日のUpdate内容に関するツイート。
ntsuji: Microsoft、月例セキュリティ情報を公開 過去最多の16件 - ITmedia エンタープライズ - http://bit.ly/9xZABX


毎月漫然とアップデートするばかりですが、細かい内容を見ると、いろいろ考えられてているんだなあと思います。
kaito834: MS の日の早起き。まずは SANS Diary でざっと見てみる RT @security_inci: [SANS] October 2010 Microsoft Black Tuesday Summary, http://bit.ly/9K05MY

kaito834: MS10-071(IE)で修正された脆弱性のうち、SANS Diary で Known Exploit となっていたものが2つ。CVE-2010-3324(http://is.gd/fZ6g3)とCVE-2010-3325。前者はCVEから PoC を確認できる。後者は要確認。

kaito834: MS10-073 で修正された脆弱性 3 件、どれも公開済みのもののようだ。PoC が存在しているものもある。

kaito834: ざっと MS 10月の定例パッチで修正された脆弱性を確認してみたけど、DLL Hijacking(Bianary Planting)の問題は修正されていないみたい

kaito834: ざっと MS 10 月の定例パッチを見た感じだと、http://is.gd/fZaTu の [PATCH NOW] に、MS10-071, MS10-079, MS10-080 を加えたい。MS10-077 はじっくり確認する必要あり。

kaito834: あと、http://is.gd/fZaTu の間違いに注意。MS10-079, MS10-080 の脆弱性数, MS10-072 の [Known Exploits](実際にはある)。



そして、私も使っている圧縮解凍ソフトに脆弱性がある模様。どちらも修正されたバージョンが公開されていますので、アップデートしましょう。
piyokango: Lhaplus、Lhasaの脆弱性に関する情報が公開。http://mcaf.ee/4d29e http://mcaf.ee/68f30

piyokango: 以前にこのデモを見せてもらったけども、ZIPファイルをダブルクリック(解凍)しただけで、任意のコードが実行されるので放置しとくと非常に危険。早急にVupを。



まっちゃ445の募集がはじまりました。何度も補欠で参加できませんでしたが、今回は参加できるのでしょうか。
vulcain: 再掲:第13回まっちゃ445勉強会(10/23開催)募集開始しました♪ 今回は今までとちょっと違って『モチベーション・マネジメント』というテーマで開催します。申し込みページなどは http://mcaf.ee/c8750 を参照ください。 #matcha445



PacSecのスピーカーが発表されているようです。バイナリとハードウェア関係のスピーチが多そうですね。
junichi_m: @PacSecjp でspeakerのアナウンスが開始された模様。今のところ日本人は大居さんと私の2名。というわけでpacsecで話すことになりました。



その他、気になったことはこのへん。

vulcain: Design paper of the home server(公開版) RT @r_takaishi よくまとまっていてすばらしい…… https://docs.google.com/View?id=dhmck742_778hn5bg84q


ntsuji: Wireshark 1.4.1 でてますよ。 http://bit.ly/9NIYWG


yarai1978: ブラックハットSEO大全(全13回) http://web-tan.forum.impressrd.jp/e/2010/08/04/8540


yumano: モバイルに見るセキュリティへの考え方が、日米で異なるという話 「捨てる」と「詰め込む」 http://bit.ly/cs1SuS



yumano: 【緩募】 ENISAの"Cloud Computing Risk Assessment"の翻訳した人 or 翻訳物を必要としている人。CCSKのリファレンス先だから、誰もやってないなら訳そうかと思う。

テーマ : セキュリティ
ジャンル : コンピュータ

10月9~12日のtwitterセキュリティクラスタ

秋はイベントがたくさんですね。僕は今日生まれて初めてL社に行きますよ。どきどき。


まずは週末大阪で開催された「ブラックハットジャパンその後」のまとめが上がっています。行った気に少しだけなれます。
ripjyr: I'm reading now: Togetter - 「現在の日本のセキュリティ ~ブラックハットジャパンその後 関西編~ のTwitter発言のまとめ」 http://togetter.com/li/58051



月末には懐かしの@Randomが再開されるっぽいです。とはいえ開催は昼間っぽいですが。
kjmkjm: 「@random な勉強会」を10/30に京都で開催します。 http://goo.gl/YSbu 上原先生 @tetsutalow から、岡崎図書館関連方面のお話を聞かせていただく予定です。お時間とご関心がおありのの方はぜひぜひご参加ください。 #librahack



来月はPacSecもあるらしいです。高いので指をくわえて外から内容を想像するだけになりそうですが。
gohsuket: RT @PacSecjp: 越後湯沢と大阪のイベントに参加されてる皆さん、こんにちは。次はPacSec2010へぜひどうぞ。11月10-11日に開催です。後援にJNSA、インターネット協会、WASForum、AVTokyo。★早期割引の登録期間を10月23日まで延長しました!★



そして、AVTokyoは名前が恥ずかしいと。もう慣れてしまったので素通りしてしまったのですが、普通驚くところですね。
yuri_at_earth: だから毎年、名称どうにかしませんか?ってお願いしてるのにっ>< RT @kchr RT @y_nowatari: AVTOKYOのチケットをローソンで買ったらレジの女の子が明らかに引いてた。タイトルのせいか。。



次に発売されたらしいハッカージャパンの話題。うちにも見本誌がたくさんなので電子化したいところですが…

sen_u: 今月11月号のハッカージャパンにセプキャン2010レポート記事が載っています。@takesako さんと私が書いています。http://bit.ly/9Zwdd3 #spcamp

Vipper_The_NEET: 【告知】 ハッカージャパンの今月号から,Android 携帯アプリの開発ネタを連載します。スマートフォンをもっと楽しみたい人,サンデープログラミングを楽しみたい人は,是非ハッカージャパン本誌プログラミング講座を開いてみてください。今回は開発環境構築とハローインターネットワールド!

togakushi: HackerJapan は全部バラして自炊しよう。CD とか入ってた袋は溶けちゃうかな?気を付けよう。

togakushi: 一冊目終わり。5分くらい暖めて、ペリペリめくって、合計10分もかからずバラバラ。レンジから出した直後はちょこっと湿っぽいけど問題ないレベル。 http://twitpic.com/2vnqhg



そして、ハッカージャパンをまとめた「ハッキングの達人」のプレゼントの当選者が発表されてるようです。当たった人おめでとうございます。
decoyservice: こんなところで公開されているんですね。 - 白夜ムック383 ハッキングの達人 プレゼント当選者発表 http://www.byakuya-shobo.co.jp/hj/moh/winner.html



これまでv6来る来る詐欺と揶揄されてましたが、いよいよ本当にv6クルー、となるのでしょうか。
Murashima: IPv4アドレス枯渇対応タスクフォース、アドレス枯渇対応に関する2種類の文書を公開 - ニュース:ITpro http://goo.gl/YNKC

dayofsecurity: 米国 Federal Chief Information Officer  Kundraのメモ(9月28日) http://www.cio.gov/Documents/IPv6MemoFINAL.pdf によると

dayofsecurity: 以下のような対応指示があったという。・2012年度末までに連邦政府の外部サービス(web、メール、DNS、  ISP等)をnative IPv6対応にすること。 ・2014年度末までにクライアントアプリ(外部サービスにつながるもの)  をnative IPv6対応にすること。



そして他に気になったことはこの辺。

Murashima: ソーシャルエンジニアリングを悪用するボット攻撃に対し、必要なセキュリティとは マカフィー株式会社 http://goo.gl/jOqw


vulcain: つか、更新された事をどう確認? RT @bakera 読めるのは見たことありますが、書きかえられるのはびっくりですね。 RT @ikepyon: ../../../etc/passwdのディレクトリトラバーサルの試験で、passwdファイルが書き換えられるなんて初めてだw


MasafumiNegishi: 過去最大の規模だそうです。この前も聞いたような気が。 - 2010年10月13日のセキュリティリリース予定 (月例) http://bit.ly/agHest


yumano: 2000年より前はMSのセキュリティはなかった。CodeRedで必要に迫られた。対策を作ったが、SQL Slammerでネットワークがダウン。対策がネットで共有していたため困った。また、一般人が被害を受けたが、告知が伝わらない。社告をやるのに2週間かかった。 #isw10


piyokango: ソーシャルエンジニアリングCTFって熱いな。。

テーマ : セキュリティ
ジャンル : コンピュータ

10月7日のtwitterセキュリティクラスタ

クラウドって使うの意外と大変だなあって思う今日この頃ですが、それはセキュリティとは全く関係ないですね。


それどうやって歌うの…
hasegawayosuke: 数年前、アイドルに「">...」「' OR 1=1--」みたいな歌を流行らせれば、世の中の脆弱なサイトを一網打尽にできるんじゃね。という話題がありましたね。



ちょうどこの時間にはじめてL社に行くことになりました。別件ですが。
dry2: *緊急開催* JNSA 「第一回情報セキュリティ時事ワークショップ」 「FD改ざん事件と918騒動」 オープン開催 無料 終了後懇親会 2千円 場所 ラック 詳細→ http://www.jnsa.org/ 申し込み office@jnsa.org まで。その旨RTでもOK。



そういや、ブロードバンドルーターって対応してるんですかねえ。
Murashima: あなたのキャッシュDNSサーバー、DNSSECしてますか? -INTERNET Watch http://goo.gl/ewup



おめでとうございます!
hasegawayosuke: 載りました!@kinugawamasato さんと一緒に掲載されるなんて嬉しい!http://technet.microsoft.com/en-us/security/cc308589.aspx



そして、その他気になったものたち。

suma90h: Javaで外部コマンド実行ってRuntime.getRuntime().execがあるけど、非常に使いづらい。Apache commonsのExecは、ストリームを繋げたりとか、使いやすいのかしら...



Hamachiya2: XSSってモテるんですか RT @mobcov XSSで襲ってほしい女の子とかいるのか… RT @hasegawayosuke: XSS教えて欲しい女の子がいるときいて! RT @m61k: XSS 教えてるに見えた件 RT @hmcy2: 隣の女の子にCSSおしえてる



office_acer: 嗤うポイントですね。 QT @cchanabo: 嘲笑するポイントですよ。 RT @yumano: 今のところ、クラウドはセキュリティが気になる->監査が欲しいという流れで説明が…ISMSやPマークを取得してて欲しいとか、笑うポイントだよね?

_hito_: @yumano: それ、ただの愉快犯だし、すでにセキュリティ業界は愉快犯を許容できるだけのマージンがないので止めた方がいいです。なんつーか、純粋悪の所行ですそれ。



ymzkei5: やっぱり、実は、「サーバー」ディフェンス研究所だったのかw >■http://www.cyberdefense.jp/company_profile/prerelse10001.html



ntsuji: snortも2.9ですかー


テーマ : セキュリティ
ジャンル : コンピュータ

10月6日のtwitterセキュリティクラスタ


昨日はjjencodeが悪用されるという事件が起こりました。悪い人は悪いことに使う手段を見つけるのが本当に上手ですよね。
shu_tom: 記号だけでインジェクション!? http://bit.ly/bG6lc3

hasegawayosuke: jjencode is now used for actual attack! umm... http://bit.ly/aC9O76 http://bit.ly/9h2PDZ

hasegawayosuke: joomla を利用している複数のサイトにおいて、「記号だけで難読化された」JavaScriptを埋め込まれる攻撃が複数発生しているようです。 http://bit.ly/aC9O76 http://bit.ly/9h2PDZ

hasegawayosuke: ううむ。完璧に jjencode で生成したやつだな。ちょっとくらいヒネれ。

dankogai: こういう利用法がありうることは、前回のSDの連載 http://ht.ly/2P5lj で指摘したけど、実際にやられるといやなものだねえ<@hasegawayosuke: jjencode is now used for actual attack!...



へええ。改変の余地はあるのですか。
Coins_FKD: jjencodeはコードを短くするためにグローバル変数を使ってるけど、コードの長さを代償にしてグローバルを汚染せずに済ませることもできる



そして、もう1つ話題なのはメタ情報によるXSS。何でも適当にスクリプト投げておけば、相手が勝手に拾ってくれて運がよければXSSできたりするのでしょうか。
ntsuji: コンセプトがワクワクしましたよ。 「メタ情報によるXSS」 http://www.geekpage.jp/blog/?id=2010/10/6/1

tomoki0sanaki: 至極当然だけど、一応リンク 「メタ情報によるXSS http://bit.ly/c9Wtn8」。とにかくエスケープしとけ!

dankogai: host x.ss → host x.ss → Host x.ss has address <script>alert('こんにちはこんにちは')</script> / Geekなぺーじ : メタ情報によるXSS http://htn.to/wLoY2e

ockeghem: RefererにJS仕込むのと一緒で、出力時にエスケープすることを徹底すればよいだけのこと。DNSやSSLの詳細を勉強しなくても防御は可能です。勉強すること自体は良いことなので止めませんがw / Geekなぺーじ : メタ情報によるX… http://htn.to/mn8uSB



そしてもう1つXSS関連。本当?
masa141421356: これが本当(text/html 固定で charset指定できない)だとしたら XSS し放題に見えるけどどうなの? http://d.hatena.ne.jp/shim0mura/20100609/1276880566



まあ、セキュリティとストーキングは似てなくもないですがw
ntsuji: セキュリティストーキングソフトに空目しましたよ。 「独身女性に最適なセキュリティソフト-キングソフトが提供開始」 http://japan.internet.com/webtech/20101006/7.html

ntsuji: うぉっと。その発想はなかったですw RT:@wakatonoさらにセキュリティストリーキングソフトに空目 RT @ntsuji: セキュリティストーキングソフトに空目しましたよ。 「独身女性に最適なセキュリティソフト-キングソフトが提供開始」



あと気になったものはこのようなかんじ。

t3mail: 迷惑メールなど複数の経路で感染するウイルスに注意、IPAが呼びかけ -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20101006_398195.html?ref=rss


pc_online: (1)新種激増、ウイルスは産業に成長 --- ウイルス残酷物語 http://ff.im/-rxfmV


lac_security: なんか、記事に間違いがあるのが、きになる。チャンとプログラムや、参加者をみてないで、やっつけでコラムかいたのが、見る人がみるともろばれれ。ちと恥ずかしいぞ。ヒゲ


yumano: 今の情報セキュリティ監査制度って、2002?2003年にできあがったもの。普遍的な物であるように制度を作ったとあるが、基礎となるセキュリティ状況が大幅に変化していると思う。国際情勢も含めて。その中で平和な日本の監査制度が海外で受け入れられるにはかなり厳しいものがある。


jpcert: Adobe Acrobat/Readerの更新プログラムが公開されました。ソフトウェアのアップデートを!^YK https://www.jpcert.or.jp/at/2010/at100026.txt


sen_u: OWASPのWebアプリのペンテストツール。 OWASP Zed Attack Proxy Project http://bit.ly/dtWvSE


ockeghem: MD5の総当たりって意外に速いね。system1を見つけるのにSC440で71分(英小文字と数字の総当たり)。レインボーテーブル使わなくても、結構解けるね


テーマ : セキュリティ
ジャンル : コンピュータ

10月4~5日のtwitterセキュリティクラスタ

朝から出かけていたので、もう夕方ですね。


まずは週末から話題だった某Codezineのコードについて。コメント見る限りはひどそうですね。
kenji_s: PHPで作成する携帯会員サイトの基本 http://ow.ly/2NQj5 、更新されて簡単ログインにキャリアIPのチェックが入ってるけど、チェックが大雑把過ぎて突破可能。公開停止した方がいいような気もします。

kenji_s: @ockeghem しかし、訂正記事で訂正しきれてないということは、PHP界隈には、やっぱり全然わかってない人だらけなんでしょうね...orz

kenji_s: @codezine あまりに脆弱性が多すぎるので一旦公開停止されたほうがいいと思います。こういういいかげんな記事がPHPの評判を落とす結果になり、PHPがdisされる原因になります。ある程度の品質の記事を掲載されるようにお願いしたいです。

ockeghem: .@kenji_s あの記事書いている人たちはテクニカルライターですから、PHP界隈の人ではないと思います。また、「かんたんログイン」の正しい書き方は誰にも分からないので、このテーマを選んだこと自体が失敗なのだと思います。




Whitetipという脆弱性スキャナがフリーで公開されているようです。誰かのハンドルに関連している名前なのがまずヒットですが、中味についても早速チェックされています。
sen_u: 「Whiteip」っていう脆弱性スキャナ。親近感が湧くな。

sen_u: あ、Whiteip→Whitetip。typo

ymzkei5: Webアプリ脆弱性スキャナ「Whitetip」、1.443開いてなくても動いたら嬉しい。2.動作中に進捗率が出たら良いな。(何分の何。分母は増えても良い)。3.レポートで「検出項目」でソートが出来たら嬉しい。(←「charsetが未指定」とか大量に出てると他が埋もれる。)

ymzkei5: ..\..\..\..\..\..\..\..\..\..\WINDOWS\NOTEPAD.EXE というシグネーチャは斬新だな。一般的には、コンソール出力があるコマンドのほうが良さそうに思ってしまいますけど。(^-^;

katsuny3: 無料版とは言え会社名で出すならデジタル署名があるといいな。Vistax86、x64、 Win2k3の3環境で例外でてスキャン完了しない 「URI::InvalidComponentError」 RT @sen_u: 「Whitetip」脆弱性スキャナ。

ymzkei5: http://example.jp/aaa/bbb/ccc.asp を、http://example.jp/aaa/bbb/、 http://example.jp/aaa/ と辿っていくことは、「ディレクトリトラバーサル」とは呼びませんよ~。


そしてWebアプリ検査ツールについて。私も個人的にいろいろ使ってみたのですが、誤検出が多いので、今のところ結局手動になっちゃうなあとか思ったり思わなかったり。業務用の高いアプリを使えば、正確性が上がるのかもしれませんが。
ikepyon: Webアプリ検査ツールに関して言えば、それなりのチェックをしてくれるので、しないよりはましと言う程度だと思う。全ての開発者や組織がセキュリティに詳しいわけではない&そういった専門家をパートタイムでも雇えない現状ではツール自体を導入することはありだと思う



そしてlibrahackの件でのまとめというか。真偽はともかく自説と違う論に対してきつい言葉を浴びせる芸風の人が生き残る議論だったなあと思いましたが…
harusanda: りぶらの件は、「外形」が着地点になりそう。 正直ほっとしている。 どんなに振幅がふれても、やがて聡明な しかるべき地点に落ち着くのがネット…という結果には満足だ。

harusanda: 偽計を前提に現況を説明していた人が、警察依り・図書館寄りの「推論だ」と誤解されて非難を浴び黙らせられてる例が少なくなった。偽計ってそこに書いてあるよね?と憤懣しつつ議論から降りた人が大勢いたことだろう。ある法律家は「謙虚でないと議論が上滑るだけ」と警告まで出した…

harusanda: 僕も「外形を」と言ったが、条件反射で書く(書ける)人には通じなかった印象がある。今回の流れは(よくあることにせよ)(一定の成果もあったにせよ)ある程度 省みることも必要だと思うなぁ



あとの気になったものたち。

yohgaki: http://www.xssed.com/news/122/Amazon_hit_by_persistent_XSS_vulnerability/ AmazonでXSSだそうです。基本的な問題


2chmtm: 美人過ぎるロシアのハッカーが話題に⇒ http://labo.tv/2chnews/r/49166


masa141421356: javascript:document.charset="<script>alert(1)</script>" をアドレスバーで入れるとスクリプトが走る理由が理解できません > Opera


netagent_jp: ブログを更新しました。今回は流行りの「FD改ざん事件についての技術的考察」についてです。 http://www.netagent-blog.jp/archives/51482971.html


kikuzou: 「セキュリティうどん 4杯目 ミクシィ中の人から 2010秋」 http://togetter.com/li/56594 USTREAMは iPhone + 布テープを駆使してお送りしていましたw


kikuzou: いつのまにか THC-Hydra が 5.8 になっている件について http://bit.ly/9ypemQ


kinugawamasato: 吹き出しが邪魔で見えねえよバカ http://gyazo.com/61717e91834b7bb502f11401cf13d5fb.png


テーマ : セキュリティ
ジャンル : コンピュータ

10月2~3日のtwitterセキュリティクラスタ

AVTokyo 2010のチケット予約がはじまってました。早速取ってみましたが、整理番号23番でした。
hasegawayosuke: AVTokyo 2010 のスピーカーが公開されてますね。僕もしゃべりますよ。今回は @takesako さんとは別ねた。 http://ja.avtokyo.org/avtokyo2010/timetable #avtokyo

hasegawayosuke: おおお! マジですか? その場で修正求めちゃいますよ(嘘) RT @takumi_onodera : 今年は、行きたいな RT @hasegawayosuke: AVTokyo 2010 のスピーカーが公開されてますね。僕もしゃべりますよ。http://bit.ly/btG60n

hoshikuzu: AVTOKYO2010 当日は俺の誕生日パーティーがあるから参加できない。

yumano: AVTOKYOでパーティすればいいじゃん・・・ RT @hoshikuzu: AVTOKYO2010 当日は俺の誕生日パーティーがあるから参加できない。



その前に、10月26日(火)に神泉セキュリティ勉強会というのが開催されるようです。徳丸氏の文字コード脆弱性のデモがあるみたいなので、こちらも楽しみですね。
ockeghem: 第1回神泉セキュリティ勉強会では、講演資料は既に発表しているものなので、文字コード脆弱性デモ6連発が目玉ですかね。うまくいけば、7発目をやるかもしれません #SinSec

ちなみに神泉セキュリティ勉強会詳細はこちらっぽい↓
http://atnd.org/events/8398


プログラムの原稿は、書く側も生半可な気持ちと知識では書けない今日この頃なので、へっぽこライターとしては大変ですよ。
ockeghem: 日記書いた『 「PHPで作成する携帯会員サイトの基本」の諸問題(1)』 http://www.tokumaru.org/d/20101003.html#p01



はてなはCTOが変わっても相変わらずのようで、ほっとしますね。
togetter_jp: .@rkanbe さんの「はてなの新サービス?の『はてなランド』、招待制でオープンするも早くも脆弱性を突かれる?」が1000PV達成してる。別に気にならないけどねっ。うそ。 http://togetter.com/li/56116



そして、業界人によるセキュリティスキャナーとネットーク診断界隈のお話。業界人じゃないので参考になります。
tomoki0sanaki: セキュリティスキャナーでは、FalseNegative が多すぎ!自分でやらずにちゃんとした業者に頼んだほうが良いと思う。 --- 宣伝かも。

ntsuji: 結局、外に頼んだほうが安くすみそうな気がしますよ。更改が少ないサイトだと特に。あと、せい弱性って…w 住商情報システム、Webアプリのせい弱性チェック体制整備を支援:ITpro - http://bit.ly/bR1KGh

ymzkei5: @ntsuji @ockeghem “検査対象となるWebアプリケーションの規模や検査頻度などから適切な検査手法や利用ツールの選定を行う。” ←問診のどの分岐を通っても、「あなたにはAppScanがオススメです!」と言われたりしてw

ntsuji: .@ymzkei5 @ockeghem 対抗:WebInspect 大穴:Paros シークレット:w3af(笑)

ymzkei5: @ntsuji 笑った。 / あ。でも本当にWebInspectとAppScanと両方扱っているのね。さすが商社系(ぇw) >http://www.scs.co.jp/sys/products/webinspect/

tomoki0sanaki: FalsePositive ならまだ気づくんですが、Negativeだと気づきませんからね。それが一番怖いですよね。 RT @haromitsu @tomoki0sanaki False Positiveも多いですしね。

ntsuji: .@tomoki0sanaki @haromitsu ネットークの診断だとFalseNegativeはスキャナの癖や特性を知らないと溢しますね。後は複数台を相手にするマニュアルオペレーションのノウハウも必要ですね。このホストで得た情報は他のホストでも…みたいなのとか。

tomoki0sanaki: Web アプリ診断の場合は、スキャナよりも、対象を作ったプログラマが案件ごとに違うからWebアプリの癖も案件ごとに違うので、それをいち早くつかむかが作業効率のポイントになると思います。 @ntsuji @haromitsu

ntsuji: .@tomoki0sanaki @haromitsu 必要なのは教育後、どのようにどの程度経験とノウハウを蓄積してゆくかが1番の勘所だと思っています。セキュリティに限らず知識を身に付けることは、道具を揃えた段階であって入り口でしかないですね。


テーマ : セキュリティ
ジャンル : コンピュータ

10月1日のtwitterセキュリティクラスタ

まずは国勢調査。私も試してみたのですが、書かれているように><s>しか通りませんでした。
ymzkei5: ちょwww >“「本人の仕事の内容」という項目に「……時にはフォームに "><s>test などと入力する仕事」などと書いてみたところ、確認画面で打ち消し線が表示” →■国勢調査オンライン | 水無月ばけらのえび日記 http://bit.ly/coxp4p



最近NoScriptを使うと動かないページが多くて困ります。
hasegawayosuke: 今日はTwitterもそれ以外も、いつもより快適だなと思ったら、NoScriptも RequestPolicyもAdblock PlusもRefControlも無効にしてた件。精神的によくないので有効に切り替えてFF再起動。



インターネットの歴史的なページってアーカイブされずに消えてしまっていることも多いので、残るのはいいことだと思います。
ockeghem: 高木浩光氏のアドバイザリ「Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式の脆弱性(1) 」が産総研のサイトから削除されていて衝撃を受けた。こういう歴史的に価値のあるレポートは永久保管していただきたいです

HiromitsuTakagi: @ockeghem ええと、旧サイトが消失したためのですが、現在所属のサイトに転載しようという話は前からありまして……。URLがまだ決まってないですが、急ぎURLだけでも決めてお知らせします。掲載は再来週くらいまでかかりそうです。



古い話ですが、IIJの実装に新たに見つかったそうです。ルータとかにDNSキャッシュ機能があれば、それでポイズニングされるんですね。気をつけないと。
JVN: 複数の DNS 実装にキャッシュポイズニングの脆弱性 http://jvn.jp/cert/JVNVU800113/



海外での無線LANアクセスポイントについて。しばらく行く予定はないですが、まあ。
yumano: フランス。パリ市内。無線APの数が異常なくらい多いと感じた。ただ、これはSFRなどが提供している公共無線LANサービス。カードなどを使って時間利用が可能。時間利用、1日利用などが可能。公共施設のほとんどでどれかが使える。そのかわりにフリースポットは皆無。正常に発展している感じ。

yumano: ベトナム。ホーチミン中心部の話。フリースポットが多い。ほとんどの喫茶店やホテルでパス無しの無線APが立っていた。たまにWEPで立てている喫茶店があるが、そういうところはパスワードがレジ周辺の目立つところに貼ってあるので利用可能。都心だったので困ることはなかったです。

yumano: 無線LANを利用したい場合に、プリペイドカードとかでも売ってるらしいんだけど、売っている場所が見つけれなかった。駅の売店とかにあるらしいんだけどな~。



ちなみに日本についてはこんなかんじっぽいです。iPhone使うようになってからはもっぱら3Gだけで何とかしていますが。
tetora7: 公衆無線LANアクセスポイント 価格とサービス比較 | ueblog http://bit.ly/cfkibJ



そして、図書館のアレ。お詫びに至るまでドイヒーなかんじで、自分たちはあんまり悪くないという姿勢を曲げずに貫いているのはある意味素晴らしいですね。
Vipper_The_NEET: YanaseTooru 昨日,りぶらからMDISが漏洩させた個人情報に該当すると名乗る匿名の方から連絡がありました。お詫びの手紙の内容も不誠実だったようです。また,情報漏洩後の対応が不適切であることもわかっています。この点,是正するよう働きかけて頂けないでしょうか。

テーマ : セキュリティ
ジャンル : コンピュータ

9月30日のtwitterセキュリティクラスタ

昨日はShibuya.pmが開催されたようです。セキュリティ系の話も結構あったようで、ちょっと見たかったですね。
hasegawayosuke: 「脆弱性連絡してくるIPAがうざい。」と言って国外逃亡した Perl monger の人もいましたね。 #shibuyapm

kaito834: #shibuyapm IPAのパネルディスカッションあたりのTLが興味深い。脆弱性を発見したことがある方、脆弱性の報告を受けたことがあるだろう開発者の方それぞれの意見が挙がってる。

sonodam: 今日のプチ反省。もっと会場の意見聞けば良かったなあ。

sonodam: もう一つ反省点は、奥さんや竹迫さんと喋るなら、飲み会の方がクリエイティブな話ができるって思っちゃったところかなw。企業の中の人の話が聞けたら良かったんだけど。



librahackに続き、図書館で事件ですが韓国ですか。
ymzkei5: 韓国でも図書館システムから情報漏えい?(こっちは関係者による内部犯行なのかな。) >■電子図書館システムに不正アクセス、個人情報抜き取る | Chosun Online | 朝鮮日報 http://www.chosunonline.com/news/20100930000060



とはいえ、どこかの間抜けな会社のミスが大ごとになった事例とは異なり、こっちは大変なことになっている模様。600万の個人情報ですか…
libkeeper: #librahack 今の情報が入りました。小学校と中学校のseverを担当するDLSで、学生の個人情報600万個をhackingし、これを持って一つの企業が読書通帳を作成して、図書館に販売された事件でした。企業が主体となってこのような個人情報を流出させるなんて..怖いですね。



AVTokyoの前売りがはじまってますね。11月6日、ロフトプラスワンでお会いしましょう。
piyokango: AVTOKYO行こうと思ってたけど、予定ブッキングしまくり。USTで中継するようなのでそれに期待。http://mcaf.ee/c74ea



jpcert: 攻撃用ツールキットを使用した Web サイト経由での攻撃を複数確認、ソフトウェアのアップデートを!^YK https://www.jpcert.or.jp/at/2010/at100025.txt



そして、中国は無線LAN使い放題で、IPアドレスは隠し放題だったりするわけですね。
lac_security: 現地で見た中国ICTセキュリティ最新事情 上海はフリースポット天国! (^ま) http://www.lac.co.jp/media/002054.html



そしてXSSのコアなネタが。こういう開発者も気付かないような細かいところを突かれてしまうのだなあといつも感心します。
hoshikuzu: @hasegawayosuke すみません、質問です。 onclick="vbs:ほえーなにやらvbscript" というのは、アリでしたっけか?<a href="vbs:ほえーなにやらvbscript" とかは?

hoshikuzu: @hasegawayosuke いやなに、*script とdataとftp あたりをはねているサイトがあるものでして。

hasegawayosuke: @hoshikuzu onclick="vbs:msgbox(1)" で動きますよ。

hasegawayosuke: @hoshikuzu てか、<input type="button" onclick="alert(1)"> で普通にJS動きますよ。

hasegawayosuke: @hoshikuzu<a onclick="vbs:..."> は動くけど、<a href="vbs:..."> は動きませんね。IE8。

hasegawayosuke: @hoshikuzu あと、少し前のOperaは http://pastebin.com/f9f1311a みたいなのが動いてた(現状は http://///google.de になる)ので、同様の手段で"javascript"は挿入できそうですね。

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2010
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 - - - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。