2月25～27日のtwitterセキュリティクラスタ

週末はまっちゃ445やブラックハットその後などいろいろなイベントが開催されました。とはいえ非公開なことが多かったようでtwitterへの発信はあまりなく残念な感じです。私は花粉と締め切りで死んでました。

vulcain: 先ほどのフラッシュさんの資料です #matcha445 QT @flash_takahashi: 「まっちゃ445勉強会　LTトーク発表資料」 http://amba.to/iaPULl

luffy_kuroneko: BHJすばらしかった。#BHJ #AfterBHJ

そして3DSが発売されました。VBとは違うんでしょうね。

piyokango: ドヤ顔で3DSを持っていったら、会場内に他にも10人ぐらい持っている人がいるなど。まっちゃ445はすごいですね。

swim_taiyaki: 誰か、3DSにNessusかけたりとかしないのかなぁ。Nmapでもいいよ。って言えば、Jamesさんがやってくれそうだからつぶやいてみる。

sen_u: とりあえず嗜みとして、ニンテンドー3DSでゲームするより前に nmapでポートスキャンするか。

sen_u: UDPスキャンが終わる気がしない。TCPは空いてないっぽいね。3DS

ちょっと前に話題だった気がするTRACEメソッドについて。最近ではあまり悪いことは出来ないようですね。

masudaK: blog書いた！　「TRACEメソッドって怖いんです」　http://bit.ly/fILPjk

kaito834: 今の主要ブラウザではXMLHttpRequestでTRACEメソッド送れないですね。http://is.gd/QSXmAZ RT @kitagawa_takuji: RT @masudaK: ...「TRACEメソッドって怖いんです」　http://bit.ly/fILPjk

kitagawa_takuji: @kaito834 blogでも書かれているようにIE6 SP2でも"TRACE"の代わりに"\r\nTRACE"にすると送れてしまうという問題がありました。それがいつ修正されたはかわかりません。しかし現在はXSTはほぼ実害ないと考えていいでしょう。

ucq: そういえばOPTIONで認証回避できたことあったけどあれはApatchの設定の問題なのかな

kitagawa_takuji: TRACEにはXSTの他にMax-Forwardsを変化させると途中のリバースProxyから色々と情報が返ってくるという問題があります。Proxyに対するtracerouteみたいなものです。

kaito834: @kitagawa_takuji: この手法はProxyがTRACEメソッドを処理するから成立する、という理解で合ってますか？ > "Proxyに対するtracerouteみたいなものです"

kitagawa_takuji: @kaito834 そうです。ProxyがForwardする時に付加するヘッダがそのまま返ってきたり、それにProxyのファームのバージョンなどが含まれることもあります。>この手法はProxyがTRACEメソッドを処理するから成立する、という理解で合ってますか？

kaito834: @masudaK TRACEメソッドを結果を交えながら書いてあったところは分かりやすいと思いました:)

kitagawa_takuji: @masudaK かいとさんのブログ http://is.gd/QSXmAZ に書かれている通りXST（Cross Site Tracing)は現在ではほぼ実害はありません。ただサーバの設定変更で簡単に無効にできるので、止めておいたほうが良いでしょう。

検査ツールが特許に引っかかるらしいですよ。

kitagawa_takuji: OWASPのファウンダーMark Curphey氏もCenzicがHBGaryと共通の創設者の会社であること、CenzicのパテントがOWASP WebScarabに影響することに対し懸念を表明。 http://stop232patent.com/

kitagawa_takuji: これは検査技術者ヤバい？ Cenzic Invented Fault Injection?! http://stop232patent.com/ http://www.networkworld.com/community/node/71620

kitagawa_takuji: 次のようなプログラムの作成はCenzicのパテントに抵触しパテント料を要求される可能性があります。 1."不正な"又はエラーの応答を発生させるために意図的に不正なリクエストを送信するプログラム (続く）

kitagawa_takuji: （続き） 2."不正な"又はエラーの応答を発生させるために正常なリクエストを送信しそのパラメータの１つを意図的に不正なリクエストを送信するものに変更するプログラム

kitagawa_takuji: XSSやSQL Injectionの検査プログラムは完全にアウト？ HPとIBMはCenzicとクロスライセンスを結ぶことで回避、現在CenzicはNT Objectivesと争っている

tomoki0sanaki: マジっっすかぁ～！ (0o0) QT @kitagawa_takuji XSSやSQL Injectionの検査プログラムは完全にアウト？

kitagawa_takuji: 特許ヤクザは金のない個人などは相手にしないでしょう　RT @tomoki0sanaki: マジっっすかぁ～！ (0o0) QT @kitagawa_takuji XSSやSQL Injectionの検査プログラムは完全にアウト？

その他気になったことはこのあたり。

mincemaker: 『ゼロからわかるＰｅｒｌ言語超入門』（本当に全角英数で書いてある）という本を読んだ。2011年3月25日初版と書いてあるが焚書ものの酷さ。今までで一番酷い内容だった。高橋順子著となっている。これを2011年に初心者向けとして出す意味がわからない。

mincemaker: 参考文献でなぜか、技評のモダンなんたらへようこそのWeb記事が参照されているのだが、サンプルソースはレガシーそのものなのがうける。

mi1kman: 濃いコーヒーじゃなくて煮え湯を飲まされればいいのに。 狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性” - ニュース：ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20110224/357668/

piyokango: もう1つの事例はルノーのEV自動車の情報漏えい。現在において 法律上の問題からこの2つとも罪にはなっていない。なぜなら情報はモノではないから。

piyokango: 取り上げられている漏えい企業はここですかね。 http://bit.ly/cUmDaJ なんか社長のブログ見ると4か月前のこととは思えないぐらい楽しそうな感じがするのですが。。

2月24日のtwitterセキュリティクラスタ

昨日は朝から「わけがわからないよ」ネタが面白かったです。

haruyama: 『君たち携帯エンジニアはいつもそうだね. 端末idがあると認証に使おうとする. わけがわからないよ』とか

ikepyon: 「君たちISMSコンサルはいつもそうだね。パスワードがあるとパスワードを定期的に変更しろと言う。わけがわからないよ。」と言うのを思いついたｗ

hasegawayosuke: 君たちバイナリアンはいつもそうだね。1と0があれば十分といいながら0-9A-Fばかり見てる。わけが分からないよ。

ikepyon: 「むしろ便利じゃないか。君たちペンテスターはいつもそうだ。端末識別番号でセッション管理すると同じ反応をする。わけが分からないよ！」By 携帯プログラマｗ

hackmeですが、文句垂れつつも徐々に先に進まれて、Lv4をクリアした人がすでに100人以上出ているようです。合格判定は相変わらずのようですが。

kikuzou: Lv4 降参

ucq: Lv4の解答わかり泣いた。

Netfire_Inc: Lv4の合格判定を修正しました。

他に気になったところはこのあたり。

kinyuka: ブログ書いた(;´Д`)AndroidアプリケーションのSSL通信をプロキシで解析する(1) http://kanatoko.wordpress.com/2011/02/24/android_hook_ssl_by_proxy/

ockeghem: 『ばけらさんもレビューしたこの本、てかレビューしている人も含めて、良い本にしていくこの本の作り方面白いな』<言及ありがとうございます / 徳丸さんのセキュリティ本 レビューの感想など | 水無月ばけらのえび日記（情報元のブックマーク数）… http://htn.to/4k4HSt

cnn_co_jp: 次のウィキリークスを狙うハッカー集団「アノニマス」 http://cnn.jp/etXw6u

vulcain: OSSなWebアプリ検査ツールであるw3afの新しいWindows版ビルドがリリースされたようだ。 http://sourceforge.net/projects/w3af/files/w3af/w3af%201.0-rc6/

sayuki0821: えぇぇぇぇ； >> MobileMeもDropboxも違法である http://t.co/x3Y4IZN

tamiyata: USBメモリを禁止したり暗号化したりというお話を。StuxnetもUSBメモリでしたからねえ…／USBメモリからの情報漏えいを防げ！ - http://bit.ly/gvUpQG

ucq: ようやく、日本の記事でも取り上げられたか 。 エネルギー業界を狙う組織的攻撃「Night Dragon」 http://bit.ly/fTixCZ

security4all: New tool release by The Honeynet Project: malware analysis tool Cuckoo http://bit.ly/fwn7g7 #dfir

ttkzw: DNS/DNSSECの情報取得（デバッグ）ツールdrillのマニュアルの邦訳を公開しました。 http://unbound.jp/ldns/drill/

ripjyr: 第22回まっちゃ１３９勉強会は、セキュリティキャンプ・キャラバン in Osakaと共同開催！スゴイ講師陣の話が聞けますので是非！（そして今回は駅近！） http://goo.gl/DV92g

2月23日のtwitterセキュリティクラスタ

殺しても死にそうにないような知り合いが倒れたという話を聞きました。健康には気をつけたいものです。

昨日は＠IT主催のセミナーが開催されていました。

yasulib: 今日は「＠IT セキュリティソリューション Live! in Tokyo」に参加させて頂きますよ :-) https://itmedia.smartseminar.jp/public/seminar/view/235

piyokango: USBメモリ紛失事例の探し方「個人情報＋USBメモリ紛失＋お詫び」で約200件ぐらいがGoogleでひっかかってくる。 #atitsec

ランチセッションのつぶやきが活発で面白そうだったので、togetterでまとめてみました。



あと気になったことはこのあたり。

ntsuji: 欧州ENISAのクラウドのセキュリティに関するガイドラインの翻訳 http://www.ipa.go.jp/security/publications/enisa/index.html

jpcert: こんにちは。Weekly Report 2011-02-23 を公開しました。^KS https://www.jpcert.or.jp/wr/2011/wr110701.html

NortonJapan: ノートンtwitter担当です。本日ノートン360の最新版、バージョン5.0を発表しました。オンラインは本日、店頭は25日から発売です。詳細は→ http://bit.ly/eVsbwX 有効期間中のユーザー向け無償アップデートは→ http://bit.ly/d9Em29

JVN: ISC BIND にサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/JVNVU559980/

jkudo: 社内でセキュリティうんぬんの講習をやる前にWindowsUpdateの講習をやった方が有効だと思います。

marinedolf: やってみよっと RT @hasegawayosuke: hackme よりこっちのがおもしろそげ。 http://bit.ly/dPh4wJ http://vicnum.ciphertechs.com/ AppSec EUのチケットもらえるし。

laccotv: 川口洋のつぶやき 第56回 ?「きゃぷてんえーおー」を公開しました。 http://www.youtube.com/watch?v=r2kczhSby2M 今回はラックが誇るサイバー119隊長の江尾(えお)をご紹介します。

connect24h: 外国人ハッカーがカナダ政府を攻撃 : セキュリティ・マネジメント - Computerworld.jp http://ow.ly/41DB0

2月22日のtwitterセキュリティクラスタ

Androidについにウイルスですか。対策ソフトもないので大変でしょうね。

kikuchi_orz: 日本語版のAndroidアプリに初のウイルス混入が発覚、注意喚起や見分け方の解説が行われる GIGAZINE http://bit.ly/ehwsJm

hiropooh: 中国がメインになりそうな New Android Trojan Surfaces in China http://bit.ly/hD6XzA

YouTubeってピッキングや鍵開けに関するビデオがたくさん上がってて興味津々なのですが、なかなか試す機会がないので鍵開け勉強会とかやらないかなあとか。

kitagawa_takuji: カード式ロック：ホテル窃盗被害２０件　http://t.co/UCswEWJ via @mainichijpnews これYouTubeに上がっているこの動画そのものの手口だろ http://t.co/QalYqlh via @youtube

kitagawa_takuji: ホテル関連ではこっちも注目！ゴムバンドでチェーンロックを解除 -- Defeating a sliding chain lock using a rubber band http://t.co/5xHyCGE via @youtube

IPv6の時代になってもSpamは続くよどこまでも、ということですか。

shu_tom: IPv6ネットワーク経由でとどくspam(cNotes) http://goo.gl/bd24a

ランチセッション楽しみです。

yasulib: 今日は「＠IT セキュリティソリューション Live! in Tokyo」に参加させて頂きますよ :-) https://itmedia.smartseminar.jp/public/seminar/view/235

そろそろメジャーバージョンアップですか。

osprey_1: BackTrack5のスクリーンショットが公開されてる。BT５はとりあえず「赤い」ってことでいいんですかこれ(笑http://bit.ly/gpq7Yj

あと気になったことはこのあたり。

packet_storm: OWASP AppSec USA 2011 Announcement http://packetstormsecurity.org/files/98657 #whitepaper

kikuchi_orz: 検閲ソフトが突破ツールに負け、情報封鎖できなくなってきた中国 大西　宏のマーケティング・エッセンス http://bit.ly/e6pbrk

ikepyon: 興味深い http://www.gizmodo.jp/2011/02/post_8527.html

eagle0wl: VIPでもネタになってるので。　ハッカーになりたい　http://yumeringuinvip.blog71.fc2.com/blog-entry-171.html

jnsa: 2010年 情報セキュリティインシデントに関する調査報告書 【上半期 速報版】 でました。　http://www.jnsa.org/result/incident/2010.html

ntsuji: 攻撃ツール「BlackHole」が猛威、1日に10万件以上の攻撃 - ニュース：ITpro - http://itpro.nikkeibp.co.jp/article/NEWS/20110222/357467/

yumano: え？不可なんですか？？ RT @matsuu: #hbstudy IPv6はパケット分割不可、end-to-endの通信原則のため、MTUブラックホールが起こりやすい。とくにIPIPトンネルはMTU=1280でつながってるところが多い。なんですとー

hasegawayosuke: まじめに記号JS論じてるのかな、これ。 http://vimeo.com/15961577

hasegawayosuke: The slide says @garethheyes, @0x6D6172696F, Lever_One, @sirdarckcat, @thornmaker developed no-alnum js. no my name X-( http://bit.ly/bMCq26

moton: 日本から私とCSW(3/9-11)に行きませんか？ CanSecWest Applied Security Conference: Vancouver, British Columbia, Canada http://cansecwest.com

2月21日のtwitterセキュリティクラスタ

今日は猫の日だそうですね。うちの猫は最近外猫の争いでの鳴き声にドキドキする日々を過ごしています。

なぜか月曜日になってから始める人が多かったhackmeですが、理不尽な内容に皆さん戸惑っているようです。確かにレベル2はため息が出ました。なお、引き続きレベル3以上の答えは絶賛募集中です。

hasegawayosuke: 15分くらいLv2やったけど解けないのでやめたｗ SOP破りだけならもうちょっとやる気だすけど。

ucq: 作者の想定してる解答をいれるというクイズでした

sen_u: hackmeのLv1はあっさり終わって、Lv2に行って1回試した後は 500 Internal Server Errorで遊べない。たぶんもうやらない。ｗ

yoshimura_yuu: はっくみーが落ちた。まさか僕が総当たりプログラムをテストしたせいか？

piyokango: 500しか返ってこなくなってしまいました。。

kaito834: あれ、昨日通らなかったリクエストで Lv2 通過できた...なんだそりゃ。#hackme

ymzkei5: @kaito834 これから先、もっと大きな理不尽が待ち構えていますｗ

ntoh0712: hackmeでunkoというユーザー名ではじめようとしたら、すでに使われていてもう負けた気がしたので、もうやらない

小４が中学生になりすましたらしいです。僕が小4のころは担任が2回逃げて

kuma_bucho: アメーバのIDのっとりで小4補導ですって。小4…。→中日新聞:小４が不正アクセス容疑　別人ＩＤでサイト侵入:社会(CHUNICHI Web) - http://bit.ly/enA6rG

2000円なのでちょっと買おうかなと思いました。TシャツということでWJの下痢便Tシャツ画像を探したのですが見つからなかったので残念ってセキュリティとは全く関係ないですね。

Murashima: JPRSオリジナル DNSSEC Tシャツを2011年3月末まで期間限定販売 / 株式会社日本レジストリサービス（JPRS） http://goo.gl/VDrSJ

masanork: お粗末 / 韓国情報機関員　外国特使のパソコン盗図りホテルの一室で鉢合わせ - MSN産経ニュース http://htn.to/rEZuNS

cubedl: [xss][セキュリティ] / DOM XSS Scanner - Find DOM based XSS Security Vulnerabilities http://htn.to/r4QGfn

miryu: インシデントの大半がヒューマンエラーだってのは、業界を限らなければもう数百年変わっていないのではないだろうか。 / NPO日本ネットワークセキュリティ協会 http://htn.to/7adFwL

mtakeshi: でてたー。謎の男たちがセキュリティを語るポッドキャストby tsujileaks.comらしいよ。／第1回 タイトルも決まってないけどとりあえず始めましたスペシャル ≪ spc（仮） http://t.co/0emnbOn

tamiyata: あーいま気付きましたがANONYMUOSのイメージって「Vフォー・ヴェンデッタ」なんですね。／第1回 タイトルも決まってないけどとりあえず始めましたスペシャル | spc（仮） - http://bit.ly/fZxIH5

syuu1228: 参加希望 RT @suma90h: 楽しそう! RT @hasegawayosuke: root権限もデバドラもない制約だらけのなかでどれだけ自由に生きられるかを極める「ユーザランド探検隊」の開催が待たれる。

syuu1228: いきなり禁じ手キタコレ RT @naobsd: ユーザランド探検隊：バイナリアン「まずroot権限を奪取します」

hackinthebox: How HBGary wrote backdoors for the government - http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=40090

ipusiron: 新刊出ます。嶋崎さんとの共著です。Win7環境になりクラリスホームページが使えないので、手打ちです…。　http://bit.ly/g0nNiT

itsec_jp: [Bot] #ITSec_JP チェックしておきたいぜい弱性情報＜2011.2.22＞（CSIRTメモ） http://goo.gl/fb/VzZcg

2月19～20日のtwitterセキュリティクラスタ

昨日はカーネル/VM探検隊が開催されていました。Ust見てないので内容はよくわかりませんが、ツイート見てるだけでも楽しそうなイベントっぽかったです。

pullus: Q: Gentooのプレゼンどうだった？ A: カレーがおいしそうだった #kernelvm

m_bird: こんな人が居れば、そりゃ大阪でノートPCが奪われてGentooがイントールされる事件が多発するに決まってる。 #kernelvm

その昔友人がMSXで似たようなことやってたのを思い出しました。演奏っていうか録音でしたが。

fadis_: beepで演奏するヤツのソースコード http://quaternion.sakura.ne.jp/study/ #kernelvm

半裸なのか全裸なのか気になります。

kitagawa_takuji: 海外のペネトレーションテスターの求人広告で「在宅勤務なので仕事中にパンツを履く必要がありません」というのを見たことがある

kitagawa_takuji: 海外のセキュリティエンジニアの間では今度実際に会おうというときに「パンツを履いてくるのを忘れるなよ！」というのが常套句になっているらしい

hackmeは世界のucqさんでも難しそうなので早速あきらめました。ご飯ごちそうするので誰か答えください（大人のソーシャル）。

ucq: 2より3の方が解きやすそうなきもする

あと気になったことはこのあたり。NHKの番組見逃した…

nhk_n_sp: 【Ｎスペ】「ネットが革命を起こした　～アラブ・若者たちの攻防～」政権を倒したエジプトの若者リーダー。水面下で活動を支えた国際ハッカー集団“アノニマス”、中東ドミノの発端となったチュニジアの焼身自殺を報じたフェイスブック。革命の主役たちが取材に応じた。【2/20(日)夜9時～】

gohsuket: 昨夜からアノニマスのanony_opsがリビヤの件でいつになくエモーショナルになっている。軍用兵器が人々の虐殺に使用されてる状況にネット経由でのアノニマスの行動では支援に役立たないからだろうか。となると、ガダフィと関係ある企業に矛先が向くかも。

phpexam: 【PHP技術者認定機構】【再告知】先着合格者100名様に記念ステッカープレゼント⇒http://bit.ly/evxNPe

mincemaker: 十数年前に女神転生ファンサイトのmillenniumとか葛葉BBSとかがあった頃、あそこでXSSの基本を学んだ気がする。

mincemaker: 今の若い子には通じないだろうけど、ゆいちゃっとを改造して設置したら全力でXSSできるか試す集団がSFCとかNTT方面にいたのですよ。

murachue: SSL宛にOpenVPNのアタックがたくさんきてるわぁー

kaito834: [その他]徳丸浩さん著「体系的に学ぶ 安全なWebアプリケーションの作り方」 http://bit.ly/eW7sfV

tomoki0sanaki: Hackされた・・・Adobe Acrobat Reader X だけをインストールしたつもりが McAfee までインストールされている・・・orz

2月18日のtwitterセキュリティクラスタ

Hackmeという認証を抜けるサイトがを公開されました。ちょっと試してみたのですがいきなりレベル2でわかんなくて泣けます。ヒント下さい＞＜

Netfire_Inc: 実践的なWebアプリケーションセキュリティのハッキング力を測定するサイトHackmeを公開しました。http://hackme.netfire.jp/start http://fb.me/FOTwj66d

Netfire_Inc: スラッシュドットに投稿されたようです。沢山のアクセスありがとうございます。http://slashdot.jp/security/article.pl?sid=11/02/18/0110203 #hackme

あと気になったことはこのあたり。

fonjapan: 【FON_livedoorサービス終了のお知らせ】2011年2月28日をもって本サービスを終了させていただくこととなりました。詳細はこちら: http://fon.gs/fj-20

bulkneets: PSNのセキュリティがどうこう、rootkitインストールされたらどういう被害が発生するのかという論文がいろいろすっ飛ばしてクレジットカード番号平文で送ってることになったのかな。

JSECTEAM: Security Wars を公開しました。---では、実際に、重要インフラに対する重大な脅威がおきたときに、各国政府が、どのような対応を考え、実行に移しているか、以下、ケース スタディをすることにしよう。--- http://bit.ly/hVLsQC

ScanNetSecurity: Windows Server 2003に未修正の脆弱性、攻撃コードがすでに公開（JVN） http://scan.netsecurity.ne.jp/archives/51946243.html

connect24h: 攻撃経路としてのWebDAVの悪用を調べてみる - 思い立ったら書く日記 http://ow.ly/3YP7K

s_hskz: …CGIWrapのXSS脆弱性が修正された後、CGIWrapdでの類似例がみつけられたときから、今回のux.nuのような、そのバリエーションを考えたときに、RFC2396に従って正しいURIにしてあげられれば多少は良いかもなど考えていたことを思い出したり…

cherenkov: IETesterのIE7だと画像ファイルに仕組まれたJSがバリバリ動くんだけどどう向きあえばいいのこれ。VMのXPSP3 IE7は動かなかった。

2月17日のtwitterセキュリティクラスタ

デブサミのようですが、TLにはあまりデブサミ情報は流れてきません。それよりfacebookの方が気になったり。

日系ロシア人じゃなくてロシア系日本人じゃないのかなあと思ったり。ちなみに僕はモスクワの味であるところのパルナスのケーキをよく食べてましたよ。

Hamachiya2: にっきかいた：facebookでアカウント停止された時に復活する簡単な方法 http://htn.to/j4VUif

Hamachiya2: さっきのfacebookがらみの日記にdisってくる人が稀にいるんだけど、だいたいが「ロシア人じゃないくせに」って思い込みを前提に「嘘はいかん」とか「人の信頼が」とかかっこいいこと語りだす子ばっかりだなー。ぼくはちゃんとモロゾフのプリン食べて育ったよ？

あと気になったことはこのあたり。

MasafumiNegishi: RT あまりにも誇張されている「AutoRun」終焉のニュース - http://j.mp/feFTC5

kaito834: こんな話題があるのか。「Galaxy-S でANDROID_IDが全機種同じ」https://groups.google.com/group/android-group-japan/browse_thread/thread/7bfb2beda04b3604?pli=1

yasulib: あれ？w > 「愛の告白はパケットに込めるというシャイボーイたちが集まったネットワーク組」 まっちゃ139+キャラバン in Osaka http://bit.ly/gQBMGl

piyokango: 今日行ってきたセミナーをまとめました。 ／情報セキュリティシンポジウム「サイバー攻撃の動向と対策」に行ってきた。 http://bit.ly/eXWlds

ScanNetSecurity: 社員の個人所有PCからインターネット上に約1,300名分の個人情報が流出（日本通運） http://scan.netsecurity.ne.jp/archives/51945858.html

tydyszu: 急増だそうです。｜アダルトサイトの請求画面がパソコン画面に張り付いて取れない！(発表情報)_国民生活センター - http://t.co/jxujPmy

haruyama: http://d.hatena.ne.jp/mala/20110216/1297883428 任天堂スペインから個人情報盗んでハッカーが脅迫したとされる事件について - 最速転職研究会

2月16日のtwitterセキュリティクラスタ

日本ではちっとも話題に上がってないAnonymousによるHBGaryクラックの話ですが、すばらしい日本語のまとめが書かれています。

MasafumiNegishi: HBGary事件の顛末 http://bit.ly/gcATCx

こちらが英語の元ネタっぽいです。

masayukisakai: HBGaryがAnonymousに hackingされた件。これは面白い！ http://bit.ly/hSWnBP

そして、流出データについてのあれこれ。

a4lg: Anonymous が Stuxnet のソースコードを…って話があったが、全然違うじゃねーか。ただ Hex-Rays 社製品でデコンパイルしただけでソースコードってそれどうよ…。

a4lg: rootkit.com 側の流出データは自分のデータ流出を確認した。どんなパスワードを使っているのか忘れていたが、パスワード管理ソフトで調べてみるとランダム16文字、再使用されていないパスワードだった。とりあえずは安心。

a4lg: 生の email が出てるのは愛嬌としておこう。スパムが増えた形跡は今のところないし。

ntsuji: 「rootkit.com」から盗まれたと思われるパスワードのリストだそうです。ふむふむ。 「123456」「password」「qwerty」――使われ続ける危険なパスワード - http://bit.ly/ijjg41

ntsuji: rootkit.comで利用されていたっぽいパスワードの17位の「ìîñêâà」。なんて意味なんでしょ…

そして、Magentaルートキットについての考察です。

a4lg: rootkit 研究家たる私が、暴露された HBGary 内部の Magenta に関する文書を調べてみる。これはコンセプト段階とされるものだが…検出不可能という宣伝文句を除けば技術的には可能っぽい。ただし繰り返すが、検出不可能ではない。

a4lg: システムのあちこちに移動するから対処が極めて難しいという程度だ。この種の rootkit で種が割れてしまえば、あとは APC などのコンテキストを重点的に追跡するだけだ。たださっき「検出不可能」という文章を見かけたが、これはニュースソースが追加した表現のようだ。

a4lg: 文章らしきもの (流出ファイル原文を持っているわけではないのでご容赦を。) では、動いているシステムからこれを除去するのは不可能に近い、という表現に留まっている。これなら整合性は合う。見つけられたとしても、…対処に困る類なのは確かだからだ。

a4lg: ちなみに、Magenta に関する情報はここのソースを参照しました。 http://j.mp/gzFccr

crowdleaks: Magenta Rootkit (for Ray) - Fri, 7 Jan 2011 11:07:53 -0800 http://t.co/mljMGuQ #hbgary #anonleaks

suma90h: @a4lg 開発の目的って何でしょうか．書いてあった？

a4lg: @suma90h 記事ではこのメールが転送された Farallon Research が政府と関係の深い会社であることを指摘し、何かの陰謀を匂わせる感じに書かれてました。

suma90h: @a4lg なるほど！ ありがとうございます

あと気になったことはこのあたり。

trendmicro_jp: [セキュリティブログ]「偽システム診断ツール」を画像で紹介！ http://blog.trendmicro.co.jp/archives/3918

bulkneets: 機械翻訳によるとキャンペーンサイトのサブドメインをadminに変えてノーパスワードでログインできて個人情報大量ゲット、法令違反レベルの脆弱性で情報保護期間に告発すれば罰金になるし、あなたと対話する準備があるから連絡くれ、サンプルを添付する、みたいな感じ

tamiyata: セミナー運営担当の方から宣伝しておけと言われたので、編集部主催のイベントをご紹介します。今回は2トラックで大変濃い内容。ログにWAFにクラウドに仮想化にSSHにアンチウイルスにDLPなど多彩なのでぜひ足をお運びください。 http://bit.ly/euFgVx

2月15日のtwitterセキュリティクラスタ

まとめをまとめるのは意外と大変なんだなあとか、誰とはなく。

Stuxnetに関することは日本ではあまり盛り上がってない気がするのですが、まさかインフラが攻撃されるとか思ってないんでしょうね。

gohsuket: まだ出るStuxnetの話題。Symantecより RT @BBCNews 'Nuclear virus' targets uncovered http://bbc.in/et2uPm

kimhongsun: シマンテック社のセキュリティレスポンス「W32.Stuxnet Dossier」に関する記事：Stuxnetはイランにある5ヵ所の重要社会インフラを標的に3度にわたり集中攻撃、12時間かけ侵入に成功　…私たちの安全にかかわる問題。社会インフラへのセキュリティ強化が必要です。

hackinthebox: Hackers release decrypted Stuxnet code - but don't panic http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=40016

そして、Stuxnetのコード流出に関わってるAnonymousについてのよいまとめが。

needle: 英語圏画像掲示板4chan等を主な拠点とする団体Anonymousはその名のとおり匿名個人の群集体で、ウェブサイトにいたずらしたり反サイエントロジーのデモに出没したりする。なのでウェブ投票に組織票して困らせる2ちゃんねらーみたいなもんかと思っていたが、→

needle: →Wikileaks支援の為MasterCardをDDoS攻撃するやら、セキュリティ企業 HBGaryの社長がSNSを解析しAnonymousメンバーの実名を公開すると発表したら報復ハッキングで同社の内部データ・メール数万通（Stuxnetの実物まで！）流出させるやら、→

needle: →挙句流出で同社の不正行為が発覚する始末。実際のところ一部のメンバーは正真正銘のスーパーハカーなようで、いや、2ちゃんねらーの数倍恐ろしいわAnonymous…という話だが、何故日本のメディアは（略 #nazemedia http://ow.ly/3X9XM

needle: 遂にはAnonLeaksなるリークサイト立ちあげちゃうとな。HBGary社もStuxnet持ってたのはともかく、バンカメにWikileaks攻撃を持ちかけてたやら、何故かbotnet売ろうとしてたやら…スパイ映画の世界だ… http://ow.ly/3Xa87

実はIRCなんかにコミュニティがあるのかもしれませんが、誰でも見られるセキュリティ情報としては今twitterがいちばん流通量が多いのかなと思っています。まずはお金のもらえるgoogleのセキュリティホールに関する考察です。

s_hskz: http://d.hatena.ne.jp/masatokinugawa/20110207#p1 の件。検索結果によらず、http://bit.ly/dEsDwQ あたりでもイケてたんだろうか？

s_hskz: もうけそこなったという意味ではない。わら

kinugawamasato: @s_hskz }*{width:expression(alert(0))}がHTML内にそのまま入ってるのでイケてたでしょうね！

そして、もう１つgoogleのバグについて。日本人大活躍ですね。

kaito834: https://market.android.com から logout するときにリダイレクトされる http://www.google.co.jp/accounts/Logout2 にて、meta 要素の content 属性でシングルクォートが無駄にエスケープされていた。

kaito834: うーん、バグの範疇だと思うんだけど、セキュリティ窓口に報告しておくか。

kaito834: Google Security Team 宛にメールしたら、数十分で返信がきた。早いな。とりあえず確認してもらえるみたいだ。

ありがちですよね。

tomoki0sanaki: IPA に「XSSがあるよ」とずっ～と前に指摘し、先日IPAから「サイト管理者から再現しないって言われた」とメールが来たので、そのWebサイトにアクセスしたら、Webサイトが既にリニューアルしていました・・・とさ...orz

オープンリダイレクタについての興味深い考察です。オープンリダイレクタが脆弱性でないならCookie使ってないサイトのXSSみたいなものはあまり脆弱ってないことになるのかな。

kaito834: パターン1D, 1E, 1Fが興味深い挙動だ。「[セキュリティ]オープンリダイレクト検査：Locationヘッダ編」http://d.hatena.ne.jp/teracc/20110212#1297490743

あと気になったことはこのあたり。

JVN: Microsoft Windows にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU106516/

JVN: Microsoft Internet Explorer に任意のコードが実行される脆弱性 http://jvn.jp/cert/JVNVU634956/

sen_u: 2月23日の＠ITセキュリティソリューションでアフターパーティーを開催。講演者の方々も参加！参加者募集中。昼の部は無料なのにランチ付きですよ。 http://atnd.org/events/12665 #atitlunch

hasegawayosuke: 川口メソッドで記事書いた。 http://www.netagent-blog.jp/archives/51752634.html

risa_ozaki: 「SHA-1+salt」はパスワードに十分だと思いますか？: アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム... http://bit.ly/hJssUm

hir0_t: ジャパンネット銀行のワンタイムパスワードトークンは今年で有効期限を迎えるのか。http://bit.ly/dGeQ7R

2月13～14日のtwitterセキュリティクラスタ

世間ではバレンタインデーとか大雪とか言ってますが、外に出ないと何事もなく一日が過ぎていきますね。チョコレートは嫌いじゃないので、余ったら贈って下さいお願いします。

実は今まで秘密だったのですがレビュアーをやらせていただいた、徳丸さんの書籍が予定発売日をすっ飛ばすこともなく無事に発売されるようです。

ockeghem: 最後の著者校正していますよ。470ページを一気にチェックするのは大変。この期に及んで、結構ミスが見つかるのがなんとも

ockeghem: 日記書いた #wasbook / 「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です - ockeghem(徳丸浩)の日記 http://htn.to/DbgTk3

それだからというのではないのですが、書籍のサンプルコードのレビューをする話題です。書籍の立ち位置や著者の考え方によって対策はさまざまなんでしょうけど、単純な脆弱性が残ったままだと買った読者も後々迷惑すると思いますので、書くときは攻撃に強いコードにするか、紙面の都合でセキュリティ対策してないと言い訳して下さいｗ

ikepyon: この間PHPの本を立ち読みしてたら、sql="select * from hoge　where id=".mysql_escape_string($hoge).";"見たいなコードを見かけた。初版は去年だったorz

ikepyon: mysql_escape_stringじゃなくてmysql_real_escape_stringだったけかな。

ockeghem: @ikepyon クォートしていないってこと?

ikepyon: @ockeghem 数値データなのに無駄にエスケープしてるってことです。

ikepyon: @ockeghem 前後からするとどうもエスケープの意味をよく理解してないっぽかったんです

ockeghem: @ikepyon 珍しくない例ですね>数値をエスケープ

ikepyon: @ockeghem そうなんですよねぇ。で、エスケープしているから安全とか思っちゃってるっぽいので、困ったコードだなぁと。クォートしているか、数値チェックしてればいいんですけど、確か両方やってなかった。

ikepyon: 元の$hogeは入力パラメーターだったかな？

ockeghem: @ikepyon htmlspecialcharsしてないだけマシw どっちにしても脆弱ですが

ikepyon: @ockeghem どうも、その本が売れているらしく、既に増刷されていたのですｗ

ockeghem: @ikepyon 僕が見た本は文字列リテラルがダブルクォートで囲まれていました。MySQLだったので間違いではないですが、どうしてわざわざ非標準を教えるのかと思いました

kenji_s: @ikepyon 「PHPの教科書」ではないですよね？というかないことを祈りたいです

ikepyon: @kenji_s ちょっと覚えてないです。

ikepyon: @kenji_s コードサンプル見てみたら、part5-2のview.phpが妙ですね。sprintfで%dに入れ込むところを無駄にmysql__real_escape_stringでエスケープしてます。これやるなら数値チェックした方がいい気がしますが

そして、もう1つの書籍ネタ。増刷おめでとうございます。

yarai1978: 『アナライジング・マルウェア』2刷が刊行されました。皆さん本当にありがとうございます。

IEをテストとIEでしか見られないサイトを見るのにしか使わなくなって久しいのですが、もうそろそろIE9のベータが取れたりするのでしょうか。

hasegawayosuke: IE9、いままでのMSだと考えられないくらい非互換な動作が入ってますね。

bakera: [メモ] IE9では :visitedのスタイルを変更できなくなる。 http://subtech.g.hatena.ne.jp/mayuki/20110210/1297359952

rryu2010: IEのXDomainRequestについて。 / ドメイン間要求 (XDR) の概要 http://htn.to/uDRzGG

futomi: Windows Phone 7 に IE9 を搭載するらしい。これでやっとスマート・フォンと呼べるようになるかな :) http://goo.gl/OwSl0 [en] (via @IE)

あと気になったことはこのあたり。

bulkneets: document.URL内の"がエンコードされるかどうかがブラウザ依存なのでXSSが可能だとコメントした(まだ反映されてない) http://bit.ly/eDuzj0

piyokango: 情報セキュリティ月間のサイト、苦情でもあったのかSNSのリンクが別ページになってました。あと別組織へのリンクに記載されている注意書きもこっそり変更されてますね。http://bit.ly/h2YlPl

EijiYoshida: Vistaに対するIEEE1394経由のDMAによるスクリーンロックの強制解除が成功 http://d.hatena.ne.jp/EijiYoshida/20110214/1297670768

vulcain: お寒い内容ですね RT @office_acer スマートフォンと銘打った講義がない時点で最早。 QT @ikepyon: 内容見るとスマートフォン関係なくね？ http://www.nec.co.jp/seminar/110302websec/

ripjyr: 次回まっちゃ１３９勉強会は、3月12日（土曜日）で、セキュリティキャンプキャラバンとのコラボ勉強会です。そして参加費は無料！もう少し待っていてね！

2月10日のtwitterセキュリティクラスタ

天気予報なんてただの冗談だと思ったら本当に雪が降ってます。toggeterのイベントに行くのですが、りんかい線は動くのでしょうか。

XSSに興味のある人しか使うことはないであろう謎のエンコード方式UTF-7についてのブラウザーの対応についてです。

hasegawayosuke: 最近のブラウザのUTF-7の対応状況まとめ。 http://d.hatena.ne.jp/hasegawayosuke/20110210/p1

hasegawayosuke: けっきょく、IE9b がいちばんUTF-7の影響うけやすい。

hasegawayosuke: UTF-7 BOM は、名前どおりコンテンツの先頭(より前)に挿入されていないと、IEはUTF-7と判断しない。というわけで、やはり狙い目はJSONP callbackか。

JavaとPHPに無限ループするバグがあるそうです。対応状況はよくわかりませんが、結構シリアスな状況っぽいですね。

hiranabe: Java とPHPが 2.2250738585072012e-308 を文字列からdouble 変換しようとすると無限ループ。よく見つけた！http://bit.ly/fsOxtd

kinyuka: 2.2250738585072012e-308の件今知りました(;´Д`) GuardianはparseDouble使ってないので問題ﾅｼ。Tomcatのソースをgrepしたら使ってる(;´Д`)しかもむっちゃ攻撃しやすい箇所ｗ　でもgetLocale()してなければセーフらしい

masa141421356: @kinyuka getLocales()もアウトですね。いろんなTomcat標準提供モジュールに getLocale()が見つかるのが怖いです。

kinyuka: @masa141421356 TomcatはTomcat側で既に対応済みみたいですね。最新版ならOKなのだろうと思います（未確認）

tfptdがマルウェアだと思われてるっぽいです。ファームの転送とかで結構使うのですが…

ntsuji: tftpd32.exeですらアンチウイルスにひっかかっちゃうんですね。。。

ntsuji: マカフィーさんちでは結構丁寧に説明されていますね。「TFTPD32 | ウイルス情報 | マカフィー」 http://bit.ly/dY0Xgo

ほかに気になったことはこのあたり。

ockeghem: 紹介ページできました / ソフトバンク クリエイティブ:体系的に学ぶ 安全なWebアプリケーションの作り方 http://htn.to/3mE2NR

ntsuji: 「エフセキュアがAndroid向けセキュリティソフトを4月中旬に日本で発売」 http://bit.ly/eHD6Am PCにいれるアンチウイルスの主流は結構、固定されていますが、スマホはこれからっぽいですよね。

sen_u: シーメンスの人が話すStuxnetの話。Stuxnetは複数の条件が重ならないと発動しないので、ターゲットとするプラントは本当に限られている。イランの噂などもあるが、シーメンスとしてはシーメンス製品に不具合があったという報告は受けていないとのこと。

kinyuka: ブログ書いた　http://kanatoko.wordpress.com/2011/02/10/eclipse_plugin_development/　やっとポストできた(;´Д`)

2月9日のtwitterセキュリティクラスタ

昨日は肉の日で、今日はニートの日とくだらない語呂合わせが続きます。

昨日は正式名称はよくわかりませんが29sec2011の日でした。あまり内容は漏れていないのでよくわからないのですが、TLに流れていることを適当にピックアップ。

ripjyr: セキュリティ企業のセミナーで名刺を出すなんて怖いことできるか！と冗談を言ったら、受付のおねぇさんに素で返された。さすがLACです。

cchanabo: 発表データはこちらから。http://hanaken.up.seesaa.net/image/29SEC2011_LT_cchanabo.pdf cchanaboのLTです。ちょっとぐだぐた。 #29Sec2011 http://moi.st/ffb84

miryu: #29SEC2011 正規権限者の意図的漏洩の話？

miryu: #29SEC2011 詳細は公開出来ないけど、確実に怖いことが起こっているんだよ、という。難しいよなあ。

yuri_at_earth: セキュ女育成BOFの提案は想像以上に受け入れてもらえたみたい。きっと@uematter さんのやまねさんの思いを伝えなきゃっていう思いがみんなに伝わったんじゃないかな。私が私の思いを主張してもそこまで受け入れられなかったと思う。LTできなかったのは残念だけど怪我の功名って感じ

yuri_at_earth: セキュ女は得意のセキュリティを使って社会に貢献したいと思ってます。確かに自分たちの働く環境を良くしたいってのはあるけどそれは目的のほんの一部、けっして自分のためだけにがんばってるんじゃないよ！ #secuko

takesako: 「セキュリティ関係者はメタボが多い？」（みんなの周りをみろ） #29SEC2011 ひどいｗ

takesako: 情報セキュリティ学術研究マップ＜ISAM＞（α版） http://4403.biz/ISAM/ #29SEC2011 攻撃しないでね☆

marinedolf: こんな感じf^_^;) RT @ShinoIWAMI: もれてきませんね…さすが情報セキュリティの集まり！？ RT @dry2 だだもれは？ #29sec2011 http://plixi.com/p/75884871

そして、懇親会では高みから下界を見下ろしつつ高そうな肉を食ったようです。セレブやなあ。

marinedolf: 足湯なう #29Sec2011 めちゃくちゃ眺めがいいのですが！ http://plixi.com/p/75893232

akirakanaoka: かっこいいーー！ #29SEC2011 http://yfrog.com/h7z7kuij

office_acer: こんなところで懇親会。勿論29 。#29SEC2011 http://twitpic.com/3xxjhk

Metasploit Frameworkの新しいバージョンが正式リリースだそうです。ハッカージャパンもMetasploit特集だということで、休みの中高生による春のMetasploit祭りが始まりそうな予感。

kitagawa_takuji: Metasploit Framework 3.5.2 が正式リリースされました。 http://goo.gl/YngRq

kitagawa_takuji: Metasploit Framework 3.5.2　HJの特集に関連のあるものだとArmitageの統合、SMB captureの改善 http://goo.gl/owJcx あたり

たぶんまだJohn The Ripperありますし、使われているような気もしますが。

eagle0wl: その昔John The Ripperというアプリがあったことを思い出す RT: @gizmodojapan: 【最新記事】 ハッカーがあなたのパスワードを破るまでにかかる時間は？ http://bit.ly/e52Poj #gizjp

起動していきなり再起動はかんべんしていただきたく。

ScanNetSecurity: Adobe ReaderおよびAcrobatのセキュリティ修正プログラム適用を呼びかけ（警察庁） http://scan.netsecurity.ne.jp/archives/51943072.html

tamiyata: レッツアップデート／Adobe、Flash Playerの更新版も公開 - ITmedia エンタープライズ - http://bit.ly/f5X3bq

あと気になったことは、このあたり。

hasegawayosuke: 「次回から自動でログイン」にデフォルトでチェックいれてるのは許せない。次回から自動な人はその画面二度と見ないけど、毎回ログインしようと思う人は毎回チェックを外さないといけない。ちょっとは考えてUI設計しろ。

bulkneets: 検索結果へのリダイレクトは、オープンリダイレクタというと少し違う気もするけど、インデックスされているという条件で任意のURLに誘導できるなら(悪意のあるコンテンツに差し替えたり2ホップになるけど別サイトにリダイレクト出来る)ので、実質オープンじゃねという考え

naoki0311: 【2月10日】せきゅぽろナイトセミナー　@sonodam さんが脆弱性に関するセッションや、参加者とディスカッションを実施します。ご興味がある方はこちらから参加登録をお申込みくださいませ。　http://atnd.org/events/12210 #secpolo

tessy_jp: Phrack67ってようやくtar.gzになったのか http://www.phrack.com/archives/tgz/phrack67.tar.gz

ockeghem: もうAmazonに出たのですね / Amazon.co.jp： 体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践: 徳丸 浩: 本 http://htn.to/pgDTtX

JSECTEAM: 日本のセキュリティチームのブログに「MS11-004 FTP サービスのバージョン確認方法」をポストしました。http://bit.ly/h9tGDN

JSECTEAM: ワンポイントセキュリティ情報担当者です。2 月分を先ほど公開しました。ご視聴いただくことで、本日公開したセキュリティ更新プログラムの適用優先度や再起動、回避策の有無、現時点で確認している既知の問題をまとめて入手できます。是非聞いてくださいhttp://bit.ly/aiNgL0

2月8日のtwitterセキュリティクラスタ

秘境中野区では雪が降ってますよ。

やはりウィザードというとインストールを思い出してしまいますが、そんな資格ができるそうです。phpなので、内容も突っ込まれそうですが、まずは無事開始できることをお祈りしております。

mincemaker: 履歴書に PHP ウィザード認定 とか書かれてたらお茶吹くと思うんだけど。 http://www.atmarkit.co.jp/news/201102/07/php.html

umq: ふむ。今日は8日 ``2011年2月7日に報道発表予定です。もうしばらくお待ちください。'' < http://www.phpexam.jp/summary/wizard/

umq: PHP ウィザードとか PHP guru とか、誰がうれしい呼び名なんだ

ockeghem: PHPウィザードというのは、画面の質問に答えていくとPHPスクリプトができあがるジェネレーターのようなものでしょうか?

bakera: @ockeghem マジレスすると技術者認定資格です。 http://www.atmarkit.co.jp/news/201102/07/php.html

まっちゃ445がもうすぐ募集だそうです。行きたいけど締め切りが…

matcha445: 目覚まし参加後に秋葉原へ行くもよしですよ RT @haruyama 『 日時 2011年2月26日(土) 13:00 ～17:00頃 (受付開始 12：30頃） 会場名称 株式会社 ECナビ 』 http://bit.ly/eu5jY2 第15回 まっちゃ445勉強会

matcha445: 今月最終土曜日にまっちゃ445勉強会やるための準備中。BHJその後の前に目覚ましでも如何？ｗ 募集開始は近日中を予定していますm(_ _)m #matcha445

キャラバンも行われるみたいですが、今年のキャンプ自体はどうなるのでしょうか。

ipv4: セキュリティ＆プログラミングキャンプキャラバン（非公式）が長野県上田市で開催！ http://bit.ly/g1yADv #spcamp

Nrtwd: セキュリティキャンプキャラバン上田が告知されました。3月5日長野県上田市です。私もスピーカーとしてライトニングトークを行います。http://bit.ly/i6XGrQ #spcamp

なんだか今回のHJはtwitterで活発な人がたくさん書かれているようですね。

ntsuji: HackerJapanが届きました。Metasploit関連の記事を @kitagawa_takuji さん、 @kaito834 さんと書かせていただいております。ボクは、「Armitage」の部分です。 届いてから@kaito834 さんも書いているのを知ったのはﾅｲｼｮ

あと気になったことはこのあたり。

jpcert: 「主にUNIX/Linux系サーバを対象としたインターネット公開サーバのセキュリティ設定に関する注意喚起」を解説図、動画付きで公開しました。^YK https://www.jpcert.or.jp/at/2011/at110002.txt

shu_tom: 設置されるSIPクラックツールはこれかな? http://bit.ly/gMATjL RT @jpcert 「主にUNIX/Linux系サーバを対象としたインターネット公開サーバのセキュリティ設定に関する注意喚起」を解説図、動画付きで公開しました。

connect24h: WinnyやShareのノード数が大幅減、法改正や刑事摘発の効果で -INTERNET Watch http://ow.ly/3S9yU

bulkneets: リダイレクタとセキュリティについて書いた http://bit.ly/hDnrVw

netagent_jp: NetAgent Official Blog を更新しました。山口による「DNSCurveの紹介」です。 http://www.netagent-blog.jp/archives/51749738.html

bulkneets: ライブドアもちゃんとオフィシャルの脆弱性報告プログラムつくって、ライドアブログ有料プラン3500年無料とか、ロケタッチシール1万枚とか作るべきだと思います。

moton: Pwn2Ownの話し。RT @TechCrunchJAPAN [New]: ハックされない唯一のブラウザだったChromeが, 今年は参加料を払って再びコンペに参加 http://bit.ly/eH9WGK

cubedl: [著作権] / 海外ウェブストレージを利用したコミックの無断配信を初摘発、とその背景 - P2Pとかその辺のお話@はてな http://htn.to/m1HE7C

2月7日のtwitterセキュリティクラスタ

最近は脆弱性を見つけるとお小遣いがもらえるいい世の中になりましたが、仕事でやったらこんなお金ではないんでしょうから、実は安く働かされてる都合のいい男たちなのかもしれません。

cubedl: [セキュリティ] / Google、脆弱性指摘の日本人ハッカーに13174ドル支払い【増田(@maskin)真樹】 : TechWave http://htn.to/rnhb7a

hasegawayosuke: http://d.hatena.ne.jp/teracc/20110206#1296980773 おれだって何年か前はGoogleのほとんどのサービスでXSS見つけたんだぜ! いまだったら大金持ちになれてたのに。

hasegawayosuke: blogged "脆弱性を見つけて報奨金をもらえるやつ" http://d.hatena.ne.jp/hasegawayosuke/20110208/p1

hasegawayosuke: まあしかし、直接の現金じゃないけど、海外に招待してもらったりというかたちでの報償はたくさんもらってますね。脆弱なのを作ってくれるみなさんありがとうございます。

hasegawayosuke: ぼくが主に見つけてるのは、Microsoftのなので、MSさんに感謝してます。

ハッカージャパン今日発売っぽいです。僕も片隅にちょっとだけ書いてますよ。

kitagawa_takuji: 2/8発売のHacker Japan3月号は「春の侵入生・侵入社員に贈る超ヤバイ特集号」だそうですよ。

bmobileのVoIPについて。bmobileもVoIPもAndloidも興味津々ですがどれもよくわからないので今年は勉強したいですね。

yoggy: bmobileのVoIPのテスト：WiMAX回線だと接続できない件。WM3500Rがパケット通さないのかな…？

yoggy: bmobileのVoIPのテスト：パケット見てると、基本的な部分はSIPで認証はSSLっぽい？

yoggy: ちなみにAndroidではShark for Rootを使うとパケットキャプチャできる（要root

yoggy: User-Agent: bscdroid/1.0.0って何だろこれ？

yoggy: 普通のSIPだったら、Asterisk使ってPBX的な何かを作れそうな気がするんだけどなぁ…

あと気になったことはこのあたり。

connect24h: SIMロック解除機能って・・・ RT ドコモ、2011年4月1日以降発売の全機種にSIMロック解除機能を搭載へ http://bit.ly/fpGsVc

hasegawayosuke: node.js も +![]() の6文字だけで自由に書けることがわかった。

lac_security: 気になるニュース（＾む）ボットといってもいろいろあるんですね。　「PC遠隔操作ウィルス、ボットのこれまでと最新動向まとめ」　後半　http://www.rbbtoday.com/article/2011/02/05/74086.html

tetsutalow: なんか、最近Digital Forensicsの研究したいという留学生や、海外からの共同研究の申し出が多い。海外で名を売ってきた効果が出てきた感じ。でも、確実に火がついてきたこの分野をこの国で「学問」にするためには何かが足りないらしい。どうしたもんか。

wasaist: 参考でメモ / 【レポート】HTTPSにまつわる7つの誤解 | エンタープライズ | マイコミジャーナル http://htn.to/5ZXKxZ

moongift: ネットで取引が当たり前になっている以上、この危険性は常にあるんだろうな。 RT Nasdaqのコンピュータネットワークがハックされる http://is.gd/gfWjGd

2月4～6日のtwitterセキュリティクラスタ

またまたグルーポンがやらかしてしまったようです。しばらくは関わらない方がいいようですね。

kitagawa_takuji: 個人情報を含むノートパソコンの紛失に関するご報告とお詫び http://info.groupon.jp/topics/20110204-581.html

piyokango: @EijiYoshida グルーポンは定期的にネタを投下して火を消さないようにしているようにしか見えないですね。いわゆる炎上マーケティングでしょうか。

EijiYoshida: @piyokango それで商売が成り立つのが不思議で(^^;)

EijiYoshida: Windowsだったら1394 or PCカード or Expressカードが付いていれば余裕で解除(ry

a4lg: 当該 PC の電源が切られていて HDD が暗号化されていることを祈るのみです。オフライン攻撃が可能なだけあって限界はありますが。 QT @EijiYoshida: Windowsだったら1394 or PCカード or Expressカードが付いていれば余裕で解除(ry

piyokango: @EijiYoshida この文面見る限りHDDの暗号化もしてなさそうな気がします。

EijiYoshida: @piyokango そんな気もしますよね。オフラインでそのまま情報抜かれて終わりそう

EijiYoshida: @a4lg あの文面だと漏洩対策が不安ですよね・・・・

a4lg: @EijiYoshida ですねぇ。パスワードの使いどころによっては 1394 などのハードウェアを使ったり、パスワードのクラックをする必要すらないわけで。

EijiYoshida: @a4lg その通りですね～。どこまで技法を知ってて対策を施してるんだろうか・・・・

EijiYoshida: この際、グルーポンはウチのワークショップを受講して漏洩対策を確認してくれないかな

piyokango: １００人受講確定で９０％オフのクーポンが発行されるわけですね。 RT @EijiYoshida: この際、グルーポンはウチのワークショップを受講して漏洩対策を確認してくれないかな

EijiYoshida: @piyokango 100人は嬉しいけど90%オフは泣いちゃいますｗｗ

明日発売？のハッカージャパンはクラックとかMetasploitとか攻撃しまくるみたいですね（まだ見てないので本当かどうかは知りません）NTLMのクラックもするのでしょうか。

kitagawa_takuji: Windowsの場合ハッシュを送信してしまう問題があるのでオフライン・クラック対策として有効期限を設けるのはありだと思う。NTLMv2認証を使用していれば問題ないけど、XPでLAN Manager認証レベルを上げてるとこはあまりないよね。2/8発売HJ3月号のp59-60を参照

kitagawa_takuji: Windows 7やVistaからNASにアクセス出来ないのでLAN Manager認証レベルをNTLMv2認証を使わないように下げるケースはあるみたいだけど。

そして、発売前なのに訂正が入っています。John the RipperとMetasploitでNTML認証のパスクラックとかしてるみたいなのでますます楽しみですね。そしてここを読めばNTMLv2認証のクラックもできるかも！？

kitagawa_takuji: john the ripperでNTLMv2認証のチャレンジ・レスポンスも解析可能だった。 % john -format:netlmv2

kitagawa_takuji: NTLMv2認証ではサーバのチャレンジに加えクライアントのチャレンジもあるためRainbow Tableなどの事前計算攻撃は不可能

kitagawa_takuji: NETLM/NETNTLM/NETLMv2/NETNTLMv2/NETHALFLM このあたりをjohnでクラックするにはjumbo patchを適用する必要がある

kitagawa_takuji: metasploitのauxiliary/server/capture/smb モジュールのオプションにJOHNPWFILE が追加されている。これでNTLMv2のチャレンジ・レスポンスを保存して % john -format:netlmv2　でクラック

kitagawa_takuji: MetasploitによるSMB認証情報のキャプチャー１．Metasploitでauxiliary/server/capture/smb を実行２．犠牲者に対しというタグを含むHTMLメールを送信

kitagawa_takuji: ３．犠牲者がHTMLを開くと認証情報が記述されたIPアドレスに送信される４．キャプチャしたチャレンジレスポンスをオフラインにてクラック実行ログ http://pastebin.com/4D7sy5BG

kitagawa_takuji: 原稿執筆時点ではJOHNPWFILEというオプションはなかったのでしょうがないがjohnでNTLMv2認証のチャレンジ・レスポンスがクラックできることは見逃していた。しばらく訂正記事を毎日ツイートするしかないか

kitagawa_takuji: NTLMv2認証を使用していれば問題ないというのは間違いでした。RT @kitagawa_takuji: Windowsの場合ハッシュを送信してしまう問題があるのでオフライン・クラック対策として有効期限を設けるのはありだと思う。NTLMv2認証を使用していれば問題ないけど、

kitagawa_takuji: NTLMv2認証を使用していればRainbowCrackなどの事前計算攻撃ができないので安全ではあるけれど

kitagawa_takuji: Windowsでは自分の知らないうちに認証情報を送信してしまってそれをオフラインで解析されることがあるのでパスワードの有効期限を設けることは無意味ではない。優先順位としては長さや文字種を増やすことの方が先なのでハギー・メソッドには同意しない。

@ntsujiさんの@ITの記事の評判がいいようなので皆さんも読んでみましょう。サラリーマンの人ってみんなパスワードを定期的に変更するのは相当イヤみたいですね…

nao_pcap: @ntsuji 連続で申し訳ないですが、ダークナイトすごく分かりやすくて面白かったです！Pass-the-hashの実例のインパクトも大きいですね！こういう文章をもっと本とかでも目にしたいですね・・

kaito834: @ntsuji @ITの第6回記事、パスワード定期変更の考え方を丁寧に解説してて興味深かったです:) Pass-the-hashに言及してるのは、本職の方だなぁと感じました。

ntsuji: 「書いててよかったー」と思える瞬間です。ありがとうございます！　RT @oumiline: このシリーズ面白くて好き | パスワードの定期変更という“不自然なルール”（1/4） － ＠IT http://t.co/sxt6VoS

有名になるといろいろ連絡が来るんですね。これからはDM送るときも「ご高名」と入れるようにしたいと思います。

ucq: 某所から連絡来てた。

ucq: 「ご高名はいろんなところから聞こえており…」 なにそれマジこわい

hasegawayosuke: なんかいろんなところに「ご高名」メール届いてるっぽいすね。

tessy_jp: ちょｗ RT @hasegawayosuke: なんかいろんなところに「ご高名」メール届いてるっぽいすね。

KDDIは有害情報のすくつ（なぜか変換できない）になって楽しそうですね。某研究所にいた人も肌色の割合でエロ画像ガンガンフィルタできるって言ってたような。

tdaitoku: RT KDDI研究所、有害ページを優先的に収集するクローラ技術を開発 http://www.security-next.com/018202

携帯のメール解析されて八百長以外にもいろんなデータ見られて力士の性癖とかみんな漏れてたりするんですよね。かわいそうに。

hasegawayosuke: ケータイのフォレンジックネタ。 http://bit.ly/fkG4UN

2月3日のtwitterセキュリティクラスタ

このブログと直接は関係ないのですが、岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件についてがトゥギャッターまとめの受賞候補に選ばれたそうでありがとうございます。ということで11日はノコノコお台場に行ってみようと思いますので、行かれる方は声でも掛けてくださいませ。

それはともかく、この数日の話題は大相撲とIPv4枯渇問題で、セキュリティ月間なんかすっかり忘れられそうです。

で、やっぱりセキュリティツールだってIPv6に対応しないとということで、hydraのIPv6対応版の動きが慌ただしくなっている模様。IPv6ってアドレス指定が面倒なのでイヤですね。

ntsuji: hydraのIPv6対応版が6.1になっていますよ。ずっとバージョンアップがまったりだったのに、最近頻繁に更新されている気がしますよ。

そういやすでにIPv6対応ケーブルって売られてますよね。

_hito_: これから「IPv6対応ケーブル」とか「IPv6対応L2スイッチ」とか「IPv6対応PC」みたいな、なにか絶望感を伴った新製品がたくさん出てくるんだろうなぁ。

これはIPv4枯渇のいいたとえ。関係ないけどKAGEROUって刷りすぎで市中在庫が大量にあるって話ですね。夏には返本で死にそうな予感。

nishio: IPv4アドレス枯渇の件は「もう出版社に在庫がないし増刷の予定もありません、って状態」って言ったら通じた。「当面は店頭在庫とかでなんとかしてください」「本当に足りなくなったら何人かで回し読みして」問題解決のよい方法があるのにあまり使われてないあたりがなんか電子書籍っぽい。

そして気になるのは、八百長メールがなぜ見つけられて、公開されたのかということ。

bulkneets: デジタルフォレンジックすごいとか何とか言ってるうちに、そのうちなんでもありになって身に覚えのないメール復元されたりしそう

で、情報セキュティ月間とセキュリーナのことも思い出してあげてください。

lac_security: 気になるニュース（＾む）　今年のセキュリティ月間　キャラクターは昨年同様セキュリーナらしい。　　　http://www.rbbtoday.com/article/2011/02/03/73994.html

それはヘッダのパケット長フィールドのサイズや…

prof_morii: ショックだ！今日の試験で、「IPパケット（データグラム）の最大パケット長は？」という問題で、16ビットと答えている学生が数人いる。さらに、24ビットと答えているものもいて情けない。文系の学生ならともかく、理系でしかも電気系。常識で考えても16ビットは有り得ないだろう。

あと気になったことはこのあたり。

ntsuji: 「Microsoft、12件の月例セキュリティ情報の公開を予告」 http://bit.ly/exlxeG CVE-2010-3971（[PDF] http://bit.ly/fCCpUp ）が修正されるようですね。

kaito834: 1月のMS定例パッチは12件か。"Advance Notification Service for the February 2011 Security Bulletin Release" http://goo.gl/OQxTB

hasegawayosuke: http://marioheiderich.eventbrite.com/ 0x6D6172696F による HTML5やSVG周りのXSSの話。超おもしろそう。 #OWASP

ntsuji: 編集をしてくださっているか方からメールがきてました。@ITの「セキュリティ・ダークナイト」は明日公開だそうです。今回はパスワード定期変更関連のネタですよ。

ockeghem: 書いている本の中でアカウントの論理削除に言及している箇所があるんだけど、まさに論理削除が必要な場合もあるという事例だなぁ / Flickrが人的ミスにより利用者アカウントを削除：5年間分、4,000枚の写真が消失 http://htn.to/JDVw1G

kenji_s: DNSサーバの正しいお引越し手順 http://ow.ly/3PhQx

2月2日のtwitterセキュリティクラスタ

昨日は情報セキュリティの日だったようですが、twitterでは特にインシデントが起こることもなく入籍で盛り上がることも1周年で盛り上がることもなく残念でした。普通当事者だけで祝いますよね…


情報セキュリティの日にちなんでるのはこのあたり。

yasulib: なんだこの面白そうな遊び :) エフセキュアブログ 「情報セキュリティの日に」 http://blog.f-secure.jp/archives/50560895.html

インシデントと言うことでメールから暴かれる八百長です。犯罪なのか疑わしいのに他人のメールって勝手に暴露してもいいものなのでしょうか。

tdaitoku: RT デジタルフォレンジックが暴く八百長相撲 - Matimulog - BLOGOS（ブロゴス） - livedoor ニュース http://t.co/xcQDpFO via @ceron_jp

なぜ楽天なのか教えてほしいIPAの情報セキュリティブログがはじまったそうです。

Murashima: IPA（アイピーエー）の情報セキュリティブログ始めました ～意外と知らない迷惑メールの脅威～ - IPA情報セキュリティブログ - 楽天ブログ（Blog） http://goo.gl/MeWos

110_: なぜ楽天。。。？　> 楽天の情報セキュリティ専門サイトに「IPA 情報セキュリティブログ」を開設 http://www.ipa.go.jp/about/press/20110202.html

piyokango: IPAが楽天にセキュリティ情報のBlogを開設する意味が今ひとつわかっていないのですが、何故何でしょうか。

ntsuji: 楽天の情報セキュリティ専門サイトに「IPA情報セキュリティブログ」を開設 http://bit.ly/fys2SY どうして楽天内なんでしょう。

新提供のスキンに脆弱性があったようです。デザインを変えるのにもリスクがあるんですね。

JVN: EC-CUBE におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN84393059/

最近Wassrでセキュリティ関係者を全然見なくなった気がします。

mincemaker: Twitter あまり興味ないから Wassr で と言っていた人が最近 Twitter ばかりなので僕はかなしいです!

hasegawayosuke: 「Twitterが落ちなくなってから、Wassrを使わなくなりました」大阪府 男性(35)

あと気になったことはこのあたり。

tessy_jp: みんなが期待していた #29SEC2011 での出会いは実現しないみたいだ。難しいな(笑)

kaito834: 原文だと、cookieのsecure属性にもふれてるけど、マイコミの記事ではその部分が書いてないな。 RT @matsuu: [share]この解説も一部誤解を生みそうだが http://j.mp/hL9fWm 【レポート】HTTPSにまつわる7つの誤解

jpcert: こんにちは、つぶやきが遅くなりました。Weekly Report 2011-02-02 は公開済みです。^KS https://www.jpcert.or.jp/wr/2011/wr110401.html

Murashima: AVGの名前をかたる偽セキュリティソフトが見つかる、入手元に注意 -INTERNET Watch http://goo.gl/D54vJ

suzukimasatomo: JIPDECははっきりいって頭が高く、失礼極まりない。

suzukimasatomo: 私も方々の審査会のメンバーとしてそうした決定に直接携わっているんだがね。このしょぼいルールに当惑しながら、ほんとに情けない仕事を強要されているわけで、損害賠償を請求したいよ。じゃぁ辞めてくれ、せいせいするわということでしょうが、むしろ辞めるべきはJIPDECの方ですよ。

temosy: OSSデータベース技術者認定試験、LPI-Japanが2011年夏に開始へ（ニュース） http://feedly.com/k/hwCSMF

2月1日のtwitterセキュリティクラスタ

昨日は久しぶりに飲み会に行きました。このブログよりも奧さんのブログの話をされることが多かったのでちょっと困りましたが、はじめましての人も、お久しぶりの人も楽しい時間を過ごさせていただきありがとうございました。あとはムカつく人の話とか30キロ手を繋ぐ話とかあった気がするのですが、すっかり忘れてしまいました。鴨でも食べに行きたいものです。


今日は情報セキュリティの日だそうです。誕生日とか1周年とかご入籍とかいろいろイベントが分散しそうな予感ですが、赤貧洗うがごとしな私としてはごちそうしてくれるところにお呼ばれしたいです。

cchanabo: 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！ 2月2日は情報セキュリティの日！
cchanabo: 二月が情報セキュリティ月間になっても、やっぱり2月2日は情報セキュリティの日！

昨日の飲み会でも話題だったウイルス作成罪について。立法側だけでなくて日弁連もウイルスの定義からやり直した方がいいと思いますが…

cubedl: Togetter - 「ウイルス作成罪に関する、高木浩光氏と山下幸夫弁護士の議論」 http://htn.to/niShcD

どうやらIPv4アドレスが枯渇したらしいです、大量に持ってる某社とか某大学が放出すればいいと思うのですが、既得権益ですからね。

Murashima: 【速報】IANAからAPNICへ、二つの/8ブロックが割り振られました http://goo.gl/J7CSE

CTFとか興味はあるのですが、実力と体力が足りません。

tessy_jp: 今年のCODEGATE は4/4 CTF予選は3月中の36時間ということだけはアナウンスされていた。 :: CodeGate 2011 :: http://bit.ly/gCnLZq #codegate

tessy_jp: あ。4/4じゃなくて4回目のCODEGATEということか（訂正ｗ CodeGate 2011 :: http://bit.ly/gCnLZq #codegate

あと気になったことはこのあたり。

suzukis: もしサポート窓口の人間がメールアドレス見て興味本位でwebにアクセスしてるんだったら個人情報の目的外利用じゃないか、と連絡したのが昨日。今日になってぴたっとアクセスが止まった。

cchanabo: 【IPAより(自分用メモ】「情報家電におけるセキュリティ対策　検討報告書」を公開～一層の普及が予想されるインターネットに繋がるデジタルテレビの想定される脅威・対策を一覧化～ http://www.ipa.go.jp/about/press/20110201.html 講義用資料

takesako: 参考になる → SPN通信 2011年1月31日 修正されたOperaのバイナリ・プランティング問題 http://www.sec-pro.net/newsletter/20110131.html

R0zet: IPAが「Ruby研修用コンテンツ」を無償公開、活用法やプログラミング技術を遠隔から実習http://itpro.nikkeibp.co.jp/article/NEWS/20110131/356665/

antiphishing_jp: 2011/1のフィッシング報告状況を掲載いたしました。https://www.antiphishing.jp/report/monthly/20111.html

kuroneko_stacy: 準備も整いつつあるので（会場的な意味で）リークしちゃう。3月5日長野キャラバン実施ですっ。卒業生、地元学生他、長野県民上田に集合！！！ #spcamp

Eidwinds: 北九州情報セキュリティ勉強会セキュ鉄 第1回 Soft and Hard CTFを2/26(土)に開催致します。http://atnd.org/events/12464

1月28～31日のtwitterセキュリティクラスタ

早くも2月になりました。引き続き寒くて困ったものですねいですね。

2月は情報セキュリティ月間ですね。いろいろイベントがあって楽しみです。

piyokango: NISCの情報セキュリティ月間サイトのソースを見ていると色々と面白いものが見つかりますね。Mixiチェックやろうとしていたんでしょうか。。

piyokango: そして協力企業から日経BPが外されているのがコメントとして残っていたりなど。

エロ動画見る仕事Σ( ﾟДﾟ) ｽｯ､ｽｹﾞｰ!!とか思ったのですが、昔いた会社はみんなでエロ本を読んでた記憶が。

hasegawayosuke: 会社ブログ、今回は @F0ro さんの記事。この記事を書くために、 @F0ro さんは毎日毎日エロ動画を見ていたそうです。 http://www.netagent-blog.jp/archives/51746238.html

Amazonのパスワードが9文字目以降無視されてるんじゃないか疑惑が。だいたいの人は8文字までだろうから関係ないのだとは思いますが。

piyokango: Amazonのパスワード、WindowsのLM認証みたいな感じなんですかね。。原文読んでいませんが、これだけ見ると無視されるのは9文字目以降のような気がします。 http://bit.ly/eO4EhZ

piyokango: 昨年の5月に4文字で入れたって人もいるんですね。この書き込みも入れる人、入れない人といるのが、登録した(パスワードを変更した)時期で変わってくるなら納得。そして、本当に無視されるのは8文字目なんでしょうか。http://bit.ly/cqAuCl

piyokango: 試してみると確かに入れますね。私はAmazonを初めて使ったのが2006年ぐらいなので、少なくともそれ以前に9文字以上のパスワードで利用されている方は変更したほうがよさそうです。

まあ、基本ですが、ハンドルネームのの本名探しCTFとかやってみると面白いかもしれません。

pogyi: TwitterでのやりとりからFacebookのアカウントがバレる可能性を考える ～ その２ ファンページ編 http://goo.gl/fb/De1gV

あと気になったことはこのあたり。

mincemaker: XSS しそうな文字列ばかりポストしてある Twitter のテスト用アカウントか List ってどこかにないのん？

hasegawayosuke: @mincemaker https://twitter.com/#!/list/hasegawayosuke/kinugawamasato とか？

hasegawayosuke: @mincemaker http://twitter.com/masato_kinugawa http://twitter.com/kinugawa_masato http://twitter.com/KlNUGAWA_MASAT0 足りませんか？

ntsuji: 児童ポルノ 遮断リスト作成 接続業者など団体設立へ http://bit.ly/fpyFnD 「DNSキャッシュポイゾニング方式」っと。

ikb: JVNVU#326549: Microsoft Windows にスクリプトインジェクションの脆弱性 http://t.co/4Q2LQBS -- #security MHTML って、単一アーカイブとして WEB ページを保存するときに使われる形式だよね？

a4lg: 複数のニュースソースあり。こことかも。 http://unremote.org/?p=317 QT @connect24h: ソース希望。 RT a4lg: Kaspersky のソース漏洩? あらら。2009 のソースコードが丸々、ですか。

piyokango: あら。ブラックハットジャパンその後東京編、開催日が2/26なんですね。

kikuzou: すばらしすぎますヽ（´ー｀）ﾉ BlackManta for Immunity Debugger v1.8 http://bit.ly/g1cw3y

ntsuji: 「Adobe Reader X」を 狙った攻撃はゼロ??アド ビのセキュリティ責任者http://bit.ly/hFwcx7 Adobe Reader X」を 狙った攻撃はゼロデイとなる日がくるのでしょうか。

Eidwinds: 北九州情報セキュリティ勉強会セキュ鉄 第1回 Soft and Hard CTFの募集を開始致しました。　http://atnd.org/events/12464　#secsteel

k4403: YouTube - SCIS2011ナイトセッション～情報セキュリティ学術研究マップ - http://www.youtube.com/watch?v=v8FXAJl2jps #scis2011

tamiyata: 逮捕されてた…／WikiLeaksめぐるサイバー攻撃で5人逮捕 - ITmedia News - http://bit.ly/f6qkiT

tdaitoku: RT 共用PCの利用に注意、USBのキーロガーが販売中 http://m.akiba-pc.watch.impress.co.jp/hotline/20110129/etc_keylog.html

rocaz: OpenIDがOAuthに比較して衰退したのは(1)利用目的が明快じゃなかった(2)取得できるアトリビュートがIdPによって異なり扱いにくかった(3)利用者に何故OpenIDを使用するかというインセンティブが伝わりにくかった ってところが大きいんじゃないかなぁ

piyokango: Amazonでマジコンを売っているというのは本当なんですね。販売元はAmazonとは別ですが、問題性がないかどうか査閲するような仕組みは特にないのでしょうか。http://amzn.to/gurw15