スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

3月30日のtwitterセキュリティクラスタ

今日で年度末だそうですが、私は今日も明日も変わらず引きこもって更新していきますよ。

そろそろCODEGATEの本選も近づいてきました。予選の1問くらい解けるよう勉強しようと思うのですが、怠惰なせいでなかなか手を出せません。
ntsuji: 先日のcodegateのCTF予選の問題ファイルってどこかに落ちてないのでしょうか。。。

tessy_jp: @ntsuji 上位チームのWriteupsはここからたどれます(要登録)http://community.codegate.org/xe/?mid=writeups

ntsuji: @tessy_jp おぉ!ありがとうございます!勉強しておきます!

tessy_jp: @ntsuji http://cert-is.com/?document_srl=20217 のMirrorSiteのところにファイルはありますよ。

ntsuji: @tessy_jp ありがとうございます。そこは登録して根こそぎDLしておきましたw writeupsを落としてから「あ、問題ファイルないやん!」って気付いたんですw


IE6こわい。そういえばIE9は消費電力が少ないのが自慢のようですが、もうちょっと他にやるべきことはあるんじゃないかと思います。
mstssk: 海外製の設計そのままで、設計時の安全基準もかなり古くなったにも関わらず、それに依存したままで、継続使用反対の声を無視して使い続け、最新のものへの置き換えもされずに、人々を危険と隣り合わせにしていたものが、やがて多くの人々の健康を削ぎ、遂には人を殺す。IE6こわい


Chromeのバグ?異体字とかに対応させるのは大変なんでしょうね。
hasegawayosuke: Chromeのページ内検索、「か」+Combiningな濁点(U+3099)でページ内の「が」をひっかけるのでかしこい!と思ったけど、「ガ」で検索すると「か」「カ」をひっかけるのに「ガ」はひっかけない。何なんだか。


itsec_jp: [Bot] #ITSec_JP Kingston製の安価なSSDにデータ消失のおそれ、ファームウェアのアップデートを呼びかけ http://goo.gl/fb/CO72g


ockeghem: echo $hoge; としているところは全て、echo htmlspecialchars($hoge, ENT_QUOTE, 'UTF-8'); として欲しいな。本番でecho $hoge;と書いたら大抵脆弱性になるので / QUOI… http://htn.to/u2SXth


kenji_s: 全然典型的でない(笑 RT @bossatama: 典型的PHPerの13の悪癖 http://t.co/xkUdPRc via @anlyznews


risa_ozaki: エフセキュアの東北地方太平洋沖地震 被災地・被災者支援について http://j.mp/hw0G3c


MasafumiNegishi: 「脆弱性を狙った脅威の分析と対策について Vol.5」 http://bit.ly/i1f6Po


haruyama: FirefoxからSSHでターミナル接続できるアドオン「FireSSH」 - RX-7乗りの適当な日々 - http://icio.us/ZvphvQ


jpcert: おはようございます。WeeklyReport 2011-03-30 を公開しました。^KS https://www.jpcert.or.jp/wr/2011/wr111201.html


zusanzusan: 国内のセキュリティ系研究会の合同研究会(ISEC/SITE/ICSS/EMM/CSEC/SPT)が7月11日(月)~13日(水)に静岡大学浜松キャンパスで開催されます。ただいま発表申し込み中ですので、よろしくお願いします。 http://goo.gl/w1gID

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

3月29日のtwitterセキュリティクラスタ

びっくりしたことに今日でこのブログも一周年を迎えました。続けてこられたのも読者の皆様と勝手に引用させて頂いているセキュリティクラスタの人たちのおかげです。
とりあえず今日か今週末かわかりませんが、近所でお祝いしたいと思います。

このブログにも片隅に拍手ボタンが付いているのですが、この1年1つも拍手が届かないなと思ったら、拍手って登録しないといけなかったのを今知りました。FC2難しいです。
laccotv: LACCOTVチャンネル登録者数が101名となりました。日頃のご愛顧まことにありがとうございます。これからもよろしくお願い致します。 http://www.youtube.com/user/laccotv


ぽぽぽぽーん二連発。「貧弱性」とか「SQLインクジェクション」もありがちですよね。あと「脆弱性」読めない奴。
hasegawayosuke: 最近、「虚弱性」に「クロサイトスクリプティング」や「SQLイジェクション」という新たな仲間が加わってぽぽぽぽーん http://bit.ly/fRyCIw http://bit.ly/flWAdk


ぽぽぽpwn♪
ntsuji: 2つの脆弱性でぽぽぽpwn♪ JavaとFlash関連の脆弱性検証レポートが公開されていますよ。 http://bit.ly/gcOQQq


問題読み解くだけでも大変ですが、内容はもっと大変です。
s_hskz: XSS問題(草案) ( http://d.hatena.ne.jp/st4rdust/20110329/1301386042 ) 早速第二版にアップデートした。 想定外の解が昔のFirefoxで可能だと気がついたので(廃止された setter getter 記述)

s_hskz: ちなみに、現時点でダウンロードした最新版の某ブラウザで発動。 バグではない模様。


phpのPDO拡張モジュールにバグがあるそうで、結論はShiftJISで接続するなって話です。で、指摘した日記にもバグがあった模様。
ockeghem: 日記書いた/ @nihenさん経由 / PDO/MySQL(Windows版)の文字エンコーディング指定の不具合原因 - 徳丸浩の日記 http://htn.to/Aybrc9

haruyama: @ockeghem valid_sjis_head ではないですか? 『マクロvalid_cp932headは常に偽を返します』

umq: @ockeghem: echo -n "333行目の末尾付近の0x7Eは、正しくは0xFCでしょう" | sed -e 's/7E/7C/'

ockeghem: @haruyama @umq ご指摘ありがとうございます。修正しました


その他に気になったことはこのあたり。
jnsa: 「平成21年度情報セキュリティ市場調査」報告書が経済産業省HPより公開されました。http://www.meti.go.jp/policy/netsecurity/docs.html


tokoroten: MySQLのサイトにSQLインジェクション攻撃 - ITmedia エンタープライズ http://htn.to/PNArHs


tokoroten: 自動テストツール / Finding and Understanding Bugs in C Compilers ... http://htn.to/5Sajfx


tdaitoku: NASAのネットワークに重大な脆弱性、監査報告書で改善勧告 http://www.itmedia.co.jp/enterprise/articles/1103/30/news019.html


laccotv: 川口洋のつぶやき 第61回を公開しました。今回は ?「偽SSL証明書発行問題」です。 http://www.youtube.com/watch?v=jemjsuO6ZX8


kensukenaoe: WebAppSecの半年毎恒例の奴が出てた>>Web Hacking Incident Database 2010 Semi Annual Report - 2 http://bit.ly/f3rHbo


kikuzou: UPSを騙ったウイルスですか・・・ なんで無停電電源装置!? と思いましたが、これ http://bit.ly/hXPWfj なんですね。

テーマ : セキュリティ
ジャンル : コンピュータ

3月28日のtwitterセキュリティクラスタ

ようやく暖かくなって、桜も咲いてきたみたいです。ほんまかいな。

Facebookの実名と脆弱性とアカウント削除について。企業のポリシーと社会的な責任についていろいろ考えさせられます。
bulkneets: Facebookのけんブログに書いた http://bit.ly/eWZx9I

bulkneets: 何度も言う、サードパーティCookieの送信がデフォルトで無効化されればCookieで認証している既存の全てのWebサービスに対するクリックジャッキングの影響を軽減できる。行動ターゲッティングのサイトまたがったトラッキングの抑止にもなる。

bulkneets: 何故ブラウザはサードパーティCookieの送信をデフォルトで無効化しないかというと、それで動かないサービスが出てきてユーザーが文句を言うからだ。Facebookのような超巨大サービスがiframe内にCookieが送信されることを期待した外部サイトへの埋め込み機能を作るからだ。

bulkneets: もし脆弱性について大げさにしないのでアカウント復帰させてくれというような交渉が可能だったとしたら公開した時点で俺は交渉材料を失っているし、純粋にユーザーの啓蒙と技術の発展のためにやっています。

bulkneets: 俺のアカウントが停止されたという個人的な事情と、脆弱性の件は直接は関係ないけど、正確な個人情報の入力を求めるのと、セキュリティとプライバシーについて真剣に取り組むことはセットだと思う。そして前者に真剣なのが超伝わってくるのに、後者についてはいい加減な回答ばかりだから批判をしている


Comodoハックして不正な証明書作ったのは21歳のイラン人だったそうです。
expl01t: http://pastebin.com/74KXCaEZ Comodo不正証明書発行事件の犯行手記っぽい殴り書き.21歳のイラン人らしい.今回のは国間のサイバー攻撃じゃなくて単独犯行.うぅ.後半は厨二病を患っているようにも見えた.頭が蕩けそう.つうか普通に怖い.

MasafumiNegishi: 先日の偽証明書発行事件、Comodoへの侵入者がその詳細を解説?ホラも吹いてるが、侵入の経緯をかなり詳しく書いている。 A message from Comodo Hacker - Pastebin.com http://pastebin.com/74KXCaEZ


そして意外とすごいメモ帳ですが、文字コードを誤解釈するバグがあるようです。あまりこんな使い方する人はいないのではないかと思いますが… 文字コード絡みはまだまだバグが多そうですね。
ucq: UTF-16BEだとどっちも化けてる。ということはBig endianといいつつLittle endianになってる???

ucq: メモ帳の文字コード処理がなんかバグいんですけど・・・

ucq: と思ったらかんちがいだた

ucq: でもUTF-16LEなテキストをUTF-16BEで開いても文字化けないけどいいの?

hasegawayosuke: @ucq kwsk

a4lg: @ucq BOM を読んでるとか?

ucq: @a4lg @hasegawayosuke BOMなしのUTF-16LEなテキストをまず普通に開いてみる→ANSIと解釈されて化ける。 文字コードを「Unicode Big endian」にして開き直す→なぜか化けない。

a4lg: ノートパッドで気に入らないのは、UTF-8 として保存するときに "UTF-8 表現の BOM" を先頭に配置してしまうことかな。

hasegawayosuke: メモ帳、BOM以外も見てるよ。 http://blogs.msdn.com/b/michkap/archive/2007/04/22/2239345.aspx

ucq: 勘違いしてるだけなのかなぁ

hasegawayosuke: ほんとだ。バグってるな。


その他気になったことはこのあたり。
kenji_s: CodeIgniter 2.0.1 のリリース - A Day in Serenity @ Kenji http://ow.ly/4nB3n #CodeIgniter


MasafumiNegishi: 「情報セキュリティ早期警戒パートナーシップガイドライン」の2010年版が公開されました。 http://bit.ly/hV0rAA

テーマ : セキュリティ
ジャンル : コンピュータ

3月27~28日のtwitterセキュリティクラスタ

競馬だったりF1だったりようやく少しずつ週末が戻ってきた感があります。とはいえ今朝も地震がありましたが。

乾かさない方がいいんですね。
Asahi_Shakai: 【被災した方へ】破損したパソコンのデータ復旧をデータサルベージ社仙台営業所(仙台市若林区新寺1-3-19 電話022・298・7630)が公的機関、学校、病院、企業対象に無償実施中。「海水に浸かった場合、乾くと修復が難しい。ぬれたタオルでくるんで持ってきて」と同社 #jishin


データを復旧してくれる人がいる裏では、相変わらず便乗した犯罪が多く行われているようですので注意していきたいものです。
ScanNetSecurity: 東北関東大震災の津波被害に乗じたチャリティ募金詐欺メールを公開(ソフォス) http://scan.netsecurity.ne.jp/archives/51960251.html

ScanNetSecurity: 標的型攻撃の傾向を発表、「避難場所一覧表.xls」など悪質なメールも(日本IBM) http://scan.netsecurity.ne.jp/archives/51960255.html

ScanNetSecurity: 標的型メール攻撃対策の「予防接種」、配信から30分で半数が添付を開く(JPCERT/CC) http://scan.netsecurity.ne.jp/archives/51960252.html


Facebookこえーっていうか、むやみに何でも許可しちゃいかんのだろうなと。
connect24h: facebook、名前登録はローマ字でしていたのに、勝手に感じにされた。どっからおいらの漢字の名前を引っ張ってきたのかと思ったら、outlookとかのアドレス帳とかの情報を調べるのか。ということは、iPhoneの中身がさらわれたんだな。気持ち悪いなぁ。ウィルスかよ。


あと気になったことはこのあたり。
prof_morii: 大震災で混乱!メールやTwitterでどんな偽情報が流れたのか - ITライフハック - ライブドアブログ http://goo.gl/5lbR7 事ある毎にコメントしているような... http://goo.gl/uApTu


kaito834: ようやくブログ書いた。「Android Data Stealing Vulnerability(情報漏えいの問題)の脅威を調べてみる」 http://d.hatena.ne.jp/kaito834/20110326/1301125451


ntsuji: セキュリティ オニオン。勉強会ちっくなネーミングですよ。 Security Onion - Browse Files at SourceForge.net - http://bit.ly/f49pra


s_hskz: お?三項演算子をうまく使うと、()と=無しで、挿入したコードの実行できるのかな?後で試す。


security_info: iOS4.3.1ではセキュリティコンテスト「Pwn2Own」で使用された脆弱性は ...: このCharlie Millerは、実は先日行われたセキュリティコンテストでiPhoneのモバイルsafariを攻略した張本人。 C... http://bit.ly/fcit73


haruyama: 商用サイトの63パーセントでは支払用カードのデータが暗号化されていない: Cyberlaw - http://icio.us/Xce2uS


suzukimasatomo: 関東弁護士会連合会編集「Q&A災害時の法律実務ハンドブック(平成18年発行)」(新日本法規出版) http://bit.ly/fm1iGu 在庫切れとのことでフルコンテンツを無料公開している。震災時でもあり良い試みだと思う。なお、改訂版は本年6月発行予定とのこと。


DameHatibe: 「出来た」って言うと「仕様変わった」って言う。「仕様くれ」って言うと「出来てない」って言う。そうして、あとでまた仕様が変わって「出来ない」って言うと「やれ」って言う。延期でしょうか?いいえ、デスマです。

テーマ : セキュリティ
ジャンル : コンピュータ

3月25日のtwitterセキュリティクラスタ

風が強くて地震くらい家が揺れるので泣きそうです。

原発も情報公開が遅くて肝心なことを伝えてくれなくてイライラさせますが、RSAも似たような感じのようですね。
MasafumiNegishi: RSAが適切な情報を開示せずに、安全ですと言っていることに対する批判。RSA won't talk? Assume SecurID is broken http://reg.cx/1Nn7

expl01t: @MasafumiNegishi さっき公開されたこれ→ http://isc.sans.edu/diary.html?storyid=10609 ワーストケースなど具体的な考察があって興味深いです.

MasafumiNegishi: RSAからの情報漏洩について、SecureIDだけじゃなくて、コードへの署名にも影響がうんぬんかんぬんというのを見たのだが、情報ソースが見当たらない…

MasafumiNegishi: RT The Recent RSA Breach - Imagining the Worst Case, And Why it Isn't Time to Panic (Yet), (Fri, Mar 25th) - http://j.mp/fVm0YB


意外と簡単にファイルとかレジストリに残り回数書き込んでたりするだけだったりするのでしょうか。
s_hskz: やっべ! 某ホテルのワンコインブラウザ、無限増殖技をみつけてしまった。 実際に行えば違法。

s_hskz: うむ、恐らくレジストリに多少修正を加えるだけで増殖技、使えないはずだが。お知らせする?



あと気になったことはこのあたり。
ikepyon: チドリのお花見って今年はいつやるのだろう?今年は参加したい


Murashima: IP電話サーバー乗っ取りによる不正国際通話被害、アジルネットワークスが注意を呼びかけ:ITpro http://goo.gl/R1S3w


connect24h: ノーテル破産したのか。以前、ロードバランサでお世話になったが。RT @ttaizo: 知らなかった… RT @serverinfo: MS、66万のIPアドレスを 1 個 $11.25で破産したノーテルから購入 http://bit.ly/exnHaV


Murashima: トレンドマイクロ、クラウド時代のセキュリティ戦略を語る - クラウド Watch http://goo.gl/Bvsk3


tokoroten: 現在接続しているウェブサイトのサーバが東日本にあるのかどうかを判定して表示するブラウザプラグインが書きたい。 「あなたがこのサイトにアクセスしたことにより、ほげほげkWhの電力が消費されました」 って表示する。 これが普及すればDCの移転が早まるかも。


security_info: 無償のAndroid向けセキュリティアプリ「ALYac Android」[androidview ...: 無償のAndroid向けセキュリティアプリ「ALYac Android」[androidview.jp. http://bit.ly/f7dXLw


Murashima: 画像管理ソフト「Picasa」に脆弱性、最新版アップデートで対策を -INTERNET Watch http://goo.gl/PI4N1


wasaist: 福島第一原発事故に見るインシデン トレスポンスの重要性 - 日本のセキュリティチーム - Site Home - TechNet Blogs http://htn.to/eYYdyK


keroppymaeda: ハッカー専門誌からお仕事いただきました。「ウィキリークス」騒動の顛末?ハッカー集団「アノニマス」台頭の背景、着々と執筆進行中。→ 『ハッカージャパン』5月号(白夜書房)4月8日発売 http://bit.ly/ffC8TC


devilok: BlackHole: defs_colors and createCSS Injections http://bit.ly/h4jfpP

テーマ : セキュリティ
ジャンル : コンピュータ

3月24日のtwitterセキュリティクラスタ

もうすぐ4月だというのに寒くてたまんないです。

「2011年版10大脅威」が発表され今年のトレンドが紹介ています。それぞれ各人注目するところは違うようですが、個人的には最近仕事で関わることの多いクラウドですかね。
Murashima: IPAが「2011年版10大脅威」発表、1位は人的要因による情報漏えい -INTERNET Watch http://goo.gl/obtIl

bakera: 2011年版の10大脅威、6位には岡崎市立中央図書館の話が入っています。 http://www.ipa.go.jp/security/vuln/10threats2011.html #librahack

ockeghem: 10大脅威に初めて『携帯電話向けウェブサイトのセキュリティ(7位)』が登場しました / 情報処理推進機構:情報セキュリティ:脆弱性対策:2010年版 10大脅威 あぶり出される組織の弱点! http://htn.to/p5sy6c


SSL認証局のComodoがやられてしまい、偽の証明書を発行しちまったみたいです。もう誰も信用できない。ということですね。
Murashima: SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia News http://goo.gl/bTRYn

risa_ozaki: 不正なSSL証明書(「Comodoケース」): SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。証明書ベンダー「Comodo」が今日、同社を通じて9つの… http://bit.ly/fcpnaJ via @FSECUREBLOG

JSECTEAM: セキュリティ アドバイザリ (2524375) を公開し、Comodo 社より発行された 9 つの不正なデジタル証明書の問題に対応する更新プログラムを公開したことをお知らせしました。http://bit.ly/fCL7vy


信用できないということで、ユーザーの入力を信頼するのか否かという、前日の『ヤフーにおけるインプットバリデーション「何も信じるな」 (http://htn.to/4iebs7)』に関連した話題です。

ockeghem: 「ヤフーにおけるインプットバリデーション」 http://htn.to/4iebs7 を絶賛するブクマ等が少なからずある実態に鑑みるに、「サニタイズ言うな」キャンペーンは継続すべきではないかと愚考申し上げる次第でございます

ShiroKappa: .@ockeghem さんに同意。言い様の問題な気もしますが、開発者への啓蒙的背景を持つ以上、言葉尻には気を付けたい。

kogawam: セキュリティとしては本質的ではないと思うけど。「そんなの絶対おかしいよ」「あたしってほんとバカ」を経て「もう何も信じない」と想像すると。 / ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech … http://htn.to/vL4hdh


まず、入力を信用しないっていうのはどういうことなのでしょう。という話題。
ockeghem: 「入力値を信用しない」というのは誤解を招きやすいよね。ヤフオクで利用者が5千円で落札するという入力を信用しないとして「本当は5万円じゃないのか」とするわけにはいかない。ユーザの入力は基本的には信用するしかない

tomoki0sanaki: 例が悪いです。難癖つけているとしか思えない。 QT @ockeghem 「入力値を信用しない」というのは誤解を招きやすいよね。ヤフオクで利用者が5千円で落札するという入力を信用しないとして「本当は5万円じゃないのか」とするわけにはいかない。ユーザの入力は基本的には信用するしかない

ockeghem: 僕もね、昔はガイドラインの先頭に「ユーザの入力は信じるな」と書いていた訳よ。でも、「ユーザの入力を信じないとはどういうことか」と突き詰めて考え始めると訳が分からなくなるので書くのをやめた。もっと即物的に書かないと実行できない

ockeghem: ユーザ入力は信用するしかない。問題が生じるのは、(1)ユーザ入力に応じた処理ができないケース(例XSS、SQLインジェクション)、(2)ユーザ入力にしてはいけないものをユーザ入力にしてしまったケース(例ユーザIDの保持)、ではないですかね


そして、バリデーションって何?という話題に。
ockeghem: バリデーションの話題が出て来たとき、「何を基準にバリデーションをするか」が書いてない解説は信用できない。そして、多くの場合基準は書いていない。「厳密なバリデーションを」みたいな曖昧な書き方をしている場合が多い

ockeghem: バリデーションの話題でホワイトリストとかブラックリストが出て来たらたいてい駄目な論だね。バリデーションは要件を基準にするものでホワイトでもブラックでもない。郵便番号欄みたいに数値のみという欄は、*たまたま* ホワイトリストにもなっているだけで、それは結果論

tomoki0sanaki: 激しく同意 QT @ockeghem バリデーションは要件を基準にするものでホワイトでもブラックでもない。

tomoki0sanaki: 私の感想は「入力と出力のどっち!?」です QT @ockeghem いや、読んだ人の誤解を代弁しているわけですよ

ymzkei5: @ockeghem 「ホワイトリスト」の代わりに、「プロアクティブ」が出てくる場合は・・・?(笑

ockeghem: プロアクティブという言葉も文脈次第では良いのですが、駄目な文脈が多いですものねぇ RT @ymzkei5: @ockeghem 「ホワイトリスト」の代わりに、「プロアクティブ」が出てくる場合は・・・?(笑


そして、バリデーションとセキュリティは関係なくね?という話に。
tomoki0sanaki: これって、解説書レベルで基準は明示できないのでは!?現場で基準は違ってくるだろうし・・・ QT @ockeghem バリデーションの話題が出て来たとき、「何を基準にバリデーションをするか」が書いてない解説は信用できない。

tomoki0sanaki: 例えば、都道府県の入力箇所。都道府県ごとに定義された ID があればいいけど、ないとか、都道府県コードから、さらに市町村コードまで用意されていて、それらが紐づいている場面と市町村はフリーフォーマットだったり、と現場の状況で変わるのでは。

tomoki0sanaki: 例えば、商品コードとサイズ(場面によっては、色とか)が紐づいていたら、それら紐づいていない組み合わせは、入力されても拒絶しないとダメだろうし・・・色は限定できるけど、サイズは(例えば布の切り売り) X から Y 間で連続的だったり・・・

tomoki0sanaki: 個人的には、バリデーションは、セキュリティよりも、ユーザビリティの向上が主目的だと思うんだ。(間違った入力して、最後の最後で、「やっぱダメ」って利用者にとっては辛いからね)

tomoki0sanaki: なので、バリデーション言ってるのに、XSS とか SQL Injection って「?????」な感じ

ockeghem: ですね RT @tomoki0sanaki: なので、バリデーション言ってるのに、XSS とか SQL Injection って「?????」な感じ。

ockeghem: いや、「基準は要件です」と一言書いてくれれば文句ないのだけど、その一言が書いていない RT @tomoki0sanaki: これって、解説書レベルで基準は明示できないのでは!?現場で基準は違ってくるだろうし・・・ QT @ockeghem 「何を基準にバリデーションをするか」

tomoki0sanaki: 合点 QT @ockeghem いや、「基準は要件です」と一言書いてくれれば文句ないのだけど、その一言が書いていない

ockeghem: なぜ「入力値バリデーションの基準はアプリケーション要件です」と書かないかというと、考えられる理由は二つ。(1)書く側が分かっていないから。(2)基準が要件と書くと「じゃセキュリティ対策じゃないじゃん」と真実がばれるから


セキュリティと放射性物質扱って全然関係ないと思ったけど、意外な使い途があるのですね。
ikutana: 情報セキュリティ、暗号の研究者だけど、研究で放射性物質扱ったことがある。使ったのはアメリシウム。はじめて超ウラン元素を見たよ。とは言えパッケージに入ってたので直接見たわけじゃない。


ikutana: ちなみに、アメリシウムの崩壊期間をクロックで数えて乱数発生するのね。崩壊期間は指数分布するから、それを変換して二値乱数にする。単純に指数分布を分割して割り当てる方法だとNIST SP800-22に通らないので工夫しなきゃいけなかった。修士の頃に学部生の卒研指導してたよ


その他に気になったことはこのあたり。
tokoroten: SHA1 padding attack - yasulib memo http://htn.to/hS4uEV


lac_security: (^む)  RT @laccotv: 川口洋のつぶやき 第60回?「【緊急】Flash Player、Adobe Acrobat、Adobe Readerをアップデートしよう】を公開しました。 http://www.youtube.com/watch?v=eaYediEy-T8


laccotv: ラック、サイバー産業スパイによる被害実態調査レポートを公開 ~サイバースパイ活動「APT」をコンピュータセキュリティ研究所レポートで注意喚起~ http://www.lac.co.jp/news/press20110323.html


sophosjpmktg: 【サイバー犯罪】英: Zynga Poker のゲームサーバーに不正にアクセスし、ゲーム内で使用するチップを4000億枚盗み出し、破格値で売り稼いでいた29歳の男に2年の懲役刑 http://bit.ly/e8TAB7


risa_ozaki: 「CVE-2011-0609」を使用した攻撃: 標的に悪意あるファイルを開かせようと、攻撃者たちが日本の状況を利用している。これらのケースは、Flashエクスプロイトを伴うExcel添付ファイルを使用し… http://bit.ly/e6oAVv via @FSECUREBLOG


hasegawayosuke: ウイルスバスターはいまこそ節電のためにパターンアップデートの頻度を抑えるべき。


lac_security: (^ま)ラック、「災害発生時の事業継続に私たちがおこなうべきこと」を公開しました。ガイドの公開とともに、スマートフォン向けの緊急通知アプリを提供しています。http://www.lac.co.jp/news/press20110324.html


_joviann_: Chinese hackers paid to paralyzing Korean sites http://bit.ly/i1yccg /via @DFMag #hacking #news


tiliaceus: Kotaku| 元ハッカーがMMOの脆弱性を悪用どころか修正に協力、開発元は大感激 http://bit.ly/fUUDTE #ktkjp


dankogai: 電源はAC< @zakuro563: こんにちWAN ありがTCP こんばんWEP さようなLAN 魔法の言葉で楽しいネットワークがPPPoE


テーマ : セキュリティ
ジャンル : コンピュータ

3月22~23日のtwitterセキュリティクラスタ

相変わらず震災に便乗した犯罪がたくさん起こっているようです。注意したいものです。
Kantei_Saigai: 【お知らせ】【義捐金サギ】義捐金を装った振り込め詐欺など、善意につけこんだ卑劣な犯罪が発生しています。「怪しい」と思ったらお近くの警察(全国共通の短縮ダイヤル#9110)や金融庁相談室(03-5251-6811)に情報提供、ご相談をhttp://bit.ly/ftjC0J

ymzkei5: RT ■大地震便乗の迷惑メール・フィッシング詐欺・ウイルス攻撃がわんさかと : 無題なブログ http://blogs.yahoo.co.jp/noooo_spam/archive/2011/03/18

MasafumiNegishi: 日本語がやや不自然だが、こういうのはヤバい。内閣府からの計画停電に関するお知らせメールを装った攻撃。Attack Using CVE-2011-0609 http://bit.ly/dHe0m8


オライリーで電子書籍が半額で、しかも売り上げが義援金になるそうです。早速私も2冊買いました。
ucq: これは買うしかない!RT @yumano: すげ~!激安で寄付き!! RT @yamashiro: オライリーの本が半額で、しかも寄付付き!買うぜー。買うぜー。http://bit.ly/hJFx5j

yumano: すげ~!激安で寄付き!! RT @yamashiro: オライリーの本が半額で、しかも寄付付き!買うぜー。買うぜー。http://bit.ly/gOi0h5


そして、セキュリティクラスタもようやく通常営業の気配が見えてきました。ヒマなのか記者会見の内容やACのCMのパロディもちらほら。まずは「ただちに~ない」な会見のパロディ。
ymzkei5: ボクも「ただちに~ない」の用法をマスターしたいw/“SQLインジェクションが存在しているが、WAFが導入されているので、「ただちに」サイトに侵入を許すものではない。”とかかw

hiromi0: 覚えておこうw RT @ymzkei5: ボクも「ただちに~ない」の用法をマスターしたいw/“SQLインジェクションが存在しているが、WAFが導入されているので、「ただちに」サイトに侵入を許すものではない。”とかかw

ymzkei5: 記者の人に「長期的に見たら危険性はあるのですね?」と突っ込まれるw RT @hiromi0: 覚えておこうw RT @ymzkei5: “SQLインジェクションが存在しているが、WAFが導入されているので、「ただちに」サイトに侵入を許すものではない。”とかかw

hiromi0: 「システムの寿命と平均的なアタック数を勘案すると問題ありません」w RT @ymzkei5: 記者の人に「長期的に見たら危険性はあるのですね?」と突っ込まれるw RT @hiromi0: RT @ymzkei5: “「ただちに」サイトに侵入を許すものではない。”とかかw

vulcain: @ymzkei5 そのWAFで大丈夫なんですか?セキュア開発でいいじゃないですか!と突っ込まれるんですねw

ymzkei5: @vulcain 「しっかりとモニタリングを強化してどちらの対応策が良いか今後も検討をおこなう。」w

ymzkei5: @hiromi0 「いまの段階で危険の生じている状況では必ずしもないのではないと考えている。しっかりとモニターさせていただいている。今後もしっかりとウオッチして管理していかなければならない。」w


tokuhirom: プログラマー「基準値を超えるメモリリークだとしても、直ちに運用に影響を及ぼす値ではない」


piyokango: 「基準値を超えるクロールによるアクセスだとしても、直ちに運用に影響を及ぼす値ではない」


そして、ACのぽぽぽぽ~んCM。
hasegawayosuke: 「<script>」って言うと「<script>」って言う。そうして、あとでログインしたくて「' OR ’A'='A」っていうと「ようこそ」っていう。サニタイズでしょうか。いいえ、なんにも。

nnukki: まほうのことばで 不正なコードが ぽぽぽぽーん♪

hasegawayosuke: こんにちわ(こんにちわーむ!) こんばんは(こんばんはまちや!) RT @nnukki: まほうのことばで 不正なコードが ぽぽぽぽーん♪


ymzkei5: こんにちWarez ありがとWinny こんばんは警察です さよなら日常 まほうのツールで なんでも無料で ぽぽぽぽーん! (ナレーション)そんなうまい話あるわけないでしょ、ACCS~♪


ヤフーの入力処理のポリシーは「何も信じるな」ということだそうですが。
ockeghem: 『入力されるものは、何も信じてはいけません』<入力がアプリケーション要件を満たしている限りは、お客様の意図した通りに処理する。セキュリティとは関係ない / ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPA… http://htn.to/4iebs7

hasegawayosuke: そのまえに、img2.blogs.yahoo.co.jp とかでtext/plainな画像配信をやめるべき。「アップロードされた画像ファイルがちゃんとした画像ファイルであるかを確認することや、サービス用のドメイン以外で…」 http://bit.ly/f9PhCp

ockeghem: #wasbook には「ユーザ入力を信じてはいけない」と書かなかった(はず)。

ockeghem: 「ヤフーにおけるインプットバリデーション」 http://htn.to/4iebs7 を絶賛するブクマ等が少なからずある実態に鑑みるに、「サニタイズ言うな」キャンペーンは継続すべきではないかと愚考申し上げる次第でございます



PHP5.3.6のPDO/MySQLについて。Windowsは文字コード絡みで脆弱なようですね。
ockeghem: PHP5.3.6のPDO/MySQLずっと調べていましたが、1)Linuxでは正しく動いているよう、2)Windowsでは文字エンコーディングの変換などはしてくれるが、エスケープ時に文字エンコーディングを考慮していないよう…これは脆弱性、というのが結論

haruyama: ちょっと不思議 QT @ockeghem: PHP5.3.6のPDO/MySQL(略) 1)Linuxでは正しく動いているよう、2)Windowsでは文字エンコーディングの変換などはしてくれるが、エスケープ時に文字エンコーディングを考慮していないよう…これは脆弱性、というのが結論

ockeghem: @haruyama 不思議ですね。環境の問題をチェックします

haruyama: MySQL/Rubyにおける正しいエンコーディング変更方法 - しばそんノート - http://icio.us/DWoQwg 『mysql_options(MYSQL_SET_CHARSET_NAME)はSET NAMESを代替する機能ではなく、(略)、必ずペアで使用しなければ

haruyama: いろいろ楽になると思ったが残念だな > PHP 5.3.6でのPDO/MySQL dsn の charset 対応

haruyama: dsnでcharset指定した上で PDO::MYSQL_ATTR_INIT_COMMAND で SET NAMES しろという心なのだろうか?



その他気になったことはこのあたり。
kinugawamasato: IEのUTF-7のBOMでXSSするやつ、IE9RCまではページの一番頭にUTF-7のBOMがあれば必ずUTF-7として解釈していたけど、IE9正式版はContent-Typeヘッダのcharset見るようになってる。


hasegawayosuke: おもに Windows 環境で発生するってことかな。 "Just another PHP LFI exploitation method" http://gynvael.coldwind.pl/?id=376


_kana: APWG、世界のサイバー犯罪対策専門家を集結して今後サイバー犯罪に世界はどう立ち向かうべきか、次の段階について話し合うCeCOSVをマレーシアにて来月開催 http://bit.ly/gEMHOa


hasegawayosuke: my answer of tr3w's XSS challenge, with no-alnum JS. works on Firefox. https://gist.github.com/879457


MasafumiNegishi: Honeynet Project Security Workshop の資料が公開されてます。 http://honeynet.org/node/626


MasafumiNegishi: オランダに行く人は気をつけよう。裁判所が無線LANのハッキングを合法と判断。Dutch Court Rules WiFi Hacking Is Now Legal - PCWorld http://t.co/5zHpvbT via @PCWorld


hasegawayosuke: Windowsのユーザ名、"COM1"とかにしたら、Win95は二度とログインできなくなった。

s_hskz: @hasegawayosuke win95へのログインの件、ぜひ、ユーザ名にU+00A0 をいれてみてください。


ucq: [募.集]おすすめのパスワード管理方法/ソフト

hasegawayosuke: @ucq 無料で預かりますよ。

totoromasaki: @ucq Winny で共有すればいいと思うよ。

テーマ : セキュリティ
ジャンル : コンピュータ

3月18~19日のtwitterセキュリティクラスタ

日曜日なのに密かに更新。

震災を利用して一稼ぎしようと思ってる人も世の中にはたくさんいるようで、困ったものですが仕方ありません。騙されないようにしたいものです。
itsec_jp: [Bot] #ITSec_JP 地震、津波、原発、節電などのファイル名の不正プログラムが国内で流通 http://goo.gl/fb/saShv

jnsa: 【転載】フィッシング対策協議会からの緊急情報のお知らせです。日本赤十字社を騙るフィッシング http://www.antiphishing.jp/news/alert/2011318.html

trendmicro_jp: [セキュリティブログ]「節電」のファイル名も登場。日本語メールで届く不正プログラムを解説 http://blog.trendmicro.co.jp/archives/4001

jpcert: ブログを通じて海外に義援金フィッシングの注意を呼びかけています。^KK http://blog.jpcert.or.jp/2011/03/more-fake-earthquake-charities.html


震災の支援などもいろいろ行われているようです。セキュリティ関係ではHDDの復旧とか要望が増えてきそうですがどうなんでしょうね。
googledevjp: “Hack For Japan” 開催のお知らせを公開しました。今日と明日ideathon、21日にhackathonをやります。メイン会場はオンライン、日本の開発者の力を結集して被災者支援のためのサービスを作りましょう!http://goo.gl/tTEGN #hack4jp

connect24h: Azureでキャッシュサーバを無償提供。東日本巨大地震(東北地方太平洋沖地震) - とあるコンサルタントのつぶやき - Site Home - MSDN Blogs http://ow.ly/4h65t

Hagexx: 脆弱性を抱えていたChromeの拡張機能「緊急地震速報 by Extension」は、早速修正されたようです。利用している人は最新の0.3.5にアップデートしましょう。


地震の影に隠れてみずほのシステムは壊れてしまい、未だ復旧していないようです。
swim_taiyaki: 給料入ってないっぽい。みずほがやる事だから、今日中は無理ではなかろうか。システム統合の世界に例をみない失敗例だろうなぁ。


その他気になったことはこのあたり。
itsec_jp: [Bot] #ITSec_JP Windows Vista/7におけるISATAPルーター自動発見方式の脆弱性について http://goo.gl/fb/bYYhi


kjur: RSAサイトの攻撃によるワンタイムパスワードSecurIDの影響を想像してみる http://ff.im/zuSDc


matsuu: [share] http://j.mp/eIDlC9 負荷試験ツール「インターネット破壊」を公開しました


kinugawamasato: IEのUTF-7のBOMでXSSするやつ、IE9RCまではページの一番頭にUTF-7のBOMがあれば必ずUTF-7として解釈していたけど、IE9正式版はContent-Typeヘッダのcharset見るようになってる。


kitagawa_takuji: 今の東京の危険度はTRACEメソッドが有効になっている位のレベルかな?実質危険はないけど念のため指摘しておきますという。

テーマ : セキュリティ
ジャンル : コンピュータ

3月17日のtwitterセキュリティクラスタ

震災に便乗した攻撃やら詐欺やらが多発しているそうです。震災でも日本人は秩序があって素晴らしいとかの幻想に捕らわれず冷静に判断していきたいものです。
trendmicro_jp: [注意喚起]大震災に便乗し「地震」「津波」「原発」「家族安否」などの文字を含むファイル名の不正プログラムが添付された日本語メールの国内流通を確認。添付ファイルの拡張子はexe、scr、doc、xlsなど。送信者を関連団体に偽装しているものも

trendmicro_jp: [注意喚起]なかにはAdobe Flash Playerの未修正の脆弱性(APSA11-01)を悪用した不正プログラムも確認しています。いつも以上にメールの送信元の確認、怪しい添付ファイルは開かない、といった基本ルールを徹底ください

tamiyata: 親世代に読ませないと…/大地震で暗躍する悪党たち。「被害が少ない人ほど狙われる」その実態・手口を全部暴く! | SAFETY JAPAN [セーフティー・ジャパン] | 日経BP社 http://ow.ly/4geWb

itsec_jp: [Bot] #ITSec_JP 義援金を騙るフィッシング詐欺にご注意を http://goo.gl/fb/va1M8

itsec_jp: 残念なことですが、今後もスパムや詐欺サイトは増加すると懸念されています。十分に注意してください。|ドコモからのお知らせ : エリアメール(緊急地震速報)をかたった悪質な迷惑メールについて http://bit.ly/f0Gcy1 #ITSec_JP


RSA SecurIDが攻撃を受けているそうです。自分には関係ないと思っていたらジャパンネットバンクのトークン持ってました。
masayang: RSA Secure-IDがやられかけている、ってことですか? @neohawk http://cnet.co/hVmyiq

neohawk: 詳細不明ですが、今すぐVulnarbleということでは無いようですね。パッチが出るのかな? RT @masayang: RSA Secure-IDがやられかけている、ってことですか? @neohawk http://cnet.co/hVmyiq

neohawk: RSA SecurityがAPTアタックを受け、SecureIDの強度が弱まっている可能性があるとアナウンス。現状、RSAのプロダクトについて、問題は報告されていないものの、顧客にコンタクト中とのこと。http://bit.ly/fcrCge

neohawk: RSA Security、攻撃を受けたことを素直に認め、顧客のためにできることは全てするというコメントをオープンレター形式で出した事は評価すべき。応援したい。 http://bit.ly/fcrCge


箱だけ提供されても使い方がわからないとしょうがないですよね。クラウド使うの難しいですし。
hyoshiok: 素敵だ。 / クラウドで支援の輪を広げるAWS--サーバに加え人手も貸す - ZDNet Japan http://htn.to/HK5Q6a


みずほのシステム障害で給料が振り込まれないようです。ご愁傷様です。
swim_taiyaki: 給料入ってないっぽい。みずほがやる事だから、今日中は無理ではなかろうか。システム統合の世界に例をみない失敗例だろうなぁ。


がんばって韓国行って賞金ぶんどってきて下さい。
ucq: CODEGATE本戦で優勝して募金すればいいんじゃね

_kana: この言葉好きなんだよね RT @ucq: CODEGATE本戦で優勝して募金すればいいんじゃね


そして、MSの更新プログラム。地震でいろいろあっても脆弱性は修正しましょう。
JSECTEAM: Windows 7 SP1/Windows Server 2008 R2 SP1 環境で、更新プログラム (KB2425227) を提供するよう検出を変更しました。詳細は MS11-013 をご覧ください。 http://bit.ly/dRMkFV

JSECTEAM: MS11-015 を更新し、Windows XP Home Edition SP3/Windows XP Tablet PC Edition SP3 についてもこのセキュリティ情報の影響を受けることをお知らせしました。 http://bit.ly/e312Ej

テーマ : セキュリティ
ジャンル : コンピュータ

3月16日のtwitterセキュリティクラスタ

余震は少し落ち着いてきた気がしますが、なぜかトイレットペーパーの買い占めが起こったりして意味がわかりません。しかも原発は全く落ち着かず、まだまだ不安な日々が続きますが冷静に生きていきましょう。

震災に便乗したスパムや詐欺的なことが増えているようです。注意したいものです。うちにはなぜかクレープ屋の訪問販売がやってきました。
Asahi_Shakai: 【悪質メールに注意①】「緊急地震速報」というタイトルで、「URLをクリックして下さい」というメールが流れています。URLをクリックすると、出会い系サイトなどに接続されてしまいます。総務省は「緊急地震速報にURLは付いていません」と話しています。ご注意を。 #jishin

_YKisaragi_: 父の職場の人間だっていうひとから電話がきて、命に別状はないのだが父が余震で怪我をしてしまって病院へいったんだが、緊急だったので自分が治療費を出したのであとで治療費を振り込んでほしいって電話がきた。また新手の詐欺がでてきたみたいです。皆様、ご注意ください><

tamiyata: 震災に便乗するサイバー攻撃が横行か - ITmedia エンタープライズ - http://bit.ly/f3p5Gf

yumano: チェーンメールへのやさしい対処法が載っている。参考にしたい。 via @hanazukin http://htn.to/9oczv4


そして、アクセスが殺到するWebサーバに対してさまざまな事業者が手を差し伸べています。クラウドなんかはこういう突然の高負荷には強いはずなので、ぜひ実力を見せつけてほしいものです。
mtakahas: 中のエンジニアの皆さま、本当におつかれさまです。更新あれば逐次反映します。力を合わせて。「中の人たち」が大同団結、公的機関Webサーバの負荷分散進む - @IT http://t.co/11tTJ8C / #cloudmix #jawsug #jazug

Murashima: さくらインターネットら、無償キャッシュサーバー利用を公的機関に呼びかけ -INTERNET Watch http://goo.gl/vAFLb

katt87: IIJ、被災地自治体のウェブサイトをミラーリング--アクセス集中の負荷緩和: IIJは、岩手、宮城、福島の各県内の自治体ウェブサイトのミラーサイト一覧を公開した。東日本大震災で必要とされる情報を提供していく上で、アクセス集中... http://bit.ly/dGzEJA

ScanNetSecurity: 東北地方太平洋沖地震で被害を受けた提供機器を対象に特別保守サービス 他(ダイジェストニュース)http://scan.netsecurity.ne.jp/archives/51956431.html


その他気になったことはこのあたり。
laccotv: 川口洋のつぶやき 第59回? 「JSOCから地震の状況についてお知らせ!」を公開しました。 http://www.youtube.com/watch?v=8UgXKFbKTAw 川口は大丈夫!?

dnhub: Windows Azureのセキュリティ関連リソース(リンク集)。 http://bit.ly/fyW7G1

kitagawa_takuji: BackTrack 5のリリース予定日が2011/5/10に決まったそうだ http://goo.gl/XEEnh

hir0_t: 自宅は輪番停電のグループが2つ重複しているので、住民もマンションの管理会社も未だにどのグループに属しているのかわかっていない。

テーマ : セキュリティ
ジャンル : コンピュータ

3月15日のtwitterセキュリティクラスタ

今度は静岡で地震が起こったりして仕事どころじゃありません。

震災関連で気になったこと。
sakumariko: 義援金を送る先は信頼できる機関にしましょう。義援金フィッシィングなどが出てきているようです。http://bit.ly/i0f8jr

trendmicro_jp: [セキュリティブログ]大震災に便乗したSEOポイズニングを確認。「FAKEAV」へ誘導 http://blog.trendmicro.co.jp/archives/3981

e30jp: わ、JJY停止か。--電波時計の時刻情報を伝える標準電波(JJY)、福島県の送信所が送出を停止 http://ow.ly/4eCXL

mtakahas: Publickeyからの転載です。快くOKしていただいた@jniinoさん、ありがとうございました! → 災害にあったITシステムを操作しなければならない人が知るべきこと - @IT http://t.co/sItvEJF

イソジン飲むとかパニックですね。落ち着きましょう。
_koookie: 「ヨウ素剤の代わりにうがい薬」根拠ない情報 (読売新聞) - Yahoo!ニュース http://t.co/ehSRrDf

miryu: 要約「イソジン有害だから飲んじゃダメ」「昆布食べても効果低」 / 独立行政法人 放射線医学総合研究所 | ヨウ素を含む消毒剤などを飲んではいけません-インターネット等に流れている根拠のない情報に注意- http://htn.to/D1z5Ta


セキュリティ関連では、WebサーバーのOPTIONSコマンドについて。あまり使いませんが、危険なんですかね。
ten_forward: セキュリティ監査で http の OPTIONS が有効になっていて無効化しろ,と言われたのでなんとかしろ,と言われてるが,何がマズいんだろう? まあ,そりゃ色々な機能が有効になってて色々変えるんだったら問題だろうけど... GET, POST, HEAD 程度だけど...

ockeghem: OPTIONSを指摘することは確かにありますが、「参考情報」程度で、「無効化しろ」という診断業者はチェンジした方がよいかと RT @ten_forward: セキュリティ監査で http の OPTIONS が有効になっていて無効化しろ,と言われたのでなんとかしろ,と言われてる…

bakera: @ockeghem @ten_forward ピュアな疑問なのですが、OPTIONS が有効だとまずい事って具体的に何があるのでしょうか。

hebikuzure: 外部に暴露される情報はなるべく少ない方が良いという事かなあ QT @bakera: それ、まずいですか? RT @hebikuzure: 受け付けるメソッドが公開されるから、という事なのでは??? QT @ockeghem @ten_forward (snip)

bakera: @ockeghem ありがとうございます。そうですよね。

vulcain: .@hebikuzure @ockeghem @ten_forward たしかにOPTIONSメソッド使ってWebDAV使えるか確認するフェーズがあった気がするので、OPTIONS止めると「ファイルアクセス出来ねぇ」という声は上がったりしますね。

hebikuzure: . @vulcain @ockeghem @ten_forward その通りです。WebDAV が使えなくなるので、WebDAV を使いたいサイトでは OPTIONS は止めない方が無難です。(実際にどうなるかは WebDAV クライアントの実装にもよるみたいですが)

vulcain: .@hebikuzure @bakera @ockeghem @ten_forward OPTIONS自体は何も不味い要素はないと思うのですよ。他のメソッドの運用やエラーページのBugによる脆弱性とか暴いてから問題視してくれって言いたい。

ockeghem: @bakera PUTやDELETEが使えるかどうかがわかることを気にしているのだと思いますが、PUTやDELETEをいきなり実行してみればよいことなので、実害はないと思います

ten_forward: @ockeghem ああ,業者自体は「無効化しろ」ではなく「これ自体は問題ありませんが,無駄な機能は無効にしたほうが良いでしょう」みたいな書き方でした.それをおそらくお客さんが全部きちっとつぶしたいと思ったのでしょうね.そういう意味では業者の説明不足じゃないかなあ...

ten_forward: @vulcain @ockeghem 微妙な書き方でしたが,特に必要でなければ無効にした方が良いでしょう,みたいなニュアンスでしたね.いや,特に必要じゃないんですけど.^^;


他に気になったことはこのあたり。
ockeghem: 「体系的に学ぶ 安全なWebアプリケーションの作り方」の在庫状況と今後の見通し - ockeghem(徳丸浩)の日記 http://htn.to/3GJCgS


tdaitoku: CAINE Live CD - NewLight computer forensics digital forensics http://www.caine-live.net/


fumitake1969: iPad 2もうジェイルブレイクされる(動画)(GIZMODO) http://goo.gl/ltDf9


cnet_japan: 「Windows」のMHTMLの脆弱性、ハッカーの標的に--マイクロソフトが警告 http://bit.ly/gDF76X


stonecold316hel: こんな時にFlashとAcrobatのセキュリティアップデートの案内が来ても困る>3月21日(アメリカ時間)

テーマ : セキュリティ
ジャンル : コンピュータ

セキュリティクラスタ少し更新が不規則になります

地震のため節電してることもあり、
昨日のセキュリティクラスタのTLにはネットワークセキュリティの話題はほぼ流れていません。

TLの主な流れ

・会社に着かない
・会社に行けない
・会社に着いたけど帰宅命令
・会社から帰れない
・停電おきず
・原発関連、超ガンガレ
・枝野寝ろ
・リアルタイムな情報は公式RT
・記者の質問がひどい

気になったツイート
miryu: 要約「イソジン有害だから飲んじゃダメ」「昆布食べても効果低」 / 独立行政法人 放射線医学総合研究所 | ヨウ素を含む消毒剤などを飲んではいけません-インターネット等に流れている根拠のない情報に注意- http://htn.to/D1z5Ta

shinichiro_beck: ソフトバンクテレコム、被災者支援団体向けに仮想サーバーを無償貸与 - ニュース:ITpro: http://me.lt/4t7q4 #jishin

shinichiro_beck: IIJ、東日本大震災向け情報を発信する企業や自治体にクラウドを無償提供 - ニュース:ITpro: http://me.lt/4t7DB #jishin

mtakeshi: メールに付いてるURLや短縮URLからではなく、手で各トップページを入力し、そこからたどるといいと思います。/日本への義援金をかたるフィッシングに注意 - ITmedia +D PC USER http://t.co/S8HzXGe

eagle0wl: JR錦糸町駅南口付近で「日本ボランティア会」もとい極左団体「緑の党」による募金詐欺を発見。カメラを向けると団体名を隠したので「何故隠すのか。やましい事が無いなら堂々と募金しろ」と反論したら「訴えるぞ」だって。 RT: @F0ro: お前は戦士だ。任務を遂行しろ。互いの忠を尽くせ!
eagle0wl: ちなみに「日本ボランティア会」についてはこちらを参照。募金箱持ってる連中は極左団体らしく、年期の入った”革命闘士”の平均顔そのものだった。 やや日刊カルト新聞: 地震“帰宅難民”への施設開放、宗教団体の対応に差 http://bit.ly/g6pYQy

connect24h: セプキャン卒業生の@rkmathi君の記事。がんがれ。 東北関東大震災 1-4日目 - 明日から本気出す http://ow.ly/4etYJ


・原発についてのFAQ
http://smcjapan.blob.core.windows.net/web/faq.htm

テーマ : セキュリティ
ジャンル : コンピュータ

3月13日のtwitterセキュリティクラスタ

金曜日に大地震がありました。うちは物が倒れるくらいでたいしたことはなかったのですが、東北や茨城など大変な被害に遭われた方も多く、心を痛めております。地震や津波により亡くなられた人に深い哀悼の意を示しますととともに、被災者の皆様のいち早い復興を祈念しております。

ネットワークセキュリティも心配ですが、地震関係も心配なのでしばらくはそのあたりのことも取り上げていくことになると思います。

まずは首都圏は輪番停電ということで、節電の方法。
accaplus: #yj_setsuden 東京電力、東北電力管轄の地域の方へ 効果的な節電と停電の対処方法をご案内します http://yj.pn/RAdEM6


Windows Azureは無料アカウントを発行しています。
JSECTEAM: 東北地方太平洋沖地震被災地の皆様、心よりお見舞い申し上げます。現在、情報提供の手段として Windows Azure 無料 90 日アカウントを提供しておりますので、どうぞご利用ください。詳しくはブログ記事をご覧ください。 http://bit.ly/hzoopH



そして、セキュリティクラスタの人たちの考えていることをピックアップ。
ikutana: 情報セキュリティクラスタの人。こういう時に気をつけておくべき情報セキュリティリスクを教えてほしい。暗号の専門家はこういう時は全く役に立たない。


kinyuka: 本当の意味でのセキュリティについて考えさせられるな。「水と安全は無料」じゃないけど、もっとセキュリティについて「だめぜったい」的な考え方ではなく、しっかり考え抜いていくようにしたいと思わされた。


tessy_jp: 今週末はいろいろとやろうと思っていたけど、起きている現実が気になりすぎて手が着かない感。何ができるだろ。


togakushi: 情報技術でメシ食ってる会社なのに連絡手段に電話しか選択しないところに割りと本気で失望した。



他に気になったことはこのあたり。
bakera: 明日の朝から停電を予定しているので、サーバの電源を落とします。bakera.jp には繋がらなくなりますのでご了承ください (名前も引けなくなります)。


tessy_jp: Charlie Miller氏は今年はiPhone4成功 RT @SteveClement: @0xcharlie wins #Pwn2Own again with #iPhone 4 #exploit http://t.co/ETBYyNk @zdnet #CanSecWest


tomoki0sanaki: IE6は素直に XSS してくれるんで、愛着があるんだよなぁ~ ;-p


なぜかチェーンメールではないけど2009年のWinny無罪判決のニュースが今頃回ってます。情報は日付を確かめるようにしたいものです。
bulkneets: http://bit.ly/hvWBYE http://bit.ly/fi8kaQ

テーマ : セキュリティ
ジャンル : コンピュータ

3月10日のtwitterセキュリティクラスタ

もう3月も早いもので1/3が過ぎて行ってしまいました。

このところ話題の非モテニュース会社のやってるcloudnote.jpの脆弱性について、セッションハイジャックできると主張されていますが、どうやらtwitterのOAuth認可が悪用される危険があるようです。
ssig33: あなたが cloudnote.jp に一切アクセスすべきでない理由:サイトに脆弱性があるので Twitter のセッションハイジャック出来ます、 IPA に通報済み

bulkneets: 小池が適当なこと言ってる http://bit.ly/ePza9c

ssig33: それまだ塞がってない

ssig33: OAuth で出来る事全部出来る

bulkneets: @ssig33 他のドメインにアクセスして何でtwitterのセッションハイジャックになるんですか?これはFUDじゃないんですか?えがみさんに何か恨みでもあるんですか?

bulkneets: 19時間前どうだったのか知らないけどread権限だし、OAuth認可を与えた場合に限ってあなたのtwitter idを把握されうる、cloudnote.jpがtwitterから取得したあなたの情報が漏洩しうる、とかでしょ。

ssig33: threadlist に anywhere.js しこんで、 cloudnote と似たアプリケーション名にしてクリックジャッキングして投稿までやるっていう事例を一件だけ見た、厳密には cloudnote の脆弱性と言えるか微妙だが。

ssig33: threadlist 直ったけど纏めるときに適当に JSON 書き換えられるの直ってないので同じことまだ出来る、アホならひっかかるから cloudnote の脆弱性って言っていいと思う

ssig33: cloudnote 使ってる時に cloudnote から OAuth の許可求められたらそのまま Allow しちゃうアホ結構いると思う。

ssig33: 脆弱性 + ユーザーリテラシーの低さ = 死

ssig33: PHP ですごく美味しいしょうが焼きが作れるレシピを書いた http://bit.ly/f75gul

ssig33: 今荒川智則セキュリティチームから出たアイディアとしては cloudnote の脆弱性突いてサインインボタンを乗っ取っちゃえばいいのではないかというのがあります

ssig33: まあ cloudnote の問題というよりは anywhere.js の問題の比重の方がデカい気はしますので FUD といえば FUD かも??????でもこういう現状があるなかで twitter と連携するアプリを穴だらけの状態で出すのはクソだと思いますね

ssig33: anywhere.js は callback 先のドメインを所有してるかどうか確認してから token と secret 発行した方がいいよね

ssig33: っていうか callback 先をちゃんと確認しない twitter の OAuth はおかしい、ちなみに Instagram はちゃんと確認してる。

ssig33: callback 先が適当で大丈夫な Twitter の OAuth + anywhere.js + XSS + ユーザーリテラシーの低さ = 死

bulkneets: @ssig33 死とか言ってないでそれはtwitterのセッションハイジャックではないですよね?????何を言ってるんですか??????

ssig33: セッションの開始自体がそもそも不正だとしても、ハイジャックと言えると思うんだけど。

bulkneets: パスワード漏洩ならパスワード変えられる、セッションハイジャックならブラウザで可能な操作全部出来る+他のアプリに認可与えられる、read権限与えたアプリにバグがあれば機密情報見られる、write権限なら書き込まれる、セッション持ってないならリダイレクトされたりブラクラできる。どれ?

bulkneets: 期待したやり取りは「えがみさんに恨みがあるので誇張した表現を用いてしまい申しわけ有りませんでした」「僕もえがみさんに恨みがあります」なんだけど。

monjudoh: え、何?りっくんが言ってたのってえがみの新サービスにOAuthで権限与えようとすると全然違うサイトに対してでも権限与えられることがあるとかそんな話?そりゃ、セッションハイジャックじゃないよな。

ssig33: @monjudoh anywhere.js が callback 先見ないのでえがみに twitter のリソースへのアクセス権渡したと思いきや俺に渡ってる、とか出来る

ssig33: @monjudoh 本物にみせかけて不正にセッション開始するのってセッションハイジャックって呼んでいいと思う

monjudoh: @ssig33 セッションハイジャックという言葉が一般的にHTTPセッションのハイジャックを指す以上、「Twitterのセッションハイジャック」という表現は大変誤解を招き不適切だと思う。

ssig33: @monjudoh restful なアプリケーションって「特定の」セッションを奪う意味はなくて、とにかく「その人の所有する」セッションを奪えばすべて事足りるわけだし、セッションハイジャックって言ってしまっても語弊ないと思うのですが

monjudoh: @ssig33 1tweetに十分入る『あなたが cloudnote.jp に一切アクセスすべきでない理由:サイトに脆弱性があり、cloudnote.jpへのTwitter OAuthがハイジャックされる危険性があります。、 IPA に通報済み』

ssig33: @monjudoh そっちの方が適切ですね、言い方を気をつけるようにします。

monjudoh: @ssig33 出来ることがぜんぜん違うでしょ。TwitterのHTTPセッションを取られた状態と、OAuthで意図しない相手に許可をしてしまう状態じゃ。

ssig33: @monjudoh パスワード変更、退会、 screen name の変更以外はだいたい出来るかな?

monjudoh: 後、個人的には任意の誰かにTwitter OAuth(R/W)権限許可してしまう危険性と、信用できないえがみのWebサービスに権限許可してしまう危険性はあまり変わらないかなと思ったりとか。ふがふが。

monjudoh: TwitterのHTTPセッションがハイジャックされたらとりあえず、設定配下のユーザ情報・パスワード以外は変更できてしまうな。ユーザ情報・パスワードは変更の際にパスワードを知っている必要があるので無理。

monjudoh: ユーザ情報も閲覧だけは出来るので非公開のメールアドレスを知られるといった危険はある。>TwitterのHTTPセッションがハイジャックされている状態


EUがサードパーティのCookieを規制するようですが、単純ではないようですね。
masaokakihara: EUはクッキーの読み書きでユーザの承諾を義務化?ヨーロッパのインターネット業界は墓場になるね http://bit.ly/hDSS0Z

ikepyon: で、「Cookieが使えないなら、端末識別番号を使えばいいじゃない!」と東の方の島国のエンジニアが言って、EUでも端末識別番号でのセッション管理が蔓延するとかw(ないない

bulkneets: ひどい記事 http://bit.ly/gDP33x 原文のコメントを読むこと http://bit.ly/expCpi

bulkneets: サードパーティCookieについて現状のブラウザの実装がどうなってるのかきちんと把握してる人少ないだろうからちゃんとブログ書こうと思ってる、Facebookなんかもからめて。

bulkneets: Chrome,SafariはサードパーティCookieブロックしても「受信済みCookieは送る」 http://bit.ly/h33fJ3 Facebookの外部サイト埋込みなど、この仕様に依存した処理をガンガンやってるのでブラウザが挙動をうかつに変えると世界中で大混乱が起こる

bulkneets: ログイン済みである可能性の高いウェブサービスが、ファーストパーティとして保存された Cookieを使って外部サイトのアクセス履歴を(より高い精度で)トラッキングすることが技術的には可能になってるが「トラッキング目的じゃないよ、技術的に必要なものだよ」と言い訳が出来てしまう。



他に気になったことはこのあたり。
moton: Safari, IE hacked first at Pwn2Own - Computerworld http://bit.ly/f5IXNI

hasegawayosuke: pwn2own、safari だけでなく Win7上のIE8も陥落か。すごいなー。


lac_security: (n'∀')η < 『JSOC侵入傾向分析レポートvol.16』 がでました~ 。2011年の脅威を予測するうえで、2つのポイントが重要だとJSOCが報告しています。是非ともご覧ください。 <LAC web → http://www.lac.co.jp/>


connect24h: エフセキュアブログ : Androidと「Kill Switch」 http://ow.ly/4bj5Z


hasegawayosuke: found and reported xss in microsoft.com
hasegawayosuke: http://technet.microsoft.com/en-us/security/cc308589 ここに名前乗せ続けようと思ったら、毎月XSSとか報告すればいいんだけど、修正された月に掲載なので、なかなか難しい。


tdaitoku: 大規模化が進むDDoS攻撃、一度に100Gbpsの攻撃も http://techtarget.itmedia.co.jp/tt/news/1103/10/news04.html


sen_u: 第2回 @ITセキュリティナイト ?虹色の本音トーク? - うさぎ文学日記 http://bit.ly/guceNT 画像もあるよ。


tomofumi0406: XSSの対策が不十分だったので指摘したけど受け入れてもらえなかった。。その後に徳丸さんの本を持参して説明したらあっさり受け入れられた。。説明下手で残念。


tdaitoku: RT 【ネット】無線LAN悪用相次ぐ 警察庁、「犯罪インフラ対策室」設置 情報収集へ 無料スポットへの監視カメラ設置も: http://j.mp/h0Vtcj #hdln

テーマ : セキュリティ
ジャンル : コンピュータ

3月9日のtwitterセキュリティクラスタ

@ITデビューを果たしたので@ITから来ましたはじめまして。みたいなコメントが並ぶのかと思いましたがそんなことも全く淡々としたものですね。

トレンドマイクロの始めたストレージ貸しサービスがいきなり終了です。なんか悪いことにでも使われたのでしょうか。warezとかwarezとか。
yumano: 容量無制限なSafeSyncがあっという間にギブアップしてる。安くてHDDの代わりになったのに・・・ 新ラインナップは高すぎる! http://www.trendmicro.co.jp/support/news.asp?id=1538

bulkneets: SafeSync終了すごいな。判断早い。


結構な快挙なはずですが、あまり話題にならないCODEGATE予選1位通過の続報。このあたりだけ見てると日本の若者は優秀だと思うんですけどね…
hasegawayosuke: NetAgent Official Blog : CODEGATE 2011 CTF 参戦記 http://www.netagent-blog.jp/archives/51762319.html

hasegawayosuke: CODEGATE CTF、日本チームが予選1位通過というのはこれまでにない快挙だし、最近の各種CTFの盛り上がりを考えると、いまのあいだにネットメディアは記事に取り上げるべきだよ。


@ITのオンラインセミナーが面白そうなのですが、まだ見てません。週末見ます。
yumano: #atode itmediaのオンラインセミナー見ようとしたら・・・chrome対応してない orz このマシンにFlashインストールしたくないので家でみよっと http://bit.ly/fy3AyB

yasulib: @sen_u @ntsuji アットマークITセキュリティナイト 拝見させて頂きました :-) 笑いながらも面白いお話を伺えてよかったです :D

ntsuji: 「虹色の本音トーク」を見てくださった人から「別の声が後ろから聞こえてくるんだけど」という怖い意見をもらいましたよ。


昨日はMSアップデートの日でした。
jpcert: こんにちは。Microsoft社から、3月の更新プログラムが公開されました。1件の緊急プログラムが含まれています、更新しましょう。^KS https://www.jpcert.or.jp/at/2011/at110006.txt

piyokango: 気が付けば今日はMSアップデートの日です。今月は少な目で緊急1件、重要が2件なんですね。http://bit.ly/hSnUyL

piyokango: MS製品まわりで今残っているゼロデイって以前@shu_tomさんがつぶやいてたこの2つだけ(http://bit.ly/dSgmJ1)なんですかね。



他に気になったことはこのあたり。
kinugawamasato: 今日リリースされたTwitter for iPhone3.3.1、Security fixesとありますがXSS脆弱性の修正がされているので3.3をお使いの方はアップデートしましょう http://t.co/LoU7VsL http://t.co/PMPSRXx


itsec_jp: これ、CERT/CC 見る限りでは殆ど UNKNOWN ステータス… 増えるんでしょうか。 RT @sylphs: イヤな情報来てる・・・。 RT #ITSec_JP 複数の STARTTLS 実装に脆弱性 http://goo.gl/fb/re8OX


kojika17: こんなことはもうやらないと思う。|【書いた】ブラウザ デフォルトCSSのチートシートを作ってみた。(力尽きた) : Web Design KOJIKA17 http://bit.ly/gyCPb4 #CSS


Murashima: 「クリックしないとデータを消すよ」日本語で脅す不正プログラム -INTERNET Watch http://goo.gl/hhjgz


rryu2010: 指定したステータスのHTTPレスポンスを返してくれるサービス。デバッグに便利? / httpstat.us http://htn.to/rHiUs6


togakushi: すげーすげー!ちゃんと読めるわww #ssmjp - The reStructuredText Cheat Sheet: Syntax Reminders | http://bit.ly/dUy4zD


yumano: 物理的ブルートフォースwww http://www.kvogt.com/autodialer/


itsec_jp: [Bot] #ITSec_JP ZitMo攻撃再び、Windows Mobileもターゲットに(世界のセキュリティ・ラボから) http://goo.gl/fb/pdBQj


kitagawa_takuji: History of Web Application Scanning http://silvexis.com/projects/HWAS/WASS-History-05292010.png

テーマ : セキュリティ
ジャンル : コンピュータ

3月8日のtwitterセキュリティクラスタ

公開されるまでどこまで書いていいのかよくわからなかったので書かなかったのですが、@ITでこのサイトの月間まとめを連載(たぶん)させていただくことになりました。

@ITからこちらに初めて来られた方ははじめまして。日々このように淡々と更新しておりますので気が向いたらお立ち寄りください。

みなさまご紹介ありがとうございます。紹介していただいた人には今日はきっといいことがあるに違いありません。
yasulib: AnonymousがHBGaryをクラックした事件についてかかれてる :-) 「セキュリティクラスタ まとめのまとめ」http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/03.html

tamiyata: [atmarkit update] セキュリティベンダのクラックがTwitter上の話題に http://dlvr.it/JbXxx

tamiyata: おおおおおおbogus.jpの山本洋介山さんの連載が!/2011年2月版 セキュリティベンダのクラックがTwitter上の話題に - http://bit.ly/emycn0

a4lg: おりょ、私のツイートが使われてたと思ったらまとめの人か。乙です。 RT @tamiyata: [atmarkit update] セキュリティベンダのクラックがTwitter上の話題に http://dlvr.it/JbXxx

a4lg: まとめの人「の記事」と書いた方が正確か。


そして、最近@ITはこれまで以上にセキュリティに力を入れている気が。
piyokango: 今日9日から31日まで@ITでセキュリティソリューションがオンデマンド配信されますよ。 http://bit.ly/gat2T7


次はライバルチームの出現にも期待したいところですね。
tessy_jp: ktkr! エフセキュアブログ : 祝! CODEGATE CTF 予選一位通過 http://bit.ly/gwFbMf

yasulib: 「毎回我々に会場を提供してくれているネットエージェントさんは、より広い会場を提供するためにわざわざ引越までしてくれました。」 祝! CODEGATE CTF 予選一位通過 http://blog.f-secure.jp/archives/50574300.html


今日はMSアップデートの日だそうで。再起動はやだなあ。
piyokango: 気が付けば今日はMSアップデートの日です。今月は少な目で緊急1件、重要が2件なんですね。http://bit.ly/hSnUyL

piyokango: MS製品まわりで今残っているゼロデイって以前@shu_tomさんがつぶやいてたこの2つだけ(http://bit.ly/dSgmJ1)なんですかね。


短縮サービスはただのURL偽装以外にもいろいろ出来るような気がするのですがよくわかってないので誰か短縮URLのセキュリティ的なまとめをしてくれないでしょうか。
s_hskz: あー。@kinyuka さん著の『金床本』に書いてあった 的なやつ、IE8 で無効になってた。;でもってURL上書き。

s_hskz: content="0;url=//;url=//example.com" ※(『//;url=//example.com』をリダイレクタに喰わせたかった)

s_hskz: 仕掛けを作って短縮URLサービスにあてがってどういう反応しめすかみたかったのに。やる気がうせた。

s_hskz: 『./foo;url=//example.com』は、encodeURI をそのまま通過するだろうから、そこが見どころなんだけどね。

s_hskz: いや、ようするに、短縮URLの最終目的地をごまかしたかったんですよ、はい。


早速増刷が決まったようです。おめでとうございます。
ScanNetSecurity: 自著を語る「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」徳丸 浩(ブックレビュー) http://scan.netsecurity.ne.jp/archives/51952517.html


他に気になったことはこのあたり。
ntsuji: 拡大する BlackHole の猛威 | Symantec Connect - http://www.symantec.com/connect/ja/blogs/blackhole-0 難読化ではなく不明瞭化と書いて(訳されて)いますね。人によってはこの表現の方が分かりやすい?


ScanNetSecurity: 不正サイトを正規サイトのプロキシとして認証情報を傍受する手法を確認(フォーティネットジャパン) http://scan.netsecurity.ne.jp/archives/51952555.html


laccotv: 川口洋のつぶやき 第58回 ? 「DDoS攻撃が来たらどうするの?」を公開しました。 http://www.youtube.com/watch?v=YPvSYNXtWC8 すてきな魔法の機械ってナニ?


tessy_jp: 今日からCanSecですね。行けずに残念。そんな日なのでパーカーをひっぱりだして着てみる。 http://plixi.com/p/82625077

テーマ : セキュリティ
ジャンル : コンピュータ

3月7日のtwitterセキュリティクラスタ

不正サーバーって聞き慣れない罪でなんで逮捕されるのかと思ったら電気通信事業法違反容疑なんですね。一般第二種通信事業者になっておけばよかったのでしょうか。まあきっと肝心なのは別件なんでしょうけど。
ucq: 不正サーバー設置:容疑で中国人2人を逮捕 警視庁 http://bit.ly/ekwfcW

ucq: プロクシ鯖・・・?

totoromasaki: @ucq 串を設置した疑いですな。 *YF*

ucq: @totoromasaki 金とってたから電気通信事業法に触れたのか・・・


なんじゃこりゃ!!
eagle0wl: 釣りかと思ったら IPA 公式のコンテンツだった件… 【なんじゃ】ネットの安全対策の漫画がヒドい【こりゃ!!】 http://simapantu.blog130.fc2.com/blog-entry-417.html


SSLを導入してるといいながらしてないことがニュースになるのも驚きですが、言い訳も苦しいです。経由すればそのぶん漏れるリスクも高まると思うのですが…
expl01t: 「高島屋によると、専門性の高い複数のサーバーを経由するため、外部に個人情報が漏れるリスクは低いという」ってどういうことなんだろう? http://sankei.jp.msn.com/economy/news/110304/biz11030416450030-n1.htm


どこからが窃盗になるのか基準を決めるのが大変だと思いますが。
haruyama: 米国:ID窃盗禁止法案[H.R.220]: Cyberlaw - http://icio.us/NO2KC0


最近面倒なので何かあればIPAですが。
yasulib: 脆弱性の報告をしてみた http://t.co/nh4KtZa via @tyage



その他気になったことはこのあたり。
googlenewsjp: 北朝鮮、GPSかく乱攻撃…キーリゾルブ訓練を妨害か http://bit.ly/hCYTZa #googlenewsjp


metasploit: Metasploit blog: Metasploit Framework 3.6.0 Released! - http://bit.ly/faIKAl


kinugawamasato: @s_hskz 日本語入力の状態で2028(XPなら「う2028」)と入力してF5で出せると思います。


tomoki0sanaki: 脆弱性診断の時、基本的な対策が行き届いているのだけど、レアなケースでの対策が不備で、うまくファンタジーを見つけたとき、「ザクとは違うんだよ、ザクとは」ってつぶやいちゃうよね。


kaito834: market.android.com における XSS。"How I Almost Won Pwn2Own via XSS" http://jon.oberheide.org/blog/2011/03/07/how-i-almost-won-pwn2own-via-xss/


Akira_Murakami: 今年の白浜シンポジウムはクラウド時代のサイバー犯罪対策(仮題)で 2011年5月26日(木曜日)から28日(土曜日) 行けるかにゃ?(T_T;)  RT @shirahama_sympo


s_hskz: 独自仕様のscript要素のarchive属性で外部JSを呼べるブラウザがあった。 http://bit.ly/i8FBW5


ScanNetSecurity: 不正サイトを正規サイトのプロキシとして認証情報を傍受する手法を確認(フォーティネットジャパン) http://scan.netsecurity.ne.jp/archives/51952555.html


テーマ : セキュリティ
ジャンル : コンピュータ

3月5~6日のtwitterセキュリティクラスタ

週末はせきゅ蕎麦やセプキャンキャラバンin上田やCODEGATEの予選やOSCがあったようです。私はインストールマニアックスの決勝大会に行ってましたよ。

日本の叡智を集合したチーム捨駒弐が見事CODEGATEの予選を一位通過です。この勢いに乗って本選でも優勝していただきたいものです。おめでとうの声を集めようかと思ったのですが多すぎるのでやめましたw 予選中ずっと1位をキープしてたんですね。それもすごい。
gleentea: sutegoma2大健闘!3609で1位キープ中

tessy_jp: よし! 1位になって少しリード。 http://yfrog.com/gz5t9yp

tessy_jp: 日本チームsutegoma2 予選1位で通過! のハズw http://yut.codegate.org/

tessy_jp: 公式サイトが閉じられたので最後の画像添付しておきます。 http://yfrog.com/h0dfzmp

togakushi: 公式サイトがランキングに変わった。1位通過してる! http://bit.ly/gfduui

a4lg: というわけで本戦頑張ってきてくださいw


そしてキャラバン。楽しそうですが、結局仕事中でustも見れず。
port139: キャラバン終了、お疲れ様でした。一路東京へ向かって移動を開始。駅まで歩いている最中、ハニーポットネタのくわしい話しを聞けて面白かったが、すでに5年とか経過している事に驚いた。


蕎麦は相変わらず非公開ですが、楽しそうでした。一度は行きたいと思いながら日程と胃腸の壁が高くなかなか参加できません。
ikepyon: @kuroneko_stacy 幹事お疲れ様。今回も楽しいセキュそばをありがとう


Unicodeの入力について。個人的にはIMEパッドで逐一探すのですがこれでは効率が悪くてしょうがないですね。
s_hskz: じゃさ、U+2028 ってどううつのさ


あと気になったのはこのあたり。
ymzkei5: ■韓国アイドルグループの日本語公式サイトがウイルス散布中 : 無題なブログ http://blogs.yahoo.co.jp/noooo_spam/archive/2011/03/06


haruyama: 一部の言語構造と関数で引数の値に NULL バイトが含まれていた場合の挙動修正 - t_komuraの日記 - http://icio.us/ojGUYL 『この修正により、少しだけ NULL バイトを使用した攻撃が成功しにくくなりました。


k_morihisa: マルウェアが混入していることが確認されたアンドロイドアプリ一覧.結構多い http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/


kaito834: DroidDream に対する Google の対応。Android Market からの該当アプリ削除/Android端末から該当アプリ削除/Exploit 成功前にUndo。3つ目の対応が気になる。http://is.gd/LVTA1A


TechCrunchJAPAN: [New]: Twitterウィルス‘Tweet Viewer’が拡散中--ご用心を http://bit.ly/hcihkT


gachon_0709: ペネトレーションテスターの募集って初めて見た。http://consultant.en-japan.com/job_search/desc.cfm?_PS_=rt%3D21&KID=7&WID=3842642 どこかわからんけど


kenji_s: IE6ユーザにアップグレードを促すためバナーを表示しようというMicrosoftの運動 http://bit.ly/hlCffQ


kaito834: Windows 7 における UAC 環境下での PsExec 実行に関する情報。http://riosec.com/Windows-UAC-PsExec

kaito834: Windows 7 にリモートから PsExec を実行するためには、Administrator でログインする必要があった。http://d.hatena.ne.jp/EijiYoshida/20110301/1298996603 が参考になりました。

テーマ : セキュリティ
ジャンル : コンピュータ

3月4日のtwitterセキュリティクラスタ

昨日は体系的に学ぶ 安全なWebアプリケーションの作り方のレビュアー飲み会でごちそうになってきました。ごちそうさまでした。本の売り上げも絶好調みたいで素敵ですね。

画像を使ったあんまり使えないけどかなり安全なWebサイトについて。ある意味発想の転換ですね。
ntsuji: @ymzkei5 http://bit.ly/hq8Ij6 ひどいひどいw

ymzkei5: @ntsuji 吹いたw

ymzkei5: @ntsuji セキュア!ですね。(笑

ntsuji: @ymzkei5 何もinjectできません!でも利便性もありません!w

ntsuji: @ymzkei5 画像大好きなんですね。 http://bit.ly/f0uywF

ymzkei5: @ntsuji きっと、「こういうサイトを作ってください」という要求仕様を、(いいように解釈して)「作りました!」と言ったのでしょうかね。(笑  「検索が動くこと」「タブがクリックして切り替わること」とは仕様に書いてないじゃん!とゴネるw

ymzkei5: @ntsuji 確かにー。(^ー^)

ntsuji: @ymzkei5 保護するではなく、利便性ごと脆弱性を排除ですねw ただ、このサイトはともかくとしてサイトの仕様として本当に必要なのか?ということを考えるのも大切ですね。使われない、押し付けの利便性のためにサイトの安全性を下げることは本末転倒ですからね。



お隣の国では大規模DDoSだそうで、何か不満でも溜まっているのでしょうか。
jpcert: 韓国の政府サイトなどへのDDoS攻撃が発生中。2009年の夏の事例と似通っています。韓国の関係機関と連携して情報収集を行っていますが、現在のところ日本のネットワークへの影響は無さそうです。^KK

internet_watch: 韓国で政府系サイトなどにDDoS攻撃、ボットPCから一斉攻撃、6779台確認 http://bit.ly/fIW9M5



ntsuji: 第二回があるのだろうか?と思っていた「@ITセキュリティナイト」が追加されています。前回はお昼でしたが、今回は夕方に収録しましたw @IT セキュリティソリューション バーチャル - http://bit.ly/gat2T7


kitagawa_takuji: Penetration Testing Execution Standard http://www.pentest-standard.org/


tdaitoku: セキュリティソフトのファイルを組み合わせて開発されたウィルス登場 #mycomj http://bit.ly/dW4VAK

テーマ : セキュリティ
ジャンル : コンピュータ

3月3日のtwitterセキュリティクラスタ

ひな祭りでしたが、男一人では何もすることがなくたんたんと過ぎていきました。

先月末に出題された@masa141421356氏出題のXSS例題に世界の精鋭が取り組みだしたようです。ツイート見るだけでやる気が失せますね。
s_hskz: XSS例題( http://ux.nu/SA3AKf )をあらためてじっくりみた。大変そうだ。 Google Chrome を使うとよいのかな?

s_hskz: Chrome treats prefix "/\" of URL the same way as "//". なので、外部ドメインにアクセスできそうだけど、それでJavaScript実行できるん?(妄想

masa141421356: @s_hskz 自分はIE8 とFirefox3.6で動作確認しました。

s_hskz: encodeURIComponentを使うべき場所でencodeURIを誤って使ってて URLパラメータのインジェクションが出来そうな(via @masa141421356)

s_hskz: # $ ' * , - . / これだけか?

s_hskz: gif.gif#$*- ううむ・

hasegawayosuke: Dear XSSers. new #XSS challenge by @masa141421356. It's too difficult to break. at least I haven't broken yet. http://bit.ly/dMYhcB

hasegawayosuke: ぱっと見た感じじゃ全然わかんないな、これ。

hasegawayosuke: 解けなくて超くやしいけど寝よう…。

WisecWisec: @garethheyes @hasegawayosuke @0x6D6172696F *me did it too but under linux doesn't work (copy paste issues) I had to switch under windows


サイバーセキュリティと経済研究会という研究会が開催されたようです。確かに日本ではセキュリティ教育や人材育成に関する興味がある人は少数精鋭な気がしますね。他国は知りませんが。

gohsuket: なんか今更ながら「hacker」と「cracker」の言葉の定義が行われたw 政府会議で日本発? : サイバーセキュリティと経済 研究会 第3回: I'm at 経済産業省 本館 (霞が関1-3-1, 千代田区) http://4sq.com/esC9ZB

tessy_jp: お、コレか 議題:1.情報セキュリティ人材の育成について :第3回サイバーセキュリティと経済 研究会-開催通知(METI/経済産業省) http://bit.ly/iesawI

ntsuji: 攻撃する側は、穴を1つ見つければいい。でも守る側はすべて塞がないといけない。はなっから不利。

ntsuji: 情報セキュリティ人材の育成というものを考えるときは、今後を担う世代だけではなく、現役の世代が受け入れるための教育が必要だと思います。現役の世代は、今考えられているような教育を受けていませんからね。

gohsuket: 技術だけで海外から人を採用すると問題が起きるとか、白が黒になるかもしれんから監視がいるだとか、何このRacist議論? : サイバーセキュリティと経済 研究会 第3回: I'm at 経済産業省 本館 (霞が関1-3-1, 千代田区) http://4sq.com/esC9ZB

gohsuket: 日本はセキュリティで完全に後進国になりかかってるって危機感まるで議論せずじゃん。日本オワタ。 : サイバーセキュリティと経済 研究会 第3回: I'm at 経済産業省 本館 (霞が関1-3-1, 千代田区) http://4sq.com/esC9ZB

gohsuket: 短くは、セキュの市場と知識経済とレピュテーション経済がリンクしたエコシステムがない事。そのため08年経済危機の煽りで市場が冷えてる間に他国が進んだ事で相対的に後進に RT @keijitakeda: どのあたりで後進国となりかかってるとお感じかぜひ! RT日本はセキュリティで…

keijitakeda: ありがとうございます。私の勝手な印象では匿名掲示板やファイル共有ソフトのおかげでこのあたりは日本がガラパゴス的に進んでいるかの印象もありました。他国はこのあたりうまくいってるんでしょうか。 RT @gohsuket 短くは、セキュの市場と知識経済とレピュテーション経済がリンクした

gohsuket: エコシステムと言ったのは、例えばDefconのCTF本戦に韓国はここ毎年2~3チーム行ってます。それを生み出す下地は何かと。韓国行って見てはいかがですか。> @keijitakeda: 韓国の知識情報セキュリティ事情及び最近のイシュー, http://bit.ly/g81rXn

keijitakeda: あ、いえ私はセキュリティ先進国とは何かということを知りたかったので。CTFに多くのチームが出場する国ということですね。理解しました。 @gohsuket エコシステムと言ったのは、例えばDefconのCTF本戦に韓国はここ毎年2~3チーム行ってます。それを生み出す下地は何かと。


講演料や原稿料について。原稿料は最近事前に提示のあるところが増えてきました。そしてお金もらえるような講演はやったことないのでなんとも。
eagle0wl: 「原稿の依頼→原稿の納品→掲載→原稿料支払い」と考えると普通のビジネスだけど、そのための契約書って見たことがないよね。慣習らしいけど…。 Togetter - 「業界の講演料や原稿料についてのリアルな話。」 http://togetter.com/li/105716

ockeghem: 某会経由の講演などは事前に謝金の提示がなく、よくて「お車代」なので、ボランティアと思って受けていますが、そういうのはもっと体力のある大企業や団体に依頼していただきたいですね

ockeghem: 勉強会はもちろん別よ。好きでやっていますから

hasegawayosuke: 講演とか、自分が学ばせてもらったことの還元だと思って報酬金額は気にせずにほとんど断ることなく引き受けてますけど、会社には申し訳ないというかありがたいなと思ってます。

ockeghem: 自分のしゃべりたいテーマだと無料でもどこへでも行きますけどね。専門でもないテーマを指定された場合の話ね


Web編、実行ファイル編、ネットワーク編と夢が広がりますね。
ikepyon: 「週刊「脆弱性」全巻あわせると脆弱なアプリが出来ます」と言う企画面白いかも。ちょっと検討してみるか?w


その他気になったことはこのあたり。
tdaitoku: Google Chrome安定版のアップデートが公開、深刻な脆弱性に対処 http://www.itmedia.co.jp/enterprise/articles/1103/02/news028.html


hasegawayosuke: 弊社社員がカンニングするの図。慣れてますね。 http://yfrog.com/h3w7iukj


connect24h: ハイパーバイザー と 脆弱性 の関係を NIST が指摘 ≪ Agile Cat ? in the cloud with openness http://ow.ly/46ONi


miryu: Togetter - 「情報処理学会第73回全国大会イベント企画 「RSA-1024はもう危険なのか?暗号2010年問題を正しく理解する」」 http://htn.to/Fwxyu7


JVN: Wireshark にサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/JVNVU215900/


ymzkei5: アンチアンチウイルスってウイルスのこと?w >「他のアンチアンチウイルスソフトのアンインストール」 @panda_Japan →■Kawaii Security 読者プレゼント Panda Internet Security 2011 http://bit.ly/gMHMUe


kenji_s: 『体系的に学ぶ 安全なWebアプリケーションの作り方』の仮想マシンを VirtualBox で使う - A Day in Serenity @ Kenji http://ow.ly/4728T #wasbook


lac_security: (^ま) スマートフォン、タブレット端末のセキュアな企業導入と対策 新井 @ yarai1978 がはなします。http://www.lac.co.jp/event/20110311.html


ScanNetSecurity: Android用悪性コードを多数発見、通話録音やSMS送信などの機能(アンラボ) http://scan.netsecurity.ne.jp/archives/51950977.html


hasegawayosuke: Gmail XSS http://www.wooyun.org/bugs/wooyun-2010-01474

テーマ : セキュリティ
ジャンル : コンピュータ

3月2日のtwitterセキュリティクラスタ

iPad2が発表されました。風呂の蓋風呂の蓋とTLが騒がしいので、そんなわけないだろうとAppleのサイトを覗いてみると、どう見ても風呂の蓋です。本当にありがとうございました。

WireSharkとNessusの新バージョンだそうですよ。
moton: WireShark 1.4.4 is Released

connect24h: Nessus 4.4.1でてる。http://ow.ly/46nut


そして続々出てくる怪しい攻撃。
cnet_japan: Facebookで“ストーカー追跡ツール”装う攻撃を確認--アカウントを乗っ取る http://bit.ly/eTRzDv

ntsuji: ニュージーランド大地震の支援を騙る寄付金詐欺 | Symantec Connect - http://www.symantec.com/connect/ja/blogs-159 やはり、出てきました。

spread_jp: 「ショートURL」に注意! gred セキュリティレポートVol.19【2011年1月分統計】- セキュアブレイン http://www.securebrain.co.jp/about/news/2011/02/gred-report19.html



パケットを見る会みたいなのはあった気がするので、もうちょっとネットワーク寄りなんでしょうか。ルータ持ち寄ったりスイッチ持ち寄ったりするのでしょうか。
nwstudy: ネットワークの勉強会「きっかけはネットワーク #nwstudy」を立ち上げます。ただいまメンバー募集中! Google Groupsから登録してください! http://bit.ly/hcpEHs #qpstudy


引き続き徳丸本について。週刊「脆弱なECアプリの作り方&攻撃方法」についても期待しております。
s_hskz: #wasbook 徳丸本ナナメ読み中。 第一感「実に白い本!」。 粗大ごみセンターの例題は過去に実在した銀行のXSS(office氏公知)の事例と同内容。この他、各例題が優れていて参考になるので各公立図書館にあっていい書籍と思う。発想が黒い本も手元に欲しいのは内緒。

hamasaku: @ockeghem 遅くなりましたが、ご出版おめでとうございます。次はDeAGOSTINIから「週刊 脆弱性をなくそう」シリーズでの出版を期待しています。

ikepyon: 週刊「脆弱性」全刊集めると脆弱性てんこ盛りのECアプリが出来上がると言うのを妄想したorz


その他気になったことはこのあたり。
tdaitoku: Google Chrome安定版のアップデートが公開、深刻な脆弱性に対処 http://www.itmedia.co.jp/enterprise/articles/1103/02/news028.html


tomoki0sanaki: 先週の「追跡AtoZ」。メガリークス。理由の一つは金。重要な仕事をする社員にはそれ相応の給与を与えていない事が問題の遠因のような気がする。派遣社員に機密情報へのアクセス権など・・・正社員にして、適正な給与を与えていれば、防げたかも知れないのでは、と思った。


hasegawayosuke: Microsoftによる jjencode 解析 http://goo.gl/UQ59m で、すでにjjencodeがマルウェアに利用されていると書かれていたので気になって聞いてみたけど、以前のイタリアでのJoomlaの件以外には知らないとのこと。広まってるわけではなくほっとした


spread_jp: 一般の方でもOKです。ステップアップに最適で中身の濃いものです。2010年度IPA中小企業情報セキュリティセミナー開催のご案内 - IPA http://www.ipa.go.jp/security/event/2010/isec-semi/kaisai.html


ucq: SHA1 padding attack http://bit.ly/hfbqxn


hasegawayosuke: 第1回 So-Kai Hacks! (爽快セキュリティ技術系勉強会) http://bit.ly/fCvaLa テーマ「顔文字JavaScript」って、セキュリティの勉強会としては斬新だw


ucq: [UVN11-001] 京大の入試における試験中にリモートと通信が可能である脆弱性

テーマ : セキュリティ
ジャンル : コンピュータ

3月1日のtwitterセキュリティクラスタ

書籍の評判も初動もよさげなockeghemさんですが、密かに@ITの方の原稿も書かれていたようです。原稿に講演と大忙しですね。
mtakahas: 昨日公開しました。@ockeghemさん執筆の記事です! 間違いだらけの「かんたんログイン」実装法(1/3) - @IT http://t.co/usfj3c8

mtakahas: 実はockeghemさんには、「文字コードの脆弱性」をテーマにこちらでもご講演いただきます! 収録聞いてても勉強になりました。 http://www.itmedia.co.jp/enterprise/info/security_solution2011/index.html


認証回避するのもパスワードいただくのも基本はソーシャル、っていうことですか。
itsec_jp: [Bot] #ITSec_JP ハッカーが最も注目しているのはソーシャル(ロシア発、セキュリティ最新事情レポート) http://goo.gl/fb/n6dC2


パスワード覚えてなければソーシャルされることもないですし。
haruyama: Webサイトのパスワード管理はパスワード管理ソフトにやらせて人間が覚えないのがいいと思う. http://itpro.nikkeibp.co.jp/article/Watcher/20110226/357716/ パスワードをいくつ使っていますか? - 記者の眼:ITpro


セキュリティも萌え本なのですか…
aoi_nishimata: コンピュータウイルスを萌え擬人化した「カワイイ セキュリティ」 http://www.ota-suke.jp/news/47223 #otasuke こちらもニュースに載せていただいていました(●´ー`●)有難うございます~?


twitter関連のサービスには本当にXSSが多く存在していると思います。特段悪いことにはつながらないとは思いますが…
piyokango: Twitter関連のサービスでXSS発見。単に文字列処理ができていないだけなので至極単純なものなのですが、本当に多いですね。



その他気になったことはこのあたり。
port139: これは興味深いですね SSD でアンチフォレンジック RT @sansforensics SSD firmware destroys digital evidence http://is.gd/EyKmmc


laccotv: 川口洋のつぶやき 第57回 ? 「Exim(25/tcp)にご注意」を公開しました。 http://www.youtube.com/watch?v=JEwMD3wHKkA


ntsuji: The Sleuth Kit 3.2.1がリリースされていますよ。 http://bit.ly/9vj8IW


itsec_jp: [Bot] #ITSec_JP SSLを使ったフィッシング詐欺が出現、証明書を偽造(ニュース) http://goo.gl/fb/HepSi


tamiyata: Intel、McAfeeの買収を完了 - ITmedia エンタープライズ - http://bit.ly/hAbzqQ


mayahu32: ドライバを使わないrootkitがマイブーム。 http://bit.ly/hCVveT

テーマ : セキュリティ
ジャンル : コンピュータ

2月28日のtwitterセキュリティクラスタ

3月になりました。そろそそ1周年を迎えます。それとは関係なくまとめのまとめの原稿を書いてたりしました。詳細は今週中には。

週末は3DSにポートスキャンをかけるのが流行ってたようですが、REGZAにかけた方も。
ikepyon: そういえば昨日REGZAが来たのだが、ポートスキャンかけるの忘れてたw

ikepyon: REGZAって20000番ポートがあいてるみたい

ikepyon: しかもHTTP

ikepyon: サーバーヘッダーはこんな感じ。Linux/2.6.20.19-ce3tsb-20101105 UPnP/1.0 DLNADOC/1.50 Intel_SDK_for_UPnP_devices/1.2


これからはAndroidの時代なのかもしれませんが、ウイルスは勘弁していただきたいものです。
trendmicro_jp: [新種ウイルス情報]携帯機器用のSymbian OSを狙った「SYMBOS_ZBOT.B」を確認 http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=SYMBOS_ZBOT.B

trendmicro_jp: [解析者のつぶやき] SYMBOS_ZBOT.Bは、SMSを利用しオンラインバンキングのログインに必要なユーザの認証情報を収集し外部に送信します。Android向けにも同種の攻撃が発生するのは時間の問題と言えるでしょう


そしてセミナーには興味津々ですがお値段が。
lac_security: (^む) Androidセキュリティ徹底解剖 ~最新の攻撃手口から防御の実装方法までを解説~」  http://www.lac.co.jp/event/20110307.html


他に気になったことはこのあたり。
ScanNetSecurity: 海外における個人情報流出事件とその対応「ハクティビスト活躍で始まった2011年」(1)チュニジア政変で重要な役割 http://scan.netsecurity.ne.jp/archives/51950017.html


lac_security: IPAさんから「Web Application Firewall(WAF)読本」の改訂第2版がでていますね。(^わ) http://www.ipa.go.jp/about/press/20110228.html

vulcain: 頁数倍増、読気減退。 QT @lac_security IPAさんから「Web Application Firewall(WAF)読本」の改訂第2版がでていますね。(^わ) http://www.ipa.go.jp/about/press/20110228.html


jpcert: こんにちは。制御システム向けの簡便なセキュリティ自己評価ツール「日本版SSAT(SCADA Self Assessment Tool)」の提供を開始しました。^YK https://www.jpcert.or.jp/ics/ssat.html


masa141421356: XSS例題書いてみた。http://d.hatena.ne.jp/masa141421356/20110228/1298904732 意図どおりのパターンだけ通るようになっているか自信は無いけど


piyokango: そういえば某社ではUSBメモリが使用禁止になったために、PCそのものをUSBメモリ代わりにしてクロスケーブルでつないでやっているということを聞いたことがあるとかないとか、、、。

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
03-2011
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

02   04

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。