スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月27日のtwitterセキュリティクラスタ

今日からゴールデンウィークだそうですよ。

プレステネットの侵入に関する続報がいろいろと。
yarai1978: PSNへの侵入について発覚から現在までの進行状況。 http://tinyurl.com/64jsrz4

gohsuket: PS3ジェイルブレークでソニーから訴訟されたジョージ・ホッツがPSNセキュリティ対応を批判、自身のPSN侵入関与否定 RT @martyn_williams http://bit.ly/j65QIl PlayStatio… (cont) http://deck.ly/~Pxn8k

kitagawa_takuji: ソニーPSN個人情報流出事件、被害総額は約2兆円の可能性も。すでにアメリカでは提訴も | デジタルマガジン http://t.co/4gTZM6P via @digimaga

kitagawa_takuji: PSNユーザーのクレジットカード不正利用されたの声が続々と届く。取引履歴に注意を | デジタルマガジン http://t.co/WT7zpan via @digimaga

expl01t: パスワード使い回しの注意喚起はなるほどぉと思った.メアド(さらにクレカ番号も?)が流出したことで,それに対する影響だけを考えがちだけど,今回はパスワードも同時に流出してるからね. https://www.jpcert.or.jp/at/2011/at110011.txt

expl01t: PSNのログインIDはメアドと一緒(楽天方式)ですね. http://www.jp.playstation.com/psn/korehajipsn/jyunbi_account/name/index.html RT: @expl01t パスワード使い回しの注意喚起.

infosecmedia: PlayStation Network credit cards protected by encryption - http://infosecmedia.org/Oj

MasafumiNegishi: カード情報は暗号化されていたけど、他の個人情報は平文で保存してましたと。だからといって、カード情報が安全ってことにはならないよなぁ。

labunix: ソニー情報流出 侵入手口2つの可能性  :日本経済新聞 http://s.nikkei.com/kfsmuE

ockeghem: エフセキュアブログ : Sony PSNハックに関する質疑応答 http://htn.to/62EFqL

yasulib: 「IPS、WAF、アンチウイルスなどの予防策だけがセキュリティ対策では無いのです。」 ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性 http://blog.f-secure.jp/archives/50594422.html

eagle0wl: PSNのアカウントを作成する際は住所入力が必須なのだが、本当に住所なんぞ必要なのだろうか。iTunes Storeアカウントに登録されてる住所の大半が、Apple本社/日本法人(クパチーノ/新宿区)のそれであるように、PSNもSONY本社(港区)の住所で登録したのは正解だったか。

lumin: PSNのパスワードは他では一切使いまわしていないものを使っているので安心。


それとは全く関係ないSONYのXSSが報告されてますね。
AndMyXSS: www.sonyproductinformatie.nl - #XSS vulnerability http://j.mp/kNEw7B


Evernote、Dropbox、Boxcarと最近流行のどこでも自分のメモにアクセス系のアプリは基本的に脆弱なようなので使わない方がいいかもしれませんね。
kinugawamasato: evernote、対応が完了いたしましたとか言ってどこが完了してるねん chrome IE opera http://www.evernote.com/about/video/#"><script>alert(1)</script>

Hagexx: セキュリティポリシー改訂で露見したDropboxのウソ - YAMDAS現更新履歴 - http://goo.gl/k6iiR

bulkneets: Boxcar怖い、使わないでおこうとかじゃなくて、これRTしたらいいんじゃないでしょうか… http://bit.ly/maM1cg


Osfooraの検証結果です。
bulkneets: Osfooraのディレクトリ以下にどんなファイルがあるのか誰も検証してくれない、file://で開いてるというのは分かりました。もし奇跡的にoauth tokenとかまでkeychainに保存してるなら大した影響がないでしょう。

bulkneets: Osfoora Documents/osfoora13.sqlにtwitterのパスワード入ってるけど外部のリソース読み取れなくてscript src無理、読めても外部に送る手段がない、というのが今の見解。

bulkneets: iPhone物理的に奪われなければ大丈夫です


bulkneets: iPhone app上でfile://を開いてるがhttpのリソースは読み込めなくてscriptタグ除いて123文字混入することが出来る状態で、一番悪いことは何が出来るのか

hasegawayosuke: @bulkneets 今の日本だと while(1); で電池の消耗じゃね?


bulkneets: XSSでパスワード盗めるかどうかについてざっくり書いた http://bit.ly/mAqmLw


あと、修正されたようですが、bit.lyにも脆弱性があったようです。
AndMyXSS: bit.ly - #XSS vulnerability http://saf.li/682j3


あと気になったことはこのあたり。
netagent_jp: blog 更新です、最近 CTF 参戦記ばかり書いている気がする愛甲による 「PCTF2011 参戦記」です http://www.netagent-blog.jp/archives/51779232.html


kitagawa_takuji: John the RipperがSandy Bridgeの拡張命令「AVX」に対応 http://www.openwall.com/lists/john-users/2011/04/28/1


ntsuji: Ncrack0.4PLPHAがリリースされていますよ。大きな追加・変更はVNCモジュールが追加されたくらいでしょうか。 http://nmap.org/ncrack/
スポンサーサイト

4月27日のtwitterセキュリティクラスタ

行く会社がないと仕事と休みの境界線が非常にあいまいで、すっかり忘れていたのですが明日から世間はゴールデンウィークだそうです。ということでニュースソースの活動が緩慢になりそうなので明日からしばらく不定期更新になります。

プレイステーションネットワークですが、7700万人とか、カード番号とパスワードが抜かれたとかAnonymousがやったとかいろんな情報と噂が飛び交っていますが、真相はどうなんでしょうね。
kitagawa_takuji: Anonymousの活動はIRCや掲示板などですべて誰でも見ることが出来る。今回 Anonymousは関与を否定するコメントを出している。仮にAnonymousの活動に加わったことのあるメンバーが個人的に犯行を行ったとしてもそれはAnonymousの犯行と言えるのか?


そして、なぜ、ウィキリークス?
kitagawa_takuji: 禿同、なぜウィキリークス?RT @gohsuket: 日本のセキュ屋は技術ばかり追いかけて国際情勢に疎い。そこに国際情勢に疎いメディアが取材して更に歪む。 RT @nofrills "「S&Jコンサルティング」社長は、ハッカー集団は内部告発サイト「ウィキリークス」と関連があると


カード番号も抜かれたんですよね…
ockeghem: 『クレジットカードの引き落とし履歴等を定期的に確認されることを推奨いたします』<カード番号を定期的に変更するように言い出す人が出ないか心配です / PlayStationRNetwork/Qriocity?をご利用の皆様へのお詫びとお願… http://htn.to/mFMhtU


PS3とPPで1億台超だから7700万人登録されててもおかしくないわけですね。こわいなあ。
kitagawa_takuji: PS3の世界累積販売台数が5000万台程度らしいが、7700万人の情報漏洩というのはPS3持っていない人でもオンライン登録できるということだろうか?PS3持っているけどオンライン登録していない人もいるのでは?ゲーム事情はさっぱりわからん

kitagawa_takuji: PS3の世界累積販売台数が4980万台、PSPが6780万台か?http://www.vgchartz.com/ 1台で複数人(家族)がオンライン登録するということもあるのかな?


そして秘密の質問ダダ漏れした模様ですが、そもそも秘密の質問っているの?という意見。
piyokango: 秘密の質問の答えはパスワード以上に同じものを使いまわしているもの(というか質問が大体同じなので実質使いまわさざるを得ないのですが)なので、これが分かってしまうと非常に危険ですね。

piyokango: 秘密の質問ってそもそも必要なんですかね。辞書攻撃にも弱そうですし。

piyokango: ちなみに徳丸本にはP353-354に秘密の質問について記述があります。どこもこのような実装がされていればよいのですが。。

ockeghem: 最近、「秘密の質問」ってあまり実装しないような気がしますね。とくに海外のサイトは。 RT @piyokango: 秘密の質問ってそもそも必要なんですかね。辞書攻撃にも弱そうですし。

ockeghem: 秘密の質問「初恋の人の名前」に対する答えは「キャサリン」とセキュリティの教科書に書いてあります(違 #wasbook



書かれているのは半年ほど前のことなのですが、Osfooraというtwitterクライアントがタグをそのまま解釈するというお話。もちろんJavaScriptの実行も可能でアラートがポップアップしました(たまたま手元にあったので確認しました)。
hasegawayosuke: XSSで「端末(iPhone)に不具合をもたらす」「ユーザの情報を不正に入手する」ってできるの? えー! なにそれ!?  知りたい知りたーい♪ http://control-ak.org/2010/11/xss-vulnerability-in-osfoora/ ><

a4lg: script の src 属性が指定できるなら…。 RT @expl01t: これ初歩的すぎてXSS脆弱性とか言えるのかな? http://control-ak.org/2010/11/xss-vulnerability-in-osfoora/ 140文字で何ができるのかわからん

a4lg: script の src 属性が指定できるなら…。 RT @expl01t: これ初歩的すぎてXSS脆弱性とか言えるのかな? http://control-ak.org/2010/11/xss-vulnerability-in-osfoora/ 140文字で何ができるのかわからん

yoggy: そろそろ「僕のTLにJavaScript書かないでください」と言い出す人が出現してもいい頃

bulkneets: ファイルはsandboxで読めない、同じ画面に重要な情報無い、カスタムURLスキームで叩ける機能に何か特別取り返しの付かないのがあれば危険、ぐらいだろうな

bulkneets: ファイル構成調べてjsから読めるかどうかとか調べてみたいけど買わないと無理だなー。

bulkneets: Twitterの公式iPhone appにも過去に同じ問題があって修正されたけど http://bit.ly/fWemY1 それは確かabout:なんちゃらで動いてたと思う。

bulkneets: iPhoneアプリ開発詳しい人、UIWebViewで file:///var/mobile/Applications/***/***.app/ を開いてる時にJSから ../Documents/ とか ../Library/ とかの中身読めますか?


そして、Osfooraは有料アプリなので、iPhoneアプリのJavaScriptから何ができるかを同じような脆弱性のあるらしいBoxcarで調査されています。
bulkneets: Boxcar.appで試すかなあ。。

bulkneets: ローカルのHTMLファイルからどこまで読み取れるか選手権 on iPhone app

bulkneets: 読めましたね…

bulkneets: 他のアプリのとか読めるのかとか一応試した方がいいのかな、これ。

bulkneets: まとめるとiPhone appでfile:// 開いてて、そこに任意のscript混入できると、そのアプリの設定(plistとか)とかキャッシュとか読み取り可能、危険度は何保存してるアプリかによる

bulkneets: アプリの入ってるディレクトリのUUIDみたいなのってアプリ固有?ユーザー固有?

bulkneets: 上位階層たどれないのか、インストールディレクトリのパスが分からないということに依存したsandboxなのか知りたいということです

bulkneets: 別アプリの設定ファイルを読もうとしたらXHRがエラー出した

bulkneets: Boxcar.appの提供でお送りしました

bulkneets: JavaScriptでシンボリックリンク張るのは無理だと思うのでまあいいです

bulkneets: 僕はOsfoora購入してないので、そのアプリの設定とか読めて何ができるかについては知らない、plistどこにおいてあるかはiPhone Explorerというソフトで調べました

bulkneets: Boxcar結局WebアプリもMacアプリもiPhoneアプリもダメでしたね

bulkneets: Boxcar 凄いと思う。作ってるプロダクト全部に脆弱性がある。


そして、突然画像XSSについて、ブラウザーがわかんないMIMEタイプを無理にhtmlに判定して、画像なのにhtmlってやつでしたっけ。
ockeghem: 久しぶりに「Webアプリケーションテスト手法」と言う本を引っ張り出して見てみたけど、この本のセキュリティの説明は、かなりマニアックですな。画像XSSとか載っているし http://amzn.to/gNukJJ

hasegawayosuke: 「画像XSS」という言い方はあんまり好きでなくて、確かにPNGのように標準的なフォーマットがHTMLに昇格するのは大問題なんだけど、それが改善された今でもIEにとって未知のMIMEタイプはHTMLに昇格し得るので本質的には終了していない問題。

hasegawayosuke: もっとも、当時のPNGやBMP(は今でもかな)については、IEにとっては未知のMIMEタイプではないにも関わらずsniffの結果、HTMLに昇格していたので、現存する「未知のMIMEタイプがHTMLと判定される」という問題とは別といえば別だけど。

hasegawayosuke: で、IE9もリリースされた今の世の中では、画像としてBMPファイルを吐き出す場合のベストプラクティスとしては、X-Content-Type-Option: nosniff をつけろ、ということだと思う。ただそれだとIE7以下が救済されないので、しかたなくPNGに変換しろ、という。



その他気になったことはこのあたり。
jpcert: こんにちは。WeeklyReport 2011-04-27 を公開しました。次週は休刊予定です。 ^KS https://www.jpcert.or.jp/wr/2011/wr111601.html


s_hskz: 昔よく、こんなのつっこんでいた。 "><plaintext onmouseover=alert(1)>


s_hskz: 詰めXSS風味のパズルを作った。 http://jsbin.com/ajido6/ 楽しんでちょ。


cchanabo: はなけんブログ更新しました。『IPAからIT人材系の報告書が公表されていました&セキュ女子もついでに。』|http://hanaken.seesaa.net/article/198100502.html


22century: サービスオープン化すると言った矢先に、アメーバなうのAPIの仕様をXMLの中にCDATAでHTML突っ込むとか意味不明なものにして、自分たちはTwitterクライアント作ってるとかサイバーエージェントまじ鬼畜ですね… http://bit.ly/fCfdG0

テーマ : セキュリティ
ジャンル : コンピュータ

4月26日のtwitterセキュリティクラスタ

数日前から話題だったソニー「PlayStation Network」への攻撃とサーバー停止ですが、どうやら本当に侵入され、最悪なことにカード情報なんかを取られてしまっていたわけですね。とりあえずいろんなニュースソースを。
ntsuji: ソニー、プレイステーション・ネットワークへの外部侵入を認める―クレジットカード情報を含む個人データ漏洩のおそれ ≪ TechCrunch Japan http://bit.ly/gDtmOF

connect24h: ソニー、個人情報7500万人超流出の恐れ ハッカー攻撃か   : 日本経済新聞 http://s.nikkei.com/fOKr4D

MasafumiNegishi: ソニー「PlayStation Network」、個人情報が漏えい--システムに不法な侵入 - CNET Japan http://bit.ly/gobOvU

harunya1101: RT だめだ、完全に終わった。さすがのオレも擁護できない最悪の展開:ソニー、個人情報最大7500万件流出。『PSN』に不正侵入 http://jin115.com/archives/51771488.html

TETSUnoTAMACY: くはーっ、これは厳しい!→ ソニーPSに不正アクセス、米社から7700万人の個人情報流出 | Reuters http://t.co/FfPd7jo



malaさんのWebサービスに対する総括と言った感じですが、確かにそうかもと思っていたら…
bulkneets: Evernoteに関していうと「直ちに危険ではないけど好ましくない仕様」を複数把握していて、そのうちいくつかは俺がtwitterに書いているのだから今の段階で「大丈夫です、安全です」って判断して勝手広報するやつは全員アホ

bulkneets: テッククランチとかの紹介してるサービスたいてい深刻な脆弱性があるしライフハックの人たち色んなサービスに登録しまくりでひどい目にあうどころかひどい目にあっても気づかないとかありそう


今日はBelugaというサービスでいろいろXSSを見つけられたようです。
hasegawayosuke: エゴサーチしててBelugaというサービスを知る今日この頃。ぜんぜん時代に追いつけてないな…。 http://twitter.com/y_benjo/statuses/62828776253431808

hasegawayosuke: 普通に Beluga だめだった。

bulkneets: ほんとだ http://bit.ly/fwjhEc

bulkneets: 知り合いに</script><xmp>氏が居るとバグる http://bit.ly/i9HPeH

bulkneets: みなさん平気でファボっておられますけど巻き添えで多数のサイトがおかしくなる可能性があるな

bulkneets: ログイン画面のXSSは「自動入力されるような実装になってる」パスワードマネージャにパスワード保存していた場合に容易にパスワードを抜ける。

bulkneets: Beluga パスワード保存してるFirefoxやChromeだとログアウトしてるほうがパスワード盗めて危険、ChromeだとXSSフィルタ動くな、回避できるんだっけこれ


もうあきらめたのか、ちょっと壊れかけてますw 「若いうちはXSSがあるくらい元気がないとな!ガハハハハ!」とかオヤジっぽいですが、もうそろそろXSSのあるWebサービスがなくなってきて「若者のXSS離れ」が心配されそうな予感がします。
bulkneets: XSSがあるぐらいの方がわんぱくで良い

hasegawayosuke: XSSがあるぐらいの方がマッシュアップしやすくて良い

bulkneets: scriptつかえるチャットは電脳戦みたいになって普通に面白いですよ


徳丸本にも書いてた気がしますが、自作セッション管理は破られやすいみたいなのでやんないほうが賢明だと思います。
ockeghem: 自作セッション管理機構は脆弱性の巣窟なので、よい子の皆さんは絶対に真似しないように/注意を追記いただきました。ありがとうございます / 大規模 Web サービスでログインを長期間保持するには SESSION は使わず Cookie とデ… http://htn.to/2rn1CB


その他に気になったことはこのあたり。
JSECTEAM: ブログをポストしました。「Internet Explorer 9日本語版公開。歴代 IE のセキュリティ機能の進化を振り返る」 http://bit.ly/gvEGEe


piyokango: IEのセキュリティ設定(ローカルイントラネット)で、IE8では保護モードが既定で有効になっていますが、IE9では無効になっていますね。

piyokango: 私が前変更したかもしれないですが。


vulcain: 「IE6対応?高くつくけどやる?」キャンペーンでもいい気がするw QT @youichirou: すばらしい。これこそあるべき姿だと思う。 / 「IE6対応? それ、別料金でできるよ。」キャンペーン http://htn.to/Th78qe


cubedl: とりあえず「UACを切る」とか言ってドヤ顔してる馬鹿に耳をかさないこと / Windows7を買ったら最初にやるべき事ってなんだ? | ライフハックちゃんねる弐式 http://htn.to/TXWdVt


expl01t: CVSS2.0を使って脆弱性の深刻度を評価してる.reading: IPA, 自動車の情報セキュリティ動向に関する調査 http://www.ipa.go.jp/about/press/20110426.html


tomoki0sanaki: 玉石混交でいいじゃないか。脆弱性を放置するサービスもあれば、セキュリティが高すぎて使いにくくてイライラさせるサービスもあれば、自分の感覚にあったちょうどいいレベルのサービスもある。・・・一人ひとりがそれを選べばいいじゃん。一つにする必要性を感じない。


koizuka: テスト reading Twitter公式のShareブックマークレットがブラクラ化した件 - FLYING http://t.co/3KxR3YP


nao_pcap: Microsoft、インストール不要無償のウィルススキャナを公開 | エンタープライズ | マイコミジャーナル http://journal.mycom.co.jp/news/2011/04/26/013/index.html


nao_pcap: マカフィー株式会社 | McAfee Blog - ゴールデンウィークは、本物そっくりの「コピー」サイトに注意 http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1214


ntsuji: 今日はいまいち気分が乗りません。なので、電卓が起動する謎ファイルを送ってみてみんなが脆弱なバージョンを使ってないかどうかをチェックしてみた。

テーマ : セキュリティ
ジャンル : コンピュータ

4月25日のtwitterセキュリティクラスタ

世間は給料日のようですね。毎月書く気がしますが誰かおこぼれを分けてごちそうするなどしてください。お願いします。

今日の0時少し前にIE9がリリースされたようです。個人的にIEはアップデートの時くらいしか使ってない気がしますが、使ってみようかと思います。そして、サイト管理者の人たちは確認作業が大変なんでしょうね。
mskkie: 少し早いですが、インストーラーがアップされました! http://bit.ly/iaLk03 「日本語」が表示されない場合は、インターネット一時ファイルをクリアしてみてください。

mskkie: ぐああああああ、24:00の強制消灯で社内が真っ暗に。。。。

mskkie: たぶん最初はこれまでのIEとまったく異なるUIに違和感を覚えると思います。これは WindowsでもXP→7で最初に感じるのと同じです。でもぜひ2週間、3週間と騙されたと思って使ってみてください。7同様統計データをデザインに反映させたUI、必ず慣れていただけると思います。

mskkie: @u_qreil UIの大きな変更という意味では、タスクバーへのピン留め、ジャンプリスト、AeroスナップなどWindows 7に変えた時の方がインパクトが大きいのですが、それでも7を使った人の殆どが数週間でこちらの方がベターと感じていただいて。飛ばしているわけでは...(汗

piyokango: 無事IE9も入ったみたいなので、寝ます。英語版を既に入れていたので、一度英語版を削除しないとだめでした。

bulkneets: IE9 XMLHttpRequestだとローカルファイル読めなくてActiveXObjectの方のXMLHTTPだとローカルファイル読める。

masa141421356: 全てのWebアプリのIE9での動作確認と問題の修正を連休前に行うお仕事



そして、Metasploitの新たな使い方が提案されました。これでPCにMetasploitが入ってるのが見つかって怪しまれた場合も安心かもしれません。
ntsuji: 少し向こうにあるPCのシャットダウンをするためにソファーから離れるのが面倒なのでMetasploitのPost-Exploitationのshutdownするなど。

110_: @ntsuji ちょw けど、気持ちはわかるww

totoromasaki: 何かが間違ってると思います。RT @110_ @ntsuji: 少し向こうにあるPCのシャットダウンをするためにソファーから離れるのが面倒なのでMetasploitのPost-Exploitationのshutdownするなど。 *YF*

ntsuji: @totoromasaki お便利でしたよー

ntsuji: @totoromasaki あ、ちなみに脆弱性があるコンピュータではありませんよーw

totoromasaki: え?違うの?RT @ntsuji: @totoromasaki あ、ちなみに脆弱性があるコンピュータではありませんよーw *YF*

ntsuji: @totoromasaki ですです。脆弱性を利用しないで制御奪ってたんですよー

totoromasaki: でもそれって・・・。脆弱性って言わないんですか? RT @ntsuji: @totoromasaki ですです。脆弱性を利用しないで制御奪ってたんですよー *YF*

ntsuji: @totoromasaki windowsのクレデンシャル使ったり、java使ったりとですよー

totoromasaki: @ntsuji あぁ、、、そういえば、以前いた会社でやっていたなぁ・・・。しみじみ。 *YF*


知らなかったのですが、面白そうなドラマが放映されているようです。またまた知ってる人が監修されてたりカメオ出演されてたりするのでしょうか。
ymzkei5: ドラマ「BOSS」第2話の録画を観ている。成海璃子さんがハッカー役。「このIFをgoto にして、ここら辺をNOPで埋めて・・・」「自己検証ルーチンを無効にすれば・・・やった!」「この暗証番号が分かればボットネットを乗っ取れる」「ロジックボムが仕込まれているかも。間違えると・・・

ymzkei5: 間違えるとIP-BANを食らってアクセス出来なくなる」など、微妙にそれらしい単語を織りまぜたセリフが繰り広げられていて楽しい。

ntsuji: @ymzkei5 ちと、突っ込みどころはあるものの、やっぱりワクワクしますよねー もっと活躍してほしいです!


今年のキャンプは大阪なんですね。
hasegawayosuke: 「セキュリティ&プログラミングキャンプ2011で使用する会場借上契約」に係る事前確認公募 http://bit.ly/hpJJPo 「会場の要件:会場は大阪市内にあり、目安として新大阪、関西空港から公共交通機関で1時間以内とする」 #spcamp


その他に気になったことはこのあたり。
gohsuket: カスペルスキー氏の息子はモスクワ警察の作戦で解放、身の代金は未払 RT @dragosr Kaspersky freed by law enforcement, culprits apprehended. Some good news… http://t.co/EACTqi8


WebSecurityNews: Hackers Take Down Sony's PlayStation Network http://ow.ly/1ckVNx


MasafumiNegishi: 私のセキュリティ情報収集術…なんて書いてみたけど、大した内容じゃありません。orz http://bit.ly/ekGThi


yoggy: 今回のpCTFはPPPが初めて主催したCTFだったけど、凝った問題を多く用意してたり、サイトもちゃんと作ってたり、大きなトラブルもなくスムーズに運営できてて、すごいなーという感想。地味なところかもしれないけど


pura_: あれ、Anonymous逮捕されたんだ。でも一部なのかな。http://bit.ly/edHsV4



<宣伝>
インストールマニアックス5の募集が始まりました。Windows AzureにWebアプリをインストールするだけで5000円くらいは儲かるという素敵なイベントなので皆様ぜひご参加ください。私もスタッフとして関わっていますので、参加したいけどよくわからない、という方は @yousukezan宛に連絡いただけると親身に対応いたしますので、ぜひご連絡ください。

参加登録はこちらから
http://maniax.jp/installmaniax/5/help/register
</宣伝終わり>

テーマ : セキュリティ
ジャンル : コンピュータ

4月23~24日のtwitterセキュリティクラスタ

私は仕事で会議室にいたりしたのですが、勉強会やら楽しそうなイベントが全国でいくつも開催されていたようです。

そんな中でまっちゃ445のつぶやきをtogetterでまとめたのでご覧ください。



週末は勉強会だけでなく、pCTF 2011も開催されていました。チームsutegoma2も参加されていたようで、一瞬1位に躍り出たときもあったようですが、最後は5位だったようです。
brian_pak: Every hacker in my friend/follow list should register and play Plaid CTF 2011!! It's NEAR! http://t.co/UwrMSH7 #pctf2011

pCTF2011: It's 6 hours in for #pctf2011 and every team is really doing great! http://twitpic.com/4o9vde

tessy_jp: 現在21位。今回はちょっと出遅れ気味。のこり37時間(笑) pCTF2011::Scoreboard http://bit.ly/g4jliy

tessy_jp: ちょっと浮上して12位 http://www.plaidctf.com/scoreboard #pctf2011

tessy_jp: 変態Forensics問題が全然解けないので主催側から心配のメールがキタ

tessy_jp: 7位に浮上! http://www.plaidctf.com/scoreboard

tessy_jp: 現在10位、残り18時間。まだ1/3以上あるのか... http://www.plaidctf.com/scoreboard

tessy_jp: 残り4時間半。@sutegoma2 は現在7位 http://www.plaidctf.com/scoreboard

yoggy: 残り3時間。面白くなってきました http://gyazo.com/ec0ea12f35652eb7ea1400de49a22945.png

tessy_jp: 現在暫定1位。残り3時間半。http://www.plaidctf.com/scoreboard http://yfrog.com/gy5cnp

tessy_jp: 5位だった。http://www.plaidctf.com/scoreboard


Evernoteで話題なIEのXSSフィルタについての解説記事をmalaさんが書かれました。
hasegawayosuke: malaさんのXSSフィルタ記事、素晴らしすぎる。 http://subtech.g.hatena.ne.jp/mala/20110423/1303536971

hasegawayosuke: ちなみに、僕の記憶が間違っていなければ、Gmail などでは一時期、X-XSS-Protection: 0 で動いてた。なぜそうなってたかは何となく想像がつくけれど、記憶違いかもしれないし、そうでなくとも確証がないので黙っておく。

bulkneets: @hasegawayosuke やーありがとうございます。経験則に基づいたざっくりとした内容ですが。

hasegawayosuke: @bulkneets 経験に裏打ちされてるので、きちんと現実を見据えた内容になってて素晴らしいなと思いました。僕が書いたら、「誤検知したくなければ X-XSS-Protection:0 にしろ」で終わらせてしまうと思うので。



その他に気になったことはこのあたり。
bulkneets: 節電のためブルートフォースアタックによる暗号解読を自粛


piyokango: 昨日のまっちゃでゆまのさんの持ってきたセキュリティマガジンにジェームスさんにこの前のハンズオンで教わった各OSのパケットレスポンスの一覧(http://bit.ly/ft1zyq (PDF))が掲載されていました。


MasafumiNegishi: 仮想サーバ間での不正アクセスは成立するか? http://bit.ly/ftnf7m


hasegawayosuke: MSKKの本気きたこれ。 「クラウド ガール -窓と雲と碧い空-」 http://msdn.microsoft.com/ja-jp/windowsazure/claudia/


<宣伝>
そろそろインストールマニアックス5の募集が始まります。Windows AzureにWebアプリをインストールするだけで5000円くらいは儲かるという素敵なイベントなので皆様ぜひご参加ください。私もスタッフとして関わっていますので、参加したいけどよくわからない、という方は @yousukezan宛に連絡いただけると親身に対応いたしますので、ぜひご連絡ください。
</宣伝終わり>

テーマ : セキュリティ
ジャンル : コンピュータ

4月22日のtwitterセキュリティクラスタ

雨降ってますね。ゴールデンウィークの前に梅雨に突入しないか心配になってきました。

まずは昨日のSALT vs ストレッチングの続き。Webなのかローカルなのかなど、環境によっても最善策は変わってくるんでしょうね。
kitagawa_takuji: パスワードが漏れた場合に何年にも渡って静かに情報を抜かれ続けるのと、最大でもパスワードの有効期限の期間の被害に留まるのではかなり違う。パスワードが変更されアクセス出来なくなると「もしかして気づかれたかも」と考え再度の攻撃は難しくなる。

kitagawa_takuji: 管理者が気付かないうちにパスワードを知られてしまうことの例としては、ショルダーハックや管理者間の話の盗み聞き。ソーシャルエンジニアリングの上級者なら本人が気付かない様にパスワードを聞き出してしまう。

kitagawa_takuji: NTLM認証情報のキャプチャ攻撃もやられた方はまず気付かない。

kitagawa_takuji: ソルトはレインボークラックに有効、ストレッチングはオフラインの総当り攻撃に有効。GPUクラスタが安価に利用できる様になったことから現在では総当り(+効率的なルール)の方が脅威は大きいと思われる。よってストレッチングを支持します。

ockeghem: 支持します RT @kitagawa_takuji: ソルトはレインボークラックに有効、ストレッチングはオフラインの総当り攻撃に有効。GPUクラスタが安価に利用できる様になったことから現在では総当り(+効率的なルール)の方が脅威は大きいと思われる。よってストレッチングを支持します

ockeghem: stretchingに関する私のスタンスは、ハッシュ値、ソルト、アルゴリズムがすべて漏洩したという前提でパスワードをどう守るかです。仮に、アルゴリズムが漏れないという想定ならstretchingは必要なく、たとえばハードコードした鍵で暗号化すれば十分です

ockeghem: @kitagawa_takuji 意図的に漏らすにせよ、漏れてしまうにせよ、とんでもないことで、その時点でアウトですよね。まずそうならないように対策すべきで、それをやり尽くした後で定期的変更するのなら分かりますが、まだ「他の対策し尽くしたから定期変更」という状況は少ないのでは?

tomoki0sanaki: 個人的には、パスワードハッシュ値がダダ漏れした時点でコールドゲームって感じがする。

kitagawa_takuji: パスワードの有効期限の設定はオンラインクラックでは無意味、推測困難性やロックアウトの設定の方が重要。但し脆弱性などによりハッシュが漏洩した場合のオフラインクラック対策やソーシャルなどにより平文パスワードが漏洩した場合に被害を限定的にする保険としてはパスワードの定期変更も意味がある

kitagawa_takuji: Webアプリの場合はね RT @tomoki0sanaki: 個人的には、パスワードハッシュ値がダダ漏れした時点でコールドゲームって感じがする。

kitagawa_takuji: ハッシュ漏洩の危険性は、WebアプリとWindows(ローカル)の場合で大きく異なる。よって定期変更の必要性も別けて議論する必要がある。WebアプリではSQL Injectionを塞ぐなど対策も比較的簡単。Windowsでは対策は困難。

ockeghem: 『パスワードが漏洩するという状況では、他の秘密情報も漏洩している可能性が高いわけですが、パスワードの悪用により情報漏洩以外の被害が発生する可能性があります』 #wasbook P318 RT @tomoki0sanaki: …パスワードハッシュ値がダダ漏れした時点でコールドゲーム

piyokango: どっちが不要という不毛なものではなく、どう使うべきかの議論だから勉強になるんでしょうね。



月に一度くらいは話題になっているような気がするHTTPのTRACEメソッドについて。以前脆弱で、今それほどでもないけど、どちらにせよ普段使わない機能をどうするか、ってことでしょうか。
ntsuji: New blog post: TRACEメソッドって危ないのでしょうかの自分メモ http://n.pentest.jp/?p=952

tachikomatta: 業務用アプリケーションでは、未だにIE6のみ対応というのが、結構あると聞いてます。 QT @ntsuji: New blog post: TRACEメソッドって危ないのでしょうかの自分メモ http://n.pentest.jp/?p=952

ntsuji: @tachikomatta その通りです。そういうアプリを結構見かけますね。ただ、IEのSP2以前は結構少ないのかなぁと思っています。

ntsuji: セキュリティ診断の報告会において、成立条件が複雑で説明が長くなる割に結局軽微で今となっては影響範囲も狭い指摘事項の素ナンバーワン。「TRACEメソッド」

vulcain: @ntsuji 説明が面倒なので、問題ないし、対処も不要って説明省きたいナンバーワン

kitagawa_takuji: TRACEと聞いて飛んできました。

kitagawa_takuji: XSTではBasic認証のAuthorizationフィールドを取得される問題の他にも、HttpOnly属性がついたCookieを取得される問題もありますね。 RT @ntsuji: New blog post: TRACEメソッドって危ないのでしょうかの自分メモ

kitagawa_takuji: XmlHttpRequestの他にもFlashやJavaアプレットからTRACEを発行できる可能性もあるようです。Flashは最近のバージョンでは禁止されているそうですが、

kitagawa_takuji: TRACEにはXSTの他にMax-Forwardsを変化させると途中のリバースProxy が付加するヘッダ情報が返ってくるという問題もあります。付加される情報は機器によってまちまちですが、ファームウェアのバージョン等が取得できる場合は指摘レベルを上げても良いのではないでしょうか?

ntsuji: @kitagawa_takuji そうですね。例として上げられがちなのはBasic認証ですが基本的にリクエスト内ならというものですね。

kitagawa_takuji: TRACEによってプラーベートアドレスやリバースProxy機器のバージョン情報が取得できる場合は「低」レベル、それ以外は「情報」レベルとしています。

kitagawa_takuji: 「情報」レベルとは言ってもhttpd.confでTraceEnable Offにするだけと対策コストが非常に低いのとそれによる副作用が殆どないためTRACEメソッドは無効にすることを推奨しています。

ntsuji: @kitagawa_takuji 何かのアプリのインターフェイスとしてApacheベースのが動いてたりすると鬼門なんですよね。サポート外になったりするので。

ntsuji: @kitagawa_takuji しかもしれが古かったりなんかするとmod_rewriteでしか対処できなかったりと更に鬼門の場合もw

kitagawa_takuji: @ntsuji わざわざmod_rewriteを有効にしてまで対処するまでのものではないですね。Apacheのバージョン上げるのが スジかと、

ntsuji: @kitagawa_takuji そうですそうです。だからそれは推奨はしないです。ただ、予算やサポートの絡みからバージョンを上げることはできないということがあるのも現実かと思います。

ockeghem: @ntsuji TraceEnableをサポートしたapache1.3.34が出たのが2005年10月なので、いい加減「予算の関係と言い訳するな」と言いたいですけどね。TRACEはたいしたことないけど、そんなに古いバージョンだと他が心配ですね

ntsuji: @ockeghem そうなんです。他の脆弱性も存在します。実際検査してるとそういうもの多いんですよね。アプリの仕様でtelnet止められません。とかshadow化できませんなどなど。それが内部ネットワークだったりしてテスターの立場で「言い訳するな」まではさすがに・・・


そして、話はテスターとしての指摘と実際の運用についての話になります。予算は決まってますから、指摘されたからと言って全部何とかできるわけでもないですし、難しいところではあります。
ntsuji: セキュリティのテスターとして指摘をしたときに運用・予算上できない。という言葉に出会うことがあります。それが嘘か本当かはあまり興味もありません。でも、少なくとも彼らはシステムの「運用」を守っていて、セキュリティはそのごくごく一部で主役は彼らだと分かるまで3年くらいかかりました。

vulcain: @ntsuji サポートを長くやっていたので、どちらかというと無理だろうからどうやって負荷を減らしてあげられるかを考えることから入りましたね。私の場合。

ntsuji: @vulcain それは素晴らしいと思います。ボクは新卒からセキュリティだったので、どんな軽微なものでもセキュリティ対策をしないのは悪だ。くらいに思っちゃってました。懐かしいですw

vulcain: @ntsuji まぁそうなりますよね。対策はした方が良いけど、やり方が判らなかったり、出来なかったり・・・色々ありますが、やり方が判らないなら教えてあげればいいし、出来ないなら緩和策や回避策を提示すればいいって思ってます。選択は相手側なのだから。

ntsuji: @vulcain テスターの仕事はそこを含めてですね。対策は、0か1かではなくリスクの大きさや再現の容易性などを加味した危険性をきちんと伝えて相手が選択するための材料を与えることだと思います。

vulcain: @ntsuji まさにそうですね。特に日本の現場では未だにセキュリティに関しては理解も知識も足りなくて、過剰に反応されたり、過小に判断されたりがありますから。

ntsuji: @vulcain まだまだ、ボクたちがしなければいけないことが沢山ありそうですね!

vulcain: @ntsuji 勉強会などの社外も含めて、やれることは山積みですね。

ntsuji: @vulcain そうですね。失敗を恐れず、少しずつでも小さくでも歩を進めていかないとなーと改めて思いました。



EvernoteのXSSがらみで、Evernoteが止めるように言ってたIEのXSSフィルタについて、ユーザーに止めさせなくても、サーバー側で何とかなるんじゃないのというお話。
bulkneets: ブログとかに張るEvernoteのクリップボタンの貼りつけコードでサイト側に影響があるというのは今のところ見つけていないし多分無い。もちろんガチでクラックされたりDNS書き換えられたりしたら影響あるけど。

bulkneets: というかクリックするとほぼ確実にXSSフィルタが出てブロックされるようなボタンを張ってて何故で疑問に思わないのか。社内シェア低いとはいえ、Windowsの標準ブラウザだろ。

hasegawayosuke: XSSフィルタを無効に設定しろ、と説明している例 → http://edoc-proc.pref.gifu.lg.jp/howto/EPE/ie8.html

hasegawayosuke: @mskkie: IEのXSSフィルタについて、どういうときに誤検知が起こりどうすれば防ぐことができるのかについて開発者およびWebサイト運営者向けに適切なわかりやすい文書をもっと出してください。「XSSフィルタを無効に設定せよ」のような誤った指示を出しているサイトが多数あります

hebikuzure: @hasegawayosuke HTTPヘッダー X-XSS-Protection: 0 を使えばサーバーサイドで無効化できる、という事も知られていないのではないかなあ。

hasegawayosuke: @hebikuzure 知られてないと思いますね。もっときちんと文書を増やして欲しいですね。

yumano: 探すと色々見つかるね http://bit.ly/eDDlT4 RT @hasegawayosuke: XSSフィルタを無効に設定しろ、と説明している例 → http://bit.ly/f31yKw

hebikuzure: @hasegawayosuke X-XSS-Protection でぐぐると葉っぱ日記が沢山出てくる....ww

hebikuzure: . @hasegawayosuke @yumano この辺りが分かりやすいかな Controlling the XSS Filter - EricLaw's IEInternals http://bit.ly/dV9dgN

hasegawayosuke: @hebikuzure @yumano http://d.hatena.ne.jp/hasegawayosuke/20101004/p1 ;p

hebikuzure: そう、ぐぐるとまずこれが出てくる。 QT @hasegawayosuke: @hebikuzure @yumano http://d.hatena.ne.jp/hasegawayosuke/20101004/p1 ;p

hebikuzure: @hasegawayosuke とりあえずさっきの XSS フィルターのやつは後で訳して載せよう。



その他に気になったことはこのあたり。
yumano: # atode みる RT @4416_310: 政府機関の情報セキュリティ対策統一規範、統一管理基準、統一技術基準が発表されました。http://bit.ly/eczYNx 従来の統一基準を再構成したもので内容は実質的には同じです。政府のITシステムはこれが最低限の要件に


MasafumiNegishi: 今回は俺達じゃないぜ!と言っています。 Anonymous takes no responsibility for PSN outage - Security http://goo.gl/aZmJq


MasafumiNegishi: Microsoft Safety Scanner ひっそりとリリース http://bit.ly/gEfadL


openpne: 【緊急リリース】OpenPNE 3 とバンドルプラグインに存在する、権限確認不備に関する複数の問題のお知らせ (OPSA-2011-001) http://www.openpne.jp/archives/5967/ #openpne #op3dev


babie: [mobage] モバゲーが個人情報を削除してくれない http://bit.ly/f3jNAf


kitagawa_takuji: フランスでは捜査当局に平文パスワードを提出しなければならなくなるかもという話。ハッシュ禁止ではないけど可逆にする必要がある? France Outlaws Hashed Passwords http://goo.gl/Cm83Z


kitagawa_takuji: Kon Bootの製品版を買って試したいけど、個人情報は入力したくないなぁ https://secure.avangate.com/order/product.php?PRODS=3845288&QTY=1


bulkneets: IPAはmalaが本名じゃないとかゴチャゴチャ言い出してウザイ。


ockeghem: 『なんか美味い魚』<きんきの煮付けは美味しかったですね。僕は(も)NDAにサイン求められたら帰ろうと思っていました / エバーノート株式会社に行ってきた! - 金利0無利息キャッシング ? キャッシングできます - subtech http://htn.to/tR6hHw


<宣伝>
そろそろインストールマニアックス5の募集が始まります。Windows AzureにWebアプリをインストールするだけで5000円くらいは儲かるという素敵なイベントなので皆様ぜひご参加ください。私もスタッフとして関わっていますので、参加したいけどよくわからない、という方は @yousukezan宛に連絡いただけると親身に対応いたしますので、ぜひご連絡ください。
</宣伝終わり>

テーマ : セキュリティ
ジャンル : コンピュータ

4月21日のtwitterセキュリティクラスタ

パスワードのストレッチングとSALTについてのお話。どちらがよいというものでもないと思いますが、対話により違いと利点と欠点がわかって勉強になりました。
ockeghem: ストレッチングについては徳丸本のP327に説明していますが、あまり詳しくはありません。背景の説明は多いです。徳丸本でもstretchingの回数は千回を目安にしています。 #wasbook / ECナビ エンジニアブログ : Rails… http://htn.to/xkRYB2

ockeghem: まぁ、stretchingそのものはハッシュを繰り返すだけだから詳しく説明しようがないか。なぜ必要かが重要

tomoki0sanaki: 認証処理が重たくなりますね。 QT @ockeghem stretchingそのものはハッシュを繰り返すだけ・・・

ockeghem: @tomoki0sanaki 処理が重くなることは、stretchingの本質ので仕方ないですね。攻撃者にとって重く、正規処理には軽いという方法があればよいのですが、それは無理ということで

tomoki0sanaki: SALT だけでいいんじゃないですか? ストレッチを+1回するなら、SALTを+1文字長くした方が効率的だと思います。 QT @ockeghem 攻撃者にとって重く、正規処理には軽い・・・

s_hskz: いつか論議が始まるといいなぁと期待してました。SALT vs ストレッチ

ockeghem: @tomoki0sanaki saltが攻撃者に分かるという前提で総当たり攻撃や辞書攻撃に対する耐性を高めることがstretchingの目的です。saltを一文字増やしても総当たりのコストはあまり変わりません

ockeghem: vsというか、両方必要ですね RT @s_hskz: いつか論議が始まるといいなぁと期待してました。SALT vs ストレッチ

s_hskz: @ockeghem そうでしたね。ご教示ありがとうございます。 @tomoki0sanaki さんとの直接的な対話が始まるとどこに違いがあるかわかりやすいかなーと常日頃から思っていました。

tomoki0sanaki: なるほど、そこに違いがありますね。 QT @ockeghem saltが攻撃者に分かるという前提で・・・

tomoki0sanaki: SALTばれてる前提でも、SALT があるだけで、RainbowCrack はかなり厳しくなる。

tomoki0sanaki: 例えば、8文字のRainbowTableを作っても、SALT2文字だと、6文字のパスワード解析までしかできないようなもの。SALT256文字とかは鬼だな。

tomoki0sanaki: さらに、256文字以上のRainbowTable は現実的ではない。・・・というか、8とか、9文字のRainbowTable が現実的ではない。

tomoki0sanaki: あ、文字種は、英大小文字/数字/記号もたくさん。だと、8文字とか9文字のRainbowTableは非現実的。

tomoki0sanaki: 3DES の中間一致攻撃の考え方が、ストレッチに対しても適用できるような気がする。

tomoki0sanaki: 中間一致攻撃を考慮すると、3DES の有効ビット数は、58bit(56+1+1)程度。繰り返すことで、1ビットしか増えない。

tomoki0sanaki: ストレッチの耐性が、"線形" 程度にか変化しないということが気に入らない。

ockeghem: @tomoki0sanaki それは、ハッシュ値、ソルト、ハッシュの計算方法が全部既知という前提で、かつ総当たりというローテクな方法に対抗するためには仕方ないですよ。何か秘密情報を使っていいという前提なら簡単ですけどね

tomoki0sanaki: パスワードファイルの漏洩の事前対策として、ストレッチならば、「パスワードの定期変更」もパスワードファイルの漏洩時には効果あるんだけどな。

tomoki0sanaki: だって、SQL Injection とかでパスワードハッシュが漏洩したりしたら、「速やかにパスワード変えてください」ってアナウンスがあるわけだし・・・

tomoki0sanaki: ローカルパスワードクラックに成功したけど、その時には既にパスワードが変更されてました。って事になればよい。

tomoki0sanaki: というか、その程度のことを必須だとか言われても・・・と思うわけです。 "線形" だし・・・無意味ではないから、実装したいやつらだけが実装すればいいとは思うけどね。それは「パスワードの定期変更」も一緒。

ockeghem: @tomoki0sanaki 英数字8文字のパスワードハッシュを676コアのクラスタで計算すると3日で総当たり可能、という例が徳丸本に書いてあります。ボットネットで計算させるとか…定期的変更でかわすにしても、ある程度時間を稼ぐためにストレッチングは有効です。必須と言えないにしても

ockeghem: まぁ、Amazonみたいに、128文字まで、文字種制限なしのパスワードにして、皆が強固なパスワードつければ、ストレッチは要らないと思いますけどね

tomoki0sanaki: ボットネットなどの大規模分散処理も考慮すれば、RainbowCrackよりも普通の総当り攻撃の方が脅威なのかも知れない。・・・まぁ、RainbowTable をその大規模分散処理で生成するという合わせ技もあるかもしれないが・・・

kitagawa_takuji: 個人で4096コアのクラッキング用サーバ自作している人もいます。http://bit.ly/hd0ekx RT @ockeghem: @tomoki0sanaki 英数字8文字のパスワードハッシュを676コアのクラスタで計算すると3日で総当たり可能、という例が徳丸本に書いてありま

ockeghem: @kitagawa_takuji これはすごいですね

mt7080: @tomoki0sanaki 暗号学者は一生懸命軽い実装のハッシュ関数を考えてるのにストレッチングとか言って何万回も繰り返し使うとか意味ねーじゃんと、某隣のH君が言ってますた。

tomoki0sanaki: 御意。ストレッチには美学を感じないんですよね。 RT @mt7080 暗号学者は一生懸命軽い実装のハッシュ関数を考えてるのにストレッチングとか言って何万回も繰り返し使うとか意味ねーじゃんと、某隣のH君が言ってますた。



やっぱり7年も同じパスワードだと、強度は問題なくてもいろんな理由で漏れたり解析されるリスクは高まっちゃうわけですかね。ということでパスワードの定期変更について。
tamiyata: こんなことになってるとは知らなかった…韓国はセキュアOSの展開が速いと聞いていましたが、最後はやはり人の脆弱性なのか/「7年間同じ管理者パスワードだった」銀行システムに大非難:趙 章恩「Korea on the Web」 http://ow.ly/4ENcF

ockeghem: rootなどの管理者パスワードは「定期的に」変更するのではなく、担当者の異動や退職のタイミングで変更すべき。それが難しい場合の次善の方法が定期的変更 / 「7年間同じ管理者パスワードだった」銀行システムに大非難:趙 章恩「Korea o… http://htn.to/gGQo1W

kitagawa_takuji: 担当者以外が知っていることも知ってしまうことも結構ある。そういった人を振り落とすには定期変更も必要では?RT @ockeghem: rootなどの管理者パスワードは「定期的に」変更するのではなく、担当者の異動や退職のタイミングで変更すべき。それが難しい場合の次善の方法が定期的変更

ockeghem: その状況を管理して変更すべきであって、定期変更で対応することは、変更されるまでの期間「危険な状態」を受容していることになりますね RT @kitagawa_takuji: 担当者以外が知っていることも知ってしまうことも結構ある。そういった人を振り落とすには定期変更も必要では?

kitagawa_takuji: 本来はその状況を管理すべきだけど出来ないのが人間だからシステムによる定期変更で保険を掛けるしかない。管理者が気付かないうちに知られてしまうこともある。RT @ockeghem: その状況を管理して変更すべきであって、定期変更で対応することは、変更されるまでの期間「危険な状態」を受


引き続きEvernoteのmalaさんによる調査が。今度はChromeです。
bulkneets: あー。。 http://bit.ly/fqLLsh

bulkneets: 代用手段はあります http://bit.ly/gQZtEd

bulkneets: 拡張機能のコンテクストからCookieの操作が出来ない → 普通にWeb画面開いて拡張機能とメッセージパッシングで通信して認証に必要なトークン受け渡すなどすれば良い

bulkneets: 拡張機能、サードパーティCookie送信もオフだとログインできない、サードパーティCookie受信オフだとパスワード毎回入力ログインできるけど警告出る

bulkneets: 大多数の人がブラウザのデフォルト設定のままで使うわけで、その結果手抜き実装になる。デフォルト設定に戻せ(Chrome)と言ったりデフォルト設定変えろ(IE)と言ったり一貫してない。

bulkneets: どうせ今セットアップしてる人は入れなおさないことには直せないので書くけどWebクリッパーのブックマークレットの実装、EN_CLIP_HOSTがグローバル変数なので__defineGetter__など使ってサイト側から挙動変えられる http://bit.ly/gVkteQ

bulkneets: どういう影響があるかっつーと説明するのが難しいな、ブックマークレットを使うと Evernoteかと思ったらEvernoteじゃないサイトが表示されるかもしれない。ただし悪意のあるサイト上で起動した場合のことで、悪意のあるサイトを訪問した時点で悪いことはできるのだから軽微といえば軽微

bulkneets: scriptタグ追加してページ内にiframe表示するようなタイプのブックマークレットの共通の問題でもある

bulkneets: ブラウザがトラッキング拒否の仕様をつくりはじめたせいで、Cookieは便利サービスのためにサードパーティ含めて全許可!!行動トラッキング嫌な人はオプトアウト!! みたいな感じになってしまっている…



その他に気になったことはこのあたり。
bulkneets: 引っかかる人そうそういないだろうけど共有してるドキュメントのリンクでfile://とか添付ファイルダブルクリックで実行形式ファイル動く http://bit.ly/fPTnvU


wikileaksjp: また一つオンラインサービスが陥落: ドロップボックスが規約変更、皆が手を引く時がきた - データは政府に手にわたると http://is.gd/hidDhK #wikileaks #wikileaksjp #wl_jp


nao_pcap: インターネット接続サービスにおける児童ポルノ・ブロッキングの開始について〈別紙〉 2011年 KDDI株式会社 http://www.kddi.com/corporate/news_release/2011/0421/besshi.html


takesako: SQL Injectionにより、Comodoリセラー(RA)に侵入、IISに侵入後、脆弱性を利用してSYSTEM権限を取得、TrustDll.dllをデコンパイルし平文パスワードを奪取、API経由でSSL偽証明書に署名 http://bit.ly/i2qhX6


MasafumiNegishi: 脆弱性対策情報データベース「JVN iPedia」を機能強化 http://bit.ly/fHyRZ4


bulkneets: 少し前にSkype for MacのHot fixが出てます。自分が把握してる範囲で割と深刻なバグがあったので5.1.0.922より低いバージョンの人は手動アップデートした方がいいです(アップデートが浸透するまで詳細が書けない) http://bit.ly/fmAzKF


ymzkei5: ■「一度公開した情報は、完全に削除できないことを理解」 大和ハウス、ソーシャルメディアポリシーを公表 - ITmedia ニュース http://bit.ly/fvUGP9http://bit.ly/hWBR6Z


msaitotypeR: 保存してるだけじゃなく送信してたんだ。「iPhoneは実際のところ1日に2度、Appleにあなたのロケーションを送信している」 http://blog.f-secure.jp/archives/50592175.html


tomoki0sanaki: だれかれとなく・・・・ 基本的に document と location と innerHTML と .html() [JQuery] を監視しています。ひっかかったら JavaScriptのソース見る。という感じ。・・・prototype.js は!?...orz


tomoki0sanaki: やっぱり、ちょっといじったリクエストを送るとアカウントを無効化する Web アプリって、すごいと思うんだ....(T_T)。 セッション切るだけで勘弁して...m(_ _)m


bulkneets: RT: XSSでお困りのみなさん!今ならリップクリーム差し上げるだけで、あのmalaさんのコンサルティングが受けられるチャンスですよ!

hasegawayosuke: おれの使いかけのリップクリームでよければ。


mincemaker: 「セキュリティのことなので詳細には書けませんが、そう簡単に侵入できない作り、ならびに、複合化出来ない作りにしております。」に吹いた。キチガイすぎ。 http://twitter.com/ocn_kakeibo/status/60936034522890240

mincemaker: 「そう簡単に侵入できない作りにしております」は土曜日のプレゼンで出してくる人がいると予想する!

テーマ : セキュリティ
ジャンル : コンピュータ

4月20日のtwitterセキュリティクラスタ

もうすぐゴールデンウィークだというのにまたまた寒くなってきましたね。

EvernoteのXSSその後です。解決したような、けど根本的にはしてないような、そんなかんじなのですかね。
ockeghem: 昨日は僕もevernote社に呼ばれたので徳丸本#wasbook を持参しました。僕が昨日報告したXSSも昨夜のうちに直っているようです。まだ修正方法が残念な感じですし、Evernote社のCTOは日本語の徳丸本読めないと思うので、「こう直すといいよ」というのは別に提案します

hasegawayosuke: XSS見つけて刺身にありつくためには、自分の居住地ちかくの会社にターゲットを絞らなくてはいけないということを学んだ。

kinugawamasato: evernote、昨日複数XSS報告して、さっき修正したという連絡がきたけど、いくつかは修正されたが、1つは修正失敗とかじゃなく報告したやつがそのまま動いてるッス

tokuhirom: おれもxss指摘して刺身くいたい

ockeghem: 確かに昨日Evernote社に呼ばれました。よく分かりましたね。XSS見つけるより難しいようなw / Evernote XSS事件のエクスプロイトとその対策過程と顛末 | uuu http://htn.to/AvnLCo

hasegawayosuke: マジレスすると、対策のために脆弱性の発見者を呼びつけるというのは、発見者の心理的・物理的負担が大きいので、企業の対応としては全くもって勧められない。

kinugawamasato: そのままは再現しなくなったので修正失敗というレベルまであがった

bulkneets: Evernote reward 刺身 programが公式発表されるまでXSSを見つけてもストックしておく人もいそう。

bulkneets: はてなのXSS報告して本社に呼び出されたらどうしようガクガクブルブル


Anonymousが東電を攻撃ターゲットにしていたようですが、空気読んで原発が落ち着いてからにしてくださいお願いします。
MasafumiNegishi: 現在はターゲットリストにのっていないようだけど(はずされた?)、もし TEPCOをターゲットにしたら、Anonymousは空気が読めていないと言わざるを得ない。間違いなく日本中の反感を買うと思う。

msaitotypeR: それどこ情報?って、ここでやる? RT @MasafumiNegishi: 現在はターゲットリストにのっていないようだけど(はずされた?)

MasafumiNegishi: @msaitotypeR いや、いまメール見れなくて。すいません。ソースは元々の Target Flyersですよ。順序関係逆なのかと思ってたんですが、よくよく見るとそうじゃなくて、あとからはずしたのかなと。単なる推測にすぎませんが。

msaitotypeR: @MasafumiNegishi あ、そうでしたか。tweet順ではTEPCOのURLさらしている方があとですよね。

MasafumiNegishi: @msaitotypeR 僕も最初そう思ってたんですけど、他と整合性とれてないんですよね。PiratenPadの編集履歴を見ると、最初はターゲットが4つで、途中から4番目がはずされてるんです。で最新版は3つ。

MasafumiNegishi: 履歴を見ると、やはり TEPCOはターゲットから除外されていた。その程度の常識はあるらしい。

msaitotypeR: 常識は期待しちゃいけないんじゃないかな。今回はセーフでも RT @MasafumiNegishi: 履歴を見ると、やはり TEPCOはターゲットから除外されていた。その程度の常識はあるらしい。

MasafumiNegishi: @msaitotypeR まあ、そうなんですけど、この前も PSNへの攻撃やめましたし、誰かが暴走を抑えている感じですね。


iPhoneが履歴を保存しているそうです。怪しげな勉強会や秘密のミーティングに参加したことも知られてしまうのでしょうか。
sen_u: 後で試したい。 RT @kojiando 取り扱い注意だなぁ「iPhoneがユーザーの行動履歴を保存していることが判明」http://t.co/QrHhDxL

piyokango: 暗号化されてない以上、iTunesでバックアップされたファイルが取得できれば相手の行動範囲がある程度分かってしまうってことなんですかね。

piyokango: 当然といえばそうなんですが、ipod Touchでも収集したWifiの位置情報(Macアドレス、時間、緯度経度等)が保存されていそうですね。

piyokango: 私のバックアップだと、17万行ぐらい収集したWifiの位置情報がありそうなので、記事の通り過去の情報も集めていそうですね。http://twitpic.com/4ndxnf

piyokango: 当然といえばそうなんですが、ipod Touchでも収集したWifiの位置情報(Macアドレス、時間、緯度経度等)が保存されていそうですね。

kojiando: 母艦をクラックされるといろいろ見られちゃうという訳ですねぇ。これからはそういう暴露系ウイルスも出そう RT @ichiroh: 複数台所有していると最後にシンクした物の情報が見えるようです。 QT @kojiando: iPhoneのログの件


その他に気になったことはこのあたり。
hasegawayosuke: IEのフィードバック出してたやつの回答が返ってきたけど、「フィードバックの提出から間もなくIE9がリリースされたので、そのフィードバック内容がIE9リリース版にも該当するか調べて、再度コメント頂戴。そしたらこっちも調べるよ」という対応はひどいんでないかと思った。


yasulib: wiresharkの更新 :-) 「Wireshark <= 1.4.4 packet-dect.c Stack Buffer Overflow - exploit-db」 http://www.exploit-db.com/exploits/17186/


ripjyr: なかにしさんと平仮名(攻撃属性)で書いてあったのだが、「なにがしさん」と空目してAnonymousのなかの人が来たかと思ってgkbrしたけど空目で良かったd(^_^o) #matcha445


WebSecurityNews: Hackers attack petition to free Chinese artist http://ow.ly/1chpdt

テーマ : セキュリティ
ジャンル : コンピュータ

4月19日のtwitterセキュリティクラスタ

今日は無職なのに申し訳ないですが朝から仕事でお出かけしているため予約投稿にチャレンジしてみました。

前日に引き続き、EvernoteのXSSについて。早速修正されたといいながら、昨日言及されていたもの以外にも、いろいろ見つかっているようで。どうやら本質的なところを間違えてるっぽいです。
mapi: 突撃お宅のXSS、今回はEvernote社に訪れています。

EvernoteJP: セキュリティアップデート - 本日早朝にサーバーソフトウエアに修正を行ったことをお知らせ致します http://bit.ly/fQDCbm

bulkneets: EvernoteのXSSが「修正されていないのを」確認した

bulkneets: やや難しいのでパズルに最適や

bulkneets: 信用できないつってんだから「修正しました」ってアナウンスも信用できないんだよ、クソ情弱どもが

piyokango: EvernoteでCTF開催中と聞いて。

bulkneets: IEが危険なのではなくて、IEにはXSSフィルタという危険なコードが実行されそうになったらブロックする機能があって、上手く機能すればXSSを踏んでも防げる(安全)のだが、Evernoteの連中がそれを「無効にしろ」といってる。

hasegawayosuke: IEのXSSフィルタ、HTML内のここからここまでは入力に依存してない固定出力だから判定基準に使うな的な指定ができればいいなと一瞬おもったけど、XSSでそれを注入されたら無意味だからだめか。

bulkneets: 特に酷いのはこれね、2011年の回答とは思えん "it will break many of the utilities that people want to use." http://bit.ly/efA5rp

ockeghem: 刺さった… @bulkneets と同じものを見ているかどうかは不明

bulkneets: Evernote XSS複数残ってた + 分かりやすかった

bulkneets: 報告されたパターンが動かなくなったことで満足していて本質的に安全にする方法がどういったものか分かってないように思われる

ockeghem: まっちゃ445までに「分かりやすかった」XSS直らないかな。そしたら、まっちゃで解説できるのになー #matcha445 そして、正しい対策の必要性が説得力に富むものになる(早く直すのはまず利用者のためであることは当然ですが)

bulkneets: Evernoteの脆弱性を複数把握してるけど、これらの不適切なFAQが修正されない限り http://bit.ly/fFhQuh http://bit.ly/eJTjZr http://bit.ly/efA5rp 報告する予定ないですよ


とかいいながら解決したのでしょうか。
bulkneets: セキュリティコンサルdone. 美味しいお酒とお刺身お魚とEvernote永年プレミアム会員権を手に入れた

bulkneets: Evernote直ったのかって言われても、ソース読んでないのに安心です安全ですと言うことは技術者倫理に反するので言えません。CEOが話が分かるやつで修正が不完全な箇所があると伝えたら時差がある本国のCTOを叩き起して即座に修正されました、刺身うまかった。



短パンとXSSで有名なはせがわようすけ氏が技術顧問に就任したそうです。本名がひらがなじゃないんですね。
ripjyr: I'm reading now: ニュースリリース:NetAgent Co., Ltd. http://www.netagent.co.jp/news20110419.html 「株式会社セキュアスカイ・テクノロジー技術顧問に弊社はせがわようすけが就任」

tokuhirom: リリースなのに名前がひらがな……

ripjyr: 会社としてのプレスリリースなのに、ひらがな名ってのはどうかと思うw

ymzkei5: はせがわさんの場合、逆に、漢字にされると違和感を覚えるレベルwww QT @ripjyr: 会社としてのプレスリリースなのに、ひらがな名ってのはどうかと思うw


こういうところで取り上げられて、また脆弱なスクリプトが増えていくのかもしれません。
taguchi: PHPってこうやってBashスクリプトが書けるのですね・・・ - http://bit.ly/faBtP7 via @taguchi


その他に気になったことはこのあたり。
shingoym: 民間で「単一サイバー認証」導入を、米政府が新戦略 国際ニュース : AFPBB News http://www.afpbb.com/article/environment-science-it/it/2796095/7103232 誤認があるが #nstic の日本語記事


risa_ozaki: The Password is Dead. Time for Better Online Security. http://bit.ly/h7i0Xu


security_info: 脆弱性対策情報データベースJVN iPediaの登録状況[2011年第1四半期(1月~3月)]を公開しました。: http://bit.ly/fgL2Hs


yasulib: ソーシャルエンジニアリングをユーザー教育によって防ぐことはできない? - セキュリティは楽しいかね? (id:ukky3 / @MasafumiNegishi) http://t.co/Sgho9Mh


kinugawamasato: www.google.com/intl/en/corporate/halloffame.html 4-6月にも載ったよ!見つかりにくくなってきてるけどまだ見つけてます。


tiliaceus: Kotaku| ハッカー集団・アノニマスによるソニーへの攻撃計画、人が集まらず失敗 http://bit.ly/eh6oAD #ktkjp


datahouseinfo: オランダの信号機がハッキングされたようです(g_inujini氏より) http://labaq.com/archives/51653683.html この手口は通称「ハレンチハックアタック」のようです(;`Д´)

テーマ : セキュリティ
ジャンル : コンピュータ

4月18日のtwitterセキュリティクラスタ

今日はディスリ分高めな感じです。

ライフハックとかiPadとかが好きそうな人が使っている印象があるサービスのEvernoteにXSSがあるようです。僕には面倒でインストールしたものの全く使ってないのでよかったですよ。
bulkneets: EvernoteにはXSS脆弱性があるので全員ログアウトした方がいい

bulkneets: 調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieW

bulkneets: 外部サイトのscriptを実行するexploitをつくって自分で踏んでみたけど、こういうの悪用された形跡がありますとか連絡絶対来ないよね。厳格にやるならPOSTパラメータも全部ログとっておかないと無理。

bulkneets: 胡散臭い連中が推してるサービス、大抵深刻な脆弱性があるわー

bulkneets: ノートの中身全部取ってくるようなのはWeb画面から叩いてるAPI解析したりソース読んで動作再現したりする必要があるので、それなりに手間がかかる。追加の認証とかないし同じドメインにあるから原理的にできる。概要取ってくるのは余裕

bulkneets: メールアドレスの変更にパスワードの再確認がありませんから、メールアドレス変更してパスワード再送してしまえばアカウントを乗っ取ることができますね。

bulkneets: なんでXSSフィルタが反応するかというとブラウザから送られてきたデータをそのままレスポンスに出力してる箇所があるからで、それが誤判定か実際に危険になるケースがあるか調べてりゃXSSがあることは分かる。あいつらはアホだからXSSフィルタ無効にしろと言ってる。

ockeghem: EvernoteのXSS(@bulkneets が公表したもの)と同種のXSSについては、#wasbook だとP111(script要素のXSS)に原理の解説が、P113以降に対策方法が説明されています。今はメタ文字を削除しているようですが、この方法は推奨しません

ockeghem: ちなみに、P113の対策1は、いわゆる過剰エスケープですね。僕は過剰エスケープに限らず「過剰」は嫌いですが、ここだけはしぶしぶ認めざるを得ないというところでした #wasbook

ockeghem: そうだ、EvernoteのXSSも、まっちゃ445で取り上げよう #matcha445 #wasbook

ockeghem: Evernoteの開発者にも僕の本を読んで欲しいが、彼らはたぶん日本語読めないだろうね:) #wasbook

office_acer: @ockeghem そこで英訳プロジェクト…と思ったけど、私にはそこまでの英語力がなく(と書いて言い出しっぺの法則を回避)。



そして、cookieとhiddenタイプとパスワードの保存とダメな書籍について。まずはcookieとhiddenタイプについて。
ockeghem: 『プロになるためのWeb技術入門』のP263「hiddenタグに重要な情報を持たせない」の項はひどいなと思いました。hiddenパラメータが第三者に閲覧可能ということが前提になっているけど、前提がおかしいでしょ。そもそも「hiddenタグ」というタグはないと思いますが

mizukihasegawa: 徳丸本読んだけど、hiddenやcookieをいつなら使っていいかが分からない、、、 RT @ockeghem: 『プロになるためのWeb技術入門』のP263「hiddenタグに重要な情報を持たせない」の項はひどいなと思いました。hiddenパラメータが第三者に閲覧可能ということ

ockeghem: @mizukihasegawa 簡単にここに書くと、hiddenは原則使ってよいが認証・認可情報はだめ、cookieはアプリケーションからは原則使わない、ただし乱数列を用いたトークンは可、ですね。P38とP206を参照ください #wasbook

ockeghem: hiddenとcookieの話題は#matcha445 で取り上げよう #wasbook

ockeghem: そもそもtype="hidden" なinput要素をなんと呼ぶかという議論がありました。というか、僕が勝手に悩んだんだけど #wasbook


そしてパスワードの保存の方。
ockeghem: 『プロになるためのWeb技術入門』P253には、パスワードの保存をソルトなし・ストレッチングなしのSHA-1ハッシュで保存する例が載っていますね。せめてソルトの説明はして欲しいです。この例だと、レインボークラックで簡単に元パスワードが復元できます

sen_u: @ockeghem その本の存在を今知りました。しかも発売は1年前。ひとまず買ってみようっと。

ockeghem: @sen_u この本、世間ではすごく評判がよくて売れているようですが、私の観測範囲では評判が悪いですね。

sen_u: @ockeghem 悪い事例も必要なので参考文献にします。w

ockeghem: @sen_u 酷い例としては 「Oracle Database11gセキュリティガイド」 http://amzn.to/gUObHm の付録B「SQLインジェクションについて」はもっと酷いけど、北野晴人さんにメールしただけでその内容は公開していないです


最近は位置情報でストーキングするのがアツイような気がします。携帯電話ってすごいですね。
lifehackerjapan: 最新記事: Instagramの写真がどこで撮られたか地図上で把握できるサービス『Extragram』 http://bit.ly/icR1ZI #lh_jp


さっきまたまたアップデートしたFlashについて。
jpcert: Adobe Flash Playerのアップデートを!脆弱性を使用した攻撃が確認されています。^YK https://www.jpcert.or.jp/at/2011/at110009.txt

piyokango: Wordだけではなく、Excelも利用されていたんですね。RT @shu_tom: New Blog post:Adobe Flash Playerの脆弱性を悪用するドライブ・バイ・ダウンロード攻撃を確認 http://ibm.co/i7eh5R ...


やっぱり楽する方法を見つけたら使いそうな予感。Androidでもかんたん認証ですね、これからはw
ockeghem: このエントリ通りインストレーションを区別する目的だけならいいんだけど、ANDROID_IDなどを認証に使うという方向にいきそうで怖いですね / インストーレーションを区別するアプリケーション - Android Zaurusの日記 http://htn.to/5xmQ3t

テーマ : セキュリティ
ジャンル : コンピュータ

4月16~17日のtwitterセキュリティクラスタ

週末っぽいというか、セキュリティ関係の書籍についてオッサンと若者入り乱れて盛り上がってました。職業柄このあたりは詳しいですが稀少本は持ってませんw
port139: やっぱりここは古典的に「カッコウはコンピュータに卵を産む」から入るべき?でも時代が変わりすぎてむしろ内容がわからない?!、ウォーゲームやスニーカーズのDVDでもいいんだけど。

bugbird: @port139 そこらへんの本。フィロソフィーとかは普遍で不変なんだけど、情報が out of date になってるのが悩ましいのね

port139: むかし、テイクダウン、ってのがなかったっけ?持ってたはずだけど書棚にないなぁ、長野かなぁ。

bugbird: @port139 あれはまぁ、「物語」だけどね。コンピュータというインフラでどのような犯罪が行われるかという意味で、非常に(当時として)斬新な物語だった

bugbird: @port139 セキュリティの専門家が自分の専門外でセキュリティの問題と対峙するというのも、諮詢に富む内容だった

bugbird: 「テイクダウン」が物語であるのは、勝者の立場から描かれているものであるから。主人公はセキュリティ専門家ではあるが、当時のセルラホンの暗号技術が専門であり、コンピュータセキュリティは専門外であった

bugbird: ただ、技術的専門性を通して得られたセキュリティの知見を活かしてケビン・ミトニックを追いつめるという意味で、セキュリティの普遍的部分が非常に鮮明に描き出されているところが面白い

bugbird: @port139 フォレンジックという言葉が知られる前にフォレンジックの実例が紹介されていた

port139: @bugbird 24章新入の発見、あたりですかね、侵入者の監視、とかっていまだとやったら怒られそうな気もしますけど(笑)

ucq: ハッカーを撃てならあった

bugbird: まぁ、ライトサイドのハッカー v.s. ダークサイドのハッカーの戦いという物語だね<「テイクダウン」/「ザ・ハッカー」

bugbird: まぁ、ライトサイドのハッカーとはいっても、高価なディスク装置を吹っ飛ばすような悪戯はやってたわけだが

totoromasaki: @ghetto2199 欺術 は良いよねぇ・・・。あと、カッコウはコンピュータに卵を産む も。http://amzn.to/gf5w6H *YF*

a4lg: @totoromasaki その本は当時 (16~17 歳くらいのとき?) 読んでて衝撃でしたね…。

port139: @ucq それは読んだことないなー

totoromasaki: カッコウはコンピュータに卵を産む は、昨日部屋を掃除していたときに、見つけたのです。ほかに、ZIPメディアや、IDO時代のケータイ電話、NTT Personal の、ターミナルとか。 *YF*

ucq: @port139 自分も買ったっきり読んでないですw

port139: @ucq あぁーそれは君のばやい、16進数で書いてないから読む気が出ないんでしょ?。1文字ごとにこれは16進数ならこれだなって思いながら読んでいけば読み切れるかも!!

ebimayu: @port139 これも好きです。古いけど。 http://t.co/GzoyNgk

port139: あ、これ実家に戻れば本棚にあるな~今度帰省したらさがそ RT @ebimayu: @port139 これも好きです。古いけど。 http://t.co/GzoyNgk

swim_taiyaki: 技術系古本って、売っても二束三文だから売れないんですよねぇ。RT @sonodam: というか、技術系古本多いな(笑)>あっしの家。95年くらいのインターネット探訪系の本とか、すでに歴史書的趣がある。


そして、古本と昔のOSについての勉強会が本当に開かれそうです。とってもオッサンホイホイです。
port139: ちょっと前のOSとか愛でる会とかないすかね、学生のころ NEXT STEPとか雑誌でしか見たこないので実物みたいんですが(w RT @sonodam: 技術系古本を愛でる勉強会とか千葉でやるか(笑)。レア本自慢集まれーみたいなw。危ない○号とか持って行くかなw。

port139: 昔のOSを愛でる会とかになると、たぶんとんでもない世界になってしまいそうなので、ちょっと前くらい、という表現に調整した(笑)、いや VAX とかも見てみたいとか見たい気もしますけど、話についていけない気がする。

cchanabo: え、わたしいじったことあります…(告白 RT @port139: ちょっと前のOSとか愛でる会とかないすかね、学生のころ NEXT STEPとか雑誌でしか見たこないので実物みたいんですが(w RT @sonodam: 技術系古本を愛でる勉強会とか千葉でやるか(笑)。レア本自慢集ま

port139: OS/2 って触ったことないなぁ HPFS とか実物は拝んだことないですねぇ、CTFの問題に HPFS 出しておくといいのか?(嘘)、あと NT 3.1 もないかも~ NT 3.5 から入ったから。Me とか触ったことないけどいいや(w

port139: 昔、Windows NT上で UUCP 使おうとして、結局挫折したけど、あれってそもそも動いたんだろうか。

swim_taiyaki: @port139 オラ、OS/2はWarpだったっけかな?はありますよ。いまひとつ使い勝手は良くなかった気がします。

sonodam: @port139 準備がものすごく大変そうな(笑)。動くブツがある場所を訪問するとかいうタモリ倶楽部的ツアーは良いかも。

sonodam: BeOSとかならあるなあ。レアもので言えば。

sonodam: 5月中旬の土日あたりで一発やるかな>愛でるか勉強するか食べるかする会(笑)@千葉県

port139: @sonodam あれ?食べながら眼Grepするんぢゃないんですか?、お酒のみながら眼Grepしたら倒れそうですけど(^^;;

sonodam: テーマは目grep、昔、ちょい前OS、技術系古書発掘とか(笑)。


このサイトのことも書かれてますが、ここ、あんまり役に立たないですよ。
k_morihisa: 情報セキュリティの情報収集サイトを作ってみました. 情報セキュリティアンテナ https://sites.google.com/site/securityantennas/

k_morihisa: [情報セキュリティアンテナ](RSS 追加) JPCERT/CC お知らせRSS, JPCERT/CC RSS Feed, JVC RSS Feed を追加しました. https://sites.google.com/site/securityantennas/home



その他に気になったことはこのあたり。
kinugawamasato: ついになおった http://d.hatena.ne.jp/masatokinugawa/20101012/get_token


bulkneets: さてhref属性なしの使っていたサイト全てでDOM Based XSSが可能だったわけで、重要な個人情報扱うサイトは過去のアクセスログ精査したりしないといけない(#以降だとログ残らないケースもあるが)と思うんですが、アナウンスされるんでしょうかね


rizaudo: なんていうか、セプキャンは最強のアマチュアを育てると聞いてます。 だからこそ、楽しんでる人=努力をしている人を入れて欲しいです。 アマチュアと言うことは、努力する義務はないはずです。 じゃあなぜやるか、楽しいからに決まっているじゃないですか。


ockeghem: 銀粘土とか、電子レンジ使うものがありますね。まずいw RT @gutei: 工芸品?で何か電子レンジ使うというやり方があるものがあったような・・・工芸やってないので覚えてませんがw、拙いですねwww QT @ockeghem: @ymzkei5 なるほど!


ymzkei5: あとは、テレビや映画で、警官に部屋に踏み込まれた“ハッカー”さんが、USBメモリとかHDDを壊すのにも使ってますかねw RT @ockeghem: 銀粘土とか、電子レンジ使うものがありますね。まずいw RT @gutei

テーマ : セキュリティ
ジャンル : コンピュータ

4月14~15日のtwitterセキュリティクラスタ

珍しく朝から仕事してたので更新が遅れました。関係ないですが今日は飲みに行くので関係各位ご相手の方をよろしくお願いします。

ついにIPv4アドレスが枯渇しそうな勢いです。どっかのクラスAとかBの複数ブロック持ってるところが放出してくれればいいのですがそんなお宝を手放すおめでたい人がいるとも思えず。
Murashima: ついに APNIC の IPv4 アドレス枯渇 JPNIC IPv4アドレスの在庫枯渇に関して http://www.nic.ad.jp/ja/ip/ipv4pool/


フィーチャーなのかフューチャーなのかごっちゃになりますよね。
port139: そういえば、HJ の記事を読んで、ガラケーではなくフューチャーフォンと呼ぶことについて話題になった。

MasafumiNegishi: @port139 フィーチャーフォンじゃなくて、フューチャーフォン?

port139: @MasafumiNegishi あ!すいません!!先取りになっちゃいますね、フィーチャーですね(ぐぐると特化型携帯とかいう訳なんすかね)、次回はフォーチュンフォンと間違えるかもしれません(違

port139: もはや、自分がフューチャーといっているのかフィーチャーといっているのかわけわかになっている


ポケットモンスターは英語だとまずいから省略したんですよねー。とか… 自分が中学生の頃PCで何をやってたか思い出すと、友達の家で「信長の野望」か「三國志」しかやってなかった気が。
ockeghem: 昨夜晩ご飯を食べながら、息子(中1)が「ポケモンは海外でも人気があるんだよね」というので、「そうだよ、アメリカ人でもpokemonをパスワードに使う人がいるらしい」と答えたら、息子が「そのパスワード辞書攻撃ですぐやられるね」と返したので虚を突かれた気がした

ockeghem: 早熟な中1なら辞書攻撃くらい知っているだろうけど、息子はそういうタイプではない。おそらく、これを貸したので載っていたのだろう 「暗号の秘密とウソ」http://amzn.to/ho5qF8 読んでも分かるまいと思っていたが、エッセイなので理解できた箇所もあったか


その他に気になったことはこのあたり。
shirahama_sympo: ようやく、「サイバー犯罪に関する白浜シンポジウム」の参加受付がはじまりました。まだプログラムは確定していませんが、みなさ~ん、今年もよろしく。 http://www.sccs-jp.org/SCCS2011/index.html


tessy_jp: 韓国では多いですね>Andorid ぜひ次回参戦をw(来週末予定) RT @port139: やっと斜め後ろに座っている著者の人からHJをお借りして読んだ。CodegateのCTF予選参戦記が臨場感あり面白かったです!!CTFの世界ではすっかりAndroidとか出るですねぇ。


ntsuji: THC-Amapが6年ぶりくらいにバージョンアップしていますよ。 http://www.thc.org/thc-amap/


hasegawayosuke: http://bit.ly/i1oHD9 これ、すごいな。透明なをdownlaodボタンと重ねることでユーザにアップロードではなくダウンロードだと錯誤させて、デイxレクトリごとぶっこ抜き。普通の人は騙されるな。


jnsa: 情報セキュリティインシデントに関する調査報告書 ~発生確率編~公開 http://www.jnsa.org/result/incident/2010_probability.html


Akira_Murakami: パスワードクラックの辞書攻撃は機械まかせで、楽々感だが、英訳の辞書攻撃は人力の無力感がだだよう。


mtakahas: 昨日公開した、川口さんのコラムです。サービスを止めないようにするのは大変です……。東日本大震災、そのときJSOCは - @IT http://t.co/cFpye75


fumitake1969: Android版 Skype のDBは平文 & パーミッション全開、他アプリから参照可(Engadget) http://engt.co/g0V1T7

テーマ : セキュリティ
ジャンル : コンピュータ

4月13日のtwitterセキュリティクラスタ

花粉がひどくて当社比50%くらいの出力しか出ない気がします。ただでさえ出力不足気味なのに…

今度はWordPress.comがやられてしまったようです。日本人で使ってる人は少ない印象ですが、ご注意ください。
tdaitoku: WordPress.comに不正アクセス、ソースコードなどの情報が流出 http://www.itmedia.co.jp/enterprise/articles/1104/14/news018.html

ockeghem: 『複数のWebサイトで同じパスワードを使っているユーザーも多いことから、もしもパスワードが流出していた場合、被害が拡大しかねない』http://htn.to/5akbZE


すぐデータが消えるHDDについて。普通は残ってて困ることよりも消えて困ることの方が多いので個人的には使わないと思いますが。
totoromasaki: 【人柱募集】こいつの、正しいforensic 方法 http://engt.co/gBvISH *YF*

ntsuji: アンチフォレンジックでもありますね。想定する機器をある程度自由に設定できるのでしょうか。 東芝、想定外の機器に接続すると瞬時に読めなくなるHDDを製品化 http://japanese.engadget.com/2011/04/13/hdd/

totoromasaki: @ntsuji それ、かなり頭の痛い話ですよね *YF*

totoromasaki: @ntsuji ただでさえ、あれとこれを組み合わせると、ゲフンゲフンなのに。 *YF*


シークレットモードの注意点とショルダーハックはできないと主張するユシマロさん。残念なことに朝鮮日報の記事は消えてしまったようです。
ucq: Chromeの「シークレット モードが他のユーザーやサーバー、ソフトウェアの動作に影響することはありません。なお、下記のようなケースにご注意ください。」にふいたw

ucq: ・ユーザーの情報を収集、共有するウェブサイト・アクセスしたページをトラッキングするインターネット サービス プロバイダや雇用主・無料ダウンロードなどと一緒にインストールされ、キーストロークを記録するマルウェア・スパイ、諜報活動・背後にいる人

totoromasaki: @ucq ショルダーハックはデフォルトですね *YF*

ucq: @totoromasaki はい、基本スキルですよね

totoromasaki: @ucq ユシマロさんも、やってるのですね? *YF*

ucq: @totoromasaki ぼくはできません。あとユシマロじゃないです><

totoromasaki: @ucq でも、朝鮮日報に・・・ *YF*

ucq: @totoromasaki どうしてああなった!


こういうものって職業も年齢もどうでもいいと思うのですが、どうして学生限定なんでしょうかね。
tetsutalow: トレンドマイクロのセキュリティアワード2011、今年から審査に参加します。学生の皆さん是非ご参加を。http://jp.trendmicro.com/jp/about/news/pr/article/20110413004937.html



その他に気になったことはこのあたり。
bulkneets: 新聞社の外部サイトで記事共有するボタンのJavaScript変にカスタマイズしてるせいで任意のコード実行可能で見かけ上の記事内容改変できる事例が複数ある


y_tsuda: はせがわさんと竹迫さんによる単なる夫婦漫才を観覧希望の方は、4/24(日)にNAISTへ!http://www.sokaisecurity.org/news/sokai-hacks-001


laccotv: 川口洋のつぶやき 第63回?「標的型攻撃の対応の難しさ」を公開しました。 http://www.youtube.com/watch?v=FvNWjQvrrnE

テーマ : セキュリティ
ジャンル : コンピュータ

4月12日のtwitterセキュリティクラスタ

今日はMSのアップデートの日のようです。箱のパソコン4台も持ってるような無理すぎる人は、アップデートも大変だと思います。
piyokango: 今日はMSの恒例アップデート。大量パッチを頑張ってあてましょうかね。


そして、個々のアップデートについての解説が。ありがたいです。
kaito834: MS11-034にえらい数のCVEが割り当てられてる。SANS Diary April 2011 Microsoft Black Tuesday Summary http://isc.sans.edu/diary.html?storyid=10693

kaito834: MS11-018(IE累積パッチ) で修正された CVE-2011-0346 は PoC あり。また CVE-2011-1345 の FAQ には "限定的な攻撃を確認している" との記述あり。

kaito834: CVE-2011-1345 は Pwn2Own で発見された脆弱性みたい。http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1345

kaito834: MS11-019(SMBクライアント)で修正されたCVE-2011-0654は PoCあり。CVE からリンクしている。http://www.exploit-db.com/exploits/16166/

kaito834: MS11-027(ActiveX)で KillBit をたてる CVE-2010-3973 は PoC あり(CVE からたどれる)。また、Java Deployment Toolkit にも KillBit もたてる模様。CVE-2010-0886 が対象のようだ。

kaito834: MS11-023(Office)で修正された CVE-2011-0107 は DLL Hijacking。CVE が 2011 だからまだ見つかっているのかな。

kaito834: MS11-024(FAX)で修正されたCVE-2011-3974は、すでに公開されている脆弱性のようだ。

kaito834: MS11-025(Visual Studio,MFC)で修正された CVE-2010-3190 は DLL Hijacking。"MFC を使用して開発されたアプリケーションが外部のライブラリをロードする方法を修正することにより..." という記述あり。先日のつぶやき、当たり?

kaito834: MS11-026(MHTML)で修正されたCVE-2011-0096は PoC あり。限定的な攻撃も確認されている。http://www.microsoft.com/japan/technet/security/advisory/2501696.mspx

kaito834: MS11-034(Windowsカーネル)では、30件の非公開の脆弱性を修正している。http://www.microsoft.com/japan/technet/security/bulletin/MS11-034.mspx


最近議論が盛んな気がするパスワードの有効期限についての意見です。確かにインターネット経由前提で話が進んできたので、LANの環境では別問題なんだろうなと思います。
kitagawa_takuji: パスワードの有効期限について オンライン・クラックだけを考えておけば良いWebアプリやUNIXのパスワードとNTLM認証情報(チャレンジ・レスポンス)が簡単に取得できオフライン・クラックにも備える必要のあるWindowsのパスワードは分けて考える必要がある

kitagawa_takuji: (続き)キャプチャーしたチャレンジ・レスポンスはCain & AbelやJohn the Ripperなどを用いてオフライン・クラックすることが可能。 NTLM認証情報のキャプチャ攻撃についてはHJ3月号p58-60参照

kitagawa_takuji: (続き)オフラインによる総当たり攻撃でも解析されないように桁数・文字種を増やすことの方が優先順位としては高いが、有効期限を設定することは特にWindowsにおいては無意味ではない

kitagawa_takuji: (続き)パスワードハッシュが容易に取得できるとうことは/etc/passwdにハッシュが保存されている状態にほぼ近い パスワードの定期変更は「神話」なのか? http://goo.gl/QgNIk パスワードの定期変更という不自然なルール http://goo.gl/yc2Gl


自分の名前がスピーカーから聞こえてくるのは意外と恥ずかしいものですね。
MasafumiNegishi: セキュリティ関連のポッドキャストいろいろ http://bit.ly/dLR36R


うちのRTX1100もまずそうなのでメモ。
ScanNetSecurity: 「ヤマハルーターシリーズ」にDoS攻撃を受ける脆弱性(IPA) http://scan.netsecurity.ne.jp/archives/51966365.html


その他に気になったことはこのあたり。
bulkneets: facebook全く改善されてもいないし返事も来ないで約1週間経った http://bit.ly/hoGQMW

bulkneets: facebookのセキュリティが云々と言っている時に「嫌なら使わなければいいじゃん、俺は使うけど」というのは俺の個人情報がデスクトップに置かれたパソコンでWinny使われてる感覚に近い


kitagawa_takuji: WAFベンダのBarracudaがSQL Injectionでやられる http://goo.gl/gu7cY <それに対するBarracudaの言い訳 "Learning the Importance of WAF Technology" http://goo.gl/i2Yvh


THEdarknet: RawCap ? Free Command Line Packet/Network Sniffer For Windows (Raw Sockets): RawCap is a free command line netwo... http://bit.ly/dJ16GU


ntsuji: bindshell.net終了のお知らせ。7年間のご愛顧誠にありがとうございましただそうです。 http://bindshell.net/


jpcert_ac: contagio に掲載されている Adobe Flash の doc 検体、取り急ぎ動かしたら Win XP SP3 日本語版 + Word 2003/2007 最新版と Flash 最新版のデフォルト環境で動きました。Word 2010 では動かず。 ^YN


jpcert: こんにちは。JPCERT/CC 2011年1月から3月のインシデント報告対応レポートと四半期活動概要を公開しました。^YK https://www.jpcert.or.jp/update.html

テーマ : セキュリティ
ジャンル : コンピュータ

4月9~11日のtwitterセキュリティクラスタ

出張行ってました。戻ってきたらまたまた余震で困ったものです。なんとかならないもんですかねえ。

DEFCONとかAVTokyoとかa.d.200xとか@Randomでは飲んでた気がするのですが、勉強会ではないですか。そうですか。
port139: 個人的には禁断と認識していた勉強会の最中における飲酒が全面的に解禁される画期的な勉強会が企画されていた?!質疑応答の段階で全員出来上がっている予定(笑)次の日には全て忘れているという点ではセキュリティに向いているかも?!

tessy_jp: 【昼間】という条件NGw RT @hasegawayosuke: それなんてAVTokyo? RT @port139: 個人的には禁断と認識していた勉強会の最中における飲酒が全面的に解禁される画期的な勉強会が企画されてい… (cont) http://deck.ly/~punXq


その他気になったことはこのあたり。
tessy_jp: さてとコーヒーでも飲みながらroot取るか。


hasegawayosuke: セプキャン、講師やめて講義受けたい。


tessy_jp: マジで経験したのは日本人でも4人だけなので、貴重ですよ。俺も聞きたいw RT @__asp バイト先から、CODEGATEのCTFについて1~2時間ほど、社員の前で話して欲しいと頼まれた。むちゃぶりwwww


MasafumiNegishi: Sonyが GeoHotと和解。今後 Sony製品のリバースエンジニアリングをしないなどの条件で。 Sony Settles PlayStation Hacking Lawsuit | Threat Level | Wired.com http://t.co/mT3Vn7A


kaito834: 事前予告されている 2011年4月のMS定例パッチの Microsoft Visual Studio って、http://slashdot.jp/security/10/10/28/2224214.shtml の話題にある DLL Hijacking の修正かなー。


k_morihisa: 「海水は乾かさないのが鉄則」 : 津波で浸水したHDDがデータ復旧するまで、日本データテクノロジーに聞く -INTERNET Watch http://t.co/8BILG4T via @internet_watch


ntsuji: ゆるーいセキュリティなポッドキャスト「SPC(仮)」http://www.tsujileaks.com/ にハッシュタグを付けてみましたよ。 #tsujileaks

ntsuji: ちなみに「spc(仮)」というのは、そのまんまで、セキュリティ・ポッド・キャストを縮めただけです。ゆくゆく名前を決めたいなーと思うのですが何がいいでしょうか。今、でている候補としては「セキュリティのアレ」だったりしますw #tsujileaks

tama_nara: 9月に東京で開催する予定だった暗号ハードウェアの国際会議CHES2011ですが、奈良で開催することになりました。あらためてよろしくお願いいたします。 #naist @NAIST_IS


haruyama: あなたの位置情報は承諾なしにインターネット利用端末から690メートル以内の精度で特定できます | Over the Vertex of Technology by 朝山貴生 - http://icio.us/qlSoSo


risa_ozaki: 「グーグル、Androidの企業向け管理機能を強化--紛失端末のパスワードリセット機能など」 - http://bit.ly/f6TuAH via @ntsuji


ockeghem: 良い記事。MySQLの動的/静的プレースホルダをパケットキャプチャで確認している。その他ネタもあり / Mundane Life: MySQL の Prepared Statement http://htn.to/FVgMaS

テーマ : セキュリティ
ジャンル : コンピュータ

4月8日のtwitterセキュリティクラスタ

ちょっと早めに起きたので、出かける前にちょっとだけ。

ペネトレーションテスター(?)が語るncによるftpについて。
ntsuji: FTPとか起動するのが面倒なときはncで。やっぱり便利ですよ。

tomoki0sanaki: いいですね♪人生に一度ぐらいは、ncで ftp する経験はした方がいいと思っています。 QT @ntsuji FTPとか起動するのが面倒なときはncで。やっぱり便利ですよ。

ymzkei5: @tomoki0sanaki @ntsuji あ、そういうこと?!>“ncで ftp する経験” そういうバナー取り的な話じゃなくて、ncファイルで送受信する話かと思った~。

ntsuji: @tomoki0sanaki @ymzkei5 ボクの言葉足らずでした。ファイルを転送したいときにFTPDを上げたりというのは面倒。さらに、VM使ってたりすると一旦Windowsに落としてVMにはもうイライラ。そういうときにはncでリダイレクトで転送・保存は便利便利てことですw

ntsuji: @tomoki0sanaki @ymzkei5 ただ、ncでのファイル転送もFTPクライアントとしての使用、任意の文字列を食わせて攻撃。というのはどれも経験すべきですねー

ymzkei5: @ntsuji FTPクライアントとしての使用は・・・データコネクションが面倒くさそうw

ntsuji: @ymzkei5 あー あくまで検査時のクライアントってことですー -oでトラフィックを保存できるのも魅力的なんですよねー

ymzkei5: @ntsuji なっとくです。(^ー^)

tomoki0sanaki: いやいや、人生で一度くらい面倒くさそうな経験もアリです。(^_^) QT @ymzkei5 @ntsuji FTPクライアントとしての使用は・・・データコネクションが面倒くさそうw

ymzkei5: @tomoki0sanaki 何事も経験と。(^ー^;

tomoki0sanaki: 「-o」なんてあるのか!...orz。私はnc-l -pポート>ファイル。相手は nc アドレスポート<ファイル。で、ハブのランプを見ながら、しばらくしてCTRL+C。...orz QT @ntsuji @ymzkei5 -oでトラフィックを保存できるのも魅力的なんですよねー

ntsuji: @tomoki0sanaki @ymzkei5 ボクも転送するときはそっちでやっていますよ。検査時のチェックのときにはprintableな文字だけだと気持ち悪いときがあるので、そのときは「-o」使ってますー

tomoki0sanaki: ただ、nc で FTPd もどきは困難でした...orz。 データコネクション側の3WayHandsHakeのタイミングがうまくいかなかった経験が... QT @ymzkei5 何事も経験と。(^ー^;



完璧なセキュリティって?
tomoki0sanaki: お客に「これだけやれば "完璧" のようなセキュリティのチェックリストとかないの!?」とか言われると、「ソフトウェアはそんなに単純じゃねーだろ、パターン化できねーだろ」と、心の中で思うときがあります。

port139: ■電源断、■LANケーブル抜く... RT @tomoki0sanaki: お客に「これだけやれば "完璧" のようなセキュリティのチェックリストとかないの!?」とか言われると、「ソフトウェアはそんなに単純じゃねーだろ、パターン化できねーだろ」と、心の中で思うときがあります。

tomoki0sanaki: それだ。それでいこう♪ RT @port139 ■電源断、■LANケーブル抜く...

テーマ : セキュリティ
ジャンル : コンピュータ

4月7日のtwitterセキュリティクラスタ

困ったことにまたまた地震が来ましたが、もうなんだか慣れてしまってダメな人です。ちなみに週末は大磯の方に向かうのですが、避難するわけではなく仕事です。というわけで明日から月曜日までの更新はお休みになります。すみません。

昨日紹介した@piyokangoさんの日記に書かれたWAFのことに↓に鋭い突っ込みが入っています。できるできないっていうのは記憶に頼らずにちゃんと調べないといけませんな。
piyokango: 忘れる前に書いてみました。/大規模インジェクション 「LizaMoon」攻撃について調べてみた。 http://bit.ly/hXEhZ6

ymzkei5: え、、“ブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。” >■大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog http://bit.ly/eSHEtp

ymzkei5: @ockeghem そういうWAFもあるのかしら、、(^ー^;

ockeghem: 日記書いた / ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem(徳丸浩)の日記 http://htn.to/HWkRdd

ymzkei5: @ockeghem 完璧すぎますwww

ockeghem: マジレスすると、Citrix Application Firewallは、記号が入っていないとSQLインジェクション防御が抜けやすくなりますね。“完璧なWAF”なのかもしれないw

piyokango: @ockeghem @ymzkei5 勉強不足ですみません。http://bit.ly/hXZjJJ を10回読んで""(こっそり)修正します。

ockeghem: @piyokango @ymzkei5 僕も日記に書きましたが、その前に@sonodam が引用しているしw


引用されているというのはhttp://d.hatena.ne.jp/sonodam/20110407ですね。

piyokango: こっそり、、修正しました。。

piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

ockeghem: 某先生からdisられて、心臓が口から飛び出るような思いをしないうちは一人前とは言えませんぞw RT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

ymzkei5: そして何年か後に和解して対談する、と。(ちがうw QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

piyokango: 仲良く握手する写真は撮らせてもらえないんですか。。(笑) RT @ymzkei5: そして何年か後に和解して対談する、と。(ちがうw QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

katsuny3: そしたら○○先生にディスられた人飲み会をやろう QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

piyokango: やはり懇親会の前にはディスられ勉強会が必要かと。。 RT @katsuny3: そしたら○○先生にディスられた人飲み会をやろう QT 「またpiyokangoか」とその内いわれる気がしてきました。


JSから読み出せないからちょっとくらいXSS対策になりそうな気がしなくはないhttponlyなcookieについて。上書きはできるんですね。
tomoki0sanaki: 一応、JavaScript 上から「document.cookie = " abc=xyz; path=/; httponly; " + document.cookie;」みたいにすると、httponlyなクッキーを追加保存はできるようだ。

tomoki0sanaki: ブラウザだけで使う→ローカル/セッションストレージ。ブラウザでは使わないけど、サーバ(WebAPplication)で使う→クッキー。という仕分けができれば、クッキーのhttponlyは普及するかも・・・

s_hskz: XSS有り前提なら、JavaScriptオフでも昔のIEではmeta要素で上書きできたはずです。IE8では未検証。QT @tomoki0sanaki: httponly なので、追加保存した後で、JavaScript から読み出せなくなるけど、上書きはできるようだ。

tomoki0sanaki: @s_hskz httponly などは、おまじない程度だとは重々分かっています。

s_hskz: @tomoki0sanaki うっかり作ってしまった時の記録です> http://d.hatena.ne.jp/hoshikuzu/20090806

s_hskz: @tomoki0sanaki うわ、肝心のコードは何も書いてないので、すみません。meta要素でcookie書けるコードならgoogleでころがってますので、それをコピペして、httponly風味に付加した記憶があります。



XSSというかその関連のコードがいろいろ書かれているのですが、ちっとも意味がわかりません。WEBの検査をする人って日々こんな呪文を使いこなしているのかと思うと脱帽ですね。
s_hskz: ( ) = [ ] を使わずに、IE8 でalert(1)できるということ。ナイス!

s_hskz: alert(1) w/o ( ) [ ] = on IE8

hasegawayosuke: http://example.com/#1={a:#1#,b:alert(1)} // payload in location.hash, for eval( location.hash )

s_hskz: 1%{valueOf:location,toString:Array.prototype.shift,0:name,length:1} ⇔Overall impact: 8 PHPIDS

s_hskz: @hasegawayosuke 御意にござりまする。たとえば、こんなの、どうして動くんだか忘却。→ {name="alert(1)"}{testfunc=function(){eval(name)}}{new testfunc}//for IE

thornmaker: http://blog.mindedsecurity.com/2011/03/abusing-referrer-on-explorer-for.html this could be useful for more then just referrer XSS, methinks

hasegawayosuke: window.__defineGetter__("uu",function() { alert(1) });eval("\\u"); "Opera parser monster eats unicode" http://bit.ly/f7cv76 by @garethheyes


その他に気になったことはこのあたり。
bulkneets: facebookのサブドメインのXSS動かなくなってる、報告されて4日、晒されて3日強ぐらいで直ったっぽいですね http://bit.ly/gBq58Z


ikb: 総務省|東日本大震災に係るインターネット上の流言飛語への適切な対応に関する電気通信事業者関係団体に対する要請 http://t.co/RrygVf3 -- 検閲がはじまるのか。流言飛語というけれど、それがそうであると誰が決めるんだ?

テーマ : セキュリティ
ジャンル : コンピュータ

4月6日のtwitterセキュリティクラスタ その1

最近流行の攻撃ではMS SQL Serverのセミコロンを忘れても複文が実行できる親切機能が悪用されているらしいですよ。
kaito834: (続き)...セミコロンなく複文が成立するのは、徳丸さんのブログ記事で知りました。「SQL Serverが狙われるにはまだまだ理由がある」http://www.tokumaru.org/d/20080627.html

kaito834: 「Lizamoon」に関するIBM 東京SOCが公開していたクエリストリングを見ていて、SQL における複文の区切りとなるセミコロンがない点が気になった。「/target.asp?id%3D17871+update+【テーブル名】...」...(続く)

kaito834: (続き)...複文を挿入するとしたら、「/target.asp?id%3D17871%3B+update+【テーブル名】...」じゃない?と思った。調べていたら、Microsoft SQL Server だと、セミコロンなくても複文が成立するんですね(x...(続く)

ockeghem: @kaito834 ようやく、セミコロンなしの複文による攻撃が出て来たのですね。僕もIBMさんの解説読んで「ほほう」と思いました

ymzkei5: @kaito834 攻撃者が、http://www.tokumaru.org/d/20080627.html#p01 を読んでいたとか?w

kaito834: @ymzkei5 ほんとにあり得るかもw

kaito834: @ockeghem 攻撃者の一歩先をいってますねw

ockeghem: @kaito834 これで、SQLインジェクション対策で「セミコロンの削除」をうたっていた解説にトドメを刺せることが嬉しいですね


この複文セミコロンなしで使えちゃう攻撃が利用されたのが「LizaMoon」ですが、そのわかりやすい解説はここに。
piyokango: 忘れる前に書いてみました。/大規模インジェクション 「LizaMoon」攻撃について調べてみた。 http://bit.ly/hXEhZ6


徳丸本の後は、「安全なウェブサイトの作り方 改訂第5版」が公開されています。こう安全になるとWebセキュリティの専門家は食えなくなるんじゃないかと心配してしまいますね。
MasafumiNegishi: 「安全なウェブサイトの作り方 改訂第5版」が公開されてます。 http://bit.ly/gkeX59

ockeghem: 『携帯IDの問題をはじめとした、携帯サイト開発上の注意点4項目を追加し、改訂第5版を公開しました』 / 情報処理推進機構:プレス発表:記事:「安全なウェブサイトの作り方 改訂第5版」を公開 http://htn.to/Jqmeko

ockeghem: 「安全なウェブサイトの作り方 改訂第5版」ですが、内容以外にも版の組み方や細かい字句など、多くの改訂が入っています。今までの読者の方にも目を通していただきたいですね http://htn.to/Jqmeko


どうやら開催されるような予感のセキュリティ&プログラミングキャンプですが、いろんな意見があるようで。悪しき平等主義のためになんの効果もないよりは、一点集中するのも手だと思うのですが、なかなかそう思う人たちだけではないようです。
hasegawayosuke: 「税金投入は底上げのために行うべきで、少数の高度人材育成に使うべきでない」という声は、セキュリティに関して言うとちょっと世界の動向に対して危機感ないのかな、とも思った。

tomoki0sanaki: @hasegawayosuke 少数の高度人材育成が、回りまわって「底上げ」につながるかもしれないですよね。

yasulib: @hasegawayosuke 底上げのために行うべきという意見も分かりますが、IT業界は1人の優れた技術者から周囲の大多数の人に影響を及ぼしていく気がします。リーナス氏などOSSのプロジェクトは特にそれが顕著な気がします。


そして、こちらではキャンプのことも少し話題になってます。なかなかセキュリティにお金が絡むと難しいことがいっぱいです。
hasegawayosuke: おもしろい。 「サイバーセキュリティと経済 研究会(第3回)‐配付資料 」 http://www.meti.go.jp/committee/kenkyukai/shoujo/cyber_security/003_haifu.html

hasegawayosuke: サイバー攻撃解析専門家:「IPAのセキュリティキャンプに過去に参加したことがあるが、講師のスキルレベルが非常に高く、参考になった。」 http://bit.ly/eDvMkA


いよいよ4月1日に提出されたウイルス作成罪ですが、どうなっちゃうんでしょうね。自称セキュリティ研究家の私が所持するのはいけないことになったりするのでしょうか。
yumano: 誰かか教えてほしいの。なんで、ウイルスの取得、保管が処罰されるの?どういう意味があるの?刀剣類所持等取締法みたいにいちゃもんつけて逮捕される匂いがプンプンするんだけど、どうなの?何が正当な理由なの?個人で研究してますってのは正当な理由なの??

yumano: @tomoki0sanaki そうですよね~。条文読んでなんとなく理解しました。予備罪としなかったのは範囲が広すぎるからなのかな・・・

tomoki0sanaki: @yumano 先日の高木先生出演のニコニコ動画では、外人の外国のサーバ上にアップしたものも対象だとか・・・(個人的に驚き)。その話から外国の似たような法律が日本人の日本国内のサーバで公開した(日本語のreadmeしかない)ソフトウェアも対象になるのか!? と不安になりました。

F0ro: @tomoki0sanaki @yumano また、今回の法案では「正当な理由がないのに」という条件がついていますが、この「正当な理由」が正当業務の企業はともかく、果たして個人に適用されるかは、素人の私では分かりませんし、ちょっと判断が難しくなるのではと思います。

tomoki0sanaki: そうでした。重要なポイントでした。 RT @F0ro @yumano という認識でいいと信じたいですが、高木先生は「人の電子計算機における実行の用に供する目的」という表現の解釈が分かれるのではないかと指摘されてます。

katsuny3: 作者は金目的とはいえ、成果物がどんな目的で使用されるかを認知していれば、アウトになってもしょうがないんじゃないかって思います。 RT @tomoki0sanaki: 「使う目的を認知していたら」下請けベンダー(開発者)も「作成」でアウトなんですかね!?

tomoki0sanaki: やっぱり。・・・受託開発はまぁそうですよね。 QT @katsuny3 作者は金目的とはいえ、成果物がどんな目的で使用されるかを認知していれば、アウトになってもしょうがないんじゃないかって思います。



その他に気になったことはこのあたり。
office_acer: IPAの「コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について」も出てますね。今月の呼びかけは「無線LANを他人に使われないようにしましょう!」 http://www.ipa.go.jp/security/txt/2011/04outline.html


sokaisecurity: 4月24日に奈良先端大での開催を予定している「第1回 So-Kai Hacks! (爽快セキュリティ技術系勉強会)」、申込みを開始いたしました。 http://www.sokaisecurity.org/news/sokai-hacks-001


s_hskz: XSS例題草案( http://d.hatena.ne.jp/st4rdust/20110329/1301386042 ) に略解を付与しました。 enjoy it!


MasafumiNegishi: ForensicSoft Announces Windows Boot Disk SAFE Version 1.2 http://bit.ly/fYZqMY


gohsuket: バチカンがハッカー思想とキリスト教主義を比較 RT @kaepora The Vatican is comparing hacker philosophy to the teachings of Christianity: http://j.mp/dS2jZs


moton: 明日急遽九段下で花見します! アノ花見(仮) : ATND http://atnd.org/events/14570

テーマ : セキュリティ
ジャンル : コンピュータ

4月5日のtwitterセキュリティクラスタ その2

長くなってしまったのでその2。今日はメディアリテラシーとネットワークコミュニケーションについて考えさせられる日となりました。専門家ですらこのありさまなんですから、これで全く知識のない人が転送したり自分好みに改変することで、デマって簡単に起こってしまうんだなあと実感させられます。

そして、エイプリルフールネタにScanが釣られてしまったらしいですよ。
ockeghem: エイプリルフールネタをまじめに要約するという読者の読解力が問われるネタ。元ブログの日本語訳も誤訳(訂正済み)のため難易度が高かったが、さらに難易度が上がった/誤報との追記が入りましたね / 300万以上のアカウントのパスワードを「pas… http://htn.to/r5jaWo

ScanNetSecurity: お詫びと訂正 :300万以上のアカウントのパスワードを「password」に変更するハッキング(エフセキュア) http://scan.netsecurity.ne.jp/archives/51963831.html

sen_u: 編集長不在の間に弊誌がエイプリルフールに釣られたとか何とか。セキュリティの話は嘘を見抜きにくいという事例か。

MasafumiNegishi: @sen_u いやー、Anonymousと Obviousをかけてたり、見え見えのおもしろいネタだったんですけどねぇー :)

kitagawa_takuji: 「エイプリルフールである可能性」ではなく明らかにエイプリルフールだと思うが 300万以上のアカウントのパスワードを「password」に変更するハッキング(エフセキュア) http://scan.netsecurity.ne.jp/archives/51963831.html


やはりというかネタバレとお詫びが。掲載するのも翻訳するのもなかなか難しいところです。
risa_ozaki: @you_0708 海外でも釣られた方がいらっしゃった様ですが、現時点で問題に発展したという話は聞いておりません。恐らく、翻訳記事の難しさ&文化的な背景などもあるのかなと。今後、この様な事態に発展しない様、エイプリルフール対策を講じてまいります。

risa_ozaki: 巧妙なエイプリルフール (ネタばれ): 4月1日はエイプリルフールですが、フィンランドのエフセキュア研究所で主席研究員(CRO)を務める、ミッコ・ヒッポネンによるブログ記事が、エイプリルフールではないか… http://bit.ly/eGN4nL via @FSECUREBLOG

ymzkei5: このネタバレの記事、FirefoxやChromeだとちゃんと表示されますが、IE7/IE8だと2段落目以降が途切れてしまって読めないかも?(私だけ?) RT @risa_ozaki: 巧妙なエイプリルフール (ネタばれ) http://bit.ly/eGN4nL

risa_ozaki: 承知しました!明朝、確認いたします。RT @ymzkei5: このネタバレの記事、FirefoxやChromeだとちゃんと表示されますが、IE7/IE8だと2段落目以降が途切れてしまって… RT 巧妙なエイプリルフール http://bit.ly/eGN4nL

risa_ozaki: ミッコがパスワードに"password1"をすすめるわけない、とおもいました。RT @you_0708: 読んでみると管理人にもネタと伝わってなかったという書きっぷり。あと多くの Anonymous ネタ… QT @risa_ozaki http://bit.ly/eGN4nL

risa_ozaki: さすがに投稿者本人の意図を聞かずしてガチなエイプリルフールか否かを正式にコメントできず。実に絶妙な内容でした。やっぱり翻訳記事って難しいな。気をつけなくては。

kitagawa_takuji: 300万ユーザのパスワードが変更されるガチな事件だったらF-Secure以外のメディアも報道してますよ。RT @risa_ozaki: さすがに投稿者本人の意図を聞かずしてガチなエイプリルフールか否かを正式にコメントできず。実に絶妙な内容でした。やっぱり翻訳記事って難しいな。

risa_ozaki: やはり書いた本人に確認もせず、勝手にコメントすることはできません。RT @kitagawa_takuji: 300万ユーザのパスワードが変更されるガチな事件だったらF-Secure以外のメディアも報道してますよ。RT @risa_ozaki: さすがに投稿者本人の意図を聞かず…

you_0708: @risa_ozaki ですよね :) ちなみに、もし良ければ教えていただきたいのですが、日本語記事のみということは海外では特にマジ解釈(?)されなかったんでしょうか?

risa_ozaki: @you_0708 海外でも釣られた方がいらっしゃった様ですが、現時点で問題に発展したという話は聞いておりません。恐らく、翻訳記事の難しさ&文化的な背景などもあるのかなと。今後、この様な事態に発展しない様、エイプリルフール対策を講じてまいります。

risa_ozaki: ご支援賜り、ありがとうございます。此度は配慮が足りず、お騒がせしてしまいましたが、今後ともより良いブログを目指してがんばります! RT @you_0708: @risa_ozaki ありがとうございます。なるほど、非常に参考になりました。これからも応援してます :)


そして、またまたTRACEの話。弊ブログでは微力ながらTRACEもう危険じゃないキャンペーンに参加させていただくことにしますw
kitagawa_takuji: 静的ページでXSSもなくベーシック認証やクッキーも使用していない。更に最近のブラウザであればでXMLHttpRequestでのTRACE送信が禁止されているにも関わらず、TRACEが有効なことを危険度「中」として報告する業者は摘発して欲しい http://goo.gl/1pSM8

kitagawa_takuji: IEでXMLHttpRequestオブジェクトでTRACEが送信できなくなったのはIE6 SP2から、IE6 SP2の公開は2004年9月、他のブラウザも恐らく同時期に対策がされたと思う。

ntsuji: @kitagawa_takuji そうですね。そう言った条件依存なところもあるので「低」として、報告会で補う形をとっていましたが、ブラウザの対応を加味して、もういいだろうということでインフォメーションレベルに倒しました。

kitagawa_takuji: 以前はXSSがある、Basic認証を使用している等によりレベルを別けていましたが対策済みブラウザが行渡った現在ではInfoで良いと思います。RT @ntsuji: 弊社のNWの診断ではそのあたりを加味して「低」にしていましたが、今年度から「他」というインフォメーションレベルに落と


その他に気になったことはこのあたり。
MasafumiNegishi: まだ全部理解できてないけど、SLAACによるIPv6の自動アドレス設定を悪用した攻撃。 SLAAC Attack ? 0day Windows Network Interception Configuration Vulnerability http://t.co/0lYJuzk


JVN: pWhois Layer Four Traceroute に権限昇格の脆弱性 http://jvn.jp/cert/JVNVU946652/


tamiyata: 米大手各社の顧客情報が流出――メールマーケティング企業から - ITmedia ニュース http://www.itmedia.co.jp/news/articles/1104/05/news022.html


lac_security: 川口洋のつぶやき 第62回?「標的型攻撃に注意!」(^ま) http://www.youtube.com/watch?v=o68tKKx1cns


nao_pcap: 3日間で3700万円――オライリーの被災者支援に共感したソフトウェアエンジニアたち - 電子書籍情報が満載! eBook USER http://ebook.itmedia.co.jp/ebook/articles/1104/05/news063.html


gohsuket: アノニマスがソニーにDDoS中 RT @sans_isc Sony DDOS, (Apr 5th): The Anonymous group is currently utilising LOICto DDOSSony infra… http://bit.ly/hgtMqv


matcha445: まだサイトにアップしてませんが、今回の場所はクオリティ株式会社さんの会場をお借りして開催します。IIJさんや日本オラクルさんに打診し、ともに前向きに検討頂けたのですが、別件や震災の影響もあり、クオリティさんにお借りすることになりました。 #matcha445


テーマ : セキュリティ
ジャンル : コンピュータ

4月5日のtwitterセキュリティクラスタ その1

本日はなぜかとても長いので、2本立てになります。その1。

昨日の朝まで行われていたCODEGATEのCTF本選ですが、チームSUTEGOMA2は惜しくも表彰台に一歩届かず、という結果でした。もう少しだったので悔しい気持ちの方が強いと思いますが、実力は示せたと思いますので、この悔しさをバネに次はDEFCONの本選出場が果たせれば良いですね。
tessy_jp: last 40min. Go!Go! #codegate #ctf http://plixi.com/p/89596934

tessy_jp: 温存しておいた解答を入れたけど4位のまま。あと1問で2位と同点の4位。 2問で単独。4問で首位と並ぶイメージ。残り30分。

piyokango: CODEGATE決勝のルールがわかってなかったりしますが、数字だけ見るとまだまだ逆転できそうですね。がんばれ!

tessy_jp: あと10分。1問で解ければ3位になれる。 http://plixi.com/p/89602274

_kana: あと10分。同得点で四位。 http://plixi.com/p/89601930

ucq: fin.

hasegawayosuke: 4位ですか。お疲れ様でした! RT @_iterator: 1위는 카네기멜론 대학의 PPP, 2위는 포항공대 PLUS, 3위는 한국의 One-Eyed Jack, 4위는 일본 sutegoma2

tessy_jp: final score #codegate #ctf Congrats ! PPP. 残念ながらsutegoma2は4位でした。 http://plixi.com/p/89611927

tessy_jp: あと一歩でこの表彰台だったのに。悔しい。 http://plixi.com/p/89616793

tessy_jp: 全チームの中で唯一sutegoma2だけが、Hack The Planetの問題が解けなかったらしい。Weddingをためしてないんじゃないか疑惑(ウソ それにしても悔しい。

07c00: CODEGATEが終わった。賞金を得られるのが3位までで、結果は4位。しかも2位まではほとんど紙一重の差。うーん、結果は悪くないが悔しさが半端ない。賞金を募金する作戦だったのでなおさら…。

hasegawayosuke: @07c00 賞金を獲得できるまで帰ってこないぞという意気込みで、もうしばらくよろすこーw

hasegawayosuke: 旅費つかって韓国行ってけっきょく賞金もらえないくらいなら、最初からその旅費を募金してれば!(うそです!お疲れ様でした!

yoggy: 家に帰ってツイートするまでがCTFです


そして、新聞で報道されるSUTEGOMA2。顔出しですか。
kchr: sutegoma2が韓国の新聞に 「大地震の前まではインターネットの世界で難しい暗号を解くことに快感を覚えていたのは事実だが、今後はどんな災害にも耐えられるセキュリティーネットワークの構築に力を注ぎたい」 http://j.mp/fFvQvT

hasegawayosuke: 「ユシマロ・ハヤト」って誰だよw 勇士マロ - "国際ハッキングコンテスト開幕、日本人選手が意気込み" http://www.chosunonline.com/news/20110405000033 #codegate #sutegoma2

yoggy: 地下鉄の売店で新聞買ってみたら載っててびっくり http://yfrog.com/h4wm7mej



セキュリティの勉強会って食い物がメインじゃなかったの?という話題。真偽はともかくこういう冗談半分なことに真面目に抗議したり反論するのは無粋な気はします。パブリックなネット上のコミュニケーションって難しいですね。
cchanabo: ところで、セキュリティの勉強会ってなんで食い物メインなの?

vulcain: まっちゃ445は食べ物メインじゃないですよー。おもてなしの添え物ですから。と、反応してみる。 QT @cchanabo ところで、セキュリティの勉強会ってなんで食い物メインなの?

cchanabo: 反論ではないんですね(笑)。うちのゼミもお菓子でます。お菓子メインです! RT @vulcain: まっちゃ445は食べ物メインじゃないですよー。おもてなしの添え物ですから。と、反応してみる。 QT @cchanabo ところで、セキュリティの勉強会ってなんで食い物メインなの?

ripjyr: ちょっwww QT @cchanabo: 反論ではないんですね(笑)。うちのゼミもお菓子でます。お菓子メインです! RT @vulcain: まっちゃ445は食べ物メインじゃないですよー。おもてなしの添え物ですから。と、反応してみる。 QT @cchanabo ところで、セキュリ

cchanabo: あ、食い物という言い方は単に言葉遣いが悪いだけです。他意はないです。

cchanabo: 勉強会に食べ物ってわたしは決して悪くないと思ってますよ。勉強ってコミュニケーションの中で身につけるととても効果的なんです。食べ物ってコミュニケーションを促進させる効果もありますし。わたしは、ゼミではお菓子だしてます。眉間にしわ寄せて勉強しても楽しくないですから。

port139: そもそもなんでケーキにしたのか記憶が曖昧ですけど、頭を使うと糖分欲しくなるし、ケーキでも食べながらにするか!だったような気がしないでもないなぁ>昔のお話 RT @cchanabo: ところで、セキュリティの勉強会ってなんで食い物メインなの?

hasegawayosuke: @port139 @cchanabo http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/port139/2001.08/msg00065.html このへんですかねー。

ma_naka: @vulcain @cchanabo 「食い物」・・・せめて「食べ物」とか「おやつ」とか「お菓子」とか・・・。しかもメインではありませんし・・・。運営側はともかく、参加してくださっている方々にも少々失礼な気が・・・。

cchanabo: @ma_naka @vulcain すいませんでした。

cchanabo: セキュリティ勉強会の食べ物の件、中の人に失礼だと指摘されました。すいません、配慮なくて。中の人たちが、それをネタにしつつたくましく有益なことをやっているのを、これでも応援してるつもりなんですが、失礼だという意見もありますので不快だと感じた方もいたのですね。申し訳ない。

vulcain: @cchanabo まぁお気になさらずに。以前、おもてなしのために喜んで貰えそうなのはどれか?と考えてやっているのに、極端な例で駄菓子と同じ扱いされたりと、表現に敏感になってる人もいますよー程度でおこってるわけやないですよ。



セプキャンが今年もあるようなかんじです。私は学生じゃないので参加できませんが、参加できる人は、ものすごくためになるキャンプだと思いますので、どんな手を使ってでも参加するといいと思います。
connect24h: セキュリティキャンプ来た!http://www.ipa.go.jp/about/tsusoku/pdf/3-9.pdf

kensukesan: 要は今年もやるぞっ!ってことですよ(w -> 「セキュリティ&プログラミングキャンプを平成22年度に引き続き実施し...若年層のITに関する意識の向上を図る」 http://bit.ly/hSBBja 独立行政法人 情報処理推進機構 平成23年度計画 #spcamp

hasegawayosuke: これか。「セキュリティ&プログラミングキャンプを平成22年度に引き続き実施し...若年層のITに関する意識の向上を図る」 http://bit.ly/hSBBja 独立行政法人 情報処理推進機構 平成23年度計画 #spcamp

expl01t: おぉ!でもH.24年度は事業仕分の結果と同じく民間での開催も検討するようですね.RT: @connect24h セキュリティキャンプ来た! http://www.ipa.go.jp/about/tsusoku/pdf/3-9.pdf

テーマ : セキュリティ
ジャンル : コンピュータ

4月4日のtwitterセキュリティクラスタ

@ITにて書かせていただいている「twitterセキュリティネタまとめまとめ」の3月まとめが公開されました。このブログのまとめなので、毎日読まれている方には既読の内容だとは思いますが、よろしければこちらの方もご覧ください。(http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/04.html)

CODEGATEの本選がはじまりました。最初出遅れていたようですが、残り1時間を切って今のところ4位のようです。
sutegoma2: オープニング動画 http://plixi.com/p/89351556

thedarktangent: 12 teams at #DEFCON CTF this year, with the winners of CodeGate and iCTF prequalified.

ucq: HACK THE PLANET きたーw

yoggy: ランチがでましたー http://yfrog.com/gz209jej

hasegawayosuke: codegate.org、XSSあるな…。

yoggy: ランチは出場メンバーだけで、付き添いメンバーには出ませんw

piyokango: CODEGATEの気分を味わうためにとりあえずお昼は韓国料理を食べてきました。スンドゥブからすぎて唇がひりひりします。

tessy_jp: 今年の#codegate は花輪の代金分を日本の被災地支援に向けたお米にしたとの話。しかし米輸入の問題があって大変との話を聞いた。この思い、伝わらずに非常に残念。 http://plixi.com/p/89395713

tessy_jp: スウェーデンと韓国が一歩リード http://plixi.com/p/89397723

tessy_jp: 1st:PLUS,2nd:PPP,3rd:HFS at17:00. #codegate #ctf http://plixi.com/p/89430324

fairuzan: Team PLUS is leading the game with 2 "home run" #codegate http://t.co/OfjB5uj

ucq: とりあえず不安なものから試し始めたところ正解した

tessy_jp: #codagate #ctf 4/5 0:00 score. TimeAttack challenge will release at 0:30! http://plixi.com/p/89495504

tessy_jp: 参加チーム者にはコーラとピザの差し入れ中! http://plixi.com/p/89499228

tessy_jp: ピザじゃなくて、チキンだった。ごちそうさま。 http://plixi.com/p/89500094

tessy_jp: sutegoma2も、1周して、現在5位に浮上! 現在制限時間1時間のタイツアタック中。 http://plixi.com/p/89499555

rip_: タイツアタック……だと!? @tessy_jp タイツアタック中に手がベタベタになって問題が解けないピザ攻撃を受けてる!

tessy_jp: 江頭2:50かよ!ww RT @rip_ タイツアタック……だと!? @tessy_jp タイツアタック中に手がベタベタになって問題が解けないピザ攻撃を受けてる!

tessy_jp: 7:20 status #codegate #ctf. 1st:PPP,2nd:PLUS,3rd:One-Eyed Jack http://plixi.com/p/89574601

_kana: 朝八時半。CTF終了まで一時間半。チームの様子です。ガンバレ!ここから祈ってるよ! http://plixi.com/p/89586038

tessy_jp: last 40min. Go!Go! #codegate #ctf http://plixi.com/p/89596934



まっちゃ445が開催されるようです。スピーカーは書籍の売り上げ絶好調な徳丸さんなので、すぐ埋まりそうですね。
kaito834: 4/23のまっちゃ 445のスピーカーは徳丸さんなのか。「第16回 まっちゃ445勉強会 」http://matcha445.techtalk.jp/saturday-workshop/16th-workshop #wasbook

piyokango: 4/23のまっちゃ445はIIJかと思っていたら今年2月に肉祭りやってた場所なんでしょうか。徳丸本の売れ行き見る限り60人だとすぐ埋まってしまいそうです。


びっくりしたことに、個人的にもかつて大変お世話になった山崎はるかさんがご結婚されたそうです。おめでとうございます。
sc301001957: 新婦がご両親へのお手紙を読む前に、感極まっちゃった新郎の図 #happyharuka0403 http://twitpic.com/4glnog


他に気になったことはこのあたり。
ddtek: Defcon CTF 2011 announce is!! www.ddtek.biz @_defcon_ , @thedarktangent, @theworld


nao_pcap: VeriSign、「.com」ドメインに DNSSEC を実装 - インターネットコム http://t.co/bVuezix


kensuu: ネットで誹謗中傷を書かれた時に、法的に個人を特定する方法 | nanapi[ナナピ] http://nanapi.jp/594/


haruyama: ストーキングアプリ「Creepy」 、その名の通り気味が悪い - スラッシュドット・ジャパン - http://icio.us/SkqNXb


itsec_jp: [Bot] #ITSec_JP 子供がID盗難に遭う確率は10.2%、大人の50倍以上狙われやすい(ニュース) http://goo.gl/fb/0rjpe


IINAlab: 慌てて出すから(`_´)ゞw- ドコモの「MEDIAS」に複数の不具合、ソフト更新開始 http://bit.ly/dMB5u5


kaito834: 東日本大震災の話題に乗じたスパムメールについて。参考情報に関連URLがまとまっている。「災害情報を装った日本語のウイルスメールについて」http://www.ipa.go.jp/security/topics/alert20110404.html


trendmicro_jp: [セキュリティブログ]日本国内Webサイトの被害も確認。「ライザムーン」詳報 http://blog.trendmicro.co.jp/archives/4053


sophosjpmktg: 【Webサイト改ざんの脅威】大規模なSQLインジェクション「LizaMoon」による正規Webサイトの改ざんを確認。ソフォスはこれらの攻撃からいくつかの方法で保護・対応しています。 http://bit.ly/hOXGLa (英語)


JVN: IPComp パケットの受信処理に脆弱性 http://jvn.jp/cert/JVNVU668220/

テーマ : セキュリティ
ジャンル : コンピュータ

4月2~3日のtwitterセキュリティクラスタ

今日からCODEGATEが始まります。と同時にCTFの本選も始まります。予選1位でプレッシャーもかかると思いますが、悔いを残さないように実力を出し切っていただきたいものです。
tessy_jp: おはようございます。勝負の朝。


そして、韓国メディアによる記事と、kanaさんによる翻訳。
_kana: 코드게이트 2011]세계 2대 해킹대회로 '급부상' - 대한민국 IT포털의 중심! 이티뉴스
http://bit.ly/i5XyUk

_kana: 【訳】予選を1位で通過したステゴマ2は日本の大地震・津波の影響で参加が難しいという予想に反し今回の大会に参加。優勝すると受信賞金を地震被害助け合い寄付に出すという抱負まで固めている。昨年も2位に入賞した米国PPP - CMUは今年も予選を2位で通過し強力な優勝候補に浮上している


CTFで優勝すると夏のDEFCONのシード権がもらえるんですね。
a4lg: ほう、iCTF と CODEGATE の CTF 優勝者は、DEFCON CTF へのシード権が与えられるとな。


そして、DEFCON予選は6月だそうです。
ntsuji: DEFCON 19 CTFの予選アナウンスきましたー 6月4日の4時から6日の9時(JST)までですね。 Diutinus Defense Techonologies Corp. / Home http://www.ddtek.biz/


週末はNuit du hack 2011というフランスのセキュリティカンファレンスががあったようです。そこでもCTFが開催され、なにげにsutegoma2が参加していた模様。
tessy_jp: あと30分でスタート Nuit du hack 2011 :: Prequals http://prequals.nuitduhack.com/

tessy_jp: 問題は全部?落としたのであとは飛行機内でもできるか。

tessy_jp: Web,Forensics,Crypto,RCEがそれぞれ3問ずつ出題されてる。


ハッカーグループがユーザーのパスワードを勝手に「password」に変更してしまったそうです。
ockeghem: 誤訳。第2段落は、『現在の統計によれば、影響を受けたユーザの62パーセントはパスワードが元々「password」なので、変更されたことに気づかないだろう』 / エフセキュアブログ : ハッカーグループが数百万のパスワードを「passwo… http://htn.to/MrHn6D

ockeghem: パスワード「123456」が許可されるのは利用者が気をつければよいので脆弱性とまではいえない。アカウントロックがないことが問題。続きは徳丸本の5章で / エフセキュアブログ : Amazonのお粗末なパスワードポリシー http://htn.to/adPvCg

tomoki0sanaki: 激しく同意。 QT @ockeghem パスワード「123456」が許可されるのは利用者が気をつければよいので脆弱性とまではいえない。

tomoki0sanaki: 先につぶやかれてしまった・・・このブログ、バカっぽい。「Amazonのお粗末なパスワードポリシー http://blog.f-secure.jp/archives/50583622.html

kitagawa_takuji: ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ http://goo.gl/mckHf 「影響を受けたユーザの62パーセントは、パスワードが元々「password」」なんてあり得んと思ったが、なんだエープリルフールか?


その他気になったことはこのあたり。
hasegawayosuke: "はてなナウに仕込んだネタ - 大西日記 - はてなダイアリー" http://d.hatena.ne.jp/onishi/20110402/1301721920


MasafumiNegishi: RSA社への攻撃手口の詳細が明らかに! http://bit.ly/fGswUP


F0ro: 何気に不正アクセス禁止法が一部改正されてる。サイバー犯罪条約を批准することになるので、「日本国外において犯したときであっても罰すべきものとされているものを犯したすべての者に適用」ということになるのか。まぁ考えてみればこのための条約だった。

テーマ : セキュリティ
ジャンル : コンピュータ

4月1日のtwitterセキュリティクラスタ

エイプリルフールでした。自粛ムード漂う中、はてながネタなのか本気なのかわからないサービス「はてなナウ」をリリースしてました。もうサービスは終了していますが、書き込みは見られますね。

三文字と言うことでXSSを入力すると…
hasegawayosuke: なにこれ怖いw http://now.hatena.ne.jp/hasegawayosuke/153367631895719102

yumano: たしかに三文字www @y_tsuda: わろたw http://now.hatena.ne.jp/hasegawayosuke/153367631895719102

bakera: エイプリルフールすぎる。発想はあったけど本当にやるとはなぁ。 http://now.hatena.ne.jp/MinazukiBakera/153367641738641113

kinugawamasato: はてなナウだけじゃなくてはてなグループでXSSっていうグループ作っても動作するっぽい。はてなぬかりないな~! http://xss.g.hatena.ne.jp/

hasegawayosuke: @kinugawamasato ちょw


そして、はてなナウはCTFじゃないか説が。
tokoroten: はてなの三文字は、インジェクションして三文字以上表示させよ、というCTF課題だと認識した。

y_tsuda: はてなCTFって、セキュリティエンジニア募集の裏返しみたい。

hasegawayosuke: はてなでCTFって、「ただし、XSSは5問で1点とする」みたいな追加ルールがないと成立しなさげ。

yumano: はてな主催のCTFのスコアページはどこにあるのだろうか・・・ RT @kinugawamasato: はてなナウだけじゃなくてはてなグループでXSSっていうグループ作っても動作するっぽい。はてなぬかりないな~! http://xss.g.hatena.ne.jp/


他のセキュリティクラスタの人たちの本当か嘘かは貴方次第なエイプリルフールなお話はこちら。
ikutana: Cryptrecの記述が変更に。「3DESは設計上の基準値を上回る脆弱性が発見されたが、直ちに秘匿に影響がないレベル」に。

tetsutalow: エイプリルフールなのでエイプリルフール自粛というウソを呟こうかとふと思いついたら本当に自粛されていて何が何やらわからなくなってしまった件 そういや6歳の娘にはウソばかり教えているのですがこれは常識を疑うクセをつけさせてメディアリテラシと科学的思考を促す我が家なりの教育法です(ウソ

hasegawayosuke: ここ数日、省エネ対応のため、XSS見つけても報告はしないことにしてる。

tokoroten: 今日の夕方くらいには「速報、新入社員から一人目の退職者発生!」 っていうのが出るんだろう。 もちろんエイプリルフールだよね。

tokoroten: くそー即効えエイプリルフールサイトを作ろうとしてドメインを取ろうとしたら、ドメイン用に日本語で使える文字って結構制限されてるのね・・・

togakushi: 今日から本気出す


そして、他に気になったことはこのあたり。
lac_security: METI クラウドサービス利用のための情報セキュリティマネジメントガイドライン だそうです。(^む) http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html


trendmicro_jp: [セキュリティブログ]SQLインジェクションによる大規模な正規Webサイト改ざん「ライザムーン」が発生 http://blog.trendmicro.co.jp/archives/4034


yumano: encodeを暗号化と書くのやめようよ。暗号化が万能に見える・・・orz RT 大規模なSQLインジェクション攻撃発生、iTunesのURLにも有害コード - http://t.co/zduiwtO

yumano: 原文は iTunes encodes the script tags, which means that the script doesn't execute on the user's computer via http://bit.ly/h33q4J


piyokango: IISECで情報セキュリティ事故対応ガイドブックが公開されています。インシデントレスンポンスの指針として有効に活用できそうです。/「情報セキュリティ事故対応ガイドブック」の公開 http://bit.ly/i6Wzfz


piyokango: MBSDでインシデント事例のまとめなんてやっていたんですね。昨年10月からの模様。/情報セキュリティ事件簿 http://bit.ly/eqnMTv


yumano: #atode 読む。 Hakin9の最新号はモバイルセキュリティだ。 http://hakin9.org/magazine/1677-Mobile-Security


ymzkei5: “「私は海賊版のアプリを使っています」というメールを全連絡先に送信” >■違法ダウンロードの制裁が狙い? 新手のAndroid不正アプリが出現 - ITmedia News http://bit.ly/emKEaR

テーマ : セキュリティ
ジャンル : コンピュータ

3月31日のtwitterセキュリティクラスタ

昨日で年度も終わり、BS2も終了したので、ついでに花粉も終了してくれると助かるのですが、なかなかそんなに都合のいいことにはならないようです。今朝もノドが痛いです。

メモリでお世話になった人も多いはずのハギワラシスコムが倒産したそうです。メモリ安いですから採算取れないんですかね…
okomeki: ハギワラシスコム倒産(‥ )

murachue: ハギワラシスコムのCF-PCMCIA変換アダプタ使ってたなあ。


SCANに福森氏のインタビュー記事が掲載されたことからかCODEGATEの予選1位がちょっとだけ話題になりました。
ucq: 韓国の国際ハッキングコンテスト予選で日本チームが優勝 http://bit.ly/h6mORF

takesako: @tessy_jp 先週台湾に行ったのですが、地元の人からカタコトの英語で「AVTokyo?tessy?チームsutegoma?の中の人を知っているか?」と興味深々に聞かれました。本当に「二位じゃダメなんです」ね。

yumano: 知名度が格段に向上してる!! RT takesako tessy_jp 先週台湾に行ったのですが、地元の人からカタコトの英語で「AVTokyo?tessy?チームsutegoma?の中の人を知っているか?」と興味深々に聞かれました。本当に「二位じゃダメなんです」ね。


ということで本選にも期待せずにはいられません。
yoggy: うむ。一位で予選通過したけど、まだ優勝したわけではないでござるよ


見るからに怪しいからすでに誰も手を出さない予感。
eagle0wl: やっとか。「DMM.com」「凄オク」「ゼロオク」が措置命令の対象。 消費者庁、ぺニーオークション運営3社に措置命令 http://japan.cnet.com/news/society/35001170/


その他気になったことはこのあたり。
ockeghem: 今まで見たPHPバグのベスト(敢えてワーストとは言わない)は、 mb_check_encodingのShift_JIS判定のこれ if (c > 0x39 && ... 正しくは 0x3f …おそらく 0x40 - 1 = 0x39 としたものと思われる

ockeghem: なぜ if (c >= 0x40 としなかった とか考えだすと、じわじわ来ますね


tessy_jp: 台湾ついでに思いだしたHITCON 7/22-23 金土開催だから今年は行こうかな。今CFP中。: Hacks in Taiwan Conference: HITCON 2011 Call For Paper http://bit.ly/gc2evZ


tessy_jp: 毎年4/1がDEFCONのCTF(予選)スケジュール発表なので、いまからクマーをチェックしておく。http://ddtek.biz/


yumano: 事故があっては困ります。って、バグや不良がないプロジェクトにしますってのと同じだよな~。隠蔽、虚偽、婉曲が発生。


yumano: お、日経コンピュータの最新号にみずほの障害が載ってる。1日あたりの振込件数9999をオーバーしたことが発端なんだね。


itsec_jp: [Bot] #ITSec_JP 偽セキュリティソフトにご用心?「MS Removal Tool」の感染被害続出 http://goo.gl/fb/1Mgj4


tokuhirom: どんなにいいことかいてあるページでも、Content-Type が正しく設定されていないと説得力が半減する。


yumano: 使うツールの通信を気にすることが必要なんですね。Groove使って怒られた覚えがあります・・・ RT @azu_re: 見てる: "Dropboxを使うな、とまでは言いませんが - Soukaku's HENA-CHOKO Blog" http://bit.ly/ejxrFy


jpcert: qmailで特定のドメインに突然メールが送れなくなったという方、以下のURLをご参照ください ^KK http://jprs.jp/tech/notice/2011-03-03-inappropriate-handling-for-long-dns-packet.html 続く


piyokango: 久々に書いた気が。。 /情報セキュリティ実践トレーニング ネットワークセキュリティコースに行ってきた。http://bit.ly/h26HyE


haromitsu: 大規模なSQLインジェクション攻撃発生、iTunesのURLにも有害コード - ITmedia News http://t.co/DP22UtX

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
04-2011
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

03   05

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。