スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

5月30日のtwitterセキュリティクラスタ

パスワードの強度を上げるためにパスワード擬人化というアイデアが。擬人化というより連想した実用的な変換法則という感じですが、自分の嫁をパスワードにするということからか熱い話になっています。そういや、夜にパスワードのセミナーがあるので行くつもりですよ。
sechiro: また痛ブログ書いた。 http://d.hatena.ne.jp/sechiro/20110530/1306760825

sechiro: パスワード擬人化の記事です。 RT @sechiro: また痛ブログ書いた。 http://d.hatena.ne.jp/sechiro/20110530/1306760825

sechiro: メガネと女子力はあらゆるパスワードの強化に使える気がする。

laughsketch: @sechiro すばらしい記事でしたw

sechiro: @laughsketch ありがとうございますw ネタを実用レベルに実現してみましたw

laughsketch: @sechiro @ishikawa84g てっきり「パスワードたん」が出来上がるのかと思いましたw

laughsketch: ぱすわーどたんの特徴1:適当なパスワードを決めようとすると、顔を真っ赤にして怒り出す。「ああああ」はNGワード

laughsketch: ぱすわーどたんの特徴2:ふざけて何回も間違えると、一切口を利いてもらえない(PWロック)。こうなると一度関係をやり直す(ID再発行)か、お母さんにかけあって仲直りを懇願する(パスワード再設定)しかない

tmae: PW擬人化ってそういうことだったのかw昔似たようなことやってました トレンドが過ぎて久しぶりな所にアクセスすると忘れるのでやめたw QT @sechiro: また痛ブログ書いた。 http://goo.gl/nzclU

laughsketch: パスワード擬人化に関する議論が熱い。これが大人の本気……ッ!

sechiro: 定期的に変更するか、忘れない嫁の名前にするかどちらかの対策が必要ですね。 QT @tmae: PW擬人化ってそういうことだったのかw昔似たようなことやってました トレンドが過ぎて久しぶりな所にアクセスすると忘れるのでやめたw

k_mikage: @sechiro 僕は「?は俺の◯◯」パターンでジェネレートして、PW擬人化に近い独自暗号化をかけてます。2段階にする事により、[嫁|妹|姉|メイド|etc...]宣言と擬人化が同時に可能です。:)

sechiro: @k_mikage やっぱりすでにやってる人がいましたかw 忘れないような文章に考えて、一定の変換法則かけるってのはいいパスワードの作り方ですよね。

k_mikage: @sechiro ちなみに30分でやめたパスワードですが、「koisuruimoutohasetunakuteoniichannwoomoutosuguHsichauno」があります。高確率でログインできない。。。

laughsketch: 「k0n0tubuyak1ga10RTsarena1baa1hah0muh0muha0ren0y0me」 → 「最強」でました https://www.microsoft.com/japan/protect/yourself/password/checker.mspx

sechiro: それぞれエンコード法則を考えてもらえればw RT @bellche: いや、違う。これは擬人化じゃなくて「エンコード」に近いw “@sechiro: @bellche 予告したあの記事を書きましたw http://t.co/V2TRJPT”

totoromasaki: 授業で使わせていただきます。RT @sechiro: 人生初のホッテントリ入りですw みなさん、ありがとうございますm(__)m

totoromasaki: ええ。パスワードの授業を、次にしようかと思ってましたので。RT @sechiro: 本当ですか!? 使ってくれるなら是非! RT @totoromasaki: 授業で使わせていただきます。

tmae: PW擬人化ってソーシャルハッキングで破られる危険性がw

tmae: 今ネットの片隅であわてて別のに変えた人が居るに違いないw QT @kongou_ae: ぺろりすなら、aznyn!prprにすれば間違いないですよねw RT @tmae: PW擬人化ってソーシャルハッキングで破られる危険性がw


その他に気になったことはこのあたり。
ScanNetSecurity: 特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化 http://lb.to/lPTUus @ScanNetSecurity


kitagawa_takuji: アンドロイド「守護神」灘高2年生 「ジオホッツは神、ソニーは才能を潰すカス」 http://t.co/IIvznUf


kitagawa_takuji: 「天才ハッカー」ジョージ・ホッツの素顔とは  :日本経済新聞 http://t.co/lgJl2Ng


nihen: 影響あるのはクローラみたいなやつかなぁと一瞬思ったけど、任意のメアドが与えられるとそこにメールを送信するようなサービスと考えるとめちゃくちゃ影響範囲でかい / (緊急)BIND 9.xのネガティブキャッシュ機能の実装上のバグによるnam… http://htn.to/9Grpcn


connect24h: これはぜひ熟読せねば。 - みずほ銀行の3月のシステム障害の調査報告pdfが超面白いのでマはみんな読むべき ≪ おれせん。 http://bit.ly/mag9pf


ntsuji: LulzsecがPBSのサイトを改ざんしたり、データベースのダンプを公開しているようですね。「Hey Anonymous, we heard you were having trouble!」はどういう意味なのでしょうか。

MasafumiNegishi: @ntsuji WikiLeaksの Tweet見るとわかりますよ


piyokango: そういえば、IPAのWeb届出フォームっていつまで停止されているんですかね。


ikb: 高木浩光@自宅の日記 - ウイルス罪について法務省へ心からのお願いです http://t.co/3kPyA9q -- バグ放置罪……?


tokoroten: SIPサーバを交換機というのはちがくないか? / IP電話乗っ取り狙う?不正アクセス16万件超 昨年7月以降、身に覚えない国際通話料金請求も増+(1/2ページ) - MSN産経ニュース http://htn.to/znuer8

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

5月28~29日のtwitterセキュリティクラスタ

週末はセミナーに出たりしてたので休んだ気がしません。もう月曜日なんですね。

ウイルス作成罪法案が国会で審議されていますが、これが通過してしまうとバグが犯罪になりそうだなと思っていたら週末にたくさんの人から反応があったみたいですね。

高木先生のきっちりした文字起こしとtogetterの反応まとめ。お忙しそうなのに…
HiromitsuTakagi: さきほどの衆議院法務委員会の核心部分、アーカイブ映像 http://t.co/l2ZSfww から一言一句文字おこし → 大口善徳議員議員:「プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。そして、たとえば無料のプログラムですね、このフリー…
HiromitsuTakagi: …このフリーソフトウェアを公開したところ、重大なバグがあると、ユーザからですね、そういう声があった、それを無視してですね、それのプログラムを公開し続けた場合は、それを知った時点で少なくとも未必の故意があってですね、提供罪が成立すると、いう可能性があるのか、おうかがいしたいと…
HiromitsuTakagi: …おうかがいしたいと思います。」「えー、あると思います。」大口議員:「まーあの、いずれにいたしましても、こういうプログラム等、ソフトウェア関係の方から、いろいろですね、こういう場合が罪にあたるのか否かということでですね、声がありますので、しっかりこのあたりにつきましては、罪刑法…
HiromitsuTakagi: …罪刑法定主義という基本に立って明確にしていかなくてはいけないと思います。」 核心部分は以上。


HiromitsuTakagi: 「ウイルス作成罪法案の国会答弁に対する反応」をトゥギャりました。 http://togetter.com/li/141563
HiromitsuTakagi: 「重大なバグを放置した者は刑罰に処されて当然と言い出す人たちとの対話」をトゥギャりました。 http://togetter.com/li/142011


そして、気になった感想と意見。バグは100%なくなるもの、と思っている人と思わない人のせめぎ合いがあるような気がします。
HiromitsuTakagi: 同一ファイルが供用時の説明如何で不正指令電磁的記録に該当したりしなかったりするというのが法務省見解です。大口議員の3番目の質問に対する答弁より。 RT @motoken_tw …元々ウイルスでないものが、単なる時間の経過によってウイルスになるというのはおかしい話だ。

yomichi_137: プログラムのバグが罪になるのなら政策のミスも罪にしてほしい

tomoki0sanaki: そもそも、刑法には「悪意」という意志があって初めて犯罪にすべきではないのか?....意志/意図を裁判で証明するのが面倒だと思うけど、警察はそれが仕事じゃん。面倒とか言わずにやればいいじゃん。と個人的には思う。

piyokango: これからバグという表現は消え、全て仕様という言葉に置き換わるわけですね。

whimitsu: @HiromitsuTakagi 体験版やRC版等でなく製品版としてのリリースにあたって、潰し取り除かれるべきものが「バグ」であり、当該国会質問答弁との絡みでもWinGroove事件は考慮すべき。QT @HiromitsuTakagi 機能として作り込まれたもの 今の議論の範囲外


ロッキード・マーチン社への侵入では3月のRSAへの侵入で盗まれたSecureIDの情報が使われたようです。
prof_morii: Lockheed Martin's Security Networks Were Hacked - Gizmodo http://goo.gl/TGDIK SecureIDにおけるこの前の騒動が原因か! さあ、どうする? http://p.twipple.jp/ERV3Y

MasafumiNegishi: SecurIDとロッキード・マーチンの事件について、ブログ書きました。 http://bit.ly/jWs7Uj

gohsuket: 多分ぜーんぶ違う奴らだお。軍団なんて無いから RT @TrinityNYC 先週はロッキードが襲われてたし、ハッカー軍団、大企業を順繰りに攻撃してるんかな?RT @lingualina: なんでソニーってアノニマスのハッカー軍団にいじめられてるの?


そして、再開したもののまた止まったPSNですがどうなるんでしょうね。
prof_morii: ハッカーを敵に回したソニー 世界各地でサイバー攻撃止まら http://goo.gl/QIEHA ブリザード現象ですね、ソニーがハッカー(クラッカー、ほとんどスクリプトキッズ)を敵に回したのではなく、彼らが的をソニーに絞ったということでしょう。脆弱性と話題性があるから。

kitagawa_takuji: THNのSonyのXSS http://goo.gl/fb/DaElo の元ネタは2chのこれ? http://logsoku.com/thread/toki.2ch.net/sony/1305383167/815

piyokango: メンテ中なのはXSSがまた見つかったりしたからなんでしょうか。/XSS Vulnerability found on Sony PlayStation Store Website : The Hacker News ~ http://bit.ly/jsvO5v


その他気になったことはこのあたり。
kitagawa_takuji: シマンテック,「踏み石偽URL短縮」や「ドメイン名塩漬け」など最新のスパム手口を報告 http://tinyurl.com/3k6aqqr #itprojp


gohsuket: MSが14歳ハッカーを雇った話は誤報 RT @mikkohypponen Microsoft did *not* hire the 14-year old caught for phishing: http://kotaku.com/5805742/ /thx @tom


haruyama: ストレッチング採用の理由 | 水無月ばけらのえび日記 - http://icio.us/5NGJBe 複雑なパスワードをユーザに強制できるシステムであればストレッチングを採用する必要は薄いが, そうでないシステムのほうが多数だ.

テーマ : セキュリティ
ジャンル : コンピュータ

5月27日のtwitterセキュリティクラスタ

今日は雨ですがセキュリティとは全く関係ないセミナーでセキュリティと全く関係ない話をしてきます。

ソニーに個人情報保護法に基づいた行政指導が入った模様です。
YahooNewsJP: [政治] ソニー子会社を指導=個人情報流出で―経産省 - 時事通信 http://j.mp/jzbgGM 経済産業省は27日、約7700万件の個人情報流出問題を起こしたソニー子会社に対し、情報管理体制の強化を求める行政指導を行ったと発表した。個人情報保護法に基づく措置で、指導対…

suzukimasatomo: 経産省はSCE社に指導。33条(助言)を根拠とする行政指導の意。担当部署は情報経済課ではなく文化情報関連産業課。どうでもいいが「漏洩」ではなく「漏えい」 http://www.meti.go.jp/press/2011/05/20110527005/20110527005.pdf

suzukimasatomo: 現行個人情報保護法はこのように助言までが精一杯。SCE社に対して改善措置命令を出す要件は整わない。相応の改善に着手しているからだ。またクラッカーに対して報告の徴収もできない。個人情報取扱事業者であることの立証が不可能なのだ。捕捉もできない。従って報告拒否で告訴もできず。要改正!

suzukimasatomo: えっ!ただの「助言」なの?と経産省を責めてはいけません。現在の個人情報保護法ではどこの省庁の誰が担当官になっても「助言」が精一杯なのです。法がそのように出来ています。役人にはどうしようもありません。役所にも使い難い法律です。それだけに文章に苦労のあとがしのばれます。

MasafumiNegishi: SCEにおいて「個人情報保護法第22条に定める「委託を受けた者に対する必要かつ適切な監督」が行われていなった」、というのが経産省の指導の理由のようです。


そして、ハッキングコンテストのようになっている、ソニーのサイトに対する専門家の意見。
ntsuji: ソニーCFO、大規模投資のゲーム機開発見直し示す(一問一答) - http://s.nikkei.com/mi4fax コンテスト的な色彩って… そういえばボクがしてるペネトレのことをハッキングコンテスト気分だと罵られたことを思い出しましたよw

ntsuji: @yumano 今のやられっぷりを考慮すると、コンテスト対象にされている == 完全にナメられている。ということを自覚して欲しいですね。

yumano: @ntsuji コンテストの対象にされてるって、ユーザーからしてみると全然大丈夫に見えないですよね?。

yumano: 見てて思ったのが、脆弱性をお客さんに報告した時に、「どうなってんですか!?」と怒られてタダ改修させられる場合と「よく報告してくれた」と褒められる場合って前者のほうが多いよね。バグ放置を違法にするともっとタダで改修しろというお客さんが出て来そう


そして、ソニーはお詫びゲームで逃げようということですが、どうやらラインナップが魅力に乏しいようですね。
eagle0wl: 明日だってよ! SCE、PlayStation Neworkを5月28日から日本でサービス再開 http://www.inside-games.jp/article/2011/05/27/49263.html

port139: 個人情報漏洩のお詫びで提供されるゲームがまったく興味がわかないものばかりってのは、どーーーいうことなのかと・・・

port139: まったくお詫びする気がないと感じるゲームラインナップ。

EijiYoshida: 今、伊原さんが良いこと言った RT @port139: 個人情報漏洩のお詫びで提供されるゲームがまったく興味がわかないものばかりってのは、どーーーいうことなのかと・・・

port139: 勇者のくせになまいきだor2 PSP the Best、という書き方は、勇者のくせになまいきだ、は2本相当になりますよという意味?、1本だけにするか、PSP the Best で2本選べる?、よーわからんな。


ウイルス作成罪が国会で審議されているようですが、プログラマー死亡の予感。
HiromitsuTakagi: 大口議員:「プログラムにバグはつきもの。公開していたプログラムにバグがあって、指摘を受けて作成者がそれを認識した場合、それを公開し続けているとき、それが罪に問われることはあるか。」 江田法務大臣:「あると思います。」

HiromitsuTakagi: 重大なバグで損失を生じさせたとして、民事での損害賠償責任があるという話なら普通だが、それを犯罪として刑事罰に処すというのは、まったく次元の異なる話。混同しないように。 RT @sayori27 重大なバグによって損失が生じているかどうかが問題なのでは?


書籍作る側としては泣きそうですよね。そしてきっとソフトバンクの編集者から次回作は「JavaScriptセキュリティ」ということで打診されているはず。
masa141421356: JavaScriptクックブック見てるがXSS出来そうなコードが紛れ込んでてちょっと残念。大体innerHTMLを不用意に使っている場所だが

ockeghem: 将来のAjaxセキュリティ解説に備えて、そういう書籍のツッコミどころを研究することにします! RT @masa141421356: JavaScriptクックブック見てるがXSS出来そうなコードが紛れ込んでてちょっと残念。大体innerHTMLを不用意に使っている場所だが

ikepyon: Ajaxセキュリティの本を@ockeghemさんが書いてくれると聞いて、wktkしてるw RT: @ockeghem: 将来のAjaxセキュリティ解説に備えて、そういう書籍のツッコミどころを研究することにします!

ockeghem: @ikepyon Ajaxだけで本一冊書ける気は全然しませんし、誰かが良い本を書いてくれたら、喜んでその本で勉強します

masa141421356: まあ、意識して動物本を買う人ならinnerHTMLを不用意に使うと何が起きるのか十分理解しているはずだが > JavaScriptクックブック

ockeghem: お言葉ですが、それは読者を買いかぶり過ぎかと RT @masa141421356: まあ、意識して動物本を買う人ならinnerHTMLを不用意に使うと何が起きるのか十分理解しているはずだが > JavaScriptクックブック


結局ハッカー事情に詳しいIT専門家って誰なんでしょうね。Anonymous評論家の人でしょうか。
ntsuji: ソニー情報流出から1カ月…収束になお時間 - http://bit.ly/mT37E5 むしろ「従来のアノニマスとは別のグループではないか」(ハッカー事情に詳しいIT専門家)との声が多い。だそうですよ。

EijiYoshida: ハッカー事情って何?

EijiYoshida: って、どーでも良いことを思いながら不毛地帯を徘徊中

MasafumiNegishi: 「ハッカー事情」に詳しくなりたいw

hasegawayosuke: ジェームスさん、ハッカー情事に詳しそう。


その他気になったことはこのあたり。
Murashima: JPRS監修の解説書「実践DNS」発売、DNSSECやIPv6への対応も解説 -INTERNET Watch http://bit.ly/jBdzlu #FYI


haruyama: CakePHP Authコンポーネントでパスワード・ハッシュをストレッチングするには? - ScriptWorks.JP - http://icio.us/GdAm7p パスワード保存方式の変更が考慮されていないのが残念

ockeghem: @haruyama 本でも言及しようかな~と思いつつ、そこまでは書けなかったのでした> パスワード保存方式の変更


taguchi: 【追記再掲】 ブラウザに保存された「●●●●●●」パスワードを見る方法まとめ | IDEA*IDEA http://j.mp/j5d1qC


haruyama: TCPに代わる通信プロトコル「CurveCP」、Chromiumで取り込み | エンタープライズ | マイコミジャーナル - http://icio.us/ThPcKX


MasafumiNegishi: Honda Canadaの情報漏洩 28万人、見つかったのが2月でなぜ通知が5月なの??


kitagawa_takuji: ■(緊急)BIND 9.xのネガティブキャッシュ機能の実装上のバグによるnamedのサービス停止について - バージョンアップを強く推奨 - http://goo.gl/7ujRH


kitagawa_takuji: IEに「クッキージャッキング」攻撃のおそれ--研究者が警告 http://t.co/7Ssdjak via @cnet_japan


sen_u: 念願のハッカーのビール。ハッカー醸造所で作ってるんだって。 @ 日比谷公園 大噴水 http://instagr.am/p/Exiq2/

テーマ : セキュリティ
ジャンル : コンピュータ

5月26日のtwitterセキュリティクラスタ

白浜シンポジウムが開催中のようですが、高木先生まで、ぷんぷくり~ん(怒)ですよ。たぶん、勉強会では資料にぷんぷくり~ん(怒)がたくさん書かれることになるのでしょうね。
HiromitsuTakagi: 今日の白浜シンポジウム。BoFセッション、警察分野はまた今年も警察関係者以外お断り。じゃあ何のためにここでやってんのさ。以前みたいに警察官と一般人がサイバー犯罪防止をテーマに共に語れる貴重な場だから意義があるんじゃなかったの? 警察だけで集まるなら、警察のイベントでやってろよ。

HiromitsuTakagi: もう来ねえよ! ぷんぷくり~ん(怒)

ockeghem: 高木先生まで、ぷんぷくり~ん(怒) / Twitter / Hiromitsu Takagi: もう来ねえよ! ぷんぷくり~ん(怒) http://htn.to/xGT5eB

ymzkei5: まさかの…w RT @ockeghem: 高木先生まで、ぷんぷくり~ん(怒) / Twitter / Hiromitsu Takagi: もう来ねえよ! ぷんぷくり~ん(怒) http://htn.to/xGT5eB


で、関連しているのかしていないのかよくわかりませんが、山口先生の警察に対するご意見。
sugusugu77: サイバー戦争とか言って警察庁警備系の人は小躍りするけども、本当は経済基盤としてのサイバー空間をどのように捉えるかというグローバル経済システムからの発想が無ければならない。警察庁の人達は、国内&治安にしか目が向かないから、グローバルな経済観点からの発想は無理。そこが最大の欠点。

sugusugu77: 経済システムからの観点だと、その防衛をどのようにするかを考えなければならないが、基盤システムの防衛には、警察庁警備系はそもそも整合性が無いし、防衛省も出ていくためのロジックがない。そこを改めてちゃんと考えることが必要ではないか。

sugusugu77: 海外に来て、色々な国の政策を見て、改めて日本の政策構造において足りないものが沢山あることに気がついた。そういう気分からの呟きだからね。


フィーチャーホンを使わなくなって久しいのですが、まだ「かんたんログイン」とか全盛なんですかね。
ockeghem: 公開されたようです / 実は厄介、ケータイWebのセッション管理(1/3) ? @IT http://htn.to/qarmLA

ockeghem: Cookieを使わないセッション管理の問題を抜本的に解決するのは難しいという状況を率直に書いています RT @ockeghem: 公開されたようです / 実は厄介、ケータイWebのセッション管理(1/3) ? @IT http://htn.to/qarmLA


そして、まだまだ続くソニー関連。
yasulib: [memo] ソニー事件で学ぶこと 1.IT依存ビジネスの経営 2.隔離セキュリティ(神話)の崩壊 3.境界防御は線から円へ(後ろから撃たれる) 4.グローバルビジネスのローカル対応 5.これは一種の戦争かもしれない


kitagawa_takuji: ソニーVS.ハッカー激化 グループ内被害拡大 http://www.asahi.com/business/topics/economy/TKY201105260258.html


kitagawa_takuji: ソニー「ハッカーがコンテスト感覚で攻撃してくる」:はちま起稿 http://blog.esuteru.com/archives/3351934.html


ockeghem: 『ログを二重化していなかったとすると、セキュリティ対策が稚拙』<二重化はやってないところが多そう。ログの保護は#wasbook P367で説明(5行) / ソニー、“想定内”の攻撃を防げず - 日経コンピュータReport:ITpro http://htn.to/MRvS3C


ockeghem: 昨日の飲み会での印象的な一言。「PSNがパスワードをハッシュで保存していたのは意外だった。ぶっちゃけ、平文で保存しているところがほとんどだよね」。まぁ、そうだろうね

ockeghem: 同じく昨日の一言。「パスワードのストレッチングについては効果を疑問視する声もあったが、『教科書』にベストプラクティスとして載っている以上、最低限そこまではやるべきと主張して、徳丸本の通りに実装することにした」<こういう声は嬉しいですね #wasbook


その他に気になったことはこのあたり。
securityxploded: Orbit Password Decryptor - Releasing Soon ! http://t.co/FVrgM0W


sen_u: Cookiejacking攻撃、クリックジャッキングとIEの0-dayを組み合わせてCookieを奪う http://bit.ly/jJvpb9


MasafumiNegishi: 第4回 DNSを止めWaledacの復旧を妨害(実録!ボットネット撃退最前線) http://bit.ly/jpppxH


ockeghem: 『iOS 4に対応したデバイスにはハードウェア暗号化機能が入っており…ロシアのElcomSoftがこの暗号化をクラックした』 / yebo blog: iOS 4のハードウェア暗号がクラックされる http://htn.to/dAxN7Q


packet_storm: w3af Web Application Attack and Audit Framework 1.0 http://packetstormsecurity.org/files/101683 #infosec

テーマ : セキュリティ
ジャンル : コンピュータ

5月25日のtwitterセキュリティクラスタ

そしてまだ拡大するソニーへの攻撃。今度はソニエリですか…
sophosjpmktg: 【Sonyのハッキング被害最新情報】Sony Ericsson、カナダのeコマースサイトがハッキング被害に http://t.co/Gc5mCDJ (英語)

tamiyata: 「hackers vs Sony」 Sony Ericssonサイトに不正アクセス、個人情報をネットに公開 - ITmedia ニュース http://ow.ly/52m3g

yozjp: 朝日新聞デジタル版だとさらに踏み込んだ内容になってる。So-net、SME、海外グループ社の件にも言及して、「情報管理の甘さや顧客対応の不十分さの結果(中略)最悪の事態」と> ソニーにハッカーの集中砲火 エリクソン社も情報流出 http://t.asahi.com/2m63

kitagawa_takuji: ソニー、カナダでも個人情報流出-今年5件目 http://jp.ibtimes.com/articles/18979/20110525/432599.htm 「AFP通信によると、ソニーの広報担当は「個人情報は『ハッカー・ニュース』というサイトに掲載された」と述べた。」

kitagawa_takuji: ソニーの広報担当は「個人情報は『ハッカー・ニュース』というサイトに掲載された」と述べた。< THN http://www.thehackernews.com/ とHNN http://www.hackernews.com/ があるのだけど前者のことね。

kitagawa_takuji: Sony Musicのサイトへのハッキング、日本とインドネシアでも -INTERNET Watch http://t.co/Gw790xv via @internet_watch 「The Hacker News」などの海外サイトに情報が掲載されたことで発覚

kitagawa_takuji: PSN集団訴訟@wikiへようこそ! http://www47.atwiki.jp/psnlawsuit/


そういえばphpMyAdminって任意のSQLが実行できる危険なアプリなのにパスワードなしに誰でもアクセスできるサイトがたくさんありますよね。
ockeghem: 「phpMyAdminに任意のSQLが実行できてしまう問題」とか書いたら、どれくらいの人が「大変かも」と思うのだろうか?

bakera: @ockeghem textareaに任意のSQL文を書くとそのまま実行されてしまうという恐ろしい仕様ッ!? しかし知らない人にはけっこう刺さるかもしれないですね。phpMyAdminって、名前だけだと何を管理するツールなのかわかりにくいですし。

ockeghem: 「php」は不要だと思うのですが、マーケティング上の理由でつけているのですかねw RT @bakera: @ockeghem …しかし知らない人にはけっこう刺さるかもしれないですね。phpMyAdminって、名前だけだと何を管理するツールなのかわかりにくいですし。


いきなり期限が切れてる表示がされてフィッシングでもされたのかと思う証明書の期限切れですが、ドメイン同様に大会社でも人的なミスが結構あるんですね。
piyokango: 某SOCをやっているセキュリティ会社でも証明書有効期限切れのまま1か月放置とかあるので、証明書の管理ってやっぱり難しいんですかねぇ。

ockeghem: @piyokango 証明書の有効期限が切れそうになると、購入元から通知が来ますよね。だから、証明書の管理の問題というのは、担当者の引き継ぎが主要因ではないかと思います。弊社もそろそろ更新を気にしないと…

ma_naka: @piyokango サーバ証明書であれば、更新通知が来ると思います。ただ・・・その通知自体が見落とされたり、担当者変更で担当者へ未達・・なことは、時々お見かけしましたよ(ISP時代。VeriSingしか使ったことがありませんが)。

suzukimio: @piyokango 対処療法ですが、うちではNagiosの監視で、有効期限が近づくとアラートが飛ぶようにしてます

piyokango: @ockeghem @ma_naka @suzukimio コメントありがとうございます。確かに見落としで更新漏れはありそうですね。特に複数ドメインを所有している企業で一元的に担当をされている方がいないような場合だとよく起きてしまいそうです。


LACCOセキュリティというLACから出されているアンドロイドアプリがあるそうです。本当は何をするんでしょうね。
k_morihisa: LACCOセキュリティというアンドロイドアプリを発見した。アクセス権限になぜかハードウェア制御(写真と動画の撮影)とか入ってるけど、何するアプリだろ?  https://market.android.com/details?id=com.mobileroadie.app_1015

totoromasaki: 昨日のWBSで、そういうアプリを不正なアプリって呼ぶって、やってたよね? RT @k_morihisa: LACCOセキュリティというアンドロイドアプリを発見した。アクセス権限になぜかハードウェア制御(写真と動画の撮影)とか入ってる http://bit.ly/krDhDu

totoromasaki: @K4N_KUN 御社のLacco アプリ、色々と不思議なモノにアクセスするんですが、これは大丈夫なんですか?

k_morihisa: @totoromasaki WBSで放送されてましたね。まだこのアプリが不正なのかどうかわかりませんけど。

k_morihisa: @totoromasaki 情報提供アプリなのに不思議ですね。怪しさ満点です

totoromasaki: @k_morihisa 関係者に、問いただしたいです。

k_morihisa: ダウンロードしてみた。ノートンでスキャンしてみたけど無問題。でも初回起動時にメーリングリストの登録を薦められる。http://yfrog.com/h3f9nyp RT @k_morihisa: LACCOセキュリティというアンドロイドアプリを発見した。

k_morihisa: 昨日からLACCO セキュリティを使ってみた感想。LACCO TVは便利。newsはリンク切れもあったけど、発表が一覧できて良い。photoはJSOC の写真があるだけ(今後、増えるのかな?) moreはよくわかんない。メーリングリスト登録してみたけど、いまだにメールは来てない。

k_morihisa: そういえば強制終了は一度も起こりませんでした。アクオスホンSH- 12C QT @k_morihisa: 昨日からLACCO セキュリティを使ってみた感想。LACCO TVは便利。newsはリンク切れもあったけど、発表が一覧できて良い。photoはJSOC の写真があるだけ(今後


RLOで検索すると「。たしでんせまりかつ見は報情るす致一に」になりますね。うひひひひ。
yoggy: (1)case sensitive (2) space,tabは入らない (3)全角スペース、LRO、RLOとかは入る

yoggy: 入らないというか、同一判定時に消される感じか。

hasegawayosuke: @yoggy RLO! RLO!

yoggy: @hasegawayosuke


Excel怖い…
hir0_t: 脆弱性診断の結果見つかった件数がえらい人たちに報告されたみたいけど、どう見ても件数が合わなくて困った。報告書をよくみたら、ExcelファイルのCountif()範囲指定が間違ってるし。

hir0_t: そして、ちゃんと集計されていない脆弱性の件数だけが独り歩きしている状態に・・・。

テーマ : セキュリティ
ジャンル : コンピュータ

5月24日のtwitterセキュリティクラスタ

またまたまたまたソニー関連。こんなにソニーの情報ばかり載せてるとGK呼ばわりされるかもしれませんが、むしろGKの人に刺されそうです。

東電には軽く負けまてしまいますが、ソニーもマイナスがすごいようです。
MasafumiNegishi: PSN対応費用で140億との試算。-> ソニー、震災の影響受け純損益を下方修正--売上高、営業利益は据え置き - CNET Japan http://bit.ly/ila6dk

kitagawa_takuji: ソニー:ハッキングと東日本大震災で1640億円マイナスへ http://jp.ibtimes.com/articles/18880/20110523/945259.htm 「内訳の多くは、より高いセキュリティのシステムを導入するためのコストだ。」

WebSecurityNews: Hacker attack to cost Sony $172 million, almost as much as initial Japanese ... http://ow.ly/1cPtqV

tdaitoku: ソニー、不正アクセス関連で140億円の費用 カード被害、現時点では報告なし http://www.itmedia.co.jp/news/articles/1105/23/news107.html


そして、今日も新しい脆弱ソニーサイトが発見されています。世界の妊娠や痴漢の人が必死こいて探してるのかもしれませんが、恨みというか関連サイト見つけて注目されたいだけなのかもしれません。
MasafumiNegishi: む、今度は sonymusic.co.jp で SQLiか?

ockeghem: みんなやめて! ソニーの中の人はきっとトイレで髪切っているわ! SQLインジェクションだけはやめてぇ~ 参考:http://d.hatena.ne.jp/ockeghem/20110518/p1

ntsuji: 次はイタリアのソニーピクチャーもSQL Injectionですね。PoCまででちゃってます。

ockeghem: やめて、ソニーの中の人は(ry RT @ntsuji: 次はイタリアのソニーピクチャーもSQL Injectionですね。PoCまででちゃってます。

ntsuji: @ockeghem なんかもう、ソニーならなんでもって感じになってきていますね。追いかけるだけでも大変になってきましたよw

ockeghem: @ntsuji でも、それ(潜在的には)ソニーさんだけが駄目という訳じゃないですよね、きっと。たまたま寄ってたかって調べられているのがソニー関係というだけで

ntsuji: @ockeghem そうですそうです。たまたまPSNの件があって目がそちらに向いているというだけですね。脆弱性が存在することに企業の規模は関係ないですしね。

katsuny3: SONYのどことどこが、何でやられたか、どっかにまとまってないですかね(^_^;) RT @ntsuji: 次はイタリアのソニーピクチャーもSQL Injectionですね。PoCまででちゃってます。

ntsuji: @katsuny3 そろそろまとめサイトがでてくるような気がします。それにしてもマスコミは海外のソニーについてはあまり取り上げないですね。一度注目されと、どんどん狙われるということも危険性の一つなんですけどね。

katsuny3: @ntsuji 注目されると二次被害、三次被害が生まれるから、公表しない。っていう選択肢もでてくるんですかねぇ。公表の方法やタイミングがますます難しくなってきた感じがします。

ntsuji: @katsuny3 どうなんでしょうね。でも、公表しなくてもいまやTwitterやFacebookなんかでバンバン情報がでてくるので公表しないほうがイメージ悪そうな気もしますね。


そして、ありがたいことに最新のまとめです。より国が増えてて素敵やん。
ockeghem: 『PSN再開後も Sonyの関連会社のサイトで次々と問題が見つかり、もう止まらない状態になっています…先月から今日までの途中経過を整理しておきます』 / もう止まらない… - セキュリティは楽しいかね? http://htn.to/L94CfD


なお、PoCには直接攻撃コードが書かれているらしいので、クリックしちゃダメですよ。以前似たようなリンクにアクセスしただけで捕まった人もいますし。
MasafumiNegishi: THNの Tweetに書かれた短縮URLは SQLiの PoCだから踏んじゃだめでーす。JPで踏んだ人は bit.lyによると7人w

ntsuji: そうですそうです。PoCの後についてる短縮はunionとかやっちゃってますのでー RT @MasafumiNegishi: THNの Tweetに書かれた短縮URLは SQLiの PoCだから踏んじゃだめでーす。JPで踏んだ人は bit.lyによると7人w


短縮されているので攻撃コードとわからないから悪くない、なんてとかやられた側は思ってくれないですからね…
ockeghem: 仕事以外では公開サイトの脆弱性チェックは(XSS等法的に問題ないものでも)しない(たまに例外もある)んだけど、ましてやソニー系のサイトはタイーホされるのではないかと心配もあって、情報が載ってても試そうとは思わないね


攻撃のスキルと、丹念に探すスキルは違うから、あながちスキルが低いとも思えませんが。
tokoroten: 今回のような攻撃は、自動化されたSQLインジェクションツールを用いて丹念に探せば、スキルの低い攻撃者でも脆弱性を見つけることができる / ギリシャのソニーミュージックサイトからユーザー情報漏えい、Sophosが指摘 -INTERNET … http://htn.to/KixN3B


piyokango: 某ISPのセキュリティ通信は色々と勉強させていただいていますが、そこのサイト自体にXSSがありますね。。


大きい組織と小さい組織で普通がいろいろ違うんだなあと。どちらのケースも想定しておいた方がいいですよね。
kaito834: Firefox 4 になってから、Firefoxアドオン「No Referrer ( Misspelled Referer )」が消えていることに気づいた。代替えアドオン探しているけどないなぁ。 http://is.gd/FWb7Ul

kaito834: 特定のサイトへの Referer 制御なら「RefControl」でいいけど、特定のサイトから任意のサイトへの Referer だけ削除したいアドオンが見つからない。イントラのサーバからインターネットのサイトに遷移するときに Referer 気にしなくていいから便利なのだが。

kitagawa_takuji: @kaito834 イントラのサーバからインターネットのサイトに遷移するときに < 会社なら普通はProxyで内部ドメインのReferer削除でしょ。

kaito834: @kitagawa_takuji そう言われるとそうですね--; Proxyない環境にいた期間が長かったので、自衛してました。


その他に気になったことはこのあたり。
kinugawamasato: 直ったってきたけどまだおかしいな http://www.iana.org/data:text/html%2C%3Cscript%3Elocation.href%3D%22http:%25252F%25252Fgoogle.com%22%3C/script%3E%5C


port139: を!ついにSQLite3のフォレンジックツール登場?! http://www.forensicfocus.com/index.php?name=News&file=article&sid=1675


attrip: SEOポイズニングとは?教えて! | A!@attrip http://htn.to/jPHmUf


MasafumiNegishi: 第2回 攻撃の主流となっているボットネット(実録!ボットネット撃退最前線) http://bit.ly/kYs7Ba


MasafumiNegishi: Hotmailの脆弱性を悪用、受信トレイのメールすべてが盗まれる (トレンドマイクロ) http://bit.ly/io1JtR


MasafumiNegishi: 被害確認! 偽システム修復ツール「Windows Recovery」 http://bit.ly/jlov0K


yohgaki: phpMyAdmin redirection weakness and script insertion vulnerability http://ow.ly/51fi8 PaaS、IaaSが広まってくるとphpMyAdmimみたいなアプリがより効果的なアタックベクタに


kalab1998: 防衛省でカウンターサイバーテロ(サイバーテロへの反撃(迎撃)?な人を募集中. http://ow.ly/51f3H


kinyuka: 「セキュリティ対策」とか(;´Д`)ウヒヒヒ RT @ikepyon: どういうのが・・・ RT @kinyuka: @ikepyonさんのtweetをテンプレ化すべき。「○○○○をアプリですべきという主張は同意できない。言語やフレームワーク側等の低レベルで本来すべきことだと思う

テーマ : セキュリティ
ジャンル : コンピュータ

5月22~23日のtwitterセキュリティクラスタ

暑くなったり雨だったり毎日天気がめまぐるしく変わりますね。

結局ソニーは7つの拠点が被害に遭ってるわけですね。さすがっす。ワールドワイドっす。
kKimitomo: #sony 7度目の侵害 Sony BGM ギリシャのサイトが改ざん。SQLInjectonで個人情報も漏れてます。漏れた情報のサンプルなんて公開しなくても… http://bit.ly/kKunID

kitagawa_takuji: ギリシャの改ざんは5/5 インドネシアが5/11 RT @TheHackersNews: #Security #Infosec ? Sony BGM Greece Hack, Complete Details Out ! http://goo.gl/fb/cxN8h

MasafumiNegishi: 起きた順序は違うけど、PSN, SOE, sweepstatkes, PW Reset, Thai, Greek, So-net の7つかな。


そして、バナーなんか隠しても意味ないんじゃね?派が多くなったバナーですが、騒がれないためにも見せないか僕の考えたすごいWebサーバーの名前を見せつけるようにすればいいと思いました。
ockeghem: まぁ、でもPSNの騒動を見るにつけても、バージョン表示隠す最大のメリットは、見つけたシロートが騒ぐのを抑えることじゃないかとあらためて思いますね。OPTIONSとかTRACEも同様


そして、「第42回 PostgreSQL 9.0に見るSQLインジェクション対策」のまとめ」 http://htn.to/f9qNJK にまとまってるプリペアードクエリとエスケープの論争について。生暖かく見守る側としては不愉快にはなりませんが、おおむね同意です。
pmakino: 双方の主張・結論はともに「「原則としてプリペアードクエリを用い、それが適用できない箇所についてはバリデーションなど(当然エスケープも含む)で対処する」といえば良いだけ」で最初から合っていて、その割に… / http://htn.to/5fBQz2

pmakino: …その割に元記事がそうは読み取れない内容になってないから突っ込まれてるのに、@yohgaki が終始「俺の言っていることだけが正しい」という大人げない態度なので傍目に見て不愉快 / http://htn.to/5fBQz2


それに対しての反論。どうにも強く主張しているわりにピントがずれているのが気になりますが、それも近頃話題のガッキー(日垣隆)に似ているなあとか。
yohgaki: プリペードクエリ万能論では欠陥はあるよ、とは何年も前に指摘し済み。欠陥があるのにシツコク私の方法論が間違っている、と吹聴している方が不愉快。吹聴するほうはもっと大人げない RT @pmakino 大人げない態度 http://htn.to/5fBQz2

yohgaki: 議論に負けた側がよくやる人格攻撃にみえますね?かれらのツイート全部見てます?人を馬鹿にしていたのはどちらか明らかですよ :) 大人げないとはそういう事を言うのでは? RT @pmakino 「俺の言っていることだけが正しい」 / http://htn.to/5fBQz2

yohgaki: 見ても意味がないからtogether読んでないけど「プリペードクエリだけ使ってればOK」論はどうみても誤り。ライブラリ使えばCでメモリ管理は必要ない!と言うのと同類。私の方法論の方がより一般的でより誤りは少ない。動的にクエリを生成する事もORMを使う事も誤りでも何でもない。

yohgaki: @ockeghem そもそもエスケープが必要、と思っていれば私の記事にツッコミを入れる必要なんて全くないのではないですか?

ockeghem: @yohgaki 「プリペアードクエリが万能でない」という主張の効き目がありすぎて、こんどは「プリペアードクエリを使わない方がよい」という誤解が生まれるおそれがあると思ったので突っ込みました。最後まで良く読めばプリペアードクエリを適宜つかえとは書いておられますけどね

yohgaki: @ockeghem 私はパフォーマンスチューニングも趣味なので、プリペアードクエリを使うなとは絶対に言いません。むしろ開発系の話題の時は使うのは簡単なのだからどんどん使うべきです、と言っています。


そういえば私はso-netを使っているのでした。特にいいこともないのと仕事の都合でIPv6接続したいので、変更にはいい時期ですね。
ockeghem: ソネットさん、5月16日に不正アクセスがあって、5月19日にアナウンスされているので、それをトリガーにパスワード変更するので十分なはず。「定期的に」の頻度が書かれてないけど、3ヶ月に一度と仮定すると、半年くらい発覚しないケースを想定? http://htn.to/bxuXxj

haruyama: @bakera so-netへの攻撃は, so-netには関係ないサービスでid/passのリストが漏れて, そのリストを利用したものじゃないかと推測しています. 根拠はないですけど.

>bakera: @haruyama なるほど、それはあり得ますね。全く同じパスワードを使い回ししていたアカウントだけが被害を受けたと。


31日ですか。定員30人なので申し込むなら早めにしないといけないですね。
ntsuji: 第1回 アイティメディア チャリティイベント パスワードの定期変更という“不自然なルール”+ α http://bit.ly/kWr1Gl 某キーロガー対策の脆弱性のお話の資料も追加しました。時間に余裕がありそうなのでそのお話もしたいと思います。


見たら直ってました。
kinugawamasato: オープンリダイレクタがとんでもないところに http://www.iana.org/%5C%5Cgoogle.com


ハッカービールですか。見かけたら買ってみよう。
kuroneko_stacy: 旦那様はハッカー。(奥様は魔女風に。) http://lockerz.com/s/103758429


その他に気になったことはこのあたり。
hasegawayosuke: 「Microsoft .NET Web アプリケーションセキュリティ」って、ガッカリ本じゃなかったっけ。


cubedl: [セキュリティ] / 第1回 悪質化が進むインターネットの攻撃 - 実録!ボットネット撃退最前線:ITpro http://htn.to/pbV7N6


ockeghem: GETメソッドで秘密情報をCGIスクリプトに渡すと、コマンドライン引数を ps -aux などで他プロセスからも参照できる問題の指摘。共用サーバーだと問題 / 驚かない不正アクセス - つれづれなる日記 @ maoo.jp http://htn.to/Fth4M5


sophosjpmktg: 【SEOポイズニング事例】ソフォス北米支社のスタッフが「通貨の交換レート」をgoogleで検索時に遭遇したSEOポイズニング。ソフォスラボの専門家によるテクニカルペーパーもご参考に! http://t.co/u1r9ZHF(英語)


ockeghem: この問題の技術的説明は、徳丸本P164~P171に書いてあります #wasbook / JUGEMお知らせブログ | 【重要】管理者ページセキュリティの修正と強化に関しまして http://htn.to/w13U12

テーマ : セキュリティ
ジャンル : コンピュータ

5月20~21日のtwitterセキュリティクラスタ

日曜日ですが仮想ディスクを作ったりマージしたりデプロイしたりしている合間に更新ですよ。

YahooのIDが大量に乗っ取られた騒動がありましたが。
suzukimasatomo: ヤフーID大量乗っ取り!?不正ログイン騒動についての情報まとめ http://matome.naver.jp/odai/2130576902016246501 確認したところ見知らぬ海外からのログイン履歴があったので(1)パスワード変更と(2)ログインアラートの登録を行う。


そして、YahooIDを使う外部サービスを利用していたらそこからのログイン履歴が残るのではないのと言う疑問もあったみたいですが。
_nat: サーバからはログインしないので残りません。自分のPCのIPアドレスがOpenIDと明示され履歴に残ります。 RT @akizakura404: そりゃOpenID使ってたら自宅PC以外のサーバからのログイン履歴は残るわなぁ。(ry

_nat: 認証だけなら、OpenIDの方が良い。APIアクセスをさせたいならOAuth。 RT @keito5656: @watt1006 外部のサービスにYahooのID打ったらそこに記録が残るのはしょうがないw解決するにはoauth認証しかない!


やはり流出の本家はレベルが違うみたいで、グローバルな展開をされているだけあってワールドワイドな展開を見せて、PSN世界中で脆弱なサイトを垂れ流しています。さすがですね。
kitagawa_takuji: ソニー・ミュージック・インドネシアのハックは5/11の話 http://www.zone-h.com/mirror/id/13683062 まだ気付いていないってこと?

ntsuji: ここまだ改竄されたままだったんですね。たしか先日、タイのソニーもフィッシングサイト設置されていたような… [ k4L0ng666 ]==--++--==[ ] http://www.sonymusic.co.id/kiwi.php

kitagawa_takuji: ギリシャの改ざんは5/5 インドネシアが5/11 RT @TheHackersNews: #Security #Infosec ? Sony BGM Greece Hack, Complete Details Out ! http://goo.gl/fb/cxN8h

MasafumiNegishi: タイのフィッシングサイトの件とSo-netの件。 “@kitagawa_takuji: Sony hit again with two hacks http://t.co/DRkMx6b


そして、さまざまな推測。
kitagawa_takuji: 日経産業5/17 ソニーが受けた不正アクセスの特徴は、気づかないうちにデータを根こそぎ持ち去られた点だ。ここから推測できる手口がボット。ハッカーがサーバー内に通信ソフトを埋め込んで、外部から自在に操作する手法だ。(一部引用)

kitagawa_takuji: 日経産業5/17(続き)ハッカーは侵入の際に、まず「ダウンローダー」と呼ぶウイルスの“種”を送り込む。ソニーの場合は、サーバーの脆弱性を突いて、サービスを担うサーバーに直接埋め込んだ。  <というセキュリティ専門家の推測だそうです。

kitagawa_takuji: ソニーを襲ったボット型ウイルス http://goo.gl/IG8c3 「セキュリティー対策専門家の間には、大規模な情報漏洩の裏に、巧妙かつ強力なコンピューターウイルス「ボット」の存在を疑う声が広がっている。」ー全文は日経産業新聞5月17日付に掲載しています。

security_info: アノニマス「ソニーのセキュリティは穴だらけで酷いものだった ...: アノニマスはDDoSアタックを仕掛けた際、ポートスキャンを同時に実行した・その結果は驚くべきものだった・いくつものサーバ上で、サポート期限が切れたプログラ... http://bit.ly/mrgeUt


そして、前にも似たようなことが公開されていた気がしなくはないですが、プレステネットのサーバのバージョンが推測されているとの情報。
NobMiwa: 事実関係を知りたいものです、、「AnonymousがPSNのサーバのバージョンを公開」 OpenSSH は5年前、Apacheは2年前 http://bit.ly/mrBR9l #s__yhacked

MasafumiNegishi: バナーのバージョンは実際とは違うことも多いですからね~ “@NobMiwa: 事実関係を知りたいものです、、「AnonymousがPSNのサーバのバージョンを公開」 OpenSSH は5年前、Apacheは2年前 http://t.co/blpiWFp

kitagawa_takuji: @MasafumiNegishi これのことですよね。http://pastebin.com/cFPQjCdi SSH logsじゃなくてnmapの結果なんですけど。Anonymousというのは例の集団のことか、単に"匿名の”ということなのか?

MasafumiNegishi: @kitagawa_takuji そうそう。新しい情報じゃないですね。THNはまたなにか混同してるのかなw

kitagawa_takuji: @MasafumiNegishi このnmapのログなんですが/24に対するPing Scanが2.50sで終了していることからネットワーク的にかなり近いところから実行していると思うのですが、社内から実行したスキャン結果が外から丸見えになっていたという記事はこれの事ですかね?

ockeghem: 専門家らしく客観的で落ち着いた良い記事。バナーの表示だけでバージョンが古いと騒ぎ立てる人たちには、この記事を10回くらい写経して欲しいです / PSNのサーバーで稼動していたソフトウェアのバージョンは古かったのか? - セキュリティは楽… http://htn.to/Sk3iAA


そして、見出しだけ見ると、攻撃されまくったソニーが腹いせに他社を攻撃しているように読めますw
kitagawa_takuji: ソニー、スクエニ狙ったサイバー攻撃 http://itpro.nikkeibp.co.jp/article/COLUMN/20110519/360487/?r1


なぜかエスケープ派 VS プリペアードクエリ派のような展開になっていましたが。
piyokango: 『なぜPHPアプリにセキュリティホールが多いのか? 「第42回 PostgreSQL 9.0に見るSQLインジェクション対策」』(http://bit.ly/kfCFoO)に関連したつぶやきをまとめました。http://bit.ly/mcTm6Z


結局結論はこうなったみたいで。
yohgaki: 私は両方。エスケープの事を知った上で、プリペアードクエリを使ってください派です RT @nouvellelune: @yohgaki @ockeghem 対策として「片方でいい」みたいな単純化をする方が危険です。お二人ともその辺はわかった上での議論だと思いますが…


twitterのパスワードを抜き出すソフトですか。ブラウザーでできる方も気になります。
kitagawa_takuji: Twitterのパスワードを抜き出すフリーソフト「TwitterPasswordDecryptor」 - GIGAZINE http://t.co/Iul4Koh

ntsuji: これってブラウザの機能で引っ張り出せたようなw RT @kitagawa_takuji: Twitterのパスワードを抜き出すフリーソフト「TwitterPasswordDecryptor」 - GIGAZINE http://t.co/Iul4Koh

kitagawa_takuji: そうでしょうね。なんか色々ありますよ。http://passwordforensics.com/tools.php RT @ntsuji: これってブラウザの機能で引っ張り出せたようなw


その他に気になったことはこのあたり。
sen_u: 0day攻撃コード公開、Zen Cart(v1.3.9h以下)にXSS、任意のファイルアップロードなど脆弱性 http://bit.ly/js5TOg


kitagawa_takuji: ナタリー - やくしまるえつこ、特設サイトで個人情報だだ漏れ http://t.co/SMeCcMk ニューシングル「ルル / ときめきハッカー」の発売にあわせたWEBコンテンツ「YAKUSHIMARU BODY HACK」が、本日5月20日にオープンした。<知らない人だなぁ


kitagawa_takuji: Microsoft Web Application Configuration Analyzer v2.0 http://goo.gl/S7hvJ WACA analyzes server configuration for security best practices

テーマ : セキュリティ
ジャンル : コンピュータ

5月19日のtwitterセキュリティクラスタ

朝からJUGEMの管理者セッションIDが抜かれるメールが来たのでびっくりしました。ブラウザのセキュリティ設定強化でCookie使えないようにしてrefererでセッションID抜かれるってアホかと思いましたが、携帯とかCookie使えない機種もあるんだなあとか思ったり。

昨日はYahoo!のパスワード流出の噂があったのですが、デマだったのか本当だったのか今一つわかりません。個人的には他からアクセスされた形跡はなかったのですが、気になる人はチェックしてみてはいかがでしょうか。
Tired_Nova: YahooIDパスワードが大量流出し不正ログインが発生中みたいなので念のためYahooにログインしてここでチェック http://bit.ly/kcuFGq 他のIPからアクセスされてたら大至急パスワードを変更しよう http://bit.ly/lqrZPs

ntsuji: 【やじうまWatch】 Yahoo! JAPANの不正ログイン疑惑、「事実なし」の公式コメント発表 ほか -INTERNET Watch http://bit.ly/iPxD4S 定期的なパスワードの変更より強固なパスワード設定をすすめて欲しいですよー


将軍様の考えた新しい主体サイバー戦略があるのですよ。きっと。
sen_u: サイバー戦って3万人も必要なのか?人海戦術でF5連打とか。w /北朝鮮がハッカー3万人養成 http://bit.ly/lukJDi

kinyuka: captcha破り要員とか… RT @sen_u: サイバー戦って3万人も必要なのか?人海戦術でF5連打とか。w /北朝鮮がハッカー3万人養成 http://bit.ly/lukJDi

katsuny3: 連打の養成。高橋名人が3万人w RT @sen_u: サイバー戦って3万人も必要なのか?人海戦術でF5連打とか。w /北朝鮮がハッカー3万人養成 http://bit.ly/lukJDi


やらせるべきっていうか、やってみたいけどやられて困るあるあるなかんじですが。
oranie: インフラエンジニアにやらせるべき5つの危険なこと

oranie: 1.動いているサーバの電源を抜く 2.スイッチでループを作る 3.大事なファイルを消してみる 4.よく確認もせずに編集した後、/etc/init.d/network restart 5.片っぱしからプロセスをkill -9



evil twinで接続した途端即攻撃という鬼畜な人は少ないと思いますが、ハイパワーの偽AP楽しいれす(^р^)という人が待ってるので、信頼されないAPには接続したくないものですね。
rocaz: 例えば「mobilepoint」ってSSIDのWiFi APを立ててWEPキーも同一にしておく。自動のブラウザ認証ぐらい失敗しても(あるいは無くても)誰も気にせず使いそうだけど、どんなものだろう。あるいはこれぐらいもう誰かやってるかな?どんな防御策があり得るだろうか

rocaz: @kogawam evil twinっていうんですね。WikipediaにあるようにVPNか全通信路をSSL化するしか無いんでしょうね。つまり自衛だけでは100%ではない。 WEPにせよたとえWPA2ベースでもユーザー名やパスワードを求められる場合は危険と言うことになりますね・・

kogawam: 僕もevil twinの防御方法が(あれば)知りたいと思ってたところです。“@rocaz: 例えば「mobilepoint」ってSSIDのWiFi APを立ててWEPキーも同一にしておく。(略)あるいはこれぐらいもう誰かやってるかな?どんな防御策があり得るだろうか”


その他気になったことはこのあたり。
prof_morii: 多発するデータ漏えい事件--ネットでの自衛策を考える - CNET Japan http://goo.gl/d38Ts おはようございます。情報は高いところから低いところへ流れる。ネット企業はダムみたいなもの。


ockeghem: 「プリペアードクエリさえ利用していれば大丈夫」でないのと同様「エスケープすれば大丈夫」でもない。それより、DBの提供するライブラリでエスケープすべき理由を説明すれば良い記事になったのに / なぜPHPアプリにセキュリティホールが多いのか… http://htn.to/5NS6VS

ockeghem: 「DBの提供するライブラリでエスケープすべき理由」は、エスケープ対象の文字や方法が、DBの種類や設定で変わるからです RT @ockeghem … http://htn.to/5NS6VS


jnsa: 6/8にアルカディア市ヶ谷でJNSA活動報告会を行います。講演「東日本大震災を ITで支援するHack for Japanほかのご報告」が決定しました! http://www.jnsa.org/seminar/2011/0608/


eagle0wl: とうとう伝説のハッカー Kevin Mitnick が SONY 個人情報漏洩事件に興味を示したようです。


ockeghem: あさってはセキュリティもみじですね。あいにくセキュ女子向けの話はありませんが、ご来場の皆様だけにサプライズを用意いたしました。お楽しみに http://atnd.org/events/15308


ockeghem: (M)クローラへの耐性試験仕様が追加、OSコマンドインジェクション検査仕様の変更。技術アドバイザとして参画いたしました / ウェブ健康診断仕様(改版)を一般公開しました(平成22年度実施事業) - 財団法人 地方自治情報センター(LAS… http://htn.to/mjp2g2


cubedl: [セキュリティ] / ソニー、PSNログインの欠陥を修正。「ハックではなく脆弱性」 http://htn.to/niZzw8


soraiy: Webアプリケーション作った後のチェック表 http://htn.to/AgfyoW


HarutoJ: JNSAセキュリティ被害調査WGによる「パソコン紛失は居酒屋で起きているんじゃない、社内で起きているんだ!」がキーマンズで公開されました。http://www.keyman.or.jp/3w/prd/58/30004158/

テーマ : セキュリティ
ジャンル : コンピュータ

5月18日のtwitterセキュリティクラスタ

なぜか琴線に触れたのは丑丸本だったようです。ぷんぷくり~ん。
ockeghem: 日記書いた / モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等 - ockeghem(徳丸浩)の日記 http://htn.to/q5S7RE

s_hskz: テラショック。→「そうなんですかぁー、でもケータイサイトでやってみたら、半角のメタ文字はサニタイジングされるけどぉー、全角は通ったあと半角に変換されるのでぇー、アラートがでたことあるんですぅー」

ockeghem: @s_hskz あー、これは某サイトで本当にありました(修正済み)

hasegawayosuke: 丑丸本www http://d.hatena.ne.jp/ockeghem/20110518/p1

mincemaker: すげー、ハッカーはこんな話毎日してるのか! 「徳丸本でしょ? 丑丸本はまだ出てないよ。本当に良くわからないみたいだね。どんなのが欲しいの?」

ucq: まさか徳丸さんにネタにされるとはw

ockeghem: いやぁ、(1)僕と名前が一字違い、(2)セキュリティ界の有名人、(3)まだご著書がない、の三拍子が揃った人…と考えるまでもなく、そうだ勇士Qさんがいたw ということで、お世話になりました(_ _) RT @ucq: まさか徳丸さんにネタにされるとはw


ソニーは相変わらずダメダメなようです。ぷんぷくり~ん(怒)でも、実は脆弱なシステムでスキを見せつけることでたくさんのセキュリティ男子を引き寄せる魔性の私を演出しているかもしれません。
tamiyata: ソニー、PSNのパスワードリセットページを一時停止 「再ハッキング」報道は否定 - ITmedia ガジェット http://ow.ly/4XQH6

MasafumiNegishi: 本来はパスワードリセット(メールと誕生日が必要)→メール確認→トークンつきURLにアクセスというのが正しい手順。ところが、トークンなしURLにアクセス→別タブでパスワードリセット→元タブにダミートークンをセット、でもいけてしまったということかな?

yohgaki: Q: PSNのパスワード変えたけど安全?A:メールアドレスと誕生日が分かっていればクラックできる。 これで良いのかソニー。。。

ockeghem: PSNのパスワードリセット方法が問題視されているようだけど、ソニーが持っている情報=漏洩済みの情報だから、利用者の登録済みメールアドレスでメールを受け取れることくらいしか、本人確認のしようがないよね。受け取りの確認をしてないなら問題だと思う

kitagawa_takuji: 経産省大手柄!PSNアカウント再ハックの危険性! : はちま起稿 http://blog.esuteru.com/archives/3275011.html

MasafumiNegishi: 「攻撃者が登録したダミーアカウントのためのトークンが別のアカウントのパスワードリセットにも使えてしまう脆弱性」- ソニー、PSNログインの欠陥を修正。「ハックではなく脆弱性」 http://engt.co/kk9ett


Android2.3のTwitter、Facebookクライアントなどで使われている認証の仕組みに問題があるらしく、乗っ取られる危険性があるとか。しかもパッチが適用できないマシンが大量にあるみたいです。ぷんぷくり~ん(怒)
AndroidestX: Android機の99パーゼントがパスワード破りの危険に曝されている http://dlvr.it/S42FH

WirelessWire_jp: Android OSで新たなセキュリティ脆弱性発見の報告 - 搭載端末の99%に影響 http://wwn.bz/iiBaMO #wwnjp

kaito834: "パスワード破り"は誤訳ではないでしょうか。原文では"Password Theft"となっています。誤解を生みそう:( "Android機の99パーゼントがパスワード破りの危険に曝されている ≪ TechCrunch Japan" http://goo.gl/69jk8

rocaz: あらら。公衆無線LAN経由だと・・RT @typex20: だめだこりゃ。→「暗号化されないHTTPを介して認証用トークン(authToken)がやり取りされている問題」… Androidアプリから情報流出の恐れ、99.7%の端末に影… http://htn.to/TeLXHh



うやらシマンテックの証明書が期限切れでダメダメだそうです。担当者はSSLで接続しないのか、社内のキャッシュから見てるから大丈夫なのか、気にせず接続しているのか、どれでしょうね。ぷんぷくり~ん(怒)
stonecold316hel: シマンテックから「【エンドポイント仮想化】Windows 7へ移行した後も、IE6が使える!」のメールが来たのでリンク先にアクセスしたら、「この Web サイトのセキュリティ証明書には問題があります。」とw。ダメでしょうがw

piyokango: Symantecから広告メールが今日の9:04に飛んできたものの、記載されているサイトURLのSSL証明書が今日の8:59で切れていてブラウザに怒られたでござるの巻。https://symantec-corporation.com/

piyokango: というか、軒並みダメでした。http://bit.ly/m0fN0Q http://bit.ly/jfYpVE http://bit.ly/lzVKyo http://bit.ly/lGpCFJ http://bit.ly/jMvRWx

piyokango: https://www.symantec.com/ なんかはもっと酷く、証明書の有効なドメインが異なっているような。。 VeriSign買収したのってどこでしたっけ。。


その他に気になったことはこのあたり。
hebikuzure: 第4回「ネットワーク パケットを読む会(仮)」は明日(5/19)19時から開催です http://atnd.org/events/15408


sqlinj: Metasploit Framework 3.7.1 Released! love ya #metasploit


yasulib: シェルコードから始めるマルウェア解析(1/2) - @IT http://t.co/7XQ3dUS

テーマ : セキュリティ
ジャンル : コンピュータ

5月17日のtwitterセキュリティクラスタ

今さらながらという気はしますが、「ウイルスバスター2009」に脆弱性があったそうです。なんでサポートの切れた今の公開なんですかね。サポート切れたからどうでもいいやってことなんですかね。

ntsuji: 永かった… JVN#99175647: ウイルスバスター2009 におけるキー入力暗号化機能に関する脆弱性 http://bit.ly/kM3Prl

hasegawayosuke: マニアックな脆弱性だなw http://bit.ly/iP8H6K 「ウイルスバスター2009 には、キー入力暗号化機能を利用している場合においても、ユーザのウェブブラウザ上でキー入力されたパスワードの一部が暗号化されない脆弱性が存在します。」 @ntsuji さん報告。

ockeghem: この見出しは誤解を招く。ウイルスバスターのせいでパスワードが漏洩するように読めるけど、パスワード保護が機能しないってことでしょ / 「ウイルスバスター2009」に脆弱性--パスワードが平文のまま漏えいする可能性 - CNET Japan http://htn.to/PSxQah

hasegawayosuke: ウイルスバスター2009のリリースが2008年9月、脆弱性の報告が同30日、サポート終了が2010年12月31日、脆弱性情報の開示が2011年5月…。トレンドマイクロ、ひどいな。

ntsuji: ちょろっと検索してみましたがウイルスバスター2009の件は最近発見されたという認識の方が多いようですね。そのため「仕方ない」と思われる方もいるということが今回の件で分かりました。でも、ボクが届出したのは2008年ですよー


TwitterにはまだまだXSSが潜んでいるようです。リサーチャーの方々の自発的な調査、ご苦労様です。
kinugawamasato: 旧TwitterのXSS、少し前に直った。そのうち詳細書きたい。


hasegawayosuke: found XSS on twitter.com ...

hasegawayosuke: 昨日のTwitterのXSSは、当初は修正されたといいつつ穴だらけでしたが、今はきちんと修正されたようです。 http://twitpic.com/4z1h32


最近はオフィシャルの曲付けたり、ビデオ作ったりするのが流行ってるのですかね。
kitagawa_takuji: Metasploitのオフィシャル・ソング http://goo.gl/9C3wB とBackTrack5のオフィシャル・ソング http://goo.gl/cbxVG ではBT5の方がいいな


まだまだ続くソニー関連。
lac_security: 西本が取材などで回答している内容をコラムにまとめ、緊急掲載いたしました!「ソニーの情報漏えい事件で我々は何を学ぶか」 http://www.lac.co.jp/column/20110517.html (^ま)


NobMiwa: 「PlayStation Network」、国内で再開されていない理由とは、「約束した対策を十分に実行していなかった」 http://bit.ly/jcCqKU #s__yhacked


よくわからない内容という評判を見て、どんなひどいものなのか気になるユーザを集客する新たなマーケティング戦略ですね。
MasafumiNegishi: さっきのはダイヤモンドのこの記事 http://diamond.jp/articles/-/12281 全体的に何を言っているのかよくわからない。

bakera: ?? 何度読んでもさっぱり分からない。クラウドがどう関係するのかもわからない。 http://diamond.jp/articles/-/12281


これからは電卓の代わりにバカイルカがアニメーションしながら脆弱性を教えてくれるのが主流になるかもしれませんね。
tamiyata: 「『勝手にPCをハッキングして、Excelとかのアシスタントの煩いイルカを、勝手にクリスチャン・ラッセンのイルカにして消せなくすることなんて簡単だよー キューキュー』って言ってたので、ハッカーってすごい怖い生き物だね」辻さん… http://ow.ly/4W7Qt


その他に気になったことはこのあたり。
ockeghem: このレポートは大雑把すぎる。IaaSならユーザの責任範囲が大きいし、SaaSなら大半がプロバイダ側の責任。もっと細かく分析しないと意味がない / クラウド:7割のプロバイダーが「セキュリティはユーザーの責任」 - ZDNet Japan http://htn.to/yLtjZ8


sen_u: 米国や同盟国にハッキングするとミサイルをぶち込むかも、とホワイトハウスが。 http://bit.ly/jxvwy2


AutoSecTools: Scan your PHP applications for vulnerabilities using our new tool! #hacking #tool #staticanalysis http://fb.me/ULfq6o8T


ockeghem: 素晴らしい。ありがとうございます #wasbook / 「体系的に学ぶ 安全なWebアプリケーションの作り方(wasbook)」の仮想マシンを mac の VirtualBox で動かす - techlog http://htn.to/4K4Jtr


mtakahas: 「アナライジング・マルウェア」の筆者陣による、リバースエンジニアリングをテーマにした新連載です! シェルコードから始めるマルウェア解析(1/2) - @IT http://t.co/XmYnVQC


gohsuket: 6ft先から検出出来る指紋スキャナー RT @EvilFingers: http://bit.ly/lahtYA Fingerprint Scanner that Works at a Distance: Scanning fingerprints from 6 ft away.


piyokango: 『Android向けの最初の本格的なバックドア』だそうですが、OS自体に問題があって感染するわけではなさそうなので、SMSを送信してもよいかどうかといったような確認は出るんですよね。 http://bit.ly/kizXeQ


bulkneets: 読み込むだけでクロスサイトスプリクティングが可能になるジェイクエーリプラグインが多すぎて生きてるのが辛い


kitagawa_takuji: 週刊プレイボーイのアノニマスの記事はかなり残念な内容だった。立ち読みなので正確ではないかもしれないが「アノニマスは意思決定をするだけで実行部隊は別、本体は手を汚さない」「アノニマスも金で繋がったハッカー集団であればいづれクレジットカードの不正使用が出てくるだろう」こんな感じだった


ockeghem: "草食系"社員 という言葉があるのか。さしずめ、僕は "草食系"社長

hasegawayosuke: 草食系な @ockeghem さんに脆弱性を見つけてもらっても、刺身や焼肉は不要だそうです。

テーマ : セキュリティ
ジャンル : コンピュータ

5月16日のtwitterセキュリティクラスタ

今日からインストールマニアックス5の予選が始まります。がんばってください。とはいえ参加していない人がほとんどのこのページで書いてもしょうがない気がしますが、僕はtwitterに張り付く簡単なお仕事が始まります。

iモードがスマートフォンに対応するそうです。メールの時はえらくご苦労なさってた気がするのですが大丈夫なのでしょうか。
ockeghem: iモードのサンドボックスをアプリで提供してVPNでゲートウェイに接続するのでしょうが、十分な耐タンパ性があるか心配が / 「iモードサービスのスマホ移行は有力な武器」--ドコモ山田社長 - CNET Japan http://htn.to/AHBKqd

ockeghem: ドコモスマートフォンのiモード対応は、おそらくiモードブラウザをAndroidに移植して、事業者ゲートウェイとの間はVPNで接続するのだろう。このVPN方式はガラケーのWi-Fi対応で使われている方法なので、技術や設備が一部流用できる(続く)

ockeghem: (続き)しかしスマートフォンならではのリスクもある。一つは、VPNの耐タンパ性。証明書などをリバースエンジニアリングで解読される危険性がある。もう一つは、ケータイIDの偽装。root奪取されたAndroid端末でケータイIDを偽装されると成りすましの危険性がある

ockeghem: これらくらいはドコモのエンジニアは想定しているだろうが、実装上の問題なので、ハンドセットメーカーがどこまでセキュアに実現できるかが問題となる


LizaMoonで使われる新しいタイプのSQLインジェクション攻撃だそうで。サイト作ってる側もいちいち大変ですが、全く新しいというわけでもないようで。
shu_tom: New Blog post:新しいタイプのWebサイト改ざんSQLインジェクション攻撃(続報) (Tokyo SOC Report) http://ibm.co/lznz3A いわゆるLizaMoonと呼ばれていた攻撃についてです。この攻撃は現在も継続しています。

ockeghem: 『Microsoft SQL Serverを利用する、ASPで構築されたWebサイトを利用している場合は、本攻撃の対象となる可能性があります』<その理由については http://j.mp/j3ktjD / 新しいタイプのWebサイト改ざ… http://htn.to/HyEVzD


これからはメールアドレスに使っていいのかわからない文字を使った攻撃が出てくるかもしれません。
takesako: オンライン予約の決済画面でエラー出て進めない…orz →アプリケーションでサーバー エラーが発生しました。ランタイム エラー詳細:このエラー メッセージの詳細をリモート コンピュータで表示できるようにするには、(以下略)<!-- Web.Config 構成ファイル -->

ymzkei5: 無断でペネトレしちゃダメですよ!(違w QT @takesako: オンライン予約の決済画面でエラー出て進めない…orz →アプリケーションでサーバー エラーが発生しました。<!-- Web.Config 構成ファイル -->

takesako: メールアドレスに記号+を入れてたのがマズかったのかも…。URLエンコードされてなかった QT @ymzkei5 無断でペネトレしちゃダメですよ!(違w via. http://twitter.com/#!/takesako/status/70185572341260288


その他気になったことはこのあたり。
sophosjpmktg: 昨日、しばらく連絡をとっていない海外の友人からFaccebookのウォールに書き込みがありましたとの通知メール。よく見ると過去に紹介した、「あなたがどれだけFacebookに時間を費やしたか」を調べるとうたうサーベイ詐欺。みなさまお気を付け下さい。


ockeghem: 『アルファベット文字だけでできた8ケタのパスワードなら、数分で破られるだろう』<これはオフラインの話。サイト側は12ケタ入力できるようにしてほしい / 「8ケタなら安心」はもう古い! パスワードは12ケタが必須という説 : ライフハッカ… http://htn.to/oQ3pjf


statemachine: IPA テクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート http://bit.ly/kdZenK


ucq: 第1回マルウェア解析勉強会 : ATND http://t.co/gVxNLrr via @atnd


hasegawayosuke: Live HTTP Headers、いつのまにか Firefox 4 対応してた。

テーマ : セキュリティ
ジャンル : コンピュータ

5月14~15日のtwitterセキュリティクラスタ

もう5月も半ばです。早いなあ。

Cookieやhiddenなどクライアントにデータを持たせる場合のセキュリティについて。さすがに自分で実装するのは危険な香りですね。
kinyuka: Cookieやhiddenにデータを格納する場合の暗号化についての記述はありますか? #wasbook

ockeghem: @kinyuka 暗号化してCookieやHiddenに格納することは推奨していませんね。P208に「パディングオラクル攻撃とMS10-070」というコラムが失敗例として乗せてあり、暗にですが「MSでさえ失敗するんだから素人は手を出すな」というニュアンスです #wasbook

kinyuka: ところであの本はシロウト向けなんですっけ? #wasbook

ockeghem: 元々は「入門者向け」として企画されましたw RT @kinyuka: ところであの本はシロウト向けなんですっけ? #wasbook

kinyuka: なるほど了解です。それならフレームワーク等で(hidden/Cookieの)暗号化の仕組みが用意されているわけではないので、記述しなくて正解かもしれませんね。 RT @ockeghem: 元々は「入門者向け」として企画されましたw #wasbook

ockeghem: @kinyuka ASP.NETのビューステートのように、アプリケーション開発者が意識せずに使えるものなら良いと思いますが、開発者が意識して暗号化するのは、罠が多くて大変だと思いますね

bakera: @kinyuka 参考までにお訊きしたいのですが、Cookieやhiddenに格納したデータを暗号化したいというのは、どのような場面でしょうか。暗号化が必要になるような情報をCookieやhiddenに格納しなければならない局面が思いつかなかったもので……。

kinyuka: @bakera サーバ側でセッションオブジェクトを持たず、全部クライアント側になげちゃうという発想のときです。RoRなんかはそうみたいですよ。(暗号化はオプションかも?)

kinyuka: ですね。RT @ockeghem: @kinyuka ASP.NETのビューステートのように、アプリケーション開発者が意識せずに使えるものなら良いと思いますが、開発者が意識して暗号化するのは、罠が多くて大変だと思いますね

tomoki0sanaki: JavaServlet側のオブジェクトをシリアライズ化してブラウザに持たせるような設計にしてしまった場合とか。セッション管理しなくてもいいのでサーバ側のメモリ負荷は削減。 QT @bakera @kinyuka Cookieやhiddenに格納したデータを暗号化したい

tomoki0sanaki: 適切かどうかは別として、最近ちょくちょくそんなWebアプリと遭遇しています・・・orz QT @tomoki0sanaki @bakera @kinyuka JavaServlet側のオブジェクトをシリアライズ化してブラウザに持たせる

kinyuka: まさにそれです。耐障害性などを考慮した場合、サーバ側の設計がむちゃくちゃ楽になります(サーバ複数台の場合)RT @tomoki0sanaki: JavaServlet側のオブジェクトをシリアライズ化してブラウザに持たせるような設計にしてしまった場合とか。セッション管理しなく

bakera: @kinyuka なるほど。RoRはセッションを持っていますが、confirm画面ではhiddenに出す形が基本だったはずで、そうするとユーザが入力したパスワードがhiddenに出る場合がありますね。

kinyuka: RoRの細かい点はわからないですが、キモはサーバ側でセッションオブジェクトを(複数のアプリケーションサーバ間で)共有したりする必要がなく、容易にスケールアウトできるという点ですね。RT @bakera: @kinyuka なるほど。RoRはセッションを持っていますが、

tomoki0sanaki: POSTデータが半端なくデカいのが気持ち悪いですが・・・ QT @tomoki0sanaki @bakera @kinyuka 最近ちょくちょくそんなWebアプリと遭遇しています

kinyuka: ha ha ha ヽ(´ー`)ノRT @tomoki0sanaki: POSTデータが半端なくデカいのが気持ち悪いですが・・・ QT @tomoki0sanaki @bakera @kinyuka 最近ちょくちょくそんなWebアプリと遭遇しています

bakera: @tomoki0sanaki @kinyuka そういうやつはたまに見ますが、デシリアライズすると名前空間から開発会社の名前が分かったり、いろいろ興味深いことがありますね。

tomoki0sanaki: 結構、一般的な設計方法なんですかね!? あまり見かけない設計方法だと思っていたんですけど、最近ちょくちょく見かけるようになりましたが・・・ QT @kinyuka まさにそれです。耐障害性などを考慮した場合、サーバ側の設計がむちゃくちゃ楽になります

bakera: @tomoki0sanaki @kinyuka どこかの官公庁で、.aspxなページの表示がいやに重いのでソースを見たら、数メガの ViewState が入っていたという経験をしたことがあります。:-)

tomoki0sanaki: はい。楽しいですが、改ざん方法の体系化ができていないので、まだ改ざんしたシリアライズオブジェクトを渡して顧客を驚かせるところまでは至っていないですorz QT @bakera @kinyuka デシリアライズすると名前空間から開発会社の名前が分かったり、

tomoki0sanaki: (^^) ... どこかのショッピングサイトはそういうつくりのPCサイトをそのまま携帯サイトに移管して、診断作業が半年ずれ込んだことがありました。・・・ QT @bakera @kinyuka 数メガの ViewState

tomoki0sanaki: シリアライズのセキュリティに関しては、「IPA ISEC のセキュアプログラミング講座ver1 "3.3シリアル化と情報漏洩" http://bit.ly/k507Pp」があります。って暗号化しましよう。って主旨ですが。


勉強会でハンズオンは楽しそうですね。行ってみたいけど九州…
prettyelmo_: 「Hack in the Cafe Fukuoka #7 ~徳丸本でハンズオンしてみました~」をトゥギャりました。 http://togetter.com/li/135656

ockeghem: 『【徳丸本】からは、「3章 WEBセキュリティの基礎」~「4章 Webアプリケーションの機能別に見るセキュリティバグ」を一通りやりました』<活用いただき嬉しいです! / ICTマニア:昨日の勉強会 Hack in the Cafe #7… http://htn.to/8qYD7x


すごくわかりやすかったのでオススメです。
_nat: なんか、すごい勢いでRTされてる。数時間で110突破(^-^)/ RT @_nat: 非技術者のためのOAuth認証(?)とOpenIDの違い入門 http://t.co/ruezGYo via @_nat


その他に気になったことはこのあたり。
kitagawa_takuji: WAFベンダーのバラクーダさんがSQLインジェクションでやられた件、漏れたパスワードはソルト付きハッシュと報告していましたが http://goo.gl/C1pR3 Acunetixさんの分析によりソルト無しであることがわかりました。http://goo.gl/0EOSp

ockeghem: ハッシュ保存(ソルトなし)されたパスワードの解読の実例として興味深いvia @kitagawa_takuji / Barracuda Networks Victims of an SQL Injection Attack | Acune… http://htn.to/SFyyFs


kitagawa_takuji: BT5 Nessusが入った代わりにOpenVASが外れたのか


ripjyr: L2とセキュリティとか、なんて胸アツ!!!面白そうすぎる・・・>I'm reading now: 第10回勉強会 - 京SEC http://bit.ly/mgqSx0


connect24h: ホワイトハウスがサイバーセキュリティ対策案を議会に提出 - ニュース:ITpro http://bit.ly/mSK0f5


kitagawa_takuji: 【日経】ソニー、未熟だったハッカー対策 1億件超の情報流出 ソフトの弱点放置 http://goo.gl/R3O3y


kitagawa_takuji: 今話題の sslstip 0.9 がリリース http://www.thoughtcrime.org/software/sslstrip/


ockeghem: 『障害の内容は、ディスクアクセスの大幅な遅延が起きるというもの』<本当にそうだったのですね。疑ってスミマセン / Web&モバイルマーケティングEXPO 3日目 / WebARENA CLOUD9 のお話 | 水無月ばけらのえび日記 http://htn.to/U68Mqd


kitagawa_takuji: ソニー攻撃、クラウド利用 ハッカー、アマゾンから不正侵入 (1/2ページ) - SankeiBiz(サンケイビズ) http://t.co/i83BbN7 via @SankeiBiz_jp <どこの関係者?決めつけたようなタイトルでいいの?

cchanabo: 【自分用メモ】ソニー攻撃、クラウド利用 ハッカー、アマゾンから不正侵入 (1/2ページ) - SankeiBiz(サンケイビズ) http://t.co/mlLRfZj 隣の部屋のやつが犯罪者だという理由で俺も巻き込まれて差し押さえに…orzという話がでてきそうな案件


itsec_jp: [Bot] #ITSec_JP スクウェア・エニックスで大規模情報漏えい、メールアドレスなど2万5000人分以上(ニュース) http://goo.gl/fb/Wwop5


security_info: クラウドとオンプレミスの共存/混在環境におけるセキュリティ ...: クラウドとオンプレミスの共存/混在環境におけるセキュリティ [ #cbajp ]. Posted on 2011/05/16 by cloudnewsj|... http://bit.ly/iEWFnv


kitagawa_takuji: 個人情報大量流出 ソニーをサイバー攻撃? 謎の集団「アノニマス」の正体 - Infoseek ニュース http://t.co/4em9Yk0 via @Infoseeknews


ntsuji: チュニジアのハッカーチーム(?)絶賛大暴れ中?(改ざんページへは自己責任でw) https://www.facebook.com/pages/Sniper-Hackers/151415438259028


<宣伝>
Windows AzureにWebアプリをひたすらインストールするコンテスト、インストールマニアックス5の参加申し込みは今日までです! 気になる人はとりあえずご応募ください。参加賞は1万5000円のAmazonギフト券ですよ!
http://maniax.jp/
</宣伝>

テーマ : セキュリティ
ジャンル : コンピュータ

5月13日のtwitterセキュリティクラスタ

月も半ばになりましたが、@ITの連載が公開されました。http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/05.html
よろしければこちらの方も見てあげてください。

ショルダーハックされた事件から、覗き見されないためのやり方にについて。内部だとに脆弱性を突かれるよりも覗き見だったり、モニターに付箋が貼ってたりとアナログな手法がまだまだ主流ですよね。
sen_u: パスワードは指の動きを見て入手したのだそうな。 時事ドットコム:光通信関連会社元社員逮捕=不正アクセス禁止法違反-警視庁 http://www.jiji.com/jc/c?g=soc_30&k=2011051300364

port139: @sen_u 映画スニーカーズみたいですね、ってあればビデオで撮ってましたけど。

sen_u: @port139 すごく単純な文字列なのか、それとも入力する動きがかなりゆっくりとか。

gohsuket: 「俺の後ろに立つな」をやらないとダメす RT @sen_u パスワードは指の動きを見て入手したのだそうな。 時事ドットコム:光通信関連会社元社員逮捕=不正アクセス禁止法違反-警視庁 http://www.jiji.com/jc/c?g=soc_30&k=2011051300364

ockeghem: 『パスワードは上司が入力しているのを盗み見て覚えた』<ショルダーハックですね。社内処分にとどめず事件化したのは悪質だったから? / 自分の評価見たくて…上司のメール盗み見、逮捕 : 社会 : YOMIURI ONLINE(読売新聞) http://htn.to/rHpxj6

hasegawayosuke: ショルダーハックされそうなときは、わざと間違ったパスワード打って途中でCtrl+Aを混ぜて、続きを打ったりしてます。

gohsuket: ショルダーサーフィンのが一般的かも。誰かデスクで肩揉んで欲しい人いるかなーw RT @kengo @gohsuket ショルダーハックというやつですね

sen_u: @gohsuket 背面にまったく余裕がない狭いパーティション部屋を作るとか。場所も節約できて、一石二鳥!

gohsuket: @sen_u は!自立型の椅子の背中パーティションとか製品作ったら売れるかもw

ikepyon: @sen_u 昔ディスプレイにすっぽり覆いをかけて、それに頭ツッコム奴なかったでしたっけ?アレを使って盗み見対策w

sen_u: こういうやつですね。w http://engt.co/kYl344 @ikepyon: @sen_u 昔ディスプレイにすっぽり覆いをかけて、それに頭ツッコム奴なかったでしたっけ?アレを使って盗み見対策w

hasegawayosuke: まあでも、だいたいはログイン名の hasegawayosuke の側を typo ってて、ログイン失敗するわけだけど。

MasafumiNegishi: ショルダーハックを防ぐためには、パスワードをなるべく素早く打てることが大事。というわけで、「パスワードを決めるときには右手と左手のキーを交互に選択するように!」と先人から教わりましたw 今でもパスワードを変更するときには癖でキーボード上で指の動かしやすさを確認してしまいます。;)


アノニマス内紛の影響なのでしょうが、ログイン名だけみたいですね。
connect24h: Anonymousのサイトに攻撃、500人分の情報流出か - ITmedia ニュース http://ow.ly/4TWhV

kitagawa_takuji: 【ソニー問題】ハッカー集団「アノニマス」の個人情報流出か http://2ch-news.ldblog.jp/archives/3217999.html <あれが個人情報?


その他気になったことはこのあたり。
sen_u: スクエア・エニックス子会社も情報漏えい。履歴書350名分、メールアドレス25,000名分 http://bit.ly/ltRMqw


sen_u: あなたのサイトのWordPressデータベースのダンプがGoogle検索で見えてしまう http://bit.ly/m9EPKK


Hamachiya2: 脆弱性なんてどこにでもある。大事なのはそれがエンターテイメント性のある脆弱性かどうかと、それを公開する手法だと思うよ http://htn.to/45QhPZ


dis_1topi: 個人情報収集時のプライバシーポリシー表示に不備。Playdomは現在米ディズニーグループ傘下企業です。:ソーシャルゲームのPlaydom、子どもの個人情報収集で罰金300万ドル - ニュース:ITpro http://r.sm3.jp/1UUb

テーマ : セキュリティ
ジャンル : コンピュータ

5月12日のtwitterセキュリティクラスタ

今日あたりに@ITのまとめまとめ原稿が掲載されるようですよ。だからというわけではないのですが、今日は@IT推しで。

@ITの@ntsuji:さんの記事絡みでEXIF情報について。私もその場にいたのでアメブロの人がExif情報はアップロード時に削除すると話していたのを聞いてた記憶があります。
s_hskz: Exif にサムネイルが入っている場合、トリミング前の情報が格納されている場合が当時、よくあった。 これにより、公開したくない情報を無意識に漏出させる場合がある、こんなオハナシだったと思う。

swim_taiyaki: アメブロが芸能人ブログに使われるかは、この辺の話が関係しています QT @MasafumiNegishi: 興味深い記事です。みなさん読みましょう。 RT @ntsuji: New blog post: 第7回 メタデータに残る微かなカオリ http://j.mp/lrfOhc

ntsuji: @swim_taiyaki @MasafumiNegishi アメブロはアップした写真のメタデータを消す使用になっているらしいですね。

swim_taiyaki: @ntsuji @MasafumiNegishi 新宿呑みのときに、アメブロの人来てたんだけど、そのときに仕様だって聞きました。なんか、芸能人ブログに掲載した写真データに位置情報が入っていて、慌てて引っ込めたっていうインシデントがあったっていう話がきっかけだったようです。

swim_taiyaki: BLOGサイトとEXIF情報削除の関係、調べてたんだけど、PC壊れちゃったので途中半端になっとります。そのうちまとめなきゃなぁ。フォレンジック関係で厄介なことになりそうな気がしたんで。


もう1つ@IT絡み。セキュリティの技術的な内容はすぐに専門家の突っ込みが入るのでWebの原稿って大変だと思います。
kitagawa_takuji: HTTPSの中間者攻撃のところが訂正されましたね。RT @piyokango: 『初出時の内容に誤解を招く表現がありましたので、お詫びして訂正いたします(5月12日追記)』とありますが、どこかしら修正されたのですかね。 http://bit.ly/iAOsuo

kitagawa_takuji: HTTPSの危険性というよりWebページの作りの問題ですね。今までさんざん指摘されていたと思います。

ockeghem: 『HTTPSによる暗号化は…第三者攻撃(中間者攻撃、Man in the Middleともいう)を用いれば、いとも簡単に通信内容を取得することができます』<この表現は誤解を招く→修正されたがまだまだ… / PSN Hacked――問題の… http://htn.to/5ooBaK


ソニーの情報流出によってこれからは自前の甘いパスワード管理を使うより、OpenIDなどを使うケースが増えるかもしれません。
_nat: 自前のユーザ名+パスワード(リスクベース認証無し)よりは、Facebook 認証使ったほうがよほど安全だ。

_nat: パスワード再利用を防ぐことがGoogleがOpenIDをやる最大の理由だ。

_nat: 2011 = Year of Stop Storing Password, thanks to sony.

_nat: Webサイトからすると、Googleだけではユーザの20%とかしかカバーできない。 Yahoo, Microsoft, Facebook などと連合できてこそ、Webサイトにとってやる価値ができる。だから、OpenID Foundation があるのだ。 (esachs)

_nat: 頼むから自前のユーザー名・パスワードはやらないでくれ。あと、OpenIDを使うにしても構築にはプロを使ってくれ。自前でやってセキュリティホールを作るサイトが多すぎる。(esaches)

_nat: 次世代OpenIDでユースケースの9割はカバーできる。(tonynad)



その他に気になったことはこのあたり。
k_morihisa: メモ:自分のクレジットカード番号が流出しちゃったかも…という時の対処法(クレジットカードDAYs) http://card.benrista.com/news/cardnews/post9154/


kitagawa_takuji: ネットでの個人情報の登録やカード決済に影を落とす、ソニーの情報漏えい http://t.asahi.com/2gbn


gohsuket: アノニマスIRCが新規復旧 RT @NessunoAnon #AnonOps is back, and stronger than ever. Join the party #Anonymous at irc.anon… (cont) http://deck.ly/~ebQra


MasafumiNegishi: なんだかここ1,2時間に Facebookで爆発的にスパムが蔓延していたもよう。javascript使ったちょっと変わったタイプ。こんなやつ -> http://pastebin.com/rX0jh8yn


bulkneets: Skype for Macの脆弱性を天才中学生最年少Rubyコミッタであるところの @sora_h が発見している様子 http://bit.ly/l6lJ5I


hasegawayosuke: Sony.co.jp の XSS 届け出たやつ、運営者から非常に丁寧なお礼がIPA経由で返ってきた。こういうのは好感持てますね。


hasegawayosuke: "Skype 0day vulnerabilitiy discovered by Pure Hacking | Pure Hacking" http://bit.ly/lNFXtj


bulkneets: テーマファイルに悪意があった場合 or チャットにJavaScriptインジェクション出来る脆弱性のあるバージョンを使ってる場合 JSからSkypeのAPI叩けますね、何が出来るのかは詳しく調べてない http://bit.ly/ldZ5bh


prof_morii: 秋田市職員個人情報不正閲覧、パスワード管理法を変更|さき http://goo.gl/Uzcpi 秋田市さん、非常に教科書的なセキュリティ問題を露呈しています。 パスワードの付箋記載、同じパスワードの使いまわし、いい加減な管理権限と満載です。


ockeghem: 『メディアリンク(本社:仙台市若林区)のサーバーが海外から不正アクセスを受け、データを盗み取られた』 / セキュリティ通信|セキュリティ関連ニュース 海外からの不正アクセスでカード情報3194件流出?仙台市の蒲鉾店 http://htn.to/Lym553

テーマ : セキュリティ
ジャンル : コンピュータ

5月11日のtwitterセキュリティクラスタ

どうやら最近アノニマス内で内ゲバが始まっている模様です。サイバー浅間山荘事件という言葉を思いつきましたが、やり方はよくわかりません。あと、アノニマス研究家っていう肩書きすごい。
eagle0wl: これも風流ですね。 【潰し合い】ハッカー集団アノニマスが他のハッカーから攻撃を受けている模様 : オレ的ゲーム速報@刃 http://jin115.com/archives/51776235.html

kitagawa_takuji: -- Gabriella Coleman - Geek Politics and Anonymous http://t.co/YLLRG2Y via @youtube アノニマス研究家の講演 アノニマスの歴史など分り易い

MasafumiNegishi: Anonymous仲間割れのインタビュー記事を読んでいるが、これによると今回の首謀者である Ryanは OpSonyや他のオペレーションにおいて、LOICではなく他のもっと大規模な Botを攻撃に利用していたらしい。ログの日付が若干合わないのだが。

kitagawa_takuji: @MasafumiNegishi これは新しい情報でした。タイムゾーンにもよりますがログの日付は攻撃終了宣言を出した日付と微妙なところですね。

MasafumiNegishi: 一昨日からの Anonymous内紛劇について、簡単にまとめてみました。 http://bit.ly/iHbPmi

gohsuket: アノニマスによるアノニマス内紛のまとめ RT @Anony_Ops Full story and history about #Anonymous "civil war" at http://message.anonops.in/


セキュリティクラスタ大好きパスワードの話。その昔、exploitで著名なある人が、まずはパスクラック、パスクラック大好きみたいなことを言ってたのを思い出しました。
hasegawayosuke: 新規登録時にパスワードの強度チェックに合わせて、他サイトのサービスのパスワードも入力させて同じなら弾く、という実装が現れてもいい頃。 :p

haruyama: @hasegawayosuke 他のサイトに勝手にログインしてログインできたらはじく...

TonyOhta: @hasegawayosuke それ一般化しちゃったら、フィッシングで身ぐるみひっぱがされることになりません???

ockeghem: [neta]パスワードの使い回しを防ぐために、パスワードの統一DBを用意して、一度使われたパスワードは使えないようにするのはどうか

hasegawayosuke: まあ、サイトやプロバイダなどのサービス提供側が他のサービスとのパスワードの使いまわしをチェックするのは論外なんだけど、ブラウザ上のパスワードマネージャにならそういう機能があってもいいかな、という気は若干する。

ymzkei5: 強制的に、定期的に変更させて、パスワードコレクション☆を完成させるのですよねw RT @ockeghem: [neta]パスワードの使い回しを防ぐために、パスワードの統一DBを用意して、一度使われたパスワードは使えないようにするのはどうか

ockeghem: パスワードv4 が枯渇して、パスワードv6に移行も時間の問題w RT @ymzkei5: 強制的に、定期的に変更させて、パスワードコレクション☆を完成させるのですよねw RT @ockeghem: [neta]パスワードの使い回しを防ぐために、パスワードの統一DBを用意して…


twitterクライアントってrefererつかないので、アクセス解析する側としては困りますよね。
ockeghem: うーん。ブログを書く→はてブとtwitter等で拡散→この段階ではRefererのないアクセスが多い→セキュメモで取り上げていただく→セキュメモからのアクセスはRefererありのアクセスが多い ユーザ層の違いでしょうか

ymzkei5: @ockeghem Twitterをブラウザ以外のクライアントで見ている人が多いのではー

ockeghem: @ymzkei5 あー、そうですね。それだ。だからRefererがつかないんだ。昔年の謎が解けましたw


その他に気になったことはこのあたり。
connect24h: エフセキュアブログ : 問題のある証明書 http://bit.ly/iiYEZI


jpcert: ご案内遅くなりました。Weekly Report 2011-05-11を公開しました。^YK https://www.jpcert.or.jp/wr/2011/wr111701.html


tkusano: "このページは、OSXデスクトップを完全にロックし、XPマシンをほぼ確実にクラッシュさせ、Windows 7上でGPUをリセットさせるものと見なすことが出来ます" http://j.mp/mSF6jO


isidai: あら、これはこれは - Facebookアプリから広告主に情報流出、ユーザー情報にアクセスされた恐れも - ITmedia ニュース: http://ux.nu/3rX94Q #miteru


kitagawa_takuji: WBSの公式は消されちゃったみたいですがYouTubeにあがってました。 追跡 ソニー情報流出 http://youtu.be/sBVsm1jvdio RT @expl01t: @kitagawa_takuji 流出ごとなかったことにするんですね > 404 Not Found


ntsuji: New blog post: 第7回 メタデータに残る微かなカオリ http://n.pentest.jp/?p=980


connect24h: Android端末を狙うマルウェアが400%の激増――携帯セキュリティ報告書 http://bit.ly/iBqvIe


ockeghem: 日記書いた / ソーシャルボタンを導入したヨミウリ・オンラインはリンク制限を撤廃すべき - ockeghem(徳丸浩)の日記 http://htn.to/G4mMwR

テーマ : セキュリティ
ジャンル : コンピュータ

5月10日のtwitterセキュリティクラスタ

今日は情報セキュリティEXPOやクラウドコンピューティングEXPOやスマートフォン&モバイルEXPOなどが開催されるようです。気になるのですが、雨は苦手です。

lumin: 明日はクラウドexpo(東京ビッグサイト)でクラウドセキュリティについて話します。1100から ustはあるか不明

connect24h: ビックサイトに来るまでの人混みに疲れた。

bakera: 東京ビッグサイトなう

Akira_Murakami: セキュリティEXPoか。いってみるかな。

IIJ_PR: 【クラウドコンピューティングEXPO】 IIJブース内で行われる全ての講演をライブ中継します。iPhone/iPadでも視聴いただけます。 http://bit.ly/mGYeVT (柴) #iijce2011


Ubuntuのバージョンアップに合わせて(たぶん)BackTrack5がリリースされました。32ビット版と64ビット版とARMにデスクトップマネージャがGNOMEとKDEの2種類から選べるらしいのですが、そこがメインというなら内容はそんなに変わってない悪寒。

backtracklinux: BackTrack 5 Released. The time has come. http://www.backtrack-linux.org/downloads/ Please RT

MasafumiNegishi: そういえば今日は BackTrackがリリースされるな。昨日は DoSくらってたみたいだけど。Twitterで「やめてくれ」と言ったら止まったらしいw


実はソニーの2chへの削除要求は偽物ではないか説。
kitagawa_takuji: ソニーの2hへの削除要求 http://t.co/Smtc5dR は逆引きを一時的に偽装して投稿したものと推測。 1.メアドのhoumu@gatekeeper23.sony.co.jpはMXレコードもないしsmtpも応答しない (続
kitagawa_takuji: 続)2.HOST:でのリモホ表示は小文字のみだが正引きしたものを逆引きするとGateKeeper23と大小文字混在 3.報道によると情報漏れは米国子会社が気づいた、http://t.co/xVKSK7Y ハッカーの情報サイトとはTHNのこと http://goo.gl/IEDAW


そして今月も恒例のMSアップデートの時間が近づいてきたようです。
piyokango: MSアップデート、今月は2件。http://bit.ly/jY61M7 MS11-036はMS11-022の置き換えとありますが、これを当てればPPTが破損する問題(http://bit.ly/dQQuWW)も修正プログラムを当てずとも解決されるんですかね。


その他に気になったことはこのあたり。
kitagawa_takuji: アノニマス日本分団がありますよ http://www.xenu.jp/ http://goo.gl/3ymNA こちらはHacktivist活動はしないそうですが RT @MasafumiNegishi リークされた AnonymousIPアドレス。jpドメインも

kitagawa_takuji: アノニマスのIRCの参加者は野次馬が3分の1、セキュリティ・リサーチャーが3分の1、実際に攻撃をする人が3分の1との記事を見た記憶があります。@MasafumiNegishi

MasafumiNegishi: @kitagawa_takuji なるほど。根拠なさそうだけど、なんとなくもっともらしいですね。:D


mincemaker: 去年の夏ぐらいに観測していた厨房グループを久し振りに探してみたら、結局全員が得意の Python で何ひとつ成果物出せずに飽きたらしく放置されたコンテンツだけが残っていた。


songmu: 徳丸本には記述が無かったけど、sess_idが付いたURLをクローリングされないためにも canonical urlの記載は予防的対策としてはやっておいて損はないと思っている。JSでもlocation.hrefを使わずに、そっちからURL取得するとかもやったほうが良い。


nechoneko: Google Chromeをハッキング、セキュリティ企業が「成功」と発表 - ITmedia エンタープライズ http://t.co/VEQJ71d


ockeghem: 日記書いた #sec-momiji20 #wasbook / 第20回セキュリティもみじセミナーで講演します - ockeghem(徳丸浩)の日記 http://htn.to/kG7FYV

テーマ : セキュリティ
ジャンル : コンピュータ

5月9日のtwitterセキュリティクラスタ

ゴールデンウィーク明けはさすがに忙しいのか、TLの進行も遅れ気味です。

AJAXセキュリティ本の執筆について。このタイミングだと企画を通すのは簡単だと思いますので、この3人のうちの誰かのご執筆を期待しております。
ockeghem: Ajaxセキュリティの執筆が難しいのは、Ajaxの開発、セキュリティ、文章執筆の3つの能力を兼ね備えた人がほとんどいなくて、数少ない能力のある人が本を書く暇(あるいはモチベーション)がないからだと思います。僕が思いつく書けそうな人は、セキュリティ屋というより開発畑の人だし

bulkneets: Ajaxセキュリティの執筆が難しいのは何か放っておくと知らぬ間に新しく出来るようになることがガンガン増えるからじゃないかな

hasegawayosuke: Ajaxセキュリティの執筆が難しいのは、新しくできることがガンガン増えると同時に、昨日まで通用した攻撃とbkまみれの防御が、ある日全く意味がなくなることも多いから、ってのもあるんじゃないかな。


手法の詳細が気になります。
hasegawayosuke: 非常にめずらしいパターンのXSS。かつ壮大。ページの一部を破壊じゃなく、あらかじめ外部ドメインに用意しておいたHTMLをがっつり差し込み可能。

hasegawayosuke: found XSS in beautyoftheweb.com, reported. very rare pattern and interesting.


そしてまたまたソニーがらみのXSSが見つけられています。ロゴを任天堂に差し替えられるにはちと面倒かもしれませんが。
AndMyXSS: search.sonypictures.co.uk - #XSS vulnerability http://j.mp/jklMU1


名無しさんとか通りすがりとかっぽいAnonymousですが、たまにメンバー同士が仲間割れしてますね。
expl01t: ttp://anonops.net/ がハクられてますね.// AnonOps is an international communication platform frequented by Anonymous to conduct operations.

MasafumiNegishi: またもや Anonymous内部の仲間割れ。あげくのはてに個人情報を晒すといういつものパターン。 http://message.anonops.in/

MasafumiNegishi: 仲間割れですな RT @expl01t: ttp://anonops.net/ がハクられてますね.

expl01t: @MasafumiNegishi あら.内部分裂でしたか.


その他に気になったことはこのあたり。
kitagawa_takuji: いつも情報が早いSo-netセキュリティ通信だがPSNの件はスルー http://www.so-net.ne.jp/security/


miyamae: (blog)パスワードをハッシュ化していないサイトの例 http://bitarts.jp/blog/archives/003859.html


i9R4un1: 【告知】第7回のせきゅぽろを5月28日(土)に開催します。今回はLACの取締役CTO(最高技術責任者)である西本逸郎さんが講師です。イケメソがセレクトするスイーツもあるよ! http://secpolo.techtalk.jp/7thworkshop   #secpolo


uta46: ハッシュタグ #secumoja にしたんでした。今週水曜日第2回セキュもじゃ。参加資格はセキュリティが好きか嫌いかどちらでもないか。RT @ryojikanai: セキュリティもんじゃやるよ http://atnd.org/events/15260


firefox_j: 米当局がMozillaに「検閲回避」アドオンの削除を要請、しかしそれこそ検閲では?とやんわり拒否される - P2Pとかその辺のお話 http://bit.ly/mktBLK #firefox


ntsuji: 匿名化ツール Tor の Firefox アドオンが休止、Tor 統合ブラウザを提供へ - http://engt.co/kWA0U1 ブラウザをあんまり増やしたくないのでFoxyProxyとかで繋げばいいかなぁと。


takesako: RFC5322に適合したメールアドレスの中には、SQLインジェクション攻撃が可能なアドレスがあり得ます→例:'or'1'='1'#@… http://bit.ly/lh8zkU / 僕が「ホワイトリスト」を採用しなかった訳 - @ockeghem(徳丸浩)の日記

ockeghem: 普段メールアドレスはテキストで公開しないのだけど、このメールアドレスは、公開するとspamが来るのか興味があってテキストで公開したw 'or'1'='1'#@tokumaru.org http://htn.to/zFDyPC


hasegawayosuke: http://ameblo.jp/dj-cosmo/entry-10886036013.html 「日本人ハッカーのYosuke HASEGAWAさんを潰したい人はここから捜査依頼するといい。」

テーマ : セキュリティ
ジャンル : コンピュータ

5月6~8日のtwitterセキュリティクラスタ

ゴールデンウィーク後半はソニー関連で、情報流出とは関係ない脆弱性が話題になってました。

先日お伝えしたCGIのソースコードがなぜか見えていたりする問題で、個人情報のファイルにアクセスできたようです。間抜けですね。
kitagawa_takuji: 2chのスレのログ 米ソニーのオンラインショップのソースコードが丸見え!? http://goo.gl/aE2VX 【速報】ソニー 個人情報大公開中 http://goo.gl/GhrL4

kitagawa_takuji: UPDATE1: ソニー<6758.T>でさらに2500人分の情報流出、ネットサービスの一部再開は延期 | マネーニュース | 最新経済ニュース | Reuters http://t.co/xVKSK7Y

kitagawa_takuji: ロイターの記事では『ソニーによると、この情報漏れは、米国子会社が現地時間5日(日本時間6日)にハッカーの情報サイトに掲載されていることに気付き』となっているのでAnonymousのTweetを監視しているSCEI社員が気づいたのだろう。2chへの削除依頼はやはり偽装のようだ。


そして@hasegawayousukeさんが親玉として動いているのではないかという噂w
hasegawayosuke: 風評被害→ http://amba.to/l40jeV

ymzkei5: 「公式アカウント」に吹いたw RT @hasegawayosuke: 風評被害→ http://amba.to/l40jeV

bulkneets: hasegawayosukeさんが晒してたソニーのあれ2chに飛び火してロクでもない感じになってる

bulkneets: ほんとロクでも無い感じでやや心配している

ockeghem: うむ RT @ymzkei5: やはり、はせがわさんがハッカー集団(笑)の裏の親玉と言っても過言ではないですねw 影から間接的に糸を引く系のw RT @kogawam: はせがわさんに触発されましたw 2chには晒してません。IPAとSonyにだけ @hasegawayosuke


26日に報告されてたXSSがなぜか2chで祭りになってました。
ymzkei5: あらら・・・。これは、はせがわさん報告済みのとは別口?>@hasegawayosuke RT @NobMiwa: XSSですな、無料脆弱性検査キャンペーンでしょうか、【速報】ソニーのサイトにヤバい脆弱性 http://bit.ly/mNv3lO

connect24h: ソニーのサイトにヤバい脆弱性 : はちま起稿 http://ow.ly/4PA1J

hasegawayosuke: @ymzkei5 @NobMiwa 別口ですねー。

ymzkei5: @hasegawayosuke 別でしたかー。たくさんあるのね、、(これ見つけた人、はせがわさんに触発されたのかしらw (←言いがかりw

hasegawayosuke: だいたい、sonyproductinformatie.nl 相手にXSSさせてもオランダ在住じゃないとドメイン価値低いw

hasegawayosuke: SonyのXSS、オランダに縁なさそうな日本人が騒いでる理由がよくわからん。


そして、大元の方では認証サーバーが古かったのではなかろうかとの噂。バナー表示の問題なので真相は不明です。
MasafumiNegishi: 認証サーバーが2.2.15、他に 2.2.11や2.2.3もあったようです。http://t.co/9dHik6k “@ockeghem: Apacheが古かったってどのバージョンだ?"

MasafumiNegishi: @ockeghem 実際のところどうだったのかは、Sonyが公表しない限りわかりませんけどね。情報ソースは IRC(#ps3dev)のログからです。

ockeghem: ありがとうございます! 2.2.3ですか RT @MasafumiNegishi: 認証サーバーが2.2.15、他に 2.2.11や2.2.3もあったようです。http://t.co/9dHik6k “@ockeghem: Apacheが古かったってどのバージョンだ?"

ockeghem: @MasafumiNegishi ですね。表示上のバージョンが古くても、パッチがあたってないとは限らないし

kitagawa_takuji: @ockeghem @MasafumiNegishi RHEL5のパッケージを使用していればバナー表示は Apache/2.2.3 (Red Hat)  になります。

MasafumiNegishi: @kitagawa_takuji @ockeghem はい、そうですね。ログにも同じことが書いてありました。いずれにせよ、バナー表示だけの話です。


そして、ソニーのCEOからレターが。ミラーリングされている大規模な環境をフォレンジックするのは大変なんでしょうね。
ockeghem: SCEAの米下院向けの回答書のスキャンデータっぽい。真正性に対する保証はないので取扱注意 / 050411Hirai http://htn.to/HeV14N

ockeghem: 『11. 今後の情報漏洩を防ぐために講じた手段は』<肝心の脆弱性対処について触れてないのは何故。原文にも当たったがなかった / ソニー、米下院に回答。個人情報7700万件すべてが盗まれたと認める http://htn.to/8j32sN

MasafumiNegishi: おお、ようやく CEOからのレターきた。 http://blog.us.playstation.com/2011/05/05/a-letter-from-howard-stringer/

MasafumiNegishi: @ockeghem 公式なやつはこちらです(flickr)。 http://bit.ly/kcGyWFN NYTimesには PDFもありますね。 http://bit.ly/kNN81M

ockeghem: @MasafumiNegishi ありがとうございます!

MasafumiNegishi: CEOレター読んでる。なぜもっと早くユーザーに知らせなかったのかという批判について、我々もそうしたかったが、フォレンジック調査は複雑で時間がかかるため、十分なデータを得ることができなかったと釈明。確かにディスクミラーして調査するのは根気のいる作業。でもそれが理解されるかどうか。



その他ソニー関連の記事。
MasafumiNegishi: 誰が、なぜ? 史上最悪規模・ソニー個人情報流出事件を時系列順に整理 - ITmedia ニュース http://bit.ly/mU7Qv8


kitagawa_takuji: 【主張】ソニー情報流出 「想定内」の怠慢が招いた - MSN産経ニュース http://t.co/xCq2nuC


connect24h: ソニーの大量情報流出事件 極秘の暗号「ルートキー」が絡む?(J-CASTニュース) - livedoor ニュース http://ow.ly/4PA1l


kitagawa_takuji: http://on.wsj.com/iCGnum 個人情報流出問題をめぐるソニーの苦闘 - WSJ日本版 - jp.WSJ.com


kitagawa_takuji: 『なぜハッカーたちはソニーを狙ったのか/ゲスト:高木浩光氏(産業技術総合研究所主任研究員)』http://www.videonews.com/news-commentary/0001_3/001866.php


MasafumiNegishi: ソニーの個人情報漏えい、NY州検事総長が召喚状を送付 http://bit.ly/lEy4bf


take_set: ソニー流出についての、某板での書き込み→「PSN+の補償とかいらんぞユッケで入院したやつに、同じ店の焼肉無料券持っていくバカが何処に居るんだ」  まさにその通り。


その他に気になったことはこのあたり。
moton: ソニーの影で古典的漏洩の報告w 日本郵政約32万人分の個人情報を紛失 http://bit.ly/iSjSP7


kaito834: ようやくAndroidエミュレータ 2.1-update1で、http://www.exploit-db.com/exploits/16974/ の実行に成功した。
kaito834: .@kaito834 Exploitに成功したときのスクリーンショットはこんな感じ。 http://f.hatena.ne.jp/kaito834/20110506213626 > http://www.exploit-db.com/exploits/16974/ ...に成功


kitagawa_takuji: Social Engineer PodcastにBackTrack5の開発者のほぼ全員が出演中 http://www.social-engineer.org/episode-21-special-edition-backtrack-5-and-infected-mushroom/


connect24h: 今朝、気が付いたら5歳の娘がおいらのiPhoneで遊んでいた。おいら「あれ?パスワードは?」、娘「入れた」。今日が娘の初ショルダーハック記念かとおもったら、だいぶ前から突破されていたらしい。_| ̄|〇 い、いつの間に・・・


テーマ : セキュリティ
ジャンル : コンピュータ

5月3~5日のtwitterセキュリティクラスタ

セキュリティの問題は休みとは関係なく続いていることが実感させられるゴールデンウィークです。

まずはソニー問題。まだまだ収束しそうにはなく、いろいろ出ています。
cubedl: ハッシュの手法にまで触れたのはScanだけかな。読売はIPSが入っていたことを書いてたのが印象に残ってる / ソニーPSN漏えい事件、パスワードはハッシュ化、具体的な脆弱性は非公開(ソニー)|ScanNetSecurity http://htn.to/hrMNJp

prof_morii: ソニーPSN情報流出で、初被害か(豪) | YUCASEE MEDIA(ゆかしメデ http://goo.gl/NQLOq おそらく風評被害の一つでしょう、まともに考えて1件だけポツと湧き上がることはないから。

prof_morii: PSNユーザーのクレジットカード不正利用されたの声が続々と届く http://goo.gl/2EstG 朝にも書いたけど、これは「濡れ衣」でしょう、たぶん。 ソニーも当分、大変です。


htmk73: クックック…SCEに続きSOEがやられたようだな、カード1万2700件流出 http://blog.esuteru.com/archives/3095404.html


moton: うお。またマレーシアか。RT @security4all_jp Sony's PSN system was hacked via a server in Malaysia: http://t.co/SIB3UtA


MasafumiNegishi: ソニー、米下院に回答。個人情報7700万件すべての漏洩を認める http://engt.co/k9Ps0f


MasafumiNegishi: 侵入されたソニーのサーバからファイル " Anonymous "見つかる 。中身は「我らはレギオン」 http://engt.co/mxZyUD


ソニーが報告書を提出したらしいですが、非常に洗練された高度なハッカーの仕業だということで自分たちは悪くないと主張したいのでしょうか。
MasafumiNegishi: Sonyが提出したPDF読んでる。「複数のサーバーが計画外のリブートを起こしたことから調査を開始し、不正侵入に気がついた。」-> 全く洗練されてない稚拙なやり方に見える。

MasafumiNegishi: ああ、さっきの「稚拙なやり方」というのは、攻撃者が稚拙だ、という意味です。割と荒っぽい方法でやっている。

MasafumiNegishi: SonyのPDF続き。「はじめ4台、あとからさらに6台、合計10台のサーバーに不正侵入の痕跡を発見。(PSNでは130台のサーバーを管理している。) フォレンジック調査のためのミラーリングに非常に時間を要した。」

MasafumiNegishi: 続き。「フォレンジック調査の結果、次のことが判明。侵入者はサーバー内で自らの痕跡を管理者から隠し(おそらく rootkit)、権限の昇格を行い、ログを消去した。非常に洗練された高度なハッカーの仕業だ。」 -> いや、それフツーでしょ。

MasafumiNegishi: 続き。「情報の開示等の対応について、複数の州が相異なる、矛盾する要求事項をあげており、全てに対応する必要があった。また部分的で不確かな情報の開示は、ユーザーの混乱を招きかねないと判断した。」 -> 苦しい言い訳。10年前なら妥当な判断と思ってもらえたかもしれない。

MasafumiNegishi: 間抜けさをより強調する結果に… “@NobMiwa: 自分達がまぬけだ、ということを隠すためには、奴らは凄すぎた、と敵を絶賛する手法はこれまでにも度々とられてきた #psnhacked”

MasafumiNegishi: あれ、Sonyさん、日本語に翻訳したレターは公開してくれないのかな?

MasafumiNegishi: 続き。「現在も捜査は継続中であり、またPSNと同じようなアーキテクチャをもつ他社のシステムへの攻撃を助長する可能性もあるため、攻撃内容に関する詳細な情報の開示は控えている。」 -> 恥ずかしくて公表できないってことはないよね?

MasafumiNegishi: 続き。「7,700万のアカウントのうち、クレジットカード情報を含むのは、約1,230万アカウント、うちUSは約560万アカウント。これらには、有効期限切れのものが含まれている。」 -> 会見で、有効なカードは約1,000万と言ってましたね。

kitagawa_takuji: Sonyが提出したPDFより即座に侵入を検知できなかった理由 1.非常に洗練された侵入行為だった為 2.システムソフトウェアの脆弱性を攻撃された為 3.DoS攻撃への防御に力を注いでいた為



そして、三輪信雄氏のプレステネットに関する記事について。専門の人でもよくわからないってのは、どうにもよろしくない記事のようで。
ockeghem: 『2重の暗号化などの総合的な対策が必要』<否。目的に応じた適切な暗号化が必要。また、脆弱性対策を「見えないこと」に頼るのは不適切 / サーバーとの通信を2重暗号化するなどの対策が急務:三輪信雄「ここが変だよみんなの対策」 http://htn.to/NMJL9z

mt7080: 元記事読んだときからそうなんだけど、そもそも「サーバーとの通信の2重の暗号化」の指すものがよく分からない。。。この手法てメジャーなの?? RT @ockeghem 『2重の暗号化などの総合的な対策が必要』<否。目的に応じた適切な暗号... http://htn.to/NMJL9z

mt7080: 通信の暗号化とDBの暗号化のことなのかなぁ。それを「通信の2重の暗号化」て表現するのかなぁ、むぅ。

bakera: @ockeghem おそらく「2重の暗号化」というのは本体のハックをしづらくする(耐タンパ性を高める)ための施策で、それはそれで一定の意味はあると思います。ただ、今問題になっているPSNの脆弱性とはあまり関係ないですね。ごっちゃに議論されているのが分かりにくいと思います。

ockeghem: @mt7080 ゲームなどでは、利用者による不正を防止するためにデータを独自に暗号化して、それをSSLで流す場合があります。2重に暗号化したことになりますね。この場合はSSLは必要とは限りません

mt7080: @ockeghem なるほど知りませんでした。ありがとうございます。

ockeghem: @pmakino @bakeraさんも書いているように、独自の暗号化はシステムの耐タンパ性の要求に対して必要なものですが、「総合的な対策」ではなく、耐タンパ性の実現のための施策です。元エントリは大ざっぱすぎますが、大ざっぱではダメなんです

kogawam: 『SSLは(略)...MIM((略)中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能』←意味不明だ。もしMITM可能なら、SSLの問題じゃなくて実装がクソなだけでは? / サーバーとの通信を2重暗号化するなどの対策が急務:三輪… http://htn.to/mdjd37


そして困ったことに他にもソニーの脆弱性が見つけられていますね。
hasegawayosuke: found XSS in sony.co.jp and reported.

hasegawayosuke: sony.com、ちょっと動きあやしいところ多い気がするけど、深追いすると怖いのでやめとく。エラーメッセージとか丁寧に出しすぎだし、URLに"...&path=/foo/bar/zoo/contents.txt" みたいなの入ってるのはいかにもつついてくれと言わんばかり。

hasegawayosuke: http://products.sel.sony.com/cgi-bin/semi/get_datasheet.cgi ソース丸見え?

hasegawayosuke: http://products.sel.sony.com/cgi-bin/wishlist こっちも。

bulkneets: CGI->Varsをこんなところで見るとは!!!!

rryu2010: cgi-binが形骸化してScriptAliasになっていない事故は海外でもあるんですね……

bulkneets: アクセスログ外から見えてたらしいみたいな話もあったよね http://bit.ly/mgtloN

bulkneets: hasegawayosukeさんが晒してたソニーのあれ2chに飛び火してロクでもない感じになってる


LastPass.comにXSSが見つけられています。この手のWeb系サービスは使う前にいろいろ調査する方が無難なのかもしれません。
MasafumiNegishi: あちゃー。まいったね。 LastPass potentially hacked, users urged to change master passwords http://tnw.co/iLxKs7

bulkneets: found XSS in lastpass.com

MasafumiNegishi: LastPass : The last password you'll have to remember: LastPass Security Notification http://t.co/xImLc79

bulkneets: ログイン状態では機能しないっぽい

bulkneets: 10分でXSS見つけられるサービスにホイホイパスワード預けてるのが問題。

bulkneets: lastpass マスターパスワードはクライアント側でなんかのハッシュ化した上で送ってるね。エクスポートもクライアント側で復号してる。

bulkneets: 試しに適当なデータ追加したらこれ以上の検証が不可能な事態に遭遇している!!!! http://bit.ly/mPGuPS

kitagawa_takuji: LastPassのこの対応は安心出来る。使い続けることとしよう。http://goo.gl/X7ANT


その他に気になったことはこのあたり。
Domonokun: その義援金はどこへ行く?:震災に便乗したネット犯罪をシマンテックが解説 http://bit.ly/hXXxss


sonodam: しかしアレだな、相手が成海璃子ならぶっちゃけやられてみたい、いやむしろやられた(ry


MasafumiNegishi: 言いにくい。定着ムリw RT @F0ro: 「サイバースパイ」、「ターガタック」定着するかな。 /サイバースパイ活動が増加中 http://bit.ly/mhA8QEI


bulkneets: 優れた技術持ったスタートアップがつまらないミスで評判下げるのは望むところではないし、かと言って書かないと馬鹿なユーザーがガンガン個人情報放り込みオススメしまくるし、じゃあどうすべきかってユーザー数1000人ぐらいの規模の時に見つかっててしかるべきバグだろみたいなことを言いたい

テーマ : セキュリティ
ジャンル : コンピュータ

4月30日~5月1日のtwitterセキュリティクラスタ

昨日は侵入されてダダ漏れしてしまったプレステネットの会見がありました。パスワード平文保存と言って祭りになりそうでしたが、その後ハッシュされているとの訂正が入りました。
盛り上がりについてはtogetterにまとめておきましたので、こちらをどうぞ。


そして、ゴールデンウィークなのに熱いプレステネット関連。

クレジットカード番号本当にゲットしたの?とか何のためにやったの?という疑問。
WebSecurityNews: Did hackers really get credit card numbers from Sony? http://ow.ly/1cpO7n

gohsuket: でもPSNでボットネット作るならカード情報流出とかしないで隠密にやる気もする RT @ToshioNawa もういっちょ。 Did PlayStation Network hackers plan supercomputer botnet? http://reg.cx/1NRQ


そして、どこがやられちゃったの?WAFじゃ防げなかったの?って話題。
mzdakr: ソニーは @kinyuka のWAFを入れてれば防げたんではないか?

kinyuka: やられたのはウェブアプリなんですかね?それとも普通のいわゆるサーバ?RT @mzdakr: ソニーは @kinyuka のWAFを入れてれば防げたんではないか?

yarai1978: @kinyuka ミドルウェアだと思うよ-。

kinyuka: あざーっす。WAF出番なしヽ(´ー`)ノ RT @yarai1978: @kinyuka ミドルウェアだと思うよ-。

yarai1978: @kinyuka パターンが出ればいいんだけどね。いまんとこ情報過小だわ^^;

kinyuka: 裏情うわなにをするqうぇrちゅあsdfghjk RT @yarai1978: @kinyuka パターンが出ればいいんだけどね。いまんとこ情報過小だわ^^;

MasafumiNegishi: いやいや、今 WAFの波がドドーンときてるんじゃないか? ようやく時代が追い付いてきたw RT @kinyuka: あざーっす。WAF出番なしヽ(´ー`)ノ RT @yarai1978: @kinyuka ミドルウェアだと思うよ-。


そして、内部のセキュリティ検査を行う会社がなかったっけ?っていう話題。
kinyuka: SonyってSony製品の検査をおこなう専門会社なかったですっけ。そこはちゃんと仕事してたのかな。

tessy_jp: @kinyuka 聞いた話ではいろいろとあって?途中からSONYの製品はやらないという話になったみたいですよーw

kinyuka: えー、そうなんですか!初耳です! RT @tessy_jp: @kinyuka 聞いた話ではいろいろとあって?途中からSONYの製品はやらないという話になったみたいですよーw

tessy_jp: @kinyuka 指しているところが同じなのか分からんですが、自社グループやってないみたいな話聞きました。全然違う話だったらゴメンw


使われているWebサーバはApacheだそうで。まあ、普通。
kinyuka: PSNの規模のアプリケーションサーバって何つかってるのか想像もつかない

MasafumiNegishi: Webサーバーは Apacheのしょぼい奴を使ってたみたいですけどねー。 “@kinyuka: PSNの規模のアプリケーションサーバって何つかってるのか想像もつかない”


そして、ミトニック新刊の翻訳出版プロジェクトが密かに進行しております。版権は前著の出版社が抑えていると思うので、そのあたりが問題かもしれませんが、ちょっと調べたところたぶん大丈夫ですのでがんばって出版にこぎ着けていただきたいものです。
MasafumiNegishi: 8/11に出る予定の Mitnickさんの Ghost in the Wires。ぜひ翻訳してもらいたいなぁ。

yarai1978: @MasafumiNegishi 企画持ち込みます?なんつって。

MasafumiNegishi: @yarai1978 発売前だけど評判よさそうじゃない。実際の話を書いてるみたいだしさ。

yarai1978: @MasafumiNegishi おけ。じゃ、興味持ちそうな編集者に声かけてみるよ。

MasafumiNegishi: @yarai1978 おおっ、なんと力強いお言葉!やっぱり違うなー。

yarai1978: @MasafumiNegishi 根岸さんメールアドレス教えて-。y.***@***.co.jpあて

MasafumiNegishi: @yarai1978 いま送ったよー

vulcain: @yarai1978 @MasafumiNegishi 翻訳本の話がトントン拍子にw

yarai1978: @MasafumiNegishi あざーす。とりあえず取り寄せて検討しましょう^^

MasafumiNegishi: @yarai1978 発売されんのまだずいぶん先だけどねw

yarai1978: @MasafumiNegishi うん。でも早めに声かけてって言われてるので。翻訳・監修などの加勢があるのであればなおさらって。


海外ではOperation Iranが始まったようですが、その前に行われていたWeb改ざんについて。
ntsuji: OPERATION IRANまで1時間切りましたね。http://bit.ly/m8sPRV

MasafumiNegishi: @ntsuji もう、あちこち攻撃してるけどねw

ntsuji: @MasafumiNegishi あ、もうはじまっちゃってます?w

MasafumiNegishi: @ntsuji いや DDoSは 5:00GMTなんだけど、前哨戦がはじまってるってこと。 http://t.co/aEjRY9L

MasafumiNegishi: @ntsuji このへんね。 http://t.co/WSlMZUm http://t.co/Bpwnl66 http://t.co/JWtuVSz

MasafumiNegishi: @ntsuji CNETの記事だと前に Iranian Cyber Armyがやっところみたいだけど、意図がよくわからない。

ntsuji: @MasafumiNegishi おぉ!案外改ざんのほうが派手な結果となりそうですね。

ntsuji: @MasafumiNegishi 同じ脆弱性が残っていたならお手軽でしょうしねー

MasafumiNegishi: @ntsuji なるほど、それは考えなかったw

ntsuji: @MasafumiNegishi ボクもさっき教えていただいたCNETをゆっくりゆっくり読んでいましたw ICAの後をなぞる意味はよく分からないですね。オレたちもできるんだぜって示したいだけなのかもですね。

MasafumiNegishi: @ntsuji まあそんなところでしょうね。深い意味なんてないんだろう。



その他気になったことはこのあたり。
kitagawa_takuji: John the RipperがSandy Bridgeの拡張命令「AVX」に対応 http://www.openwall.com/lists/john-users/2011/04/28/1


labunix: プレステに続きXboxでも不正攻撃 ゲーム上でフィッシング詐欺 - MSN産経ニュース http://bit.ly/jQLXR0


ntsuji: THC-Hydra 6.3でてますね。 http://bit.ly/eaL37X Oracle moduleとSMTP user enum moduleが追加されたようですよ。http://bit.ly/kbijbS


ockeghem: 『非常に厳重なホワイトリストを通過しない全ての文字について、エスケープ又はフィルタリングを行う』<標準SQLではシングルクォート以外のエスケープ手段はない。SQLを知らない人が書いている? / CWE-89 SQLインジェクション http://htn.to/kFxjAX


gohsuket: ジェフ・モスがICANNのVP&CSOに指名 RT @threatpost http://ow.ly/4JMkm Jeff Moss, founder of Black Hat security conf & DEFCO… (cont) http://deck.ly/~CQ1XY

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
05-2011
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

04   06

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。