スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月29日のtwitterセキュリティクラスタ

php5.4がやってきたようですが、ようやく危険なので使っちゃいけないregister_globalsがサポートされなくなった模様。
piyokango :register_globalsは5.4からは削除されるんでしょうか。 /PHP5.4 alpha1 released - Do You PHP はてな http://t.co/CsTK41P

ockeghem :phpinfo()で項目すら出なくなりましたので、削除ということですかね RT @piyokango: register_globalsは5.4からは削除されるんでしょうか。 /PHP5.4 alpha1 released - Do You PHP はてな


アナログ停波の前にソフトバンクのゲートウェイ方式SSLが終わりを迎えたようです。
ockeghem :これから、secure.softbank.ne.jpの「やや定期的監視」をはじめます。今はアクセスできています。

ockeghem :0:00 secure.softbank.ne.jp 使えています。停止は深夜3時だそうで

ockeghem :そろそろ寝ます。secure.softbank.ne.jpは明朝のお楽しみと言うことで。これで見納めですね

ockeghem :ソフトバンクのゲートウェイ方式SSLは予定通り終了となりました http://twitpic.com/5iriro


そしてまだまだ続くLuizSecとかAntiSecとか関連。
PopStatue :#AntiSecのまとめ http://www.cyberwarnews.info/operations/operation-anti-security-breakdown-and-targets/

MasafumiNegishi :LulzSecの50日間の軌跡 (Part 2) http://bit.ly/jFTTRm
MasafumiNegishi :なんとか続きを書いてみたものの、Part 1より短くなってる… こんな調子で、大丈夫か > オレ

MasafumiNegishi :AntiSec、予告通りさきほど ChingaLaMigraの 2度目のリリース。

MasafumiNegishi :もうこれだけ多いと全部追いきれない…

MasafumiNegishi :OpItalyもなんだか派手にやっているもよう。


行きたいなあと思ってますが、仕事次第なので泣けます。
ntsuji :第5回 アイティメディア チャリティイベント「最近の情報漏えい事件についてあれこれ語ろう」( http://bit.ly/lb2r02 )の会場は今までとは違い富士ソフトアキバプラザですがこの会場はなんとイベントの趣旨に賛同いただき無料でお貸し出しいただくことになってたりします。


HJ本誌を買い逃した方はぜひ。僕の書いたところも掲載されるようですので読んでみてください。
hj_saito :『続・ハッキングの達人』、Amazonで予約可能となりました。iPad2のプレゼントもありますよん。 ぜひぜひ http://amzn.to/iQVr6C


自分が学生なら絶対選考に通らない自信があります( ー`дー´)キリッ
hasegawayosuke :セプキャン応募資格のある学生がマジでうらやましい。


単独著書はないのでダメです>< ここに応募する前に単著書かせてくれる出版社募集中です。
sen_u :弊誌でこんなの募集してた。 |情報セキュリティの専門書籍をご紹介ください|ScanNetSecurity http://t.co/A42ePf4 via @ScanNetSecurity


ぼくもぼくもーセキュリティ関連での仕事くださいと言ってみるテスト。
sen_u :「7月の仕事下さい」とTwitterに書くと、仕事が降ってくるというのは本当ですか?(久々に言ってみた)


日本人もビデオ作ってほしいですよねー
0x3337 :LivingSocial Password Reset XSS+CSRF - http://bit.ly/llcjI7 #xss #csrf


その他に気になったことはこのあたり。
a4lg :昔 WinRing0 ってソフトウェアの仕様が危なすぎるというので脆弱性として届けたことがある。IPA 的には脆弱性じゃなかったらしい。なんというか、システムへの最大権限を得ていればそれ以上は同じってことなのかな。

a4lg :で、最近は普通のソフト (ただし管理者専用) に危なっかしいインタフェースを持つドライバが相当数あることがわかってきた…。任意メモリに任意の値を書き込めるドライバなんてどうかしてる。


JSECTEAM :ブログをポストしました。「Windowsの自動実行機能 (Autorun) の無効化の効果について考える」http://t.co/YHLssdS #JSECTEAM


kjmkjm :不正アクセス防止対策に関する官民意見集約委員会の開催(総務省) http://t.co/eEDN8xG 「防止対策」と言われると、クラッカー視点かと思ってしまう。


ntsuji :filetype:sqlなgroupon子会社の件ってあまり話題になってないっぽいですね。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

6月28日のtwitterセキュリティクラスタ

そろそろ6月も終わり、LuizSecの解散の後はAntiSecとなっていく流れのようですが、まだまだいろいろ続いてますね。
MasafumiNegishi :LulzSecの50日間の軌跡 (Part 1) http://bit.ly/jYzPUJ
MasafumiNegishi :Part 2以降はまだ全く書けていません…

kitagawa_takuji :RIP LulzSec http://t.co/Dmp6kiR via @youtube

kitagawa_takuji :ハッカー集団「A-Team」がLulzSec構成員の名前・住所なるもの公開 http://t.co/OD0RH5K via @gizmodojapan #gizjp

MasafumiNegishi :イカにいって帰ってきたら、MasterCardと 4chanが DDoSくらっていたと。

sophosjpmktg :マスターカードのサーバーが一時的にダウン。ハッカー集団AnonymousとWikileaks支持派によるDDos攻撃が原因?!カード情報の漏えいはないと発表。http://t.co/Jq2SHkE(英語)


そしてすっかり影の薄くなってしまったAnonymous
kitagawa_takuji :アノニマスがサイバー攻撃の対象企業を“選挙” 「地球の緑の敵」1位バイエル、2位東電|inside|ダイヤモンド・オンライン http://t.co/8dFUpOp via @dol_editors


東電の株主総会の裏ではいろいろやられちまったソニーの株主総会があったようです。サーバーがやられたおかげで認知度が上がったそうですよ。何事にも前向きでよろしいですね。
kitagawa_takuji :ソニー株主総会「PSN再開で90%のユーザーが戻った、認知度・信頼度は明らかにあがっている。(ドヤァ」http://t.co/fc7n1Y7

MasafumiNegishi :海賊版を利用できないようにする対策に失敗したのは自分達のミスだよね? それを他人のせいにするのはどうかなぁ。それに「セキュリティを破る」=「海賊版を利用する」ではないと思う。 - ソニーがハッカーの標的にされたのは知財を守ろうとしたため http://bit.ly/mvTvYi



その他気になったことはこのあたり。
herosi_t :DNS cache poisoning: still works and still makes lots of damage http://t.co/ogaETtQ これってKaminsky attackだよね?まだこれ放置してるところあるのか。


unixfreaxjp :【マルウェア警告】オンラインゲーム経由のトロイの木馬のマルウェア発見に付いて、現時点ではマルウェアファイルが未だアップされています。報告してからそろそろ1ヶ月が経ちました。情報⇒ http://bit.ly/kuByKr


risa_ozaki :複製されたAndroidアプリ:共生か寄生か?: 先頃、「Android Market」に酷似した偽サイトでホスティングされている、悪意あるAndroidパッケージインストールに関する報告があった。これは広告リンクからユーザにプッシュされ… http://t.co/8m40U2X


mtakahas :いろんなパターンで出てきそう。RT @tamiyata: 一瞬コレ相当のものに引っかかったのは内緒。すぐ消しましたが…/怪しげな動画窓に注意──クリックするとアダルトサイトを「いいね!」 - ITmedia ニュース http://ow.ly/5rADq

テーマ : セキュリティ
ジャンル : コンピュータ

6月27日のtwitterセキュリティクラスタ

とてもセンシティブな個人情報である患者病名などの情報が詰まったUSBメモリが消えてしまったそうです。どうしてUSBメモリなんですかね。移動して作業する必要ってあるんですかね。
NobMiwa :患者情報、2万4千人分紛失=氏名、病名入りUSB?慶応病院、夜間は施錠、看護マニュアルを記録した別のUSBも見つかっていない http://t.co/47voufz ただの紛失ではないので悪用されることは想定内とするべき

NobMiwa :慶大のUSB紛失、平文だったのだろうな、暗号化してたらそういう発表だろうから

ntsuji :@sen_u @NobMiwa こういう発表のときっていつも思うのですがどういったソフトなのかとか暗号化はどのレベルなのかとかもうちょっとはっきりとした情報を出して欲しいなと思いますね。テンプレあればいいのかもしれないですね。事故を起こしたときに発表すべき事柄。みたいなw

sen_u :@NobMiwa DBソフトで管理されていて、IDとパスワードがないとデータにはアクセスできないようですよ。 http://www.med.keio.ac.jp/information/press.pdf

NobMiwa :@sen_u なるほど、「データベースソフトで管理されており、このソフトにはIDとパスワードによるセキュリティ。。」ってAccessとかって感じですかね、暗号化とは書いていないから

sen_u :@ntsuji @NobMiwa もしかしたらMS Access2000とかかもしれませんしね。w

NobMiwa :@ntsuji @sen_u 「報道発表の内容に関して、技術的に正しいガイドラインが必要である」などと書いてみました http://t.co/EgMZv47

ntsuji :@sen_u @NobMiwa あー あれもDBですから嘘にはなりませんねw

NobMiwa :Accessって暗号化されてんのかな、ダンプしたら見えたりして

ntsuji :@NobMiwa 一応可能だそうですよ。http://bit.ly/jVoaMA

NobMiwa :うむ、Accessの場合暗号化するとパスワードが必要になるらしいが、発表ではIDとパスワードによるセキュリティとあるな、ということは、暗号化しないでパスワードがかかるのかな、Access知らないし w http://t.co/z8QlzYc

NobMiwa :@ntsuji 同じURL、かぶった

NobMiwa :@ntsuji 「パスワードは暗号化されない形式で格納」 http://t.co/kCnG3yE

NobMiwa :@ntsuji っていうか、関係者だったらIDもパスワードも知ってるし!

ntsuji :@NobMiwa それボクも思いましたw 物理的に厳重に管理していたという主張すればするほどIDのパスワードの意味を成してません。と言っているようなものですよねw


今年も開催が決まったようです。おめでとうございます。毎年何かお手伝いしたいなあと思うのですが、思うだけで何もできません。
sen_u :今年のセキュリティ&プログラミングキャンプの募集が開始。応募〆切は7月11日17時必着。 http://bit.ly/ltaX5D


その他気になったことはこのあたり。
kitagawa_takuji :Ryan保釈 http://t.co/tVYPuIj

NortonJapan :ノートンtwitter担当です。本日より無料のオンラインゲーム「ネットライフゲーム」を公開しました。ネットの脅威をゲームの中で体験してください。■ネットライフゲーム→ http://t.co/dUp9HrP

ayate :#Mambo CMS 4.6.x | Multiple #XSS Vulnerabilities http://t.co/9lhHiJu #YEHG

MasafumiNegishi :LulzSecの解散宣言は混乱の収束を意味するのか? http://bit.ly/m2zcEs

テーマ : セキュリティ
ジャンル : コンピュータ

6月25~26日のtwitterセキュリティクラスタ

今月の主役だったLuizSec、いきなり解散して活動を止めるそうです。勝ち逃げですね。
kitagawa_takuji :今日のLulzSec 50日間の活動の終結宣言を発表 http://t.co/2HtsL2a Lulz Lizards達は今後はAnonOpsの#antisecに参加しろと、リーダーのsabuも#antisecでの活動継続を表明

MasafumiNegishi :LulzSecが50日目にして活動終了を宣言。メンバーは AntiSecの旗の下で活動を継続、「LulzSecは永久に不滅です!」とか言ってる。宣言の最後に "our crew of six..." という表現があるな。

MasafumiNegishi :“@gohsuket: Lulzのメンバーは gn0sis (nigg, eekdacat, uncommon, kayla, lauralie) + Sabu + Topiary + ? http://t.co/B5Z1bbt” < 人数が微妙に合いませんねw

WebSecurityNews :Game over: LulzSec hackers disband in fear as FBI hunt closes in http://ow.ly/1dsMu2

MasafumiNegishi :ところで LulzSecの最後のリリースには複数のデータが含まれている。おそらく別々にリリースする予定だったと思うのだが。一番大きいのは AT&Tの内部データ。他に Nato E-bookshopや hackforums.netのユーザデータなど。

MasafumiNegishi :Hackforums.netからの約20万人のデータ、および他のゲーム関係掲示板からの約5万人のデータの中には、あわせて数十人のJPドメインのメールが含まれている。パスワード(ハッシュ)も漏れているので心当たりのある方は注意。お塩と一緒にどうぞw


活動休止に対する研究家というか識者というかウォッチャーの感想と見解。これまとめるだけで記事が一本書けそうです。
MasafumiNegishi :さて、これは予定された行動だったのか、LulzSecへの追求が厳しくなってきたので止むを得ずということなのか。Anonymous別働隊として初期の目的は達成されたということなのか。おもしろい。いずれにしても、まだしばらく今の混沌は続くなぁ。

kitagawa_takuji :これはAnonymousを田代砲集団からハッカー集団に変貌させる為のRecruitmentとして最初から仕組まれたシナリオだったのか?それとも単に追い詰められた結果か?

kitagawa_takuji :sabuはHBGaryへのHackの成功体験からDDoSだけじゃ世界は何も変わらんと悟ったんだろう。すべてが最初から仕組まれたシナリオ通りというのはあまりにも出来すぎている。

kitagawa_takuji :sabuは最初は自分がリーダとして少数を率いて活動するつもりだった。Topiary(LulzSecのTwitter担当)も自分をBanしたAnonymousと一緒に活動したいとは最初は思っていなかった。

kitagawa_takuji :しかし次第に自分たちの正体が次第に暴かれ、Ryanの逮捕によってIRCのログなども押収されたことから、Lulz Lidardsという概念を導入しAnonymousと共同の#Antisecを立ち上げカオスを引き起こして消えた。と考えるのが妥当か

kitagawa_takuji :Lulz Lizardsを増やすとことまでは当初のシナリオ通りだったかもしれないが、sabuはあくまで自分がリーダーとして組織を統率したかった。 Topiaryも自分が広報担当として注目されたかった。(Anonymousの時はあまりに目立ちすぎたためBanされた)と思うが、

MasafumiNegishi :Anonymousという枠組みの中ではできなかったことを LulzSecでやろうとした。それはある程度達成された。しかし、IRCログのリークや反Lulz達の追求など、想定通りにいかなかった部分もあった。そろそろ潮時と判断して、シナリオ通りを装って退場した。こんな感じではないか。

MasafumiNegishi :結果的に LulzSecの活動は世間の注目を集め、AntiSecというスローガンの下、Anonymousの活動範囲は大きく拡大して影響力も増した。また多数の賛同する力も得た。これまでになかった程の混沌がこの 2-3ヶ月でうまれた。これが彼らの目的だったのか?

ntsuji :@MasafumiNegishi Anonymousの枠ではやりづらかった(目立ちたかった含む)ので別名義で始めた行動が想定外の事象によって新しい概念のLizardができたあたりからの行動を見ると元のAnonymousに帰結しているように見えますね。

MasafumiNegishi :@ntsuji うん、どこまでが当初のシナリオ通りで、どこから狂いが生じたのか、そのあたりを分析してみるとおもしろいかもね。これが新しい変化のはじまりになるのかどうか?

ntsuji :@MasafumiNegishi はじめからこうなることを目的としてたのであれば相当なプロモーションだと思いますw 当初の目的は推測しかできないですが結果的には力をつけて知名度も上げて勢力を拡大しましたね。狂いはどこからでしょう。lulzな感じじゃなくなった頃ですかねー

ntsuji :@MasafumiNegishi 今の状態を作りたかった(満足いくものかは別として)というのが目的だとしたら1つ腑に落ちない点があるんですよね。なぜ笑いのためにと始めたのかということです。

ntsuji :@MasafumiNegishi 真の狙いを隠すためですか。Anonymousも始まりは just for lulz色が濃く、そこからインターネットの自由となっていったわけですが目立ったことといえばDDoSでしたよね。(つづくw

ntsuji :@MasafumiNegishi もちろんwhyweprotestな方もいるわけですが、そのあたりに限界を感じてAnonymousを再構築したかったのかもしれないですね。変えないと意味が無い!そのためには力が必要なんだ。という思いから。

kitagawa_takuji :@ntsuji @MasafumiNegishi DDoSは正当な抗議活動であり不当な行為は行っていない(HBGaryの時を除いて)というのが(少なくともスペインでの逮捕までの)Anonymousの主張なので、元に帰結しているのとはちょっと違いますね。

kitagawa_takuji :@ntsuji @MasafumiNegishi Anonymousも最初は真の目的 lulz(黒)を隠すためにイデオロギー的なものを掲げていた。LulzSecも真の目的 AntiSec を隠すために lulz(白を掲げた。あとはWhirlpool(Topiary)の才能にもよる

kitagawa_takuji :@ntsuji @MasafumiNegishi Anonymousは当初の目的はlulz(黒)だったが、やっているうちに政治的・イデオロギー的なものにのめりこんで行く人が沢山でましたけどね。

MasafumiNegishi :@kitagawa_takuji @ntsuji おそらくそのあたりに分裂が繰り返される一つの原因があるのでしょうね。

MasafumiNegishi :@kitagawa_takuji @ntsuji HBGaryの件が今回に繋がる大きな要因になったんだと思いますね。

kitagawa_takuji :@MasafumiNegishi @ntsuji 中東でのキャンペーンの時にあまりに政治色が強くなりすぎてしまった。そこにHBGaryの件が起こり米国政府や企業のBlackな面が明らかになりlulzな面が蘇った。また一夜で局面を変えてしまうHackingのパワーを思い知った。

kitagawa_takuji :@MasafumiNegishi @ntsuji それが後にLulzSecが誕生するきっかけとなったんでしょうね。

MasafumiNegishi :@kitagawa_takuji @ntsuji もう少し付け加えると、HBGaryの件で不正侵入と情報の公開という手段が力を持ってしまった。それまでのパワーバランスが変わってしまったんだろうと思います。

MasafumiNegishi :@kitagawa_takuji @ntsuji はい、そのストーリーはとても説得力がありますね。同感です。

kitagawa_takuji :White Lulz(白ローズ)、Black Lulz(黒ローズ)と分けて書かないと文脈で読み取ってもらうのは難しいかな。というか報道されるニュースしか見ていない人には黒ローズの方はほとんど理解されていないでしょうね。

MasafumiNegishi :@kitagawa_takuji ぜひ解説記事をw

kitagawa_takuji :4chanでいえばLoLCatやRickRollが白ローズ(lulz)で、個人情報晒したり誹謗中傷するのが黒ローズですね。なので爆笑だけではない。RT @MasafumiNegishi: @kitagawa_takuji ぜひ解説記事をw

ntsuji :@MasafumiNegishi @kitagawa_takuji 乗り遅れた… 目的は同じところにあれど穏便派と過激派に分かれて行くんでしょうかね。どこの組織にも多かれ少なかれあることなのかもしれないですね。


その他のLulzSecネタ。
MasafumiNegishi :このまとめはなかなかいいな。記事の参考にしよ。50 days of Lulz: The life and times of LulzSec http://t.co/Bfd4eb5 via @tnwmedia


gohsuket :あの台湾のCGニュースがLulzの件をまとめ RT @matt2416 Haha: http://t.co/GDWnMod #Lulzsec #Anonymous


ntsuji :アンチLulzsecってことなんでしょうか。 http://lulzsecexposed.blogspot.com/


MasafumiNegishi :うーん、CloudFlareは強かだ。なかなかやるな。On LulzSec, Censorship & CloudFlare - CloudFlare's blog http://bit.ly/m9Za3u


その他気になったことはこのあたり。
yamachan315 :サイバー攻撃最新事情 http://s.nikkei.com/jH0NlG


zusanzusan :読売新聞 サイバー護身術 Android脆弱性問題:未対応モデルも http://www.yomiuri.co.jp/net/security/goshinjyutsu/20110624-OYT8T00491.htm


hide_sunohara :(゚д゚)!「エリート小学生全国から選抜」 北朝鮮のハッカー戦士は3000人 : J-CASTニュース http://bit.ly/lQN1BV


piyokango :今年の情報処理は震災の影響なのか、BCPネタの試験も出ていますね。(問3) http://bit.ly/k7wBVP (PDF)


connect24h :え?裏取れてんの?脳内ねつ造じゃね?製作元なんでばらすわけないじゃん。イランの核開発を阻止したコンピュータウィルス「スタクスネット」がすごすぎる - Future Insight http://ow.ly/5qszX


MasafumiNegishi :【NewsBrief】ハッカー集団「アノニマス」の内幕 - WSJ日本版 - jp.WSJ.com http://on.wsj.com/k5ixUK

テーマ : セキュリティ
ジャンル : コンピュータ

6月24日のtwitterセキュリティクラスタ

それにしてもクソ暑くて脳髄がとろけそうです。

jQueryのXSS問題について。jQuery Mobileだけじゃなく、注意しないとXSSを引き起こしやすいと言うことで注意しないといけないみたいですね。
rocaz :言われてみればその通り。でも言われないとなかなか気付かないところかも / jQueryにおけるXSSを引き起こしやすい問題について - 金利0無利息キャッシング ? キャッシングできます - subtech http://j.mp/j5zjWp

bulkneets :任意のXPathやCSSセレクタが走ると危険という状況はあんまりなくて(糞重いクエリでDoSになるというのはある) セレクタを意図してかいたらタグが生成→任意のJavaScript実行 というのはjQuery固有の事情 http://bit.ly/lamG8b


面白いXSSは気になるところです。
hasegawayosuke :found XSS in live.com

hasegawayosuke :ちょっとおもしろいタイプのXSSだったけど、IE9はきちんとブロックした。Chromeはブロックしなかった。

hasegawayosuke :ていうか、ここんところ見つけてるXSSは面白いものが多い。

hasegawayosuke :あ、IE9でも動くな。「XSSを防止するために、このページを変更しました。」って出るくせに。


昨日はアイティメディアのイベントでパスワードの話で盛り上がっていたようです。楽しそうだったので行きたかったです。その中で気になったツイートをピックアップ。
naokichi :#itm_charity アカウントロックで対策、でもジョーアカウントとかリバースブルートフォースには単純には対策できない

ntsuji :オンラインクラックのパターンの話。ID == PASSといったjoeアカウント狙いかパスワードを固定したリバースブルートフォース狙いが現実的。ボクも検査のときはまずそれを試しますね。あとは組織やシステム名に関連しそうなパスワードの推測とかをします。 #itm_charity

ntsuji :rainbow tableは販売されている。もちろんボクは買いましたよw #itm_charity

ntsuji :未知のハッシュ関数でも、予めダミーユーザを登録してから、データを抜いてしまえば、ダミーユーザの元のパスワードは分かっているのでアルゴリズムが推測できちゃうかもなのです。 #itm_charity

ntsuji :パスワードの保存ではハッシュとともにソルト、ストレッチング使って守ろう。それでも心配なら暗号化するのもアリ。 #itm_charity

haruyama :ハッシュ関数によって速度が違うので, ストレッチ回数が同じでも効果が同じにはならないのに注意 #itm_charity

office_acer :いざパスワードが漏洩した時に、スキルがある攻撃者にとっては平文も単にハッシュ関数を通しただけのものも大差ない(からソルトやストレッチングが重要)。 #itm_charity

MasafumiNegishi :「ソルトもストレッチングもない素のハッシュであれば、平文で保存しているのとリスクはそんなに大きく変わらない。」ということが、そんなに認識されてないってことでしょうかね。ソルト、ストレチングの必要性について、もっと広める必要がある、というお話。 #itm_charity


そして、もう次回イベント開催が決まってるようです… って次々回なのかな。
marinedolf :@MasafumiNegishi http://bit.ly/juiOa6 第5回アイティメディア チャリティイベント情報漏えい事件についてあれこれ語ろう 2011年7月8日19:30~ アキバプラザ6F



その他気になったことはこのあたり。
sen_u :JVNで2008年のサイボウズの脆弱性が複数公開。報告者は私なんですがこの数年寝かされていた理由は知りません。 http://bit.ly/kDaVtS http://bit.ly/mjWdkC


bakera :[メモ] 「定期的にログ解析さえしていれば簡単に気付けたはず。そんなごく基本的なことさえしていなかったことは明白」 言うのは簡単ですが、実行されているのでしょうか。 http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/


securityshell :XSSF - Cross-Site Scripting Framework v.2.0 Released http://goo.gl/fb/oApUj #tools #xss

テーマ : セキュリティ
ジャンル : コンピュータ

6月23日のtwitterセキュリティクラスタ

今日も暑いですね。ビールでもたくさん飲みたい気分です。

LulzSecに続けとばかり、Lulz Lizard、LulzRaft、UberLeaks、BackTraceと二番煎じ、三番煎じっぽいのがワラワラと現れているようです。そして内ゲバっぽい動きも。
MasafumiNegishi :今日も「リリース」がたくさん。LulzSec, LulzRaft, UberLeaks, BackTrace などなど。あとでまとめてチェックしておく。

MasafumiNegishi :LulzSec vs. Backtrace のやりとりが笑えるw

MasafumiNegishi :Lulz Lizardの仲間 Uber Leaks、今朝からたくさんリリースしてる。 http://t.co/YHyIlQX

MasafumiNegishi :“@msaitotypeR: ラルズセックがブラジル政府サイト攻撃か、アクセス不能に | ワールcド | Reuters http://t.co/ajW6TQf” < LulzSecではなくて、Lulz Lizardsのひとつですね。LulzSecBrazilのことでしょう。

datahouseinfo :ハッカーしたハッカーをハッカーがハッカーしたようです(MADより) http://t.co/rFPsymf


そして読み方って誰が決めるんですかね。
ntsuji :lulzsecはラルズセックじゃなくて、ローズセックって呼ぼうキャンペーンw

vulcain :ルーズソックス! QT @ntsuji: lulzsecはラルズセックじゃなくて、ローズセックって呼ぼうキャンペーンw

WordPressのプラグインにバックドアが仕掛けられるようです。
uefarm :【メモ】WordPressのプラグインに悪質なコードが混入(ITmedia) http://goo.gl/ksO0Y 「AddThis」「WPtouch」「W3 Total Cache」から巧妙なバックドアが見つかった。使用を停止し、パスワード変更を。

cakephper :wordpressの「AddThis」「WPtouch」「W3 Total Cache」プラグインにバックドアが見つかる。 WPTouch使ってたからあせって調べたら、自分のは古くて大丈夫だった。念のため最新版にアップデートした。


そしてかつてライバルだった気がするMovableTypeはアップデートで対抗です。
bakera :[メモ] またですか。 http://www.sixapart.jp/movabletype/news/2011/06/23-1030.html


トップレベルドメインの拡張について。マルチバイトドメインみたいに誰も使わないかと思ったのですが、意外と使われるのかもしれません。商標権侵害とか大変そうですけどね。
fumitake1969 :"ICANNの金儲け目的以外に、あんまり本質的な意味がない" 「.toyota」 もオーケー、ドメイン自由化の錬金術(NewsWeek) http://goo.gl/NtvGI

moongift :GNUが.ossドメインとか取ってくれないかなー。商標権侵害が発覚したら、一気に全滅されるらしい。こわーw RT トップレベルドメインの拡張が生む機会と脅威--新たな商標問題発生の懸念も - CNET Japan http://is.gd/f3d1Lt


その他に気になったことはこのあたり。
jpcert :JPCERT/CC理事の山口英が、FIRSTの運営委員会メンバーに当選しました。今後2年間FIRSTの運営に貢献してまいります。^YK http://t.co/XSt2nA0


piyokango :docomoのスマートフォン向けに無料提供されるアンチウィルスアプリのプレス向け通知が掲載されましたね。/スマートフォン向けウイルス対策サービス「ドコモ あんしんスキャン」を無料で提供開始 http://bit.ly/lZOKBW

piyokango :提供が開始されるのは7/1からみたいですね。


sophosjpmktg :クビされた腹いせに、元ITマネージャーはボスが取締役会向けに作成したプレゼンテーション資料をアダルト画像に差し替え。社員が去ったらまずアクセス権限とパスワードの変更を! http://t.co/bGDe3Lk(英語)


eagle0wl :やっぱ日本人ならニンジャの格好で Defcon CTF に挑みたいわな。鵜飼さんも Ninja って呼ばれてたようだし。ええと、”忍者”じゃなくて”ニンジャ”な。


roaring_dog :dit、ネット監視やセキュリティ教育を行う「サイバー情報パトロールサービス」 - クラウド Watch http://t.co/3OZPdBo via @cloud__watch


trendmicro_jp :[セキュリティブログ]「iCloud」で検索すると偽セキュリティソフトへと誘導される http://t.co/gk73w6A


kitagawa_takuji :Havij v1.15 Advanced SQL Injection Released! http://t.co/tnAGFXa


DigiMunition :Cookiejacking Attack Technique http://t.co/sSHWIYs


securityshell :@Adobe #XSS DEFACEMENT (opera) http://adobe.ly/k93yix- (firefox alert ) http://adobe.ly/mEiH8D


テーマ : セキュリティ
ジャンル : コンピュータ

6月22日のtwitterセキュリティクラスタ

JQuery mobileにでっかい穴が開いているみたいです。まずは最新バージョンに
bulkneets :冗談みたいな話ですけど旧バージョンのjQuery mobile使ってるサイト問答無用でXSSありますよ http://bit.ly/lJPoq8 http://bit.ly/kGIAxp http://bit.ly/m26TH1

bulkneets :結果としてjQuery mobile使ったサイト一覧みたいなのはXSSがあるサイトのギャラリーと化している http://bit.ly/jNmKFY

bulkneets :旧バージョンのjQuery Mobileはじめ多くのjQueryライブラリにXSSがありますが動作検証大変でうかつにバージョンアップ出来ない人向けのscript http://bit.ly/kpMBL0 #jquery #xss


台湾で開催されるカンファレンスに@hasegawayosukeさんと@takesakoがスピーカーされるそうです。おめでとうございます。
hasegawayosuke :【速報】HITCON 2011 Hacks in Taiwan Conference スピーカー確定っぽい。"Make a contract with IE and become a XSS girl!" というテーマで採択された模様。

takesako :【速報】HITCON 2011 Hacks in Taiwan Conference スピーカー確定っぽい。CFPで2つ送ったうち、1つが採択された模様。


日本のアノニマスの人にインタビューですが、なんでアノニマスで活動するようになったのかをもう少し深く掘り下げてほしかったなと思ったり。
tamiyata :辻さん(@ntsuji)の連載番外編です。今回はあの「アノニマス」に所属する方にインタビュー。アノニマスとは何なのかを聞きました。/本当のAnonymousが知りたいの -http://ow.ly/5nvZy


またまたソニーにXSSですか…
Quemandoacromo :#Sony sigue siendo vulnerable > http://t.co/BE2UFOG[descubierto por el hacker "c7-elixir",pertenece a "The C7 Crew"] #bug #XSS


意外と高いのと英語なので真のビギナーならこれより秋に出るハッカージャパンの無線LANムックを買うべきだと思いました。まだ1文字も書いてませんが。
kitagawa_takuji :BackTrack 5 Wireless Penetration Testing Beginner’s Guide Book & eBook http://t.co/TgUtFcIvia @packtpub


いしいひさいちの漫画で村山監督と吉田監督がやりあってたのを思い出します。
tessy_jp :手がベタベタ攻撃wCTFでも有効? RT @gohsuket: ところでアノニマスは、ネットでDDoSやる以外に、元々は標的の住所にピザやバイブレーターを多量に送りつける攻撃をやってたのは日本であまり知られてないのかね。因みにピザ送りつけるのは米のハッカー文化で伝統的な手法だが。


dry2 :IPAから公開されています。 http://bit.ly/mzoLqoIPA テクニカルウォッチ 『スマートフォンへの脅威と対策』に関するレポート ~IPA自らの検査に基づくアンドロイド端末における脆弱(ぜいじゃく)性対策の実情と課題の考察~

gohsuket :Lulz関与容疑で英で逮捕されたRyanを米に移送する可能性 RT @Asher_Wolf UK hacker may be extradited to the US http://t.co/2znuLeQvia @australian #LulzSec #Wikileaks

isidai :PHP5.3.6及びそれ以前のバージョンにディレクトリトラバーサル脆弱性かー

rocaz :ブログ書きました: ソフトバンク回線のパケットロスがほんとーーにひどいのかTCPでも確かめてみた http://goo.gl/fb/HvJZy

ntsuji :IPv6アドレスに潜むリスクを解決するセキュリティツール登場 - TechTargetジャパン 情報セキュリティ http://techtarget.itmedia.co.jp/tt/news/1106/22/news03.html

risa_ozaki :Android用セキュリティソフトが登場 悪質なウイルス出現で対策は不可避、端末を遠隔操作できる製品も http://j.mp/kj8wvI

hasegawayosuke :SQLi ぜんぜんわかんない…。 RT @ModSecurity: Announcing the ModSecurity SQL Injection Challenge http://t.co/yHInwsv

tdaitoku :SSL認証局を狙った攻撃がまた発生、証明書の発行を中止 http://www.itmedia.co.jp/enterprise/articles/1106/22/news071.html

ockeghem :マジレスすると、アノニマスのようなではhasegawa氏に失礼 RT @ockeghem: hasegaway*sukeと回答しそうになったが踏みとどまった / 日本にもアノニマスのような優秀なハッカーはいたのでしょうか?… http://t.co/61DUL82

テーマ : セキュリティ
ジャンル : コンピュータ

6月21日のtwitterセキュリティクラスタ

Dropboxにありえないミスがあったみたいですね。他人にデータを預けるときはこういうことも考える必要があるのでしょうけど、なかなかそんなこと考えてられませんよね。。
ockeghem :『Dropboxは…プログラマーのミスによって一時的なセキュリティ障害が発生し、任意のパスワードであらゆるユーザーアカウントにアクセスできる状態になっていた』 / Dropboxでセキュリティ障害--一時的にパスワード不要のアクセス可能… http://htn.to/LouPhL

ockeghem :@ockeghem 僕はDropbox使ってないけど、「Dropbox使ってないオレは勝ち組」とは言えないね。他のストレージサービスは使っているので、たまたま被害にあわなかっただけのこと

sachikoy :Dropboxの操作ログは、ファイルを完全削除すると、削除したログさえも消えてしまう使用なのか。知らないうちにファイルを消されていても分からないってことね。それはちょっと。。。 (消されて困るものはないから、別にいいけど)



そんな間抜けなミスを突くのが得意そうなLulzSecはまだまだいろいろやってます。
cnet_japan :ハッカー集団のLulzSecとAnonymousが共同で活動--銀行、政府機関などへの攻撃で協力 http://bit.ly/kIuxI1

kitagawa_takuji :ハッカー集団のLulzSecとAnonymousが共同で活動--銀行、政府機関などへの攻撃で協力 http://t.co/wOn0ktOvia @cnet_japan <Anonymousがうまく巻き込まれた気がする。

ntsuji :あれれ?PSNと任天堂?PSNは犯人不明、任天堂はlulzsecが声明ですよね?これだとPSNもlulzsecの犯行に見えなくもないですが、混同しちゃってるのでしょうか? 英で19歳ハッカー逮捕 ソニーの攻撃にも関与か - 国際 http://bit.ly/m6Vfpy

gohsuket :ハッカーグループWeb NinjasがLulzの正体暴露に躍起に RT @cybertheorist Hacker vigilantes Web Ninjas lashing out at LulzSec http://j.mp/il8KMJ


とかやってると19歳メンバーがタイーホされてしまったそうですが。
kitagawa_takuji :ハッカー:関与容疑で英警察当局が19歳逮捕 英紙電子版 - 毎日jp(毎日新聞) http://t.co/B7Hm9HIvia @mainichijpnews

kitagawa_takuji :'LulzSec suspect' arrested by New Scotland Yard: http://t.co/kUxgoqP <Essexの19歳といえばRyanかな? http://t.co/LVSUhHI LulzSecとの関係はどうだろうか?


公式には関係ないと言ってますがどうなんでしょうね。
LulzSec :Ryan Cleary is not part of LulzSec; we house one of our many legitimate chatrooms on his IRC server, but that's it. http://t.co/98VflEi



EZwebのIPアドレスが統一される問題について。携帯のことはよくわからないのですがインターネットにUIDで何とかなるものなのでしょうか。
rocaz :この人はフルブラウザにもuidが付与されると踏んでいるのかな。という点に何の不安も感じていない点が限界だと思うよ! / EZwebゲートウェイが更改される話 | 無線にゃん http://j.mp/lTQBcY

rocaz :ガラケー脳怖い

rocaz :ガラケー脳の見分け方「EZとフルブラウザを同じゲートウェイに収容しつつブラウザでの偽装を許さない形でのUID付与をゲートウェイで行うようになる、フルブラウザでも偽装不可能なUID通知が始まる、あるいはそのスマートフォンへの拡張も考えている」この文章に何の疑念も抱かなかったら危険!

ockeghem :@rocaz 最後まで読みましたが、「キャリアはちゃんとやるはずだよ」以上のことは何も言ってないですなぁ。そう思う技術的な根拠を示してもらいたいけど、それを要求すること自体が無理のように感じます

rocaz :@ockeghem あの人はSB回線での偽装やドコモのJS問題の時も「キャリアのチョンボ」で片付けてましたからねぇ(笑) ガラケー脳は現状崇拝の停止思考なのだと思います

ockeghem :『逆にいえば、審査を通っていない勝手コンテンツは当然ながらUIDやIPの無謬性も保証してもらえません』<ということは、かんたんログインはダメという理解でOK? / EZwebゲートウェイが更改される話 | 無線にゃん http://htn.to/zau8hG


その他気になったことはこのあたり。
sophosjpmktg :実体験:ハッカーからの電話! Webホスティングサービス「1&1」のアカウントを持つ妻のログイン情報を電話で巧みに聞き出された一部始終はこちら http://t.co/P6CIRXt(英語)

expl01t :この前のMS Updateの中でもこいつだけ切り出されましたね.CVE-2011-1255は攻撃事例を確認した,とのこと.パッチあてませう.Reading: Internet Explorer の脆弱性の修正について(MS11-050) http://t.co/vcceX2H
ntsuji :@expl01t 改ざんによりiframeを埋め込んだ攻撃があったみたいですね。 http://www.symantec.com/connect/fr/blogs/6-7

dnobori :ICANN や JPRS などの DNS の管理法人が悪さをしようとした場合にそれを防止することができる仕組みって確立されているのだろうか。それとも単に性善説でやっているだけだろうか。

sen_u :ブリザード社のDBが漏出(漏えいもしてそう)だって。 懐かしい!14年ぐらい前ディアブロやってた! Fresh Meat!!! http://bit.ly/m4xLWI

mincemaker :意識高い人集めて適当にNPO作って、プロフィールに「代表」とか「最高技術責任者」とか書く技があるのかーwww

tamiyata :「迷惑メールの送信サーバには再送処理がほとんど行われていないという傾向を利用し」ほほう。/ミラポイント、迷惑メールの特徴を逆手に取る対策機能を無償提供 - ITmedia エンタープライズ http://ow.ly/5mv67

ockeghem :『パスポートやクレジットカードのスキャン画像を、同Webサイトの公開されていないディレクトリにアップロードし保管』<『公開されたディレクトリ』でないと辻褄が合わない→訂正されました(6/21) / インドの5つ星ホテルでパスポートデータ… http://htn.to/akFYQo

ntsuji :ドDoSコスコスコ ドDoSコスコスコ ドDoSコスコスコ パケ注入♪
ntsuji :「おさぶ」に空目して白目になりかけましたよw RT @takanojyou: おざぶ10枚進呈w RT @ntsuji: DDoSコスコスコ DDoSコスコスコ DDoSコスコスコ F5注入♪

テーマ : セキュリティ
ジャンル : コンピュータ

6月20日のtwitterセキュリティクラスタ

確かにCSRFとかXSSとか騒がれる割に実際の例があまりない気がします。面倒で危険なんかそんなにないから放置という人に対しても事例集とかあればいいんでしょうね。
sen_u :交換サイトMt Goxのハッキング、CSRFによりビットコインが暴落 http://bit.ly/m0FQFx

a href="http://twitter.com/sen_u/status/82970705859321857">sen_u :CSRF事件事例ってあまり知らないんですが、はまち,Pixiv以外にどういうのがありますか? RT @sen_u: 交換サイトMt Goxのハッキング、CSRFによりビットコインが暴落 http://bit.ly/m0FQFx

hasegawayosuke :@sen_u Gmailでforward先を勝手に設定される、というのなかったっけ。

hasegawayosuke :@sen_u あと、このへん。http://t.co/CGCedIs http://t.co/coy8u7v

sen_u :さすが!Gmailとこれとこれ。ありがとー。 RT @hasegawayosuke: @sen_u あと、このへん。http://t.co/CGCedIs http://t.co/coy8u7v

themeofn :@sen_u 2007年3月の2ちゃんねる検索の例はどうでしょう→http://find.2ch.net/enq/result.php/15170/

sen_u :ありがとうございます。参考になります。 RT @themeofn: @sen_u 2007年3月の2ちゃんねる検索の例はどうでしょう→http://find.2ch.net/enq/result.php/15170/

mincemaker :mixiのプロフ画像部分がCSRFでログインしていきなりログアウトするのは誰がやってたんだっけ。


成立してしまったウイルス罪について作成に関わった人が講演されるかもしれないとの話を受けた高木先生。
HiromitsuTakagi :詳しい記事が出たが、一般の企業に「注意するべきポイント」があるかのような記事は書かないでもらいたい。善良な企業や個人に、刑法改正で注意すべきポイントなどないし、あってはならない。http://t.co/oxpHWVE 「ウイルス作成罪が成立―7月の施行後に注意するべきポイント」

Akira_Murakami :とある偉い方から、このほど成立したウイルス作成罪に関して、関わられたご高名な弁護士の方に湯沢ワークショップにご出講を頂いてはどうか?とのご提案をいただいた。例会の時に諮りたい。作成時の苦労ばなしや、裏話が聞けたら面白いでしょうか?

HiromitsuTakagi :湯沢に法制審議会でウイルス罪原案に携わった戦犯弁護士がご登壇らしい。ピント外れの問題指摘ばかりで肝心の指摘ができなかった戦犯が、いまだに真の問題点の理解がない講演などしようものなら、断固糾弾するだろう。

HiromitsuTakagi :ピント外れの講演の例:「懸念されたのはウイルス対策ソフトの開発やセキュリティ診断が罪にならないかということですが、これらは処罰対象になりません。『人の』とは他人のことであり、同意がある場合は他人に当たらないため、「人の電子計算機の実行の用に供する目的がない」ことになるからです。」

HiromitsuTakagi :糾弾の例:「あなたのような、技術経験のない弁護士が、さも技術者の言い分を踏まえているかのような立場で振る舞い、その後の技術者からの不満の声にも耳を貸すことなく、最後まで何が問題にされているのか話を聞きにくることもなかった。この期に及んで問題を理解しないままご登壇とは恥を知れ。」


各報道について高木先生の思うことはtogetterにまとめられていましたのでこちらをどうぞ。
biac :「ウイルス罪: 高木浩光氏、成立後の報道を批評する #fuseisirei」をトゥギャりました。 http://togetter.com/li/152147


その他に気になったことはこのあたり。
risa_ozaki :携帯電話にないスマートフォンの危険性 http://t.co/76gGh6U

ockeghem :日記書いた / PHPにおけるファイルアップロードの脆弱性CVE-2011-2202 - ockeghem(徳丸浩)の日記 http://htn.to/hsav3T
ockeghem :本書く時に、アップロードファイル名の挙動を確認したんだけど、ルート直下におかれている場合は見逃したのよね。やはりPHPは油断ならんw RT @ockeghem: …脆弱性CVE-2011-2202 - ockeghem(徳丸浩)の日記 http://t.co/TkGg0Ud

tessy_jp :7/2-3の24時間で開催。JST-1 RT @hackinthebox WarGames.MY 2011 ? Can You Hack IT? - http://news.hitb.org/content/wargamesmy-2011-can-you-hack-it

bakera :[メモ] 7月1日にいろいろな人がいろいろな情報を一斉公開する……のか? http://ke-tai.org/blog/2011/06/16/softbanksslchange/

ockeghem :『ベタなSQLインジェクションで攻撃したリクエストの内容まで』<金床本の「unionをonionに変更してコンパイル」という技もありかなと思ってしまいます(違 / ソニーピクチャーズ フランスがレバノンのハッカーIdahcによってハッキ… http://htn.to/ofEEfo

gohsuket :Lulzが英SOCA(重度組織犯罪庁)を書き換えか RT @ LulzSec Tango down - http://t.co/JhcjgO9 - in the name of #AntiSec

_nat :非技術者のためのデジタル・アイデンティティ入門 http://t.co/CQ21bYD via @_nat

HiromitsuTakagi :「災害時における共通番号の活用について わたしたち生活者のための共通番号推進協議会」http://t.co/CHGWE1y「共通番号か??全くわからない場合には、その代わりとなる個人識別情報として、住所・氏名・性別・生年月日を名簿に記載してもらう」< なんだ、番号いらないやん。

JSECTEAM :ブログをポストしました。「.NET Framework のセキュリティ更新プログラムの整理」http://t.co/2xVVKIg

テーマ : セキュリティ
ジャンル : コンピュータ

6月18~19日のtwitterセキュリティクラスタ

TopCoderガールズに負けずにCTFガールズを作ろうという話題。今年は理系女子がはやってるんですかねえ。クラウドガールとか。
chokudai :競技プログラミングの初学者への有用性を示すために、プログラミン初心者な女の子集団による TopCoderガールズを秘密裏に組織しようとしてたんだけど、いい加減秘密裏じゃ集まりが悪すぎるので表でも集めてみようかと検討中 計画に無理があるなぁと思ってた割に集まってるからなぁ

ucq :TopCoderガールズに対抗してCTFガールズをつくるべき

ntsuji :「いいね!」RT @ucq: TopCoderガールズに対抗してCTFガールズをつくるべき

ntsuji :あ、でも、ペネトレーションガールズのほうがセクシーっぽくないですかね?w RT @ucq: TopCoderガールズに対抗してCTFガールズをつくるべき

tessy_jp :SexyHackingですねw http://bit.ly/mQQ7FVでも消されてる。 RT @ntsuji: あ、でも、ペネトレーションガールズのほうがセクシーっぽくないですかね?w RT @ucq: TopCoderガールズに対抗してCTFガールズをつくるべき

ntsuji :@tessy_jp @ucq 消されているあたりがまたセクシーさをアピールしてますねw

tessy_jp :本家サイトはこっちでしたw http://www.sexyhacking.com/RT @ntsuji: @tessy_jp @ucq 消されているあたりがまたセクシーさをアピールしてますねw

ntsuji :@tessy_jp @ucq 予習しておかないと!(え?


脆弱性の話からなぜか検査時のミスでお詫びの話になるのが、診断の様子を垣間見れて面白いですね。
connect24h :いまさらなんだけど、こいつやばくね?いつぞやのOpenSSLの脆弱性の悪夢の予感。まぁ、使ってなきゃ無問題なんだど。JVNDB-2010-002831 Apache Struts の XWork におけるオブジェクト保護メカニズム回避の脆弱性 http://ow.ly/5...

ntsuji :@connect24h リンク先が売りにでているドメインになっているのですが…

ntsuji :@connect24h その脆弱性の検証は行ってますがさっくりと刺さりますよ。

connect24h :いまさらなんだけど、こいつやばくね?いつぞやのOpenSSLの脆弱性の悪夢の予感。まぁ、使ってなきゃ無問題なんだど。JVNDB-2010-002831 Apache Struts の XWork におけるオブジェクト保護メカニズム回避の脆弱性 http://ow.ly/5l8Ef

connect24h :すんません。尻が切れたようです。次のtweetと同じURLなんですけど。再送しました。RT @ntsuji: @connect24h リンク先が売りにでているドメインになっているのですが…

connect24h :ですよねぇ。しかも。バナーから脆弱性の有無がわからない。(←これが一番問題)どうしましょ?(ここで聞くな)RT @ntsuji: @connect24h その脆弱性の検証は行ってますがさっくりと刺さりますよ。

ntsuji :@connect24h 外からは難しいパターンですね。インストールされていることが分かればexploit(実被害ないもの)で確認するのが一番手っ取り早いですね。分からない場合はサイトをクロールしてからになりますね。一番は中から調べるのが一番だと思います。

ntsuji :@connect24h http://bit.ly/ji911K このあたりも参考になると思います。

connect24h :うちは、ログインしないから、ヒヤリングで対応ですかね。RT @ntsuji: 外からは難しいパターンですね。インストールされていることが分かればexploit(実被害ないもの)で確認するのが一番手っ取り早いですね。分からない場合はサイトをクロールしてからになりますね。

connect24h :こっちもどうぞ。Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability http://ow.ly/5l93CRT @ntsuji: http://bit.ly/ji911K

ntsuji :@connect24h ありがとうございます。同じようなのを中国語サイトで見ていましたw ヒアリングで使っていることが分かればディレクトリ作成とかでお客さんに作成されているかの確認などでよいかもですねー

connect24h :本番に影響が無いことの確約の診断でメール送信画面の確認画面なしでメール送信しちゃってお詫び文を書いたことがあるので怖くてできまへーん。 RT @ntsuji: ヒアリングで使っていることが分かればディレクトリ作成とかでお客さんに作成されているかの確認などでよいかもですねー

connect24h :そうです。本番の時はいくらでも言い訳聞きますが、診断前のCGI洗い出しの時にクローラで踏みつけました。影響ないって言いきってしまっていたので…_| ̄|〇 RT @ntsuji: それってWeb画面からのメール送信機能ですか?

ntsuji :@connect24h テスト前だったんですか。それは怒られそうですね。ボクはテスト中でしたが怒られましたw

connect24h :業務がら、それまで診断時でミスはほとんどなかっただけにへこみました。自分の作業じゃなかったですが、 RT @ntsuji: @connect24h テスト前だったんですか。それは怒られそうですね。ボクはテスト中でしたが怒られましたw

ntsuji :@connect24h そういうことがあると改善が進んで品質を上げることにつながりますよね。ボクはそのミス以来、自身の大きなミスはないですw


その他気になったことはこのあたり。LuizSecもまだまだ元気ですね。
kitagawa_takuji :今日のLulzSec 1000ツイート記念の声明文を発表。4chan=Anonymousと勘違いしたメディアがAnoymnous vs LulzSecと騒ぎ立てる。リクエストに答え幾つかのサイトにDDoSなど


kitagawa_takuji :不正侵入は「楽しみ」と声明 ソニー攻撃でハッカー集団 http://t.co/GIq84uX < この声明文 http://t.co/WEFPbew がどうしてそうなるかねぇ


kitagawa_takuji :CNN.co.jp:CIAなど攻撃のハッカー集団、ツイッターで悪ふざけを自認 http://t.co/R48tu2Kvia @cnn_co_jp <ラルズ!


kitagawa_takuji :Segaの関連サイトがハック、メールアドレス等が流出した可能性 http://t.co/jfQND9M


connect24h :奴らのスイッチのありかが良くわからん。MSも狙ってないみたいだし何?狙ったけどだめだった落ち?痛いニュース(ノ∀`) : セガへのハッキングに有名ハッカー集団激怒「セガを攻撃したハッカー達を破壊してやりたい」 - ライブドアブログ http://ow.ly/5l8sV


ockeghem :訳が悪く尻切れトンボ。原文を読むと、サイトへの侵入はFTPのIDとパスワードを何らかの手法で入手していると推測。対策はGumblarと共通と思われる。もう実施済みだよね:) / 新たなインジェクション攻撃、すでに3万サイトが感染か - … http://htn.to/KXqdK3


kitagawa_takuji :普通の人が考えるハッキングのイメージと実際  http://t.co/NSbp8Zo

テーマ : セキュリティ
ジャンル : コンピュータ

6月17日のtwitterセキュリティクラスタ

ウイルス作成罪が早速可決成立したみたいです。
lfji :ウイルス作成を処罰、改正刑法が成立 : 政治 : YOMIURI ONLINE(読売新聞) http://htn.to/vSZS7k


TLから感想を拾ってみましたが、ウイルスメールが送られてきたりバグを出したら逮捕されるという心配が多いようです。


swim_taiyaki :おっ、本会議で早速可決成立したんですな。7月中旬から施行だけど、ガイドラインって間に合うのかなぁ?無理だと思うけど。 QT @ntsuji: コンピューターウイルス作成罪成立 取得・保管にも罰則 - http://bit.ly/ma8ra1

harusanda :「ウイルス作成罪」いいね、賛成だ。これで委縮するヤツが出てきたとすれば、なおさらバンザイ。こんなんで競争相手が勝手に消えていくなら、笑い止まらんね。



そのほか気になったことはこのあたり。
piyokango :昨日は社内でソニー関連のまとめ的な内容を発表したのですが、予想以上に反応が薄く(無く)、すごい空振り感を感じる場でした。


ockeghem :PHP5.3.7RC1のWindows版をダウンロードして、PDO+MySQL+SJISのプレースホルダでもSQLインジェクションとなる問題(http://t.co/JWmPYb1 )が解消されていることを確認しました。千葉さん @nihen のご尽力によるもの #php


gohsuket :ビットコインを盗むマルウェアは政府製じゃないのという陰謀説 RT @bitcoinmedia Do governments use Trojans to steal bitcoins like they use the IRS to steal USD?



xcir :英情報機関、アルカイダ関連サイトにハッキング 「爆弾の作り方」をカップケーキのレシピに書き換える http://bit.ly/meBH02 いいセンスだ

tokoroten :球根栽培法ですね。 / 英情報機関、アルカイダ関連サイトの「爆弾の作り方」をカップケーキのレシピに書き換える:ワロタニッキ http://htn.to/KcKXm3


MasafumiNegishi :電話を使った「セキュリティ診断」詐欺が横行、Microsoftが注意呼び掛け - ITmedia ニュース http://t.co/uoCKVv6


lac_security :サイバー産業スパイ対策の第2弾『快速!Webセキュリティまるごと診断パック』を発表。ご相談の多くは、自社の安全性とリスクを判断したいというものです。本サービスは、Webアプリもインフラもカバーした診断をわずか4日で報告いたします(^ ま) http://t.co/e36prpd


expl01t :Firefox 4のWebGL実装に脆弱性.スクリーンショットを奪取されてしまう等の問題あり.フィックスした新バージョンを6/21に提供予定とのこと.Reading: WebGL graphics memory stealing issue http://t.co/JEBnu1P


sen_u :インストールすると/usr以下全削除www https://github.com/MrMEEE/bumblebee/commit/a047be85247755cdbe0acce6#diff-1


ScanNetSecurity :中国藍客聯盟、初心者向け「日本攻撃専用DOSツール」を配布 http://lb.to/jn7XRB @ScanNetSecurity

テーマ : セキュリティ
ジャンル : コンピュータ

6月16日のtwitterセキュリティクラスタ

最近よく言われているAPT攻撃っていったいどんな定義よ、ということについて。別にAPT攻撃じゃなくても、本気で攻撃する人は自分が納得するまで止めないので忍耐強いものだと思いますけどね。
ntsuji :APT攻撃については、「何かしらのターゲット(個人から組織まで)に対して、忍耐(時間)とリソースを用いて、様々な方向、層から攻撃の糸口を見つけ出し目的を達成する攻撃」という理解です。

MasafumiNegishi :@ntsuji でもそれだとフツーの攻撃じゃない。pen-testもそうだしw わざわざ APTなんて呼ぶ必要あるかなぁ?

ntsuji :@MasafumiNegishi ボクの中で一番大きいのは時間(忍耐含む)ですね。テストの場合は時間は有限(長さも帯も)かなぁと。あと、さっきの理解の中にはワザとコンピュータという要素を排除しました。ありとあらゆる手法という意味で。極端ですがストーカーもAPTになりうるかなぁとw

MasafumiNegishi :@ntsuji うーん、そこまで行くと APTの定義が乖離しすぎてしまって、同じ用語を使った議論ができなくなっちゃうんじゃないかなぁ。わざわざ APTって呼ぶ合理的な理由が見い出せないんだけどな。

ntsuji :@MasafumiNegishi 煮詰めたくなってきました!w 従来の普通の攻撃との違いを煮詰めませんか?考えられるところは意図とかでしょうか?

MasafumiNegishi :@ntsuji 意図、そうですね。あとは攻撃の主体が何か。元々って国家や国防関連の機密とかに対して、深く長ーく浸透する攻撃のことじゃないですか。そこから転じて、意図や主体はどうでもよくなって、攻撃手法に焦点が移ってきてますよね。でもそれだと従来からの攻撃とそれほど違わないのでは。

ntsuji :@MasafumiNegishi 元々は軍事用語でそこから転じていると思っていました。元々のところで、意図という意味では攻撃する側の指揮や資金面の後ろ盾も国家関連なのかなぁと思います

ntsuji :@MasafumiNegishi もしかすると、元々の意味とそれっぽい昨今の事例をつき合わせて、本来のAPTとサイバー版APTみたいに定義を分けないといけないのかもしれないですね。

MasafumiNegishi :@ntsuji 僕の「元々」はサイバー攻撃についての文脈で、という意味です。2006年頃が最初らしいです。その前にどういう風に使われていたのかは、よく知らないですね。

MasafumiNegishi :@ntsuji 定義を分ける、というか、なんで同じ用語を使ってわざわざ混乱するのだろうっていうのが、僕の疑問なんですけどね…

ntsuji :@MasafumiNegishi そういえば、ブログに色々な定義を紹介されていたので呼んできました。ボク、1つ勘違いをしているのかもしれません。2006年に呼ばれたものってアメリカが中国を攻撃として「サイバー」なフィールドでの攻撃のことを指していたんでしょうか。

ntsuji :@MasafumiNegishi 元々のは「サイバー」ではない軍事用語だと思い込んでいました。

MasafumiNegishi :@ntsuji そうです。Byzantine Candorとか Hadesとか前からあるわけじゃないですか。おそらくそういう文脈の中で使われたんだと思います。

MasafumiNegishi :@ntsuji 前に教えてもらったんですけど、こういうのもあるんですよ。だから用語としてはもっと前からあったんだろうと思います。 http://t.co/XVIioVk

ntsuji :@MasafumiNegishi マーケティング用語のように物理的な軍事用語から転じてサイバーな方面に使われ始めたのだと思い込んでいました。もやっとしていたものが晴れた気がします。

kitagawa_takuji :@ntsuji @MasafumiNegishi 最近はAPTという用語が使われるのは、「宣伝」か「言い訳」のどっちかでしょう。

MasafumiNegishi :@kitagawa_takuji @ntsuji あとは Anonymous Persistent Threat でしょ!

ntsuji :@MasafumiNegishi ありがとうございます!ひとまずInstapaperに放り込みました!英語なのでじっくり読みます。(単に苦手w)

ntsuji :@MasafumiNegishi @kitagawa_takuji きました!「Anonymous Persistent Threat」 23日はよろしくお願いしますw

MasafumiNegishi :@ntsuji 米中の話って日本は直接の当事者じゃないからなのか、あんまし日本語の情報ってないですよね。でも無関係ではいられないのに、もうちょっと感度が高くてもいいのになと思うことはあります。もう少しきちんと調査して分析しておきたいテーマですね。


そして、直接Anonymousに会われたというびっくりな話に。記事の方が楽しみですね。
ntsuji :@MasafumiNegishi 最近の日本での報道を見てるとAnonymousですらあの内容なので、こうなるのも無理ないかもしれないですね。なので、せめて近しいところと思って、日本のAnonymousの方にお会いしてきたのですw

MasafumiNegishi :@ntsuji その行動力がすばらしいです。今度の記事も楽しみにしてます!

kitagawa_takuji :@ntsuji @MasafumiNegishi 了解です。

MasafumiNegishi :@kitagawa_takuji @ntsuji あと、直接相手を名指しするのを避けるために、「APTにやられました」と言ってるのかな、という例はあるかもw

ntsuji :@MasafumiNegishi なんかもう色々見てると訳わからなってきてたんですよw opsonyに無関係でも行動指針などを聞いて、それをが自分や皆さんの正しい理解になればなーと思ったんですよねー 今校正していただいているので記事はたぶん来週中には公開できると思います。

MasafumiNegishi :@ntsuji 「なんかもう色々見てると訳わからなくなってきてた」< よーくわかりますw

ntsuji :@MasafumiNegishi @kitagawa_takuji 「APT」の使い方気をつけよう。名指しを避けるために使う。なんかそれこそ「Anonymous Persistent Threat」ですねw そのうち「APTという国際的ハッカー集団」と文面を目にする日も近い?w

ntsuji :ですよね!ボクだけじゃなくてよかったw どんどん情報更新されていくし、何を信じていいのかも分からないですしw RT @MasafumiNegishi: @ntsuji 「なんかもう色々見てると訳わからなくなってきてた」< よーくわかりますw

ucq :IPAの定義は本来のものとは違うのよね

ucq :APT攻撃 「ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗なサイバー攻撃」 by IPA

ucq :これだと標的型攻撃との違いがよくわからぬ。こっちの方が単純なのかな


Anon_CentralとLulzSecの中の人がどこに住んでいるのか推測されています。ちなみにAnon_Centralのツイートは14日以来途絶えてる模様。
kitagawa_takuji :居住地タイムゾーンの推測になるかと思ってAnon_CentralとLulzSecのTwitter投稿時間の時間帯分布を調べてみた。(画像版)Anon_Central http://t.co/FcjklVF  LulzSec http://t.co/P1yfIMw

kitagawa_takuji :夏時間の補正を考えるの面倒だからAnon_CentralのTweetは4月以降にしたのだけど、1月からのTweetの時間分布だとこうなる。(時間補正はなし)http://t.co/1gdwswu (Chrome推奨)http://t.co/7Vnv0fs(画像版)

kitagawa_takuji :Anon_Centralはアメリカ東海岸、LulzSecはヨーロッパに見えるような気がするけどどうかな?

kitagawa_takuji :Anon_Centralの投稿が丸2日間くらいないけど捕まったのか?

kitagawa_takuji :Anon_CentralもLulzSecも普通の会社員ではなさそうだ

kitagawa_takuji :6時過ぎに起きて12時過ぎに寝るという生活を想定するならAnon_CentralのタイムゾーンはヨーロッパでLulzSecがアメリカ西海岸なんだが、夜型を想定するか朝型を想定するかによってどうにでも見えるな

piyokango :興味があったのでLulzSecをTweetStats(http://bit.ly/iq3xbu )とtwitalyzer(http://bit.ly/l80foq )にかけてみました。

MasafumiNegishi :@kitagawa_takuji LulzSecのメンバーはヨーロッパとアメリカだって Barrett Brownが言ってる記事がありましたね。Webの日付の書き方とかはアメリカではありませんね。でも電話番号はアメリカだし。

kitagawa_takuji :@MasafumiNegishi 電話番号がアメリカなのは乗取ったPBXがアメリカだからでしょう。Hackerが午前中から盛り上がるか?っていうのを考えるとLulzSecのTwitter担当はやはりヨーロッパの様な気がします。

MasafumiNegishi :@kitagawa_takuji 私も少なくとも Twitterに関してはヨーロッパだろうと思います。電話関連についてはちょっと意外な感じもしました。彼らそっちも守備範囲なんですかね。


今すぐフォローすべきスーパーエンジニアというのが人気(http://matome.naver.jp/odai/2130823596466798101)のようです。マダァ-? (・∀・ )っ/凵⌒☆チンチン
ripjyr :まだぁーーーこういうのにすぐ乗る徳丸さん。「今すぐフォローすべき情報セキュリティ界のスーパーエンジニア」

ucq :まだぁーー RT @ripjyr: まだぁーーーこういうのにすぐ乗る徳丸さん。「今すぐフォローすべき情報セキュリティ界のスーパーエンジニア」


ockeghem :『みずほダイレクトのログインパスワード入力時に、「合言葉」「第2暗証番号」(6桁)を同時に入力させる偽の画面を表示するウィルスが発生している』 / みずほ銀行:【重要】みずほダイレクトをご利用される方へのご注意(必ずお読みください) http://htn.to/RLqJLR


gohsuket :今度はPayPal脆弱性とか RT @k4l4m4r1s PayPal vulnerability : Hack any Paypal account within 30 seconds http://t.co/u9CDoJW

sen_u :PayPalのアカウントが乗っ取れるとか何とか流れてたけど、結局安全ってことで終息なのかな? http://t.co/5WBZccD


kirifue :Wi-Fiに接続された「iPhone」やノートPCなどのデバイスのMACアドレスと位置をGoogleが公開。セキュリティ上の懸念あり。 #googlejp http://htn.to/qxLpCz
"

kaito834 :「日本語ワープロソフト一太郎の未知の脆弱性を使用した標的型攻撃を複数回確認していま す」 http://www.symantec.com/connect/ja/blogs-196


kitagawa_takuji :ハッカー集団、マレーシア政府サイトを攻撃 少なくとも41のサイトが被害 http://t.co/UHdR7Xv


kitagawa_takuji :ソニーに攻撃を仕掛けたハッカー集団が声明、「我々がCIAを攻撃した」 ? ロケットニュース24(β) http://t.co/xVMfZJk via @RocketNews24


sen_u :LulzSec、今度は62,000+アカウント奪取 http://bit.ly/k3bFgH


ScanNetSecurity :iPhoneで推測されやすい危険なパスコードトップ10、「5683」の意味とは?(ソフォス) http://lb.to/mtSjMb @ScanNetSecurity


tdaitoku :CIAのWebサイトが一時ダウン、ハッカー集団がTwitterに声明 http://www.itmedia.co.jp/enterprise/articles/1106/17/news023.html

テーマ : セキュリティ
ジャンル : コンピュータ

6月15日のtwitterセキュリティクラスタ

過剰防御について。逆に攻撃しちゃうのはもう今ではもちろんダメなんですよね。やはり電源抜いたり誰もアクセスできなかったりするのがいちばん過剰かと思いますが、それでは芸がないのですっごい過剰なエスケープとかエンコードとかパフォーマンスに問題が出るのが素敵ですよね。
ockeghem :多層防御のさらに上を行く「過剰防御」というのを思いついたw 過剰防御の例:リクエスト毎にセッションIDを変更する

tomoki0sanaki :@ockeghem 過剰防御の例:17:00 になったらサーバの電源を落として帰宅する。

ymzkei5 :こ、これを思い出してしまいました。(汗 →http://www.flexfirm.jp/press/110407.html QT @ockeghem: 多層防御のさらに上を行く「過剰防御」というのを思いついたw 過剰防御の例:リクエスト毎にセッションIDを変更する

ockeghem :@ymzkei5 過剰にならないように工夫を凝らした、ということで

ockeghem :過剰防御というと、攻撃してきたホストに逆にExploitを打ち込むようなイメージがあるね(^o^)/

ymzkei5 :攻撃は最大の防御っ!(←ダメw) QT @ockeghem: 過剰防御というと、攻撃してきたホストに逆にExploitを打ち込むようなイメージがあるね(^o^)/


MSに引き続きAdobeのアップデートが。このところ起動するたびにAdobeのアップデートがあるような気がします。
jpcert :こんにちは。Adobe Acrobat/Reader の修正プログラムも公開されています。 アップデートを行いましょう! なお、文中で確認中としていた脆弱性も修正済みとの情報が得られました。 まもなく公開中の文面も更新予定です。 ^KS http://t.co/nOuPHam

jpcert :立て続けになりますが、本日は Adobe Flash も更新されています。 Adobe Systems社の情報によると、既に一部で攻撃も起きているとのことです。こちらも忘れずにアップデートを行いましょう。^KS http://t.co/5h7X7EN

sophosjpmktg :AdobeがReaderとAcrobatの定例パッチが公開、Flash Playerなどの脆弱性にも対処 - ITmedia ニュース http://t.co/gVZ2LWy


w3afがようやく正式リリースされました。BTで試用してみたときはよく落ちる印象だったのですが、正式版ではそのあたりが改善されたのでしょうね。
_nat :Webアプリケーションの脆弱性テストフレームワーク「w3af 1.0」リリース - http://sourceforge.jp/magazine/11/06/01/041215

piyokango :本家サイトではデモ動画も公開されていますね。http://bit.ly/kWGf4I


HappyHackingKeyboardの新製品が出るようです。テンキーないので僕は買いませんが買う人が結構いそうです。。
umq :HHKP Professional2 Type-S ってのがでたのか、キーの駆動部がタイトになってるってことはキートップはずして洗うの難しくなるのかな。知らんかったけどProfessional2からCaps Lockあるのね、HHK Lite2 のCaps Lockは大嫌いだった

tokoroten :新型HHKProキタ!! 触ってみて使い勝手がよかったら購入する。 / Happy Hacking Keyboard | HHKB Professional2 Type-S | PFU http://htn.to/Dse7t9

mincemaker :HHKB Professional2 Type-S は墨出たら買おっと。 http://www.pfu.fujitsu.com/hhkeyboard/type-s/


もう攻撃できるなら誰でもいいんでしょうかねえ。
sophosjpmktg :ハッカー集団LulzSec、今度はゲーム会社Bethesdaを攻撃 http://t.co/fHvpbuu via @cnet_japan

xxxrintanxxx :あらまあ。  ハッカー集団LulzSecが『Minecraft』『EVE Online』『LoL』のサーバーを攻撃 http://blog.esuteru.com/lite/archives/3556482.html


最近IPAメールでしか受け付けてくれないのはXSSごときで報告してくんな対応面倒くさいお、ということなのでしょうか。
mincemaker :単純にクエリ文字列エスケープしてないで全開でXSSするサイトはアホほどみつかるのだけど、それを全部 IPA に届けていいものか躊躇われる。ジョブキューに入れておいたら勝手にテンプレで「XSSで発生する脅威全般」として届けてくれるWebサービス作って欲しい。


僕はパスワード管理ソフト使ってますよ。一点集中です。
ntsuji :パスワード管理みんなどうしてるんだろーと思ってFbでクエスチョンしてみましたよ。http://on.fb.me/mJsAIh


そのほかに気になったことはこのあたり。
hir0_t :Internet Scannerに続いてProventia Network Enterprise Scannerも終了という話をみて、一つの時代が終わったんだなって感じがしました。


kitagawa_takuji :MS「PSNハック問題でLiveの安全性を確認できたww」 http://t.co/tBDn5Xa


omegatakuma :電話の発信者番号は偽装できる? - ネットワークHOTTOPICS:ITpro http://j.mp/mNzv9k


mincemaker :プロフィールに書かれている作ったWebサービスがどれも当たり前のようにクエリ文字列エスケープされてないので残念な気持ちになった。 http://engineer.typemag.jp/entania/2011/06/g-1.php


expl01t :JSTのサイトが一時期やられてた模様。ここらしい ttp://www.inflammation.jst.go.jp/ 閲覧したユーザの被害状況は読み取れず。Reading: ホームページ改ざんに関するお知らせとお詫び http://t.co/3V97eqT


sen_u :iPhoneで一番使われているパスコードは「1234」 http://bit.ly/m5IWlm


kalab1998 :名古屋情報セキュリティ勉強会が7/30名古屋大学で開催されます. http://t.co/gdHQFaB


internet_watch :なりすまし不正アクセスで停止していた、ソニーポイントの交換サービス再開 http://bit.ly/kv0BXc


Murashima :フォーティネット、64bit版Windows狙うrootkitの拡散に注意呼びかけ -INTERNET Watch http://bit.ly/mO1eoS #FYI


sophosjpmktg :ラップ歌手のソウルジャ・ボーイのFacebookアカウントがハッキングされ、人種差別主義者、同性愛嫌悪症にされる。http://t.co/716Di1l(英語)


yasulib :「川口洋のセキュリティ・プライベート・アイズ(34) JSOCに飛び込んできた不審なメール ――これが標的型攻撃の実態だ」 http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/034.html


ntsuji :Oracle HTTP ServerのヘッダーインジェクションのXSSってApacheの417xssと同じですね。昨日あたりExploitがリリースされてましたけど普通に検査で指摘していたのですが…

テーマ : セキュリティ
ジャンル : コンピュータ

6月14日のtwitterセキュリティクラスタ

早いものでもう6月も折り返しです。

今日は月一のMSアップデートの日です。管理者の人は朝からお疲れ様です。
JSECTEAM :2011 年 6 月のセキュリティ情報を公開しました。詳しくは 2011 年 6 月のセキュリティ情報をご覧ください。http://t.co/5vqBxCb #JSECTEAM

kensukesan :ぃゃ~、2011年6月のMSマンスリーアップデートは[リモートコード実行」の緊急がてんこ盛りや・・・。


そして、恒例になりつつある@kaito834さんのアップデートについての解説。素晴らしいですね。
kaito834 :MS 2011/06 定例パッチの日本語情報が出ていないようなので、英語情報を確認。SANS Diary も MS 定例パッチの情報出ていないみたい。

kaito834 :MS 2011/06 定例パッチ 16 件を CVE 番号割り当て数でみると、MS11-050(IE累積)とMS11-045(Excel)が多い。MS11-050 が 11 件、MS11-045 が 8 件。それ以外は 1,2 件程度。

kaito834 :MS 2011/06 定例パッチ 16 件のうち、公開された脆弱性を修正していると記述されているのは 3 件。MS11-037(MHTML)、MS11-044(.NET)、MS11-046(AFD) 。MS11-046 については攻撃(PoC だけ?)が確認されている模様。

kaito834 :MS11-037(MHTML)、MS11-046(AFD) では CVE が Reserved 状態だけど、MS11-044(.NET) では CVE から関連情報をたどれる。

kaito834 :MS11-046(AFD) の PoC って、http://www.exploit-db.com/exploits/17133/ かなー。だけど、MS11-046 の発見者名と exploit-db の投稿者名が違う。

kaito834 :http://gadgetoso.net/2011/05/at-the-end-of-last/ とか、MS11-037(MHTML) に関連するかな。

kaito834 :Adobe Flash Playerのアドバイザリも出ている。すでにin the wildみたい。"APSB11-18 - Security update available for Adobe Flash Player" http://goo.gl/JLqTX

kaito834 :Adobe Reader,Acrobatの四半期パッチ。"APSB11-16 - Prenotification Security Advisory for Adobe Reader and Acrobat" http://goo.gl/53kXE

kaito834 :もう1つあった。"APSB11-14 - Security update: Hotfix available for ColdFusion" http://goo.gl/feO3O


国会の法務委員会に高木先生が出席されていたようで、ウィルス作成罪のことや岡崎事件のことについてお話しされたようです。
eaksz :法務委員会質疑、無事終わりました☆ ウィルス作成罪の「正当な理由」や、アクセスログの保全義務について取り上げたほか、昨年の岡崎市立図書館事件を挙げて、運用の過程での適正さが確保できるのか、を有識者に問いました。

Kiyosuke0418 :「6/14法務委員会TL(速報版)」をトゥギャりました。 http://togetter.com/li/149208

HiromitsuTakagi :特定の事件のこと(岡崎図書館事件)には触れないつもりで出向いたのですが、委員から触れて問われたからには、お答えせざるを得ませんでした。まさか触れられるとは思いもよりませんでした。何名かの委員の方々は岡崎図書館事件についての資料を手元にお持ちのようでした。(私からの配布ではなく。)


なかなか正式結果が発表されずにやきもきさせられたDEFCON CTF予選ですが、ようやく発表されたようです。sutegoma2の2位、おめでとうございます。次は本選ですね。ぽぽぽぽ~ん♪
yoggy :DEFCON 19 CTF予選の最終結果が発表されてます http://ddtek.biz/

moton :16位のチームが気になるw QUALIFICATIONS RESULTS Diutinus Defense Techonologies Corp. / Home http://ddtek.biz/

yoggy :72位のチーム名吹いた

tessy_jp :68位も同じかな? RT @yoggy: 72位のチーム名吹いた


一人で店で本見ながらいろいろやってるととっても怪しげで、追い出されそうな予感がしますが、それはともかくHack in the Cafe Fukuokaモデルっていうんですね。
connect24h :Hack in the Cafe Fukuokaモデルをパクッてハンズオンの読書会開けば良いのに。これぞ自主キャンプ。http://ow.ly/5h0J8 RT @fjt_suntree: RT @syou_akagi: @mine_studio: #spcamp

connect24h :自分でPCと本持参でその場で本に書いてある事を実践。RT @fjt_suntree: おぉすげー「自分で本持っておいで」ですか。 QT Hack in the Cafe Fukuokaモデル RT @syou_akagi:@mine_studio:#spcamp


そのほか気になったことはこのあたり。
kitagawa_takuji :今日のLulzSec Escapist Magazine, Eve Online, Minecraft, League of Legends などをDDoSで落とす


gohsuket :ベラルシ大統領サイトにDDoS RT @evgenymorozov DDoS Attack on Belarusian President's Site http://flpbd.it/0BqD


connect24h :絵に描いたような玉突き事故後編。第2回 読み誤りや誤削除など人為ミス続発 - みずほ銀障害の全貌判明、懸案はCIO人事:ITpro http://ow.ly/5gXFb

テーマ : セキュリティ
ジャンル : コンピュータ

6月13日のtwitterセキュリティクラスタ

初心者Webアプリ開発者が読むべき情報について。なぜか薄い本の話になっていますので、誰かTLを見ているセキュリティ腐女子の方が徳丸×大垣本を作ってくれるのかもしれません。夏コミが楽しみですね。あと薄い徳丸本(ややこしい)の方も期待しております。
connect24h :★だけは最低限読んどけ。あと、余裕があれば徳丸本。初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋 http://ow.ly/5g4cL

connect24h :独断と偏見で選んだ★だけは最低限読んどけ。あと、余裕があれば徳丸本。初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋 http://ow.ly/5g4Ky #wasbook

ockeghem :『開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めている』<紹介ありがとうございます #wasbook / 初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋 http://htn.to/aHgyRg

connect24h :40ページ位じゃないと読んでくれない。>@SUM 「あの厚さは、万人は読めない」なのかー。そーかー。。。 / 初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋 http://htn.to/GSbfg9

ockeghem :その辺に閾値がありそうですね。安全なウェブサイトの作り方も今は100ページ超ですので、脱落する人が出そうです RT @connect24h: 40ページ位じゃないと読んでくれない。>@SUM 「あの厚さは、万人は読めない」なのかー。そーかー。。。

bakera :@ockeghem @connect24h @SUM 上中下巻の分冊バージョンを出すというのはどうでしょうか。

connect24h :それ、本末転倒。薄く、網羅的で、最低限の対策でセキュリティ診断で90点以上の良い点が取れる本がほしい。RT @bakera: @ockeghem @SUM 上中下巻の分冊バージョンを出すというのはどうでしょうか。

bakera :@connect24h ガッツリ解説入りというより、リファレンスっぽい感じのイメージでしょうか。

ockeghem :その目的に特化すれば書けると思います。お仕事で作っている開発ガイドラインとかがそうですね RT @connect24h: 薄く、網羅的で、最低限の対策でセキュリティ診断で90点以上の良い点が取れる本がほしい。

connect24h :そんな感じです。開発標準の添付資料とか、要求定義書の一部とかですかね。まぁ、誰得なんですが。RT @bakera: @connect24h ガッツリ解説入りというより、リファレンスっぽい感じのイメージでしょうか。

bakera :そうか、徳丸本の薄い本を作ってコミケで……!

mincemaker :「徳丸氏の薄い本」に空目。

ymzkei5 :どんな創作活動ですかwww 徳丸×大垣的な・・・ QT @bakera: そうか、徳丸本の薄い本を作ってコミケで……!

ockeghem :徳丸本の薄い版は需要があるんじゃないか? とマジレス

connect24h :そうなんですよねぇ。書ける人にとっては、ご飯の種。RT @ockeghem: その目的に特化すれば書けると思います。お仕事で作っている開発ガイドラインとかがそうですね RT 薄く、網羅的で、最低限の対策でセキュリティ診断で90点以上の良い点が取れる本がほしい。

ockeghem :「初めての 安全なウェブアプリケーションの作り方」とか。100ページくらいで。無理かな…おっと、こんなことうかつに書いていいのか>オレ

bakera :@ockeghem レビュー協力しますのでよろしくお願いします。w

ymzkei5 :焼肉ktkr!! RT @ockeghem: 「初めての 安全なウェブアプリケーションの作り方」とか。100ページくらいで。無理かな…おっと、こんなことうかつに書いていいのか>オレ

ymzkei5 :そして、「Ajaxセキュリティ本」と「用語集」と「薄い本」、どれが一番最初に出るか賭けがはじまるw 薄い本が早そうw RT @ockeghem: うわっ、反響が大きいぞ^^; >薄い本

ockeghem :#wasbook の4章が240ページくらい。これを1/3に圧縮する感じですかね…というか、「べき集」、「べからず集」、「チェックシート」みたいな感じにすると実用的…これはコンサルティングの成果物なんだがなw


ハッカーとクラッカーについて。個人的な経験で言うと「クラッカー」と書くより「ハッカー」と書いた方が明らかに注目されますが、その反面、誤用を指摘する俺、カッコイイ!な人に絡まれるのが面倒なので、基本的に原稿では使わないようにしています。まあ、複数の意味に解釈される言葉を使わないのは基本ですね。
ockeghem :Yahoo!知恵袋にはハッカーとクラッカーの使い分けに敏感な人が多い。一方、twitterのセキュリティクラスタは…

ockeghem :だから、知恵袋のセキュリティカテゴリーで、質問者の「ハッカー」という言葉に回答者がツッコミ入れているのを見ると、そんなことどうでもいいから質問に答えてあげなよ、とツッコミたくなるでした

ntsuji :@ockeghem ツッコミ対策や明確にするため文章にするときには不正行為を行う者を指す場合「クラッカー」「攻撃者」といったよう書いて、「ハッカー」とは使わないようにしていますが正直、個人的には意味が分かればどっちでもいいような気はしています。


その他気になったことはこのあたり。
yasulib :「Interopで見た、次世代ファイアウォールの可能性」 http://techtarget.itmedia.co.jp/tt/news/1106/13/news03.html ImpervaのWAFってこの前管理画面にXSSがあったっていうやつじゃ..


kaito834 :Adobe Flash Player の XSS(CVE-2011-2107)に関して、PoC や Exploit を探していたら、VirusTotal のスキャン結果がヒット。Exploit:SWF/CVE-2011-2107.A http://is.gd/ir0yKM


ntsuji :次はトルコで32人のアノニマスが逮捕 - http://bit.ly/jqntfl

ntsuji :トルコで逮捕されたアノニマスは、トルコ政府がインターネット検閲を導入しようとしたことに対して抗議行動、Operation Turkeyを行った人たちのようですね。


prof_morii :スマホ ウイルスから守れ 【読売新聞】 http://goo.gl/XkWYu だから、7月2日(土)第四回愛媛情報セキュリティ勉強会(松山) 竹森氏(KDDI研究所)を向かえてAndroidスマホのセキュリティについて http://goo.gl/eTDPH


ripjyr :2011年7月30日(土)に第1回名古屋情報セキュリティ勉強会開催します!講師は三輪さん+高倉先生!お菓子も出ます!懇親会もあります!セキュリティに興味あるあなたも有名人に会いたいあなたも是非!>http://bit.ly/nagoyasec-1st


expl01t :中国,台湾,カンボジア,インドネシア,マレーシア,タイで600人以上の逮捕者.VOIP利用し中国本土へネット詐欺.Reading: Hundreds arrested in Far Eastern online scam crackdown http://t.co/5AVrBgp

テーマ : セキュリティ
ジャンル : コンピュータ

6月12日とちょっと前のtwitterセキュリティクラスタ

週末は新マシンのセッティングに明け暮れて、拾ったネタもいろんなマシンにとっ散らかってますので、散漫な更新です。ご容赦ください。

人生に必要なことはすべてYahoo!知恵袋で学べるはずなのに…
ockeghem:『Linuxでフォースフルブラウジングを実際使って特定のURLへのアクセスを制限したいのですがフォースフルブラウジングの使い方、ソースなどがあれば教えていただきたいです』<僕は知らない / セキュリティについて - Yahoo!知恵袋 http://htn.to/Dsmj82

ymzkei5:@ockeghem この発想はありませんでしたw<フォースフルブラウジングの使い方、ソース。/釣りなのか、学校か何かの課題を勘違いしているのか悩みますねw

ockeghem:@ymzkei5 釣りではないと思います。勘違いでしょうね

ymzkei5:@ockeghem 1つ前の質問で、丁寧に教えてもらってるのに・・・残念w>http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1464289199

ockeghem:@ymzkei5 知恵袋は残念なことが多いですね。でも、twitterのセキュリティクラスタとは違った現実が見える気がします

ymzkei5:@ockeghem 確かに~


DEFCON予選公式順位ってまだだったんですね。
tessy_jp:いまだに、予選通過の連絡来ず。もしかして... :p

yoggy:公式サイトで最終順位ってまだ公表されてないよね。本当に予選通過できたのか非常に心配…


週末スペインでPNSを攻撃したらしい人が逮捕されたけど、証拠不十分で保釈されたらしい。
MasafumiNegishi:スペインで 3人の Anonymous参加メンバーが逮捕されたとの報道がいくつかでているが、元記事と思われるものをいくつか読んでも、PSNに侵入した犯人かどうか、はっきりとしたことはどこにも書かれていない。ハズレの可能性もある。

syadoyama:スペインでハッカー保釈。サイバー攻撃および流出の証拠見つけられずhttp://bit.ly/kmSJFb あれれー……。誤認逮捕って訳じゃなくて、この3人のハッカーはソニーに攻撃したことはあるけど『今回』じゃないっていう……


そのほか気になったことはこのあたり。
prof_morii:Invasion of the Body Hackers http://www.slate.com/id/2296731/ おはようございます。ボディハッカー、たまに耳にするようになりました。無意識に情報機器を数多く身につけているから、別な意味にボディハッキングされる危険性が…


securecat:楠「この人には見られたくないという人からのフレンドリクエストは、放っておいてはいけない。必ずアクセプトしたうえで、見せたくない人とリスト/タグづけする必要がある。……というのが若者たちの行動」 #in
erweb

kitagawa_takuji:LulzSecにさらされたポルノサイト管理者のパスワードにこんなのがあった。 webmaster@hentaidai.com | james001  http://t.co/ZEbuRRJ


sophosjpmktg:【卑劣なサイバー攻撃】ハッカー集団「LulzSec」、26,000人ちかくのアダルトサイトのユーザー情報と、55のアダルトサイト管理人情報を公開。.gov(政府)や.mil(軍)の付くアドレスを特に面白がって冷やかしている http://t.co/PA2puJT (英語)


AndMyXSS:www.livenation.nl - #XSS vulnerability http://j.mp/juOryX

テーマ : セキュリティ
ジャンル : コンピュータ

6月10~11日のtwitterセキュリティクラスタ

静かで2画面出せてメモリ8G積めるPCを探していたのですが見当たらなかったのでMacを買いました。いろいろこれまでの環境に近づけようとして努力しているものの、とりあえずBootCampでがんばります。

マルウェア解析勉強会というのが開催されていたようです。togetterにまとめがあるのですが、コメントだけ見てても変態っぷりが垣間見えて楽しかったのでちょっとメモ。

IDA Proも相田さんということで擬人化されるときも近いのかもしれません。
k_morihisa:みんな大好き IDA Pro #malwa

ishikawa84g:相田さん凄い。色々できる。 #malwa

F0ro:相田さんとは友達だけど一方的に利用する関係w #malwa

a4lg:IDAPython の応用に感激する。これは会社でも使える知識。 #malwa

F0ro:Pythonを使いこなせないマルウェア解析者はオワコンってことでつね #malwa

a4lg:Analyzing Malware == Solving Puzzle! #malwa


そして、世界に名高い目grepについて。もはや人類を越えたものに近づいているようです。
ishikawa84g:全部キモいwww凄いwww #malwa

ishikawa84g:バイナリアンは見る度に人から離れて機械に近づいていっているような気がする #malwa

F0ro:そういえば@ucqは肉体を捨てて機械の体になりたいって言ってたのを思い出したw #malwa

egggarden:なんとなくxorすると良さそうな感じがしますよね →しねええええ #malwa

yojiro:とりあえずバイナリ列を見ながら暗算でxorを計算しながら意味を推測して読み下す能力が要求されていることは分かった。 #malwa


テーマ : セキュリティ
ジャンル : コンピュータ

6月9日のtwitterセキュリティクラスタ

@ITの連載「セキュリティクラスタまとめまとめ」が公開されています。http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/06.html
ここのまとめなのでここを読まれている方には今さらな内容なのですが、まあ、気にせず読んでみてくださいませ。

どこか企画に飢えてるITの出版社の人ぜひ!編集しますよw
bakera: ふと、「体系的に学ぶ 安全なWebアプリケーションの作り方」に対抗して、「事例から学ぶ 危険なWebアプリケーションの作り方」というタイトルを思いつきました。内容は脆弱になってしまったアプリケーションの事例集 (アンチパターン)。

office_acer: セットでおすすめされそう QT @bakera: ふと、「体系的に学ぶ 安全なWebアプリケーションの作り方」に対抗して、「事例から学ぶ 危険なWebアプリケーションの作り方」というタイトルを思いつきました。内容は脆弱になってしまったアプリケーションの事例集 (アンチパターン)。

bakera: 単なる言葉遊び的な思い付きなのですが、まじめに取り組むと面白そうな気がしますね。ただ、個人が把握している事例の数には限りがあるので、どうやって事例を集めるのかが鍵になりそう。


そして、こっちの方も興味深かったり。
hasegawayosuke: 「断片的に学ぶ 脆弱なWebアプリケーションの破り方」なら書けそう…。


そして、昨日もお伝えしたSecureIDの脆弱性と銀行の対応について。三井住友もJNBと似たような対応なようですね。
MasafumiNegishi: うーむ、どこかで聞いたフレーズ… 「パスワード生成機とお客さまのSMBCダイレクトのご契約を関連付ける情報は、弊行のみが保有、管理しておりますのでご安心下さい。」 http://www.smbc.co.jp/kojin/otp/otp_security.html

kitagawa_takuji: JNBの親会社ですからね。RT @MasafumiNegishi: うーむ、どこかで聞いたフレーズ… 「パスワード生成機とお客さまのSMBCダイレクトのご契約を関連付ける情報は、弊行のみが保有、管理しておりますのでご安心下さい。」

gohsuket: Citiを狙ったのは組織犯罪でしょう。ソニーと一緒にしてはいけません。組織犯罪は入手した個人情報から口座に侵入したり偽造クレジットカード作って現金化します。 RT @TrinityNYC: ハッカーの人達って、そうやって、次々と個人情報をハッキングして、何が目的なの?

ntsuji: @MasafumiNegishi 確かジャパンネットバンクは三井住友傘下ですよね。そのあたりの公開する情報は合わせているのではないでしょうか。

MasafumiNegishi: @ntsuji そうなんでしょうけどね。もう少しなんとかならないですかねー、この説明。これでユーザーは安心できますかね?

ntsuji: @MasafumiNegishi ユーザを安心させる観点としては全く意味をなしていないと思います。最低でもシリアルナンバーとシードの話からSecurIDの仕組みを説明するページを用意するべきだと思います。(一般ユーザに分かりやすい形で。)

MasafumiNegishi: 「使い捨てパスワード」に関する報道について、でググると国内で SecurIDを利用している各銀行のコメントがヒットする。どれもほとんどコピペなんだが…

MasafumiNegishi: 「引き続き安心してトークンをご利用ください。」には何か根拠があるのだろうか。情報が漏れたのは特定顧客(ロッキードとか)だけだとEMCが言ってるのだろうか。実際の脅威は可能性としてかなり低いとは思うが、もし根拠がないのに言っているのであれば、その姿勢には賛同できないな。


最近Johnは頑張ってる気がするなあ。
ntsuji: John The Ripper 1.7.7 Jumbo 6 - http://packetstormsecurity.org/files/102130 PDFやRARのパスワードにも対応してますねー


その他に気になったことはこのあたり。
nikkeionline: 米シティにハッカー攻撃、20万人情報流出の可能性も http://s.nikkei.com/lci6Ed

MasafumiNegishi: Citi Account Onlineで情報流出。北米で約2,100万人の Citi Cardをもつ顧客のうち、約1%の顧客情報に影響。名前、アカウントナンバー、メールアドレスなど。誕生日や SSNは含まれず。FTの記事から。


yoggy: 何日か前にCODEGATE NEWS LETTERが届いてたけど、To:に500個近いメールアドレス書いてて吹いた


sen_u: サイバーディフェンス研究所主催でセキュリティ診断セミナー(8月23日24日:Webアプリ編/8月25日:ネットワーク編)を開催。診断技術を覚えるセミナーです。 http://bit.ly/kSQyqc


ntsuji: LulzSec にとって盗み出した情報はあくまでコレクションであってパスワードを悪用する計画はないそうですね。


kitagawa_takuji: HJのSony関連流出事件とAnonymousの記事読んだ。細かい見解の相違はあるものの今まで見た記事の中では一番良くまとめられていた。


kitagawa_takuji: CBS NewsにKevin Mitnickが出演してLulzSecについてコメント http://www.cbsnews.com/8301-504943_162-20069882-10391715.html


MasafumiNegishi: 0dayだったことが確認されたわけですねー “@mikkohypponen: Lulzsec used a zero-day to hack PBS: http://t.co/9ZC0eAJ


metasploit: Metasploit Pro/Express Update 20110608000003: http://r-7.co/lnMRoQ (Burp/Appscan/Acunetix Import, Cisco Anycon… (cont) http://deck.ly/~DWLAl

テーマ : セキュリティ
ジャンル : コンピュータ

6月8日のtwitterセキュリティクラスタ

RSAのSecureIDの脆弱性絡みで、SecureIDを使用している銀行はトークンを交換することになって大変そうですが、最近大規模な交換を行ったばかりのジャパンネットバンクはなぜか交換しないようで。うちにも自信たっぷりなメールが届きましたが、ちょっとよくわかりません。
ockeghem: 『当社が発行しているトークンとお客さまのジャパンネット銀行でのお取引を関連付ける情報は、当社のみが保有し、当社が責任を持って管理しております。引き続き安心してトークンをご利用ください』 / ジャパンネット銀行:Japan Net Ban… http://htn.to/bmeNjH

>MasafumiNegishi: 米国の主要な銀行はできるだけ早く顧客のトークンを交換する予定とのこと。 RSA Security Faces Angry Users Over Breach - NYTimes.com http://nyti.ms/mRvBBF

ockeghem: @MasafumiNegishi ジャパンネット銀行の「自信」の根拠はなんですかねぇ

MasafumiNegishi: @ockeghem 聞いてみたいですね。実際のところ、事件の背景を考えると、一般ユーザーが被害にあう可能性は低いとは思いますが、顧客にそれが理解できるとは思えません。結局、顧客からトークン交換の要求がでてきて、応じることになるのでは…


PHPのsocket_connect関数()実装のバッファオーバーフロー脆弱性について。こういったブログ記事が書かれるまでの流れが見えるところがtwitterの面白いところだと思いますね。
ockeghem: CVE-2011-1938 に関してブログを書こうと思うんだけど、分からないことが多いな。影響があまりないから情報も少ないのだろうとは思うけど。一番の疑問は、先に書いたように、PHP5.3.2以前で本当に影響がないかということ

kaito834: @ockeghem 実際に Exploit コードでテストしてみるというのはどうでしょうか。

ockeghem: PHP 5.2.16で、http://seclists.org/fulldisclosure/2011/May/472 のPoC実行すると、セグメンテーション違反。シェルは起動しないけど、これ脆弱性だよね

ockeghem: @kaito834 まさにやってました。PHP 5.2.16で、「セグメンテーション違反です」となりました

kaito834: @ockeghem セグメンテーション違反時にスタックがAAAA...という状態で埋まっていて、レジスタ値が41414141あたりになっていれば脆弱性になりそうですね:)

ockeghem: @kaito834 ソース見ると、データ長のチェック全然してなくて、どう見ても脆弱性なんですよね。悪用できるかどうかは別でしょうが。バージョンの限定付けなくていいんじゃないですかね

kaito834: @ockeghem これは推測なんですが、PHP の公式情報が 5.3, 5.4 に限定しているからじゃないでしょうか。NVD などの脆弱性情報は、開発元の公式情報を信用して記述していると思います。

ockeghem: @kaito834 私の意見もそれです

kaito834: @ockeghem PHP開発元に突っ込むブログ記事になるかと期待:D

ockeghem: ブログ書いたが、レギュレーションに従い一晩寝かす。書きたいことは書いたが、もう少し手を入れたい

ockeghem: 日記書いた / PHPのsocket_connect()関数における *つまらない* 脆弱性の話 - ockeghem(徳丸浩)の日記 http://htn.to/5KXmbq


またまたkinugawamasatoさんがご活躍のようです。
hasegawayosuke: http://technet.microsoft.com/en-us/security/cc308589 5月に @kinugawamasato さん。

kinugawamasato: @hasegawayosuke シンプルなXSSでした!


いい加減に落ち着きそうなソニー関連。
connect24h: ソニー、不正侵入による米映画子会社の情報流出は3万7500人分 | テクノロジーニュース | Reuters http://bit.ly/jumwn7

kitagawa_takuji: ソニーはなぜハッカーに狙われたのか、「アノニマス」の正体 http://www.toyokeizai.net/business/strategy/detail/AC/6a3a34048854eb58ca96b3be592f09f0/

kitagawa_takuji: ハッカー集団に狙われ続けるソニー http://tinyurl.com/3bvygma #itprojp <アクセス情報開示要求の事は判っていても触れちゃいけないことになっているのかな?


その他に気になったことはこのあたり。
hir0_t: OWASP ZAPを触ってみたけど、なかなかいい感じ。 http://d.hatena.ne.jp/hiro-t/20110608#p1


tamiyata: おおおお16日にこんなイベントが。/@IT 情報漏えい対策セミナー 防ぐ、見つける、拡散を抑える ―― 現実的な情報漏えい対策とは http://ow.ly/5cJJx


MasafumiNegishi: セキュリティ講師スキル研究WGの実践的教育のガイドライン、とても興味あります。今月下旬に中間報告α版が公開になるそうです。


yasulib: エフセキュアブログ : ルートエクスプロイトを使用する新たなAndroidマルウェア http://t.co/JBY1B8v


Murashima: Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 - JPCERT/CC http://bit.ly/jhDgnB #FYI


prof_morii: 確かにこの手のものでほとんどの脆弱性は鍵管理と鍵生成。脆弱性見つけても恨まれるだけで研究にもならない:-) RT @le_miyachi: 鍵はどうしているのかな…関係無いけどExpress mouseは前から欲しいと思ってます(^^;

テーマ : セキュリティ
ジャンル : コンピュータ

6月7日のtwitterセキュリティクラスタ

今日はIPv6 Dayだそうです。僕も1万円出してトンネル接続のアダプタを買おうかと思ってますがどうしたものだか。
ntsuji: いよいよ「World IPv6 Day」がやってくる、直前まとめ情報 - http://bit.ly/ieil8m いよいよ明日9時からですよ。

kalab1998: IPv6の問題=DNSの問題とは思っていません.DNSがpure IPv6環境では機能してくれないから現実問題どうするのかな,とか512byteで収まらないから追加設定の確認とか,とりあえずそんなところです.RT @postdns: IPv6がらみの話はDNSの問題ではない

hir0_t: 明日はWorld IPv6 Dayっていうのを今日知った。Androidでフレッツ経由だとSSLがつながらないそうだが、なんで、SSLなのかよくわからなかった。


昨日お伝えしたLulzSecの中の人逮捕はどうやら誤報だった模様。なんだか錯綜していますね。
NobMiwa: 否定するLulzSec http://twitter.com/#!/LulzSec/status/77866456397791233 #s__yhacked

kitagawa_takuji: No LulzSec Hackers Have Been Arrested?At Least Not Yet http://t.co/y3ml1Tq <FBIも逮捕を否定した。

ntsuji: 逮捕はされていなかったと。http://bit.ly/kpbjFo

NobMiwa: Sony Computer Entertainment’s Developer Network のソースコードがLulzSecによって投下されたわけですが、でもそんなことしたら犯人と思われるしな、わからん  #s__yhacked

connect24h: 昨日の50MBのソースコード公開は報復か? LulzSecの中の人、逮捕される - うさぎ文学日記 http://bit.ly/l0XW9v

kitagawa_takuji: ソニー傘下のウェブサイトにさらなる攻撃--ソースコード流出か http://t.co/05CBFQ8 via @cnet_japan「Pastebinの記事によれば、」www

kitagawa_takuji: 無敵すぎ!SONYのハッカー逮捕されてもTwitterを続行|| ^^ |秒刊SUNDAY http://t.co/jXLArYJ via @byokan LulzSecの逮捕のニュースは海外では大きく報道されているようだが <報道したのはEpoch Timesだけ

kitagawa_takuji: ソニーを攻撃したハッカーが逮捕か? / ハッカー集団「我々の勝利だ(笑)」 ? ロケットニュース24(β) http://t.co/DRw5jKR via @RocketNews24 <FBIに取材して否定コメント取った記事を参照元にしているのになんでこうなる

infosecmedia: LulzSec Claims Another Sony Hack - http://infosecmedia.org/ZH

gohsuket: LulzSecをハックすると対決宣言が RT @ LulzSec Challenge accepted: http://www.youtube.com/watch?v=YRrArLFYP84



今回僕は数年ぶりに全く関わっていないので、読者として楽しませていただきます。そういえばまたまとめ本が出るような噂が。
kaito834: HackerJapan(HJ)2011年7月号 特集1 『今そこにあるサイバー危機 -世界ハッカー情勢 2011-』 これは面白そうだ。http://www.amazon.co.jp/dp/B004ZVGSZQ/


その他に気になったことはこのあたり。
MasafumiNegishi: RSAは SecurIDをリコールするとの見方も。 Dark Reading | Lockheed Martin Links Its Breach To Hack Of RSA's SecurID http://bit.ly/mvhLN2


_nat: OpenIDやOAuthサポート機能を提供する.NETライブラリ「DotNetOpenAuth」、Outercurveのプロジェクトに http://t.co/DSOPLPx via @sfjp_magazine


sophosjpmktg: 【iPhone 5G スパム】新バージョンはスライド式のキーボード?? iPhone 5G の発売を知らせるメールにご注意。リンクをクリックすると悪意ある実行ファイルに誘導されます。このトロイの木馬はWindowsにのみ感染します。http://t.co/0MX7hRR


miryu: セキュリティ人材が足りないと言うけど、実感が沸かない。そもそも需要が無いイメージ。


sen_u: BackTrack5にはOpenVASなくなったのかー。Nessusを使えと。


tokoroten: きめぇ、Unicodeきめぇ / Twitterで見かけるハミ出した顔文字の正体 - #RyoAnnaBlog http://htn.to/vCt1f


hasegawayosuke: Flash の XSS で Gmail が攻撃っての、日本でぜんぜん話題になってない。


tdaitoku: AdobeがFlash Playerの脆弱性に対処、既に攻撃が横行 http://www.itmedia.co.jp/enterprise/articles/1106/07/news023.html


kaito834: 「contagio」のMilaさんにインタビューしたようだ。 RT @kitagawa_takuji: 米グーグル:Gメール攻撃 「単純だが大胆な手口」 専門家、2月に警告 - 毎日jp(毎日新聞)


ymzkei5: 「世界のSOCから」、「セキュリーマン体操」、「びしょ濡れFW」・・・。(ぇw RT @ChoichiHasegawa: 「セキュリーマンNEO」って、イベントいかがでしょう?(思いつきで言ってます)


haruyama: OWASP Zed Attack Proxy (ZAP) 1.3.0 でたか

テーマ : セキュリティ
ジャンル : コンピュータ

6月6日のtwitterセキュリティクラスタ

インストールマニアックス5の予選が終了しました。これを読まれている方の中にもご参加いただいた方がいらっしゃると思いますが、ありがとうございました。いろいろ至らぬところはあったと思いますが、お楽しみいただけたでしょうか。結果発表と参加賞をお楽しみに。

DEFCON 19 の予選では2位で初の予選突破を果たしたチームSUTEGOMA2ですが、GrabBag 100の問題が、一番簡単なはずが解けず反省会が行われています。勝って兜の緒を締めろというわけですね。
ntsuji: Defcon CTF 19 Quals GrabBag 100 Write-up http://bit.ly/iZVoN5 うぐぅ… phfの脆弱性を利用とは… ペネトレの対象として出会ってれば見つけられる問題というのがものすごく悔やまれますよ…

ntsuji: @decoy_service @togakushi @kuroneko_stacy Defcon CTF 19 Quals GrabBag 100 Write-up http://bit.ly/iZVoN5 こんなでした…

kuroneko_stacy: @ntsuji おぅ…これはかなり(・_・;

ntsuji: @kuroneko_stacy すいません。これはボクが見つけるべきものでした… あー固定観念に囚われたと反省なう。。。

kuroneko_stacy: @ntsuji いえいえ、bunも気づいてなかったですしー。でもこれで100点なのは、、、うー。

ntsuji: @kuroneko_stacy それは少し救われます。今度お会いするときは一緒に反省しましょうとお伝えくださいw 純粋にテクニックのレベルだけを見れば100かもしれないですがヒラメキ度合いを入れると「あー,,, これで100なのか…」となりますね。

ntsuji: 今回のCTFは最高に楽しくて、今までにない結果でハッピーでしたが、自分にとって最高に反省するものにもなりましたよ。明日からも精進しよう。

oda1979: @ntsuji これは悔しいですね。。。

ntsuji: @oda1979 明日からまた精進しましょう!

togakushi: ここまで辿り着ける気がしないorz QT @ntsuji @decoy_service @togakushi @kuroneko_stacy Defcon CTF 19 Quals GrabBag 100 Write-up http://bit.ly/iZVoN5 こんなでした…

togakushi: cgi-bin は試さなかったなぁ。普段使ってないから完全に抜けてた…

togakushi: "Wow, we found this one about PHF!" じゃねーよw ヒントからどーやってそこに辿り着くのよw

togakushi: apahce 1.3.3.7 cgi-bin vulnerability でぐぐると出てくるけど、拾えないだろうなぁ… まったく面白いぜ。

ntsuji: @togakushi 思考が完全に囚われてしまっていましたw いやぁ。ガツンとされた気分ですw

togakushi: @ntsuji 最新の技術と15年前の脆弱性って組み合わせってのが最高に面白いですねw

ntsuji: @togakushi たしかに!そういう意味だとまさにGrabBagを象徴する問題だったのかもしれないですね。

kuroneko_stacy: 技術だけじゃない。技術とひらめきと運が必要なんだね。


その他にも解説が行われています。気分だけでも解けたように思えますね。解けないんですけど。
ntsuji: New blog post: DEFCON 19 CTF Forensics 100(f100) writeup http://n.pentest.jp/?p=1018

alexismm2: DEFCON 19 CTF quals pp300 writeup. http://bit.ly/jq8UQi #ctf #quals #writeup #defcon

ochsff: DefCon CTF 19 Qualifications -- pp500 Writeup: http://2011.6.6.defcon-19-ctf-qualifications-pp500.blog.oxff.net/




ソニー関連は相変わらず世界に羽ばたいてますね。
sen_u: ソニーハッキング、ブラジルとロシアも http://bit.ly/m7FKPy

sen_u: 今度はソースコードまで流出のソニーさん。 http://bit.ly/jC1gLK

_nat: なんと申しますか。 RT @sen_u: 今度はソースコードまで流出のソニーさん。 http://bit.ly/jC1gLK

gohsuket: これかソニー RT @ LulzSec Presenting Sony Computer Entertainment Developer Network source code: http://bit.ly/krQyiH [54MB] #Sownage | 16 - 0

_nat: @gohsuket PHPですな。あと、Windowsサーバがほとんどなんですな。


さすがに調子に乗ってやりすぎたので逮捕されています。ご愁傷様です。
sen_u: LulzSecの中の人、逮捕される http://bit.ly/lg9rcU


その他に気になったことはこのあたり。
gohsuket: またFlash脆弱性 RT @regsecurity Adobe rushes out patch for all-platform Flash vuln http://bit.ly/mkYxkl


MasafumiNegishi: Macユーザを狙う不正プログラム、次々と確認される http://bit.ly/k5bzh1


kenji_s: CodeIgniter の XSS 対策はどうあるべきか? - A Day in Serenity @ Kenji http://ow.ly/5aO84 #CodeIgniter


Murashima: 「情報セキュリティ白書2011」発行! - IPA情報セキュリティブログ - 楽天ブログ(Blog) http://bit.ly/mnJY93 #FYI


Hamachiya2: mixiの足あと機能、終了したらしたで、どこかのハッカーか何かが『mixiでリアルタイムに足あとを知る方法』とか公開しそう http://htn.to/t1WnEs

テーマ : セキュリティ
ジャンル : コンピュータ

6月4~5日のtwitterセキュリティクラスタ

チームsutegoma2がDEFCONの予選2位ですよ!
というわけでチームsutegoma2非公式記録員としてw togetterでTLの様子をまとめておきましたが、知らないうちにtogetterっていろいろ変わっているのですね。びっくりです。



そしてその他に気になったことを。
FSECUREBLOG: 英国諜報部が過激派のオンラインマガジンを破壊:  「Washington Post」の記事が、「Inspire」誌のある号を英国諜報部のメンバーたちが破壊したと報じている。「Inspire」はアルカイダの英語版ライフスタイ... http://bit.ly/jhraxv


ntsuji: @mamitann ワイヤレスが気になるあなたは無線APをこっそり用意してSSIDで告白するのがオススメ。もちろん接続できるように暗号はクラック容易なWEPで!でも、電波の切れ目が縁の切れ目です。お気をつけて。


kaito834: 権限昇格の脆弱性の悪用もあり。"Security Alert: New Sophisticated Android Malware DroidKungFu Found in Alternative Chinese App Markets" http://is.gd/Vy6Hqb


MasafumiNegishi: Sony事件の履歴をちょこっと更新しました。もうこれ以上更新したくないです… http://t.co/CKlxZ7v


MasafumiNegishi: [やってみた。]最近よく見かけるLulzSecについて調べてみた。 http://bit.ly/lXs7vm 「なぜその標的へ攻撃したのか」 < just for lulz ;)


MasafumiNegishi: ロッキードへの侵入事件について。NYTImesの報道によると、RSAから流出した SecurIDに関する情報が悪用されたことは間違いない、とロッキードが結論づけたようです。この前のブログの記事に追記をしました。 http://t.co/7lGDdT1


kenji_s: 米政府高官ら数百人のGmailアカウントが中国からハックされる、その手口とは http://ow.ly/5anew


kitagawa_takuji: 米任天堂のサイトに不正アクセス,証拠としてサーバー設定ファイルが公開される http://tinyurl.com/3odlost #itprojp


ockeghem: Burp Suite v1.4の案内。Burpファンの皆様、待ちに待った文字エンコーディングの自動認識機能がようやくつきました(^_^)v / PortSwigger Web Security Blog: Burp Suite Free… http://htn.to/orpS99


tomoki0sanaki: 現代の密告制度かよ。民主共和制の国家がやるべきことじゃないだろ。まぁ、日本が民主国家かどうかが、そもそも疑わしいと言えば疑わしいけど・・・(毒)「ネット犯罪阻止へ警察と大学生タッグ サイバーボランティア http://bit.ly/iZ3npD


s_hskz: @hasegawayosuke kwsk? Frame busting code をXSS filter で破壊。 http://ux.nu/guWk48 もしくは、http://ux.nu/YXL9rh

s_hskz: @hasegawayosuke Google Chrome でもdeshita。 IEのみならず。

s_hskz: @hasegawayosuke いずれにせよ、frame buting code の時代は終わり、X-Frame-Options の正しい適用が強く求めらているのでしょう。 標準化はまだのようですが、近いうちに出るのではないかと。標準化のあかつきにはより強化されるはずです。

s_hskz: @hasegawayosuke たとえば、特定のサイトのみ許可といったパラメータが登場されるはずです。

テーマ : セキュリティ
ジャンル : コンピュータ

6月3日のtwitterセキュリティクラスタ

DEFCON CTFの予選が始まったようです。参加者の皆さん頑張ってください!togetterにまとめようかと思ったのですが、なぜかログインできないのでとりあえず朝までの流れを軽くまとめておきます。

ntsuji: あと1分。。。

ntsuji: そして、開始メールがこないとw

07c00: でもどうせ最初の30分くらいはサーバ落ちてるんだよね…。そうだよね…。

tessy_jp: 現在の登録数:Registered teams: 691, registered users: 2247

ntsuji: ぬぬ。。。 どこ情報でしょう? RT @TLHSecurity: #defcon #ctf #qual #ddtek delayed 6 hours :(

tessy_jp: スタートが6時間遅れは公式情報? いろいろと錯綜してる。

tessy_jp: IRCで「あおいそら」連呼されてるw

ntsuji: b100解けましたー!

ucq: @ntsuji wikiに答えを!!

ntsuji: @ucq 書いておきましたー 解き方は… 目grepです!

murachue: おまいら目grep好きだな!

ucq: おまえがいうな!w RT @murachue: おまいら目grep好きだな!

ntsuji: 本家にいわれちゃいましたw RT @murachue: おまいら目grep好きだな!

tessy_jp: 差し入れキター>ウシマロw http://lockerz.com/s/107433197

ucq: この難読化手法みたわー 2週間くらい前にみたわー

ntsuji: 女に惚れさす名言きましたw RT @ucq: この難読化手法みたわー 2週間くらい前にみたわー


そして、ソニーの方のCTFはエンドレスで続けられている模様です。
kitagawa_takuji: Sony CTFはまだ続いてます。RT @idahc_hacker: Sony Hacked : http://pastebin.com/aXLkmNmR lol

ymzkei5: [メモ]ht tp://apps.pro.sony.eu/ RT @kitagawa_takuji: Sony CTFはまだ続いてます。RT @idahc_hacker: Sony Hacked : http://pastebin.com/aXLkmNmR lol


サイトの方も相変わらずのようですね。
mincemaker: PSNのパスワードリセットをしてみたら、メールが配信されてこなくて二度とログインできなくなったw

mincemaker: @totoromasaki パスワードリセットから15分くらいしてやっと今 Gmail のアドレスにパスワードの変更サイトURLが届きました。でも Under Maintenance とか書いてあって落ちていますね……

mincemaker: パスワードリセットすると元のパスワードはもちろん使えなくなるので、メンテナンス終わるまで詰んだ……

mincemaker: ちなみに別端末でパスワードを変更してから、一度も新パスワードでログインせずにおいたPSPで、パスワードリセットしてから元のパスワードを入れると「お客様のパスワードはご利用いただけなくなりました。」と出る。


その他に気になったことはこのあたり。
s_hskz: IEのxssプロテクションがclickjackを助長する場合があることを、さっき知った。世の中にはすごいことを考える人がいるものだ。


prof_morii: そこそこセキュリティ http://goo.gl/ZiorJ FIT2011(函館)でのICSSのイベント企画が公開されている。フロアから参加します。


sen_u: Anonymous Operation Iran TOP SECRET FILES とかいうのが流れてますね。政府関係者がやりとりしたメールとかか。 http://bit.ly/kIdUkE

テーマ : セキュリティ
ジャンル : コンピュータ

6月2日のtwitterセキュリティクラスタ

梅雨ですね。雨ばっかりで困ったものです。

SonyPictures.com、Sonybmg.nl、Sonybmg.beがSQLインジェクションでやられてしまって盗まれたデータを晒されているようです。BitTorrentではまだ流出データが流れ続けてるみたいです。怖いなあ。
ntsuji: Lulzsecが盗み出したソニー関連のデータを公開した模様。中身はBMGベルギー、ニュージーランドとPicturesのものっぽいですね。 http://bit.ly/mjahWt

MasafumiNegishi: LulzSecやはりきたか。情報確認中。

MasafumiNegishi: やられていたのは、sonybmg.be、sonybmg.nl、sonypictures.com、この3つ。

MasafumiNegishi: mediafireのファイルはもう消えてる? torrentだけは生きてる。内容確認中。

MasafumiNegishi: リリース情報を見ると、Sony Picturesの被害が一番大きい。顧客情報が 12,500 + 21,000 + 18,000 で 5万人以上。他にミュージュッククーポン? どこで使えるやつなのか不明。

kitagawa_takuji: Sony Pictures attacked again, 4.5 million records exposed: http://t.co/BdmgrVd

ymzkei5: SonyPictures.com、Sonybmg.nl、Sonybmg.beのSQLインジェクションの件のサマリー。→http://lulzsecurity.com/releases/sownage_FILE%20CONTENTS.txt 実際のデータもゴロゴロ、、

sen_u: まさに、もうやめて!ソニーのライフはゼロよ状態。 RT @sen_u: 今度はソニーピクチャーズ、ハッキングで100万人の個人情報漏えい中 http://bit.ly/mqR32d


ついでにマカフィーがやらかしてるのかw
ockeghem: CISOの不在と監視の不備の指摘。IPSを売りたいのですね、分かります / マカフィー、ソニー個人情報流出の教訓を解説 - ニュース:ITpro http://htn.to/irAX5

ockeghem: @ockeghem おっと、「緊急記者説明会」での話ですか。わざわざ記者呼んで、中身は宣伝か。いい度胸だ


ソニーが見事にやられている横でFacebookも攻撃食らってる模様。
risa_ozaki: WindowsとMac双方のマルウェアを拡散するFacebook攻撃: 現在、重大なFacebookマルウェア攻撃が起こっている。この攻撃は、Facebookの「Like」機能を使用してウイルスの様に… http://bit.ly/lp5F3v via @FSECUREBLOG

risa_ozaki: Facebookがついにマルウェア攻撃をブロッック: 始まって以来24時間以上経ったが、FacebookがついにWindowsおよびMacのマルウェアにリンクするマルウェア攻撃をブロックした… http://bit.ly/jvRMsC via @FSECUREBLOG


そして、Facebookが地味にセキュリティを強化している件と、パスワードリカバリツール。
hasegawayosuke:

facebook、アカウントの設定でどこからログインしたか確認・通知できるようになったんだけど、あんまり話題になってない。

hasegawayosuke: これ設定しておくと、事前設定してない場所からログインしたときにメールで通知くるので、アカウント乗っ取られたときとかにわかる。

MasafumiNegishi: @hasegawayosuke 「ログイン通知」はずいぶん前からですね。「ログイン承認」(二要素認証)は最近追加されたばかりです。

hasegawayosuke: @MasafumiNegishi お、そうなんですね。でも携帯とSNSが紐づくのはイヤだなぁ…。


sen_u: Facebookパスワードリカバリーツール http://bit.ly/ieflfZ


CookieJackingについて。資料見てなかったので勉強になりました。
kaito834: CookieJacking の発表者である Rosario Valotta 氏のサイトが閉鎖されたようだが、https://www.swisscyberstorm.com/speakers/valotta に(別の)資料があった。教えてくれた友人に多謝:)

kaito834: CookieJackingを次のように理解。「(1)IEのiframe上に表示した(テキストファイルに保存された)Cookieを、(2)Drag&Drop API を使った (3)ClickJacking で SOP を突破して攻撃者が盗み出す手法」

kaito834: 続CookieJackingメモ。(4) NTLM認証情報のキャプチャで Windowsのユーザ名を、(5)navigator.userAgentの値で(Windowsの)OSバージョンを特定して、OSバージョンごとに異なるCookieが保存されたファイルパスを特定する模様。


本人が答えてるw
Hamachiya2: 回答してみたよ →『webアプリケーションの脆弱性について | OKWave』 http://htn.to/nca5SR


もしかすると次号に似たような原稿があるのかもしれないと期待しておきます。
mtakahas: 某社のSQLインジェクションの解説資料で、抜かれる名前の例に「白夜 ハカ子」とあって驚愕している


サイエントロジーvsアノニマスですが、まあ、日本人にはあまり興味は沸かないような気はしますが。
kitagawa_takuji: 流出したトム・クルーズ出演のサイエントロジー宣伝ビデオ。これがサイエントロジーの圧力によりYouTubeより削除されたことがアノニマスの反サイエントロジー運動のきっかけとなった。Tom Cruise Scientology Video - ( Original UNCUT )

kitagawa_takuji: Anonymousの歴史的ビデオ "Message to Scientology" http://www.youtube.com/watch?v=JCbKv9yiLiQ We are Legion. ・・・のセリフが登場。実はこのビデオはLulzとして作られた。

kitagawa_takuji: "Message to Scientology"の日本語版 http://www.youtube.com/watch?v=4aKwPRYRmk8


その他に気になったことはこのあたり。
attrip: これ本当かな?Androidでwifi経由でFacebookを遠隔操作ハック http://t.co/o9BUgo8 via @attrip


ockeghem: 『端末が電話を受けると起動するコードを仕込む』<onRecieveはインテント受け取り時のコールバックなので、着信時というわけではない。原文もおかしい / エフセキュアブログ : Androi端末で発見された新たなDroidDream亜種 http://htn.to/wrcz1f


ScanNetSecurity: HP LoadRunnerにバッファオーバーフローの脆弱性、現状で対策方法はなし(JVN) http://lb.to/imOMff @ScanNetSecurity

テーマ : セキュリティ
ジャンル : コンピュータ

6月1日のtwitterセキュリティクラスタ

Gmailのアカウント盗難は政府が関わってたりするんですかね。怖いなあ。
MasafumiNegishi: Gmailで起きたメールアカウントのハッキング。米政府関係者や中国の活動家など数百人がターゲットになった。フィッシングでユーザー名とパスワードをとられ、メールをすべてフォワードする設定に変更される。メールの内容をモニタリングするのが目的だったようだ。またもや中国…

_nat: パスワードの使い回しによるもの。こう言うことが起きなくなるように、Googleは #OpenID を推進している。 RT @kitagawa_takuji: グーグルのGメールで個人情報盗難 「中国から攻撃」:日本経済新聞 http://t.co/s3uH01r


ずっと北の国はハッカー養成を頑張っているようですが、ようやく成果が現れたのかもあしれません。
kitagawa_takuji: 「北朝鮮でハッカー3000人養成」、脱北者団体 : 【ソウル1日聯合ニュース】北朝鮮で学者などをしていた脱出住民(脱北者)の団体「NK知識人連帯」は1日、北朝鮮が「情報戦士(ハッカー)」を養成するため、全国の英才を平壌に... http://bit.ly/lotyqX

kitagawa_takuji: 韓国軍:北朝鮮ハッカーによる機密流出が深刻化http://www.chosunonline.com/news/20110601000037 http://www.chosunonline.com/news/20110601000038


紺屋の白袴とか灯台下暗しとかそんな言葉が浮かんできます。
sen_u: WAF (Imperva SecureSphere)にXSS脆弱性 http://bit.ly/isegXE

piyokango: 自分自身も防御する画期的?な機能が搭載されているんだろうと妄想しました。 RT @ymzkei5: WAFの管理画面にXSS? RT @itsec_jp: [Bot] #ITSec_JP Imperva 製 SecureSphere にクロスサイトスクリプティングの脆弱性


パスワードのポリシーってよくわからないことがありますよね。好きな小説の1フレーズでも入れられればいいと思っているのですが、それが可能なところは極めて少ないようです。
haruyama: PlayStation Networkのパスワードを短くした話 | 水無月ばけらのえび日記 - http://icio.us/ohXk23

ockeghem: パスワードポリシーには時々意図をはかりかねるものがありますね。なぜそうするのか文章にしてみると、強制すべきものかが分かると思います / PlayStation Networkのパスワードを短くした話 | 水無月ばけらのえび日記 http://htn.to/75keMb


こちらもパスワード、直接確認できる=平文か可逆の方式で変換されているってことですものね。閉域網だからいいのかもしれませんが。
ockeghem: My docomoのIDとパスワードを忘れたので、ヘルプを調べるとケータイでIDとパスワードが確認できて無事に使えました…って、高木浩光さんが書いてた問題だね。パスワードをハッシュで保存していない件…暗号化しているかどうかまでは不明

ockeghem: 実はパスワードをハッシュで保存しているんだけど、パスワード照会の度にレインボーテーブルで戻している…という実装を妄想した (^o^)


2PACってDUにいたんだよなあ。Shock Gとかなにしてんだろ。
kitagawa_takuji: CNN.co.jp:ハッカーが米公共放送に偽記事掲載、「2パック実は生きている」 http://t.co/PvECv5V via @cnn_co_jp


その他に気になったことはこのあたり。
Murashima: プロでも判別困難、Google Docs悪用のフィッシングサイト見つかる -INTERNET Watch http://bit.ly/myFC79 #FYI


risa_ozaki: 国内セキュリティ市場予測を発表 http://www.idcjapan.co.jp/Press/Current/20110531Apr.html


ntsuji: ハッカー攻撃が多様化、あらゆる企業・組織が標的に - http://jp.wsj.com/IT/node_243998


MasafumiNegishi: Anatomy of a PDF Hack http://t.co/PARqBvM via @RWW


ntsuji: Wireshark Stable 1.4.7でてましたー http://www.wireshark.org/docs/relnotes/wireshark-1.4.7.html


sen_u: 米国防総省がサイバー兵器のリストを公開したみたい。サイバー兵器の一例としてはStuxnetだとか。どっかでリストは見れるかな? http://wapo.st/iYCa6r


kaito834: SCADA関連の脆弱性を悪用するExploitコードがぽつぽつと Metasploit Framework に統合されている。だけど、試しようがないぁ。


mtakahas: 昨日公開した記事です、トラストアンカーの入手、設定方法などを紹介しています。キャッシュDNSサーバのDNSSEC対応(1/2) - @IT http://t.co/kIQtJt2


ntsuji: PSBの件は、LulzsecがMovable Typeの0dayを利用した後、PHP shellを設置。古いカーネルだったのでlocal exploitにてroot奪取したのですかー


ntsuji: Lulzsecが用いたSQLインジェクションを発見するツールは公開された情報を見るとHavij 1.14 Proってなっています。これってコマーシャルバージョンってことでしょうかね。


ntsuji: Havijのコマーシャルバージョンといっても年間100$なんですね。http://bit.ly/l1f5fI

テーマ : セキュリティ
ジャンル : コンピュータ

5月31日のtwitterセキュリティクラスタ

昨日は@ntsujiさんのセミナーがありました。自宅警備の多忙なスケジュールをやりくりして私も参加させていただきました。面白かったですよ。
k_morihisa: チャリティーイベント終わり。こういう勉強会は楽しいし、良い刺激になる。@ntsuji さんの説明も分かりやすかった。細く長く続けるということなので、次回も参加したいな。 #itm_charity

chok12ja: きょうのセミナーは短時間ながら勉強になりました。スピーカーの @ntsuji さんはイケメンでした。遠くから見ると、若い頃の前田日明にちょっと似ている? #itm_charity

office_acer: 今日のセミナー終了。わかりやすかっただけに専門外の人にも聞いて欲しかった印象。 #itm_charity

gemini_yuko: イベント、良かったと思います。会場の規模もちょうど良かったし、@nstujiさんの説明もわかりやすくて良かった。普段勉強会に参加されない人もこういう雰囲気・時間帯だと気軽に参加できるような気がします。 #itm_charity

haruyama: 春山 征吾のくけー : 2011/05/31 「第1回 アイティメディア チャリティイベント パスワードの定期変更という“不自然なルール”+ α」を聴講 - livedoor Blog(ブログ) - http://icio.us/okAzFA

ntsuji: @k_morihisa ご参加ありがとうございました。楽しんでいただけたようで本当になによりです。今後もいろいろな形で関わっていこうと思っています。

k_morihisa: @ntsuji こちらこそありがとうございました.パスワードに対する考え方を整理できたので,参加できて良かったと感じてます.

ntsuji: 今日のチャリティセミナーは「人」の温かさに触れることができたと思います。やっぱり、セキュリティに限らず、つまるところ「人」。切っても切れないキーワードですね。本当にありがとうございました。感謝の気持ちでいっぱいです。


PNSの人にもパスワードの話はぜひ聞いてもらいたかったと思います。
cubedl: [パスワード][ui]パスワードの条件が正確に記されてないのがもう…。PS3でやったら「英数字含む8文字以上」「同じ文字3文字以上の連続は不可」「英字と数字の両方を含むこと」と入力した「後に」出してきた / PlayStation Ne… http://htn.to/uyEtLc

bakera: PSNのパスワード変更しようとしたら「同じ文字は3文字以上連続させないでください」と言われてぶち切れ。他の複雑性要件があるのだから、こんなので排除しなくて良いでしょうに。

ockeghem: 変なルールですね。質の低いコンサルが指南したとか(^o^) パスワードの要件は明示されていないのですか RT @bakera: PSNのパスワード変更しようとしたら「同じ文字は3文字以上連続させないでください」と言われてぶち切れ。

bakera: 同じ文字だけなのはまずいでしょうが、それなりのパスワードを作った上で同じ文字を連続させるなら、簡単にパスワードを長くすることができてオススメなんですけどね。

bakera: @tomoki0sanaki 確かにそうかも。文字の種類の多さよりも長さの方が重要そうな感じはしますね。


で、それぞれどういう意味なのでしょう。
ockeghem: もっと有名になって、tokumaるを普及させたいです! というのはウソ(_ _) (でも、tokumaるってどういう意味だ?)

nouvellelune: こないだ某セキュリティ記事がtokumaられていた、ような… RT @ockeghem もっと有名になって、tokumaるを普及させたいです! というのはウソ(_ _) (でも、tokumaるってどういう意味だ?)

ntsuji: じゃあ、ボクも「辻る」をw RT @ockeghem: もっと有名になって、tokumaるを普及させたいです! というのはウソ(_ _) (でも、tokumaるってどういう意味だ?)

piyokango: ライバルは「ユシマる」でしょうか。 RT @ockeghem: もっと有名になって、tokumaるを普及させたいです! というのはウソ(_ _) (でも、tokumaるってどういう意味だ?)

mincemaker: 昔ジャンプに掲載されていたハーレム漫画みたいだ。 < tokumaる


秘密っぽい資料が流出しているようでしたが(今はもう見られないようです)大したことなかったようで。それにしても人材不足というより仕事不足だから人材いらないということなのではとか外野から想像してみます。
hasegawayosuke: サイバーセキュリティと経済 研究会(第5回)‐配付資料 / 経済産業省 http://bit.ly/k5Hn7R #spcamp とか #itkeys の話題もたっぷり。

sen_u: 資料に「補足資料(委員限り)」がある。いいのか?内容は「セキュリティ対策ベンダ企業における人材の過不足感」w /サイバーセキュリティと経済 研究会(第5回)‐配付資料 (METI/経済産業省) http://bit.ly/jUqP4g

ymzkei5: あ。本当だw RT @sen_u: 資料に「補足資料(委員限り)」がある。いいのか?内容は「セキュリティ対策ベンダ企業における人材の過不足感」w /サイバーセキュリティと経済 研究会(第5回)‐配付資料 (METI/経済産業省) http://bit.ly/jUqP4g

ockeghem: @sen_u なんか、どうということもない内容ですねぇ。何かのワナかw

sen_u: @ockeghem タイトルに釣られた我々の負けだとか。w

ockeghem: セキュリティ人材が不足しているのは、市場原理による当然の帰結だと思うなー

ockeghem: ひょっとしてセキュリティ人材が不足していることは、国家機密とみなされている? (まさかねw)

ChoichiHasegawa: まったく、同感です。セキュリティの市場規模(企業の積極的投資)が広がらなければ、需要やなり手がないのは当然かと。 RT @ockeghem セキュリティ人材が不足しているのは、市場原理による当然の帰結だと思うなー

ockeghem: @ockeghem だから、僕や @sen_u がしょぼくれていると、「セキュリティ屋はやっぱり儲からないのだな」と思われてしまうので、セキュリティ人材醸成のため、僕らは羽振り良くしていないといけないのですキリッ \(^o^) /

ntsuji: @ockeghem @sen_u 羽振りよく華やかでモテモテな職業になるように是非ともご尽力をw

sen_u: @ntsuji @ockeghem モテモテが加わってる。w


いつの間にやら@hasegawayosukeさんはソニーハッカーということになっているのですねw さすが、名指しされてただけあります。
takuho_kay: 超交流会 セキュリティセッション #sn2011b2 ソニーハッカーのネットエージェント長谷川さん 「顔文字JavaScriptは簡単すぎるので」


その他に気になったことはこのあたり。
hasegawayosuke: 非常に個人的なことを申し上げると、セプキャンのネットワークセキュリティ組ではレガシーな話が多く、SPDYやWebSocket周りの今時の話がないのがちょっぴり不満ですが、それらをカバーできるほど自分の知識と技術ないのが悲しいところです。

sen_u: 次回はせがわ講師がお届けします。w RT @hasegawayosuke: 非常に個人的なことを申し上げると、セプキャンのネットワークセキュリティ組ではレガシーな話が多く、SPDYやWebSocket周りの今時の話がないのがちょっぴり不満ですが、それらをカバーできるほど自分の知識


sophosjpmktg: 【ハッキング事件】SONYへの攻撃で話題のハッカーグループ LulzSecが米公共放送局PBSのwebサイトをハッキング。WikiLeaksについての番組への抗議で、パスワードなどを含む情報の公開、不正なページの挿入を決行http://t.co/5iS22ul (英語)


risa_ozaki: ハッキンググループLulzSec、PBSサイトに偽ニュースを掲載 http://itpro.nikkeibp.co.jp/article/NEWS/20110531/360842/?r1


ockeghem: スパマー御用達(?)のl.prという短縮URLは動いていないように。あるいは商売繁盛過ぎて過負荷になっている?


ockeghem: 「XSSが発動」などと普通に使うわけだけど、書籍では使いにくいよね~、でもなんと言えばいいの? みたいなところでけっこう悩んだ…ことを唐突に思い出した #wasbook


connect24h: レジュメが公開されている。付箋と目隠しだらけだけど。第15回サイバー犯罪に関する白浜シンポジウム http://ow.ly/56mQn


kalab1998: クラッカーが偽サイバー攻撃を仕掛けて無関係な2国間で戦争が起きる時代が到来する.Yahoo News:「米 サイバー攻撃に軍事対応も」 http://yj.pn/J2Eu-9 #yjfc_usa (アメリカ社会)


bugbird: う?ん。やっぱり設計由来の脆弱性と、実装由来の脆弱性の問題なんだろうな。実装由来の脆弱性はテストで排除する事が可能で、かつ修正も比較的容易。で、一番いけないのは、設計由来の脆弱性に、実装由来の脆弱性の修正方法が適用出来ると勘違いすること

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
06-2011
SUN MON TUE WED THU FRI SAT
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

05   07

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。