スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月28日のtwitterセキュリティクラスタ

もうそろそろ7月も終わりです。8月を迎えるというのにこのところあまり暑くなくてびっくりですね。秋が来そうですよ。

特定の数値文字参照のレンダリングにおけるXSSという、JVN#74649877で報告されたFireFox3.6以前に発生するXSSが特殊で気になります。PoCまだですかマダァ?(・∀・ )っ/凵⌒☆チンチン
hasegawayosuke :JVN#74649877 Mozilla Firefox におけるクロスサイトスクリプティングの脆弱性 JVN#96950482 Mozilla Firefox におけるクロスサイトスクリプティングの脆弱性寺田さん。詳細が気になるな。

s_hskz :JVN#96950482 特定の数値文字参照のレンダリングにおいてXSSが発生する! って物凄すぎる。ぐげーすげーすげー。 いわゆる過激なエスケープでも駄目だったんじゃんか。

s_hskz :・・・まてよ?不正な数値文字参照(壊れた数値文字参照もどき)が、後続のクオートを食ってしまうってこと? あれー。

s_hskz :冗長系の壊れた数値文字参照ってありえないよなー。ぶつぶつ。

s_hskz :詳細が気になるな( mobile.twitter.com/hasegawayosuke… ) というけどPoC知りたいってことだよね。 禿同。


韓国で一番くらいユーザーの多いホムピ、サイワールドと同じ運営元のポータルNATEがやられてしまったようです。今統合されてるんでしたっけ。以前韓国人と話したときはみんなアカウント持ってるくらいの勢いでしたが今もそうなんですかね。
MasafumiNegishi :Nate と Cyworldが攻撃にあったようだ。攻撃元は中国らしいが… どこかに公式発表でてるのかな?

MasafumiNegishi :翻訳だと何書いてあるのか、イマイチよくわからないが… Nateからの発表はこれみたい。

MasafumiNegishi :Korean->Englishの翻訳ベースなので間違いがあるかもしれませんが、漏洩した情報はユーザID、名前、電話番号、メールアドレス、パスワード、SSNなど。パスワードとSSNは暗号化されていたと。攻撃は中国のIPアドレスから行われたが、詳しいことはまだ調査中。こんな感じ?

MasafumiNegishi :3,500万人の個人情報漏洩って、韓国の人口が5,000万弱だから、およそ7割。過去最大規模の漏洩事件ですね。


その他に気になったことはこのあたり。
haruyama :iPhoneのSSL通信が傍受される恐れ、アップデートの早期適用を - ITmedia http://icio.us/5ZweVi 『第1世代と第2世代のiPod touchおよび3GSより前のiPhoneはAppleのアップデートの対象外となり、脆弱性を解決する手段はない。』


piyokango :夏休みにおける注意喚起 http://bit.ly/qFuIAi


itsec_jp :[Bot] #ITSec_JP ロンドン警視庁、「Topiary」名乗るハッカーを逮捕、LulzSecの広報役か(ニュース) http://goo.gl/fb/aCbQh


wahrheit_t :おぉ、これは。どの辺のツール使うのかなぁ。「ファジング活用の手引き」として2012第一4半期目処に公開らしいです。 「ファジング」で人気ソフトの脆弱性を検査、効果を示して普及を狙う - ニュース:ITpro http://nkbp.jp/oVpJTc #itprojp


mtakeshi :セキュリティONETOPI(@security_1topi )新倉さんにインタビュー中。このエントリに関連したTwitter自爆系投稿ネタを聞いてる。Twitter辞めたい(定期ポスト)


私は週末大阪の方に向かうので、今月の更新は今日までかもしれません。あしからず。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

7月27日のtwitterセキュリティクラスタ

無線であれこれ実験したい人にはたまらない電波暗室について。アルミ箔貼ったりするの面倒ですしね…
kuroneko_stacy :検証するために電波暗室が欲しい・・。

yoggy :@kuroneko_stacy 人数集めてレンタルしてみるとか? http://www.telec.or.jp/service/index.html

kuroneko_stacy :@yoggy 素敵!!でも今すぐ使いたいレベルなのです。。。でも記憶にとどめておきます!!

kuroneko_stacy :ボラボラがパラボラにみえちゃうぐらい重傷なのでそろそろ入院した方が良いと思う。。。

tessy_jp :手短に海外に飛んで検証とか? 海外の法律もあるかーw RT @yoggy @kuroneko_stacy 人数集めてレンタルしてみるとか? http://www.telec.or.jp/service/index.html

kuroneko_stacy :@tessy_jp やっぱり来週から砂漠で実験ですかねw 別に出力をあげるわけじゃなくて、他にいらないものが入ってこない環境がほしいだけなので。段ボールにアルミ箔とかで頑張る・・・かなw

hasegawayosuke :6万円くらいなら、bun さんもっと働かせたら…。

hasegawayosuke :段ボールにアルミ箔、何回かやったけどけっこういろんなの入ってくるしやってる姿が情けない。

yoggy :個人的には電子レンジの中が意外といけそうな気がする>電波暗室

kuroneko_stacy :@yoggy うっかりあたためボタンおして一気に終了というオチを期待w

kuroneko_stacy :電子レンジにパソコンを入れる勇気。

kuroneko_stacy :やはり大きな電子レンジを買う必要性がありそうですね。w

tessy_jp :中古電子レンジ http://bit.ly/mR9OZc も電磁波シールドカーテン http://bit.ly/pZtHfr も値段はそんなに変わらないレベル?

kuroneko_stacy :@tessy_jp それ、いい!

tessy_jp :@kuroneko_stacy カーテンは幅1.0mx高2.0m の値段ですな。意外と高い...

kuroneko_stacy :@tessy_jp 何かもうお金かかるのは仕方ないなーと思いますね・・・。


XSSあるあるw
kinugawamasato :「確認」 ってボタンに書いてあるのに実はいきなり送信されるフォームで「">alert(1)」って送ってしまった #XSSあるある


昨日はdirection2011という1日セミナーがあったようです。資料眺めるだけでも参考になりますのでぜひ。
ShinoIWAMI :昨日はまだのがあったけど、今日はひととおり資料DLできるようになってるね。 direction.jpn.com/program.html #direction2011

ShinoIWAMI :METIの中の人が読めと強力プッシュ。 #direction2011


デマというか、勘違いこわいこわい。
piyokango :【速報】 中国鉄道部のサイト、何者かによってハッキングされる - hogehoge速報 via @hogehogesokuhou


その他に気になったことはこのあたり。
trendmicro_jp :[セキュリティブログ]今度はエイミー・ワインハウスさんの急死に便乗した攻撃、Facebookの悪用も


piyokango :Appleの件、iTunesと直接の関係はなかったように記憶していますが、容易に推測出来るクレデンシャルを用いていた可能性は無いのでしょうか。 / iTunes Store にてアカウントにチャージしたクレジットが無断で使われる被害 http://bit.ly/qN8xDy


ScanNetSecurity :osCommerceに大規模なIFRAMEインジェクション攻撃、注意喚起を発表(Armorize Technologies) http://lb.to/pY6HDD @ScanNetSecurity


テーマ : セキュリティ
ジャンル : コンピュータ

7月26日のtwitterセキュリティクラスタ

パスワードを定期変更することについて。そう言われると、定期変更って確かに効果的じゃなイカと思いますよね。それ以前の問題な気もしますが、人は付箋に書いて貼る生き物なんですよ。
kinyuka :パスワードを定期的に変更するのってどうなんだろうと今更ながら都市伝説スレをチェックしてきた。きれいに盗まれちゃったやつ(盗んだやつ)を使おうと思ったら変更されてた!というのに有効だと思うので定期的に変更はいいんじゃないの?

msaitotypeR :@kinyuka どのくらいの間隔で変更すればいい?という議論なされていて、それが不毛だから批判されるんじゃないですかね。僕は「悪用される前に変更」としか表現しようがないと思う。車の運転での徐行の概念みたいに。

tomoki0sanaki :同意。私も有効だと思います。しかし巷の議論は「まだ盗まれる前のパスワードクラック中の時に有効なのか!?」なので、前提が違うかと思います。 QT @kinyuka 有効だと思うので定期的に変更はいいんじゃないの?

s_hskz :@kinyuka まぁでも大規模に一斉にパスワード変更したら、あやしいわけで。検知にひかっかるのかなぁ。

kinyuka :@s_hskz 盗みはディスプレイの付箋をイメージしているので、自動的に対処するのは無理!無理無理!

s_hskz :@kinyuka あはーーーーーーーーー。なるほどーーーー。状況を理解していませんでした、申し訳ありません。

kinyuka :@s_hskz 付箋に書くなって突っ込んでください!!

s_hskz :@kinyuka 私、自室では付箋にパスワードを書いて張っています(だめだめ) つっこめないよー。

kinyuka :@msaitotypeR 後はパスワード変更に伴うコストが問題ですよね?

msaitotypeR :@kinyuka わかります。新しいパスワード作って覚えるコストですね。

kinyuka :@msaitotypeR 付箋に書くコ…いや、覚えるコストです。はい。


サイバー天下統一かっこいいっす。荒らし幕府みたいなのもいるんですよね。なつかしい。
roaring_dog :KINBRICKS NOW : サーバ200台で同業者を次々攻撃=サイバー天下統一を目指した犯罪集団を摘発―重慶市: http://bit.ly/qDnALh


Metasploitがもうすぐ4.0にメジャーアップデートなんですね。もうちょっと使いやすくなったりGUIが充実したりしないもんでしょうかね。
metasploit :Metasploit Framework 4.0 brings 36 new exploits, 27 new post-exploitation modules and 12 auxiliary modules, since 3.7.1 http://r-7.co/mrrKEH


ちゃんと自己アピールとかしたのかなあ。応募書類とかあれば見てみたいです。
yasulib :はせがわさんと上野さんww http://nswe.in/blog/2011/07/2011.html


その他に気になったことはこのあたり。
tetsutalow :ウイルス罪について、論点はほとんど整理されたと思うのですが、まだいろいろ引っかかってる方はデジタルフォレンジック研究会の分科会への参加もご検討ください。高木さんを講師にお招きします。 http://bit.ly/pksWA5 これを機に入会もご検討頂けると幸い。 #ウイルス罪


packet_storm :Hacking IPv6 Networks http://packetstormsecurity.org/files/103444 #whitepaper


jic_news :「チケット Web 松竹」に聞く、ネットにおけるクレジットカード不正利用の予防策とは http://bit.ly/okibcR


zusanzusan :ワークシップ「情報セキュリティー」 主催:ローマ・トルベルガータ大学、東京理科大学 CAB新暗号方式 (正しい日程は9月15日とのこと) http://italyinjapan.com/detail_jp.php?id=96


expl01t :あ!HITCON2011のプレゼン資料が公開されてますね. @07c00 さん, @hasegawayosuke さん, @takesako さん謹製.


sen_u :phpMyAdmin Multiple Vulnerabilities - Advisories - Community http://bit.ly/o6V7zg


sophosjpmktg :ハッカー集団Anonymous、イタリアのサイバー犯罪対策機関の情報暴露を公言 - ITmedia エンタープライズ


MasafumiNegishi :Webアプリへの攻撃に関する Impervaのレポート - Web Applications Probed Once Every Two Minutes bit.ly/pdfIbh

テーマ : セキュリティ
ジャンル : コンピュータ

7月25日のtwitterセキュリティクラスタ

うちの裏で野良猫が巣を作り始めています。どうなるんだか…

そういやセプキャンでは毎年CTFやってましたね。普通の試験問題でもいろいろ難しいのにCTFの問題ってより難しそうです。
hasegawayosuke :CTFの問題作成、アイデアはいろいろあるけど作るのが間に合わない…。

yoggy :不親切で超絶難しい問題は割と簡単に作れそうだけど、出題者の考えたストーリーを楽しめるような問題は作るの難しい


昔、名簿ゲットしたけど売れない話を書いた記憶がありますが、名簿って誰に売ればいいんでしょうね。
MasafumiNegishi :警視庁、メールアドレスの「名簿屋」を初摘発、迷惑メール送信幇助の疑い http://bit.ly/oVwecT


×って書くとその手の趣味の人が喜びそうですが、そういう人を呼び込みたかったりするのでしょうか。
totoromasaki :宜しくお願いします。 / hbstudy × qpstudy × 第17回 まっちゃ445勉強会 http://goo.gl/BXHgf #zusaar


adobeのサイトでXSSが3つ報告されています。他にもまだまだ潜んでそうですね。
xssedcom :nvaug.groups.adobe.com #XSS http://bit.ly/re4R9m #infosec #security

xssedcom :anz.groups.adobe.com #XSS http://bit.ly/pm7buT #infosec #security

xssedcom :chennaicfug.groups.adobe.com #XSS http://bit.ly/ntcZkq #infosec #security


その他気になったことはこのあたり。
ockeghem :アメーバのサービスでIEのXSSフィルタが発動するようなんだけど知っている人いますか? / アメーバーをする時、最近、「インターネットエクスプローラーは、クロスサイトス... - Yahoo!知恵袋 http://htn.to/NEX2Nm


PacSecjp :PacSec2011発表者募集中!〆切予定は8月3日。要項はこちらから(日本語訳付きました)→ http://pacsec.jp/speakers.html?language=ja 応募は英語で概要説明があればOKです。奮って参加ください。


ockeghem :『平成22年度版ウェブ健康診断仕様公開』<JPCERT/CCでも紹介されていますね / JPCERT コーディネーションセンター Weekly Report http://htn.to/MJGAjc


expl01t :【テクニカルレポート】携帯電話がハッキングされる?……トレンドマイクロ・セキュリティブログ の件でRoss Andersonの視点 でPDS にまで言及してる.


piyokango :トロイの木馬「SpyEye」に新版、メールの盗聴など新機能を搭載 - ニュース:ITpro http://nkbp.jp/nsP7to #itprojp


piyokango :米eEyeのCTOが語る「事故前提のセキュリティ対策を」 - @IT

テーマ : セキュリティ
ジャンル : コンピュータ

7月23~24日のtwitterセキュリティクラスタ

台湾のHIT20112日目は3人の日本人スピーカーが話されたようです。どれも盛況だった模様。

愛甲さんの講演。ヒロミツトクマルうける。言い間違えるってことは深層心理で同じような人にカテゴライズされているとフロイト先生が言ってた気がします。
sen_u :徳丸さんのくだりで、高木さんと呼び間違えるなど。愛甲さん。w #HIT2011

hasegawayosuke :@tessy_jp @ockeghem @sen_u 「ひろみt…あ…ヒ・ロ・シ…ヒロシトクマルが発見した…」みたいな。

kuroneko_stacy :徳丸さんと高木さんが混ざる愛甲さんが好き★w

sonodam :携帯ネットワークへの興味と、方法論への興味、いろんな興味から質問がたくさん出てる。ネタチョイスがよかった。

kuroneko_stacy :台湾で大人気の @07c00 さんは今からCTFの優勝を狙いに行きましたー。

はせがわさんの講演。XSS girlってなんですか。
kuroneko_stacy :僕と契約してXSS girlになってよ!

kuroneko_stacy :観客がニヤニヤしながらjjencodeをみてるw

kuroneko_stacy :顔文字エンコード大ウケ

sonodam :顔文字スクリプト生成ウケてますw>はせがわさん

sonodam :壊れたバイトコードとか、翻訳むずかしすぎだろwww

竹迫さんの講演。何が通訳の人の心を折ったのか…
kuroneko_stacy :連続記号プログラミングで、日本の文化だと思われている疑惑w

kuroneko_stacy :竹迫さんが通訳いじめw

kuroneko_stacy :先輩通訳曰く、竹迫さんの通訳さんは心が折れてしまったナウ!w

kuroneko_stacy :[hasegawa] we Japanese cannot understand if we hear him talk in Japanese :)  超えられないのは言語の壁じゃなくて、次元の壁ですねぇ・・・

sonodam :アカデミックな空気にまで昇華したなー。この黒い三連星のジェットストリームアタックはすさまじいわ(笑)。


あと、Tessyさんも壇上に立たれていたようで。
sen_u :公開了 AVTOKYO (tessy) in Hack in Taiwan Conference 2011 (HIT2011) http://bit.ly/pZvthU


Wargameでは@murachueさんが2位、@ucqさんが6位に入ったようです。大活躍ですね。
tessy_jp :本日のwargame。 開始早々はリードを許すものの、@murachueが首位を奪還。#HIT2011

tessy_jp :wargame経過。現在1位はdsns氏の200点、お昼休みで逆転された@murachueが180点で2位に。@ucqも6位に上がってきた!

takesako :HIT2011 wargame @murachue さん初参戦で準優勝!おめでとー #HITCON

wakatono :問題解いてたら第2名になっていたという @murachue のコメントワロスw #Hit2011

wakatono :Wargame佳選の一人に @ucq。おめでとーw #Hit2011

tessy_jp :wargame 終了。おそらくこれが最終になるかとは思いますが、@murachue、@ucqお疲れ様 #HIT2011 http://yfrog.com/kex8kdp


tessy_jp :スピーカーして、人生オワタのゲームしてww 途中からwargame参戦お疲れ様でした @07c00 さて、次はDEFCONですよw

murachue :12000NT$もらたー。やたーありがとー!


その他台湾に行かれた方々、お疲れ様でした。
kuroneko_stacy :コンテストの賞品としてHDD1Tをいただきました。bunの誕生日プレゼントにしますw http://yfrog.com/kkxqkzj


sen_u :HIT2011 二日目、日本から3人のスピーカー登壇 http://bit.ly/nO0VTW

connect24h :「お礼を言いに来ました。ありが台湾」極楽せきゅあ日記 - 台湾記録 - http://bit.ly/nM7jXG

takesako :台湾 HITCON 2011 に来てる人のリストをまとめ中 #hit2011

tessy_jp :hahaha @murachue hacked inflight kiosks :) http://lockerz.com/s/123242953


EijiYoshida先生伝説
connect24h :ネットワーククラス@EijiYoshida先生伝説①。初めて会った時WindowsNT4.0のレジストリを印刷した10センチの束を片手にお昼ご飯を食べていた。ネットワークセキュリティ診断ではFirewallを本当に攻略できる世界でもトップクラスの技術を持つ。#spcamp
connect24h :.@EijiYoshida先生伝説②。MSに入社したのには驚いた。MS創業以来初のバグハンター入社ということで、速攻レドモンドに呼ばれて数週間帰してもらえなかった。MSは案の定1年ほどで辞めたが、辞めた理由が「攻撃できなくてつまらないから」。皆、納得。 #spcamp


聞き取りやすくて私にもわかったくらいなので、英語苦手な人でもおすすめです。
F0ro :ミッコのプレゼンやっぱ面白い。しかし、ティーンエイジャーが作ったvirusと戦っていたら、いつの間にかガチの国際犯罪組織が相手に。まさに命がけ。 /Fighting viruses, defending the net http://bit.ly/pLpmZT


その他に気になったことはこのあたり。
roaring_dog :中国のサイバー攻撃、国際的脅威に - MSN産経ニュース


matcha445 :次回まっちゃ445は、8月6日(土)、現在準備中です。近日中にお申し込み受付を開始します。


ockeghem :誰に習ったのか知らないけど、不要な「対策」が多いね / PHPで脆弱性の対策をする。 - メモリーの誰得なプログラミング日記 http://htn.to/mAMKx2

kenji_s :謎な対策が多いですね RT @ockeghem: 誰に習ったのか知らないけど、不要な「対策」が多いね / PHPで脆弱性の対策をする。 - メモリーの誰得なプログラミング日記 http://htn.to/mAMKx2


ScanNetSecurity :スマートフォンWebブラウザにおいて3種類の脆弱性を発見(FFR) http://lb.to/oOifzB @ScanNetSecurity


risa_ozaki :Twitter や Facebook 等、SNS のセキュリティ | Computerworld computerworld.jp/contents/200426


lumin :個人情報保護方針に「業務を委託するために個人情報を第三者に預託する場合、当該第三者について調査し必要な契約を締結し」とあるのに、Evernoteに個人情報を入れている会社を見かけてたけど、Evernoteと契約しているのだろうか。 #そんなのテンプレですよ


eagle0wl :※追跡可能です あらゆるドラッグが買えるアングラサイトと追跡不能なP2P通貨Bitcoin http://www.gizmodo.jp/2011/06/silk_roadbitcoin.html


hebikuzure :第3回ブラウザー勉強会を8月20日 (土) に開催します http://wp.me/p160Sl-8o


yasulib :チャーリー・ミラー氏のインタビュー記事読んでる 「私は決して無料でバグを提供することはしません。」Pwn2Ownのハッカー、Charlie Miller氏へのインタビュー http://japan.zdnet.com/security/sp_07zeroday/20390270/

テーマ : セキュリティ
ジャンル : コンピュータ

7月22日のtwitterセキュリティクラスタ

今日も7月らしくない気温でびっくりです。温暖化してるはずなのに…

日本人が何人行ったのかわかりませんが、台湾楽しそうですね。言葉は通じるのでしょうか。
hasegawayosuke :セキュリティ&プログラミングキャンプ・キャラバン in TAIWAN (後援:AVTokyo)
卒業生も参加してくれました!

hasegawayosuke :速報: @kuroneko_stacy が most beautiful costume-clad girl として優勝だそうです。


hasegawayosuke :優勝じゃないな。 most beautiful hacker という賞ってことか。

sen_u :murachueがCTF暫定1位!StacyはThe most beautiful hackerを受賞!HIT2011で日本人大活躍の巻

07c00 :HITCON CTF(個人戦) 中間発表にて、@murachue氏が単独1位w

tessy_jp :本日のwargane @murachue がリードして終了。 http://lockerz.com/s/122501973



またMSのサイトにXSSがあったみたいです(現在は修正された模様)。
einfachfuchs :#XSS @msftsecurity pls fix it. :-]


lumin先生伝説ですかそうですか。上場前に未公開株を何とかして手に入れないとw
lumin :今日のスライドアップしました

lumin :キャッチコピーを考えてみた。「大学の先生も教えられないことを教えます。」(一部大学を除く)  #spcamp

connect24h :.@lumin先生伝説。パケットブラックホール、OnePointWallなど、日本発のセキュリティ製品ベンダーの草分けネットエージェントの戦うプログラマー社長。開発当初売れないと思われた製品が2年後には時代にフィットして売れ始める先見の明は驚異的。ある意味天才。#spcamp


Google+はGmailなんかと密接に関わりすぎているので登録するの怖いですよね。
kaito834 :我、Googleプロフィール・ロックアウトから生還せり http://sho.tdiary.net/20110712.html#p01

kaito834 :Googleプロフィールで名前を偽ろうとするとロックがかかってGoogle+に投稿できなくなる http://sho.tdiary.net/20110630.html#p01


その他に気になったことはこのあたり。
kitagawa_takuji :ソニー情報流出問題、保険会社が米裁判所に支払い不要の宣告求める | Reuters


kitagawa_takuji :「アノニマス」などが攻撃再開を表明、FBIのメンバー逮捕で | Reuters


kitagawa_takuji :「思想は逮捕できず」と反発 ハッカー集団が共同声明 - MSN産経ニュース


hj_saito :これはすごい(笑)『昆明のアップルストアは海賊版の最高傑作」』http://bit.ly/nxBOiC


kaito834 :2011年6月に発見されたAndroidマルウェア「GGTracker」の感染経路って、これまで発見されたAndroidマルウェアと違って興味深い(今頃だけど)。偽Web版Android Marketへ誘導→バックグランドでダウンロード→インストールするように誘導。

kaito834 :バックグラウンドでの自動ダウンロードってどうやってんだろう。


sophosjpmktg :Jailbreakme.com 3がセキュリティに与える影響 - 世界のセキュリティ・ラボから:ITpro #itprojp


expl01t :ドイツBSIをハックしたら逮捕されたn0n4m3 cr3w Reading: German Security Authorities Hacked


ScanNetSecurity :スマートフォンWebブラウザにおいて3種類の脆弱性を発見(FFR) http://lb.to/oOifzB @ScanNetSecurity


kitagawa_takuji :IMFへのハッカー攻撃、中国に関連したスパイが実行か-関係者 - Bloomberg.co.jp

テーマ : セキュリティ
ジャンル : コンピュータ

7月21日のtwitterセキュリティクラスタ

寒くて夏が終わってしまったようですが、土用の丑の日だったみたいです。

ウイルス罪で初の逮捕者が出たようですが、どうにも報道内容に間違いがあるようですね。
HiromitsuTakagi :え?大垣さん捕まったの?! とか思った。りはしないよ。

HiromitsuTakagi :NHKの報道が糞すぎる。目的犯だっての。 www3.nhk.or.jp/news/html/2011… 「刑法が改正され、ウイルスを作成したり保存したりしただけで罪に問われることになり、」

Nyagasawa :わけがわからないよ…「メモリーの空き容量に、約1000個の画像などのファイルを書き込み、「ホームページを開きなさい」などと不正な指令を出し続け(ry」 / 中日新聞:ウイルス作成罪を全国初適用 警視庁、大垣の男を逮捕 http://goo.gl/gxOem

zakotsuri :NHKニュース ウイルス保存の疑いで初摘発 nhk.jp/N3wm61MS 「刑法が改正されて「ウイルス作成罪」が新たに設けられ、ウイルスを作成したり保存したりしただけで罪に問われるようになりました」 これ本当?ワクチンソフトが隔離したファイルもアウト?

HiromitsuTakagi :そら見ろ。NHKの糞報道のせいで、無用な社会不安が生じてるぞ。> RT NHKニュース「刑法が改正されて「ウイルス作成罪」が新たに設けられ、ウイルスを作成したり保存したりしただけで罪に問われるようになりました」 これ本当?ワクチンソフトが隔離したファイルもアウト?

HiromitsuTakagi :警視庁も、報道発表でちゃんと「供用目的保管罪の容疑」と発表すべきところを、単に「保管罪」って発表しちゃったんじゃないの?

HiromitsuTakagi :chunichi.co.jp/s/article/2011… 「不正指令電磁的記録保管容疑で…を現行犯逮捕」はいいとして、作成罪は法の不遡及で問えないときに、「改正刑法のコンピューターウイルス作成罪を全国で初めて適用」という報道は誤報レベルだよね。だから、「ウイルス作成罪」という俗称はもうやめるべき。

HiromitsuTakagi :yomiuri.co.jp/national/news/… 「正当な理由がないのに、自宅のパソコンにウイルスを保管していた疑い」< 供用目的だったことを書くべき。中日新聞の記事では「不特定多数がダウンロードできる状態にしていた」「『ウイルスをばらまくため持っていた』と容疑を認めている」となっている。

HiromitsuTakagi :正しい記述。> RT @mainichijpedit ファイル交換ソフトの利用者に感染させる目的でウイルスをパソコンに保管していたとして警視庁が38歳の男を逮捕しました。ウイルス保管罪の初摘発です。 mainichi.jp/select/today/n…

HiromitsuTakagi :日経新聞も誤報見出し。作成罪は法の不遡及により適用せず。> RT @nikkeionline ウイルス作成罪初適用、38歳男逮捕 パソコンに保管容疑 s.nikkei.com/rg9Ddz 「コンピューターウイルスを自宅のパソコンに保管していたとして、…現行犯逮捕」< 本文も杜撰

nilnil26 :日経もタイトル変更したけど……。「ウイルス作成罪初適用、38歳男逮捕 パソコンに保管容疑」→「ウイルス作成・保管罪を初適用 容疑の38歳男逮捕」 nikkei.com/news/headline/…


そして、どんな凶悪なウイルスで逮捕されたのかと思いきやサイトにアクセスさせるだけのものだったようですね。
HiromitsuTakagi :毎日新聞の記事 mainichi.jp/select/biz/new… によると「パソコンには2000人近くのIPアドレスが保管されており」とあるので、テレ朝が言う「個人情報」というのはこれのことかなあ。情報送信じゃなくて、単なるアクセスログなのかも? 開かせたページの1つの。 @rna

HiromitsuTakagi :今回の摘発で気になる点。(1)供用罪や供用未遂罪の適用はできなかった?なぜ? (2)テレビ報道映像からすると、このウイルスの挙動、なんかしょぼくないか?ブラクラレベル?当罰性がちょっと小さくないかい?

HiromitsuTakagi :私の感覚では、Webページ上のブラクラだと、処罰対象ではない(「不正な」の要件を満たさない)感じ。今回のとどう違うかは、ブラウザを終了させたくらいでおさまるものか、再起動しても続くものかの違い、かなあ。 RT @likeajunkie ブラクラでも迷惑。どんどん逮捕されでほしい。

HiromitsuTakagi :@rna 報道関係者から聞いたところでは、今回のウイルスは、.isoファイルでautorunで起動するものだったとか。たぶんこれ detail.chiebukuro.yahoo.co.jp/qa/question_de… じゃないかなと。名もなきトロイなのですかね。


facebookにもXSSが発見されているようです。
Mackaber :#XSS en Facebook!, acabado de salir del horno; listo pra hacer travesuras :) --> xssed.com/mirror/72558/ (via @securitytube)


そして、まだまだアノニマスもLulzSecも血気盛んなようです。
gohsuket :英アノニマスが英総理サイトにDDOSか。RT @JamesBliss @sambowne a UK arm of Anonymous looks to be DDoS'ing UK Prime Minister right now. http://aurl.co/7s

tdaitoku :AnonymousとLulzSecがFBIに反論、「われわれは止められない」 http://www.itmedia.co.jp/news/articles/1107/22/news018.html


その他に気になったことはこのあたり。
piyokango :Googleのマルウェア感染有無の表示機能ってどういう仕組みで動いているんですかね。http://bit.ly/nS70gt


prof_morii :3分LifeHacking:0円でPCの画面にプライバシーフィルターを設定する http://bit.ly/p7VOSd 使ってみようかな


tdaitoku :狙われる中堅・中小企業――Symantecが標的型攻撃の実態調査 http://www.itmedia.co.jp/enterprise/articles/1107/21/news017.html


jpcert :おはようございます。Weekly Report 2011-07-21を公開しました。^YK jpcert.or.jp/wr/2011/wr1127…

テーマ : セキュリティ
ジャンル : コンピュータ

7月20日のtwitterセキュリティクラスタ

やらない方がマシなソリューションうけるw本質を見失うということについて深く考えさせられます。しかもChptchaを生成するページがgoogleに捕捉されてたりするんですねw
kitagawa_takuji :ソニーの CAPTCHA、HTMLに文字列が書かれCSSとJavaScriptで崩されていた。人間は読めないがプログラムなら読める。 CAPTCHAの意味なし。plus.google.com/10727686759828…


昔ダイヤルロックの番号を忘れて手動ブルートフォースしたことを思い出します。
ockeghem :『一日20個試せば50日で終わりますよね!?』<素晴らしい洞察(某所経由) / 4桁のパスワードの解き方 - Yahoo!知恵袋 http://htn.to/F7oC3C


イカタコウイルスの人は結局有罪だったようです。この前にやらかしてたのが余計に心証悪くしたんでしょうね。
asahi_tokyo :「イカタコウイルス」と呼ばれるコンピューターウイルスを作成し、他人のパソコン内のデータをイカやタコの画像に変換させたとして、器物損壊罪に問われた元会社員の男性被告(28)に、東京地裁は懲役2年6カ月の判決を言い渡しました。 t.asahi.com/39w6


薄い本にも新たな展開があるのかもしれません。
ymzkei5 :私のこと覚えてる?この前すごく楽しかった・・・という迷惑メールをゴミ箱に放り込みながら、なぜか急に悲しい気分に。(・_・;)

ockeghem :@ymzkei5 私のこと覚えてる?この前すごく楽しかった・・・

ymzkei5 :@ockeghem ちょwww 嬉しいです、嬉しいですけど、うん、女子に言われたいの。(笑


誤送信で浮気がばれたとか取引先が激怒したとか誤送信あるあるとかそういうおもしろサイトかと思いましたが違ったようです。
ScanNetSecurity :メール誤送信対策に関する総合情報ポータルサイトをオープン(HDE) http://lb.to/pbh4KX @ScanNetSecurity



その他に気になったことはこのあたり。
MasafumiNegishi :誰でもサイバーテロリストになれる時代 ソニーは明日の我が身 WEDGE Infinity(ウェッジ) wedge.ismedia.jp/articles/-/1414
MasafumiNegishi :さっきの記事、いろいろと気にはなるがとりあえず、謎の国際ハッカー集団「アノニマス」の表現と、LulzSecを「金銭目的で個人情報や産業情報を窃取する犯罪組織」に分類するのは、いかがなものか。


HiromitsuTakagi :いつまでたっても書き上がらないので、前編だけ先に。「不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)」 takagi-hiromitsu.jp/diary/20110716…


kitagawa_takuji :Anonymous関係として逮捕の14人はLOICを使用。 media.risky.biz/DoJ/group.pdf


mincemaker :○時間で一人で作ったウェブサービスです! みたいなのは集客力にならんとえがが数年前から証明してると思うんだが未だに一定数あるよな。

ikepyon :@mincemaker 脆弱性があるウェブサービスなら特定の人たちを集客できますなw


tdaitoku :Microsoft、ボットネット運営者の発見に25万ドルの懸賞金 http://www.itmedia.co.jp/enterprise/articles/1107/19/news016.html


ScanNetSecurity :東京三菱UFJ銀行を執拗に調査する中国貴州のハッカー(Far East Research) http://lb.to/p3V0n9 @ScanNetSecurity


tdaitoku :マルウェアの自動解析ツールを発売 フォティーンフォティ技術研究所 http://www.itmedia.co.jp/enterprise/articles/1107/19/news043.html

テーマ : セキュリティ
ジャンル : コンピュータ

7月16~19日のtwitterセキュリティクラスタ

台風が来るみたいですが、こういう日に限って出かける用事があるので困ったものです。

CIAとかソ連とか言ってた時代を思い出して懐かしい気分になります。
HiromitsuTakagi :へー。 jimmin.com/htmldoc/1655.h… 「非公式な人間関係を表示させるサイト(スパイシー)もある。共謀関係をあぶり出すこともできるのである。フェイスブックもツイッターも、同様の危険を孕んでいる。」

HiromitsuTakagi :ほー。 jimmin.com/htmldoc/1655.h… 「インターネットを管理する機関=ICANは、米国の民間企業で、政府が直接管理しているわけではないが、メールの授受は、その経路が全て記録されている」

HiromitsuTakagi :はー。 jimmin.com/htmldoc/1655.h… 「盗聴法ができた時は、携帯電話の盗聴は技術的に不可能だと言われていた。しかし今や盗聴の対象は、100%近くが携帯電話である。つまり、今できないことでも、将来はできるようになると考えねばならない。」

HiromitsuTakagi :携帯電話をトランシーバーみたいに直接端末同士で通信する装置とか思ってるのかな。


Firefoxの発表したBrowserIDについて。今のところ使いたくないですね。
_nat :BrowserIDの人々は、根本的にプライバシーがわかっとらん。セキュリティも怪しい。とっくの昔に打ち落としたものが、ゾンビのように生き返って来た感じ。問題は、以前のはベンチャーだったから広がる前に火を消せたが、今回はまずいことになるかもということだ。

_nat :BrowserIDは、携帯IDの亜種。プライバシーリスク大きい。 @HiromitsuTakagi

_nat :#BrowserID のせいで余計な仕事が増えた orz

HiromitsuTakagi :Mozilla BrowserID "seriously flawed", privacy advocate says crn.com.au/News/263957,mo… "seriously flawed, ill-considered and privacy-threatening"


その他に気になったことはこのあたり。
piyokango :パスワードを統一化していることに対する風刺なんでしょうか。 http://bit.ly/o0fJO1


JSECTEAM :「Rustock の脅威との闘い」を公開しました。ルートキット タイプのバックドア型トロイの木馬の一種である Win32/Rustock の背景、機能、動作原理を検証し、脅威の測定データと分析結果を紹介しています。 http://bit.ly/qvOlYE #JSECTEAM


backtracklinux :BackTrack 5 R1 on August 10th. Pre-release of BT5R1 with @BlackHatEvents a few days earlier. http://bit.ly/oup24A


kitagawa_takuji :ニューズ傘下の英紙サイトに攻撃、「マードック氏死亡」と改ざん | Reuters jp.reuters.com/article/topNew…


lumin :cloud.nifty.com/cs/catalog/clo… NIFTYでクラウドのセキュリティについて話します。まだ余裕がありそうです。


gohsuket :アノニマスがAntiSec作戦の参加呼び掛けビデオ公開 RT @exiledsurfer #Anonymous-Operation #AntiSec #voice The New Video http://bit.ly/qgP9vM


テーマ : セキュリティ
ジャンル : コンピュータ

7月16~18日のtwitterセキュリティクラスタ

台風が来るみたいです。涼しくなるのはいいことかもしれませんが、屋根が飛んだり近所の川があふれたりするのは勘弁していただきたいところです。

IEのEUCの扱いが原因のXSS脆弱性のようです。Namazu使ってるところは意外と多いので、古いIEを使っているところは注意した方がいいかもしれません。
takesako :日本語全文検索システム Namazu 2.0.21 リリース - IE6,IE7の不正なEUC-JP文字列の扱いに起因するセキュリティFix http://bit.ly/reZg8t

kinugawamasato :Namazuの報告者僕ですよ!謝辞書いてない><。

hasegawayosuke :ていうかそれNamazu *の* 脆弱性なの?w

kinugawamasato :@hasegawayosuke 放置されてるIE6/7の脆弱性ですね!



そして、日本語ハッシュタグについて、やはりというか、マイナーな文字への対応を調べられているようです。
ockeghem :#尾骶骨 はハッシュタグになるが、#𠮷田 はならなかった。UnicodeのBMPに含まれる文字のみが対象かな? 全国の𠮷田さんはご注意を / Twitterブログ: #日本語ハッシュタグ http://htn.to/Dju2g9

kjmkjm :日本語ハッシュタグ、いつのまにか長音記号もイケるようになったのですね。

ockeghem :ほう、それでは、 #𠮷田 はどうかな RT @kjmkjm: 日本語ハッシュタグ、いつのまにか長音記号もイケるようになったのですね。

ockeghem :#𠮷田 はダメか。 #尾骶骨 はまだいける? #\円記号 は?



そして、skypeやappleでXSSが発見されているようです。
0x3337 :Apple.com XSS - http://bit.ly/qYCBSz #xss #apple | credit to @securityshell

brennhak :Skype XSS vulnerability advisory - noptrix.net/advisories/sky…http://t.co/lPKdzSa - Seem skype failed the golden rule of input validation #skype #xss

ontrif :cookie-based XSS http://quote-otc.rbc.ru/pif/index.jsp?… #rbc #XSS


その他に気になったことはこのあたり。Google+はアボセンスみたいにいきなり消えて怖いですね。
sen_u :100行のPythonコードで書かれたSQLインジェクションスキャナー Damn Small SQLi Scanner (DSSS) v0.1b http://bit.ly/qZXkBS


gohsuket :特にSecond Lifeや他のSNSでアヴァターと仮名で過ごして来たユーザーがG+で同様に登録してアカウント停止にあっている模様。gmailも停まるのは問題あり過ぎ。(私も当分使うのヤメるかな) > どうやらG+のアカウント停止関連でタグが出来ているようだ→ #plusgate


gohsuket :アノニマスがG+で追い出されたので、Anon+を作ると発表 RT @exiledsurfer Innovation: #Anonymous and Presstorm Present ? #Anon+ http://bi… (cont) http://deck.ly/~BnNiM

テーマ : セキュリティ
ジャンル : コンピュータ

7月15日のtwitterセキュリティクラスタ

実は今日から三連休らしいですね。びっくり。

Scanに掲載された「ソニーサイバー攻撃の経緯と教訓」に対する@kitagawa_takujiさんのコメント。事実誤認や解釈の違いがあるようですね。
kitagawa_takuji :デンジスパーク! youtube.com/watch?v=bqy5pj…

kitagawa_takuji :さてと、RT 特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(5)事実のまとめと教訓|ScanNetSecurity ScanNetSecurity scan.netsecurity.ne.jp/archives/51993…

kitagawa_takuji :結局、最も重大で被害額も大きい1億人以上の情報漏洩についての「サイバー攻撃発生の合理的な理由や背景」は示されなかった。

kitagawa_takuji :一連のソニーへの攻撃は1.AnonymousによるソニーへのDDoS攻撃、2.PSN/SOEからの1億人以上の情報漏洩、3.その後のソニー関連企業への一連の攻撃 に分けて考える必要がある

kitagawa_takuji :1と3については誰によるものか、目的、手法がある程度判っている。しかし2については様々な憶測は出来るものの「合理的な理由や背景」は未だ判明していないし記事でも示されていない。事後に分析してもわからないものを事前に把握できる訳はない。

kitagawa_takuji :Anonymousには反サイエントロジーのAnonNetとDDoS攻撃で知られるAnonOpsの2大勢力がある。

kitagawa_takuji :AnonOpsの発足は2010/9のOperations Paybackから。これは映画業界がインドのAiplex Softwareを雇いファイル共有サイトPirate BayにDDoS攻撃を仕掛けたことに対する復讐(Payback)としてDDoSが行われたものである。

kitagawa_takuji :MPAAにはSony Pictures、RIAAにはSony Musicが主要メンバーとして名を連ねており、これが後のOpSonyがOpPaybackの一環とされ最初のターゲットがsonypictures.co.ukであったことに繋がっている。

kitagawa_takuji :DDoSは最初はAiplex Softwareを標的とし次に米国映画協会(MPAA)、米国レコード協会 (RIAA)を標的とした。

kitagawa_takuji :記事では「Anonymousが、それまでのハッカーに対するソニーの姿勢を強く反発し 」となっているがAnonymousはハードウェアハッキングにはあまり興味がなく、1月2月のツイートを分析してもGeorge Hotzやソニーに対する言及はない。

kitagawa_takuji :George Hotzを訴訟したのは1/11であり、訴訟が原因ならOpSonyが2月3月に行われてもおかしくない。しかし実際のOpSonyは4月になってから

kitagawa_takuji :OpSony以前のAnonOpsのオペレーションも全てネットでの検閲やネット上の自由な情報の流通を阻止する行為に反発したものである。

kitagawa_takuji :George HotzのサイトやBlog、YouTubeなどにアクセスしたIPアドレスやアカウント情報の開示要求により知的好奇心でアクセスしただけの一般のネットユーザのプライバシーが脅かされ自由な情報の流通に懸念が生じたことが最大の原因。これはOpSonyの声明文を読めばわかる。

kitagawa_takuji :そしてそれがMPAA、RIAAの幹事企業のソニーだった。

kitagawa_takuji :Anonymous のDDoS攻撃については以上であるが、PSN/SOEからの情報漏洩については誰がどんな目的で行ったかは憶測の域をでない。

kitagawa_takuji :以上でデンジスパーク!は終了



このところ急に活発ですよね。
ntsuji :THC-Hydra 6.5 がリリースされていましたよ。 http://www.thc.org/thc-hydra/


CSVに平文で保存されてて、エクセルシートで目視確認なのかもしれません。
ockeghem :『現在安易なパスワードを使っているユーザーにも、いずれ強いパスワードに変更するよう促す方針だという』<どうやってだろう / Hotmailに友人のアカウント乗っ取り報告の新機能、安易なパスワードは禁止へ - ITmedia ニュース http://htn.to/urSSx5


どうでもいいことなのですが、ドメインがISPのインターリンクと似ててややこしいです。
ntsuji :公開されていましたよ。 FirefoxのnsTreeRangeオブジェクトにおけるメモリ破壊の脆弱性(CVE-2011-0073)に関する検証レポート http://security.intellilink.co.jp/article/vulner/110714.html


中継あればいいのになあ。
jpcert :7月26日に、法務省担当官によるサイバー刑法・刑事訴訟法の説明会 を開催します。詳しくはWebをご覧ください。^YK jpcert.or.jp/event/keiji.ht…


高くていつも行けません。一度潜り込みたいものです。
dragosr :PacSec2011 Tokyo Nov 9/10 - CFP Deadline Aug 3 2011

テーマ : セキュリティ
ジャンル : コンピュータ

7月14日のtwitterセキュリティクラスタ

今日はこのクソ暑い中朝からお出かけですが、毎日出勤されている人って大変だなあと思う無所属男子です。

はてなの改修について。何となくいつも場当たり的な対応で、変わった脆弱性のサンプルを作ってくれるみたいな感じで好感が持てますね。
bulkneets :はてなダイアリー/グループ、location.hashに含まれる<>を置換する処理を入れたみたいだけど、XSSフィルタ誤検出させてその処理だけスキップさせるみたいなの出来れば突破できそうだけど問題あるブログパーツのストックがなくて検証できない

bulkneets :? とかだと全般的にぶっ壊れるからブログパーツ自体も無効化されて意味ない。特定のscriptタグだけうまいこと無効化出来れば。


追加募集ですか。ぼくはまあまあいい大人なアラフォー男子ですが、セキュアなOS以前にセキュアじゃないOSすら作り方が全く頭に浮かばないですよ。
hasegawayosuke :「ソフトウェア・セキュリティ・クラス」「セキュアなOSを作ろうクラス」の2つのクラスの追加募集をすることとなりました。 ipa.go.jp/jinzai/renkei/… #spcamp


RFIDの解析楽しそうですが、日本語の資料があんまりないですよね。今度時間できたらこれ見て触ってみますか。
backtracklinux :RFID Cooking with Mifare Classic on BackTrack 5. http://bit.ly/qk7cfG Thanks to MI1 for the contribution!


その他気になったことはこのあたり。
gizmodojapan :【最新記事】 ハッカージャーナリストの台頭 http://dlvr.it/b81ql #gizjp

BlackHatEvents :Free #BlackHat USA 2011 Preview Webcast Today! http://bit.ly/pcRXtg

infosecmedia :WPScan ? WordPress Security/Vulnerability Scanner - http://infosecmedia.org/Hp

blackthorne :xss-harvest: Harvesting Cross Site Scripting, Clicks, Keystrokes and Cookies - bit.ly/nt0C67 #security #tools #web #xss

expl01t :昨日の研究会にもちょろっと出てた件.参加費1500円.7/25午後の3時間.行く人は対象者をちゃんと見ておきませう.Reading: IPA「脆弱性体験学習ツールAppGoatハンズオンセミナー」開催 ipa.go.jp/security/vuln/…

MasafumiNegishi :新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って? bit.ly/pslDGv

itsec_jp :[Bot] #ITSec_JP WindowsのBluetooth機能に危険な脆弱性、データ受信で被害の恐れ(ニュース) http://goo.gl/fb/YIFUa

0x3337 :4shared.com, Multiupload, Fileserve ? Persistent Cross-site scripting - http://ly.gs/155/ #XSS

ntsuji :タイトルからしてハッカーコミュニティと定義付けしちゃっているように見えますね。 特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(4)Anonymous というハッカーコミュニティとは - http://bit.ly/qVquaX

risa_ozaki :あまり変わってない? Android 3.1 pc.nikkeibp.co.jp/article/column…

テーマ : セキュリティ
ジャンル : コンピュータ

7月13日のtwitterセキュリティクラスタ

7月もまだ半ばだというのに暑いのと忙しいのでてとろけそうです。

私も密かに書いてますので興味があれば読んでみてくださいませ。pdfをネットに流しちゃダメですよ。
F0ro :ハッカージャパンの「続・ハッキングの達人」が手元に届きました。私もちょこっと寄稿してますので、興味あったらぜひ。殆ど本誌の再掲ですけど。


Metasploitの書籍だそうです。興味はあるけどペネトレーションの仕事してるわけでもないので使い道はあまりなさげです。
kitagawa_takuji :Metasploitの新しい本を買おうと思っている人。 No Starch PressのサイトでクーポンコードREDTEAMで購入するとAmazon.comとほぼ同じ値段でPDF版が今すぐ無料でダウンロードできるよ。詳細はここbacktrack-linux.org/backtrack/meta…


今度は遺伝子書き換え種のモンサントですか。
infosecmedia :Anonymous attacks agri-giant Monsanto, leaking information on 2,500 employees - http://infosecmedia.org/T1


これで終わりかな。と思ったらまだ続きがあるみたい。
ScanNetSecurity :特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(4)Anonymous というハッカーコミュニティとは http://lb.to/rkkhNW @ScanNetSecurity


VistaってXPより前にサポート期間が終わるってことかと思ったらSP2があるんですね。
internet_watch :Office XP、Windows Vista SP1などのサポート期間が今日7月13日で終了 http://bit.ly/oFTdu6


その他に気になったことはこのあたり。
mincemaker :XMLHttpRequest Level 2 まわりのセキュリティな話を近場でやりたいなあ。まずその辺かそれ以前 (JSONP とか) という感じ。

tomoki0sanaki :PHP5.3.0 以降から OpenSSL の暗号学的な乱数が使えるようだ 「openssl_random_pseudo_bytes bit.ly/pJbC4d

kenji_s :みずほ銀行曰く「安全でない可能性があります。よろしいですか?」と出たら「はい」を選択して進め スラド http://ow.ly/5Da1F

bulkneets :jQuery MobileのXSSはDOM Based XSSなのでウェブアプリケーションファイアウォールでは検知できないので、サーバーに魔除けの鈴をつけておきましょう http://bit.ly/qTbudn

kitagawa_takuji :「ソニーの漏洩事件で問題だったのはグループ内の情報共有」、三菱総研が解説 - ニュース:ITpro http://nkbp.jp/pZ1r9D #itprojp <SCEはソニー本体ではなくグループ会社という位置づけなのだろうか?まだハード偏重の考えの様な気がする。

ymzkei5 :タイトルに【LAC】ってついてないから見逃していたけど、まっちゃさんが言うとおり、美雪さんから直接のメールも届いてた。ストーリー仕立てw タイトル「千早美雪でございます?。」 本文「LACのサポートの方に特別にお願いして、連絡させていただきました。」

haruyama :PuTTY version 0.61 is released - http://icio.us/FGCkIq

s_hskz :JVN#51325625の変種について。IE6や7におけるISO-2022-JP周辺のXSS脆弱性についての記事をアップした。 d.hatena.ne.jp/st4rdust/20110…

connect24h :深夜、FBIがデータセンターを強制捜査しサーバ押収。国際的なサイバー犯罪摘発のためと - Publickey http://owl.li/5D4Lk

ScanNetSecurity :Googleが特定のセカンドレベルドメインを削除。この対策の有効性は? 他(ダイジェストニュース) scan.netsecurity.ne.jp/archives/51995… @ScanNetSecurity

tetsutalow :「高木浩光氏@HiromitsuTakagiと落合洋司弁護士@yjochiの「ウィルス罪」に関するやりとり」をトゥギャりました。 http://togetter.com/li/160906

7月12日のtwitterセキュリティクラスタ

最近土産物と明太子ばっかり食ってるからか、空腹気味で夏バテ気味です。あついー。あとtwitterの仕様が変わったようで、URLが長いと省略されるようになってムカつきます。

メールで先行公開されていた、@ToshioNawa さんの「ソニーサイバー攻撃の経緯と教訓」がWebでも公開されているようです。

ScanNetSecurity :先週末のメール読者先行配信につづいてWeb掲載も開始しました @ToshioNawa 特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(1)はじめに scan.netsecurity.ne.jp/archives/51993… @ScanNetSecurityscan.netsecurity.ne.jp/archives/51993…

ScanNetSecurity :特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月 scan.netsecurity.ne.jp/archives/51993… @ToshioNawa @ScanNetSecurity


それに対するAnonymousやLulzSecなど海外の攻撃集団に詳しい@kitagawa_takujiさんのコメント。
kitagawa_takuji :ちょっとだけコメントをしてみるか RT 特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月|ScanNetSecurity scan.netsecurity.ne.jp/archives/51993… via @ScanNetSecurity

kitagawa_takuji :その1 2011年1月2日、 George HotzがハッカーグループFail0verflowと協力し < fail0verflowが発表した情報をHotzが利用したのは事実だが、fail0verflowはキーを公開したHotzを非難しているし、協力とはちと違う。

kitagawa_takuji :その2 George Hotzを含むPS3のハッカーグループFail0verflowのメンバ100人に対して提訴した。<ソニー側が fail0verflowの実体を把握できていなかった為、3名の名前とその他1名から100名と訴状に記載した。fail0verflowは100人もいない

kitagawa_takuji :その3 2011年4月3日ハッカーコミュニティの Anonymous が、<4月時点のAnonymousはハッカーコミュニティではない

kitagawa_takuji :その4 Anonymous が、それまでのハッカーに対するソニーの姿勢を強く反発し <ハッカーに対する姿勢に反発したのではなく、IPアドレス開示要求などによって一般のネットユーザのプライバシーまでもが脅かされたことに反発

kitagawa_takuji :その5 PlayStation 関連の複数のサイトを攻撃し、サイトが閲覧できないなどの障害が発生した。<最初はOperationPaybackの一環としてwww.sonypictures.co.ukがターゲット、PSNはその次

kitagawa_takuji :その6 Sony Store の店舗において座り込みなどの抗議活動を Facebook 上で呼びかけをし、実際に抗議活動が実施され、<ネット上では多くの賛同者が集まったが、実際の店舗には殆ど人が集まらず抗議活動は失敗

kitagawa_takuji :その7 反・反WikiLeaksの時のAnonOPSのIRC参加者が最大で9000人と言われている。その内、ハッカーと呼べるのは多くて数十人。それでもハッカー集団、ハッカーコミュニティと呼ぶ?


そんなまとめて考察している横で新たなインシデントは発生しているわけですなこれが。
MasafumiNegishi :む、Toshiba Americaがやられて、DB情報の一部が公開されている。

ockeghem :ソースはどこですか? RT @MasafumiNegishi: む、Toshiba Americaがやられて、DB情報の一部が公開されている。

MasafumiNegishi :@ockeghem ここです。cyberwarnews.info/2011/07/12/tos…


そして、毎月恒例@kaito834さんによるのMS定例パッチ情報。
kaito834 :2011年07月のMS定例パッチは緊急1件(MS11-053)、重要3件(MS11-054, MS11-055, MS11-056)。http://www.microsoft.com/japan/technet/security/bulletin/ms11-jul.mspx

kaito834 :MSの情報によると、2011年07月のMS定例パッチですでに公開済みの脆弱性を修正したのはMS11-055(Visio)のみ。他3件は非公開の脆弱性を修正している。MS11-055 は DLL Hijacking の問題(CVE-2010-3148)を修正。

kaito834 :MS11-055 で修正された DLL Hijacking の問題(CVE-2010-3148)については、http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3148 に Exploit コードのリンクあり。

kaito834 :MSの情報によると、MS11-054(CVE15件), MS11-056(CVE5件)では基本的に悪用するにはログオンが必要な脆弱性(いわゆるLocal Exploit)を修正している。 MS11-056が修正するCVE-2011-1886だけ悪用方法がもやっと書かれている。

kaito834 :MS11-053 について。MS11-053: Vulnerability in the Bluetooth stack could allow remote code execution http://bit.ly/oeeYPg

kaito834 :一応、http://www.adobe.com/support/security/ とか、http://googlechromereleases.blogspot.com/ も見てみたけど、Adobe Flash Player の脆弱性はでていないみたい。


その他に気になったことはこのあたり。
JVN :複数の STARTTLS 実装に脆弱性 http://jvn.jp/cert/JVNVU555316/

JVN :IPComp パケットの受信処理に脆弱性 http://jvn.jp/cert/JVNVU668220/

sophosjpmktg :ハッカーがデビット・ベッカムのWebサイトに落書き。nakedsecurity.sophos.com/2011/07/11/dav…(英語)

eagle0wl :LMハッシュとNTLMハッシュ(NTハッシュ)とNTLMv2ハッシュとLM認証とNTLM 認証(NT認証)とNTLMv2認証とLMレスポンスとLMv2レスポンスとNTLMレスポンスとNTLMv2レスポンスとNTLM2セッションレスポンスの区別がつくようになりました。

tetsutalow :「高木浩光氏@HiromitsuTakagiと落合洋司弁護士@yjochiの「ウィルス罪」に関するやりとり」をトゥギャりました。 http://togetter.com/li/160906

テーマ : セキュリティ
ジャンル : コンピュータ

7月11日のtwitterセキュリティクラスタ

昨日XSSが修正されていなかったJQuery Mobileについて。あんまり使わない方がよさげですねえ。
bulkneets :jQuery MobileのXSSについての解説 http://bit.ly/otKysw

bulkneets :アルファだろうがベータだろうが正式版だろうが開発者は免責されたほうが良いと思ってるんだけど、アルファ→ベータでセキュリティfixがあったことが告知されなかったり、攻撃手法丸分かりのissue trackerにリンク貼っといて次のリリースは2週間後、とかはやっぱおかしいと思う。


昨日の
sen_u :パスワード認証を回避してWindowsにログインする方法 http://bit.ly/o1ynnd
についての意見などです。もっとすごいやり方があるみたいでびっくりです。。

ockeghem :上野さんのパスワード回避の記事は、スパイウェア埋め込みのリスクについて突っ込んでくれたらもっと良い記事になったね。僕も後から気づいたんだけど。あと対策をもう少しきぼん。BIOSパスワードもATAパスワードも回避できるので難しいとは思うけど

tyappi :そもそも、HDD が物理的に保護されていない or 暗号化されていないなら、HDD を別の OS から mount する攻撃に対してすべての OS は脆弱だろう。

ockeghem :@tyappi (暗黙の)当然できるはずというのと、記事としてリスクを明示するのは違うでしょ。HDD内の情報をとれるというだけならログオンしなくてもとれるわけで、それ以上のリスクにどのようなものがあるかを記事としては説明しないと、専門家としてはまずいです

tyappi :@ockeghem なるほど、OS 自体の機能で暗号化されている情報が抜けるとかそういう面を明記しなさいということですね。

tyappi :@ockeghem Key logger のようなもの (key input は必須ではない) を仕込めるということですね。ただ、こちらに関しては OS の shell 取れなくてもできることなので省略してしまってもよいかと思いますが。

EijiYoshida :@sen_u そのやり方だとEFSとか回避できないので、塩月さんのやり方がお勧めかな。 http://t.co/v92UggD



その他気になったことはこのあたり。
ockeghem :『筆者が技術顧問をしている社団法人「コンピュータソフトウェア著作権協会(ACCS)」』<ハギーはACCSの技術顧問なのか / 「STOP THE Winny!」 まだまだ続くWinnyやShareの情報漏えい(ITmedia エンタープ… http://htn.to/CknW8u
ockeghem :『本質的にはP2Pソフトでの使用はどの種類でも危険かつ、ほとんどが不正であることを理解していただきたい』とか、やけに十把一絡げなまとめだな。ACCS技術顧問だからか?

kinugawamasato :Twitterの最近見つけた脆弱性についてブログ書いた! http://t.co/0ILj67F

DigiMunition :sslsniff v0.7 ? SSL Man-In-The-Middle (MITM) Tool http://t.co/tkdPcKf

itsec_jp :[Bot] #ITSec_JP Googleの検索結果から「.co.cc」ドメインを排除、目的は悪質サイト対策(ニュース) http://goo.gl/fb/vzRTs

infosecmedia :WordPress 3.1.3 SQL Injection Vulnerabilities - http://infosecmedia.org/mh

yarai1978 :ほう。 Jailbreakme Takes Advantage of 0-day PDF Vuln in Apple iOS Devices http://tinyurl.com/6kmxt3y

lumin :「空想: A 「システム停止の原因がわからない」B「最近はやりの不正アクセスのせいにしておくか」 客「不正アクセスが原因だと~警察に連絡だ」・・事情徴収・・警「退職したあいつが怪しい、逮捕だ」 とか。『証拠は自白』」でなければいいけど。

MasafumiNegishi :うーむ、Anonymousは明日またなにかデカいことをやらかすつもりらしい…

テーマ : セキュリティ
ジャンル : コンピュータ

7月9~10日のtwitterセキュリティクラスタ

暑くて休み明けで仕事がたまっているという三重苦です。

XSSで脚光を浴びたjQuery Mobileの新バージョンが出ているようですが…
bulkneets :security riskがありますと書いておいて解消された新バージョンがリリースされてないってのもアレだな!!!! http://bit.ly/om18O0


修正されていないみたいですね…
bulkneets :http://bit.ly/om18O0 http://bit.ly/mNv4xD jQuery MobileのXSS→アップデート待てないor困難なケース向けのmonkey patch二種書いた http://bit.ly/mSPVH2 http://bit.ly/pyshXF


これは便利、って違うか。
sen_u :パスワード認証を回避してWindowsにログインする方法 http://bit.ly/o1ynnd


はてなwww
bulkneets :俺はこの種のXSSが出てくることは予見してたけど実際にXSSあるのははてなでしか見たことなかった http://bit.ly/drm0se 「XHR level2によって「XHRは同一ドメイン上のコンテンツしか読めない」という前提が崩れている」


その他気になったことはこのあたり。
risa_ozaki :インターポールサイバーセキュリティトレーニング: 今年はウィーンで行われたFIRSTカンファレンスに初めて参加してきました。毎年参加されている方に話を伺ったところ昨年まではあまり耳にすることがなかった… http://bit.ly/np65EH via @FSECUREBLOG


DigiMunition :sslsniff v0.7 ? SSL Man-In-The-Middle (MITM) Tool http://t.co/tkdPcKf


PacSecjp :PacSec2011は11月9, 10日開催です。発表論文お待ちしてます。要項はこちら→ http://pacsec.jp/speakers.html?language=en (英語)


adam_baldwin :The best part of waking up, is Folgers in your cup. http://t.co/OSvDtrD #xss from over a year ago. #lame


ockeghem :詳細なレポートありがとうございます。ストレッチングの実装に関する具体的な説明はあまりなく貴重な情報だと思います / 続・徳丸本のあれこれ ストレッチング処理の変更 | 水無月ばけらのえび日記 http://htn.to/cd4rub

テーマ : セキュリティ
ジャンル : コンピュータ

7月8日のtwitterセキュリティクラスタ

昨夜は@ITのセミナーがあったようですが、会場内の雰囲気がもうw 仕事しながらTLを眺めていましたが行きたかったなあ。
marinedolf :誰だか分からない~ #OpItmedia


takuho_kay :おやっ!?お客さんにも……
#OpItmedia

sagami22 :

- 集合写真w #OpItmedia


セミナーに関するつぶやきで気になったものをちょっとピックアップ。
piyokango :セキュリティ記事を記載する側にとってブクマの『後で吊るす』タグは恐怖。 #Opitmedia

sen_u :攻撃者によってログが消されてる状態を「攻撃された痕跡がない」と発表。すると、あら不思議。嘘は書いてないのに、攻撃がなかったように見える広報マジック。 #OpItmedia

office_acer :アンダーグラウンドを完全に潰したら技術力も潰す事になる。じゃあどうするかというのは、日本では難しいのだけど外国では戦略としているところもある。 #OpItmedia

kitagawa_takuji :企業がハッカーを雇うと言っても雇った企業がHBGaryやEndGamesみたいなブラックな企業ということもありますね。#OpItmedia


先日公表されたIE6におけるのクリップボードが読み書きできる脆弱性について、発見者の星屑氏からの解説があります。まだIE6を使ってる会社もありますのでパッチが出ないとドキドキですが、特殊な状況じゃないと発生しないみたいなので安心です。
s_hskz :http://t.co/Ggo950g の件、私による報告当時のデータが私用PCのクラッシュその他の理由でで散逸している…けれど概要を大脳から絞り出したので書き留めておく。 #JVN63451350

s_hskz :JVN63451350 は、Internet Explorer におけるクリップボードの操作に関する脆弱性についてだ。 一般のユーザが使うであろうセキュリティに関する初期設定において、恐らく【危険はない】。 #JVN63451350

s_hskz :Internet Explorer を【特定】の設定で使用すると、ウェブサイト側からクリップボードの内容を読み書きされてしまう。その設定とはなにか? #JVN63451350

s_hskz :[制限付きサイト] ゾーンにおいて [スクリプトによる貼り付け処理の許可] を [無効]にしているにも関わらず、この設定が効かないので、脆弱である、というのが、報告の骨子だ。 #JVN63451350

s_hskz :その他のゾーンと、本スイッチのオンオフの組み合わせでは危険なことは起こらないことを報告当時に、確認した。#JVN63451350

s_hskz :また、該当脆弱性は、クリップボードを操作する【特定の】JScriptの関数のみに発現していた。(どの関数であったのかは現時点で当時作成したPoCが散逸しているほか、諸々の事由で個人的に再現環境も作成できないのでご勘弁頂きたい。) 。#JVN63451350

s_hskz :よく使われているほうの関数ではない、といった印象を当時もったことだけは記憶している。 現象を確認したコードは教科書的ではなかった。 #JVN63451350

s_hskz :では、当該脆弱性はどのような使用方法において危険だったか?まさしく私が当時使っていた他者にはお勧めできない特殊な運用方法においてだった。 #JVN63451350

s_hskz :outlookexpress でHTMLメールをJScript許可にて開くが、ActiveXコントロールおよび、クリップボード操作は禁止するというものだった。 #JVN63451350

s_hskz :OutlookExpress でHTMLメールを開くときには、制限付きサイトゾーンが用いられていた。さきの設定が安全かどうか確認する必要があり、考え付くだけの基本的なサンプルを送受信しているうちに当該脆弱性を発見したのだった。 #JVN63451350

s_hskz :今考えればおかしな設定なのだが、「HTMLメールみたいよ、JavaScriptつきで。でも危険なのはやだなぁ」という意見が社内の要望として強かったのでそれならばと、ギリギリの設定を探し求めてのことだった。#JVN63451350

s_hskz :当該脆弱性の発見を根拠に、社内にあった、贅沢な要望は封殺することにして、メール運用の基準を改定した覚えがある。 #JVN63451350

s_hskz :重要なので再言するが、JVN63451350 は、Internet Explorer におけるクリップボードの操作に関する脆弱性について。 一般のユーザが使うであろうセキュリティに関する初期設定において、恐らく【危険はない】。 #JVN63451350

s_hskz :また、MicroSoft社からの連絡によれば、ことIE6に関しては、本バグを修正することはかなり難しいとのことだった。OSの深い部分に関連しているので、ちょっとやそっとじゃ治らなかったっぽい。#JVN63451350

s_hskz :従って、IE6に関しては、絶対にパッチが出ないものと考えられる。 #JVN63451350

s_hskz :『レジストリの設定が効かない』という稀有な現象だったので興味深いといえば確かにそうだった。特殊な運用を考えない限り発現しないバグでもあった。一般には安心してよいレベルのバグでもあった。 #JVN63451350

s_hskz :以上で、 #JVN63451350 に関するつぶやきを終えたいと思う。 なお、筆者は現在、体調を壊しており、日常とは離れた環境下でつぶやいている。 ブログなどで奇麗でわかりやすい報告をすべきだが、おゆるし頂きたい。変なことしないとブログにアクセスできないのだ。


その他気になったことはこのあたり。
ockeghem :銀行向けのガイドラインに「レンタルサーバーでオンラインバンキングを運営してはならない」と追記しようと提案したら、なにを馬鹿なことをと一笑に付されると思いますが、secure.softbank.ne.jpを利用しているメガバンク各社は、レンタルサーバーを利用しているのと同じことです


ockeghem :Webアプリのストレステストは実際に負荷を掛けるので、原発のストレステストと書かれると、「そんなことして大丈夫か?」と思ってしまいますよw 実際には模擬実験なんですかね


taiji_k :IANA "DNSSEC Manager"のfingerprintを電話で確認しました。 Key ID: 0x0F6C91D2 fingerprint: 2FBB 91BC AAEE 0ABE 1F80 31C7 D1AF BCE0 0F6C 91D2


s_hskz :Clickjacking Attacks Unresolved ( http://t.co/SIZBgOH ) これは?


kchr :セキュリティ業界の人が英語のリスニング力をつけようとおもったらSteve GibsonのSecurity Now!というpodcastがオススメです。題材が最近の技術で、英語に癖がなく、掛け合いがあって日常会話に近い。

テーマ : セキュリティ
ジャンル : コンピュータ

7月7日のtwitterセキュリティクラスタ

@ITの連載が公開されています。ここのまとめなので、読んだことのあるネタだと思いますが、是非とも100回くらい読んでみてください。(http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/07.html

あと、昨日のダダ漏れを見つけたら○○になってしまったでござるの答えは、明太子と博多とおりもんをいただいてしまったでござるでした。恐縮しきりです。

IE6の脆弱性が発表されています。ですね。もうサポート外ですがパッチが出たりするのでしょうか。
s_hskz :JVN#63451350 Internet Explorer におけるクリップボードの操作に関する脆弱性( http://jvn.jp/jp/JVN63451350/


逆にパッチが出たりすると困る組w
hasegawayosuke :むしろ毎年、期間中にIEの累積パッチでるほうがドキドキなんですけどw

ockeghem :@hasegawayosuke ということは、MSのパッチの出る日を避けてスケジューリングした方がよいということですね、わかります

hasegawayosuke :@ockeghem どんなイベントでもそうなんですけど、「こんなひどいのが長期間直ってないんだぜ」という方向性で資料作ってるのに、発表前日や当日に直ってしまうと、ちょっと悲しいですからね。


そして、ソフトバンクによっていろいろ大変なみずほダイレクト。
ockeghem :ギャーーーー。みずほさん、なんということを


というのは、「このサイトは安全でない可能性があります。よろしいですか?」ということだったのですかね。確かに謎です。
ockeghem :日記書いた / みずほダイレクトの謎 - ockeghem(徳丸浩)の日記 http://htn.to/bchrBF


モバイルで使ったことないですが、カードの暗証番号と一緒だったりするのでしょうか。
ockeghem :SMBCダイレクト(三井住友銀行)は、パソコン用の暗唱(パスワード)が英数字4~8桁、モバイルが数字4桁。すごくセキュリティに気をつかっているようでいて、肝心な所が甘い


今なぜ話題なのかと思ったらgigazineで紹介されていたのですね。パスフレーズは長いに越したことはありません。
prof_morii :無線LANのWPA/WPA2-PSKをGPUで超高速解析してパスワードを見つける http://t.co/pQOEsAZ 高々毎秒100万個の鍵解析だと、英数記号でランダムに与えた13文字のパスワードであれば、解析するのに何兆年もかかる?GPUを使おうが全数探索では無理ってこと!


LACの新規事業か…
kinyuka :┏┓Love Affair Community:大人のラブコミュニティ ┏┓ ┗□────────────────────────┛ LACより非会員の貴方様に当コミュニティの以下の女性会員 千早美雪 様よりメッセページにご招待されております。 っていうスパムきた



その他気になったことはこのあたり。
kitagawa_takuji :アノニマスが次のLulzSecにならない理由 http://t.co/4ENFbHQ via @gizmodojapan #gizjp <6人程度のLulzSecと違い、アノニマスを一括りで定義付けることは不可能。いろいろな人達がいる。


kitagawa_takuji :PayPalのTwitterがハッキング!アイコンが『ウンコ』に改竄される。|| ^^ |秒刊SUNDAY http://t.co/kLa1ps4 via @byokan


sen_u :分散型GPU/CPUハッシュクラッカー Durandal http://bit.ly/rm8N0z


BlackHatEvents :Just Announced: DARPA’s Peiter "Mudge" Zatko Takes Keynote Stage at #BlackHat USA 2011 http://tinyurl.com/BHmudge


yohgaki :iPhone hacked with zero-day font vulnerability http://ow.ly/5yzoU 私のxpreiaの状態も似たような物...


ockeghem :PHP5.3.7RC1のWindows版をダウンロードして、PDO+MySQL+SJISのプレースホルダでもSQLインジェクションとなる問題(http://t.co/JWmPYb1 )が解消されていることを確認しました。千葉さん @nihen のご尽力によるもの #php


connect24h :おぉ。親子でセキュリティを学ぼう!「夏休みセキュリティ教室」が開催: トレンドマイクロ、エネルギア・コミュニケーションズ、ケイ・オプティコム、中部テレコミュニケーションは、共同で小学生高学年(4~6年)とその保護者を対象... http://bit.ly/qmn20x

テーマ : セキュリティ
ジャンル : コンピュータ

7月6日のtwitterセキュリティクラスタ

今日はたまたまダダ漏れを見つけてしまったサイトの人と会うことになってしまったので、ダダ漏れを見つけたら○○になってしまったでござる、の○○が午後には判明することになる思います。明日更新してないときは消されたと思ってください(´Д`;)

明日のセミナーに出演する人はAnonymousのメンバーではなく、メンバーにインタビューした人みたいですよ。
piyokango :※出演者は、アノニマスのメンバーではございません。 RT @MasafumiNegishi: なに!? “@ntsuji: 出演者のプロフィールがぁぁぁぁぁぁ!!! 「第5回 アイティメディア チャリティ... http://bit.ly/lb2r02 #OpItmedia”

kitagawa_takuji :アノニマスにメンバーという概念はありませんよ。RT @ntsuji 出演者のプロフィールがぁぁぁぁぁぁ!!! 「第5回 アイティメディア チャリティイベント 最近の情報漏えい事件についてあれこれ語ろう」- http://bit.ly/lb2r02 #OpItmedia

port139 :あのにますのメンバーではありません!、といってもその証拠はないな、とか思ったもうすぐ午後 2時。

kitagawa_takuji :おっ、ちゃんと直っとる>※出演者は、アノニマスではございません RT アノニマスにメンバーという概念はありませんよ。RT 「第5回 アイティメディア チャリティイベント 最近の情報漏えい事件についてあれこれ語ろう」- http://bit.ly/lb2r02 #OpItmedia



そして誰かまたAnonymousに関わってる人が逮捕されたみたいですが、Anonymousはグループじゃないしリーダーとかいないとか… 報道する側も大変そうです。
prof_morii :サイバー攻撃の容疑者、イタリアとスイスで逮捕 Anonymousのメンバーか http://bit.ly/qPwLAg おはようございます。相変わらずの... リーダーなんていないでしょう、いわゆる定常的な組織でもないでしょうし。


kitagawa_takuji :アノニマスというのはグループではなく理念なのだよ、クリーディー君。だからメンバーを捕まえても理念は決して死なないのさ。

ymzkei5 :ここで、“アノニマスにメンバーという概念はありませんよ。”と言ったらループして面白いかも。(ぇw RT @kitagawa_takuji: アノニマスというのはグループではなく理念なのだよ、クリーディー君。だからメンバーを捕まえても理念は決して死なないのさ。

kitagawa_takuji :メンバーというのは権力側から見たことですよ。RT @ymzkei5: ここで、“アノニマスにメンバーという概念はありませんよ。”と言ったらループして面白いかも。(ぇw


1つの番組内で使われる「ハッカー」の文脈が違うのも気になりましたが、それよりもWBSのアカウントにハッカーとクラッカーの違いをツイートしてる奴の方が気になりました。
kitagawa_takuji :ハッカーの知恵を生かせ:ワールドビジネスサテライト:テレビ東京 http://t.co/LttbNtU


今日は七夕ですね。
hasegawayosuke :短冊ってようするに tag だから、笹にぶらさげた時点で…。 RT @ym405nm: 短冊にXSS仕込むことは可能ですか?


その他気になったことはこのあたり。

MasafumiNegishi :Ebookでてる! アナライジング・マルウェア http://t.co/diLM9L4


kitagawa_takuji :なんとIPAまでもがラルズセックと呼んでいるとは!  http://t.co/6v0hn4U


ntsuji :SSHでよく使われるユーザ名 / パスワードをタグクラウドにしてくれてますねー DRG SSH Username and Password Authentication Tag Clouds - http://bit.ly/9j69oE


ockeghem :みずほダイレクトの「かんたんログイン」は仮に脆弱性があったとしても評価が難しい。なぜなら、ケータイIDだけでなく4桁暗証番号を要求しているから。単にユーザIDの入力補助なら大した問題でないとも言える。4桁暗証番号がどうよというのはあるけど、これはかんたんログインに限らない


ockeghem :Androidの脆弱性を突いてroot権限奪うマルウェア、マカフィーが注意喚起 -INTERNET Watch http://htn.to/jE4hxj


YourAnonNews :Obama 2012 campaign website is hacked - Washington Examiner http://bit.ly/jvKATY


expl01t :「一時的な回避策は無し」って書かれるとパッチがまだ無くてzero-dayみたく見えてしまう不思議→ ttp://itpro.nikkeibp.co.jp/article/NEWS/20110706/362083/


kitagawa_takuji :ハッカー集団がアップルのユーザー情報にアクセスか、ネットで公表 - Bloomberg.co.jp http://t.co/7ovqvo3 ハッカー集団「アンチセック」は <AntiSecは集団名ではなくムーブメント

テーマ : セキュリティ
ジャンル : コンピュータ

7月5日のtwitterセキュリティクラスタ

大きい脆弱性が見つかっているみたいです。該当のサーバー使っている人は大変でしょうね。
piyokango :Tomcat5.5の0dayが出ているみたいですが、詳細はまだ確認されてないんでしょうか。/NATO Server Hacked by 1337day Inj3ct0r and Backup Leaked ! http://bit.ly/m8tLoo

tetsutalow :BIND9が簡単に落とせることがわかったみたい。やばい。 / (緊急)BIND 9.xの脆弱性を利用したサービス不能(DoS)攻撃について http://htn.to/hcTAyX


twitter、paypalといろんなところにまだまだXSSがあるようですね。僕もこれからはスクリーンショットを撮るようにしたいと思います。
kinugawamasato :XSS in twitter.com (Already Fixed)

Great work, Security Team!

securityshell :@Paypal
@Paypal on Twitpic


securityshell :#Paypal #XSS -
Paypal - XSS on Twitpic



目視に依存した対策が格好いいと思います。あと、運にも依存しておきたいものです。
ockeghem :『ファイアウォールに大きく依存した対策を行っているシステムが多く』<顧客に配慮した婉曲表現。「何もしていなかったということだな」と読み解くべし / 目立つFW依存の対策、侵入されると44%のシステムが攻撃に無防備(NRIセキュア)|Sc… http://htn.to/wgwcKx

ockeghem :「○○に大きく依存した対策集」をトゥギャりました。 http://togetter.com/li/157962


全然関係ないですが僕は会場内にいるのにバッヂを盗まれたことがありますよ。
moton :見逃してた。。。今年のバッヂは電子的なものではないらしい(ToT) RT @joegrand: RT @ThisIsHNN Official: Defcon 19 badge to be non-electronic http://t.co/Bpl5mfv



その他気になったことはこのあたり。
ntsuji :第5回 アイティメディア チャリティーセミナー「最近の情報漏えい事件についてあれこれ語ろう」のページに顔写真がつきましたよ。 http://bit.ly/lb2r02 そして、ボクの会社名が非実在系社名になっておりますw


k_morihisa :メモ:「ユミコの週刊セキュリティニュース」「K子の気になる!セキュリティつぶやき」がオープンしました! (情報セキュリティブログ | 日立ソリューションズ) http://securityblog.jp/information/2906.html


gohsuket :PayPal UKのtwアカウントが数時間乗っ取られる RT @gcluley PayPal UK’s Twitter profile commandeered by angry hacker http://bit.ly/qVKzf8


gohsuket :伊警察がアノニマス関係容疑者を突入で逮捕。但しどの事件の容疑かは不明。 一人はスイス在住Frey。RT @cybertheorist Anonymous suspects arrested in Italian police raids http://j.mp/jARkG8


ntsuji :「第3回 成り行きでこのポッドキャストのタイトルが決まりましたスペシャル」公開されていますよ。 http://bit.ly/lT4WCh #tsujileaks


MasafumiNegishi :深夜、FBIがデータセンターを強制捜査しサーバ押収。国際的なサイバー犯罪摘発のためと http://t.co/0FrUWcb


ntsuji :また、逮捕されたぜ!w RT @TheHackersNews: RT @kevinmitnick : SHIT! I got busted again! http://bit.ly/levx6d hahahahaha :D


nikkeionline :アップルにサイバー攻撃か アノニマスが名前など公表 http://s.nikkei.com/iCvgjA


ockeghem :短絡的か…あるな→ついカッとなって、私費でソフトバンク端末60台を借りて調査した。後悔はしていないが、公開した http://t.co/X3hHftn


mincemaker :ログインIDとパスワードが平文で書かれているカードを持ち歩いてもいいのか。 http://anpi.infomix758.co.jp/tokuchou.html

テーマ : セキュリティ
ジャンル : コンピュータ

7月2~4日のtwitterセキュリティクラスタ

なぜか7月に入ってバタバタしています。猫は暑くてぐったりしています。

XSSかSQLインジェクションについて思うところですか、一般の人には用語がわからず、普通のエンジニアは名前は知ってるけど思うところは特に… だと思いますが。
ockeghem :「XSSかSQLインジェクションについて思うところを述べよ」みたいな質問がありましたが、1~2枚ではとうてい書けません!

hasegawayosuke :@ockeghem 出版されるのを首を長くしてお待ちしています。

hasegawayosuke :SQLインジェクションについて思うところは1行で終わるなー。「興味ない!」

ockeghem :1行なら書けるか。「XSSはとてもやっかいだ」、「SQLインジェクション対策は、文字列連結でSQL組み立てずにプレースホルダ使え」。審査員が、これで良しとしてくださるかどうか(^o^)

s_hskz :XSS? ぼくは、一貫して、「クロスサイト evil コンテンツ」という名称に変えたほうが良いと感じている。 その心は? 別にスクリプトじゃなくていいじゃん? という。


果たして何人が興味あるかわかりませんが、出たら買います。
hasegawayosuke :オライリーのHacksシリーズみたいに、数ページで小さいネタを取り上げたかたちのXSSだけの本みたいなのあると楽しそう。

ikepyon :@hasegawayosuke 出すんですね。期待して待ってますw

ockeghem :@ikepyon 今頃、日本中の出版社で企画会議やっていると思うw


まだまだ募集中のセプキャンについて。
sonodam :ダータで参加できるとか、あご足+宿泊飯代付きとか、すごい講師陣に教えてもらえるとか、たくさんの仲間をGETできるとかっていうよりも、「このイベントは、わたしの将来を左右する重要なイベントなのです」と言い切る方が説得力あるような希ガス>対親 #spcamp


これは例になってない… それはともかく「これまでにキャプチャしたパケットの中で、印象に残ったものがありますか?」とか「自分自身で通信プロトコルを設計したことはありますか」とか、うわっ、キャンプのハードル、高すぎ… ?
hasegawayosuke :「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ幸いです。」だそうで http://t.co/T6VV44P #spcamp

ockeghem :『クロスサイトスクリプティングあるいはSQLインジェクションについて自分の言葉で語ってみてください。※特に字数制限はありません』<そう来ましたか RT @hasegawayosuke: 「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ


ソフトバンクのSSLについて。いろいろ使えないところが出てきているようです。
piyokango :まとめの記載を見ると完全に廃止ではないんでしょうか。http://bit.ly/asb7Pqhttp://bit.ly/log91v にはこの辺の記載は見受けられないのですが。/SoftBank SSL仕様変更への対処まとめ http://symple.jp/114.html

ockeghem :みずほ銀行さん、まだソフトバンク携帯から使えないようですね。SSLかケータイIDどちらかやめれば、すぐに動くと思うんだけど、「そんなセキュリティで大丈夫か」と突っ込みが入って踏み切れないと憶測(真実は、今までよりずっと安全になる、だけど)


見出しで惑わされますが、原因の8割が人的ミスで、漏洩した個人情報の数が一番多かった原因が不正アクセスで、不正アクセスの件数は少ないけど1回で漏れる人数が多いということなのですね。
itsec_jp :[Bot] #ITSec_JP 2010年個人情報漏えい調査結果?漏えい人数トップの原因は不正アクセス http://goo.gl/fb/khibx

itsec_jp :[Bot] #ITSec_JP JNSAが個人情報漏えいに関する調査報告書を公開、漏えい原因の8割が人的ミス http://goo.gl/fb/hP9Lc


その他気になったことはこのあたり。
yujikosuga :リアルな"なりすまし" (spoofingについて調べてたら出てきた) http://t.co/KyMFdpb


mincemaker :ログイン名を admin にして登録したら Webアプリが落ちたわらい


sen_u :AppleのDBがAnonymousによってハッキングされる http://bit.ly/lTNvoM


expl01t :あら.三輪さんのコラム,最終回でしたか.お疲れ様でした.Reading: これからの企業におけるセキュリティ対策はこう変わる http://t.co/GDvMUV6


kaito834 :http://t.co/2HvQdNs で紹介されている PDF を半分ほど読んだ。このレポートでは Device Security Model で 5 つの項目を挙げている。 ...

kaito834 :. @kaito834 (1)Traditional Access Control, (2)Application Provenance, (3)Encryption, (4)Isolation, (5)Permissions-based access control。...

kaito834 :. @kaito834 ...このレポートでは、iOS は(1)(2)(3)(4)(5) 5 つをすべて実装、Android は (1)(4)(5) の 3 つを実装しているとしている。iOS には疎いので iOS 関連の部分が参考になった。


komeilipour :finance.yahoo.com cross-site-scripting (#XSS) Vulnerability http://goo.gl/2SbSI #Security #Yahoo


bulkneets :youtubeアカウントが紐づいてるとiframeで複数ドメインのcookieをsetしようとしてて、そうでない場合はmetaタグリフレッシュでfirst partyとしてcookieセットするのでログインできる


ripjyr :第4回愛媛情報セキュリティ勉強会のまとめ http://t.co/iRQvHpI


ockeghem :現象的には別人問題。Java記述のアプリ、高負荷で顕在化していることから、競合状態の脆弱性である可能性が高いですね。#wasbook 4.15参照 / 「iidaショッピング」におけるお客さま情報閲覧の不具合について | 2011年 |… http://htn.to/m9aLUv


sophosjpmktg :◆和訳しました◆Groupon 子会社から30万件のログイン情報が流出、その場しのぎの対応だったためバグ修正後も再び不具合が発生。原因を究明。http://t.co/oz3VUaL


MasafumiNegishi :ぐはっ、SCS/eEye/FFRのセミナーおもしろそうだけど、SANSとぶつかってるorz 「近年のハッキングによる脅威と対策~日米セキュリティスペシャリストから学ぶ自社インフラの守り方~」 http://bit.ly/koF5GO


sen_u :JPCERT満永さんのお話。わ、1万円!// 最近のハッカー集団による攻撃の動向とその対策: GLOCOM http://www.glocom.ac.jp/2011/07/post_159.html


テーマ : セキュリティ
ジャンル : コンピュータ

7月1日のtwitterセキュリティクラスタ

6月末になぜか終了したsecure.softbank.ne.jpについて、どうして終了しなければいけなかったのかという大御所たちによるネタバレというかさまざまなコメント。こりゃダメですね。
rocaz :ブログ書きました: オープン化への変貌とキャリアの隠蔽体質を考える ? secure.softbank.ne.jpの問題を受けて http://goo.gl/fb/Gxpdb

bakera :[メモ] secure.softbank.ne.jpの話 http://subtech.g.hatena.ne.jp/mayuki/20110701/1309492035

HiromitsuTakagi :SoftBankガラケーの致命的な脆弱性がようやく解消 http://t.co/5cMaeQc 高木浩光@自宅の日記

ockeghem :日記書いた(ブログ移転しています) / 徳丸浩の日記: ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る http://htn.to/AQtgoP


とはいえまだサービスされている?
ockeghem :『6月30日に変換されない仕様へ変更となったはずですが、運営中のサイトではSSLページへアクセスすると未だにURL変換が実施されております』<だそうで / SSLページでのURL変換 - コミュニティ http://htn.to/TkEWpi


その他気になったことはこのあたり。
piyokango :Twitterの権限仕様の変更は予定通り昨日行われたみたいです。/The new permission model (R / RW / RWD) is now in effect http://bit.ly/mlyHxt


gizmodojapan :【最新記事】 あなたはハックされなかった? LulzSecのハックチェッカーです。 http://dlvr.it/YX45p #gizjp


masa141421356 :最近何箇所かでスクリプト内に </script余計なもの>が埋め込み出来そうなサイトがあるんだけど、空白文字以外で埋め込み可能な余計なものって何かあったっけ
hasegawayosuke :@masa141421356 </script/>


sen_u :要チェック!SQLインジェクション脆弱性がある5000サイト一覧が公開 http://bit.ly/mdHanF

テーマ : セキュリティ
ジャンル : コンピュータ

6月30日のtwitterセキュリティクラスタ

ようやく応募がはじまったセプキャンについて。何も知らない人にしたらそんなうまい話は信用できないのかもしれませんが、気になるなら調べてみればいいだけなのにね。
YuukiMirai :お母さんにぱぱっとセプキャンの事言ったら「信じられない。絶対機械の販売が目的」とか言われたなう…

D_Rascal774 :僕も親にセプキャンの話したら、「中国とかに連れていかれて死ぬまで無賃金でプログラミングさせられるんじゃない」とか言われた…

kensukesan :応募用紙に「テキスト」形式が用意されました! http://www.ipa.go.jp/jinzai/renkei/spcamp2011/download/index.html #spcamp

hasegawayosuke :セプキャンが、「そんなおいしい話あるわけない」という親からの反対で応募さえできないんだとしたら悲しすぎるので、もうちょっとIPA、経産省、文科省には頑張って欲しい。 #spcamp

hasegawayosuke :Twitterで見てるだけで数件の「親から怪しいって言われた」という声が見つかるくらいなので、実際にはもっとたくさんあるんだろうと思う。ネットに届かない層に訴えるにはどうすりゃいいんだろうね。 #spcamp

kuroneko_stacy :これは成功事例あるので、結構使えるかも知れません。 RT @nishio: 今更だけど親に話すときに「経済産業省の」と枕詞付けるとか #spcamp

shigure162 :そして、この #spcamp で、そういう批判系のことが余りにたくさんあると、参加予定の人は不安になると思うんです。私もそうでしたから。 #spcamp

kensukesan :交通費も出ますよ。なので基本お金かからないです。 RT @YuukiMirai #spcamp 応募してみたいけど現地への旅費以外に何か必要なんだろうか…

kensukesan :ていうか親御さんに経産省に電凸して確認してもらおう RT @hasegawayosuke セプキャンが、「そんなおいしい話あるわけない」という親からの反対で応募さえできないんだとしたら悲しすぎるので、もうちょっとIPA、経産省、文科省には頑張って欲しい。 #spcamp

hasegawayosuke :@kensukesan そのために信用できる電話番号をどうやって入手するかというところからPKIに目覚めてくれればしめたもんですね!

kensukesan :@hasegawayosuke まぁ、普通は電話帳か良くてホームページくらいしか信用しないよ。しかもPKIよりはハンコついた書類でしょう(-。-;

ucq :そういえばキャンプでjpcertの認知度が意外と低くて驚いたような覚えがある。

07c00 :全力で何かを学びたいと思っている人には、おいしい話は普通にあるよ。奨学金とかだってそうだし @hasegawayosuke セプキャンが、「そんなおいしい話あるわけない」という親からの反対で応募さえできないんだとしたら悲しすぎるので、もうちょっとIPA、経産省、 #spcamp



Androidのブラウザーがクレデンシャルを平文保存しているみたいです。侵入されたり盗まれたとき大変って、まあその時点で負けてる気がしますが。
tdaitoku :ひえー生パスじゃん。>htc

tdaitoku :ideosでも確認。htcというかAndroid自身の問題か・・・。生パス保存。

kaito834 :@tdaitoku 生パス保存って、アカウント情報なんでしょうか?

tdaitoku :@kaito834 ブラウザが記憶するWebサイト(Facebook)へのログイン・クレデンシャルを平文保存してました。

kaito834 :@tdaitoku ブラウザなんですね。ありがとうございます。/data/system/accounts.db あたりの話だと思いました→http://togetter.com/li/99634


Google+というのが始まったみたいですが、招待されていないので蚊帳の外です。僕もXSS見つけたいです(うそ)。
ockeghem :『Googleの本気度はよくわかった。というのも、プロフィールをいじっていたらアカウントをロックされてしまったから』<興味深い / Googleプロフィールで名前を偽ろうとするとロックがかかってGoogle+に投稿できなくなる - ただ… http://htn.to/FukDwi

sen_u :Google+はもうXSS見つかったのか。躍起になって探してるもんな。w

lord_epsylon :#xss: https://plus.google.com/up/start/?sw=1&type=st?p=XSS vuln parameter


コンテンツ変換プロキシX-Servletのお話。まあオープンになってるものは少ないだろうから、外部でいろいろ作って試すことはできないんでしょうけど。
bakera :X-Servlet は、変換しようとしたコンテンツに <input type="image"/> が含まれていると、ぬるぽを出してコケてしまう模様。まあガラケーは <input type="image"/> を解釈できないので、ふつうは問題にならないのでしょうが。

bakera :NullPointerException at jp.co.flexfirm.xproxy.converter.fromhtml.ElementTreeFactory.completeSubmitTag(ElementTreeFactory.java:1114)

bakera :結論としては、スルーモードを駆使して回避すれば良い。(キリッ


その他に気になったことはこのあたり。
nmap :Released Nmap 5.59BETA1 with 40 new NSE scripts, improved IPv6, and much more. Happy hacking! http://t.co/9XiTHuE


ockeghem :ソフトバンクGWの停止について「ガラケーで今さらやるな!迷惑極まりない」というブコメがあった。いまさら仕様変更するなという意味だろうけど、これは停止せざるを得ない理由があったのですよ…その理由は…


roaring_dog :子ども向けハッカースクール「デフコン・キッズ」開催へ 国際ニュース : AFPBB News: http://bit.ly/ixZdBF


ucq :脆弱性をみつけそれらを組み合わせ、いかに悪用できるか考えるのは結構おもしろい。


sen_u :LulzSecの容疑者は10代、FBIがオハイオ州ハミルトンの自宅を捜査 http://bit.ly/kWsH7Y


gohsuket :アノニマスが独自の「ハッカーリークス」を開始 RT @WLLegal http://t.co/nqJf4i0 Anonymous starts their own version of WikiLeaks, cuttin… (cont) http://deck.ly/~uZ0AI

hackinthebox :Anonymous Launches A WikiLeaks For Hackers: HackerLeaks - http://news.hitb.org/content/anonymous-launches-wikileaks-hackers-hackerleaks

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
07-2011
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 - - - - - -

06   08

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。