スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

8月30日のtwitterセキュリティクラスタ

Apacheがようやくバージョンアップされたようです。長い48時間でした。
vulcain :Apache HTTP Serverの件。 http://bit.ly/naZ0FJ のチェンジログもターボールもアップされてる。時間が時間だけに明日あたり各社からリリースだろうか?

ymzkei5 :長い48時間でしたね~。w RT @vulcain: Apache HTTP Serverの件。 http://bit.ly/naZ0FJ のチェンジログもターボールもアップされてる。時間が時間だけに明日あたり各社からリリースだろうか?

kaito834 :やっと"Apache killer"に対策したApacheがリリースしたみたい。 HTTP Server Project

piyokango :CVE-2011-3192対応のApacheって2.2だけなんですかね。


カレログというアプリが公開されましたが、すごい反響です。TLには自分のプライバシー情報に敏感な人が多いようです。

プライバシー的な心配はやはりあるようです。
Vipper_The_NEET :バックドアならぬバックロガーか。ウイルス対策ソフトが対応してくれたら面白い。

puzuki :カレログの何が凄いって、「彼氏には一切分かりません!」と散々アピールしておきながら「カレログは、端末所有者の同意をとってご利用ください!」ってのうのうと書いている所が、「女子高生セックス!」とか銘打っておいてパッケージに「出演者は全員18歳以上です」て堂々と書いてるAV並に凄い。

jyonaha :TLで話題になってるこれ、なんか笑いごとじゃないような気がするんだけど…。「会社で全社員が入れるよう強制された」「業務用で貸与された携帯に入っていた」みたいな訴訟とか起きるんじゃ…RT @Gerge0725: 恐ろしやプラチナ会員→カレログ: http://karelog.jp/

HiromitsuTakagi :不正指令電磁的記録(刑法第168条の2第1項第1号)該当性:「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき」⇒ 端末使用者に同意がなければ該当。「不正な指令を与える」⇒ 該当。

高木先生は違法ではないかと吠えていらっしゃいます。togetterにまとめがあります。http://togetter.com/li/181388

ネタにする人もたくさんいました。
Molokheiya :歌丸「最近はカレログが流行ですね。そこで私がカノジョになって、みなさんのAndroid端末にカレログをインストールします。そうしたら、みなさんはrootを取って情報を偽装します。ただしhostsを書き換えてはいけません。あくまでAPIをフックしてください。はい、楽さん早かった」

RandolphCarter :彼女が彼氏の行動を監視するアプリは受け入れられるのに、これが彼氏が彼女の行動を監視するアプリだったらすごい勢いで炎上するんだろうな。

heartlogic :自分でカレログを入れてライフログを貯めるのがライフハック上級者ですよ

Hamachiya2 :このソフトはGPSロガーを仕込んだりするのとは違って、「私のことホントに好きならコレ入れてよね!」と正面から同意させるところに意味がある http://htn.to/yxkfpb

shokos :飲み会とかでケータイをいじり、アプリ一覧にカレログがあるのをさりげなく見せて、俺のことが大好きで束縛したがりな彼女がいるんだぜアピールするライフハック

dankogai :「私女だけど彼氏のスマフォがiPhoneだった」

ntsuji :ボクにAndroid2.2以上が動作しているXperia arcかacroをプレゼントしてくれる人。今ならカレログインストール権1ヶ月分ついてますw

masarakki :ちなみにカレログはガチでやばくてどれくらいヤバいかというとモバイルブースターで充電し続けても電池があんま回復しないわけでつまりタダでさえ逸般人じゃないと電池マネジメントが難しいAndroidをさらに難しくしてAndroidの評判を落とすのでつまりAppleからの刺客

ebleco :カレログ要らないよ派:・そこまでしなくてもいいよ派(王道派)・うちの彼は浮気しないよ派(中立派)・twitterで十分だよ派・浮気しても構わないよ派・彼氏がログだよ派・そんな事しなくても把握してるよ派・セキュリティ面が心配だよ派・彼氏なら画面の中だよ派(過激派)

セキュリティ的なこともちょっと。脆弱性があるようなツイートもありましたが。
HiromitsuTakagi :カレログの「お客様情報の入力」ページ、secure.shop- pro.jpにあるのに、「実在性証明のため、日本ベリサイン株式会社のSSLサーバ証明書を使用しております」と書いてるけど、何の実在性を証明してるかっていうと、 PAPERBOY AND CO. INC. だってよ。

akirakanaoka : にChromeでアクセスしたら鍵交換にECDHE_RSAが使われていたでござる

すでに対策アプリが出ているようです。すごい早さですね。
technerd :@MobileHackerz カレログプロテクターを公開しました。同一パッケージ名の認識が間違ってなければ、勝手なインストールは避けられます。http://bit.ly/nz5nNT

markwat1 :カレログが流行っているみたいなので、作ってみた  http://ow.ly/6h4DR カレログチェッカー 自分は全く不要なんだが 使う人いるのかな。 カレログアプリ入れてみて あまりのパーミッションの多さに圧倒された。 テスト済んだら速攻消した。(^^)

偽装は意外と簡単なようですね。
shogo82148 :電話番号入ってたので再投稿。カレログの偽装に成功。ニューヨークから日本まで15,214kmを30分で移動した。 http://twitpic.com/6dkttw



迷走している感の強いmixiですが、使い道は自分の日記だけじゃないのか… 
harusanda :プロキシランチャー 以来の ダウンロード数になってきた>>撤退!mixi  2年前に公開したソフトだが、ここにきて急に利用者が増えた感。

harusanda :mixi から「あしあと」が なくなったので、他人の日記をバックアップしても 気付かれなくなったんだよね。 「あしあと」があった時代は、バックアップとってる人のあしあとが びっちり 上位についた。 これも、ある意味 追い風の要素かもしれない。


話題のPHP本のサンプルは予想以上にすごそうですが、自分の過去に編集した本のことを考えると他人事ではありません。
ockeghem :話題のPHP本の壮絶なサンプル(ダウンロードしたもの)。これだと文字化けする。脆弱性もあり。 http://pic.twitter.com/2Q4EY30

ockeghem :さっきのスクリプト、元々任意宛先に任意文面のメールが送れる *仕様* ですが、脆弱性により添付ファイルもつけられます。これは徳丸本の練習問題としては易かな。なんせ、ほとんどそのものが書いてある(答えはCD-ROMの方に)

ちょっと昔に戻った気持ちになります。
mincemaker :噂のPHP新刊の人のサイトがすごい。 http://at21.net

ockeghem :私もびっくりしましたw RT @mincemaker: 噂のPHP新刊の人のサイトがすごい。 http://at21.net


その他に気になったことはこのあたり。
_hito_ :すげーなこのセキュリティ監査。フィンガープリンティングだけで「このバージョンの●●には脆弱性があります!(キリッ)」って書いてある。コピペ超人か貴様。


mimura1133 :何度か流れていますが。「セプキャン2011卒業生LT大会 in Tokyo」を実施します。興味のある セプキャン2011クラスタの方はご連絡下さい。 #afterspcamp #spcamp


hasegawayosuke :めっちゃ想定どおりの模範解答。 "spcamp2011のxss問題について - namusyaka日記"


maruchan_MM :まるちゃんブログ=>内閣府 個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~


piyokango :Nokia開発者サイトからユーザー情報流出、SQLインジェクション攻撃受ける - ITmedia ニュース


MasafumiNegishi :昨日のシンポジウムについて、その場でもいくつかツイートしましたが、気になった点などブログにまとめました。 http://bit.ly/nYoRL0


bulkneets :jQuery 1.6.3 RC とりあえず $(location.hash)だけ直った http://bit.ly/p4tr6s http://bit.ly/rr4QSE

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

8月29日のtwitterセキュリティクラスタ

「Morto」というWindowsのリモートデスクトップ接続(RDP)を悪用するワームが発生しているようです。会社員の頃はVPNでLANに入ってリモートデスクトップで会社のPCにつないで家で仕事することが多かったので他人事ではありません。
jpcert :既にいくつかのメディアで報じられていますが、8月後半より RDP(3389/TCP)ポートへのスキャンが増加しています。詳細について現在調査中です。Windows Server などで RDP を使っている方はご注意下さい。 ^KS

ntsuji :VPNで接続した後、リモートデスクトップで操作。なんて運用のところには効果的? RDPを悪用してWindowsマシンに感染するワーム「Morto」が発生 - https://bit.ly/nXycem

MasafumiNegishi :New Worm Morto Using RDP to Infect Windows PCs https://bit.ly/oCfJie via @threatpost

piyokango :今流行のMortoのお話。/Aug 28 Morto / Tsclient - RDP worm with DDoS features http://bit.ly/nBJhha

piyokango :VTによると今日時点ではMortoはトレンドマイクロやMcAfeeでは検知できない模様。F-Secureも解説ブログ書かれていたのですが、検知されないのですね。http://bit.ly/qZRzJY



昨日は興味深いシンポジウムがあったようです。まとめ見て雰囲気だけでも見ておきます。
ntsuji :参加します。TLにも参加の方いらっしゃいそうですね。『ソニーの個人情報流出事件をどう考えるか-サイバー攻撃に対する政府・企業・個人の対応』

piyokango :「「ソニーの個人情報流出事件をどう考えるか」(#GIE_sony)のまとめ」をトゥギャりました。 http://togetter.com/li/180991


引き続きApache Killer。原理が分かればどの言語でも実装は可能なのかもしれません。
flano_yuki :ふと思ったんだけどapache killerってJSでも実装できる?rangeヘッダは設定できるみたいだし...ただ同時接続数の制限あるから微妙か。ローカルネットワークへの攻撃も攻撃が成立するのは難しそう

flano_yuki :p="bytes=0-"; for(k=0;k<1300;k++){p+= ",5-"+k;} xhr=new XMLHttpRequest(); xhr.open("head","/"); xhr.setRequestHeader("range",p); xhr.send();

flano_yuki :apache killerをjsで書き直してみたー,スクリプトキディー向けに設置するとやばい気がする.一発送っただけで結構メモリ食う.xhr2対応ブラウザだとリクエストとぶのでクロスドメインでもおk.

piyokango :Slow HTTP DoS vulnerability test tool: http://bit.ly/pPSr38via @AddThis


長い名前だと表がバカでかくなりそうです。
ikb :紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案 -- なるほど、縦にも横にもかならず A-Z が見つかるから…という寸法か。三文字ずつとるようにすれば、生成されるパスワードも長くできるし、なかなかおもしろい。

expl01t :ちゃんと見てないけど,紙無くしたらアウトってことでおk? Reading: 紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案

tokoroten :つまり、短いドメインのパスワードは弱くなると・・・。 / 紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案 -INTERNET Watch http://htn.to/RubXee


その他気になったことはこのあたり。
keikuma :韓国ではアダルトサイトの閲覧の際に共通番号を入力しないといけないのだけど、みんな他人の番号を勝手に使うから問題ないって言ってた。


piyokango :【注意喚起】ウェブサイト改ざんの新たな攻撃を確認 埋めこまれるコードが動的に変化 https://bit.ly/oWGWsf


tetsutalow :昔Microsoftがやられて騒ぎになったけど、Googleもですか。昔より証明書発行会社が増えてるので、今後こういう事故が増えるかも。今後はせめて重要サイトくらいDNSSEC限定にするとかいう方法でもう一枚カベ作るのかなぁ。 / Ha…


McAfee_JP :McAfee Blog更新情報「VISAのカスタマーサービスを装った、偽セキュリティソフト詐欺が蔓延中」VISAのカスタマxーサービスから送られたように装う詐欺メールが世界中に広がっていることを確認しました。http://mcaf.ee/dba7n


piyokango :マカフィー、「安全なオンラインバンキングのためのセキュリティアドバイス」を発表 http://bit.ly/qbhmcL


akirakanaoka :FIT 2011企画イベント「そこそこセキュリティ ~必要なレベルで適切なセキュリティ対策を提供するには~」は9/9(金)13:00-16:00に開催です!
FSECUREBLOG :我々が「RSA」のハッキングで使用されたファイルを発見した方法:  3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。  現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラ... https://bit.ly/qr0IfJ

テーマ : セキュリティ
ジャンル : コンピュータ

8月26~28日のtwitterセキュリティクラスタ

もう秋の気配が感じられるようになりました。夏も終わりですが、DoSはまだ過ぎ去ってくれないのかもしれません。

Apache Killerは思いの外効果が高いらしく、週末を対応に追われた方もいらっしゃるかと思います。お疲れ様です。
sfjp_magazine :http://bit.ly/qVRXrz#sfjp #sfjp_magazine Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定

piyokango :昨日の夜にFull-Disclosureに投稿されたHTTPKillerはApacheだけでなく、IIS,Squid,NetCacheでも有効なのでしょうか。http://bit.ly/nsHLwk

ockeghem :Apache killerすごいな。パラメータ調整して、やられサーバーのVMのメモリも増やして「現実的な」設定にしたら効果ありまくり。攻撃やめて30分以上たつのに全然応答しない。リセットしようかしら。こんなのくらったらたまらんな

ockeghem :訂正:mod_securityのCore Rule Set 2.2.2に含まれるApache Killerルールはとても効果があるけど、Rangeヘッダのみの対応で、Request-Rangeヘッダには対応していないので、他の回避策をとった方が良さそうですね

ockeghem :承前)ということで、皆さん、Apache killer対策しましょう。あなたの想像よりきっと凶悪です。httpd.conf修正後は、apacheの再起動をお忘れなく

ockeghem :/robots.txtに対する試験では十分なテストとは言えない。もっと大きなファイルでテストしたら、本番環境でテストしたことを後悔したかも / Apache Killer (CVE-2011-3192) 対策 for CentOS 5.… http://htn.to/DbePWh

ockeghem :日記書いた / 徳丸浩の日記: Apache killerは危険~Apache killerを評価する上での注意~ http://htn.to/26AcxB

rryu2010 :つまりApache killerはサーバのリソースをきっちり使うようパフォーマンスチューニングされたApacheほどよく効くという。 / 徳丸浩の日記: Apache killerは危険~Apache killerを評価する上での注意~ http://htn.to/ftbn4p

rryu2010 :終了バイト位置がコンテンツのサイズよりも大きい場合は range-specが無視されるので、コンテンツのサイズが1300バイトを下回る場合はパートの数が減る。ということはレスポンスのサイズよりは 1300ものパートを含むmultipartなレスポンスというのが効いてくるのだろうか。

Povan_Vanquin :ApacheKiller怖いな。未対策の自サイトに砲撃したら見事に撃沈したwww http://bit.ly/mYDF5Uhttp://bit.ly/ouXakQ


ちなみにやり方はこちらから。Perlのスクリプトなので実行も簡単ですの。
takesako :killapache: how to kill an Apache web server with a DOS attack

使ってるLinuxディストリビューションがBackTrack5で吹いた。ご丁寧にcpanmのインストール手順も。



そして、Apache Killerにはバグがあるようですw
ockeghem :Apache killerの明らかなバグは、$#ARGV > 1 とある箇所で、$#ARGV >= 1 が正しいですね。僕もパッチ送付しようかしら (^o^)/


そして案の定というか、2ちゃんねるがApache KillerによるDoS攻撃を食らったようです。
piyokango :プレスリリース 2ちゃんねる DDOS攻撃ツール「Apache Killer」の標的に

ripjyr :落ちてたの?! I'm reading now: 名無しのVIP : 2ch鯖落ち 今回の犯人はこいつらwwwwwwwwwwwwww

piyokango :現在も一部サーバーが接続不可になっていますね。関連性はわかりませんが。/『2ch』が一時アクセス不可に「韓国アタックか」との噂も 一方韓国では次の攻撃投票を!? via


phpの新刊に徳丸チェックが入ったようです。買ってニヤニヤする人が何人か出そうですね。
kenji_s :今日本屋ですごい本を見つけました。ちょっと立ち読みしただけですがセキュリティという概念そのものがなさそうでした。是非、@ockeghem さんにレビューをお願いしたい > 『作りながら基礎から学ぶPHPによるWebアプリケーション入門』 http://ow.ly/6elVJ

ockeghem :@kenji_s わかりました。こう言う時こそ、皆様にご協力いただいたアフィリエイト収入を元手に本を購入しましょう…読んでブログ書く手間の方が大変ですがw

ockeghem :@kenji_s さっき本が届きました。確かにこれはすごいですね。一切なにもやっていない。セキュリティの教材として使えるかもしれない(逆説的に)。著者のサイトからサンプルがダウンロードできるはずがまだ準備されていないようで、もう少ししてから調べます

kenji_s :@ockeghem この本が今月発売の新刊というのが、なんかガツンと一発やられたようなインパクトの本でした。PHPは書籍も裾のが広いということでしょうか...orz

ockeghem :@kenji_s ファイルアップロードの脆弱性とか、メールヘッダインジェクションはあり、SQLインジェクションも当然のようにあるのですが、意外にXSSがすぐに見あたらないのはjQeuryの功績でしょうかね。でも、もれはありそうなので、サンプルが後悔されたら調べてみます

ockeghem :ブログに書く脆弱性にはエンターテインメント性がないとつらい

a href="https://twitter.com/#!/bakera/status/107799872417169409">bakera :@ockeghem 脆弱性にエンターテインメント性が無くても、ツッコミのコメントにエンターテインメント性があれば良いという説も……。角を立てずに面白いツッコミをするのは難易度が高いですが。


その他気になったことはこのあたり。
MasafumiNegishi :CSOCレポートに見る Anonymousの実態(?) http://bit.ly/p3niZm


damemonyo :Samba 3.6.0の共有にWordファイルを書き込めないというトラブルが発生しているようです/[Samba] Bug in 3.6.0 saving files. http://ow.ly/6elrV #Samba_JP


purehate_ :Oclhashcat just got WPA support with an aircrack patch. 3 times faster than Pyrit. 328 pmk/s with 2 ATI 6990's #rollindeep


CSAW_NYUPoly :The CSAW CTF is an attack-only CTF competition where competitors break into applications and systems for points. - http://ow.ly/6dHhS


kosaki55tea :liblar、結構みんな登録してんなー。みんな興味あるのなー。と思っていたらほとんどの人はXSSテストしかしてない。書評がタグで溢れてる ゚+.(・ω・)゚+.゚


rocaz :とても簡潔にまとまってる。これ読んでなお『端末識別なら』とかいう人はモバイルアプリ作るべきでは無い / iOSのUDID問題 | 水無月ばけらのえび日記 http://bakera.jp/ebi/topic/4503

テーマ : セキュリティ
ジャンル : コンピュータ

8月25日のtwitterセキュリティクラスタ

なんかこのところ毎日のようにタイミング悪く雨が降ってる気がします。また今日も降るらしいですよ。早めに用事済ませないと。

ApacheにDoS攻撃を受ける脆弱性があるようです。まだパッチは出ていないようですが、mode_rewriteで回避できるようですね。
sfjp_magazine : Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定

ntsuji :Apacheの未解決の脆弱性を突く攻撃が横行 - 「この問題を修正するパッチは4日以内に公開される見通し。」だそうですよ。

sshzms :Apache HTTPD 1.3/2.x の Range ヘッダーの DoS 脆弱性について

bakera :[メモ] Aapche の Range つきリクエストによるDoS問題

ymzkei5 :検証レポート楽しみ♪w 対策(回避策)はmod_rewriteのやつ上げるのかしら? RT @ockeghem: Apacheの脆弱性? もう検証しましたか? RT @ntsuji: Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,…

piyokango :Apache warns Web server admins of DoS attack tool

ockeghem :mod_securityのシグネチャを個別に書いて検証して導入という手間を考えたら、mode_rewriteによる回避策を導入するよな、普通 ブツブツ

piyokango :ApacheのMLでも回避策としてmod_rewriteの設定例を記載していますね。

ntsuji :流行ってるらしいApacheのDoS。打ち込まれたマシンのtop実行結果ですよ。 lockerz.com/s/132609017


pageman :Apache Killer killapache.pl demonstration youtube.com/watch?v=iibknU…



その他に気になったことはこのあたり。
haruyama :RFC5592 シンプルネットワークマネジメントプロトコル (SNMP) のための セキュアシェルトランスポートモデル を翻訳 SNMPのことはよく知らないのであれです.


ntsuji :ということで Virtual EXPO 2011の動画でチャリティイベントでお話させていただいた『パスワードの定期変更という“不自然なルール”+α』が配信されるようですよ。


sen_u :Anonymousが使う DDoS tool「

テーマ : セキュリティ
ジャンル : コンピュータ

8月24日のtwitterセキュリティクラスタ

今日も雨ですね。しかも隣が工事しててうるさくてたまんないです。どっか行きたい。

スマートフォンとか言っても、実質PCとかわんないですからね。
itmedia_news :Android 2.3のroot権限を奪うマルウェアが初めて見つかったとのこと。気をつけましょう^編 http://bit.ly/oFifhP


自衛隊がF5とか連打してるのを想像すると笑えますが、中国だと本当にやりそうで怖いですね。
HarutoJ :中国人民解放軍開発のサイバー攻撃ツール、国営放送の番組で明るみに - ITmedia エンタープライズ   一説によると人民解放軍からのサイバー攻撃は朝9時に始まり17時に終わる。12-13時は休む、とかいう話が・・・


管理者こえー
ItSANgo :BABEL BABEL BABEL ... / Geekなぺーじ : 解雇されたエンジニアが外部からVM削除で業務停止 http://htn.to/sPXp27


その他に気になったことはこのあたり。
antiphishing_jp :緊急情報:OCNを騙るフィッシング(2011/8/24)を掲載しました。


piyokango :大規模ターゲット型攻撃「Shady RAT作戦」の分析報告 - 世界のセキュリティ・ラボから:ITpro http://nkbp.jp/pDkJOu#itprojp


ymzkei5 :対策のトップに書きますかそれw >■不正アクセスによる情報漏えいのお詫びとご報告 - テニスギア  “具体策は以下となります。 ・不正アクセス時によく使われるという中国の特定IP経由のアクセスが遮断されるようにしました。”


MasafumiNegishi :やっと続き書いた…かなり手抜きw - LulzSecの50日間の軌跡 (Part 4) http://bit.ly/qQEg5A


asahi_apital :「マイナンバー」って、ご存じでしょうか?いわゆる「共通番号」で、医療や社会保障、税など、私たちの生活に密接にかかわるものになりそうなのですが…。朝日新聞の平和博編集委員(IT担当)が、その背景や留意点を論じます。 http://t.asahi.com/3nc7


bulkneets :脆弱性は脆弱性で対策するかどうかは法的技術的抑止力があるかどうかと開発コスト悪用される可能性悪用された場合の被害などで決めます。でも脆弱性は脆弱性です。


ScanNetSecurity :不正プログラムでスパイサービス提供、通話やメッセージ、GPSまで記録(トレンドマイクロ) http://lb.to/qeartq @ScanNetSecurity


kitagawa_takuji :『2ちゃんねる』に画像を貼り付けるセキュリティホール見つかる? ウィルスの貼り付けもできてしまう危険性 via
aircrackng :

セキュリティ
ジャンル : コンピュータ

8月23日のtwitterセキュリティクラスタ

@ockeghemさん祭りのようでした。1日に2つもインパクトのあるネタをありがとうございます。
ockeghem :「安全になったよ」というエントリよりも、「こんなに酷いよ」というエントリが、圧倒的に読まれますね。どちらも読んでもらいたいわけですが…まぁ仕方ないか…経験上分かっていることではあるんだけど、あらためて思いました

ockeghem :インパクトのあるPHPネタのブログを今日は2本も書いたので、さすがの僕もPHP愛が空になりました…というのは嘘で、ますますPHPがいとおしくなりましたw


ということで1つ目はPHP5.3.7に致命的なバグが発見されたことです。すでに5.3.8がリリースされていますが、なんでこんなことになってしまったのか… とにかくびっくりです。早めに見つかってよかったですね。
ockeghem :日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) http://htn.to/NE4DSZ

ockeghem :しかし、タイミング悪いよなー、PHP5.3.7でPDOの「一応の安全宣言」出したばかりなのよ、オレ 安全宣言なんか出すもんじゃないなー

ymzkei5 :これはヒドイ。 RT @ockeghem: 日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #5005439) http://htn.to/NE4DSZ

osamuh :致命的すぎて、書いてあることがしばらく理解(納得)できなかった RT @mtakahas: どうしてこうなった……。RT @ockeghem 日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) http://htn.to/NE4DSZ

ockeghem :PHP5.3.7の問題で、MD5を使うことが問題という指摘がありますが、(1)パスワードハッシュという応用ではMD5は脆弱とは言えない、(2)古くから使っている場合ハッシュアルゴリズムの変更は容易でない、と思います。ハッシュアルゴリズムの移行についてはYAPCで(採択されたら)

ockeghem :PHP5.3.7の脆弱性が入った要因は、strcatを呼んでいる箇所があり潜在的に脆弱だというので安全なstrlcatに直した。ところが、呼び出し方を間違えていて、テストもしていなかった…ということのようですね。良かれと思った修正があだになるという、ありがちな罠

ockeghem :PHP5.3.8リリースされましたね

ockeghem :日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数のバグはこうして生まれた http://htn.to/mg2TXD


そして2つ目はもしドラのパロディーのタイトルですが、内容はパロディーではないですよ。
ockeghem :日記書いた / もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記 http://htn.to/EXLKTF

data_head :「もし徳」とか店頭に並ぶのを妄想した…。とある高校のコンピュータ部の女子マネージャが、いけてないプログラムを書く男子部員をビシビシ鍛えるの。実はその女子マネージャは徳丸先生の娘さんと言うオチ。

hogehoge1192 :もはや趣味でもセキュリティについて十分留意しないと危険な時代になった もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記


なんで必読でないのか、そこが知りたいですよね。
mekpsy :技術者パラノイアを哂おう。徳丸本は別に必読ではないよとあえて言う。 / もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記 http://htn.to/2pEdPM


そして、引き続きiOSのUDID廃止問題について。わからない人やわかろうとしない人が入り乱れて大変ですね。
rocaz :昨夜(今朝方)のをまとめると「セキュリティ・ネットワークは素人だ」「問題点は専門家に指摘して欲しい」という自尊心も自立心も責任感も感じられない態度。今回の問題ぐらいググればいいのにそれも無しで説明しろという。断ると「それでは啓蒙にならない」と。いやだから僕は技術者辞めろと言ってる

fladdict :UDID公式廃止はむしろラッキーだった人も多いはず。なにも考えずにUDIDをキーにしたアプリはiPhone5乗り換えでキーが変わって全滅、責任問題になるはずだった。

SH1N0 :スマフォのリワード広告におけるUDIDに依存しない設計案 - snippets from shinichitomita’s journal http://bit.ly/on8fco

mincemaker :今回の UDID についてのプライバシー問題は、こちらの記事が詳しいので周回遅れで来た人は最初に読むといいかも。

bakera :UDIDの問題点や対応策が良くわからないという人もいらっしゃると思いますが、去年の高木さんのこの話を読むと結構あっさり理解できると思います。

mincemaker :「セキュリティの専門家がいないから、知ってる知識の範囲で開発する」という文字列を見た。いやいや、勉強しろよw


個人的にはこの流れが面白かったです。とりあえず逃亡。
MKajimoto :アップルのUDIDの話も22日の時点で英語でつぶやいても、日本で騒ぐのは1日以上遅れてから、それで盛り上がるのも何だかなあ。世界の動きに24時間は遅れているのが日本。盛り上がり方が半端でないのもうんざり。<

HiromitsuTakagi :で?あなたは何か役に立つことをやったのかね? RT @MKajimoto アップルのUDIDの話も22日の時点で英語でつぶやいても、日本で騒ぐのは1日以上遅れてから、それで盛り上がるのも何だかなあ。世界の動きに24時間は遅れているのが日本。盛り上がり方が半端でないのもうんざり。

sakichan :とりあえず、高木さんの公式RTの後で鍵かけたようですね RT @HiromitsuTakagi: で?あなたは何か役に立つことをやったのかね? RT @MKajimoto アップルのUDIDの話も22日の時点で英語でつぶやいても、日本で騒ぐのは1日以上遅れてから


その他に気になったことはこのあたり。
JSECTEAM :ブログをポストしました。「ハッカーを雇う? 情報セキュリティの今後いかに? 」 http://bit.ly/pVNami#JSECTEAM


mayahu32 :今年のキャンプ生によるCTFチーム「Gen2Agent」がこっそり発足しました #spcamp


MasafumiNegishi :8/10に起きた香港取引所への DDoS攻撃に関して、香港警察は29才の男性を容疑者として逮捕。Hong Kong police arrest man over DDoS attack on stock exchange
http://bit.ly/pPDZ1k


kitagawa_takuji :サイバー攻撃の実態公表は「オオカミ少年」か? セキュリティ2社が火花 - ITmedia エンタープライズ


kitagawa_takuji :共通点・傾向は? 2011年上期の情報漏えい企業に起きたこと - TechTargetジャパン 情報セキュリティ


ntsuji :DEFCONで買った手裏剣はコレ。 http://bit.ly/k4QNSn


ntsuji :実行形式ファイルなのに「.doc」、拡張子を偽装するウイルスに注意 - さんの顔が浮かびました。exeがdocとかドキュメント系拡張子にされるとファイルを開く率ってどれくらい上がるか気になりましたよ。


connect24h :情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks) - 国内企業の情報セキュリティ対策実態調査結果 http://bit.ly/p34WA3

テーマ : セキュリティ
ジャンル : コンピュータ

8月22日のtwitterセキュリティクラスタ

iOSでUDIDの使用が禁止されるようで、技術者だけでなく、なぜかネット広告業界の人が困っていると思ったら… 他人のプライバシーなんか自社の広告の前には関係ないんでしょうね。
rocaz :Togetter - 「UDIDに依存する人々とたしなめる人々」 http://j.mp/qEhmjR

rocaz :サイバーエージェント・ベンチャーズの代表取締役までUDID禁止を「大問題だ」とか言ってるな。どういう意識でベンチャー育成に取り組んでるのやら。儲かればそれでいいの??

rocaz :かんたんログインの悲劇を知らない人が多すぎる。エンジニアとしてどうなの?? RT @urchinhead: 詐称可能? RT rocaz: @YukiShimada: 素人考えだけど、MACアドレスが一意だから、識別は行ける気がする。

mincemaker :「これなら端末を特定できる」と書いたときの自信満々の笑みを ust でライブ放送して欲しい。


bakera :[メモ] UDID禁止されたらMACアドレスを使うという話へのツッコミ。

bulkneets :Macアドレスのハッシュ使うやつPoC的意味合いで書いたのかガチで実用目的で書いたのか気になりました

rocaz :MACアドレス空間ではUDID以上にランダム性が無いことは既に指摘されている。つまり事態は悪化する。iOS開発者は馬鹿ばかりか / yebo blog: iOS 5で、開発者がUDIDにアクセスすることを禁止 http://j.mp/oIuC26

haruyama :春山 征吾のくけー : UDID とか MACアドレスについていくつか lb.to/oMF54Z

haruyama :なぜiOSでUDIDが必要とされていたのか、メモ - UDID使うリワード広告には反対してましたが. 私の退職後に導入されてしまった.


bulkneets :正当な理由があってプライバシーに配慮した実装が無理もしくはバッドノウハウや汚いハックが必要だったり簡便な実装方法が無い状況だったら、プラットフォームに実装の改善を求めるべきで、そこで具体的にどんなAPIがあれば幸せなのかという話まで踏み込める人が殆どいないんじゃないか。

bulkneets :即答できるかというと難しい

bulkneets :自分の得意分野では、例えばサードパーティCookieの代わりに localStorageとpostMessageで代用することでデフォルト状態でトラッキングされちゃうような実装は避けられるよ、みたいなことを言える。けど詳しくない分野で不適切な実装がされてる時に具体的な代替案まで含め


bulkneets :セキュリティ研究者「プライバシーに配慮しろ」デベロッパー「うるさいな、正当な目的だし他にやり方が無いんだよ、簡単な方法教えてよ」スーパーハカー「ほらこうすれば出来るっしょ」デベロッパー「理解できません・・・」

haruyama :セキュリティ研究者「プライバシーに配慮しろ」経営者「こんなの個人情報じゃないじゃん. みんなやってるし大丈夫だよ」


その他気になったことはこのあたり。
ockeghem :『問題は、流出した個人情報には非常に初歩的なレベルの暗号化処理しか施されていなかった点だ』<もっと問題は侵入される原因の方。暗号化の実装は難しいが誰かベストプラクティスを示して欲しい / 韓国エプソン、35万人分の個人情報流出 | Ch… htn.to/BwHVeM


a0rtega :Skype - HTML/Javascript Code Injection 0day:


tessy_jp :提供元はあそこかw > hack the eek: イークネットをハッキングしてみよう eek.blogzine.jp


tamiyata :[atmarkit update] シェルコード解析に必携の「5つ道具」 http://dlvr.it/hHbCG を公開しました!


mincemaker :去年の夏厨キーワードは「ハッカー組織」だったのですが、今年は「プログラム団体」みたいです。○○所属、とか○○リーダー、みたいな人がたくさんいて吸収合併しているのだけど、サイトのサンプルコピペ以外はなにも成果が出ないのは去年と同じ、メンバーもだいたい同じ。


piyokango :gHacks編集者がFacebookのプライバシーガイドを公開。 Facebookが先日公開したセキュリティガイドより記述が具体的ですね。/The Facebook Privacy GuideThe Guide http://bit.ly/nO7bCh(PDF)


takesako :偽装通信 GNU httptunnelの改造 - yasulib memo


totoromasaki :会社のブログで、少し黒めのネタを描いてみた。bit.ly/ngIXco

テーマ : セキュリティ
ジャンル : コンピュータ

8月20~21日のtwitterセキュリティクラスタ

あんなクソ暑かったのが高校野球が終わった途端に寒くなった上に豪雨ですよ。もう。

今年も開催されるんですね。行きたいのですが仕事と重なりそうで心配です。とりあえずチケット買います。
avtokyo :AVTokyo2011 は11月開催出調整中。 CTFもまもなく開始予定です。 サイトもまもなく更新しますのでしばしお待ちを www.avtokyo.org


資料とツイート見ているだけでブラウザー勉強会面白そうでした。ちなみにまとめはhttp://togetter.com/li/176968にありますよ。
kyo_ago :発表資料ですー bit.ly/qJ9DfV #browserws

hasegawayosuke :午前中に話した "Using Win32 API inside Chrome Extensions" の資料を公開しました。 #browserws

piyokango :何となく書いてみました。/第3回 ブラウザー勉強会に行ってきた。 http://bit.ly/r827YX #BrowserWS

azu_re :#BrowserWS に参加したメモ公開した "第3回ブラウザー勉強会 アウトラインメモ | Web scratch" bit.ly/nlUVTI


まとめは誰でも編集できるので自分が入っていない方は思いで作りの一環として入れてもらえると助かりますよ。そういやモヒカンの人は私も見たことがあるような…
moton :いまごろ見たw 俺のつぶやきが無いと思ったが、渡米中4回しかつぶやいていなかったw「DEFCON19日本の人まとめ」 http://me.lt/3X0dS

moton :というわけで、Togetterから過去の記憶を広い中w Twitter / Sen UENO: 衝撃、いや笑撃の展開。知り合いがモヒカンになってた! ... http://me.lt/6kIzR

sen_u :@moton これは驚いたよね。w

moton :@sen_u 同じエレベーターに乗ってたのに、降りる直前まで気づかなかった。まさに笑撃的エピソードw

sen_u :DEFCON TLまとめ見てたら忍者の衣装が欲しくなってきた。侍でもいいなァ。 togetter.com/li/171035


ockeghem先生のphp本サンプルコードのセキュリティチェックのお時間です。プログラミング本を出す前には一度ご覧いただくのがいいかと思いますが、都合で黙殺して出版して激怒というシナリオが頭をよぎるので、進行的にはまずいかもしれませんよ。
ockeghem :「よくわかるPHPの教科書」見ているけど、アップロードの解説に脆弱性があるね。拡張子の確認をファイル名の後ろ3文字だけで確認している(P110)けど、これだと、/tmp/ajpg というファイル名がjpgとみなされる。拡張子がないので、IEの場合にXSSできる

ockeghem :バグがあること自体はある意味仕方ないんだけど、ファイル名の後ろ3文字だけで拡張子のチェックをするというアプローチはあんまりだと思いました。PHPには便利な関数がいっぱいあるんだから、それを使うように誘導しないと

ockeghem :念のためサンプルをダウンロードして動かしましたが、IE8でXSSとなることを確認しました。#wasbook の読者には簡単すぎる例題ではないかな。後でブログに書くかも

ockeghem :くだんのスクリプトはマジックバイトのチェックをしていないので、拡張子があってもIE7以前ではXSSができます。けど、それはそもそもIEの問題だし最新のIEでは直っているので、そこまで問題にしようとは思わないんだけど、後ろ3バイトはないわー

ockeghem :「私はいかにして脆弱性を見つけたか」というと、拡張子のチェックに変な方法使っている→なにかあるんじゃないか→拡張子がない場合の考慮が抜けている→拡張子がない場合は脆弱性だ ということで、はるぷさんのエントリに通じるものがありそうですね


ockeghem :「よくわかるPHPの教科書」の自動ログインがひどい。#wasbook の危険な実装例として載せた方法がそのまま使われている (~o~) 「改良」版の方だけどね:-)

ockeghem :「よくわかるPHPの教科書」のP96には、ログインパスワードをCookieに保存すると危険なのでやめろ、と説明しているのですがね。自分で書いたことくらいは実践して欲しいです

ockeghem :まっ、続きはブログで。スイッチがはいりました


その他に気になったことはこのあたり。
hasegawayosuke : セキュリティ&プログラミングキャンプ2011関連記事あつめたよ。 #spcamp


sec_recruit :Apache Killer - Posted by HI-TECH . on Aug 19(see attachment) /Kingcope http://ow.ly/1ek0Ji


ikb :cookie削除後も行動追跡を続ける「supercookie」に研究者が警鐘 - ITmedia ニュース -- supercookie ってどうやって実装してるのかな? Flash?


KirisameRW :ちょwwwブルースクリーンしてるしwww twitpic.com/69h8y6


テーマ : セキュリティ
ジャンル : コンピュータ

8月18日のtwitterセキュリティクラスタ

クソ暑かったのが急に涼しくなってびっくりですね。

Webはまだはっと驚く脆弱性というかブラウザの挙動があるので面白いですね。バイナリは難しくてついて行けませんがw
hasegawayosuke :Webアプリの仕組みでいうと、仕様も実装も常に過渡状態なので、頑張れば昨日まで存在しなかった原理の脆弱性(や対策)を自分の手で生み出すことができる。バイナリの場合、すでに枯れた技術の追従なので、そういうのはほぼないって愛甲さんが言ってた。 #spcamp (続く

hasegawayosuke :あくまでも実装に対して解析を行うバイナリに対して、閃き次第でまだまだ無限に可能性の広がるWeb。 と僕は思ってて、なのでWebのセキュリティ、特にブラウザ周辺を触るのが楽しい。 #spcamp


BT5 R1がダウンロード可能になってましたが、aptでなんとかなるよというお話もありつつ。
backtracklinux :Installing VMWare Tools in BackTrack 5 R1 - http://bit.ly/iBiJWS

backtracklinux :an apt-get update && apt-get dist-upgrade will do the trick, no need to re-install BT5R1 for an upgrade.

backtracklinux :Getting Packet Injection with rt2800usb ( AWUS036NH and AWUS036NEH ALFAs) on BT5R1 - http://bit.ly/naHLlH


その他気になったことはこのあたり。
sugusugu77 :閉域網だから安全と主張するのは、そろそろ辞めてほしい。閉域網だって様々なセキュリティリスクがある。暗号化も正しく使うことも必要だ。インターネットの利用も真正面から考えることも必要。


tehutehuapple :簡単なWebHack謎解きゲーム「CTE」公開。名前の通り、もともとはキャンプの感想文を見るためのゲームだったのですが独立しましたw #spcamp


hasegawayosuke :"Server-Side JavaScript Injection: Attacking NoSQL and Node.js" Black Hat USA 2011


donz80 :IIJ発行の定期技術レポートIIR Vol.12が出ました。今回の注目は、4月~6月にあった世界規模の連続攻撃/情報漏洩騒動と、震災直後のブロードバンドトラフィックの話でしょうか。 #IIJ


ockeghem :PHP5.3.7(Win)のPDO調べていた。動的プレースホルダとquoteメソッドにおいて、Shift_JISでの挙動が直っている(5.3.6では異常で、5.3.7では正常)であることを確認した。 quote($val, PDO::PARAM_INT)は相変わらずおかしい

テーマ : セキュリティ
ジャンル : コンピュータ

8月18日のtwitterセキュリティクラスタ

LACとセプキャンの映像がメインのニュースウオッチ9のサイバー攻撃対策特集でした。TLでもおなじみの人たちがたくさん登場していましたね。そういやおじいちゃんの遺言でtwitterやらない人はお元気でしょうか。
lac_security :ラックのセキュリティ監視センターJSOCが、NHKニュースウォッチ9の取材を受けました。CTO西本がご案内します。8月18日(木)21:00放映予定ですので、ご期待ください(^ま)

hasegawayosuke :JSOC取材してるあいだに kawaguchi love なURL叩けばよかった。

tehutehuapple :先ほど放送されたNHKの番組が早速公式アップ。ぼくもちょっぴりでています #spcamp http://bit.ly/qbRlhy

yukihiro_matz :まったなしサイバー攻撃対策│NHKニュースウオッチ9 ピックアップ http://bit.ly/oqI3JW / いい編集だとは思うけど、最後のコメントに違和感。「時代の使命感」ってなんだろうね。「支援はしないけど使命感で頑張れ」って聞こえる。ひねくれすぎ?

akirakanaoka :今日NHKのニュースで取り上げられてた @yujikosuga さんはこの業界のトップカンファレンスの1つ、ACSACに論文通してる。学生で第一著者。すごいです。


その他気になったことはこのあたり。
prof_morii :マルウェア添付のスパムメール、8月に入って激増 bit.ly/qXVcIW これから増えるだろうな。botネットも小規模分散化するのだろうか?


HiromitsuTakagi :つまり、国会議員よりもNTTデータのセキュリティ部長の方が技術音痴という現実。 #kokuminID


ockeghem :PHP5.3.7(win)で、http://htn.to/hN8TLN の問題が解決していることを確認しました。まだ簡易チェックですので、もう少し調べて、後日でブログで報告します。これで、PDOが *まずまず* 安心して使えるようになるかと期待しています


cedec_official :本日、PRセッションを公開しました!プログラミング分野:「狙われるスマートフォン&webアプリケーション -安心の独自マーケット構築~セキュアなアプリ開発まで-」ネットエージェントの池添 徹氏の講演です。 bit.ly/oPUCv5 #CEDEC2011


tetsutalow :暗号が「解けた」というのは、暗号が使い物にならなくなったということを必ずしも意味しない。今回のAES解読は暗号学的な成果ではあるけど、実用的には全くといっていいほど影響ない。心配するのは、これを機に解読が急速に進みそうな兆しが見えてからでいい。


javascripter :http://tinyurl.com/3crulr5 URL見ても分からないXSS。(Firefoxで確認) 昔からmethod=POSTで似たようなことはできたのでhistory.replaceStateのせいでアドレスバーが信用できなくなったわけではない


eagle0wl :スラド入りとな。 ハッキング競技「DEFCON CTF」、日本人チームは残念ながら最下位という結果に 


hasegawayosuke :IPAによるソフトウェアのバージョンチェックツールである MyJVN チェッカがサーバーソフトウェアにも対応。


hasegawayosuke :IE9、Cookieのファイル名がこれまでは"ユーザ名@ドメイン名の一部"だったのが、ランダムなファイル名がつくようになった。…と思ったら、書いてあった…。


g070_feed :XSS脆弱性が調査できるFirefoxアドオン『XSS Me』 | AUTHORITY SITE http://bit.ly/aBoFCv


kitagawa_takuji :ハッカー集団が警察官の個人情報を暴露、サンフランシスコ鉄道公社への攻撃は続く - ITmedia エンタープライズ

テーマ : セキュリティ
ジャンル : コンピュータ

8月17日のtwitterセキュリティクラスタ

今日のテーマは「あなたは何県で生まれましたか?」ですが、
実は鹿児島生まれの私です。あんまり記憶はないんですけど2歳くらいまでいたみたいですよ。
------

まだまだキャンプの余韻さめやらぬ日々が続いているようです。
connect24h :いいね!こういうのが臨場感があって良い。RT @clc_igu: セプキャン1日目のブログ記事 http://d.hatena.ne.jp/hi_igu/20110817 #spcamp

port139 :む、なんだこのおもしろそうな資料は!! RT @mayahu32: フォレンジック組の資料をうpしました #spcamp bit.ly/nMI64Y

mayahu32 :先日のバイナリ文字列の解説(半分泣き言) - @lternativeWorld -mayahu32の日記 (id:mayahu32 / @mayahu32)  #spcamp

sen_u :九工大で10月1日にCTFがあるみたい。 RT @Eidwinds: ブログ書いた。 #spcamp


昨日放送予定だったNHKニュースの特集は今日に延期だそうです。見られなかった人はラッキーかと。そして日刊工業新聞にも記事掲載ですか。
MatsumuraKs :今日のNHKのセプキャン特集は明日に延期 #spcamp

hasegawayosuke :放映、明日に延期か…。

hasegawayosuke :「“天才プログラマーの卵”鍛える-IPA、学生対象に集中合宿」日刊工業新聞。 via 福井さん情報。オンラインでは見出しだけ…。 #spcamp


これ気になります。難しいですよね。
tehutehuapple :@hasegawayosuke どうもてふです。キャンプではありがとうございました。質問です。XSS Challenges みたいに、アラートが出ると感知して次に進めるようなのはどうやってでてるんでしょうか。ご存知でしたら教えてください。いろいろと作っていて気になりました。

hasegawayosuke :オンラインのCTFみたいに自動で正誤判定させる場合はXSS問題出しにくいよね。キャンプのときみたいに人がフォローできる環境ならいいけど。


自分が理解できないことには答えずに粘着だと切り捨てるのはかっこ悪いし恥ずかしいですね。
yjochi :こうして、ユーザーに見放され落ちて行くという、典型例。→ mixiからの回答――「足あと機能存続問題と1万7千の実名署名」 getnews.jp/archives/136071 via @getnewsfeed

bulkneets :@yjochi 足あと機能にセキュリティ・プライバシー上の問題があったことを把握した上で言及してますか?

yjochi :改善すればよいだけの話でしょ。“@bulkneets: @yjochi 足あと機能にセキュリティ・プライバシー上の問題があったことを把握した上で言及してますか?”

bulkneets :@yjochi 改善した結果がこの騒ぎですけど、どういった問題があったか把握してますか?

bulkneets :平均的ネットユーザーの情報リテラシーやセキュリティ・プライバシーに対する理解度が低すぎて、脆弱性があったので修正しましたと説明するリスクが高すぎるからこうなってるんですよ。

yjochi :暇なら、ツイッター等で粘着の相手をしてあげてもよいのだが、そういう暇はない。

bulkneets :mixi足あと廃止に寄せて



その他気になったことはこのあたり。
kitagawa_takuji :パスワードを強化する7つのヒント - ITmedia エンタープライズ 「サイバー犯罪者が5文字の英数字のパスワードをハッキングするのには、現在のテクノロジーを使用すれば、1秒もかかりません。」<またハギーかと思ったがマカフィーか?


kitagawa_takuji :シリコンバレー精神:IT先駆者の文化革命/1 「自由な気風」発信 ◇ハッカー道場、集う若者- 毎日jp(毎日新聞) mainichi.jp/select/biz/new… via @mainichijpnews


y_bonten :むぅ、グーグルのパズルが面白いと聞いたからやってみたけど、第三者Cookieを無効にしてるとエンディングまでたどり着けない。高木さんか徳丸さんに密告したいレベル。thegooglepuzzle.com


ockeghem :手元のXperia Arcで確認するとペンギンの絵(ok)が表示された。何をチェックしているのかまだ調べていないのでなんとも言えないが興味深い調査 / スマホブラウザのSSL/TLS renegotiation対応の検証メモ htn.to/xFTXec


zusanzusan :暗号国際会議 CRYPTO 2011 のランプセッションにて AES の新しい攻撃手法が発表され、解読に成功したことが発表されました。ただし、あくまでも全数検索よりも少ない計算量で攻撃できるという話(理論的解読)であって、実際に攻撃できたわけではないので、注意が必要です。

haruyama :Biclique cryptanalysis of the full AES - Microsoft Research - http://icio.us/IVknE5 AES-128,192,256 が2^126.1,2^189.7,2^254.4 の試行で鍵が復元できるらしい.

テーマ : セキュリティ
ジャンル : コンピュータ

8月15~16日のtwitterセキュリティクラスタ

お盆休みもそろそろ終わってくれないとTLが寂しい限りですよ。

多かれ少なかれセプキャンは参加者に影響を与えているようですね。面白くなってきそうです。
mayahu32 :キャンパーでCTFチーム作っていつかsutegoma2超えます!! #spcamp

dec12_kaz :オンラインでやるCTFみたいなものを計画しています。夏休み中に大体創り上げて、夏の終わりか秋にでもセプキャン2011参加者、セプキャン卒業生、その他一般の人も混ぜてオンラインCTF大会やれたらいいなぁと思ってます。 #spcamp

sora_h :#spcamp CTFでの様子: ソフトウェアセキュリティ組=ヘンタイ, Webセキュリティ=イケメン, ネットワークセキュリティ=こわい, セキュアなOS=何をやっているのかわかりません><, 言語=?

sora_h :#spcamp @_kebo @sora_h @kaihua7 @yutaka_j08 @loutusu で @amachang LT にて発表した資料です. @_kebo の自己紹介は締切までに書いてもらえなかったのでかかれてません. http://j.mp/po2MqM

nash716 :ブログ書いた: #spcamp に行って来た


そして今日はキャンプの様子がNHKに放映されるようですね。来年は親を説得するのにこのビデオが何度も見られることになるのかもしれません。
kensukesan :今年のキャンプはNHKの取材が入った。早ければ17日、ニュースwatch9で放送されるらしい。子供の才能が理解できなかったり、アヤシいイベントに出たんじゃないかと疑っている親御さんに見てもらおう! #spcamp

i315 :EPG見たら書いてあってネットの方にはYahooしか載ってなかったけど ▽天才中学生も活躍!サイバー戦士養成塾 ってセプキャンっぽい http://bit.ly/qb9EZh #spcamp


そして朝日新聞にはDEFCONの記事がでっかく掲載されたようですね。新聞のバックナンバーって新聞社から買えるんでしたっけ。
connect24h :8/16の朝日新聞の1面と2面にdefconとanonymousの記事が。しかも、どっかの配信記事じゃなくて絶対に取材していないと書けない記事。藤えりかって人が書いたみたいだけど、朝日新聞にもこういう記事が載るんだなぁ。#spcamp

tessy_jp :@connect24h 8/16版にも載っていたんですか。藤さんは現在ロスにいて、DEFCONの時も取材とか受けてます。 #spcamp

tessy_jp :@connect24h 今日のコレですかね? http://bit.ly/qOys5Jデジタル版だと名前が出ないとは言っていたので確信持てず。 #spcamp

connect24h :微妙に違いますが同じ記事です。これより倍くらい長い。RT @tessy_jp: @connect24h 今日のコレですかね? http://bit.ly/qOys5J デジタル版だと名前が出ないとは言っていたので確信持てず。 #spcamp


先週うちも停電に遭ったので参考になります&被害がなくて本当によかったと改めて思ったり。
kim_upsilon :ふむふむ / [debian-users:55545] Re: 落雷とUPSについて


そういや今年はそんなに被害はなかったみたいですね。
ymzkei5 :■本日、午後3時より韓国から2chにサイバー攻撃の可能性!?:とすぺるッ!! to-spell.com/archives/41666…


その他気になったことはこのあたり。
kitagawa_takuji :【編集局から】「アノニマス」に見るネット社会の影響力 - 政治・社会 - ZAKZAK via @zakdesk


ockeghem :時間が空いてしまいましたが最終回です / ケータイWebの今後を安全に保つには(1/3) - @IT htn.to/Hy1vMv


PortSwigger :Burp Suite Pro v1.4.01 released - bugfixes, new macro parameter options, Java 7 compatibility


risa_ozaki :修正した脆弱性は13件それとも400件?: Googleの主張にAdobeが釈明 Flash PlayerのセキュリティアップデートにAdobeが記載したCVE番号(脆弱性識別番号)は13件。これに対してGoogleの研究者が… http://j.mp/oHwOeG


sen_u :Dropbox for Androidにセキュリティ制限をバイパスできる脆弱性 bit.ly/qqkmAE

テーマ : セキュリティ
ジャンル : コンピュータ

8月13~14日のtwitterセキュリティクラスタ

世間のお盆休みって日曜日までじゃなかったんですね…

セプキャン終了したみたいです。お疲れ様です。何か1つでも今後の自分にとって指針となるようなことが掴めればいいですね。
07c00 :セプキャン終わった。参加者の方々の「貪欲に技術を学び取ろうとする姿勢」には本当に頭が下がった。もしかして向上心の重要性を教わったのは、むしろ自分の方だったんじゃなかろうかw

kazh98 :#spcamp 「難しそうだな」「自分には無理だな」を「意外と分かるかも」「これは楽しい」に変えてくれたし、物事、見方を変えりゃそうなると教えてくれた。ただ、「あぁすりゃ良かった」「あそこはもっと踏み込めた」っていうモヤモヤもある。つまり、新たなやる事が出来た。明日もワクワクだ!


そして、こういう意見もあるようです。
pacsolution :今セプキャンで,明日卒業式を迎える学生さんに読んでもらいたく,久々にブログを書いた.長い文章だから,飽きるかもしれないけど,よんでほしい.2007年参加OBより http://bit.ly/mWJRkL #spcamp *YF*[MBP/Fun-4F]


そしてCTFは手加減なしだったみたいです。XSS果たして何問解けるんだろう…
hasegawayosuke :今年の誰も解けなかったXSS問題を公開。 #spcamp

hasegawayosuke :来年はもっと XSS 問題ばっかり増やしたい。200問中XSSが150問、みたいな。 #spcamp

ockeghem :とても興味があります。特に、徳丸本に書いてあるレベルの基本的な対策をしていれば防げるものなのか、バッドノウハウが必要なものなのか… RT @hasegawayosuke: 来年はもっと XSS 問題ばっかり増やしたい。200問中XSSが150問、みたいな。 #spcamp


特定の文字だけなんですね。おもしろいー。
xanda :RT @0x6D6172696F: Completely awesome JS comment breaker by @jackmasa: <script>/* 猪/alert(1)//*/</script> // working on Chrome/Chromium 15.0

kinugawamasato :おもしろいなー <script>/*大阪/alert(1)//*/</script> //chrome


Scanお金持ち-。うらやましいです。
sen_u :DEFCON CTF記事が人気。これは継続的に現地レポートすべきか。次はマレーシアあたりかな RT @ScanNetSecurity: アクセスランキング:2011年 第34週 http://lb.to/raam3H @ScanNetSecurity


どんどん話がそれていますが、Pマークってソニーの更新以来オワコンですなあ。
HiromitsuTakagi :こんなことになってた。「JIPDEC、「性風俗関連特殊営業」のPマーク申請を受け付けないと表明」 直感的には、納得しがたいのだが。

HiromitsuTakagi :ところでさっきのサイトpmarknews.info/archives/51689… 「本Blogで使用しているプライバシーマークは弊社が取得しているものです」とあるけど、そういうのアリなの? 何が適用範囲なの? 名刺にPマーク載せるくらいだから、ブログに載せるのもアリ?

HiromitsuTakagi :さっきのサイト糞だわ。次のエントリの内容がこれ。「お問い合わせフォームを簡単にSSL暗号化する方法」 こういう連中のせいでSSLの出鱈目運用が蔓延してるわけか。消えてほしい。


その他気になったことはこのあたり。
bulkneets :サードパーティCookieに依存したサービスを作ることの害悪、JavaScriptに長けたクライアントサイド技術者かつセキュリティとプライバシーに関心がないと具体的な代替案も含めた理解が出来ない。日本に5人ぐらいしかいないんじゃないか疑惑がある。


ockeghem :『全体の70%以上の企業は、最も安全性の低い転送ツール…FTP を広く利用』


haruyama :Security/おかしなフォーム - 春山征吾のWiki - http://wiki.livedoor.jp/haruyama_seigo/d/Security/%a4%aa%a4%ab%a4%b7%a4%ca%a5%d5%a5%a9%a1%bc%a5%e0


chinabsupport :中国の凄いハッキング「人肉捜索」の説明書 [高橋 学] bit.ly/p5uZN5


ockeghem :あるブログでGoogleドキュメントを利用と紹介されていたが、現在は利用していない。ほとんどの処理をJavaScriptで行い、最後に別サイトにJSONPで送信するというすさまじい実装 / Contact of Etangium, In…

テーマ : セキュリティ
ジャンル : コンピュータ

8月12日のtwitterセキュリティクラスタ

今日からお盆休みなんですね。

セプキャンも佳境を迎えているようです。若いっていいですね。
umisama :【平均的セプキャニスト】 ・RedBullは1日2本 ・好きなOSはGentoo ・好きなエディタはvim ・ブラウザはChrome ・でもOperaユーザは許せる ・twitterアイコンはカワイイ女の子 #spcamp

hasegawayosuke :今日の @amachang とコラボしての講義は、講師としては超楽しかったんだけど、学生はどーだったんだろう。話がマニアックすぎてつまんなかったかもしれないね。 #spcamp

amachang :あと、今日は @hasegawayosuke さんと漫談出来て楽しかった。開発者の立場から、脆弱でないウェブアプリを作ることの難しさについて、開発者が考えがちなことについて、脆弱性を指摘されたときの対応について話しました。 #spcamp

connect24h :大阪のアツイ夏はすでに始まっているようで。うらやましい。私は今日の夜から合流。Security and Programming Camp "UNOFFICIAL" blog http://owl.li/60iZn #spcamp


その他気になったことはこのあたり。
trendmicro_jp :[セキュリティブログ]【続報】韓国における大規模情報漏えい:被害はより広範囲か blog.trendmicro.co.jp/archives/4447


ScanNetSecurity :Windows DNSサーバの脆弱性を利用した攻撃について緊急情報を発表(JPRS) http://lb.to/mSnSXq @ScanNetSecurity


lac_security :サイバーセキュリティ研究所の伊東所長が、テレビ朝日系「ビートたけしのTVタックル」のサイバー攻撃の取材にコメントいたしました。8月15日(月) 終戦記念日21時の放映予定です。お楽しみに(^ま)tv-asahi.co.jp/tvtackle/


risa_ozaki :「TeaMp0isoN」がRIMブログをハッキング: 英国で暴動が続いており、コミュニティは略奪と暴動の4夜目を迎えようとしている。「拡散する市民暴動」は数日にわたって広がっており、伝えられる… http://bit.ly/o2sEXc via @FSECUREBLOG


routardz :Defcon 19 CTF Bunny write-up:


routardz :Defcon 19 CTF Castle write-up:


kitagawa_takuji :<1万3000件の顧客情報流出=アフラック、代理店が不正売却> http://nico.ms/nw99797 #niconews

テーマ : セキュリティ
ジャンル : コンピュータ

8月11日のtwitterセキュリティクラスタ

相変わらず暑くてぐったりのうえに、世間はお盆だというのに仕事が終わりそうにありません。

まあ予選とはルールも違いますし、これからは本選用の対策も必要になってくるのでしょうね。
hasegawayosuke :まだまだ世界の壁は厚かったってことでしょうかね。Sutegoma2、DEFCON CTF は最下位で確定…。 ddtek.biz


キャンプ中のツイートはできないようですが、合間のつぶやきだけでもちょっとうらやましくなりますね。
tomoki0sanaki :今日の午後からは @amachang といっしょにJavaScript/XSSの講義。ずっと前から amachang といっしょに講義できたらおもしろそうと思ってたので、超楽しみ! #spcamp


昨日のMSアップデートでいろいろ修正されているようですね。
kinugawamasato :10日のWindows Updateでこのあたりの EUC-JPの不正なバイト列挿入でXSSできる問題が直っている気がする

kinugawamasato :10日のWindows Updateで、IE6-8で文書の頭に特定の文字列があると例えレスポンスヘッダでcharsetを指定していてもUTF-7と解釈されてしまう問題が解消されたかにみえたけど文字コードを右クリックから適当に変えるとUTF-7が選ばれる現象があり完全とは言えない


BT5R1がBlackHatで配られていたみたいですが、見た目はあまり変わりないようです。まだダウンロードはできないのでしょうか。リンクが見つからないだけかもしれませんが。
backtracklinux :BlackHat, Defcon, BackTrack 5 R1 Release, Commercial Services, Official Support, ISO generation Engine...the lot! http://bit.ly/nf8vVy

kikuzou :画像貼り忘れ BT5 R1 http://twitpic.com/64b0ac


officeさんについてのお話。あれ以来日本は脆弱性の報告に対して臆病になっていった気がします。
s_hskz :たったいま「小泉内閣メールマガジン+首相官邸Webサイトの制作運営費は年間7億円超」の件でofficeさんから教えていただいたアレゲなヒソヒソについての思い出話をツイートしたらログイン画面になってしまった。

s_hskz :「サーバの深いところが閲覧可能になっていた」とか「お金かけている割に」とかツイートしただけなんだけどな。

s_hskz :おかしい、イコールもノットも使わなかったはずなのに。 なんじゃこれ?

s_hskz :「サーバの深いところが閲覧可能になっていた」ことをきちんと報告連絡したり、まだ直さないの?北朝鮮に見られたらどうすんの?とかご注進を差し上げていたらしい、officeさんは。一般にはXSSばなししか流布してないけど。

s_hskz :首相官邸のサーバの脆弱性がその後どうなったのか私はちっとも知らない。知る立場にないしそっちの方面の能力ゼロなんで確認をしようとも思わない。officeさんが活動休止したのでこのオハナシは私個人には迷宮入りなんだよね。ただ当時思ったのは、時間かかりすぎだろ金かけてる割に…

s_hskz :まーでも、このへんがキッカケで、「あいつ嫌い」とか当局に思われていたりしてたのだとしたら、なんて理不尽なとか思うのだ。嫌いと思われただけで逮捕の確率がぐっと上がるのって、すんげー国家だよ。 東電OL殺人事件わざっと誤認逮捕冤罪公判とかにも似ていて・・・吐きそうだ。


その他気になったことはこのあたり。
ikepyon :Webアプリの検査ツールの比較らしい。後で読む http://sectooladdict.blogspot.com


tomoki0sanaki :同意です。ペンテストできる人って実は多いような気がしますが、そういう人ってIT系の他分野でも引っ張りダコですよねぇ~。うちの社でも部長が「欲しい」って言ったら、他の部長に「うちの部もそういう優秀な技術者欲しい」って言われ、社内での技術者争奪戦に敗れた模様です。


_defcon_ :RT @xtat: Excellent write-up of the @_defcon_ badge/mystery challenge by our team 1o57.wikispaces.com @1o57 #fb


ntsuji :恐縮です。。。 RT 原宿.jpの◯◯男子シリーズ最新記事。イケメン!『セキュリティ男子は信念とともに歩む』 hara19.jp/archives/8194

テーマ : セキュリティ
ジャンル : コンピュータ

8月10日のtwitterセキュリティクラスタ

ずっとクーラーの中にいるのであまり気づいてませんが、今日も酷暑だそうです。水分とかちゃんと摂らなきゃいけませんね。

あんまりTLを追えてないうちに昨日からセプキャンが始まっていたようです。今日からいよいよ専門分野の講習ですか。皆さんがんばってください。
takesako :さて、全体共通講義は初日で終了です。2日目からはクラス別講習が始まります。次の日の講習の準備ができたのでもう寝ます。まだ起きている人がいたら今日のところは早く寝てください。明日からが本番です。おやすみなさいー #spcamp

amachang :Vim Emacs 論争が起きている、この時点で僕の今日の交流企画は大成功だったと言えよう。 #spcamp

hyoshiok :#spcamp programing language class Nishio san twitpic.com/643xle


hasegawayosuke :おはようございます!朝食の時も名札忘れないように気をつけて! #spcamp


ちょっとだけDEFCON関連。結局チームSUTEGOMA2は何位だったのでしょうか。
nao_pcap :yebo blog: DEFCONで、CDMAや4Gが破られた??? http://yebo-blog.blogspot.com/2011/08/defconcdma4g.html?m=1

sen_u :DEFCON CTF 2日目の最後のスコア。撮影後数秒でプロジェクターがオフになったので本当の最後の最後。 http://twitpic.com/63woug


tessy_jp :日本暑いよ。ラスベガス涼しかったなー



その他気になったことはこのあたり。
piyokango :MS11-057についてIPAから注意喚起が出ていますね。報告者 SPN塩月さんです。/「Windows」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://bit.ly/pJ4NG3


moongift :Anonymousのハッカーがシリア防衛省のWebサイトをハッキングしたという記事。おお、なんかこのAnonymousのシンボルマークがかっこうよく見えてしまう。 RT Anonymous Hackers Take Down Syri... http://is.gd/7TfIve


gohsuket :アノニマスがOpFacebookアナウンスの間にAnon+がシリアから攻撃される RT @cybertheorist Anonymous hacked while announcing operation to ‘kill’ Facebook http://j.mp/ogA9Ss


risa_ozaki :ハッカー集団Anonymous、Facebook攻撃を予告


bakera :[メモ] secureフラグとか混在とかの話。 http://japan.internet.com/webtech/20110810/1.html


ockeghem :情報漏洩事件の度に、ビックカメラの時も、PSNの時も被害者でなくて、セキュリティ専門家として被害を体験できず忸怩たる思いをしておりましたが、シティカードはAmazonカードの関係で2009年6月まで会員でした。メールアドレスはAmazonと共通だけど、spamとか来るかなぁ~


kKimitomo :スポーツ施設の指定管理者、約1万名の個人情報を記録したPCが盗難被害(テルウェル東日本) http://lb.to/r3lbju


ockeghem :よく訓練された脆弱性診断員は、拡張子が.phpのサイトだと「さぁ仕事仕事」と張り切り、拡張子が.aspxのサイトだと(また何も出ないのではないかと)げんなりする


ockeghem :まさか、メイントラックの最終講演とは…これは、徳丸をPHPにしっかりコミットさせようというPHP界隈の陰謀に違いないw #phpcon2011

テーマ : セキュリティ
ジャンル : コンピュータ

8月9日のtwitterセキュリティクラスタ

急にクソ暑くなりましたね。涼しいと心配ですが、暑いとイライラしますね。とりあえず冷房にこもらないと。

今日はMSアップデートの日です。噂によるとパッチを当てるのに時間がかかるとのことですので、夏休み前に死亡とか、夏休み後に死亡とかいろいろありそうですね。
JSECTEAM :2011 年 8 月のセキュリティ情報を公開しました。詳しくは 2011 年 8 月のセキュリティ情報をご覧ください。http://bit.ly/o7dYg4 #JSECTEAM/

hackinthebox :Microsoft Patch Tuesday fixes 22 vulnerabilities - http://news.hitb.org/content/microsoft-patch-tuesday-fixes-22-vulnerabilities

piyokango :セキュリティクラスタを見ると毎月このMSアップデートがあるたびに楽しそうにされている方を複数見かけますよ。そのモチベーションを分析すればパッチ未適用が減るのかもしれませんね。

kaito834 :MS11-057(IE)では、CVE 7 件の脆弱性を修正している。7件のうち、2件が公開された脆弱性とのこと。CVE-2011-1962 と CVE-2011-2383。CVE-2011-2383 は cookiejacking への対策となる模様。

kaito834 :MS11-059(Data Access Components)では、DLL Hijacking の問題を修正している。影響を受けるバージョンは Windows 7, Windows Server 2008 R2。

kaito834 :ありゃ、http://www.microsoft.com/japan/technet/security/bulletin/ms11-aug.mspx の概要で、MS11-060 の見出しが間違っている。

kaito834 :MS11-061(RD Webアクセス)では、リモートデスクトップ Web アクセスの XSS を修正している。reflected XSS が折り返し型 XSS と訳されているのか。

kaito834 :2011年8月のMS定例パッチでは、公開済みの脆弱性はMS11-057の2件だけみたい。

kaito834 :MS11-058(DNS)関連。http://blogs.technet.com/b/srd/archive/2011/08/09/vulnerabilities-in-dns-server-could-allow-remote-code-execution.aspx


他にChromeもアップデートがあるみたいですね。
kaito834 :Google Chrome のアップデート情報(http://bit.ly/qqDoB8)から Adobe Flash Player のアップデートがあるのが確からしいけど、http://www.adobe.com/support/security/ にアドバイザリが見当たらない


そして、終わってしまったDEFCON19の続報。行ったわけではないですが、DEFCONが終わると夏の終わりを感じますね。これからセプキャンもあるのでしょうけど。
ScanNetSecurity :DEFCON CTF 最終日 -- DEFCON CTF 現地速報 その3 http://lb.to/nyydZA @ScanNetSecurity

sutegoma2 :Thanks!! #DEFCON #CTF S2 members back to Japan. Will revenge at next time. :)

piyokango :昨日開催されたDefCon19のプレゼン資料がDLできるそうですよ。 Presentations from the Defcon Conference for Download ~ THN : The Hacker News

eagle0wl :超あるある RT: @tessy_jp: 今回は@ucqの仕業かw http://twitpic.com/63c1tz


kitagawa_takuji :「巧みな話術」こそハッカーのツール、デフコン 国際ニュース : AFPBB News via @afpbbcom


就職したいー、けど、ペンテスターではないですから。でもたぶんWeb健康診断くらいならできると思います>< それはともかく、S0nyがセキュリティ人材需要の拡大に貢献しているようですね。すばらしいことです。
sen_u :Pentesterの需要ありすぎ。各所から人いない?的なお話が。 転職希望の人がいたらご相談を。w

bugbird :@sen_u S○NY グループの件で、オープンな Web サイトを運用しているところは、どこも慌てているのでしょうね。悪い事じゃないけど、本質的には 徳丸 さん(a.k.a. @ockeghem )のアプローチで対応してもらいたいものです。

sen_u :@bugbird かなりその影響はあるみたいですね。

bugbird :@sen_u とはいえ、所詮「対処療法」でしかないので<ペネトレーションテストに基づく対応 根本的な見直しが必要なんですよねぇ。。。

sen_u :@bugbird 会社や業界ルールでペンテストが必要ってのを書いちゃったってのもあるんでしょうな。w

ockeghem :@bugbird @sen_u うちには検査の相談はそれほどは来ませんね。宣伝していないからか、「今忙しい」とつぶやいているからか…本質的な対策は、中長期的な話ですからね。教育やガイドラインのお話はぽちぽち頂いています。よいことだと思います。


メールアドレスを'or'1'='1'--にするとWAFが困るみたいですよ、奥さん。
ockeghem :個人の公式(?)メールアドレスを'or'1'='1'-- [at] tokumaru.org にすることを検討中。--は#にするかも。メールアドレス収集ロボット対策という点でも良さそうです

kinyuka :@ockeghem 本当にやめてください

ockeghem :あれ、だめですか? WAF的に? @kinyuka: 本当にやめてください

kinyuka :@ockeghem ダメ絶対WAF的にw

ockeghem :@kinyuka だめかぁw



その他気になったことはこのあたり。
tdaitoku :これはフォレンジックは儲かりませんでした宣言かw http://bit.ly/pXwbGa

swim_taiyaki :ギブアップっすかねぇ。 QT @tdaitoku: これはフォレンジックは儲かりませんでした宣言かw http://bit.ly/pXwbGa


sen_u :サイバーエージェントがセキュリティなインターンを募集中。 http://www.cyberagent.co.jp/recruit/fresh/internship/technology.html#security


piyokango :はやっ/iOS 5 beta 5 gets a jailbreak via @TUAW


F0ro :掲げている目標には賛同。特にフォレンジック専門家のための倫理基準や行動規範の必要性については私も同感です。 /The Consortium of Digital Forensic Specialists (CDFS)


bulkneets :昨日報告したgreplin.comのXSSが直った


piyokango :韓国のセキュリティSW製作に北朝鮮ハッカー関与か 業界関係者が実態明かす http://bit.ly/pGQhuT


office_acer :Togetter - 「「そこそこセキュリティ」の名称を考える」 togetter.com/li/76649 これを見て思いついたのは「必要十分セキュリティ」。


kitagawa_takuji :「中国も被害国」政府機関へのハッカー攻撃急増 : 国際 : YOMIURI ONLINE(読売新聞) via @yomiuri_online

テーマ : セキュリティ
ジャンル : コンピュータ

8月7~8日のtwitterセキュリティクラスタ

世間は夏休みに入りつつあるようですが、とっても忙しくて泣けてきます。

とりあえずDEFCON19での日本人ツイートまとめ。捕捉してないものは誰か追加してくださいな。


行けなかったDEFCON19の落ち穂拾いです。どうやら朝日新聞の紙面にも掲載されているようですね。
asahi_kokusai :米ラスベガスで開かれた世界最大のハッカーの祭典「デフコン」の一環として、ネット上の攻撃や防御技術の優劣を争う競技で、日本チームが初めて予選を突破、本選に出ました。世界最高峰で、堂々の成果です。http://t.asahi.com/3i1e@tessy_jp @sutegoma2

asahi_kokusai :米ラスベガスで世界最大のハッカーの祭典「デフコン」が4日から開かれ、1万人以上が参加しました。今回は8~16歳向けのデフコンキッズも初開催。増えるサイバー攻撃で10代の逮捕者も出る中、IT技術のよい使い方を早く教えようという試みです。http://t.asahi.com/3hxx

kitagawa_takuji :CNN.co.jp:ハッカー修行は8歳から 米デフコンが子ども向けハッカー教室 via @cnn_co_jp

piyokango :何となく書いてみました。/BlackHat2011、DEFCON19の記事をまとめてみた。 http://bit.ly/nVnkT1

gohsuket :Defconと具体名無しで「世界大会」とか意味不明爆笑ヘッドライン。RT @kitagawa_takuji 「アノニマス」対「反アノニマス」、ハッカー同士が世界大会で大激論 国際ニュース : AFPBB News via @afpbbcom

MasafumiNegishi :こんなおもしろいことがあったのか、見たかったな。でもBacktraceって元Anonymousじゃんw -「アノニマス」対「反アノニマス」、ハッカー同士が世界大会で大激論 国際ニュース : AFPBB News via @afpbbcom


そして、最終日の写真集。
ntsuji :Defconのエラい人、ジェフ・モスと記念撮影しましたよ。 http://lockerz.com/s/127690872


thomasbecard :Un drone qui peut pirater les reseaux wifi et meme intercepter appels telephoniques et SMS. Cool, non? #defcon twitpic.com/62ol3t


sen_u :衝撃、いや笑撃の展開。知り合いがモヒカンになってた!!! http://twitpic.com/62ogw9


carsteneiram :http://yfrog.com/ki74bmgj @carsteneiram and @alexhutton pimping at speaker party #defcon #vulnpanelalumni


1ucypher :Sabu vs Jester? Lmao! #defcon #antisec http://twitpic.com/62d8hv


lordnynex :Working behind the scenes at hacker jeopardy. #defcon http://instagr.am/p/JlLBf/


tottenkoph :RT @jaysonstreet Well @tottenkoph here is the most EPIC hug from the #DEFCON #hugpocolypse with Barkode twitpic.com/62nr60 <~ so awesome!


Duush :The last track of #defcon yfrog.com/khfpyqgj



この夏、Pixivがいろいろ揉めたりセキュリティがアレだったり大変なようですね。
piyokango :PixivのシステムによるユーザID漏洩とパスロックの未実装とadminツールについて togetter.com/li/171884

kalab1998 :ガジェット通信: イラストサイト『pixiv』でIDハッキング事件発生か!? http://getnews.jp/archives/47412via @getnewsfeed

piyokango :この絵が分かりやすかったでござる。http://twitpic.com/62p9kc/full


そして、GreplinというサービスにもXSSがあるそうです。
bulkneets :プロテクテッドのセキュリティリサーチャーが例によってテッククランチが紹介していて馬鹿な連中が「便利、超便利」とかいっててベンチャーキャピタルが投資しまくり個人情報預かりまくりなのに画面の最初に出てくるフォームで典型的なXSS出来るの見つけていて超非公式RTしたい気分になっている

bulkneets :これ http://bit.ly/oYqMKEGreplinのことですよ http://bit.ly/qPOEsG<

bulkneets :Greplin Firefoxでログイン画面でメールアドレスに " onfocus="prompt(1) っていれてenter。手のこんだことをしないと悪用できない。

bulkneets :以前指摘されてたのだけどちゃんと直ってなくて、大丈夫なサービスかどうか確証が持てないし俺は使う予定がない(無責任にすすめるライフハック系メディアのなんと多いことか!!) http://bit.ly/qnOEaP


その他気になったことはこのあたり。
hebikuzure :ブログ書いた「第17回 まっちゃ445勉強会に行ってきたよ」 #hq445 #matcha445


haruyama :カード決済サービス Square でスキミング実現デモ - http://icio.us/7UD0hX


ockeghem :日記書いた / phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証 - ockeghem(徳丸浩)の日記 http://htn.to/d5TN1K


typex20 :@a4lg レインボーテーブルのアルゴリズムを調べたらスゴイアイデアですね。saltつきパスワードでは効果が弱くなるらしいですが、Windowsのパスワードは強度が低いんですかね。

a4lg :@typex20 Ophcrack が対象とする LM ハッシュは特別弱いアルゴリズムですし、現在の Windows が使ってる NTLM ハッシュ (中身は MD4) も salt ナシなのです…。

a4lg :oO( おっと、今の Ophcrack は NTLM もサポートしてたのか。レインボーテーブルのアルゴリズム的に、NTLM ハッシュのみにしてパスワードを大幅に長くすれば対抗はできるけど。 )

a4lg :oO( LM ハッシュは総当りしてもそれほど時間のかかるアルゴリズムではありませんし、流石にマズいと思われたのか Vista 以降の OS ではデフォルト無効になってたりします。 )


piyokango :標的型メール攻撃なのでしょうか。/国交省四国地方整備局のPCがウイルス感染、個人情報886名分流出のおそれ http://bit.ly/r7pbYV


piyokango :最初はやはりメールからなのですね。 /Shady RAT、その真相 http://bit.ly/pfquzS

テーマ : セキュリティ
ジャンル : コンピュータ

twitterで流れてたdefcon写真を集めてみました。

DEFCON行けなくて寂しいので、タイムラインに流れていた写真を見ています。楽しそうですね。

dcg207 :Our mascot, Lulz the lobster. #defcon @CrashAndCompile


_alicia :@dguido has the new top score in the speed category for the EFF shooting contest at #Defcon


securityninja :I like the #defcon #skytalks speaker badge:


haxorthematrix :Only at #defcon, bacon flavored pudding in a boot.


djcapelis :A #defcon moment: @geo_s_ relocating a handful of his own hair in the beard contest directly from the MohawkCon booth:


natashenka :More badge bling :) #defcon


paco_ :Aqui terminan los passwds, cuiden desde donde hacen login :> #defcon


melizeche :Wifi challenge at #defcon


fuzzy_l0gic :#DEFCON goatse pizza #gringowarrior

続きを読む

テーマ : セキュリティ
ジャンル : コンピュータ

8月5日のtwitterセキュリティクラスタ

トラックバックテーマ 第1251回「タッチパネル派?ボタン派?」

最近はiPhoneなのでタッチパネル派ですね。実家に帰って親の携帯を触ったときも画面さわりまくりでもう戻れない気がしました。
---------------

さて、DEFCONがはじまったようです。ラスベガスうらやましいですね。今年はsutegoma2がCTFに参加しているからか、いつもより日本人が多い気がしますがどうなんでしょう。

sen_u :Sutegoma2取材され中。NHK。 http://instagr.am/p/Jaxwn/


sonodam :DEFCONともなるとメディア多いなあ。NHKの人が居たのはちょっと驚きでしたが。アメリカのメディアもけっこう来てる。

sen_u :台湾で知り合った Anthony Laiのターン。 @ Defcon 19 http://instagr.am/p/Jahxn/


tessy_jp :CTF遅れてる。面白ビデオで、まったり中

sonodam :デフコンCTFって予定通り始まらないのた通例らしいけど、今年は12時前に始まってるからマシな方かな。まだネットは繋がってないっぽいけど。

gohsuket :CTFいよいよ開始とJeffも RT @thedarktangent #DEFCON CTF is about to kick off, my Tamper Evident Contest starts about now, all teams get ready.

sonodam :defconのCTF会場にKARAが流れてるw。

sonodam :v6とか主催者側のインフラトラブルとか、いろいろ障害あってなかなか本格的に競技できないとか。企画は良いけど完成度はイマイチ的なカルチャーにヤラレてるっぽいなw>CTF

ntsuji :コンテスト会場でござる! http://lockerz.com/s/126932968


sen_u :写真でお届けする DEFCON 19(1日目) http://bit.ly/oUnZVK

knsmr :あの目grepの人もDEFCON CTFに / 「組織力」でハッキングコンテストに挑む日本人チーム - @IT http://bit.ly/prZxxB


その他気になったことはこのあたり。
kitagawa_takuji :RT:猛威を振るう「国家ハッカー」―マカフィーが恐ろしい実態を報告 via @jptechcrunch


gohsuket :LulzがTopiary支援の動きRT @ LulzPirate: I'm ready for #OPERATIONPAPERSTORM !!!! If your not go to this link for your goodies!


kitagawa_takuji :RT:Pastebinの現存ペースト数が800万を超えた?ますますハッカー様ご愛用サービスに via @jptechcrunch


piyokango :何となく書いてみました。 /iPhoneのパスコードロックのUIについて調べてみた。 http://bit.ly/pTP3ES


ockeghem :ID管理は企業でも難しいんだよね。ID管理のために毎月(1回あるいは何回か)徹夜している企業をいくつか知っている。徹夜しない企業の多くは、タイムリーな管理をあきらめている。企業の場合難しいのは、システム間の連携がないからだけど


sophosjpmktg :WordPressのユーティリティに脆弱性、ブログがハッキングされる恐れ - ITmedia エンタープライズ


kitagawa_takuji :レコードチャイナ:中国軍の“ネット戦争”、毛沢東の戦術応用=対ハッカー訓練も―... 「中国人民解放軍の多くの兵士が、対ハッカー攻撃を想定した専門訓練を受けている」

テーマ : セキュリティ
ジャンル : コンピュータ

8月4日のtwitterセキュリティクラスタ

つぶあんこしあんかと聞かれると基本的につぶあん派の山本です。
おはぎとか食べたいですね。腹減った。
と、気になったのでお題に答えてみたりします。

DEFCON/BlackHatがらみでNHKの取材があったようです。チームsutegoma2の人たちも怪しく映っていましたね。
hasegawayosuke :ラスベガスで開催されているDEFCON CTF参加中のチームsutegoma2、本日21時からのNHKでインタビューが放映されるかも。だそうです。sutegoma2 にはセプキャン講師や卒業生も多数(?)参加! #spcamp

lumin :今日9時からのNHKのニュースにネットエージェント社員の二名が出ます。 内容はDEFCONのCTFについて。オファーを受けて急遽ライトやカメラの用意をしてもらいました。明日以降の取材の依頼はネットエージェントか携帯に電話下さい。

tessy_jp :サイバー攻撃きたー

hasegawayosuke :NHK見た。 @tessy_jp がかっこよすぎて惚れた。

tomoki0sanaki :初めて本名知った!


そして今日からいよいよDEFCONですか。いいですなあ。
infosecmedia :Defcon 18: How To Hack Millions Of Routers 1/3 - http://infosecmedia.org/Zq

ntsuji :噴水ショーが花火みたいですよ。 http://lockerz.com/s/126371425


DEFCON前にBlackHatに参加されている人たちもいるようです。こちらもうらやましいですね。
gohsuket :今年のBlackHat USAで発表のPwnie賞一覧 RT @PwnieAwards Congratulations to the winners of Pwnie Awards 2011:

sen_u :MOST EPIC FAILには、5つのノミネート枠全てがSONY。w

sen_u :PWNIE FOR "LAMEST" VENDER RESPONSE に RSA SecuID token compromise が。w blackhat

yumano :Androidの脆弱性と修正とベンダーリリースの相関図見てる。脆弱性のノーガードな期間が結構存在する・・・

yumano :ベンダーによって、対応期間に差がでる。8~12週間でパッチあてるとこもあれば、サムソンとか3~47週間放置するとこもあるとか。面白いのが、ベンダーによって、ユーザーがOSのバージョンアップまでの期間に差があるところ。これはベンダーのせいか、ユーザーの意識か微妙に判断がわかれるな。

yumano :結論、Androidにはセキュリティの追加が必須。グラフになるといかに脆弱かわかるプレゼンだった。



その他気になったことはこのあたり。
hasegawayosuke :攻撃を防御するテクノロジーを開発したら、$200,000もらえる。 "Microsoft Fuels Security Innovation With New Twist on Security Research Rewards"

hasegawayosuke :$200,000て、小遣いってレベルの額じゃないな…。本気すぎる。


piyokango :先日のNate、Cyworldとは無関係? /中国のハッカー 百万人以上の韓国人の個人情報盗む http://bit.ly/ogRADC


ockeghem :徳丸本の443ページにはHTTPSのことが書いてありますが、80ページにHTTPのことが書いてある訳ではありません


yujikosuga :Cross-Site Scripting Papers goo.gl/75OFl


ockeghem :抜き取り検査ですが、診断項目は12項目と比較的リッチです / 「グローバルWeb健康診断」を提供開始 ~海外を含めたグループ企業全体で統一した基準の診断を実施~|KCCS http://htn.to/jFA5qb


eXSSpresso :XSS on microsoft.com #xss #microsoft @Microsoft @Windows


ProjectHoneynet :Forensic Challenge 9 - "Mobile Malware": I am pleased to announce the next forensic challenge: Forensic Challeng... http://bit.ly/pZnOHd

テーマ : セキュリティ
ジャンル : コンピュータ

8月1~3日のtwitterセキュリティクラスタ

夏休みをいただいていた… わけではありませんが、出張していたので更新できてませんでした。今日は休みの間の目に付いたことを拾って、明日から通常運航しようと思います。

僕が大阪に行ってるうちに、皆さんはラスベガスの方に向かわれているようで、道中や現地からのツイートが続々入ってきます。もうすぐDEFCONですね。ということはBlackHatは始まってるんですね。

sen_u :サンフランシスコに到着!トランジット時間が短い!隣の人はクレイジーな乗り換えだなって騒いでた。

lumin :明日からDEFCON19 に参戦します。リスクを考えて3組に分かれて別々の飛行機で移動です。 CTF組 PacketKilling組がいます。 カンファレンスはほとんど参加できませんが。

07c00 :俺は、ラスベガスからでも、遠慮せずにニコ動を見るぜ!!

tessy_jp :バタバタと出国して登場へ。行ってきまーす!
tessy_jp :登場してどうするww 搭乗

ntsuji :ベガスなう。ホテルに向かって移動していますよ。 http://lockerz.com/s/126306594

yumano :ピッキングツールがジャックナイフ式のしか売ってなかった。実用的でないので没。お土産にはいいかもね。

ScanNetSecurity :DEFCON CTF 予選2位通過のチーム sutegoma2 へ優勝の期待高まる http://lb.to/p5eVfl @ScanNetSecurity

gohsuket :アノニマスのポスターがラスベガスにも出現 RT @ AnonymousIRC Spotted in Las Vegas by our sister in arms Mercedes: http://i.imgur.com/Sl6zm.jpg
| #AntiSec

eagle0wl :Defcon会場近くでは日常光景なんだろうな。いや半分マジメな話で。 ハッカーがドイツのショッピングセンターのTVにポルノ映像を流す http://nakasoku.blog18.fc2.com/blog-entry-2294.html


その他気になったことはこのあたり。
risa_ozaki :IPA (独立行政法人 情報処理推進機構) による、「コンピュータウイルス・不正アクセスの届出状況 【2011年7月分】」がリリースされました。今月の呼びかけは「 スマートフォンを安全に使おう!」です。 http://j.mp/onG7VS via @jssec_org:


ockeghem :『ブラウザによっては、自己署名した証明書でも警告なく表示する』<これが本当なら日本ベリサインの証明書でも安全でないことになりますがいいのですか? / 【レポート】「SSLだから安心」は間違い - セキュリティセミナー 大塚氏 | エンタ… http://htn.to/qoMqLJ


otsune :「DNSの逆引きPTRレコードをkantei.go.jpに勝手に設定したうえで、2chに負荷与えてログを取り上げさせる→PARNOIDチェックしないで勝手逆引きに釣られて騒ぐ人が出てくるのを狙う」という前世紀から有る苔生した手口だけど、現代でも効果があるんだよな。


piyokango :昼過ぎからさっきまで落ちていたんですね。今のところ公開されたDoSツールが使われたという見方の模様。 /2chの主要サーバーが壊滅状態に - hogehoge速報
piyokango :ツールの名前は「ラクラク攻撃君」・・・。


tamiyata :これは気になる。/[スクープ]日本全国の銀行ネットバンクで不正アクセスが相次ぐ - ニュース:ITpro http://ow.ly/5TOXZ


risa_ozaki :フェイスブック、セキュリティバグ発見者に報奨金: 1件につき500ドル以上を支払うプログラムがスタート http://j.mp/qPZjdI


tdaitoku :HTML5に50件のセキュリティ問題、欧州機関が修正を勧告 http://www.itmedia.co.jp/enterprise/articles/1108/02/news054.html


MasafumiNegishi :Newsの電話盗聴事件に関与したとされる71才の人物が逮捕。 Police arrest key figure in News Corp hacking probe | Reuters reut.rs/rellQc via @reuters


connect24h :日経ITProに記事書きました。昨日公開時点で二位。感謝。大災害に備える、これからの事業継続 - セキュリティ、ここが不安:ITpro http://owl.li/5T5c2


ntsuji :【申込受付中】デジタル・フォレンジック製品&トレーニング概要説明会 - http://bit.ly/phARHF


テーマ : セキュリティ
ジャンル : コンピュータ

7月29~31日のtwitterセキュリティクラスタ

明日の朝まで大阪にいます。涼しい東京に比べるとずいぶん夏らしいですね。更新する気はなかったのですが、溜まってきたので吐き出しますよ。

セッション変数にPHPコードを挿入するという脆弱性はあまり見かけないのでちょっとワクワクするのはわかる気がします。
ockeghem :興味深い。時間をみつけて検証したい / phpMyAdminにて任意のコードを実行可能な脆弱性(CVE-2011-2505, CVE-2011-2506)に関する検証レポート http://htn.to/jzqBpH

ockeghem :ああ、いかん。phpMyAdminが僕を呼んでいる。とても強く・・・


JoomlaのXSSです。早めにバージョンアップしましょう。
ayate :#Joomla! 1.7.0-RC and lower | #XSS Vulnerabilities


大阪と東京の間、名古屋で行われた勉強会は面白かったみたいです。
wasaist :「第1回名古屋情報セキュリティ勉強会 #nagoyasec」をトゥギャりました。 http://togetter.com/li/168347


tss_ontap_o :昨日のセキュリティ勉強会でわかったこと。皆、ほとんどのセキュリティ対策は欺瞞あるいは茶番であることがわかっていて、そこから抜け出せないということ。そもそもインターノットが何であるかを客に説明する事ができない(説明するとまずい?)らしい。#nagoyasec


prof_morii :お疲れさまでした。stuxnet関係の話題は奥深く、malwareを研究しているものにとっては興味深いものです。広く知られてますがyoutube(元はHUNGRY BEAST)で衝撃的に取り上げた動画があります。 http://bit.ly/qDKqw8#nagoyasec


Vipper_The_NEET :Google+に登録した状態でAndroidの連絡帳をアカウントと同期させると,サークルに入れている人が登録したらしい電話番号を吸い上げていたっぽい。


a4lg :現在の Android 昇格脆弱性は次のものに分類できるかな。 (1) カーネル脆弱性 (2) root で動くデーモンの脆弱性 (3) root から権限を放棄するはずのデーモンの脆弱性


piyokango :ハッキングの仕方教えてください。 : 痛い信者(ノ∀`)


hasegawayosuke :書いた。「私はいかにして様々なブラウザの脆弱性を発見したか」


sen_u :Windows自動ハッキングツール winAUTOPWN http://bit.ly/qCmEES


bulkneets :jquery mobileのXSSについて少し追記した http://bit.ly/ojSe8V


8zz :TechCrunch: 肥大を続けるマルウェアネットワークの大きさと形状を視覚化 http://dlvr.it/d2Dwn


lupinkouyama :クロス・サイトスクリプティングとSQLインジェクションは二大人気攻撃手法(笑)@ネット通販セキュリティ対策セミナー。


ikb :JVN#43105011: Android における SSL 証明書の表示に関する脆弱性 jvn.jp/jp/JVN43105011/ -- 有名どころのサイトの画像なんかをひっぱってきておけば、悪意あるサイトの https 証明書が有名なほうのに変わるってことか。ひどいな。


kaito834 :「Inside Android Security」http://www.fourteenforty.jp/research/research_papers/inside-android-security.pptx

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2011
SUN MON TUE WED THU FRI SAT
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 - - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。