スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月29日のtwitterセキュリティクラスタ

もう11月も終わりですが、いろいろ終わってないのでこれでいいのか感が満載です…

JSONやJSONPやサードパーティCookieにスクリプトが絡んでくると攻撃方法からして訳がわからなくなります。勉強しないと。
kazuho :XSS 絡みはどんどん複雑になっててもうどうしようもない印象

hasegawayosuke :XSS絡みっていうか、same origin policy とかの周辺が破綻してる感じ。

ockeghem :JSONハイジャックはブラウザ側で対処して欲しいけど、現実的にはアプリで対策(自衛)しないとしょうがないですね。BKだとは思うけど

hasegawayosuke :@ockeghem Webアプリ側で自衛できるとしても、「それはブラウザ側の問題だ」と声を上げていってほしいですね。

ockeghem :御意。ただし、ブラウザ側の問題とする理論武装を強化しないと… RT @hasegawayosuke: @ockeghem Webアプリ側で自衛できるとしても、「それはブラウザ側の問題だ」と声を上げていってほしいですね。

hasegawayosuke :本来、ブラウザ側が対策すべき問題なのに、Webアプリ側が無理やり対策してて、その方法がブログ等で広まって定着してしまうと、ブラウザ側の問題と捉えられなくなって修正されない。という流れがないわけではないので

bulkneets :サードパーティCookieの送信オフで大体のsame origin policyに関する脆弱性塞がると思いますよ

hasegawayosuke :「サードパーティCookieの送信をオフにしたおかげで、人生がばら色になりました」 大阪府 会社員(30代)


今度はちょっと忘れかけていたセカイカメラがUDIDを使わないようにアップデートされたようです。何に使ってたんでしょうね。
HiromitsuTakagi :「iPhone 4Sに対応!セカイカメラ for iPhone v2.11.3をリリースしました」 「iPad版、iPhone版共にUDIDを取得しないよう改訂したことに伴い、端末識別情報とその利用目的についての記述を削除しました」

_heartyfluid :iPhone版セカイカメラがアップデート、UDIDを取得しない仕様に。高木先生に指摘されての対応かな。じゃ今までなんで取ってたの?


その他気になったことはこのあたり。
topitmedia :Javaの脆弱性狙う攻撃が横行、全ソフトウェアのアップデート適用を - ITmedia エンタープライズ


nechoneko :日本へのサイバー攻撃の発信源が明らかに 攻撃対象の国別に編成されていた諜報機関 >このように日本へのサイバー攻撃は、中国の人民解放軍総参謀部から直接に仕掛けられているとの認識が米国では強いのだ。


bulkneets :これFacebook「アプリ」に対するSQLインジェクションをFBに対するSQLインジェクションって紹介してるな


eagle0wl :どう見ても痛車ハック or 光学迷彩ハック前提だよなぁ。 トヨタが全面スクリーンの車を発表 海外のお前ら「ハッキングされてポルノを流されたらどうするんだ」


madonomori :更新: IPA、セキュリティツール「MyJVN バージョンチェッカ」にオフライン版を追加 http://bit.ly/u1d3Gw


JSECTEAM :ブログをポストしました。「ちょっといいセキュリティの資料とツール その 1 」 http://bit.ly/tuGxRN #JSECTEAM


mtakahas :川口さんコラムの最新作! 標的型攻撃が注目されてますが、実はその陰で、アプリケーションサーバの既知の脆弱性も突かれてたりするんです。アプリケーションサーバの脆弱性にご注意を - @IT


ntsuji :盗み出したクレジットカード情報で寄付を行う。クレジットカード保護が機能することで、そのお金を銀行が補填することになるので、それによって銀行にダメージを与えようということなんですかね。 #OpRobinHood


yohgaki :有害なHTML/CSSを無害化する Projects/HTMLReg ow.ly/7IaQ9 を破れるか?との挑戦状が出ています http://ow.ly/7IaSe Javascriptの猛者はどうぞ


bulkneets :Self-XSSで「他人にもなりすませる」のは明らかにSelf-XSSの範疇超えてると思うよ http://co3k.org/blog/19


yohgaki :第44回 セキュリティ対策が確実に実施されない2つの理由: gihyo.jpで新しい記事が公開されました。なぜ簡単な対策で防げる脆弱性でもセキュリティ対策が確実に実施されないのか?それには理由があります。その理由とはこの... http://bit.ly/tS5MRQ

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

11月28日のtwitterセキュリティクラスタ

CMもやってて日本でも結構プレイしている人が多かったりする「メイプルストーリー」の会員情報がダダ漏れしたそうです。それにしても1000万って…
tsucchie :韓国の「メイプルストーリー」会員情報1320万件が流出、日本は別サーバー (INTERNET Watch)

piyokango :“【重要】ネクソン子会社における個人情報漏洩について|お知らせ|ネクソンサポート” http://htn.to/pBZ7FB

piyokango :『今回のハッキングは18日に発生したにも関わらず、ネクソンは25日になって初めてこれを政府に報告した。』 / “Chosun Online | 朝鮮日報” http://htn.to/QnU7sf


Androidは怪しげなアプリがいっぱいで、ぜひ1つ手に入れたいのですが、怪しいアプリを動かすためだけに数万円かけるのは辛いので、買いたくなるような別のモチベーションがほしいです。仕事とか。
HiromitsuTakagi : 「開発会社の社長(38)は「アプリ制作の際、広告配信の契約をした米国の広告会社から送られてきたプログラムを、中身を確認しないまま組み込んでいた。位置情報が送信されているとは知らなかった」と説明。25日に全アプリの公開を中止した。」

NET125g :manifestにGPSのパーミッション記入しておきながら「知らなかった」はないわー。 RT @HiromitsuTakagi: 中身を確認しないまま組み込んでいた。位置情報が送信されているとは知らなかった」と説明


typex20 :取り急ぎまとめました。Thxです。> @data_head さん / “permissionの怪しいAndroidアプリの”超光懐中電灯”の解析結果のまとめ - Togetter” http://htn.to/ncLqh3


そして、今度はpeepappというアプリが話題となっていますが、利便性と個人情報のコントロールを機能と規約でどう落としどころを見つけていくのでしょうか。
togetter_jp :.@Chamiu_IT さんの「多様な問題を含有してそうなpeepappのまとめ」が250PV達成!わたしも注目っ! http://togetter.com/li/219201


Lawcojp :Androidマーケッ?トでも炎上するアプリがあるのですね。「1 つ星」の最低評価が、苦情とともに千件近く書き込まれて、収拾が付かない状態。


カワイイ系セキュリティ女子のわたくしとしては、APならいくらでも頂戴しますよ。
aytjtks :かわいい女の子はキモいと思ってる男性からの「新しいの買ったから僕の無線LANルータあげるよ」っていう提案には気を付けたほうがいいですな。割と本気で。 : 高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない http://bit.ly/vOlp0u


ミスしたときの対応の早さって大切ですよね。
ymzkei5 :連絡の翌日にIPアドレス変えられるってスゴイ。 RT @ockeghem: 日記書いた / “徳丸浩の日記: KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された”


その他に気になったことはこのあたり。
tetsutalow :図書館員向けですが自治体の情報担当者のみなさんに聞いてもらいたい話です。来年1/29、IPAのDoS攻撃対策の報告書に関する勉強会のご案内。 / “第286回研究例会案内(日本図書館研究会)” http://htn.to/tMcC4r


kitagawa_takuji :“野放しUSBメモリ”がセキュリティ・リスクの要因に|セキュリティ・マネジメント|トピックス|Computerworld via @computerworldjp


hasegawayosuke :NoScript 2.2 XSS Filter Bypass by @0x6D6172696F // nice


guardiancrow :興味あるけど個人には高い:攻撃性の高い中国ハッカー約50組織を分析「中国対日有害サイバー組織総覧2012」(ネットセキュリティ総合研究所) | ScanNetSecurity (レポート、調査・ホワイトペーパーのニュース)


ntsuji :ペネトレーションテストで侵入に成功した対象上でパスワード一覧が書かれたExcelやテキストファイルが見つかって…なんてこともあるのでそちらもご注意をw / 隠してるつもりが実はバレバレ! オフィスにありがちなパスワードの隠し場所 - http://bit.ly/tm0Bb2


got4416 :「セキュリティうどん 5杯目」をトゥギャりました。 http://togetter.com/li/220501

テーマ : セキュリティ
ジャンル : コンピュータ

11月26~27日のtwitterセキュリティクラスタ

土曜日に開催された第20回セキュリティもみじセミナーがとても面白そうでした。
ピックアップするにはハッシュタグ#secmomijiをtogetterでまとめたものをどうぞ。



毎日MACアドレスをランダムに変えるとか、近所のMACアドレスと同じものにしておくとか、ブロードキャストにするとか浮かびましたが、実運用上問題があるかもしれません。
HiromitsuTakagi : Wi-FiのMACアドレスはもはや住所と考えるしかない / まえがき / これまでの経緯 / 2つのMACアドレスで自宅の場所を特定される場合 / SSIDに「_nomap」でオプトアウト? / PlaceEngineはどうなった?

Cokeesque_DF :Wi-FiのMACアドレスやそれと同一のSSIDを動画等で公開するのは、もう自分の住所を公開するのと同義ということですね。家で撮ったGPS情報が埋め込まれている写真をアップしたら、そのExif情報から家の場所が特定されるのと似ているかも。


その他に気になったことはこのあたり。
typex20 :こわい。。→「公開されているデータの向こうには、非公開のプライバシーに関する膨大なデータがあるはずである」 / “グーグルはなんでも知っている! 公開された「Think Insights」に仰天!|DIGITAL DIME デジタルダ…” http://htn.to/tVax3S


kitagawa_takuji :シエナ・ミラーが携帯電話のハッキング事件で証言 パパラッチは「どんなことでもする」 - シネマトゥデイ http://cinematoday.jp/page/N0037292 via @cinematoday


kaito834 :2008年12月の事例が明らかになったとのこと。他にも「▽複数の半導体工場がウイルスに感染した▽ある工場でパソコン約100台がウイルスに感染し、システムの一部が停止した」などがあるとのこと。 / “サイバー攻撃:車工場ウイルス感染 制…” http://htn.to/phRfrP


kaito834 :ブログ書いた。「PoC 試してみたみたけど、うまくいかなったよ」という内容。MS11-083(CVE-2011-2013)の実証コードを試してみた - 思い立ったら書く日記


ockeghem :はてブで「セキュリティの話ではなく、変な入力した際に顕在化するバグの話」というコメントを見かけたけど、「変な入力した際に顕在化する(悪用可能な)バグ」こそが、セキュリティホールだよね

テーマ : セキュリティ
ジャンル : コンピュータ

11月25日のtwitterセキュリティクラスタ

早いものでもう月末ですね。

Facebookのストーカーっぷりもすごいですし、楽天やAmazonも広告が追いかけてきますよね。
bulkneets :http://bit.ly/slUMWl http://bit.ly/sWZyUS http://bit.ly/vyu0Io この手の足あと機能ないんだけどリコメンド機能が逆探知でオススメされるようになっていて(いると推察されて)アカウントバレするトラブルに名前をつけたい


ipadとnetcatと競馬のipatと区別がつかないので、もうちょっと下調べしてからネーミングしていただきたいものです。
tomoki0sanaki :netcat の亜種だと思ったのは私だけではないはず・・・orz 「サイバーセキュリティ注意喚起サービス「icat」の公開 ~IPAが公開したセキュリティ対策情報をリアルタイムに配信~


きっと有料版だと伏せ字がなくなるに違いないです。
cchanabo :結局有料だしほとんど伏字だからなにわかんない。やる意味あったのかな? 覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成(ダイジェスト版) | ScanNetSecurity (特集、コラムのニュース) -


よく載ってる高木せんせいに影響されて似たような人ばかりが育成されて、業界全体で罵倒語と曝し上げが飛び交うのですね。わかります。
ockeghem :「twitterセキュリティネタまとめ」読んだ方がいいw RT @cchanabo: 結局有料だしほとんど伏字だからなにわかんない。やる意味あったのかな? 覆面座談会「優れたペネトレーションテスト会社の選び方」第3回 技術者の条件と育成


その他に気になったことはこのあたり。
kitagawa_takuji :有名ホテルに就職したかったハッカー、諜報員と「面接」して逮捕 国際ニュース : AFPBB News via @afpbbcom


ockeghem :これは素晴らしいまとめ / “サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会” http://htn.to/svQCzN


ockeghem :私のブログにも言及ありがとうございます。最後の四条件は、andかorか分かりにくいですね→とても分かりやすく修正頂きありがとうございます / “Amon2とJSONとセキュリティ - ”>TokuLog 改メ tokuhir…” http://htn.to/yzYgSQ


ntsuji :クローズアップ現代のブログにコメントをポストしたら承認されて公開されていましたよ。 / 国際的なハッカー集団の中心メンバーに突撃取材! - http://bit.ly/u9QO5J


expl01t :もう draft-10 か.頑張ってはるなぁ.Reading: RCIS フィッシング対策のためのHTTP相互認証プロトコル #fb


ntsuji :正当な判決だと思います。これが通ると一部(量や数という意味ではなく)の防止のために無関係なものへの影響を無視することになりますからね。/ 欧州司法裁判所、ISPにコンテンツフィルタリング義務を強制せず - http://nkbp.jp/vI7iQK


THEdarknet :VoIP Hopper 2.01 Released ? IP Phone VLAN Hopping Tool: VoIP Hopper is a GPLv3 licensed security tool, written i... http://bit.ly/sddCMP


torproject :Tor 0.2.3.8-alpha is out:

テーマ : セキュリティ
ジャンル : コンピュータ

11月23~24日のtwitterセキュリティクラスタ

水曜休みだと休んですぐ休みが来て捗る気がします。水曜も仕事してたので気のせいですが。

DoCoMoのAndroid端末を購入する際に、googleのアカウントとパスワードを聞かれるそうです。不正アクセスですよね。
tama200x :その昔、ドコモショップで契約時にGoogleアカウントとパスワードを紙に書くよう言われたので、契約やめたっけ > Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認

keikuma :Googleアカウントのパスワードを聞き出してアプリをインストールする販売店の話に関連して。 / サーバ管理者日誌 帰ってきた・他のサイトのパスワードを聞き出すことを禁止できないものだろうか via @keikuma

HiromitsuTakagi :従来、客の暗証番号やパスワードを聞き出して入力するという作業を(その意味を理解せず)してきた結果、Googleという第三者のアクセス制御機能に係る識別符号についてまで、我が物顔で扱うという勘違い販売店が現れているということと推察。一言で言えば、「オマエのアクセス制御機能じゃねえ」

vonry :@HiromitsuTakagi スマフォが急激に普及してきて、Gmailって何ですか状態の人がアカウントを作らないとアプリインストールできませんよとか言われると(ドコモでいう)ネットワーク暗証番号を紙に書くノリで…。代理店、ユーザー双方のリテラシーが低いんでしょうね。

HiromitsuTakagi :なお、新規アカウント作成のためのID候補とパスワードを書かせる話と、既存アカウントのID・パスワードを書かせる話とでは、話が別。竹・梅コースとなるのは後者。前者では、アカウント作成の委任があるとみなされ、梅にはならない。竹は無断インストール込みだと微妙。松は可能性として起き得る。

Juntan :お客のGooleアカウントをスマートフォン販売時に、設定してあげちゃった販売スタッフ全員不正アクセス禁止法で逮捕されたら、胸が熱くなるわ。

kenrouse :これ、よく見かけるけど、他人にアカウントを預けることは非常に危険だということを、政府がしっかりと注意喚起すべき。※Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認


これからは図書館のDoSのような障害に対する怪しい説明があるたびに、エアハカーキタ――(゚∀゚)――!! と盛り上がることになりそうです。エアというよりは闇ハカーの方がかっこよさげですが。
tetsutalow :【緩募】システム障害が起きたときに、それをどこかのスーパーハカー様のサイバー攻撃のせいってことにして無知な委託者をだまし、責任逃れするけしからんシステム受託者の戦法に名前つけたいデス。ノーガード戦法みたいなキャッチーで判りやすい名前があればいいなと思うのですが。

tetsutalow :いうと思った(^^;けど、ちょっと違うのはもっと確信犯的に、存在もしないスーパーハカーさまのせいにするという戦術であること。証拠ださんかい、とかいうとハカー様すごいので証拠消されたッスとか言い出す QT @bugbird: @tetsutalow MD○S 戦法ですか?(同案多数

tetsutalow :「幽霊にやられた詐欺」みたいなのがいいのかなー。そういや天使の分け前って言葉があったのを思い出した。ああいうウィットの効いた表現でなんかうまいの思いつかないものか…

tetsutalow :自分的に気に入ったので「システム障害をどこかのハカー様のせいにして責任逃れする詐欺」を私の周囲1mくらい(つまり私だけ)では「エアハカー詐欺」と呼称することにします。ありがとうございました。


フォントにexploitが仕込まれてて、あるテキストを読み込んだら実行されるとかあればかっこいいなあ。
ITS_IBM_Japan :IBM が持つ民間最大のセキュリティー情報組織 【X-Force】による最新の脅威情報、公開中です~「TrueType フォント解析の脆弱性が特権の昇格を許可する可能性(2011年11月10日掲載)」~

New_Anthem :マイクロソフト セキュリティ アドバイザリ: TrueType フォント解析の脆弱性により、特権が昇格される 改めて、Fix it を適用しました。


その他に気になったことはこのあたり。
amasawa_seiji :今後の展開に期待。/Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果:CodeZine http://bit.ly/tsD7pw


moton :福森さんが出たNHK深読みのページが更新されている。


kaito834 :iTunes 10.5.1で修正されたCVE-2008-3434が、スパイウェアのインストール目的に悪用されていた模様。 / “German spyware exploits iTunes vulnerability - The H …” http://htn.to/RwkWrK


morico128 :「ブラックハットジャパンその後」~沖縄編~は明後日だ。滅多にないチャンスなので学生はぜひ参加を。


tamiyata :ID使い回し、ご注意…プレステ3履歴丸見え : 社会 : YOMIURI ONLINE(読売新聞) http://ow.ly/7DMgR


yohgaki :セッションのクッキーを設定する場合のベストプラクティス: HTTPセッションは通常クッキーを利用して行います。クッキーを利用したセッションの場合、お薦めする設定は以下の通りです。ドメイン名は指定しないパスはルート(/)を... http://bit.ly/sDlXCG


JVN :ISC BIND にサービス運用妨害 (DoS) の脆弱性


icedoll1 :レッドブルとか大量に飲んでる人は注意。>エナジードリンク摂取に関係する救急受診急増=米調査→


Hamachiya2 :セキュリティがわからない奴は何か作っても公開するな!とか言ってる人は、吼える前に手を動かしてとっとと初心者でも簡単にセキュアなものがつくれるライブラリやらフレームワークやら言語やらをつくってください

テーマ : セキュリティ
ジャンル : コンピュータ

11月22日のtwitterセキュリティクラスタ

今日は祝日なんですね。すっかり忘れててびっくりしました。毎日休んでるみたいなもんですからね( ゚ρ゚ )

シスコのサイバースパイ対策製品を使うと新しいタイプへの攻撃への対策はばっちりだそうですかそうですか。ということでマイナビのセミナーの話題で盛り上がってました。
MasafumiNegishi :次はシスコシステムズの小林さんから「シスコのサイバースパイ対策」。「新しいタイプの攻撃(APT)」への対策キター。

MasafumiNegishi :だから何度もいうけど、「新しいタイプの攻撃」は IPAの定義だからいいけど、それを APTと呼ぶのはやめようよ?。

MasafumiNegishi :「Cisco Secure Xのトータル セキュリティソリューションで対策可能」と言い切った!

MasafumiNegishi :さっきのレポートから引用「もし誰かが APT 対策と称したハードウェアやソフトウェアのソリューションを売りに来たとしたら、APT を理解していないか、コンピュータの仕組みをあまりよくわかっていないか、嘘をついているかのいずれかでしょう。または、この 3 つすべてかもしれません」

MasafumiNegishi :なんか言ってること矛盾してないかw

ntsuji :@MasafumiNegishi 何かの製品単独では対策できないけど包括的なトータルセキュリティソリューションで対策可能とかってやつでしょうか。

ockeghem :@ntsuji @MasafumiNegishi 対策は可能だけど、100%防げるとは言ってなぜ、ベイビー、ではないでしょうか?

ockeghem :s/言ってなぜ/言ってないぜ/

ntsuji :@ockeghem @MasafumiNegishi 具体的なモデルケースみたいなものが知りたいですね。死角がないかどうかを確認したいというか。

MasafumiNegishi :Cisco IronPort SenderBase Security Networkでレピュテーション情報などを公開していると。→ 知りませんでした… http://t.co/33zT3jkD

MasafumiNegishi :入口でターゲット型スパムをブロックするぜ!と主張しているのだが、今相手にしているのはターゲット型スパムなのか??

ockeghem :@MasafumiNegishi スパムかどうかはともかく、何を基準にブロックするのでしょうね。

MasafumiNegishi :@ockeghem IPレビュテーションフィルターやアンチウィルスエンジンなどだそうですが、IronPort ESAという製品のこと僕は全然知らないので、詳しいことはよくわかりません。

MasafumiNegishi :結局、Ciscoのソリューションが新しいタイプの攻撃に対してどうして有効なのか、まったく理解できなかった…orz

ockeghem :@MasafumiNegishi そうなんですか。根岸さんが有効性を分からない製品を、どういう人が可能でしょうかねw

hiroki_takakura :@ockeghem @MasafumiNegishi 攻撃する側も把握できないという意味では、効果的かもw

ockeghem :@hiroki_takakura @MasafumiNegishi なるほど、手の内を見せないわけですねw

MasafumiNegishi :@ockeghem @hiroki_takakura いや、これはかなり高度な防御戦略なので、なかなか難しそうですねーw


続いてはFFRの村上さんの講演だったようで、こちらも少し。
MasafumiNegishi :村上さん「APTはバズワードなので言葉の意味を追ってもしかたがない。ある特定の組織を狙うという目的を持った攻撃であるという点が大事。」 < 全く同意です。

MasafumiNegishi :「2003年頃から MS Office製品の脆弱性をつく攻撃が多発したが、Offce 2007からフォーマットをバイナリ形式からテキスト形式に変更し、脆弱性を排除した。その結果、2007年頃から減少。かわりに Adobe Reader/Flashが主流になった。」

ockeghem :@MasafumiNegishi Offceはバイナリ形式もまだ使えるわけなので、その理屈は本当かなと思ってしまいますね

MasafumiNegishi :標的型攻撃の例として、2008年のある学会関連のメールを紹介。ちょっと画面が見えないけど、これは例の CSSの CFPのやつでしょうかね。

MasafumiNegishi :「なぜ入口対策が難しいのか。(1) 未知のマルウエアが利用される。(2) ゼロデイ脆弱性が利用される。この2つが主要因。攻撃者はあらかじめAVソフトに検出されないようにテストしてから攻撃する。攻撃先で利用しているAVソフトを下調べをすることもある。」

MasafumiNegishi :「マルウェア生成キットが売買されており、容易に入手できるため、シグネチャ検知できない未知のマルウェアを作成することは比較的簡単にできる。またゼロデイ脆弱性が利用されることも多く防御が困難。」

MasafumiNegishi :メールによる攻撃として、RSAセキュリティへの攻撃事例を紹介。 < その後、SecurIDを利用した Lockheed Martinへの攻撃へとつながった事例ですね。 http://t.co/GAM8OWEu

MasafumiNegishi :三菱重工業の事例に続いて、HBGary Federalの事例キター。辻さんも大好きなネタですねw

ntsuji :ガバッ! RT @MasafumiNegishi: 三菱重工業の事例に続いて、HBGary Federalの事例キター。辻さんも大好きなネタですねw

MasafumiNegishi :ブログに記事書いてるくらいなんで、ネタとしては僕も好きなんですが、HBGaryの事例を、RSAや三菱重工の事例と同列で語るのは違和感ありますよ。脅威の主体も、動機や目的も全然違う。パスワード使い回しの怖さを伝えたいということのようですが…

MasafumiNegishi :「これからのマルウェア対策はヒューリスティック。マルウェア特有の特徴、構造、動作を抽出してエンジン化する。」 < FFRの得意分野ですねー


その他気になったことはこのあたり。
computerworldjp :「ゼロデイ攻撃よりもパッチの当て忘れを警戒せよ」 http://t.co/6sSBGCvp


computerworldjp :Android 4.0の潜在的なセキュリティ問題 http://t.co/rTwvtMee


ebimayu :ラック新井さんのインタビューやで。>>入り口からの侵入を止められないなら出口を固めよ― LAC 新井氏に訊くこれだけはやっておきたいデータベースセキュリティ : EnterpriseZine


goroh_kun :2011年の脆弱スマートフォン・ランキング - 米セキュリティ会社が調査


wahrheit_t :Windows 8 にはアンチウィルスソフトが組み込まれる | スラッシュドット・ジャパン http://t.co/BPUrPmdA


mutamana :ベリサイン、「ワンタイムパスワード認証」と「リスクベース認証」を手軽に利用できる「Symantec Validation & ID Protection」の提供を開始 http://t.co/nwRRCr3M 「リスクベース認証」は、電子政府の分野でも使えそう


lifehackerjapan :最新記事: 頑強なパスワード設定のための暗号化ハウツーガイド http://t.co/Ut23RsQG#lh_jp


ymzkei5 :恐ろしいプログラムww RT @itmedia_news: 無料を装ったアダルト動画サイトで4回クリックしてしまうとアダルト画像付きの請求画面が消えなくなるという恐ろしいプログラムを使って料金をだましとったとして暴力団幹部ら逮捕^編


ockeghem :“auのPCサイトビューアーで脆弱性が発覚か? ? 続:auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ]” http://htn.to/Pf23So


security_1topi :SplashData社が発表した2011年の弱いパスワード25個と共にパスワードジェネレータや管理ソフト、強度チェッカが紹介されています。ちなみに、私は、強固にすることと使い回しをしないためにパスワード管理ソフトを愛用しています。 http://r.sm3.jp/3fyU


ntsuji :「従来の定義における『ウイルス』の問題は抱えていない」ってところがポイントでしょうか。そこだけのフォーカスしてスマホのセキュリティを語れないと思いますよ。 / グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難 - http://t.co/I2IpsUun

テーマ : セキュリティ
ジャンル : コンピュータ

11月21日のtwitterセキュリティクラスタ

参議院もやられてしまっていた模様です。ドメインコントローラがやられてしまったら配下のクライアント全部ダメでしょうね。ご愁傷様です。
47news :速報:国会議員のパソコンなどに攻撃メールが相次いだ問題で参院全議員のIDとパスワード流出の可能性。 http://bit.ly/17n4iz

kitagawa_takuji :参院も全議員のID流出か…メール見られた疑い : 社会 : YOMIURI ONLINE(読売新聞) yomiuri.co.jp/national/news/… 感染の疑いがあるのは利用者のIDやパスワードを管理する「ドメインコントローラー」と、ネットワークの監視を担当するサーバー。

piyokango :『サーバーのうち1台に議員と秘書全員分と、管理者用の計七百数十件のパスワード情報が保管されていた。』 / “asahi.com(朝日新聞社):全議員のパスワード情報、流出か 参院が発表 - 社会” http://htn.to/9zvxjK

>piyokango :“参院でもID流出か サーバーに不正アクセス - MSN産経ニュース” http://htn.to/EiGHo5


XSSってセッション張ってるサイトなら、セッションID抜かれるだろヴォケと言えばいいのですが、その他の脅威って説明しづらいし、どこまで危険なのかわからず対応しない人も多いのではないかと思います。
ockeghem :「XSSの基礎をじっくり語ろう」みたいなネタを思いついたが、わざわざ聞きたい人はあまりいなさそうだね。地味だし。興味のある人は既に知っているだろうし。

mincemaker :@ockeghem 地方だとかなり需要ありと思いますです。

hasegawayosuke :@ockeghem XSSについて自分で調べられるような人でも、「alert 動いた」という事実に対して脅威をどのように判断すればいいのかわからない、という人は多いと思います。

hasegawayosuke :これはマラさんのLTで指摘されたことなんですが、JavaScriptの広告がクロスドメインから実行されたとしたら、安全とは限らない。 みたいな話です。そういうところを説明するには、Webにおけるプライバシーから説明しないといけないし…

hasegawayosuke :jsdo.it のようなサイト、XSSではないけれど、攻撃者が適当なスクリプトを仕込んでおくと、たとえばTwitterアカウントでログインしてる人を対象とした「Twitter足跡帳」みたいなのを作成される、というリスクはありますね。

hasegawayosuke :広告配信屋:ユーザのクリック履歴、購入履歴、その他同意の上取得したユーザの個人情報に合わせた広告を配信、広告を埋め込んだサイト:で前記広告を埋め込む。という場合、サイト側はJS使ってどんな広告が表示されているか(つまりユーザの素性に近い属性)を取得可能。という話。

bulkneets :@hasegawayosuke LTでは含めなかったんですが、jsが意図したドメインでだけ実行されるように制限されてるとは限らないので、掲載ドメイン以外でもどんな広告が出るか把握できる可能性があります

ockeghem :最近広告とかアフィリエイトのスクリプトを調べてと言う依頼がたまにあって、見積もりのためにスクリプト見せてもらったから、これがもう…お断り見積もりだそうかと思いましたよ(適正と思う見積もりを出しましたが)


iPhoneをヨドバシで買うとモバゲーアプリがインストールされるというお話。メーカー製PCでは自社製アプリがインストールされることがあったりショップ仕様になったりとあると思いますが、それと似たような問題なんですかねえ。
Raichi0Po :宝石に泥を塗って売るような行為だ。メーカー製(失笑)パソコンかなんかとカン違いしてんじゃねーのか?Appleのポリシーにも反するし指導の後さっさと死ねばいいのに / “iPhone4S 買いました。ところが(ヨドバシ+モバゲー 問題に…” http://t.co/NDh369OB


ockeghemさんおめでとうございます。ルビー賞だけど理由はRubyとはあんまり関係ないんですね。
ScanNetSecurity :徳丸浩氏、楽天テクノロジーアワード2011ルビー賞を受賞 http://dlvr.it/x1zps


ockeghem :素晴らしい考察 / “auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです | ke-tai.org” http://htn.to/25TNCN


ntsuji :やっぱり「Anonymous」「標的型攻撃」「出口対策」「新しいタイプの攻撃」とかって手を変え品を変え言葉変えだとしてもそれに振り回されるんじゃなくて着々と自分たちが何ができてて、何ができてないのか。っていう基本的なことを忘れちゃだめだなぁって改めて思いましたよ。

ntsuji :「新しいタイプの攻撃」って結局、組み合わせでしょ?って思っています。だから「新しいタイプの攻撃」は従来の基本的な「古いタイプの対策」で大方なんとかなるんじゃないでしょうか。


okomeki :WAKWAKからパスワード注意しろメールなどがきていた (pdf)


07c00 :今週末の土曜日26日に広島のセキュリティもみじ()で、CTFについて話します。よろしくお願いしますです。時間が余れば機会学習とか()についても少しだけ話すかもしれません。#secmomiji


piyokango :“「ゼロデイ攻撃よりも|セキュリティ・マネジメント|トピックス|Computerworld” http://htn.to/cEosab


totoromasaki :BIND9の脆弱性について。とりあえず。http://mcaf.ee/8j4dw


hasegawayosuke :お、これちょっと気になるな。  "JVNDB-2011-002979 - JVN iPedia - 脆弱性対策情報データベース"


07c00 :開発「騒ぐほどの問題起こってねーだろアフォw」 セキュ「いやすでに起こり始めてんだよボケw」という世界共通の議論がトップレベル(地位的な意味で)で行われますたw 

テーマ : セキュリティ
ジャンル : コンピュータ

11月19~20日のtwitterセキュリティクラスタ

セキュリティとか関係ないですが、土曜日はインストールマニアックス5の決勝大会にスタッフとして参加してました。参加者の皆様並びに現地、ustで見守っていただいた方々、本当にありがとうございます。おかげで良いイベントになったと思います。次もあればいいですね。

小難しいこと言う前に、本当に必要なのは一般のユーザーがエロサイト見てもマルウェアに感染しないような仕組みなんですよね。
ockeghem :知恵袋くらいしか観測源がないんだけど、エロサイト見て詐欺被害にあったりウイルス感染する人が多いことは間違いないので、「無料で安全なエロサイト」を紹介するのが根本対策ではないかと考えるなど。IPAではできないけど。結局彼らはより強い刺激を求めて…というのはありそうだけど。知らんけど

mincemaker :@ockeghem ケータイで見てもらうようにするとかw

ockeghem :@mincemaker それ、正解なんですが、結局ケータイでは飽きたらずに、となりそうですね…そうだ、エロコンテンツ専用の迫力大画面ガラケーを開発すればいいのだ。これはとても意義深い仕事ですぞ

mincemaker :@ockeghem 個人的に話した範囲だと、タクシーやトラックな車にいることが多い職業の方は、概ね携帯電話のアダルトサイトで満足されているようでした。世のお父さん方はどうなのでしょうねー。

ockeghem :@mincemaker あくまで印象ですが、エロサイト見てウイルス感染とか詐欺被害というのは、結構若年層が多そうだなと思っています。

mincemaker :@ockeghem なるほど!若年層だとお金がかかるサイトとは契約できないので、危険なコンテンツに引っかかる率が高そうですね。


そういえばこのブログもFC2でした。
heatwave_p2p :@yomoyomoさん、ありがたす。"電子フロンティア財団のStop Online Piracy Act(SOPA)特集の日本語訳 - YAMDAS現更新履歴"

heatwave_p2p :SOPAの件、必死だなと思われるかもしれないけど、"fc2.com"ごとやられると私のブログも読んでもらえなくなるのです。<

heatwave_p2p :翻訳した。"SOPA:All Your Internets Belong to US - P2Pとかその辺のお話"


高木先生 vs 武田先生ってことになったりするのでしょうか。
keijitakeda :忘れないように再送 @HiromitsuTakagi 「住所氏名等を含まなければ「個人情報」でないという法解釈がまかり通ってしまっている。 」について経産省ガイドライン2-1-1に示されている内容では不十分でしょうか?

HiromitsuTakagi :武田は、Facebookで個人情報保護法が専門の法学者が新幹線で興行帰りの3人の著名芸能人の隣に居合わせたと書いたのに対しても「こういうのプライバシー的にOKなんですか」とイチャモンをつけていた。絶望的なまでににわかってない。


効果がないのがわかって公取に排除命令をくらった「ペストX」を思い出しました。
asciijpeditors :シスコ、スマホ/タブレットの包括セキュリティ「セキュアX」: シスコシステムズはスマートフォンやタブレットなどのスマートデバイスを安全に利用するための包括的なセキュリティアーキテクチャ「セキュアX」を発表した。 http://bit.ly/sUKwTL #asciijp


実はバージョンチェッカ1つしか紹介されてなくて騙された感が半端ないです。
itmedia :[エンタープライズ]10個のツールで学ぶ、備える!情報セキュリティの脅威と対策:バージョンチェッカで脆弱性を狙った攻撃に対処する http://bit.ly/u0G2n8


その他に気になったことはこのあたり。
ChutoNews :北米・中東のセキュリティソフト - ITpro http://nkbp.jp/s0xzep #中東


kaito834 :2011年11月初旬、MITのサーバが外部への脆弱性スキャン(phpMyadmin)の踏み台になっていたことが発覚。この記事によると、踏み台の原因は不明のようだ。 / “Hacked MIT Server Used to Stage …” http://htn.to/jUDA73


asciijpeditors :Stuxnetベースの新マルウェア「Duqu」とは?: Stuxnetのソースコードを利用した新しいマルウェアが発見されました。このウイルスは「Duqu」と名付けられ、各セキュリティベンダー各社で解析が進め... http://bit.ly/rJAW6x #asciijp


nikkeibpITpro :ソーシャル活用とセキュリティの落としどころ(記者の眼) http://nkbp.jp/sZi5XD #itprojp


nikkeibpITpro :小規模企業の半数は「自社は狙われない」、サイバー攻撃の意識調査(ニュース) http://nkbp.jp/v2ctPp #itprojp


komeilipour :[Wireshark-announce] Wireshark 1.6.4 is now available http://x.co/bDCo #Infosec


sen_u :水道施設のSCADAのパスワードは3文字だった、と侵入したハッカーが http://bit.ly/tFF3VT


テーマ : セキュリティ
ジャンル : コンピュータ

11月18日のtwitterセキュリティクラスタ

今日はインストールマニアックス決勝大会のお手伝いに明星大学に行ってきます。オープンソースカンファレンスと併催ですので、OSC来たついでにでも遊びに来てくださいませ。ustもするはずです。

ということで気になったことはこのあたり。
mtakahas :せんでん:久しぶりのリバースエンジニアリング入門。APIのアドレス取得方法は奥深い……編集を忘れて、ふむふむなるほどと読みました! Undocumentedなデータ構造体を知る(1/3) - @IT


lac_security :土曜日の朝は、しっかり!、じっくり! NHK「週刊ニュース深読み」にラッコの若手が登場します! サイバーセキュリティ事故の解説でパソコン乗っ取りデモを実演しました。8:45頃の徳永圭一アナのコーナーで放映予定です(^ま)http://bit.ly/l4OpG0


lac_security :IPAさんから 『ソースコードセキュリティ検査』~出荷前のソフトウェアの脆弱(ぜいじゃく)性を低減するために~ としたレポートがでていますね。 (^む) 


MasafumiNegishi :昨日の番組の感想書きました。気になった点がいろいろ…

MasafumiNegishi :放映内容がああいう形になった経緯とかいろいろあるようなのですが、それはそれとして、気になった点をまとめておきました。時間の制約がある中では伝えられないこともたくさんあると思うので、補足資料として参考にしていただけるとうれしいです。


kinugawamasato :はせがわさん作のaaencodeとアドレスバーによるセルフXSSのコンボは結構強力な気がする、IE8でも動くし。まさか顔文字から悪意のあるコードが実行されるとは思わないだろう。JavaScriptが書ける人でも思わない。

hasegawayosuke :@kinugawamasato 長すぎるんで、2083文字に収めるの難しいんじゃ。

kinugawamasato :@hasegawayosuke 本体を別に書いてそれをevalするかんじでなんとかなりそうな気も。

hasegawayosuke :@kinugawamasato 相変わらず実用的な攻撃方法を考えるのが得意ですね!!

kinugawamasato :@hasegawayosuke 師匠にそんな風に言われると嬉しいです!


hasegawayosuke :"セキュリティ&プログラミングキャンプ2011実施報告会(仮称)開催決定" 「2011年12月17日(土)秋葉原で、セキュリティ&プログラミングキャンプ2011実施報告会(仮称)を開催いたします。(参加費無料)」 #spcamp

テーマ : セキュリティ
ジャンル : コンピュータ

11月17日のtwitterセキュリティクラスタ

昨夜はNHKのクローズアップ現代で「暴走するサイバー攻撃」という主にAnonymousとサイバー攻撃についての特集が放映されました。内容は極悪集団Anonymousがかわいそうな企業を攻撃!のような決めつけで、情報を追ってる人たちは批判的でした。HBGaryの元CEOが言い訳してたのは面白かったですが。

ntsuji :「セキュリティのプロでも」ってパスワード使い回してそれはないでしょw #nhk_kurogen

ntsuji :PSNのDDoS以外のこともAnonymousがしたように見える。 #nhk_kurogen

F0ro :ソニーの個人情報流出の件はAnonymousで確定・・・ #nhk_kurogen

ntsuji :あ、今、「Anonymousなど」ってはじめて言いましたよ! #nhk_kurogen

ntsuji :@nhk_kurogen ハッシュタグ #nhk_kurogen を付けてつぶやきましたが、期待はずれでした。Anonymousに関しては半分くらいでしたし、ソニー関連の事件で犯人が判明していないものまでAnonymousが犯人であると取れてしまう紛らわしい内容だと感じました。

kitagawa_takuji :米国ロケする必要性が全く感じられない内容だった  #nhk_kurogen


そして番組終了後、間違いの指摘とともにミスリードを誘う表現に対する批判が。
MasafumiNegishi :さっきのクローズアップ現代で「ソニーから流出した情報の一部」としてボカして紹介されたデータ、ようやく判明。あれは idahcが5月にカナダのソニーエリクソンから取得して公開したデータ(2,000人分)で、Anonymousは無関係だし、1億件のデータとかの一部でもなんでもない。

kitagawa_takuji :@MasafumiNegishi 流石、てっきりLulzSecによるSony Picturesからの37,500人の個人情報流出と混同しているものだと思ってました。

ntsuji :@kitagawa_takuji @MasafumiNegishi すばらしい!そっちでしたか。ボクもlulzsecとの混同だろうなくらいにしか思ってなかったです。

MasafumiNegishi :@ntsuji @kitagawa_takuji まあ「Anonymousなど」による攻撃って、「など」を強調して言ってはいましたが、見ていた人は絶対 Anonymousがやったと思ったでしょうね。ミスリードですよ、あれは。

ntsuji :@MasafumiNegishi @kitagawa_takuji あれだと国際極悪犯罪覆面集団アノニマスですねw

MasafumiNegishi :Gregg Houshが Anonymousの行為の違法性をどう正当化するのかと問われる場面、「目には目をというわけさ」と翻訳されていましたが、彼は "It's old school justice."と答えてますね。

MasafumiNegishi :Greggだけではないと思いますが、Anonymousは自分達の行為の違法性は認識しているものの、間違ったことをやっているとは思っていません。彼の発言は、新しい時代に対応できていない現在の法律のほうが間違っているのだ、と主張したかったのではないかと思います。違法だけど正しいと。

MasafumiNegishi :まあ TV番組だから視聴者にわかりやすいように演出したりとかはあると思うんだけど、デタラメはよくないと思うんだ。

kitagawa_takuji :また、どこかで話すネタが増えました。RT @MasafumiNegishi まあ TV番組だから視聴者にわかりやすいように演出したりとかはあると思うんだけど、デタラメはよくないと思うんだ。

MasafumiNegishi :しかしあれだなー、なんでソニーからの1億件近い個人情報の流出が Anonymousの仕業ってことで確定したようになってんのかな? ソニーはサーバに Anonymousっていう名前のファイルがあったと発表しただけで、それ以上はなにもない。捜査当局もこの件で誰もまだ逮捕してないよ?

MasafumiNegishi :なんだかなー、いろいろ調べてわかったことを伝えようとこれでも頑張っているつもりなのだが、まだまだらしい。別に(一部の)Anonymousによる行為を擁護するつもりはこれっぽっちもないが、だからと言って間違った理解やデタラメが広まることには我慢できないのですよ。


はてなのXSSについて。IEの誰も知らないような挙動についても語られています。
hasegawayosuke : とりあえずメモ帳は開いた…

hasegawayosuke :なるほど、IE6/7だと破れそうですね。

kinugawamasato :少なくともIE6ではパスじゃなくてクエリストリングに.htmlつけても動くということが言いたかった

hasegawayosuke :@kinugawamasato サービスパックとパッチの適用に依存しますね。

kinugawamasato :@hasegawayosuke あ、そうなんですねー。とりあえずSP3のフルパッチIE6では動きました。

hasegawayosuke :@kinugawamasato あと、さきのはてなの例で言うと、URLが /expand で終わってて拡張子入ってないからですねー。

kinugawamasato :@hasegawayosuke IE6なら拡張子のドットを%2Eにすると.phpとかでも%2Ephpで通ったりしますね。

hasegawayosuke :@kinugawamasato あと、*.do とかだと、;a.html みたいな拡張子の付与方法もありますね。

hasegawayosuke :Content-Type がIEに未知のもので、URLのクエリ除いた部分の拡張子が 1.存在しない、2.exe 3.cgi 4.dll のいずれかの場合にはクエリストリングの末尾の拡張子がファイルタイプになります。

hasegawayosuke :っていうマニアックな挙動、知ってるほうがおかしい。

hasegawayosuke :世の中に、たぶん自分の知らないXSS方法が存在してるんだろうけど、それがくやしい。

kinugawamasato :IE6で動く場合と動かない場合、何が原因か判明させるの難しい。以前Googleに報告した際に言語以外は自分と同じ環境で動かしてもらったのだけど、再現しないと言われた。ダウンロードになると言われたのでダウンロードを回避する必殺技をやってもらったら再現した。

kinugawamasato :パスに余計な情報つけれないように修正入ったけど、古いIEだとこういう状況のやつはXSSできる。無視するのもありだと思うけどね。

kinugawamasato :余計な情報じゃなくて.htmlだけブロックしたのか、そうとは思ってなかった…。

kinugawamasato :><がそのまま出力されるならほとんどの場合ごちゃごちゃやってればIE6ではXSSできるという認識でいます

hasegawayosuke :一昔前は、>< 出せなくても、charset ついてないならほぼXSSできたんですけどね。

bulkneets :はせがわさんって人がヤンチャしたからutf-7って文字コードが世界から消え去ったんでしたっけ


高木せんせい大勝利のようで。
_jackson :ひろみちゅ先生ありがとう / 2011年11月17日 PlayStationRNetworkおよびPlayStationRHomeオフィシャルサイトをご利用中のお客様へ重要なお知らせ | プレイステーションR オフィシャルサイト http://bit.ly/tgwvUt


その他に気になったことはこのあたり。
kogawam :かつて、はてなのiPhone用ブックマークレット導入ページには脆弱性があった。「このページをブックマークして編集で"?"より前を削除して下さい」という説明にも拘らず"?"以降に何を指定したURLでも通ってしまうというXSS。


suzukimasatomo :岡村久道『情報セキュリティの法律 [改訂版] 』(商事法務)が来週発売される。新たにクラウド、スマホ、ガラケー、ネット家電等のセキュリティと法律問題についても書き加えられたそうだ。情報セキュリティを法学的見地からまとめた唯一の体系書。民刑事、関連特別法の全論点を一覧できる。


piyokango :『少年は公式サイトにウソのトラフィックを流し込み、サイバー攻撃を仕掛けた』 / “英王子挙式でサイト攻撃の16歳ハッカー逮捕 | YUCASEE MEDIA(ゆかしメディア) | 最上級を刺激する総合情報サイト | 1” http://htn.to/NWguCY


mikiT_T :~allでなくて-allを使え。いいね! / 送信ドメイン認証の取組に関する助言 2011/11/4 最高情報セキュリティアドバイザー等連絡会議


gohsuket :あそこセキュ研究で有名 RT @MasafumiNegishi 「高麗大学情報保護大学院の卒業生約50人の電子メールアカウントが集中的にクラッキングされ、国家情報院が調査していることが分かった。(中略) 北朝鮮の仕業である可能性を念頭… 」


sen_u :ハッキングで大学の成績を改ざん http://bit.ly/siTkxM


Yomiuri_Online :パスワード盗まれても…変更の議員は半数以下: http://bit.ly/rv5gGp

テーマ : セキュリティ
ジャンル : コンピュータ

11月16日のtwitterセキュリティクラスタ

本格的に寒くなってきました。

DNSやられるとインターネット立ちゆかなくなるので困りますよねえ。
kaito834 :複数の組織からBINDがクラッシュした事例が報告されているようだ。詳細は調査中とのこと。「Affected servers crash after logging an error in query.c with the followi… http://htn.to/BKirig

yohgaki :Zero-Day BIND Flaw Crashes DNS Servers - Dark Reading http://ow.ly/7w2or


かぶってんだよ修正しろと思ったらちがったらしい。
JVNiPedia :JVNDB-2011-002856: Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性

JVNiPedia :JVNDB-2011-002857: Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性


コピペしてくださいって言われてコピペするんだかと思って参照しているブログを見るとコンテストに参加するためにコードを貼らせるんですね。なんてソーシャル。
ockeghem :『今回の攻撃ではユーザーが不正なJavaScriptをWebブラウザのアドレスバーにコピー&ペーストするよう仕向けられた』<これは脆弱性ではなくてソーシャルエンジニアリングでは? / “Facebookの問題画像の氾濫はWebブラウザ…” http://htn.to/TqaCPs


有名になったり信者が多いものを批判するといろいろ大変みたいですね。
cnet_japan :自分のプレゼンテーションが似非IT専門家から批判されたときの10の対処法 japan.cnet.com/sp/businesslif…


ということで高木せんせいは今日も変な人に粘着されていました。かわいそうに。
hatoyama :今朝のひろみちゅ先生の相手、すごいなあ。ライターなのに既に出ているひろみちゅ先生の主張を読まずにケンカふっかけて、最後に「提示されれば読みます」って。あれですかね、取材できずにプレスリリースだけをネタに記事書く系のライターさんですかね


そしてGoogleだけじゃなくてPlaceEngineもSSID変えろとな。ぼくはやり方わからないのでやってくれと言ったら設定してくれるのでしょうかね。つかMACアドレス情報を集めてその情報を利用することは電波法的には窃用に当たるのではないかと思いますが。
HiromitsuTakagi :おお、PlaceEngineが対応した! http://placeengine.com 「PlaceEngineデータベースにおける無線LANアクセスポイント(AP)情報の取り扱いについて」「…Google社のオプトアウト方法に準拠する形で…AP情報を削除する運用を実施する予定」

AnonymousDiary :【 Google Location ServerからのWi-Fi情報削除とかのまとめ 】(14:12) http://anond.hatelabo.jp/20111116141249


その他に気になったことはこのあたり。
kitagawa_takuji :国土地理院パスワード複雑化、サーバー運用再開  同院は被害を受けたサーバーについて、パスワードが単純で見破られやすかったと判断。再発防止として、パスワードの桁数を増やしたり、英数字や記号を組み合わせて複雑化させるなどした。


MasafumiNegishi :なんと、明日の夜は高倉先生と武田先生がそれぞれNHKで生出演ですか!


lac_security :中国上海ITセキュリティ事情セミナー ~中国(上海)におけるセキュリティ事故事例と日系企業の実態~  (^む)


piyokango :『2011年11月14日、当公社Webサイトにおいて一部ページが改ざんされ不正ファイルが混入し、当該ページにアクセスした時に、悪意のある不正なファイルがダウンロードされてしまう状態となっていたため…』 / “江東区健康スポーツ公社トッ…” http://htn.to/tGQnfN


hasegawayosuke :英数字使わないJavaScriptとPHP by @garethheyes http://bit.ly/uixV5J (powerpoint) http://bit.ly/ua72Dq (pdf)


tessy_jp :12月の最初の週末に The UCSB iCTF ictf.cs.ucsb.edu が開催。学生など教育関係者限定なので、 #spcamp 関連の方とかどう? 昨年はこれに優勝するとDEFCON CTFへシードされました。

テーマ : セキュリティ
ジャンル : コンピュータ

11月15日のtwitterセキュリティクラスタ

昨日はシマンテック主催のセキュリティ脅威の最新動向と対策セミナーが開催されたようです。TLはあまり盛り上がってませんでしたが内容は面白そうでした。
ntsuji :「サイバー攻撃はなぜ防げなかったのか? セキュリティ脅威の最新動向と対策セミナー」( http://bit.ly/rNBZ4O)いよいよ明日です。ボクがしゃべらせていただくところはtsudaりOKです。ハッシュタグは #symtsuji で。みなさんお手柔らかにw

ntsuji :そろそろ会場へ向かいます。TLのみなさん温かくどうぞお手柔らかにお迎えくださいw「シフトする悪意と脅威―PCからの参戦」 http://bit.ly/rNBZ4O ハッシュタグはこちら→ #symtsuji


情報セキュリティ相談センター事務局長の萩原さん
ockeghem :(Unicodeの)制御文字で、EXEという文字列を逆転すると…えーっと、黒板があれば説明しやすいのですが…とにかく実行ファイルをPDFに偽装する…

ockeghem :(紳士の集まりなので、EXEを左右逆転してもEXEだろうというツッコミはありませんでした)

ockeghem :セキュリティの戦略と多層防御を強調しておられましたが、具体的には、従業員にパスワードクラッキングの実演をせよということだそうです


おなじみの辻さん
ockeghem :『怪しいメールは開かない…まったく意味がないとは思わないんですが…』<要はあまり意味がないと言うことですね。わかります。「怪しい」の基準がないものね #symtsuji


シマンテックの広瀬さん
ockeghem :APTで使うマルウェアはウイルス対策ソフトには検知されない…という話をSymantecのスピーカーが淡々と話している…まぁ、言い訳しても仕方ないかw #symtsuji


キャッシュしてるレコードだけは返すDNSサーバー… 再帰問い合わせを許可された人が自分の名前解決したいドメイン名の名前解決することを延々待つわけですね。それってなんて役立たず…
ockeghem :しかし、外部からの問い合わせに、キャッシュは返すけど、再帰問い合わせは禁止するって、どういう状況で必要になるの? というか、これらを別々に設定する目的が分かりません…


なんで1企業のためにSSID変えんといかんのかいな
keijitakeda :グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開

dara_j_ :はぁ?利用されたくなきゃSSID変えろって?普通逆だろ。今のデータは廃棄して_onmapあたりのサフィックスがあるAPだけ改めて使うようにするのが筋だと思うんだがな。/Google、WiFi AP位置情報データベースからのオプトアウト方…


その他に気になったことはこのあたり。
MasafumiNegishi :記者が誤解してるんだと思うけどHBGary事件の話ちょっと違うなあ。でもこの文脈でこの事件を例にあげるとやや混乱するのではないか? > 既存のセキュリティ対策製品をすり抜けるAPT攻撃の脅威 - FFR村上氏 | マイナビニュース http://bit.ly/tESWeG


ma_naka :[memo] 11/17 Thu. 19:30 - 19:56 NHK 「クローズアップ現代」暴走するサイバー攻撃 ~ハッカー集団「アノニマス」の実態~(仮題)  (  )


F0ro :色んなプレイヤーが全く違うルールのゲームを挑んできているのに、自分の知っているゲームだけを延々とプレイしているのが今の標的型攻撃とシステム管理者の関係のように思える。


MasafumiNegishi :WordPressを利用したWebサイトへの改ざん攻撃の増加 (IBM東京SOC) http://bit.ly/vP5Ahu


MasafumiNegishi :2011年、これまでの事例にみる脅威とその対策 第4回 http://bit.ly/vZpi6L


bulkneets :1.JSONPあるいは類似の手法で「Cookieによるパーソナライズをした広告を配信」している場合、訪問者のユーザー属性が推測できる 2.広告主が指定したターゲットに広告を出稿した場合、広告クリック経由で訪問したユーザーはその属性を持っていることが強く推測できる
bulkneets :3.GoogleもFacebookも問題がある実装をしている


snicker_jp :誰でもハッカーになれる「Hacker Typer」でハッカー気分を味わってみた http://bit.ly/tfk1zK


togakushi :とりあえずまとまりなくダラダラ書いておいた。 #avtokyo AVTokyo2011 に参加してきた事。 http://bit.ly/tpZvxY

テーマ : セキュリティ
ジャンル : コンピュータ

11月14日のtwitterセキュリティクラスタ

もはや数年前からオワコンなWEPですが、少しは安全に使える方法があるようです。気になるのはWEPを使わざるを得ない状況ですが、そんなのあるんですね。
zusanzusan :「既存鍵回復攻撃を困難にするWEPの運用とその評価」 塚畝・藤堂・森井(神戸大) #isec201111

zusanzusan :WEPの脆弱性が指摘されている一方で、依然としてWEPは使用されている。本発表では、妥協策として、WEPを安全に運用するための鍵更新法を提案する。 #isec201111

zusanzusan :鍵回復が困難なIV(Strong IV)を使用するのがポイントかな #isec201111

zusanzusan :「WEPは依然として深刻な脆弱性を有するため、より強固なプロトコルであるWPAやWPA2などへの早急な移行を推奨する。本稿はあくまでもWEPを利用せざるをえないユーザがWEPを安全に利用するための妥協策であることに注意が必要である。」 #isec201111


UDPの連続フローが送られ続けるとオーバーフローするらしいけど、途方もなく時間がかかりそうな脆弱性のPoCを試みている人がいらっしゃいます。これはちょっと結果が気になります。
kaito834 :とりあえず心向くままms11-083のPoCを実行し続けよう。丸一日経過。

ucq :@kaito834 たぶん普通にやると数日かかるとおもいますよ

kaito834 :@ucq あ、一応覚悟のうえですw 何日かかるか知りたくて。

ucq :@kaito834 2**32パケットほど送らないといけないので結構時間かかりそうですね。どこかでは50日とか見たような気もしますが。。。

a4lg :@ucq その脆弱性は詳しく見てなかったけど、その数からして整数オーバーフロー?

kaito834 :@ucq PoCのコメントですね、それ。52日。テスト環境のVictimで実際にダンプしてみたら、1000/secでUDPパケット受信できたので、諸々計算してみると5日程度でいけないかなぁと思ってます。

ucq :@a4lg YES。内部の参照カウンタだったかがあふれる

a4lg :@ucq なるほど~。それでカーネルが攻略されうるわけだ。

ucq :@kaito834 おお。数日後の結果を楽しみにしてます:)

kaito834 :@ucq なんだかんだダメだったら、「最低でもXX日ではダメ」という実証結果にしようと思ってます :D

kaito834 :目算があってるかどうかがあやしくはあるけど...面倒くさくて誰もやらないと思うから、一人ぐらいはやる人がいてもいいでしょう。



その他に気になったことはこのあたり。
ockeghem :“11月24日(木)トレンドマイクロ&KCCS共催セミナーで講演します - ockeghem(徳丸浩)の日記” http://htn.to/zQZ1qt


expl01t :これ網羅してるとは思えないけど良記事。ポリシー決め、社員教育、問題想定した事前準備、パスワード管理、SPAMリンクに注意。Reading: 5 Ways Enterprises Can Stay Safer On Facebook #fb


MasafumiNegishi :久しぶりにブログ書いたー。「APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ!」


tamiyata :セキュリティ・ダークナイト連載の辻さんによるおしごと。日本においてExcelの脆弱性は要注目かもしれません。: Excelにおける変数初期化処理の脆弱性(CVE-2011-0105, MS11-021)に関する検証レポート http://ow.ly/7sp4h


s_hskz :#AVTokyo web-talkで私が使ったスライドをアップしました。内容がスッカスカでもうしわけありませんが、よろしければどうぞ。 ( )


bulkneets :AVTokyoのパネルディスカッションで喋ったのだけど、セキュリティと利便性がトレードオフであるというの、正論っぽく聞こえて便利なんだけど、両立させる方法を思いつかない人が安易に使ってしまう。本当にトレードオフになるような状況ならオプトインで提供すべき。

bulkneets :セキュリティと利便性が両立しない時に、リスクについて周知させた上で、CSRF上等とかクリックジャッキング上等、利便性のほうが大事という人のみ有効にする実装はありうるけど、実際はそういうことが行われない。何でかというとリスクについて周知する=脆弱性、悪用方法を公開することになるから

テーマ : セキュリティ
ジャンル : コンピュータ

11月12~13日のtwitterセキュリティクラスタ

AVTokyoお疲れ様でした。疲れたけど楽しかったです。昨日はまだ元気だったのですが、月曜日になって疲れが出てる気がします。老化でしょうか。

そのときの思い出を消えないうちにまとめておきました。


そして、会場で撮った写真はこちらに掲載されています。ストロボを忘れたのは内緒です(;´Д`)残りはFacebookで。
ScanNetSecurity :【フォトレポート】日本発の国際ハッカー会議 AVTOKYO、国内外から過去最高の入場者 http://dlvr.it/vsMp9


最後ぐったりしていた@sen_uさんの開場前の会場の写真です。ここがぎっちり埋まってったんだなあと。
sen_u :AVTOKYO2011終了、Photo Report(開場前のみ) http://bit.ly/so2VSI


裏方の方はいろいろ大変だったと思いますが、おかげでいい思い出ができました。楽しかった思い出を胸にがんばって仕事します…
yoggy :オープニング映像を2F,3F,4Fで同時にスタートさせるために作ったコードの残骸

yoggy :↓は複数のブラウザからコマンド操作しても同じ内容(HTML+Flash)が表示されるコードだけど、これを応用してXSSで面白いことができた人が優勝とかのコンテストしても面白かったかも?といまごろ思ってみたり


ハカーコワイコワイヒー。
murachue :No drink, No hack. => Drunk, and Hacked (飲み過ぎて気持ち悪かったので寝たら、Android端末のロック解除されて(ショルダーハッキング?)勝手に操作された。)


Googleは個人の電波傍受が問題だったのではなく、通信事業者の通信を盗聴ってそんなアグレッシブなことできるんですね。
amasawa_seiji :@eyasuyuki @typex20 個人のwifiの通信を盗聴したということではなくて、電気通信事業者の通信を盗聴したのがだめだということですね。


もう年末ですよ。
kitagawa_takuji :TIME誌のPerson of the Year 2011にAnonymousがノミネートされている


その他に気になったことはこのあたり。
piyokango :更新。/総務省のウィルス感染事案をまとめてみた。


piyokango :『ことし6月、海外の日本大使館など在外公館の職員や東京の外務省の職員合わせて678人のコンピューターに、いわゆる「標的型メール」が送りつけられる』 / “外務省 不審な通信記録監視強化へ NHKニュース” http://htn.to/qWEFoe


kaito834 :PacketStorm の MS11-083 の脆弱性を悪用する PoC()を試してみる。

kaito834 :.@kaito834 PacketStorm の MS11-083 PoC()を同一LANのWin7に実行すると、それだけでそのWin7に(実行中ずっと)負荷がかかる(軽いDoS状態に陥る)。

テーマ : セキュリティ
ジャンル : コンピュータ

11月11日のtwitterセキュリティクラスタ

昨日は1並びのイベントが盛んだったようでしたが雨だったので一歩も外に出ませんでした。今日は外に出たいと思います。

今日はAVTokyoですね。去年までは夜酒飲んで騒ぐイベントでしたが今年からは昼開催でどうなることやら。
eagle0wl :@avtokyo 俺様専用メモ(重要)/12日12時開場13時開始/クラブアクシス渋谷/前売購入組:QRコード準備/ドレスコード:サンダル(女性は可)、過度な軽装の禁止/禁止行為:ドリンク持込、喫煙、撮影(セッションによる)/持参物:(年齢チェック)身分証明書 #avtokyo

eagle0wl :@avtokyo 俺様専用メモ(推奨)/持参物:立ち見対策用のイス、名刺(学生や無職は自作すべき。絶対用意するべき)、(スライドの文字が見えない人は)眼鏡、机はないので紙とペンな人は要対策/酸欠しやすい、体調を崩しやすい人は適度に外に出て空気を吸う #avtokyo

eagle0wl :@avtokyo 俺様専用メモ(最重要)/積極的にコミュニケーションを試み、楽しむこと。スタンドアロンな参加者を見かけた場合、積極的にリンクするなりフォローしてあげてください。英語がわからなくても片言でもなんとかなります(必須スキル:度胸)。 #avtokyo


今さらながらGoogleが無線LAN APを調べてマッピングしたときに他のデータも傍受してたんじゃないか疑惑が問題になっているようです。
HiromitsuTakagi :うわ!意外。これから読む。→ グーグル株式会社に対する「通信の秘密」の保護に係る措置(指導)

HiromitsuTakagi :ストカーの無線LAN傍受問題の発覚(ドイツの個人データ保護局による指摘で発覚)は、2010年5月。1年半も経ってるわけですが……。総務省が報告を求めたのがいつの時点かとか、グーグルが回答したのがいつの時点かとか。時系列を取材してほしいなあ > マスコミ各位。

HiromitsuTakagi :担当が消費者行政課ということで、もしや、利用者視点(略)諸問題研究会の関係?先々週に会合があったようだし、と を見てみたが、とくに記述なし。

HiromitsuTakagi :諸外国の動向を見ると、プライバシー法のある国では、プライバシーコミッショナーにより罰金が科されていたりする一方で、通信の盗聴に対する刑事罰からの追求はあまりうまくいっていない様子。暗号化されていないWiFiはパブリックなものだから盗聴にあたらないという主張に対抗できるかどうか。


その他気になったことはこのあたり。
kitagawa_takuji :「日韓でサイバー攻撃に関する情報共有を」、共同声明発表 - @IT


kinugawamasato :Microsoftのバグ報奨金プログラム?


hasegawayosuke :なんかPC重いと思ってタスクマネージャみたら、非表示な状態でcalc.exeが20個くらい立ちあがってて超怖かったけど、よくよく考えたら少し前にテスト用に作ったやつだった。すっかり忘れてた。焦った…


ScanNetSecurity :覆面座談会「優れたペネトレーションテスト会社の選び方」第1回 いいペンテストとは(ダイジェスト版) http://dlvr.it/vbCPY


ntsuji :同社は「対策ソフトの能力を上回るサイバー攻撃があった。現段階ではソフトの機能を上げるしか対処法はない」と言っているそうですが、ソフトの機能をあげてDDoSなんとかできます? / 電子申請サイバー攻撃 10県200市町村に波及 - http://bit.ly/szRvqx

ntsuji :発信元のインターネット上の住所を示すIPアドレス(識別番号)の一部は、実在する法人になりすましていた。って踏み台なのかもですね。 / 電子申請サイバー攻撃 10県200市町村に波及 - http://bit.ly/szRvqx


kitagawa_takuji :総務省サイバー攻撃、職員家族の個人情報流出か ウイルス付きメールは、他省の実在する男性職員の名前で送信されており、受信した総務省職員と面識があることも判明。男性職員は「送信していない」と話していることから、総務省は攻撃者が男性職員になり


topitmedia :FBI、マルウェアを使ったネット広告詐欺を摘発 世界で400万台に感染 http://r.sm3.jp/3acG

Yomiuri_Online :史上最大規模400万台のボットネット摘発 : ネット&デジタル : YOMIURI ONLINE(読売新聞) via @yomiuri_online


ripjyr :Xoopsユーザグループになんか大変な連絡が来てるみたいだ。QT Xoops Users Group Japan myalbum-p利用による登録商標侵害の可能性について http://bit.ly/sB132U(2)http://bit.ly/sCcftw


jpcert :Adobe Flash Player の脆弱性に関する注意喚起(更新版)を公開しました。^YK


tamiyata :エフセキュア、ミッコ・ヒッポネン氏インタビュー。:記者も感染しました……:スマホウイルスはどのくらい怖いのか? (1/2) - ITmedia ニュース http://ow.ly/7pVq8

テーマ : セキュリティ
ジャンル : コンピュータ

11月10日のtwitterセキュリティクラスタ

今日は1並びでポッキーの日だったりするのですか。それはそうと雨ですね。

PacSec、FOCUS JAPAN、そして明日はAVTokyoと今週はイベントが続いています。明日は最初から最後までAVTokyoにいる予定です。
kitagawa_takuji :今日はマカフィー「FOCUS JAPAN 2011」に参加したが mcafee.com/japan/seminar/… PSN/SOEからの情報流出の犯人がAnonymousであることを確定事実のように話している講演者ばかりだった。


結局いくら機械的にがんばっても結局人間の弱点を突かれれば終わりですね。
kitagawa_takuji :不正アクセス:容疑で中学生を書類送検 北九州市の男子2人を--柳井署 会員制交流サイトで、同サイトで使える仮想通貨を無償譲渡するのでパスワードを教えてほしいと島根県浜田市の中学生や田布施町の小学生に持ちかけ、パスワードを不正取得し、


一方こっちはLive IDがパスクラックされてるみたいです。
kitagawa_takuji :XboxLiveのアカウントハッキングに新たな被害者、突然アカウントを乗っ取られ有料コンテンツを買われる via @htmk73


1.5か1.7がメジャーなんでしたっけ。
packet_storm :Joomla 1.6.3 Cross Site Scripting http://packetstormsecurity.org/files/106829 #advisory


その他に気になったことはこのあたり。
trendmicro_jp :[セキュリティブログ]明らかになった巨大ボットネットの正体-史上最大規模のサイバー犯罪を摘発 http://blog.trendmicro.co.jp/archives/4600


yohgaki :Cloud Services Credentials Easily Stolen Via Google Code Search - Dark Reading http://ow.ly/7prBr 世の中とはこんなものです。。


jssec_org :スマホ+無線LANでフィルタリングすり抜け 携帯各社、対策急ぐ | MSN産経ニュース


nikkeibpITpro :ハッカー集団とはナニモノか(過激化するサイバー犯罪) http://nkbp.jp/smY9OE #itprojp


connect24h :Wiresharkの解説サイト探していて発見。よさげ。LANプロトコルトレーニング http://owl.li/7oUW9 #spcamp


amatubu2000 :ようやくメモをまとめた。名古屋情報セキュリティ勉強会#2 #nagoyasec


matcha445 :勉強会に参加し始めて変化したいくつかの事 - tmmkrの日記 (id:tmmkr / @tmmkr)


masa141421356 :<script>function a(e){alert(e)}</script><frameset onload=a(0)>....</frameset> Why not work on IE9? (error console sais a is not defined)


kitagawa_takuji :狙われる公的機関、あなたは大丈夫? - 記者の眼:ITpro http://nkbp.jp/ujbwca #itprojp


piyokango :『同社は「大量のアクセスで処理能力を上回っただけで、情報漏えいはない」としている。』 / “200自治体のサイトに障害か 富士通にサイバー攻撃  :日本経済新聞” http://htn.to/uGqBFD


packet_storm :John The Ripper 1.7.8 Jumbo 8 http://packetstormsecurity.org/files/106815 #infosec


bulkneets :はてなブログ、loginは信頼できる人が押さえてあるので安全です http://login.hatenablog.jp

テーマ : セキュリティ
ジャンル : コンピュータ

11月9日のtwitterセキュリティクラスタ

@ITのまとめまとめが公開されましたよ!
mkdx :AppLogとメディアプレーヤーがインパクトありすぎ! RT @yousukezan: 公開されたのでみんな読め!うそです読んでみてくださいお願いします 2011年10月版 Androidアプリに関する話題から目が離せない! - @IT http://bit.ly/suK0rK


PSNのトロフィーが公開されたりする問題でなぜか2chのゲハ板の人たちが特攻を繰り返しているようです。もちろん返り討ちに遭ってるわけですが、その過程で勉強して浄化されていくという不思議なドラマが繰り広げられているのが面白いです。
ChihiroShiiji :自分がトロフィーを誇りたいのだから他人も当然そうある筈→公開当然と言う思い込みが凄い。あと事実上の仕様と顧客向けの説明の区別ができてない人も多いような…。両者の乖離が問題だという話でもあるわけなのだが…。 http://togetter.com/li/211773

ChihiroShiiji :…なんというか自分と友達くらいまでしか見えてないという印象だな。どう悪用しうるかとかの想像力に欠けるというか。それと具体的な話の前にまず相手の人物を貶すところから入るという特徴も。 http://togetter.com/li/211773

ChihiroShiiji :まとめててオマイラ何周遅れだよと思うわけだが…しかしなんというか、一人一人は軽量級だが数が凄いな。後から後から湧いて出る。 http://togetter.com/li/211773

connect24h :2ちゃんねらー、高木先生大好きだな。 はちま起稿 : セキュリティ専門家がPSNに対して怒っているのはネカマがバレたから? http://bit.ly/ul5yTn

rocaz :Twitter民のPSID検索できるね

youkoseki :高木先生に突撃してるゲハ勢をサンプルにゲーマーは愚かとかいうのはやめていただきたく思います。なおXBOXは実績の非公開も選べますので仕事もせずゲームに明け暮れたい皆様にオススメします。


昨日はセキュリティカンファレンスPacSecが開催されていました。あまり中からツイートはないようでしたが、きっとためになる話がたくさんあったのだと思われます。
sen_u :標的型攻撃を緩和する方法。Office製品タイプにはMSのEMETが有効、PDFタイプにはAdobe Readerを使わないこと。何で他のPDFリーダーの選択肢があるのにAdobe製品使うんだ?すぐアンインストールすべきだよ。 #PacSec

sen_u :Marat氏による組織の人間に対するペネトレーションテストの話でした。標的型攻撃的なやり方で釣りまくれそう。 #PacSec


福岡市などの電子申請のサーバーにDoS攻撃があって業務が止まっているようですね。まあ図書館のようなこともありますので仕様かもしれませんが。
604T :福岡市など電子申請ダウン、富士通サーバーに攻撃か : 九州発 : YOMIURI ONLINE(読売新聞) 物騒な土地柄ネタを見てたので、ドス攻撃というと別のものを想像してしまふ…

ts_hitorigoto :<外部から大量のアクセス集中>福岡市にサイバー攻撃か 電子申請サービス停止 [11/10 02:47] http://s.nikkei.com/skvfAL

NISHINIPPON_S :【福岡県】 福岡市にサイバー攻撃? 電子申請が利用できず: http://bit.ly/sfSbv4


そしてまたまた認証機関がやられてしもうたようです。
ScanNetSecurity :SSL証明書の認証機関がセキュリティ侵害により証明書発行停止、またもや(The Register) http://dlvr.it/vNttD


これだけ特徴があると立てた人の特定は早そうですがまあ。そういや以前どこかのチームが自作自演でがんばってたのを思い出しました。
bita_wan :ハッキング(笑)の研究してるけれど質問ある? http://bit.ly/rp2rYi


その他に気になったことはこのあたり。
kitagawa_takuji :世界を変えるのは、革命ではなくハッキング


rap_city :iPhoneちゃんねる:iOS5でWi-Fiなどの設定画面を一発で開けるアイコンを作れることが判明


connect24h :第21回セキュリティもみじセミナー募集開始 11/26 今回はラスべカスのDEFCON CTF本戦出場の愛甲さんにご講演頂きます http://owl.li/7nYLH キャンプ関係者もどうぞ。#spcamp


mimura1133 :人気ブラウザ「Mozilla Firefox」に脆弱性を利用する「PoC」を徹底検証 - テクニカルレポート http://blog.trendmicro.co.jp/archives/4576 こういう詳しい記事は、さらっと読んでてもおもしろいw


?photo_id=1#!/kinugawamasato :before after #firefox #xss http://pic.twitter.com/5x4Gsuke


hasegawayosuke :「今回、ウェブブラウザの問題として届出をいただきましたが、…(略)…が可能となる問題を、(ウェブサイトではなく)ウェブブラウザの問題であると判断された理由(発見者様として考えがございましたら)を教えて頂きたくお願い致します。」というメールがIPAから。直感でッ!!そう感じたから!

テーマ : セキュリティ
ジャンル : コンピュータ

11月8日のtwitterセキュリティクラスタ

いろいろとWindowsで脆弱性が発見されているようです。アップデート待ちましょう。
piyokango :“マイクロソフト セキュリティ情報 MS11-083 - 緊急 : TCP/IP の脆弱性により、リモートでコードが実行される (2588516)” http://htn.to/TqBf5p

piyokango :影響を受けるのはVista以降のWindowsなんですね。XPや2003は対象外の模様。


Shingi :これは……7からXP、Server 2003/2008までとは広範囲な……。 / “脆弱性 - シマンテック” http://htn.to/8m8LV1


今さらなかんじですが、IPAが埋もれてた昔の報告を発掘したんですかね。
hasegawayosuke :「この脆弱性情報は、2007年9月20日に IPA が届出を受け」 RT @lumin これ3年ぐらい前の話だった。いまごろ・・。 … JVN#16901583: 茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性 http://jvn.jp/jp/JVN16901583/


危険なのはAndoroidだけじゃないんですよね。
cubedl :[セキュリティ][パスワード]気になるのはパスワードだね。使い回し、文字数、文字種、ランダム性。 / “知らないうちにiPhoneにアプリが6個もダウンロードされてるんだが : iPhoneちゃんねる” http://htn.to/4L6h4e

gnue :iPhoneアプリの不正購入の被害にあった人は、まずチェックリストを確認して欲しいな。 1)他のサービスとメールアドレス・パスワードがいっしょでないか 2)PSNに入ってなかったか 3)不信なメールを受取らなかったか、それをクリックしてパスワードを入力しなかったか


恒例の文書へのセキュリティ監査が入っています。書く側はブログでも常に批評に晒されること念頭に置いて、いい加減なこと書かないようにしなきゃなりませんね。
ockeghem :日記書いた / “「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記” http://htn.to/tZjvwK

sen_u :堂々の一位受賞(;´Д`) RT @ockeghem: 日記書いた / “「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記” http://htn.to/tZjvwK

yohgaki :@ockeghem 私の記事も15位以内なのですね。普段、はてブは見ていないのですが、全く勘違いしてコメントしてる人も居ますね。識別子のエスケープが必要ない、なんていうのはもう笑うしか無いです。管理ツールを知らないのでしょうね。


土曜日はAVTokyoです。私はなんだかプレスの人になるらしいです。
avtokyo :タイムテーブルに変更が入りました。ご確認くださいっ! 

avtokyo :諸注意 ja.avtokyo.org/avtokyo2011/ne… ・会場ではドリンク持ち込み不可ですのでご注意ください・セッションによっては撮影NGのものもありますのでご注意ください。NGのものはセッション開始時にアナウンスがあります・20歳未満の方:当日は学生証など身分証明書をお持ち下さい



その他に気になったことはこのあたり。
pc_online :スマートフォンを狙った「ワンクリック詐欺」が出現 --- ニュース: トレンドマイクロは2011年11月8日、スマートフォンのユーザーを狙った「ワンクリック詐欺」が確認されているとして注意を呼びかけた。 http://nkbp.jp/umht51


HiromitsuTakagi :後半を書いた。「テレビ録画機「トルネ」の視聴ジャンルが無断公開されている」 - 高木浩光@自宅の日記 2011年11月6日


t_ashula :ua に <script って入れておくと nec.co.jp に拒否られる.


msaitotypeR :IIR Vol.13 リリースしました。 


typex20 :ここ数日、インターネットの調子が悪いのはこれかな。。 / “yebo blog: JuniperのBGPに問題があり、広範囲にネットワークがダウン” http://htn.to/4FKctU


ScanNetSecurity :Scan創刊13周年感謝キャンペーンは今週いっぱいで終了です。銀行振込の場合は振込手数料がかかります


kitagawa_takuji :しつこい標的型攻撃 - 過激化するサイバー犯罪:ITpro http://nkbp.jp/toOXS0 #itprojp


hasegawayosuke :はてなブログ、普通に 書けて、それはXSSじゃないってのが周知されないと無駄にマイナス評価されたりcho45さんの仕事増えたりしそう。

テーマ : セキュリティ
ジャンル : コンピュータ

11月7日のtwitterセキュリティクラスタ

はてなブログが招待制で始まったようですが、もちろん基本ぼっちの私も誘われてません… というかこの数年使ってないid:bogusを思い出しました。
piyokango :はてなブログに誘われなくて悔しいのではてなダイアリーでxssを見つけたでござるの巻。


第三者が編集することで自分の話したことが意図と違うように伝えられてしまうのは仕方ないのかもしれませんが、なかなか難しいところです。
keijitakeda :NHK9時のニュース:私のコメントが使われるかもしれません。(使われないかもしれません。)NHK総合ニュースウオッチ9 「狙われる水道、原発もサイバー攻撃が激化」

keijitakeda :そうそう本当にインタビューで言いたかったのはすでに特定のセクターの問題だけではなくて、全日本的に広く深いところまで入り込んでしまっているからオールジャパンで総点検が必要っていうこと。でも今回のニュースの文脈と違うから当然使われなかった。誰か拾って!!


そして、twitterのリアルタイム報告もいいことばかりではないようで、これもツイートされるところは発信者の意図によって変わってきますからね。
ripjyr :第2回名古屋情報セキュリティ勉強会で竹森さんと話をしていたのだが、「Twitterの一部分の切り抜きで全体を評価してほしくない」ってのは全力合意。プレゼンの流れで、問題点A・B・Cだけを見て「スマートフォンは危険とか言ってほしくない」 #nagoyasec(続く)

ripjyr :(続き)全体を通して解決策A・B・Cまで聞いてもらって評価してもらいたい、特に問題点TweetはRTで増殖して広く広まるが、解決策のTweetはRTが少ないので断片を見るだけでは、解決策が無いように見えるのも問題。 #nagoyasec

ripjyr :実は@NobMiwaさんも第1回#nagoyasecで言っていたけど「講義中Tweet禁止、終わってからまとめて評価して書いてほしい」良い所-悪い所をバランス取ってプレゼンしてもTwitterのリアルタイム性と拡散性で悪い方ばかりが広がってしまう。これはTwitterの悪い癖

ripjyr :ほら、(続き)側ってRTされないし。


その他に気になったことはこのあたり。
ScanNetSecurity :海外における個人情報流出事件とその対応「新手のタイポスクワッティング攻撃」(1)攻撃方法は2種類 http://dlvr.it/v581w


kaito834 :「Smart cover」を使ったiPad2におけるロック回避の問題が、iOS 5.0.1で修正されるようだ。 / “apple-fix-ipad-2-smart-cover-flaw-ios-501-110711” http://htn.to/gKkaSy


dayofsecurity :研究室の植村崇史君が研究で開発した「Gumblar等の不正リダイレクトの対策用プログラムRPF ( RequestPolicyFramwork )」を下記URLに公開しました。http://rpf.isl.im.dendai.ac.jp ご自由にお使いいただけます。


HiromitsuTakagi :とりあえず前半まで書いた。「何が個人情報なのか履き違えている日本」- 高木浩光@自宅の日記 2011年11月6日


roaring_dog :「FFFTP 1.98c」公開、FTPS Implicitに対応 -INTERNET Watch via @internet_watch


zusanzusan :SCIS 2012: 参加登録と宿泊予約を開始しました


jpcert :安全なソフトウエア開発のための「CERT Oracle Java セキュアコーディングスタンダード」日本語版を公開しました。^YK http://jpcert.or.jp/java-rules/


expl01t :出口対策.ホワイトリスト型フィルタリングなどのお話..o0 (ログ取りで後々痕跡を見つけられても,リアルタイムに防御できるかは別) Reading: ラック西本CTOに聞く標的型攻撃対策 標的型攻撃の被害を防ぐ“特効薬”は「ログ管理」


JVN :Microsoft Windows の TrueType フォント解析処理に脆弱性


oracletechnetjp :Ask Tomのトム・カイトが語るデータベースセキュリティ「DBAがセキュリティ課題に取り組むべし」 http://bit.ly/umQQWV #oratech

テーマ : セキュリティ
ジャンル : コンピュータ

11月5~6日のtwitterセキュリティクラスタ

なぜか手首を痛めてしまい微妙に困ります。

このところ週末になるとプライバシー問題が提起されるようで、今週はソニーのPSNがつるし上げられていました。
typex20 :まとめました。(現在進行中です) #psnjp #ps3jp #pspjp #playstation #applog / “ソニー・PSN/PlayStation Networkのプロフィール情報が無制限に公開されている問題について …” http://htn.to/k8oo9n


phpが5.4にアップデートされたようですが、むやみに自分の環境を変えるのは危険みたいですね。
sen_u :デフォルトがUTF-8に。動かなくなるアプリもあるので要チェック。 RT @ockeghem: 日記書いた / “徳丸浩の日記: PHP5.4のhtmlspecialcharsに非互換問題” http://bit.ly/rPC273

hasegawayosuke :「PHP 5.3と動作が同じとなるようにパッチをコミットしておきました。」 PHP 5.4におけるhtmlspecialchars()の問題 - Opensource days


この人って情報セキュリティ専門家だったのですか。あと前回のFD記事へのツッコミに対する苦しい言い訳がほほえましいです。
topitmedia :萩原栄幸が斬る! IT時事刻々:最近うわさのサイバー攻撃を斬る! - ITmedia エンタープライズ


RLO!
internet_watch :Unicodeの制御文字を使いファイル名偽装、ウイルス「RLTrap」検出報告5万件 http://bit.ly/tPR6Aa

hirotan1975 :「EXEファイルをPDFに見せかける」、拡張子偽装のウイルスが猛威 - ニュース:ITpro http://nkbp.jp/uECKkN


その他に気になったことはこのあたり。
kitagawa_takuji :We Are Legion: The Story of the Hacktivists - Trailer  アノニマスをテーマにしたドキュメンタリーの予告編 2012公開予定


sen_u :今度はイスラエル政府がAnonymousの標的に http://bit.ly/uWL2fe


ripjyr :11月26日(土)は第6回東北情報セキュリティ勉強会 in 秋田 with Akita.m(#THK_ITS)です!スマホセキュリティをデモを交えLACの山城さんにしていただきます興味のある方は是非!なお学生は勉強会参加費無料です!>


piyokango :“暗躍するサイバー産業スパイ - 過激化するサイバー犯罪:ITpro” http://htn.to/uwCWcP


devilok :Damn Small #XSS Scanner (DSXS) http://bit.ly/vQDhts #Python


ericlaw :#FiddlerCore v2.3.7 is now available. Also available is a downloadable .CHM file containing the #Fiddler2 (Core) API. http://fiddler2.com/fiddler/core/

テーマ : セキュリティ
ジャンル : コンピュータ

11月4日のtwitterセキュリティクラスタ

AVTokyoまであと1週間です。スピーカーの方々の資料作成も佳境に入っているようです。
07c00 :AVTokyoの資料作成がまったく終わる気配がないというか英語ってのが微妙に大変というか数式とグラフばっかなので1ページ作るのにも結構時間かかるっていうかよく考えたら内容がセキュリティと関係ないというか期限までに終わらなかったらごめんなさいというかそんな感じですごめんなさい。

hasegawayosuke :AVTokyo、資料作るのは諦めた系。

07c00 :ぶっちゃけ、自分は@wakatonoさんのネタかなり楽しみにしてますー(真面目に)。というかショートの人たちも楽しみなネタがかなり多いので、ロングでお願いって感じだったりするんだけどもw個人的にはw

wakatono :ロングは次ですねー。楽しいものを出す気満々ですよw>次回 QT @07c00: ぶっちゃけ、自分は@wakatonoさんのネタかなり楽しみにしてますー(真面目に)。というかショートの人たちも楽しみなネタがかなり多いので、ロングでお願いって感じだったりするんだけどもw個人的にはw

hasegawayosuke :AVTokyoのLT、「5分で探すXSS」とかにしようかな…。


入力したアカウントにスパムが送られてくるようになるとかだとシャレになりませんが。
MasafumiNegishi :外部に漏洩したアカウント情報を溜め込むサイト Pwned Listを DVLabsの研究者が開発。現在約500万アカウントが登録されている。ユーザは自分のアカウントが被害にあっていないか確認できる。こういうの他にもいくつかあったよね。 http://pwnedlist.com


その他に気になったことはこのあたり。
MasafumiNegishi :Microsoftが Duquで利用された 0day脆弱性への対応発表。Workaroundsあり。パッチは準備中。


takesako :国際セキュリティカンファレンス #POC2011 に参加中なのですが、APT攻撃の説明で「三菱」の社名が連呼されてる。女性講演者が普通にバイナリエディタでSWF開いたり、丁寧にPDF in Flashの構造やシェルコードを解説したりしていて韓国すごい。HeapSprayの説明きた


ScanNetSecurity :ブラウザブロックによる課金要求サイト、iOSは自動復元機能により消せず(Dr.WEB) | @ScanNetSecurity


mozillajp :DigiCert Sdn. Bhd. 社の中間認証局の信頼取り消し - Mozilla Japan ブログ http://goo.gl/fb/5liqd


piyokango :“サーバーへの直接攻撃の8割は古典的 - 過激化するサイバー犯罪:ITpro” http://htn.to/TEdNeo


piyokango :『当該メールの件名は、「平成23年(2011年)東北地方太平洋沖地震(東日本大震災)について(平成23年7月26日 17:00):緊急災害対策本部発表資料)」という、震災に関連する内容を騙ったものでした。』 / “総務省|総務省におけ…” http://htn.to/RsLf3h

piyokango :総務省事案の件名は内閣府の防災情報サイトから拾った可能性大ですね。『被害状況等』のPDF資料名がこの件名と日付以外一致していますし。 / “内閣府 防災情報のページ” http://htn.to/4R1RtH


matsuu :Webアプリの脆弱性テストツール。言語はJava。Linux/OSX/Winで動作する。日本語インタフェースもある。 http://code.google.com/p/zaproxy/zaproxy

テーマ : セキュリティ
ジャンル : コンピュータ

11月3日のtwitterセキュリティクラスタ

今日仕事するとまた休みなんて得した気分ですね。

ウイルス供用罪で初めて逮捕された人の罪の内容に関する高木先生による分析というか推測というか。
HiromitsuTakagi :yomiuri.co.jp/e-japan/tochig… 「同じサイトが次々と開く仕組み…動作許容量を超えると停止」この書きぶりだと、昨日のテレビ映像は、あくまでウィンドウを開くことだけを再現した県警のデモで、実際の犯行内容は、チャットサイトのXSSでタグを書き込んだということかなという印象。

HiromitsuTakagi :mainichi.jp/area/tochigi/n… 「パソコンの画面にウェブページが大量に表示される状態に陥らせ、このサイトのチャット(コンピューターネットワーク上の会話)を利用不能にさせたとしている。」「男性から県警に「自分が管理運営するサイトが攻撃され実行できなくなった」という相談…」

HiromitsuTakagi :やっぱり疑問だな。こう考えたらどうか。まず、あるWebサイト運営者が自分で自分のサイトで沢山のウィンドウを開くscriptタグを書いたとする。閲覧する人たちがいて、「なんだこりゃうざい」とほとんどの人が思ったとしても、それで不正指令電磁的供用罪というのはおかしい。次に、…

HiromitsuTakagi :…次に、サイト運営者の意思でではなく、何者かがそういう同じscriptタグを勝手に埋め込んだ場合。起きる結果は同一であるが、こちらは犯罪っぽいものとなる。しかし、そこで問われる罪は、業務妨害罪(電子計算機損壊等業務妨害罪を含む)であって、不正指令電磁的記録の罪ではない。なぜなら…

HiromitsuTakagi :…なぜなら、閲覧者側としては、もたらされる結果は先と同じだから、先の仮定により該当せず、他方、サイト側として、不正指令電磁的記録の供用があったかというと、サーバの電子計算機における実行の用に供されたわけではないので、それも該当しない。

HiromitsuTakagi :(続き)その点、下野新聞の記事 shimotsuke.co.jp/news/tochigi/t… では「県警によると…容疑者は…数百回立ち上がり邪魔をする…を作成…男性へ数回送りつけたという。チャットの画面を開いたほかの不特定多数の利用者のパソコンにも、一時ウイルスが感染したとみられ 」となっていて、…

HiromitsuTakagi :…なっていて、チャットサイトへのscriptタグの書き込み自体を「ウイルス感染」と県警がみなしている様子がうかがえ、それを不正指令電磁的記録供用だと言うのなら、法解釈の誤り(チャットサイトのサーバの電子計算機における実行の用には供されていないので)だ。

HiromitsuTakagi :あ、違うか。チャット運営者が閲覧に使ったパソコンに感染したという意味なのか。だから「男性へ数回送りつけた」なのかな。実行の用に供されたのはチャット運営者の閲覧用パソコンと。でないと「ほかの不特定多数の利用者のパソコン…一時…感染したとみられる」だけじゃ、供用既遂にならないからね。


その他に気になったことはこのあたり。
takesako :デイリーセキュア #POC2011 中国人ハッカーXiabo Chan氏、Vessial氏、Zwell氏へインタビュー「韓国の個人情報70%が中国で流通」「ハッキングツール開発者への法的罰則」「体系的な勉強のためには大学教育が重要」


kitagawa_takuji :相次ぐサイバー攻撃、対策ソフトはクラウド連携で応酬  :日本経済新聞 http://s.nikkei.com/uR8p15


FSECUREBLOG :「Duqu」攻撃のインストーラを発見:  ハンガリーのセキュリティ会社「CrySyS Lab」が、悪名高い「Stuxnet」との関係で今や良く知られている、「Duqu」のインストーラを発見した。同インストーラは、電子メール... http://bit.ly/udeAVj


piyokango :あなたの職場、メールやパソコンのセキュリティー、ちゃんとしていますか?

テーマ : セキュリティ
ジャンル : コンピュータ

11月2日のtwitterセキュリティクラスタ

今日は祝日なんですね。

ウイルス供用罪による逮捕者第一号が出ましたが、なんとウイルスではなくブラクラだそうです。感染しなくても逮捕されるんですね。過失だと大丈夫だと思いますが、掲示板にタグを入れてみたりするのが趣味の人は注意しましょう。
19x19 :ブラクラとはこれはまた地味な、警察で第一号はこれでいくぞみたいな議論をしてこれんだろうな RT @mainichijpnews: サイバー犯罪:ウイルス供用罪を初適用 44歳容疑者逮捕 http://bit.ly/rNSI2s

biac :「ウィルス供用事件証拠品」の写真は貴重だな。左側、プリントアウトした紙に見える QT @Vipper_The_NEET: ヘッドライン | 社会 | ウイルス使用容疑で逮捕 栃木県警、改正刑法を初適用 - 47NEWS(よんななニュース)

you_0708 :デモだとチャットサイトっぽいものを表示しているブラウザ上で ActiveX 使ってる。 / “FNNニュース: チャットサイトサーバ...” http://htn.to/H1jD8M

h_okumura :法務省がマルウェアをウイルスと呼ぶのはいいのですが,rm -rf / でなく javascript:while(1){alert("アホ")} が初のウイルス供用罪による逮捕というのはおもしろく感じました RT @biac: 法務省の解説

ntsuji :ブラクラって「コンピュータウイルス対策基準」に書いてある「自己伝染昨日」「潜伏機能」「発病機能」のうち「発病機能」を満たしてると言えちゃうんですかね。

kazuho :for(;;)alert(1)とかツイートして、エスケープ不十分なクライアントで表示されちゃったりしたらウィルス教養罪で逮捕


DNSサーバの危険性に警鐘を鳴らすべく、自ら毒入れをしてキャッシュポイズニング可能なDNSサーバを使っている人に警告するサイトを始めた人が現れたようです。
qmailjp :RT @tss_ontap インターノット崩壊論者の独り言「毒入れしてみた」

ockeghem :危険なDNS設定への警告として合法的な「毒入れ」を敢行したとのこと。私の環境からは警告画面は見えなかった / “危険なDNSサーバの利用者へ警告 - インターノット崩壊論者の独り言(2011-11-02)” http://htn.to/4uscuL

qmailjp :@ockeghem 今見えないのは、リストが小さいからかもしれません。:-) 本当に安心するためには優良じゃない有料のサービス(まだない)を勧めたいところです。:-) 徳丸さん、やったら。

ockeghem :@qmailjp DNSサーバーの検査は、ペネトレーション検査の業者に頼めばやってくれると思いますけどね。特定ツールに頼りきりのダメ業者だとできないでしょうが

umq :DNS の検査ができる人のことはわからないけど、検査をメニューに入れてる業者は実質皆無じゃないのかな。いたら、失礼_( )_


IE8ってtxtなのにhtml扱いされてびっくりしたので使わない方がいいと思いました。
internet_watch :Microsoft、旧式ブラウザーの怖さを訴えるサイト公開 http://bit.ly/w3hb1g


今度は参議院ですか。
piyokango :“参院にもウイルスメール サイバー攻撃の可能性も 参院事務局が調査開始 - MSN産経ニュース” http://htn.to/ptmqbk

piyokango :『2人の議員の事務所がメールを開いたり、返信をしたりしていた。』 / “asahi.com(朝日新聞社):参院2議員のメール情報流出 ウイルス感染の疑い - 社会” http://htn.to/daf5Wq


その他に気になったことはこのあたり。
s_kawamoto :FFFTP 1.98a以前の脆弱性は、実はこれだけで防げるので、個人的には最新版が安定するまでは1.97bを使用してほしいところ「オプション」メニュー→「環境設定」→「ツール」タブ→「ビューワ1」にC:\Windows\system32\notepad.exeと入力


ockeghem :某セミナーの「ハコモノに頼ってきたこれまでの対策」を期待したが「単なるツギハギの対策の追加」という表現に進化していた / “チェック・ポイント 緊急開催!セキュリティ対策セミナー” http://htn.to/N2m39E


tyappi :SCSK、手のひら大のフォレンジック装置を販売開始 欲しいけどちょっと手が出ない。


piyokango :“標的型攻撃の被害を防ぐ“特効薬”は「ログ管理」 - TechTargetジャパン 情報セキュリティ” http://htn.to/xRWwhT


KenjiTsukagoshi :アノニマス論書きました。紙面の関係もあり今回は入門編。近くまた新たな切り口で書きたいと思ってます。よろしくお願いします。 / “SYNODOS JOURNAL : 「アノニマス」の歴史とその思想 塚越健司” http://htn.to/nnRQJF


ScanNetSecurity :ソフォスのスパム送信国ワーストランキング、アジアから5国がランクインし最悪地域入り @ScanNetSecurity



connect24h :Facebook の CSRF 対策トークンを盗み出す手口 | Symantec Connect Community http://owl.li/7gjBt


piyokango :“Duqu 更新情報: ゼロデイ脆弱性を悪用したインストーラの発見 | Symantec Connect Community” http://htn.to/KMK8mN


ItSANgo :“SE・プログラマが知ってると便利な脆弱性チェックツール 4 つ | バシャログ。” http://htn.to/jRixFt

テーマ : セキュリティ
ジャンル : コンピュータ

11月1日のtwitterセキュリティクラスタ

このところむやみにリモート操作できるツールは危険、みたいな風潮ですが、なくしたらリモートから何とかしたいものですし、むつかしいところですよね。
tamiyata :Android端末を遠隔コントロールしてカメラを起動。Web経由で閲覧ということはむしろWebセキュリティが重要?ううむ。/紛失した端末のカメラでリモート撮影が可能「ノートン モバイルセキュリティ」最新版 http://ow.ly/7f91z


ちょくちょく認識されやすい文字が自動化でやられていましたが、今回は結構大規模ですね。中国あたりの手動CHPTCHA破り業者もライバル出現で今頃ドキドキしているかもしれません。
itmedia :[エンタープライズ]米研究者、自動化ツールで大手サイトのCAPTCHA破りに成功 http://bit.ly/sVE2aq


新しいWebサービスは自前でテストしなくてもとりあえず誰かが無料でXSSくらいは検査してくれるからお得ですよね。
ymzkei5 :いつにも増して素早く、受信の連絡→受理の連絡をもらえました。(^ー^; RT @ymzkei5: 今話題の、経産省の「ツタグラ」サイトにXSSがあるなぁ。IPAに届け出たら可哀想かなぁ。。(IPAがw)


リニューアルですか。おめでとうございます。また原稿書かせてくださいね。
ymzkei5 :イードの子会社を、インドの子会社に空目した。。もちろん、頭にターバンを巻いた @sen_u さんが思い浮かんだのは言うまでもないw >■情報セキュリティ専門媒体“ScanNetSecurity”がリニューアル


その他に気になったことはこのあたり。
tdaitoku :新手のマルウェア「Duqu」、Windowsカーネルの未解決の脆弱性を利用


HiromitsuTakagi :心から利用者に説明する気なぞ微塵もない日本の事業者たち - 高木浩光@自宅の日記 2011年11月01日


kinugawamasato :Chromeのjsの不正なコメント終了( )、気付いたらfixされてた。charsetが別名でセットできる件( )は直ってないけど害はないかな。


mimura1133 :2011年上半期の事例にみる脅威とその対策 第3回 - 日本のセキュリティチーム - Site Home - TechNet Blogs :


KuniSuzaki :昨日のミーティングので報告されたAES暗号の高速化命令であるIntel AES-NIをエミュレートすることで鍵を盗む仮想マシンモニタ。まずCPUIDを偽ってOSがAES命令があるCPUと認識させる。何のVMM上の実装か知りたい。 http://eprint.iacr.org/2011/428.pdf


antiphishing_jp :2011/10のフィッシング報告状況を掲載いたしました。


tessy_jp :銀行「海外からの振込の依頼がありますが、こちらの送金目的は何になりますでしょうか?」、私「賞金です」、銀行「はっ?」 無事にHITBの賞金が届いた模様。ありがとうPanda!


fj_twt :SymantecのレポートによるとPoison Ivyが使われたとのこと. 三菱重工はMFC Hunterだったよな確か… /化学メーカーや防衛産業を狙った大規模攻撃が発覚、日本企業も標的に - ITmedia http://bit.ly/swM916


kitagawa_takuji :#mycomj 【レポート】RSA会長コビエロ氏、3月の被害を踏まえサイバー攻撃対策を提言

テーマ : セキュリティ
ジャンル : コンピュータ

10月31日のtwitterセキュリティクラスタ

ぼんやりしているうちにもう11月です。あと今年も2か月です。

ニコ生でAndroidアプリのセキュリティとプライバシー問題についての番組がありました。2部の途中で追い出されたので最後までは見れなかったのですが、途中まででも圧巻でした。まとめがありますのでどうぞ。
Kiyosuke0418 :とりあえず休憩までまとめた 【編集中】10/31 スマートフォンとプライバシー? ~MIAU Present?s ネットの羅針盤~ #miaujp http://togetter.com/li/207811

htohsaki :Androidアプリだと電話通話中にアプリの音をMuteするのにも、「電話/通話」権限が必要だったと思います。仕様があれなんだけど RT @Lazu_Sebilis @HiromitsuTakagi RE (略)リバーシが、「電話/通話」権限を求めてきた


曲がりなりにも業者がセキュリティをチェックしているだろう省庁のサイトよりと違って適当そうな議員が勝手に作成している公式サイトはこれから狙われそうですね。
koizuka :reading 藤村官房長官の公式サイトに脆弱性か 管理画面に誰でもアクセス可能な状態 | ニコニコニュース http://news.nicovideo.jp/watch/nw138046

kinugawamasato :藤村修官房長官のサイト、管理者が投稿に使っているようなフォームがパブリックに置いてあるように見えるけど問題ないの?防衛産業への攻撃が発覚した時国民にセキュリティ対策への配慮を呼びかけていた方だが(問題は10月8日に報告済み、返事無し) o-fujimura.com/cgi-bin/

kinugawamasato :官房長官のサイト、メンテナンスになったね。もしあれが実際には投稿できないものだったとしても別の部分に少なくともXSSがあった(同日に報告済み)ので、復活後はそっちも直ってるといいんだけど。

hasegawayosuke :昔、某首相の個人サイトにXSSあったんで報告したら、すぐに首相辞めてしまって、同時にサイトもメンテ中になって、そのままドメイン失効になってた。

ymzkei5 :それが「連絡不能開発者一覧」に載ったら笑える。(←冗談w)(Webサイトは載らない) RT @hasegawayosuke: 昔、某首相の個人サイトにXSSあったんで報告したら、すぐに首相辞めてしまって、同時にサイトもメンテ中になって、そのままドメイン失効になってた。


交通費は出ないんですよね…
avtokyo :どの地域のBlack Hat Briefingsにも1回参加できる「Black Card」が会場で抽選もしくは震災寄付オークションにてGetできます!最高15万円相当ですのでみなさんぜひふるってご参加ください


サイバー攻撃ブームは続いています。議員が直接対処するのは無理でしょうから、ITに詳しい秘書を付けるしかないのでしょうか。
piyokango :これは引っかかりますね。 / “FNNニュース: 衆議院サイバー攻撃問...” http://htn.to/itjezD

kitagawa_takuji :“ヒゲの隊長”サイバー攻撃犯に迫る!ヌルい議員が標的にされた! - 政治・社会 - ZAKZAK via @zakdesk

nofrills :英国政府機関に対するサイバー攻撃→英国政府が国際会議を主催。米国務長官、EU要職者、セキュリティ専門家、IT分野の実業家らが出席。火曜日の開催を前に、今日のTimesに詳細ありとのBBC記事。 / “BBC News - GCHQ c…” http://htn.to/agLSmk


その他に気になったことはこのあたり。
oshietekun_net :まるでSF。/まとめたニュース:アメリカ、人工衛星2基 ハッキングされていたことが判明 中国軍が関与か http://bit.ly/uKXH4X


onoben_jp :iTunesアカウントの不正利用、止まらず…今度は中華アプリ「人人乱世天下」に注意 : iPhoneちゃんねる: 3ヶ月前に「被害続出!?中華アプリ「明珠三国OL」で勝手に課金させられる」という話題が上... http://bit.ly/vKvFSr #hb_iphone


OrangeMorishita :DNS周辺技術勉強会 #dnstudy 02の事後資料を公開しました。 // 第一部:DNSをあえてdisってみる http://slidesha.re/vpjbEJ第二部:DNSトリビア(出張版)+「浸透問題」予告編 http://slidesha.re/vmKdnh


risa_ozaki :Facebook、新しい管理ツール提供へ ログイン乗っ取りは「毎日60万件」 | ITmedia ニュース http://j.mp/v9SBrT


#ハロウィンセキュリティ
http://hashch.info/tag/%E3%83%8F%E3%83%AD%E3%82%A6%E3%82%A3%E3%83%B3%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
11-2011
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 - - -

10   12

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。