スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月30日のtwitterセキュリティクラスタ

サイトに埋め込まれたmidiファイルで攻撃されてしまうみたいなのでやっかいですね。とりあえずWindows Updateすれば大丈夫みたいですが。
security_1topi:既に攻撃に利用されているようです。 / Windows Media PlayerのMIDIファイル処理における脆弱性(MS12-004)(CVE-2012-0003)に関する検証レポート - http://r.sm3.jp/3KgE #1tp

kikuzou:MS12-004 攻撃コードが出てますね。サクッと攻撃が成功するのでマズマズですなあ~

tokoroten:“Windows Mediaの脆弱性を突くマルウェアが出現 - ITmedia エンタープライズ” http://htn.to/HuJRrp

kikuzou:動画のアップ先を間違えていたので http://bit.ly/zIL9IV に再アップしました RT: @kikuzou: CVE-2012-0003を悪用したマルウェアを踏んだ際の動画。bit.ly/AjjwAN あまり動きがないのでおもしろくはありませんがw


kitagawa_takuji:トレンドマイクロ、「Windows Media Player」の脆弱性を悪用する攻撃を発見|アタッカーズ・ファイル|トピックス|Computerworld

nikkeibpITpro:Windowsの脆弱性を突く「MIDIウイルス」出現、Webアクセスで被害の恐れ(ニュース) http://nkbp.jp/z2pOvT #itprojp


いつも誰も見ないようなサイトでもgo.jpだと書き換えられたら叩かれるので大変ですね。
ntsuji:昨日やられちゃった節電のサイトの情報 http://bit.ly/xqRCSr逆引きホスト名を見るにハートビーツっていう会社が運営・管理をしてたのでしょうか。

kayamakoto:クラックされたサイトは同一業者による運営。こんな会社に何故委託?とか言われるんだろうな。  「東京電力福島原子力発電所における事故調査・検証委員会」サイトが改竄される - Togetter http://togetter.com/li/248885


書き換えられるだけならまだいいんでしょうけど。真面目に侵入するとそういうわけにはいかないでしょうから守るのは重要でしょうね。
itmedia:[エンタープライズ]「サイバーセキュリティはミサイル防衛より重要」の認識も――世界サイバー防衛報告書 http://bit.ly/xWtF5g


アクセスできるなら検閲されないやり方くらいいくらでも見つけられるでしょうし。
wired_jp:【本日公開】Twitter「検閲」は批判されるべきか──各国の法律に従った「ツイートの検閲」を行う意向を明らかにして批判を浴びた。しかし同社の方針は、他社と比べると評価できるという意見も http://go.wired.jp/y1rCBa #wired_jp

ntsuji:Twitterが国別の検閲をIPアドレスで行うというのは、回避策を敢えて残したとも考えられますね。

moton:検閲機能付けるからトラフィックを全部ブロックしないでという意図なので、これで十分なんでしょうね。RT @ntsuji Twitterが国別の検閲をIPアドレスで行うというのは、回避策を敢えて残したとも考えられますね。

ntsuji:@moton やはり、そうなんですか。

moton:@ntsuji どーなんでしょ。ただの推測ですよw


その他に気になったことはこのあたり。
copyright_1topi:ACTAも遂に標的に。:米国政府のセキュリティ・アドバイス・サイトがハッカーにやられる?ハクティビストによるSOPA、PIPA、ACTAへの反対運動は続く | ScanNetSecurity (国際、TheRegister) http://r.sm3.jp/3KjR #1tp


eagle0wl:ふーん。 ⇒ 情報漏洩と痕跡抹消について蘊蓄を披露する


internet_watch:セブン銀行を名乗る詐欺メールに注意 http://bit.ly/yrDYMH


yuuukie:Google、Facebook、Microsoftらがフィッシング対策で協力 DMARC.orgを立ち上げ - ITmedia ニュース


ntsuji:これからは著作権侵害の警告を装った詐欺も流行るかもしれませんね。 / 『ミッキーマウスを殴り倒したゲーム作者「600万円で起訴」』はディズニーを騙る詐欺でした - http://togetter.com/li/249528


risa_ozaki:Amazonクラウド経由で被害者を誘導するFacebook詐欺が登場 | Computerworld


kurutony:今度はくっきーですか・・・apacheの脆弱性。。apache大会開始か・・・


s_hskz:どういう仕組みやねん。 location("javascript:location('javascript:alert(document.domain)')")?1:0 //IE8


masanork:最近の動向が良く整理されている資料 / “ISO/IEC 27000シリーズの改訂とSC27/WG1におけるクラウドセキュリティ規格化の動向 - JTC1SC27WG1 国内主査 山崎哲 2011年12月” http://htn.to/p6P9to

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

1月28~29日のtwitterセキュリティクラスタ

また1つ年を取りました。

先日のCSRFによる逮捕者は不正指令電磁的記録罪(ウイルス罪)が適用されていましたが、それに対してmala氏が問題点を指摘しています。
bulkneets:以上のような問題がある

bulkneets:1.特にログインとか不要でCSRFが可能な掲示板に対して自分のIPアドレスで書きこまれた場合に無実を証明するために家宅捜索受けたりパソコンの中身見せたりしないといけないのか。犯人が巧妙だった場合に逮捕されて取り調べを受けたりすることにならないか。(ユーザー向け)

bulkneets:2.特にユーザーの同意を得ずに書き込み操作が行われるようなWebサイトは多くある。足あと機能、IPアドレス等を晒すページ、投票機能、確認のないシェアボタン、カートに入れる操作はCSRFできるが商品購入は確認あり、とか。意図に反すると言われたらどうすればいいのか(開発者向け)

bulkneets:3.CSRFに不正指令電磁的記録が適用される事例ができれば法的に対処できるので対策しなくてもいいやという空気が生まれるのではないか(サイバーノーガード)

bulkneets:4.技術者が萎縮する!!なんてのは、萎縮しなければいいわけなんだけど hamachiya.com/junk/cj.html こういうページ公開するのは確実に躊躇することになると思う(セキュリティ研究者向け)

bulkneets:5.CSRFに引っかかった人を「ウィルスに感染したのか、マヌケwwww」という反応がでるけど、Webページ表示するだけで書き込み処理が行われるようなものを防げるわけない。(被害者の名誉)

bulkneets:個人的には1を一番気にしていて「その掲示板、CSRFか何か勝手に書きこまれちゃったみたいなんですけど」「なるほど、例のウィルスですね」「感染してますね・・・」「犯人検挙に、ご協力を!」などといってブラウザ履歴を押収されるのではないかという恐怖がある。

それに対する高木先生の意見。
HiromitsuTakagi:1.← 不正指令罪にCSRF含むかに無関係。不正指令被供用者としてなら、任意の捜査協力要請にしかなり得ないので、嫌なら断ればいいだけ。今回の件が強制捜査になり得たのはCSRFの結果が直接別の犯罪(脅迫罪)を構成するから。不正指令罪にCSRFを含まなくても同じ可能性は常にある。

HiromitsuTakagi:2.← 意図に反するだけでは不正指令電磁的記録に当たらない。「不正な」でなければ。「不正な」か否かを判断するのは裁判所ということになっている。また、意図に反するかも、どうやってリンク先に誘導したかによる。

HiromitsuTakagi:3.← 不正アクセス行為と不正アクセス禁止法の関係でも同様であり、理由にならない。

HiromitsuTakagi:4.← そのページは(その説明のあり方からして)元々躊躇してしかるべきものなので、理由にならない。

HiromitsuTakagi:5.← 「ウィルスに感染したのか、マヌケwwww」という反応自体が(CSRFか否かに関わらず)マヌケなので、理由にならない。

この高木先生の意見に対する園田寿先生とのやり取り。
sonoda_hisashi:@HiromitsuTakagi 犯罪を構成しなくとも、たとえばポルノサイトに登録させるなど、供用罪に当たる可能性はありますね。

HiromitsuTakagi:@sonoda_hisashi 今の論点は、CSRFを不正指令罪に含めないべきであるとする @bulkneets 氏の主張に対する反論(含めた場合に対して指摘の懸念1.は、含めない場合にも同様にあるので、理由にならないというもの)です。

bulkneets:@HiromitsuTakagi 含めないべき、とまではいってません。少なくともウィルスと表現するのは弊害があるというのと、適用は慎重であるべき、という立場です。

HiromitsuTakagi:@sonoda_hisashi 嫌がらせが不正指令罪に当たり得る(CSRFによるものか否かに関わらず)というのはその通りかと。

sonoda_hisashi:@HiromitsuTakagi どんなプログラムであれ、社会倫理に反する使われ方がなされた場合、不正指令供用罪の可能性はありますね。

HiromitsuTakagi:@sonoda_hisashi そうですね。そして、「社会倫理に反する」か否かの判断が事実上(日本の司法制度では?),裁判所ではなく警察と検察に委ねられてしまっていることが、それでいいのか(コンピュータプログラムに関して)という疑問があろうかと。
sonoda_hisashi:@HiromitsuTakagi 仰る通りだと思います。ただ、たとえば、出版(表現行為)も社会倫理的にその許容性がまずは警察によって判断されますので(わいせつ等の場合)、その限りでは、同じ次元の問題かと思います。法的には、プログラムも表現物ですね。


そしてmala氏のツイートを読んだ人が曲解されているみたいで大変そうです。
bulkneets:読んだ人の感想であって自分の意見ではない

bulkneets:そんなことは言ってねえよ → 「ウィルス作成罪の適用対象じゃない可能性高そうという点も激しく同意」

bulkneets:自分の主張していることはシンプルで、ユーザーの安全と開発者の自由を両方守るために、実行可能な処理が制限されてるプラットフォーム上で動いてるプログラムを法的に制限することの必然性が薄く、適切に運用されないとデメリットの方が大きくなるということです。


結局は不正指令電磁的記録罪をウイルス罪と置き換えちゃうのがいけないんでしょうね。やはり。
komiyaguchi:そもそもの話をすると、この手の罪で逮捕された人間がやったことを見ると、不正指令電磁的記録を「コンピュータウイルス」と言い換えること自体が変なんだよな。ウイルスも含むけどもっと上の方のものを指してる。端的に言えば「マルウェア」全般。マルウェア罪と聞いたらすんなり頭に入ってくる。

nat0468:@genjima56 なるほど、コンピュータウイルスは処罰対象の一部でしかないという事ですね。「不正指令電磁的記録に関する罪」は変な日本語ですが、まだこっちの言葉が「ウイルス作成罪」より正確な言葉な気がします。もしくは「マルウェア作成罪」ですかね。

HiromitsuTakagi:「マスコミが馬鹿」が正解。いくら警察が「不正指令電磁的記録の罪」と記者発表しても、「ウイルス作成罪のことですね?」としてしまう。 RT @coccokun これは警察が馬鹿なのか司法が馬鹿なのかマスコミが馬鹿なのかさてどれだろう?


マルウェアと普通のプログラムの境界線がどんどん曖昧になっているのでしょうね。
typex20:シマンテックが、AirPushが組み込まれた com.apperhand.* のパッケージ名のアプリをトロイの木馬のマルウェアと認定し、Android.Counterclankと命名。リスクレベルは1(とても低い)とされる。 / “T…” http://htn.to/CEYXqZ

typex20:勝手にブックマーク、ショートカットを作る、ブラウザのホームページを変える、プッシュ通知する、端末情報を収集するなどを行うと、たとえ広告でもシマンテックからマルウェア認定される可能性がある。 / “Android.Counterclan…” http://tn.to/kT3kUk


その他に気になったことはこのあたり。
kitagawa_takuji:サウジのハッカーが事故調のサイト不正改ざん | YUCASEE MEDIA  NHK科学文化部が、リーダー格らしき人物のツイッターにメッセージを発信しているが応答はないようだ。


InfosecNewsBot:Identity Finder Tool for Securing the Sensitive Information: Any person that are using internet are fac... http://bit.ly/zOUevf #infosec


FSECUREBLOG:ポーランドのパスワードをクラッキング:  月曜日の記事で紹介したサイトの多くは、現在もまだDDoS攻撃による標的となって以来オフラインのままだ。ハッカーたちは26日まで継続すると宣言している。  Polskie Radio... http://bit.ly/yIyKNS


sen_u:対談公開されてたみたい。写真付き。 【連載】緊急特集! サイバー攻撃の動向と対策 (3) ユーザーと開発会社はWebアプリケーション脆弱性にどう取り組むべきか? マイナビニュース http://bit.ly/wq52yp


kitagawa_takuji:Megaupload摘発、サイバーロッカー(オンラインストレージ)は終焉を迎えるか - P2Pとかその辺のお話@はてな (id:heatwave_p2p / @heatwave_p2p)


aki0816:本当にいろいろとやるもんだ orz QT: SSH Password attacks using domain name elements as userid @AddThisさんから


StackSecurity:Is this JSON encoding vulnerable to CDATA injection?
kitagawa_takuji:NHKニュース 米 学校システム侵入し成績改ざん http://nhk.jp/N3zr6XsQ 3人は深夜、学校に忍び込み、教師のパソコンに、入力した文字を追跡する装置を取り付けて、パスワードなどを盗み出したあと、自宅から学校のコンピューターシステムに入り込み、成績を改ざんしていた


hasegawayosuke:オープンリダイレクタ多いな。

hasegawayosuke:DOM based XSSとオープンリダイレクタ、共通点多いなと思ったけど、locationへの代入でのXSSが多いんで、どっちも細工したURLでフィルタバイパスってことですね。


ockeghem:日記(会社公式)書いた / “HASHコンサルティングオフィシャルブログ: ホスト型の廉価版WAFであるSiteGuard Liteを評価した” http://htn.to/ef431z


bulkneets:instagramのCSRFとpinterestのXSSが直った

テーマ : セキュリティ
ジャンル : コンピュータ

1月27日のtwitterセキュリティクラスタ

CSRFが話題ですが、SQLインジェクションの方がダメージは大きそうですね。

太田社長と梶芽衣子とELTが印象深かったものの最近競馬中継のあとヴューティートークをやらなくなったのですっかりご無沙汰だったヴァーナルですがSQLインジェクションでやられちまったようです。
piyokango:SQLインジェクションだそうで。/不正アクセスによる情報漏洩のお詫びとご報告 株式会社ヴァーナル / “apologized.pdf” http://htn.to/qFahNx

Yomiuri_kyushu:ヴァーナル顧客情報流出、サイバー攻撃 カード悪用も

SankeiShimbun:【事件】 サイバー攻撃で情報流出 化粧品通販1493人分:  化粧品製造販売「ヴァーナル」(福岡市博多区)の通販サイトがサイバー攻撃を受け、顧客1493人分の氏名やクレジットカード番号など個人情報が外部に流出していたことが2... http://bit.ly/AhmOQ0

SankeiIZA:[事件] サイバー攻撃で情報流出 化粧品通販1493人分:... http://bit.ly/yxP2SE


OS8のころはMacだけウイルス対策ソフトが入ってWindowsは安全というかんじでしたが、時は変わってまた元に戻るということでしょうか。
kitagawa_takuji:「Macだから安全」は過去の話――巧妙化したMacマルウェアが横行した2011年|セキュリティ・マネジメント|トピックス|Computerworld Macを狙った初の偽ウイルス対策ソフトも登場



26日にツイートされてた大阪府警ページのXSSのPoCが他に転載されたりしてちょっと話題になっていたようです。
hasegawayosuke:"【速報】 大阪府警のHPがハックされる"

bulkneets:タイトルおかしいですね http://togetter.com/li/247993


が、警察の威信をかけて修正されたようです。そういや小沢一郎せんせいのはまだ直ってないみたいですが大丈夫なのでしょうか。直してくださいよ…
bulkneets:大阪府警の修正されたっぽい http://police.pref.osaka.jp/js/top.js if(name.match("//")) return; が入ってる

hasegawayosuke://example.jp/ じゃなく \\example.jp でも通用するブラウザがあってですね…。

bulkneets:@hasegawayosuke Osaka fukei ni TEL しないと!

tomoki0sanaki:IE8 だと、\\ は通らないんだけど・・・やり方が間違っているのかな!?

tomoki0sanaki:if(hash[s].match(/^[a-z_\-\.\/]+$/i))・・・・というコードがあるので、「\」は埋め込めないんだな・・・ふむふむ

tomoki0sanaki:if(hash[s].match(/^[a-z_\-\.\/]+$/i))・・・・というコードがあるので、タブも埋め込めないんだな・・・ふむふむ

hasegawayosuke:queue.push 通らないんでとりあえず安全かな。

bulkneets:\\で通るのMacのSafariとOperaだな

bulkneets:まあオープンリダイレクタがなければ大丈夫じゃね。

bulkneets:意図しないクロスドメイン読み込みに起因するXSSはjQuery mobileのbeta版にあった。他に過去数例見たことがある(珍しい)


そのほか気になったことはこのあたり。
itmedia:[News]Twitter、政府要請のツイート削除を国家限定に http://bit.ly/Aq4Tew


lennyzeltser:REMnux 3 review by @koenvervloesem - "a treasure chest for the malware-curious" http://j.mp/yevoTv in @LinuxUserMAg


kinugawamasato:記事書いた、今度からこっちでブログ書きます。 GoogleからTシャツをもらった


monjudoh:Now browsing: "ソニーが開発した暗号技術「CLEFIA」、国際標準規格に採択 - クラウド Watch" http://is.gd/reBcDy


HiromitsuTakagi: の図からすると、CSRF攻撃だったっぽい。CSRF攻撃が不正指令電磁的記録供用に当たるという話は、法案成立前から言われていたこと。


kjmkjm:Windows Phone 7 Internals and Exploitability - ホワイトペーパー (フォティーンフォティ技術研究所)


wired_jp:【NEW】ハッカーが米鉄道会社システムに侵入、運行に混乱 http://go.wired.jp/ycg1Kc #wired_jp


ockeghem:DMのURLをクリックしただけで自アカウントでDMさせられたならtwitterの脆弱性(CSRFなど)だけど、OAuthでAllowしちゃったのかな?皆さん気をつけましょう / “[Twitter][Blog]ダイレクトメールに届いた…” http://htn.to/qGN1nJ


bulkneets:fc2 ユーザー生成コンテンツから ".fc2.com" のcookie抜けるけど、IPアドレスが違う場合はセッションハイジャックできないようにしてるっぽい。

テーマ : セキュリティ
ジャンル : コンピュータ

1月26日のtwitterセキュリティクラスタ

かまってくれる人がいないのでトラブルに巻き込まれることのないまとめサイトです。かっこよく言うと孤高です。

ウィルス作成罪が初適用されたそうです。報道もよくわかっていないのか、どんなウイルスが使われたのかなど詳細は不明なようです。
mainichijpnews:ウイルス作成:28歳の男を送検 全国初の適用 大阪府警 http://bit.ly/wugYwg

bulkneets:内容が違いすぎるだろ http://bit.ly/yrAXw8 http://bit.ly/ADvyFc http://bit.ly/zswxxx http://bit.ly/xYO4zq

mimura1133:「ウィルス」と書くか、「不正電磁的記録」と書くか、「悪意のあるコード / プログラム」と書くか。専門的な人にはそれぞれ違うように見えるけれど、一般の人には全部同じに見えるよね。


考察によるとどうやらCSRFのリンクを踏ませたようで、これが本当ならはまちちゃん大ピンチですね。
bulkneets:メールフォームに対するCSRFの可能性を強く疑っている

bulkneets:俺が気にしていることはいくつかあって、ブラウザ上で動くプログラムをウィルス扱いされて「リンクをクリックしただけで感染」というような表現が広く使われてしまうと、ブラウザやプラグインの脆弱性を利用して本当に感染するようなウィルスなのか、ウェブサイトのバグや仕様なのかわからなくなる

bulkneets:これ少なくとも、このIPアドレスから殺害予告があったんですって主張して、相手の家に警察送り込むことには成功してるんだよね。

bulkneets:普段からシークレットウィンドウ使って履歴残さないでリファラ切ったりしてる人に罠踏ませて状況証拠的に意図的に書き込んで証拠隠滅したのか、罠踏んで書きこまされたのか全く区別つかないような状態にされた上で、長時間拘束された上でカツ丼とか出されたら面倒くさくなって私がやりましたと言う

bulkneets:「メールに添付されたアドレスをクリックすると」 「お前の個人情報がネットに流れている」とアドレスを記載したメールを なので話を総合するとメールに添付されていたのはURLであって実行ファイルじゃない

bulkneets:URL送るのに添付って表現もおかしくないか?いやurl.txtなのかもしれんけど。

bulkneets:ブラウザ上で動くプログラムは全部除外せよ、とまでは思ってないけど、元々危険な動作ができないように配慮されたプラットフォーム上で動作しているプログラムを法律で規制しようとするのが危険。単に出来が悪くて使用者の意図に反する動作をするプログラムまでウィルス扱いされるよ(要は悪法になる)

SH1N0:マスコミがCSRFをウイルスって報道するから、ニュースを見た人がリスクをかなり過小評価している印象。脆弱性のあるサイトのURLを踏むだけで発動するので、罠を踏んでしまったら、自分が家宅捜査の対象になる可能性も

piyokango:NHKの報道と思われる画像3つ確認できるのですが、9/7と10/12の掲示板って違う種類なんでしょうか。 Colorの欄とか微妙にレイアウトが違います。あとこれI-BOARDっていうフリーのCGIなんですかね。http://bit.ly/wIkjNP

piyokango:さっきのTwはこの投稿
http://yaraon.blog109.fc2.com/blog-entry-6852.html のこと。 9/7はhttp://bit.ly/xqZScU http://bit.ly/y1MCtM10/12は http://bit.ly/z7cTWD


そしてこの事件、去年あたり盛り上がってたまとめサイトのトラブルが関係してたようで、これにもびっくりです。
tentama_go:ウィルス作成罪の初適用の件、「今日もやられやく」の管理人が「やらおん」の管理人に罪を着せようとしたということみたい。まとめブログの世界ってとんでもないことになってる雰囲気? http://news.nicovideo.jp/watch/nw185507

hylom:ウイルス作成罪で捕まった人、2chまとめブログ「やられやく」の関係者とかいう噂。えー。


見つけた人はたくさん賞金をもらったんでしょうかね。
yohgaki:Cross Site Scripting (XSS) Vulnerability in Google | The Hacker News (THN) http://ow.ly/8HEpH 古典的なXSSだけど、起きるときはこんなモノ


面倒なだけで報告者には特に何もいいことはないから脆弱性に比べると報告数が少ないのかなあと思いました。
jpcert:ソフトウェア等の脆弱性関連情報に関する届出状況2011年第4四半期(10月~12月)を公開しました^YK


その他に気になったことはこのあたり。
labunix:“シマンテック、「pcAnywhere」の無効化を呼びかけ - CNET Japan” http://htn.to/jD1Jx6


zer0trusion:UPDATE: Reaver v1.4! ? for any wifi crackers out there @aircrackng @KistmetWireless


openwipsng:Release planning available http://openwips-ng.org/planning.html #openwipsng


ntsuji:これは見たい! ハクティヴィスト(hacktivist)集団、Anonymousをめぐるドキュメンタリー『We Are Legion』 ≪ WIRED.jp 世界最強の「テクノ」ジャーナリズム


sshzms:“Geekなぺーじ:インターネットトラフィックで見るMegaUpload閉鎖” http://htn.to/Eo9AEE


higetomo:NSF2012のCTFパネルディスカッション - 極楽せきゅあ日記 (id:sonodam / @sonodam)


bulkneets:XHR level2でクロスドメイン通信が可能になった影響で、クエリパラメータやlocation.hashで入力された任意のURLをロードするサイトは外部ドメインのコンテンツを埋め込んでXSS出来る可能性があります。http:が通らなくても//で始まるURLが通ることがあります


HyoYoshikawa:悲鳴をあげるドコモ。DDoSツールと化すスマートフォン http://assioma.jp/?p=2728

テーマ : セキュリティ
ジャンル : コンピュータ

1月25日のtwitterセキュリティクラスタ

社長の愛人になって権力握るみたいなものですかねえ。それはともかくexploitも公開されているようなのでLinuxもAndroidも持ってる人は早めに対処しましょう。
security_1topi:試してみました。( http://r.sm3.jp/3Ifc )脆弱性を利用して一般ユーザ(ntsuji)から管理者権限(root)に昇格しています。 / Linuxカーネルに権限昇格の脆弱性、Androidにも影響か - http://r.sm3.jp/3Ifd #1tp

security_1topi:権限昇格の脆弱性は、なんらかの権限でアクセス可能な場合に利用されます。何かしらの方法でログイン可能な状態で利用すると一気に管理者権限となりシステムを自由に操作できるようになるというわけです。会社でいうといきなり社長になるみたいなものでしょうか。 #1tp


ケツ毛とかで有名になったWinnyやらShareの暴露ウイルスについて、晒して広める無駄に頑張り屋さんな人について取材されています。年齢が高いことにびっくりです。
kanda_daisuke:お、デジタル版の記事が無料公開されました! 「〈ニュース圏外〉密かに続くネット流出 さらす側の本音」 http://goo.gl/lwvUD お昼ご飯のおともにどうぞ(ってもう1時か…)

bakera:[メモ] 暴露ウィルスによるデータ流出事件では積極的に「晒す」人がカギになっているという話……は昔からありましたが、「中心メンバーはわずか2、3人。うち2人が取材に応じた」というのがすごいですね。

rocaz:神田大介氏(朝日新聞記者)によるファイル交換ソフトにおける情報漏洩記事裏話 - Togetter http://j.mp/w8uhe8


Network Security Forum 2012が開催されていました。@tessy_jpさんや@hasegawaayosukeさんの出てたパネルディスカッションとか面白そうでしたが、ツイートはあまりなくてちょっと残念。見に行けば良かったです。
hasegawayosuke:ソーシャルメディアの上手な利用例の話を聞いて、ウンウンとうなづきながら紙にメモしてる人多数。おもしろいね。 #nsf2012

gohsuket:それがセキュクラスターの現実w (高齢化の一環かも) RT @hasegawayosuke: 「なぜTwitterを使うのか」とか「ソーシャルメディアが便利」みたいな話してるけど、PCやスマホ広げてる人、すごい少ない。紙に鉛筆でメモしてる人多い。 #nsf2012


nsf2012で発表されていたCTFです。人材育成を目指すならイベント1回だけじゃなく教育やフォローなど継続的にやれればいいと思いますが、時間も予算も難しいんですかね。
ucq:SECCON CTF 博多大会(九州地区予選) - 極楽せきゅあ日記 (id:sonodam / @sonodam) http://j.mp/y6TYG0


その他に気になったことはこのあたり。
OwaspJapan:JBoss Security presentation - A complete overview for beginners. http://bit.ly/y0G7Ho


moton:ITセキュリティ予算増加。日本ではどうだか。。。Information Security Budgets Will Increase in 2012 ≪ The Bigger Truth http://bit.ly/weKSWT


typex20:O2 mobile UKが設定ミス?でRIMのBlackBerryの電話番号、端末番号をWebサーバーに送信していたらしい。今は修正済み。あとで調べる。→ blog.o2.co.uk/home/2012/01/o…


FSECUREBLOG:ポールポジション:アンチACTAハッカーがポーランドを攻撃: ポーランドからの最新ニュースだ。伝えられるところではAnonymousと関係のあるハッカーたちが、今週予定されている模倣品・海賊版拡散防止条約(Anti-Counter… http://j.mp/whcZFW


bakera:[メモ] 「ユーザーに対して、強いパスワードの重要性と、頻繁なパスワード変更が必要不可欠であることを教育する」 前者が必要なのはわかりますが、後者が必要な理由が良くわからないです。

テーマ : セキュリティ
ジャンル : コンピュータ

1月24日のtwitterセキュリティクラスタ

通知領域などへのターゲッティング広告の問題でauを批判する人たちと擁護する携帯業界関係のように見える人と論争になっていたようです。セキュリティやプライバシー的な何かで批判する人の考えがよくまとまっていると思う高木先生のツイート。
HiromitsuTakagi:こういう光景はしばしば目にする。批判噴出で何かが屈したとき「セキュリティ厨はユーザを見ていない」と。しかし実際には次のパターンがよくある。①元々ユーザビリティで批判の多いところへセキュリティの問題が加わって撃沈したケース、②短期的なユーザ利益しか見てないサービスが長期的に…

HiromitsuTakagi:…②短期的なユーザ利益しか見てないサービスが長期的にユーザ便益を害するものであることをたまたまセキュリティ屋が指摘したケース、③セキュリティ上の欠陥が指摘されたとき、利便性を損ねずに解決できるものであるのに、利便性を損ねると思い込んでしまうケース、④…

HiromitsuTakagi:…④原理的に不可能な利便性を求めたサービスが、セキュリティ上の理由で立ち行かなくなったケース。例:①SO503i iアプリ脆弱性問題、②auOnePush、③ケータイIDを用いたかんたんログインの脆弱性、④spモードの「サービスアプリ認証」。

HiromitsuTakagi:twitter.com/rocaz/status/1… は全面的に正しいと思うが、twitter.com/rocaz/status/1… は部分的にしか正しくないかもしれない。「iモードへの執着」はスマホで実現可能なら悪くはない。しかし、spモード設計の失敗の遠因が「iモードへの執着」である疑いはある。

HiromitsuTakagi:spモードのセキュリティ上の失敗について「セキュリティと利便性のトレードオフだ(だからしかたない)」という声を見たが、docomoが単純に利便性を追求しているわけではないことも外形的事実から推察できる。spモードメールをWi-Fiで使う際にパスワード設定を求めているのがそれ。

HiromitsuTakagi:spモードメールはPOP3 over SSLを使っているのでWi-Fi接続でも別途セキュリティ措置は不要。一方、Wi-Fiでspモードメールを使うための設定が一般の人には難解で「Wi-Fiでspモードメールが使えない」という悲鳴ツイートが続出している。それなのにこうしているのは…

HiromitsuTakagi:…それなのにこうしているのは、「インターネットの通信は、たとえSSLを通しても、電話網より安全でない」という信仰があるためと思われる。Wi-Fi用パスワードを設けたところでろくなセキュリティレベルにならなくても、対策をとったという事実が意味を持つ。そういう事務的な事情と推察。


そしてこの論争をまとめられている人がいましたね。
rocaz:セキュリティ厨() - Togetter http://j.mp/wEmuXJ


不正アクセス禁止法改正でフィッシングの摘発がしやすくなるようです。これまでは著作権法違反とか苦しい理由だったのでまあ仕方ないかと。
tentama_go:警察庁がフィッシング行為処罰化の法案の骨子公表。誘い込みメールやパスを回答させるメールも含めてフィッシングと定義、1年以下の懲役または50万円以下の罰金。不正アクセスも懲役3年以下または罰金100万円以下に強化。パス保存もダメになります

nhk_seikatsu:【ID盗みとりも罰則対象に】ネットバンキングで預金が不正送金される被害が相次いでいることを受けて、警察庁は、現在違法とされていないIDやパスワードを盗み取る行為も罰則対象とする不正アクセス禁止法改正案の骨子をまとめました。(11:33) http://nhk.jp/N3zn6Uw2


どうやら家庭の医学もいろいろ収集していたみたいですね。
curo_no3:家庭の医学で閲覧履歴収集ってギャグでしかないな。 RT @okitsushiro: iPhoneの「家庭の医学」もIMEIや閲覧履歴を収集してたのか。ビューンやマガストアで問題になったから、慌てて確認画面を追加したんだろうな http://yfrog.com/ocqb3loj



まあ、1割しか開けなかったと前向きに考えるしか… 訓練で良かったと…
gohsuket:あぁぁ出ちゃったw RT @akky RT @Asiajin: セキュリティ訓練で、日本政府のスタッフの1割が怪しい添付ファイルを開封する結果に http://bit.ly/zrSrKA


鳥越君げんきー?
itmedia:[TechTargetジャパン]疑似攻撃で製品機能や性能を分析:セキュリティ製品の“あら”を探す「セキュリティテスト製品」 http://bit.ly/xAEos5


その他に気になったことはこのあたり。
jpcert_en:Blog Post - Home Router being a Part of Botnet? - http://blog.jpcert.or.jp ^KS


2525mimi:スパマーに乗っ取られたせいで大量にスパムDMをばらまいてしまいパスワード変えたりDM削除に時間を費やし、今朝twitterからメール「アカウントが乗っ取られている危険性が高いと判断」PW再設定でログイン成功にホッ。 最近増えてるそうです。 


fut573:なるほど。こんなことが起きていたのか。 / “【info】ドメインを廃止する旨の連絡がございました” http://htn.to/72MPmA


McAfee_JP:セキュリティニュース「個人情報を守るパスワードの強化」個人情報は多くの企業やマーケティング会社、銀行、オンラインサービスのデータベースに掲載され安全性が脅かされています。サイバー犯罪の被害事例と共に安全なパスワードの作り方をご紹介します。http://mcaf.ee/y1dte


D421:最近FBに「大人の仕事脳診断」というアプリが。皆無邪気にやってるけど、このアプリは診断時にFBプロフィールを全部明け渡すというシロモノで開発者も公示なし。辛口に言えば無防備に乗ってる時点で、皆さん「厳しいビジネスとは無縁のお気楽脳」かと。 http://pic.twitter.com/XMv557UZ


itmedia:[エンタープライズ]Linuxカーネルに権限昇格の脆弱性、Androidにも影響か http://bit.ly/yDd4dX


YamayaT:今日の記事です。「山谷剛史の「アジアIT小話」 ― 第13回 Facebookが使えない!? ベトナムネット検閲事情(ASCII.jp)」 


madonomori:更新: PCの利用時間・マウスの移動距離も集計できるネットワークモニター「NetTraffic」 http://bit.ly/xkiPNI


itmedia:[News]Twitter、悪質広告対策セキュリティ企業Dasientを買収 http://bit.ly/yH29RC


internet_watch:App Storeに偽アプリ、Appleの審査通り抜ける http://bit.ly/whKuad


piyokango:“Hacker releases 100,000 Facebook log-in credentials | Security - InfoWorld” http://htn.to/zSkBBE


tomtom_n:自社の状況把握の為に試してみるのもいいですね。?25の設問で自社のセキュリティ対策レベルを診断できる無料ツールを公開(トレンドマイクロ)

テーマ : セキュリティ
ジャンル : コンピュータ

1月22日のtwitterセキュリティクラスタ

au oneマーケットが通知領域にプッシュ広告出して大変な件についてまとめられています。相当評判悪いようで。
kaito834:“au one Marketが通知領域等に広告を配信しだした件 - Togetter” http://htn.to/fa5HfB


そして@hasegawayosuke 氏が広告配信の停止を求めた際のやり取りをツイートされています。電話するしかないんですね。
hasegawayosuke:KDDIカスタマーサービスセンターに電話中。

hasegawayosuke:めっちゃ待たされてる。

hasegawayosuke:「ターゲティング広告の停止と言うことですが、具体的にどういう御用件でしょうか?」

hasegawayosuke:(ケータイ、肩で挟めないんで左手ふさがってキーボード打ちにくい。)

hasegawayosuke:オレ「いや、Webサイトに停止希望なら連絡しろって書いてるんで電話したんですが。」、K「調べますのでお待ちください」

hasegawayosuke:「お客様行動履歴」の追跡は止められますか?→確認します。おまちください。

hasegawayosuke:K「記録を残さないように、ということまではちょっとできないようなんです」、オレ「(もうめんどいし左手だるいんで)ああ、そうですか。ありがとうございます。」終了。

hasegawayosuke:しまった。「どうすれば『au one-IDに基づく、お客様行動履歴(サイト閲覧、利用履歴等)、auお客様属性情報を活用した情報・サービスの提供』の自分の状態(停止なのか提供中なのか)を自分で確認できますか?」って聞けばよかった。

hasegawayosuke:ちなみに停止については、「では、このお電話を持ちまして停止とさせていただきます」ということで、何がどう止まるのか具体的にはよくわかりませんでした。


絶対に見出しは「フィッシングサイトでフィッシング」にしたかったと思いますがw
kitagawa_takuji:【セキュリティ ニュース】釣り情報サイトに不正アクセス - フィッシングの踏み台に悪用される:Security NEXT http://security-next.com/027368


公共の場所で立ててると地味にダメージ与えられると思いますが、なんのためにやってんだか。
labunix:“差別的な無線LANのSSID名称に対し米警察が捜査を開始 | スラッシュドット・ジャパン IT” http://htn.to/hXmMuC


その他に気になったことはこのあたり。
bulkneets:これ知らなかった 完全オフライン・匿名・P2Pでファイルを共有するプロジェクト「Dead Drops(デッド・ドロップス)」 http://bit.ly/zq9T3A


KenjiTsukagoshi:アノニマス論、書きました!よろしくお願いします。 / “アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 サイバー攻撃でソニーに大打撃を与えた集団「アノニマス」とは?:ソフトバンク ビジネス+IT” http://htn.to/KSqbpE


kitagawa_takuji:アノニマスによるDDoS攻撃に一般のユーザーも荷担させられた可能性|セキュリティ・マネジメント|トピックス|Computerworld


kitagawa_takuji:【 #ktkjp 】ハッカー集団・アノニマスが米大手サイトを削除。次なるターゲットがXbox LIVEとなる可能性は?


piyokango:アクセス1位の脆弱性にワラタ。 / “情報処理推進機構:情報セキュリティ:脆弱性対策情報データベースJVN iPediaの登録状況[2011年第4四半期(10月~12月)]” http://htn.to/QPUQo5


itmedia:[エンタープライズ]Webホスティング企業のデータベースに不正アクセス、顧客のパスワードが流出 http://bit.ly/xcSyP0


packet_storm:iPad 2, iPhone 4S Finally Jailbroken http://packetstormsecurity.org/news/20491 #news


sen_u:BurpSuiteの使い方記事 http://bit.ly/w1zdtk


nhk_kabun:【慶大6000人分情報漏えいか】慶應義塾大学の理工学部で、インターネットにつながるサーバーに保管されていた学生の名前や成績などおよそ6000人分の個人情報が、ネットを通じて漏えいした可能性があることが分かりました。(1/23)


kenji_s:WP-phpMyAdminの脆弱性を攻撃されサイトが改竄され不正なコードが挿入された件 http://ow.ly/8CiQ7


OwaspJapan:Javascript DDoS Tool Analysis http://goo.gl/fb/3x5Tk

テーマ : セキュリティ
ジャンル : コンピュータ

1月20~21日のtwitterセキュリティクラスタ

持ってないのでよくわからないのですが、auのAndroidにプッシュ広告が流されるようになったようです。昔流行った無料プロバイダーを思い出しますね。こちらはタダにはならないみたいですが。
Wing_of_Blood:死ね - ノボット、Androidメッセージ通知欄広告「airpush」を国内提供 - ITmedia プロフェッショナル モバイル: http://ux.nu/Wt403 #miteru

NoteWestHill:ユーザにとって何のメリットもないサービス… その昔のPCポップアップ広告の悪夢を思い出す。: ノボット、Androidメッセージ通知欄広告「airpush」を国内提供 -

Vipper_The_NEET:通知領域に広告を出していやでも目に付くようにするってことだからあれだろ,ワンクリ詐欺でデスクトップに金払えって出すのと同じだろ。違いなんかねーよ。少なくとも頼んでないのに勝手に目障りなものを出してるってのは同じだ。消したがられるのも同じで迷惑なのも同じ。悪質なのも同じ。

hasegawayosuke:はー。もう何これ。ほんともうカス。 「au one-IDに基づく、お客様行動履歴(サイト閲覧、利用履歴等)、auお客様属性情報を活用した情報・サービスの提供をご希望にならないお客様は、KDDIカスタマーサービスセンターにご連絡ください。」


日本ではあまり盛り上がってませんが、アメリカではすごいことになってたっぽいMegaupload摘発とそれに抗議したAnonymousの攻撃について。今回は関係ない人も巻き込んでるみたいですね。
MasafumiNegishi:昨日の Megaupload事件と Anonymousによる攻撃についてまとめてみました。「Anonymousによる大規模な DDoS攻撃 Operation Megaupload」 http://htn.to/S24QGs

piyokango:この活動がどこで終わりとなるのかが気になりますね。 / “Anonymousによる大規模な DDoS攻撃 Operation Megaupload - セキュリティは楽しいかね?” http://htn.to/S24QGs

MasafumiNegishi:今回の攻撃の特徴でもあった、WebLOICのページ(Pastehtmlなど)への Phishingというか、Trollingに関しては、批判的な論調の記事が多い。実態はともかく、Anonymousの攻撃参加はあくまでも自主的に行うもの、というこれまでの建前が崩れてしまった。

MasafumiNegishi:OpMegauploadは依然として攻撃を継続中。Anonymousによるチュートリアルでは、攻撃ツールとして、LOIC/HOIC/Pentbox/Slowloris/hping2/thc-ssl-dosなどをオススメ。http://pastebin.com/twrDM9kZ

piyokango:(DoSを行う様にアクセスするだけで仕向けられるサイトへ)『「そうとは知らずにリンクをクリックしただけ」という弁明が成り立つかどうかは分からない』 / “クリックしただけで攻撃に加担、ハッカー集団がTwitterに不正なリンク - I…” http://htn.to/v8qJfs


抗議に屈して結局SOPAは立ち消えになりそうな予感。
senorbarba:SOPAも延期・・・: CNN.co.jp:米上下院、抗議を受け著作権保護法案の審議を無期限延期 @cnn_co_jpさんから


試してみないと… ArmitageってJavaだから自分exploitとかできるかな。
kaito834:JRE の脆弱性(CVE-2011-3544)を突くExploit(Metasploitのもの)はさくっとささるなぁ。 で書かれてるようにOSに依存せずに成功しそう(これは未確認)。

kaito834:JREの場合だと、「別のソフトウェア(のインストーラ)にバンドルされている」、「メーカ製PCにプリインストールされている」といったインストール経路があり得るかな?(実際に目視確認までできてない)


その他気になったことはこのあたり。
ockeghem:日記書いた #hashdos / “徳丸浩の日記: ModSecurityをソースからビルドしてhashdos対策に活用する” http://htn.to/cWF6Bk


xanda:iPhone Forensics on iOS 5: http://bit.ly/xAFNCm http://goo.gl/ACv3v


Dinosn:Nigeria gov website hacked http://pastebin.com/YqHvCpLx( login : admin/password )


Yomiuri_Online:工場制御システムがウイルス感染…操業停止も: http://bit.ly/xaVKuH


snkm3:operaでhttpsでgo.jpなサイトを開くと「不正な機関 "Japanese Government"」とか言われて面白い。chromeとかfirefoxはエラーでないからルート証明書入ってるのかなあ?

テーマ : セキュリティ
ジャンル : コンピュータ

1月20日のtwitterセキュリティクラスタ

アメリカではSOPAに抗議してWikipediaなどのサイトが閲覧できないようになっていましたが、それとは関係あるかないかは不明ですがファイルダウンロードサイトのMegauploadが摘発されてしまいました。そして、それに抗議するAnonymousが攻撃を仕掛けているという大変な状況に。それにしてもMegauploadってもうかってたんだなあと。
eagle0wl:FBIが関係者逮捕&3名逃亡中&著作権侵害&共謀罪&Anonymousが捜査側を攻撃とか、カオス過ぎる ⇒ Megaupload が司法省の捜査により閉鎖、報復攻撃が進行中 -- Engadget Japanese

YourAnonNews:The government takes down #Megaupload? 15 minutes later #Anonymous takes down government & record label sites. #ExpectUs

connect24h:犯行声明ktkr! Anonymous - Don't Mess With Us

MasafumiNegishi:CNETの記事にこれまでにターゲットになったサイトの一覧がでてる。FBI, DOJなどは現在もアクセスできない。攻撃継続中。

Lawcojp:cnetも報道が迅速。「Anonymous、米政府関連サイトなどに大規模DDoS攻撃 」

gigazine:「Megaupload」閉鎖&FBIが運営者を逮捕、驚愕の運営実態と収益額が判明 http://gigaz.in/168vzp


@kitagawa_takujiさんによるAPT対策に関するツイート。企業の担当者はぜひ読んでほしいです。
kitagawa_takuji:アレに続いてまた何か出てきた。標的型サイバー攻撃の事例分析と対策レポート

kitagawa_takuji:現状の標的型攻撃のほとんどはWindowsの標準機能を利用することで対策可能だと思うのだが、IPAでは特定企業の製品による対策を推奨することは禁じられているのだろうか?

kitagawa_takuji:1.WSUSでWindowsとOfficeを更新、2.Acticve DirectoryグループポリシーのソフトウェアインストールでAdobe Reader,Flash,JREを更新、3.グループポリシーのソフトウェア制限ポリシーで添付ファイル保存フォルダのソフトウェア実行を制限

kitagawa_takuji:これだけで、標的型攻撃のかなりのものを防ぐことが出来る。少なくとも三菱重工、衆議院、参議院の事例はこれで防ぐことができた筈。

kitagawa_takuji:カナダ公共安全省によるAPT対策ガイドライン publicsafety.gc.ca/prg/em/ccirc/2… ではAPT緩和策として35の対策を効果の高い順に紹介しており、最初の4つの対策で標的型攻撃の85%以上を防げるとしている。

kitagawa_takuji:85%以上を防ぐことが出来るというのは国防省通信連絡局が2010年に扱った事例の実績によるもの

kitagawa_takuji:カナダ公共安全省のAPT緩和策は実はオーストラリア国防省通信連絡局のガイドラインをそのまま引用したもの Strategies to Mitigate Targeted Cyber Intrusions

kitagawa_takuji:その4つは1.アプリケーションのパッチ、2.OSのパッチ、3.ユーザ権限の最小化、4.ソフトウェア制限ポリシーやAppLockerによるアプリケーションのホワイトリスト 35の対策の内、出口対策と言えるものは9番,15番,34番くらいか?

kitagawa_takuji:ソフトウェア制限ポリシーに関しては塩月さんの解説がわかりやすい Windowsセキュリティ・ワンポイントレッスン第3回ソフトウェア制限ポリシーによるマルウェア対策


本当にC&Cサーバーが置かれるようになると面白いのに。
ntsuji:大江戸線六本木駅のアナウンスで「観光とビジネスの拠点」というフレーズがあるのですが何度聞いても「犯行とビジネスの拠点」と聞こえてしまい、C&Cサーバとかあるのかな?とか思ってしまいますよ。

lumin:六本木にC&Cサーバを設置したいですね。 @ntsuji 大江戸線六本木駅のアナウンスで「犯行とビジネスの拠点」と聞こえてしまい、C&Cサーバとかあるのかな?とか思ってしまいますよ。

ntsuji:@lumin 壮大なネタにw


その他気になったことはこのあたり。
topitmedia:「Creative ZEN Style Mシリーズ」にウイルス混入、対策を呼びかけ - ITmedia +D LifeStyle


internet_watch:総務省、「おとりファイル」でWinny/Shareユーザーに注意喚起する実験 http://bit.ly/zIzHKc


shingoym:相次ぐ流出…「複雑にする」だけでは不十分 変わるパスワードの常識(1) :日本経済新聞 http://s.nikkei.com/zMOKiT


MasafumiNegishi:標的型サイバー攻撃の事例分析と対策レポートを公開(IPA) http://bit.ly/Az4su3


kitagawa_takuji:セキュリティ製品の脆弱性を迷惑メール送信に利用、McAfeeがパッチ提供開始 - itmedia.co.jp/enterprise/art… 「McAfee SaaS for Total Protection」の脆弱性が悪用され、顧客のマシンがスパム中継に利用されていたことが分かった。


matsuu:X.org server 1.11以降に脆弱性。スクリーンセーバーによるパスワードロックは「Ctrl+Alt+テンキーパッドの*」で解除できる。gentoo+xscreensaverでも解除できることを確認… http://htn.to/f9XmLn

matsuu:スクリーンセーバーのパスワードロックをバイパスできる脆弱性のもうちょっと詳しい説明 / “[Phoronix] An Easy But Serious Screensaver Security Problem In …” http://htn.to/SNx9BD


trendmicro_jp:[セキュリティブログ]2011年を振り返る(2) モバイル端末を狙う不正プログラム http://blog.trendmicro.co.jp/archives/4745

テーマ : セキュリティ
ジャンル : コンピュータ

1月19日のtwitterセキュリティクラスタ

今年のセキュリティクラスタはmod_securityが流行ったりするのでしょうか。
ymzkei5:徳丸さんがmod_securityにハマり始めるなんて! 商用WAFベンダー各社がきっと戦々恐々w RT @ockeghem: 結局、ModSecurity HandbookはKindle版も買ってしまった

hasegawayosuke:mod_ockeghem 出るの正座して待ってる。


日本人ハッカー@Hamachiya2さんと@hasegawayosukeさんが紹介されています。スーパーハカーあこがれちゃいますね。
hasegawayosuke:日本人ハッカー @Hamachiya2 かっこいい http://htn.to/GoFfJs

Hamachiya2:日本人ハッカー @hasegawayosuke かっこいい http://htn.to/GoFfJs

hasegawayosuke:http://bit.ly/yyp3CI 指摘してないしw

moton:ありがとう!先月の謎「キャプテン・クランチって何者か?」を知ることができた!RT @hasegawayosuke 日本人ハッカー @Hamachiya2 かっこいい http://htn.to/GoFfJs


もちろん高木先生は有識者として入っているんですよね。
internet_watch:スマホに蓄積された利用者情報の取り扱いについて、総務省が対応を検討へ http://bit.ly/wYFyAs

mongrelP:有識者の中にひろみちゅがいて欲しいところだが / “スマホに蓄積された利用者情報の取り扱いについて、総務省が対応を検討へ -INTERNET Watch” http://htn.to/Bj9WZe


2006年版のソースコードですか… 誰か善意の人がバグを取って軽くして配布するとノートンユーザーもうれしいかもしれません。
asahi_tokyo:ウイルス対策ソフト大手の米シマンテック社が、ウイルス対策ソフトなどの設計図にあたる「ソースコード」が何者かによってアクセスされ、盗まれたと発表しました。 http://t.asahi.com/59g1

topitmedia:シマンテック製品のソースコード流出、pcAnywhereユーザーは注意を - @IT


これってユーザーにUTF-7にしてもらう必要があると思ったのですが、それができるならXSSとかどうでもいい気がしたり。
kinugawamasato:Sleipnir、ブラウザメニューからUTF-7が選択できたので、ほとんどのサイトで文字エンコーディング切り替えのXSSを誘発できるとして報告したところ、UTF-7が削除されたようだ。


その他に気になったことはこのあたり。
connect24h:2011年を振り返る - 1)セキュリティ業界、サイバー犯罪撲滅に貢献 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog) http://owl.li/8yAJe


4416sato:某所でドメイン名管理の話題が出たのでWorst Practiceとして経産省のCheckPCキャンペーンを紹介した。TV CMを放映し、今だに に掲載されてるが、いまやペットショップになっている。http://checkpc.jp


itmedia:[エンタープライズ]Facebookユーザーから現金をだまし取るマルウェア出現、アカウントを“人質”に http://bit.ly/xb9woJ


topitmedia:企業ネットワークへのバックドアと化すボットネット - ITmedia エンタープライズ


ScanNetSecurity:Anonymousの大規模ハッキングを受けたストラトフォーのWebサイトがオンラインに復帰?CEO:ハクティビストに我々の口を封じることはできない - クレジットカードの件は面目ない(The Register) http://dlvr.it/167Gtc


expl01t:逮捕者が5人から6人に増えたのかと思ったらタイトルが変なのね.Reading: 「4クリック詐欺」サイト運営者5人逮捕、京都府警 全員スマートマネージメント株式会社 に関わる人なのか気になる.


packet_storm:Microsoft Anti-XSS Library Bypass http://packetstormsecurity.org/files/108830 #exploit


packet_storm:MySQL Brute Force Tool http://packetstormsecurity.org/files/108835 #tools

テーマ : セキュリティ
ジャンル : コンピュータ

1月18日のtwitterセキュリティクラスタ

新しいタイプの攻撃も年をまたいで新しい新しいタイプの攻撃が出つつあるようで。
piyokango:『攻撃が成功してしまう場合、大きな要因が3つあります。ひとつは脆弱性、次に設定の不備、そしてエンドユーザーの無知(無頓着)です。』 / “IPAに聞く「新しいタイプの攻撃」への対抗策--入口に加え出口でも対策を - ZDNet Jap…” http://htn.to/qhr97E

piyokango:この記事、一体何を対象として書いているのか今一つ分かりづらいと思ったらIPAの「新しいタイプの攻撃」に関することだったのである意味納得するなど。

piyokango:「攻撃を受ける理由はエンドユーザーが無知だから」ってIPAの自虐ネタという理解でいいんですかね。


いくら対策したところで狙ってる側は執拗に攻めるようですので対応は大変でしょうね。
risa_ozaki:標的型攻撃で情報セキュリティ部門の役割はどう変わる? | TechTargetジャパン 情報セキュリティ http://j.mp/Aas6Jf


NTTデータ先端技術株式会社から最近の3つの脆弱性に関するレポートが出ています。日本語環境での実行結果が見えるっていいですね。
NTTDATA_PR:【検証レポート】Adobe ReaderおよびAcrobatにおけるU3Dの処理の脆弱性(CVE-2011-2462)に関する検証レポート(NTTデータ先端技術株式会社) http://bit.ly/zoKVKm

NTTDATA_PR:【検証レポート】Windows Packager設定における任意のコードを実行可能な脆弱性(MS12-005)(CVE-2012-0013)に関する検証レポート(NTTデータ先端技術株式会社) http://bit.ly/yoUI9k

NTTDATA_PR:【検証レポート】複数ベンダのtelnetdのlibtelnet/encrypt.cにおける任意のコードを実行可能な脆弱性(CVE-2011-4862)に関する検証レポート(NTTデータ先端技術株式会社) http://bit.ly/z8BYSO


家族にばれると恥ずかしいとか離婚の危機とかその瞬間にいろいろ頭に浮かぶ人はつい払ってしまうんでしょうね。やはりこれから怪しいサイトに行くにはクラウドOSの時代かもしれません。
kitagawa_takuji:料金請求画面消せぬウイルス、仕込んだ5人逮捕 : 社会 : YOMIURI ONLINE(読売新聞)


Amazonのウィッシュリスト公開してると砂が送りつけられるだけでなく、個人情報が抜かれてしまうみたいです。
bulkneets:Amazonのはまだ直ってなくて http://bit.ly/wpPHSv これ調べてたの博報堂のとAmazonのなんだけど、Amazonの思ったよりマズかったので個人的に連絡しとくかと思って寝てたらtogetterにまとめられてた

eclair_juice:Amazonのほしい物リストを公開していると個人情報を抜かれます。ってホントなのか…?ウィッシュリストなど作って無いがなー http://togetter.com/li/243105

shumei136:Amazonウィッシュリストで送るときはギフト包装にしないと誰から送られたのか分からないし、ギフト包装にすると請求先住所が相手にバレます。


googleにはお見通しなようで。
ntsuji:Tor使ってgoogle.com見に行ってみました。http://bit.ly/yMy1BJ


その他に気になったことはこのあたり。
tdaitoku:NSA、セキュリティ強化版の「SE Android」をリリース


F0ro:中東を見ているとサイバーテロリストとハクティビストの区別がつきやすい /Israeli hackers attack Saudi & UAE stock exchange websites


piyokango:“「Facebookワームに関与した集団はロシアに」 セキュリティ企業が関係者の氏名と写真を公表 - ITmedia ニュース” http://htn.to/9DiXE5


ScanNetSecurity:スパマーがQRコードを使ったジャンクメールを介してモバイルを狙う?究極のURL難読化ツール(The Register) http://dlvr.it/15wy6Y


typex20:dexとかapkをゴニョゴニョするツール。実行環境がWindowsになっているのが気になるけどあとで試してみよう。 / “AndroidSuite2012 Helps Encode and Decode Dex and Apk Fil…” http://htn.to/GrAGJe


ockeghem:日記書いた #hashdos / “徳丸浩の日記: Cookieによるhashdos攻撃と対策” http://htn.to/cG82U

テーマ : セキュリティ
ジャンル : コンピュータ

1月17日のtwitterセキュリティクラスタ


そういやPINクラックのことってあんまり盛り上がらないですね。クラックできてないのでしょうか。

MS12-002(Windows オブジェクト パッケージャーの脆弱性により、リモートでコードが実行される脆弱性)について。
kaito834:MS12-002適用前後でHKCR\Package\protocol\StdFileEditing\serverなどに変更あり。適用前は packager.exe だったけど...

kaito834:...適用後は C:\WINDOWS\system32\Packager.exe となっている。適当なWordファイルを作成して、それにcalc.exeなんかをD&Dして保存すればPoCとなりそう。@kaito834

kaito834:...そのWordファイルを「packager.exe」という名前のEXEファイルがあるフォルダで開き、D&Dしたcalc.exeなんかをダブルクリックするとCWDの「packager.exe」が起動する。 @kaito834


そしてMS12-005のexploitを実行する動画が上がっています。Wordファイルを開くだけであら簡単。
sh4rrk:I uploaded a @YouTube video
ms12 005


とりあえずサービスの実装優先でセキュリティとかは後回しでいいや、って考えなんですかね。そういや昨日久しぶりにネットで見かけたタダで世界一周しようとしていた人のサイトでもXSSがありました。
bulkneets:このサイト、XSS見つけた

bulkneets:テッククランチの方じゃなくてテッククランチが紹介してるサイトね

bulkneets:今までPHP + サーバーサイドで何か問題のあるようなコード書いてるようなパターンが多かった印象なのだけど、最近はJavaScriptでロード後に動的に書き換えている部分に問題を見つけることが多い。PHPでJavaScript生成してるみたいなのもある。

bulkneets:ライフハックの連中が便利便利とか言ってろくに検証せずに紹介するサイトだいたい10分以内で見つかる脆弱性がある

bulkneets: Greplinがすごい → XSS見つける GreplinからCloudMagicに乗り換えるべき → XSS見つける


送り主に返品する機能があるなら送った側は自分の過ちを悔いるしかないんですけどね。
roaring_dog:なんたる嫌がらせw(Wishlistは非公開で構わないと思う)→ Amazon ウィッシュリスト経由で砂 1 トンを送る方法 http://text.ssig33.com/84


意外と見るので忘れないようにメモ。
asahi_kokusai:ウィキペディアの英語版が、今日午後2時から24時間サービスを停止します。米議会で審議中の「海賊行為防止法案」がネット上の自由な言論を危機にさらすとして、抗議の意思表示です。 http://t.asahi.com/5940


その他に気になったことはこのあたり。
piyokango:“「Facebookワームに関与した集団はロシアに」 セキュリティ企業が関係者の氏名と写真を公表 - ITmedia ニュース” http://htn.to/9DiXE5


ScanNetSecurity:Web アプリケーションに対するハッシュ衝突攻撃 (Hash Collision Attack)(Scan Tech Report) http://dlvr.it/15kDG4


moton:NTFSの後継はReFSっていうのか。Microsoft introduces new robust "Resilient File System" for Windows Server 8 http://bit.ly/wYSO2F


kitagawa_takuji:ハッカー集団Yama Tough、「Norton AntiVirus」のソースコードを公開すると脅迫


jnsa:<JNSAせきゅり亭> 1月のお題は『スマートフォン』 ハッシュタグ「 #JNSAせきゅり亭」でつぶやいて下さい。 12月の投稿も掲載中です。 #JNSAせきゅり亭


security_1topi:公表から半年以上経過しているにも関わらず攻撃が増加しているのは攻撃可能なサイトが多いことを示しているのかも。攻撃側からするとこの手のアプリは狙い目です。 / phpMyAdminを狙う攻撃が増加、アップデートなどの対策を - http://r.sm3.jp/3EfF #1tp

テーマ : セキュリティ
ジャンル : コンピュータ

1月16日のtwitterセキュリティクラスタ

冬休みが終わったからかなんだか急に忙しくなってきました。

アメーバのパスワードが抜けるウイルスが出回ってたりするんですかね。
piyokango:去年の12月末の騒ぎとは別件のようです。 / “他人のアメブロに不正アクセス、会社員逮捕 | 日テレNEWS24” http://htn.to/RRXmJe

ockeghem:『山口容疑者は容疑を認め、IDなどの入手方法については「ウイルスを使った」と話しているという』 / “不正アクセス:会員制サイト侵入、容疑で長野の会社員逮捕 /神奈川 - 毎日jp(毎日新聞)” http://htn.to/gyk6sG


パスワードは盗まれると大変ですが、忘れてしまうともっと大変なので長さの設定など難しいことだらけです。ツールにまとめるのもいいと思うのですが、マスターが盗まれると終わりですし…
security_1topi:システムに保存されているブラウザなどのパスワードの長さや文字種の数を表示。そして、パスワード強度を示してくれます。 / Password Security Scanner - http://r.sm3.jp/3E2J #1tp

security_1topi:とはいうもののパスワードのシステムへの保存は危険も伴います。保存することでそこから容易に復元される可能性を加味しておく必要があります。保存の際にはその仕組がセキュアであるかの確認も忘れずに。暗号の有無など。先程のツールは思わぬパスワードの保存チェックにも使えますね。 #1tp

security_1topi:例えばこのサイト( http://r.sm3.jp/3E3l )を見れば分かる通りローカルに保存されたパスワードを復元するツールは沢山あります。ウイルスがこのような機能を備えていたり、自分のPCで他人がこれを実行したらと考えてみてください。ぞっとしませんか? #1tp


うちは設定する時に教えられましたが、すでに忘れました。面倒なセキュリティ男子は設定ついでにバックドアでも仕込んどけばいいのかもしれません。
piyokango:セキュリティ男子の皆様はどうなんでしょうか。 / “恋人に自分のアカウントのパスワードを教えるべきなの? : ギズモード・ジャパン” http://htn.to/wfixK8


そういや「ハッカー甲子園」って企画されましたね。
tokoroten:“Facebookが「ハッカーW杯」を主催、ハッカーについた負のイメージ払拭へ | スラッシュドット・ジャパン ハードウェア” http://htn.to/7aMsCv


その他に気になったことはこのあたり。
piyokango:『流出したのは顧客の氏名、電子メールアドレス、住所、電話番号、クレジットカード番号の下4けた、暗号化されたパスワードの各情報。』 / “Amazon傘下のZapposで顧客情報が流出、2400万人に影響か - ITmedia ニュース” http://htn.to/y1fL59


WebSecurityNews:Hackers spread malware via children's gaming websites - BBC News http://ow.ly/1gKqwn


piyokango:“iOS Hacker Demonstrates Untethered Jailbreak On iPhone 4S [Video] | Cult of Mac” http://htn.to/E5CNUq


JSECTEAM:ブログをポストしました。「ちょっといいセキュリティの資料とツール その 2 - MOICE (標的型攻撃メール対策に効果あり)」http://bit.ly/xySr78 #JSECTEAM


a4lg:フフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフフ・…とデバッガに嘲笑われてる気がして非常にアレ。

テーマ : セキュリティ
ジャンル : コンピュータ

1月14~15日のtwitterセキュリティクラスタ

@ITで12月のセキュリティクラスタまとめまとめが公開されました。いろんなところからさまざまな手段で読んでいただけるとうれしいですよ。
http://www.atmarkit.co.jp/fsecurity/rensai/matome2012/01.html

LAN内だとセキュリティホールの宝石箱が部屋の片隅に誰にも知られずたたずんでいたりするものなんですかね。
ntsuji:telnetdのlibtelnet/encrypt.cに脆弱性が発見されたことによりTCP23番ポートへのスカンが急増しております。

ntsuji:スキャンしてオープンポートが一切発見できないことをペネトレ界では、ポート層スカンというのが通例です。

ymzkei5:逆に、オンサイトなどで、脆弱性が満載のオープンポートがテンコ盛りの場合、脆弱性の玉手箱や~!と言うとか言わないとか。(言わないw) RT @ntsuji: スキャンしてオープンポートが一切発見できないことをペネトレ界では、ポート層スカンというのが通例です。

ntsuji:@ymzkei5 あ、言いますよ。「セキュリティホールの宝石箱やぁ?」とかw

ymzkei5:@ntsuji まさかのw


その他に気になったことはこのあたり。
prof_morii:違法チューナ再び… アナログで淘汰されたと思ったら? http://goo.gl/f9Nqw 昔の「言い訳(詭弁)」をいまだに使っているのですが、結局「違法」でしょう!


hasegawayosuke:「○○さんの自宅のSSIDはXXXだ」→SSIDにMACアドレスが含まれてると○○さんの自宅を特定可能。


piyokango:MS12-005のPoCとデモ動画。 / “YouTube - Broadcast Yourself” http://htn.to/xs5ZMh


kaito834:最新バージョンでないJRE1.6.23をインストールしたWindows 7のGoogle Chromeで、JRE関連のExploit を含むWebページを閲覧するとJREの実行がブロックされた。 http://pic.twitter.com/A2V4XVBB


ntsuji:大学への不正アクセスが目立ちますね。時期的に「目標をセンターに入れてスイッチ!」ってところでしょうか?


firefox_j:履歴消去だけでは消せない!インターネットブラウザのこわい話(Gow!Magazine) - エキサイトニュース http://exci.to/wU0q03 #firefox


risa_ozaki:マルウエア配信サイトのリンクを含むツイート - 世界のセキュリティ・ラボから | ITpro http://nkbp.jp/wk5dt4


moton:またOracleが脆弱性大量リリースの予定。。。やめてほしい。Oracle Plans 78 Security Fixes for Upcoming Critical Update | threatpost http://bit.ly/A1U969


tmnghryk:2012年01月20日(金) 14:40-16:10 学生向講演「現在ホットなセキュリティ~攻撃例とその対処」(NTTデータ 宮本久仁男氏) 香川大学工学部(林町3301教室)。講演の後も茶話会や懇親会を計画。セプキャンの講師の方です。

テーマ : セキュリティ
ジャンル : コンピュータ

1月13日のtwitterセキュリティクラスタ

今日はセンター試験ですか。周りに集中力が切れるような変人がいないことを願っております。

宇宙開発機構が標的型攻撃にやられてしまったらしく、いろいろ吸い出されてしまったようです。
tdaitoku:JAXA、職員の端末がウイルスに感染 - HTVの仕様や運用が漏れた可能性と発表 #mycomj http://j.mp/AvV0so

kitagawa_takuji:宇宙開発機構で情報流出 業務用PCがウイルス感染 http://t.asahi.com/57jz 同様のメールは同時期に数人で確認されており、感染時期は三菱重工業などへの一連のサイバー攻撃と重なっていることから、宇宙機構も対象になっていた可能性があるという。

takesako:JAXAのウイルス感染は標的型メールの疑い、NASA関連の情報も漏えい(不正プログラムは、コロンビアをドメインとする外部サーバと通信した形跡があり、端末から情報を送信していた)


あおりを食ってNASAのパスワードも流出しちゃったみたいです。
wahrheit_t:NASAパスワード流出か - MSN産経ニュース

よく考えるとパスワードだけで運用してるってことはないですよね。ないですよね。
_nat:NASAが未だにパスワードで運用してたとは驚き。HSPD-12 ベースにしてないとは。


QRコネクトって簡単にクラックされそうな予感がします。
prof_morii:つながらなければ返金:アイ・オー、家電向け無線LANセット「WN-AG450DGR-E」を発売 ここでのQRコード、不正対策は大丈夫だろうか?


その他に気になったことはこのあたり。
typex20:BlackBerry Playbookでメールが覗き見される脆弱性が発見されたらしい。。 / “Researchers find Blackberry Playbook flaw that allows email snooping …” http://htn.to/Qsjxct


unixfreaxjp:#Malware Info Chinese Exploit Packs 【日本側のSEC皆様には本件の内容に付いて認識が必要です】


itmedia_news:Twitterに見せかけたフィッシングサイトが出現しているのでご注意を^編 http://bit.ly/zlmRkp


ScanNetSecurity:ソニーのWeb改ざん犯が第2のハッカーに敗北~食うか食われるかの世界(The Register) http://dlvr.it/14wKn4


yumano:Amazon EC2 でアップされているAMIは、セキュリティの問題が色々あるって話。脆弱性の問題だけでなく、AMI自体に削除漏れデータが残っているケースとか・・・

テーマ : セキュリティ
ジャンル : コンピュータ

1月12日のtwitterセキュリティクラスタ

数日前から問題になっている電子書籍が履歴などを送信している件が新聞などで話題になり話が大きくなっているみたいです。
ktai_watch:[ニュース] 閲覧履歴など無断で取得、ビューンが事情を説明 http://bit.ly/zomwxK

typex20:ビューン公式の釈明。これを読んだ限り、このサービスは即終了でしょう。。 / “「ビューン」サービスに関わる閲覧履歴等のデータの取り扱いについて / 2012/01/12ニュース | ビューン” http://htn.to/PWksV1

kaito834:電子書籍「ビューン」、「マガストア」関連。「高木浩光主任研究員は「...利用者に分かりやすく明示して同意を求める必要...電子書籍の利用者の閲覧情報まで記録することが必要なのか、議論する...」と話して...」 / “スマホアプリが情…” http://htn.to/sLkbxs

tk2to:ビューンの件、ニュースになったから色んな人が観てるみたい。案の定Webアクセスログと一緒じゃねって方も居たので @HiromitsuTakagi 氏の発言を抜粋しておきました。 http://j.mp/wM6dQQ


googleもやらかしてしまったようですね。
nhk_news:グーグル 誤って個人情報表示 http://nhk.jp/N3zc6OCr #nhk_news

frnk:経産省が個人情報保護法違反の疑いで調査開始だとか。アプリ購入者情報が流出、グーグルの決済不具合 - 読売新聞


セキュリティ診断におけるツールと手動のメリットとデメリットについて比較されています。
ntsuji:セキュリティの診断において「ツールと手動」っていうのは永遠の課題なんですかね。社内向けですら1年に何度か違いとかそれぞれのメリット・デメリットなんかの説明をしていますよ。

ikepyon:@ntsuji ツールで何でもできると思っている人いますしね・・・ツールも正しい使い方を知らないと、ダメだし、手動は勘がないともれるし、手間かかるし・・・

ntsuji:@ikepyon 認識の違いと手間(金額)というジレンマですよねー

ikepyon:@ntsuji ですねぇ。ざっとツールで確認して、怪しいところを手動で深くというのが一番な様な気がします


そして@ntsujiさんが#NW診断におけるツールと比較したときの手動の優位点 というハッシュタグで整理されています。
ntsuji:誤検出と非検出の精査。報告されたものが実際に再現可能かのチェックを行う。診断での実績、経験から見落としの排除を試みる。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:検出された脆弱性の修正優先度の提示。機械的に示された危険度は再現できる/できないは加味されていない場合がある。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:攻撃手法さえ分かっていれば攻撃シグネチャ(アンチウイルスでいうパターンファイル)のリリースを待たずに確認することが可能。つまりは、即時性がある。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:1つのホストが攻略されたときの横展開の実施。侵入に成功したとき割り出すことができたパスワードを他ホストで使い回していないか。規則性に沿っていないかのチェック。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:というか本来比較とか対決とかではなく、人と道具だから本来は一心同体でなければならない。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:道具は考えることはしない。意思も持たない。道具を用いた結果は人に委ねられている。決して、道具に振り回されてはいけない。人は考えることができるんだから。 #NW診断におけるツールと比較したときの手動の優位点

sogasan:耳が痛いですわ。 “@ntsuji: 決して、道具に振り回されてはいけない。 #NW診断におけるツールと比較したときの手動の優位点”

sogasan:手動だけでもなく、ツールだけでもない検査じゃないと、やる意味すら疑わしくなると思う。ツールの利点は網羅性、手動の利点は拡張性。2つでやっと1になる。 #NW診断におけるツールと比較したときの手動の優位点


その他に気になったことはこのあたり。
tdaitoku:エフセキュアブログ : コンピュータ・ウイルスの分析を学ぶ:5年目 @FSECUREBLOGさんから


piyokango:Twitter怖い。 / “「発言ねつ造」に対し脆弱な Twitter | スラッシュドット・ジャパン IT” http://htn.to/jgkce7


jpcert:Weekly Report 2012-01-12を公開しました。^YK


piyokango:“トレンドマイクロウイルスバスター2012クラウドのポップアップがフィッシングクサイ件 - まっちゃだいふくの日記★とれんどふりーく★” http://htn.to/ajuWsd


zusanzusan:NICT 季報 Vol.57 No. 3/4, ネットワークセキュリティ特集


tdaitoku:「カード情報を暗号化しなかったのは当社の過ち」――情報流出被害のStratfor


kou_yan:無料でWindowsのパスワードをリセットするUSBメモリを作る方法 - GIGAZINE: 無料でWindowsのパスワードをリセットするUSBメモリを作る方法 - GIGAZINE「Trinity Rescue Kit」... http://bit.ly/x9CkUV

テーマ : セキュリティ
ジャンル : コンピュータ

1月11日のtwitterセキュリティクラスタ

外出予定が入っている日に限って非常に寒くて困りますね。天気は引きこもりに考慮すべきだと思います。

JavaのServletではCookieのhashdosの影響は受けないそうですよ。そういや是に便乗してphp叩きが起こっている気が。
kinyuka:TomcatはCookieの扱いでMapを使ってないぽいので、おそらくCookieでの#hashDoSは受けないと思います。PHPは手元では見事にCookieでDoSる。最新版にも効くのかどうか試してみたいけど環境がないな。

kinyuka:Servlet APIではCookie取得メソッドの戻り値の型がCookie[]で全Javaプログラマーを絶望させたが、今回のhashDoSでドヤ顔ができることが発覚した #hashdos


200ページくらいなので初心者向けで目新しいことは書かれてないような気がするので、4000円出すのはちと苦しいですね。
sen_u:Backtrack 5 Wireless Penetration Testing Beginner's Guide とかいう本が出てた。 http://amzn.to/xGe1ch


タダみたいなので行ってみたいけどちょうど忙しい気が…
sonodam:企画者が言うのも何だけど豪華ゲストなsutegoma2+CTFパネル@1月25日、来てねー>


影響力のある人が必ずしもセキュリティに配慮しているというわけでないので結構乗っ取りとか増えそうですね。
ntsuji:ソーシャルネットアカウントの悪用・売買がこれから増えるんじゃないかなーとぼんやり思っています。 - 「企業は情報、個人は金銭が狙われる」傾向が2012年はより強まる、IPAが警告 - http://bit.ly/Ajdbpk


その他に気になったことはこのあたり。
piyokango:『アプリケーションが公式に認められた証明書で署名されていると、その証明書の鍵が組み込まれたデバイスでは、通常の許可確認画面を表示せずにインストールを進めることが可能です。』 / “2012 年はモバイルマルウェアにとって新たな年となる…” http://htn.to/FTE1Un


security_inci:[JVNDB] MediaWiki における重要な情報を取得される脆弱性 http://bit.ly/yuccZK


ockeghem:『Telnetdをご利用の場合は、最新のバージョンへアップデートすることをご検討ください』http://htn.to/D17SZj


piyokango:『iPhoneに感染する不正プログラムとしては、2009年11月上旬に壁紙を勝手に書き換えるものが確認されている。』 / “IOS_IKEE.A(アイキー) - 検証ラボ:ウイルスを観察してみる:ITpro” http://htn.to/KcLNeD


kitagawa_takuji:Windowsに危険な脆弱性、動画の再生でウイルス感染の恐れも - ニュース:ITpro http://nkbp.jp/ylFUqw #itprojp


sophosjpmktg:【スパム速報】企業あてに連邦預金保険公社(FDIC)からのメールを装いマルウェア入り添付ファイルを開封させる攻撃が報告されています (英語)


Yomiuri_Online:北朝鮮のサイバー攻撃機関に?パソコン不正輸出: http://bit.ly/z0L8l7


itmedia:[TechTargetジャパン]仮想化時代のネットワークセキュリティ【前編】:仮想ネットワークの安全性を物理環境と同等に高める方法 http://bit.ly/wFzW3i


dol_editors:[渡辺史敏]アノニマスがソニー再攻撃!?日本のTPP参加に影響も 米下院「オンライン海賊行為防止法」の波紋 - News&Analysis http://bit.ly/zOiRoR


Ji2Japan:EnCase Forensic v7.02.04がリリースされました。本バージョンより、日本語版のv7が利用可能です。


sen_u:The OWASP AppSec AsiaPac 2012 CFP募集してる。 http://sl.owasp.org/apac2012talks

テーマ : セキュリティ
ジャンル : コンピュータ

1月10日のtwitterセキュリティクラスタ

電子書籍がログを送信することととWebサイトがログを記録することの違いを解説されています。技術的必然性の有無ということですね。
HiromitsuTakagi:電子書籍のページ閲覧操作履歴を、Webのアクセスログと同一視して「何がいけないの?」という声が僅かながらあるようだが、Webは実現手段として当初からそれが必然であったために、歴史的に黙示の同意があると言えるのに対し、アプリはそうではない。

HiromitsuTakagi:Webは、ハイパーリンクを用いたハイパーテキストとして登場した。つまり、読もうとする必要なページだけを要求し、取得して、閲覧するという点が特徴で、それはネットワーク回線の細い当時としては技術的に必然であった。一方、歴史的経緯から、アクセスログを取るのも当然となっていた。

HiromitsuTakagi:そのため、アクセスログを解析することによって、閲覧者の嗜好を分析するということも可能になるわけだが、それはあくまでも結果として可能になったのであって、初めからそれを目的として、(必要もないのに)ページ単位の履歴を取得しようとしたわけではない。

HiromitsuTakagi:そのようなWebにおいては、90年代後半から、閲覧動向を知られ得ることがプライバシー上の問題として取沙汰され、匿名で閲覧する権利を実現するための、いくつかの試みもなされた。ページ単位の履歴を取られるのは止められないから、閲覧者を特定できなくすることで回避しようとしたのであった。

HiromitsuTakagi:それに対して、電子書籍やアプリの場合は異なる。ハイパーリンク、ハイパーテキストと異なり、一冊の単位で配布されるものであり、閲覧者が見ようとしているページ毎にダウンロードすることは不必要であり(実際、産経新聞アプリもマガストアも、一括ダウンロードになっている)技術的必然性はない。


jQueryにはそれ自体に起因するXSSがあるみたいですね。使っている人は注意した方がいいのですかね。
bulkneets:Here is #XSS http://bit.ly/yuVD9b caused by $('.sub a[href*=" $query_param "]:first') / @jeresig @mustardamus #jQuery

bulkneets:jQueryのCSSセレクタ誤認に起因するXSS、最近割と頻繁に見つけていて、やっぱりjQuery本体直すべきだという実感があるのだけど、影響大きい著名サイトで悪用可能で未修正なものは晒せないから、ちょうどいい事例があったという感じ


@sonodamさんのご登場ですよ。
kuno_ichi:#mynavinews 【インタビュー】打つ手がないとも言われるサイバー攻撃にどう取り組むべきか? - 園田氏 #security


こちらには@ntsujiさん。「これが「年収一億マン」の8つのオキテだ」で名前が出されていると思うとうらやましくてたまりません。
ntsuji:よくよく見るとボクがセミナーでしゃべったことも参考にされているようで嬉しいなう。RT @ntsuji: ボクの名前がちょこっとだけー出てきますよ。 / プレジデント 2012年1.30号 - http://bit.ly/xRBiYY


最近話題のhashdos攻撃ですがCookieでも可能だそうです。ひー。
ockeghem:Apache+PHPで、Cookieによるhashdos攻撃は可能のようですね。Apacheのリクエストヘッダは、デフォルトで1つあたり8192バイト、ヘッダ数は100まで。かけ算で約800KB。攻撃には十分な容量です。ただし、(続く) #hashdos

ockeghem:(続き)攻撃の前提として、複数Cookieヘッダが使えないといけないけど、PHPでは複数のCookieヘッダを受け取る。また、Cookieの名前もパーセントデコードする(Cookie: %41=1; は Cookie: A=1; と同じ)ので既存のPoCが使える #hashdos

ockeghem:Cookieのvalueをパーセントデコードするのはよいとして、名前までそうするのは余計なお世話のような気もするが…


その他に気になったことはこのあたり。
data_head:CarrierIQ Removerと見せかけて有料SMSを送信するTrojan。トレンドに乗っかる手口はSpamでよく見るが、配布が容易なAndoroidもSpam的手口が有効であることが分かる。| Android.Qicsomos >


tdaitoku:Symantec製品のソースコードが流出、ハッカー集団が公言


OrangeMorishita:【脆弱性情報:速報】バージョン3.0までのPowerDNSにDoS攻撃が可能になる脆弱性が開発元からアナウンスされました。既に対応版がリリースされています。該当するPowerDNSのご利用の方は、バージョン3.0.1または2.9.22.5への更新が必要になります。


kaito834:「スマートフォンの利用者を狙った悪質なサイトが、去年の7月ごろから増えている...中には、現金6万円を振り込んでしまった被害も確認されているということ...」 / ““ワンクリック詐欺”スマホでも NHKニュース” http://htn.to/t5XYGW


madonomori:更新: 深刻度“High”の脆弱性3件を修正した「Google Chrome」v16.0.912.75が公開 http://bit.ly/zU7JiZ

テーマ : セキュリティ
ジャンル : コンピュータ

1月6~9日のtwitterセキュリティクラスタ

三連休のTLは冬休みより閑散としている気がしました。

アップデートしないとどんどん落とされちゃいますね。
piyokango:MS11-100のExploitコード。 / “Exploit Code Released for ASP.NET Flaw | threatpost” http://htn.to/E95vxH


貧乏くさい動画で怪しさ満点ですw
risa_ozaki:「DDoS攻撃はいかが? 1時間でわずか2ドル」、女性がYouTubeで宣伝 | PC online


そしてもう1つ新たなDoSも。
typex20:「Slow Read DoS」攻撃は、ネットワーク屋さんならふつーに知ってる話。。 / “セキュリティ研究者が新たなHTTP DoS攻撃手法を考案――検知しにくい特徴も|セキュリティ・マネジメント|トピックス|Computerworld” http://htn.to/CaBKi

qualys:Qualys researcher Sergey Shekyan creates a slow reading http server DoS attack,


広範囲を狙うよりはターゲットを絞って効率的に攻撃するようになったということですね。
SankeiBiz_jp:コンピューターウイルスの届出件数は6年連続減少。昨年はサイバー攻撃など「標的型攻撃」が相次ぎました(SankeiBiz編集部) #news #ウイルス #PC


その他に気になったことはこのあたり。
ScanNetSecurity:海外における個人情報流出事件とその対応「スーパーでのスキミングの手口とその対応」(1)改ざんされたカード読み取り機 http://dlvr.it/14KbYp


moton:今年のREconのスケジュールが公開されている。6/14-16開催。 REcon 2012 http://recon.cx


piyokango:『ボタンをクリックするとWebブラウザが開き、複数のWebサイトのリダイレクトを経て在宅ワークの宣伝ページに行き着く仕掛けになっている』 / “Android公式マーケットにまた不正アプリ、ユーザーをだます手口が巧妙化 - ITmed…” http://htn.to/NfcqvK


itmedia:[TechTargetジャパン]標的型攻撃対策に関する読者調査リポート:標的型攻撃に72.9%が危機感、出口対策に高い関心 http://bit.ly/AveXeM


cetacea:これって既出? | @HiromitsuTakagi | マガストアとビューンのiPhoneアプリ、閲覧履歴がだだ漏れだった件 | http://anond.hatelabo.jp/20111230084554


OwaspJapan:Penetration Testing Android Applications http://bit.ly/zeHyCF(PDF)


kaito834:記事におけるコメントやはてぶコメントで様々な意見が挙がっている。記事のコメント「不用意な転送メール対策」に同意。個人的には、はてぶ id:ROYGB のコメントに興味持った。 / “「パスワードはメールで別途送ります」の存在意義とは …” http://htn.to/kNCXmN

テーマ : セキュリティ
ジャンル : コンピュータ

1月5日のtwitterセキュリティクラスタ

明日からはまたまた3連休だそうです。それじゃやる気が起きないのも仕方ないですよね。

Androidマーケットで有料アプリを買うと個人情報がダダ漏れされるそうです。アプリ作るなら無料ではなく1円くらいで売りたいところですね。
kazuho:“最近 Android Market の売上レポートに購入者の個人情報が思いっきり入るようになってしまった件 - むらかみの雑記帳” http://htn.to/pfz6tu

HiromitsuTakagi:確認したいこと。①個人情報が提供されるのはアプリが有料の場合だけなのか無料の場合もか。②提供され得る自分の住所がGoogleにどのように登録されているか確認する方法。

wtnbgo:@HiromitsuTakagi ②は、はじめて有料アプリを買うときに入力したクレカ情報のものだと思います。checkout.google.com にログイン → wallet.google.com にとばされてそこで見れます

HiromitsuTakagi:「完全な情報が入っているものとそうでないものが混在している」の件、この推測はどう?マーケットで支払方法として、カードを選択した場合は、郵便番号相当の住所まで(番地含まず)だが、docomoやauのキャリア決済の場合は、番地までの住所。(根拠:初回利用時の個人情報登録画面の違い)

HiromitsuTakagi:この件は、まずは個人情報保護法上どうなのかなので、行政に任せましょう。苦情を言いたい人は、経済産業省情報経済課 または消費者庁へ。

53RS:"Android有料アプリを買うと個人情報がダダ漏れらしい - NAVER まとめ


その他気になったことはこのあたり。
tomoki0sanaki:「Hashdos攻撃に対するASPの影響について 」 #hashdos

tomoki0sanaki:レガシな ASP には影響がなさそうなのかな #hashdos


ooba:無線LANのWPS脆弱性の件、なぜ11,000回の試行で済むのかというと「PINの8桁目はチェックサム→実質7桁」「4桁ずつ個別照合される→10,000通り+1,000通り」ということみたい


hackinthebox:Anonymous hackers target neo-Nazi websites -


enjoy_life_vc:メールサーバにアタック来てる。 ブルートフォースみたいなんやけど、 「user spam」ってwww それはないと思うわ。


isolette:パスワード期限切れで変更を促され、変更をするとシステムエラーで2度と入れなくなるバカシステム>< 笑ってるけどおまえの会社の製品だよっ!w


tetsutalow:米国から見たサイバー犯罪の現状。元はブルームバーグの記事で、我が国はちょっと状況が違うけど自体が深刻なのは同じ。こういう一般記事がもっと多く出て危機感の共有に繋げられたらなぁ。 / “サイバー犯罪、市場拡大 「アマゾン方式」で盗難デー…” http://htn.to/SajhxW

テーマ : セキュリティ
ジャンル : コンピュータ

1月3~4日のtwitterセキュリティクラスタ

徐々に冬休みから日常に戻りつつあるTLです。

WPSで簡単設定はとりあえず止めておきましょうということですね。ちなみにReaverでは連続アクセスに対するロックには対応しているみたいですが、PIN動的生成に対応しているかは不明です。
moton:無線LANのWPSのアレ、Exploitが2つ公開されてる。1つはReaverで、オープンソースだけでなく政府機関向けバージョンも存在する。もう1つは、発見者がカミンスキー氏に催促されて公開したpythonの検証コード。

moton:WPSブルートフォースの注意喚起、JPCERT/CCによる日本語版出た。JVNVU#723755: Wi-Fi Protected Setup に脆弱性

tetsutalow: の"When poor design meets poor implementation."てのはなかなか皮肉。手元のバッファローのWZR2-G300Nは、WPS時にはPINを動的に生成、かつ2分間だけ有効にする策を取っているようだ。


富士通ってセキュリティに興味がある印象はないのですが、どこかに丸投げするんですかね。
kitagawa_takuji:富士通、「サイバー攻撃の無力化案件を受注」で大幅続伸

sophosjpmktg:富士通社が開発している攻撃経路を逆探知して攻撃元を突き止めプログラムを無力化するサイバー兵器を、推奨できない理由について (英語)

packet_storm:Japan On The Offensive As Cyber Weapon Plans Are Leaked http://packetstormsecurity.org/news/20411 #news


IE6のシェアがついにアメリカでは1%を割ったとのことです。
jcleblanc:IE6 Usage Falls to Under 1% in U.S. http://bit.ly/zqR1Hv

hebikuzure:US で IE6 のシェアが 1% を割ったという記事からブラウザー シェアを色々と調べてたら gs.statcounter.com のデータを発見。これで daily のデータを見ると Worldwide... http://fb.me/1pbrUqmik


その他に気になったことはこのあたり。
moton:MS11-100のDoSの影響を受けるMS以外のベンダーのWebアプリ基盤製品はここにまとめられる。oCERT.org - oCERT Advisories


moton:pastebinがAnonymousのDDoSでダウン。Pastebin gets taken down by a DDoS attack- The Inquirer mobile http://bit.ly/yfrQ5M

JVN:Adobe 製品における複数の脆弱性


AusCERT:Interesting satellite set-top-box vulnerabilities & PoC allow full remote control & user messaging http://bit.ly/A476mB #infosec


ockeghem:日記書いた #hashdos / “徳丸浩の日記: hashdos攻撃をmod_securityで防御する(CentOS+yum編)” http://htn.to/CMKPHZ


MasafumiNegishi:Report: Analysis of the Stratfor Password List http://bit.ly/yPPpU5


security4all:Nmap introduces 51 new scripts - http://bit.ly/t399Bo


ethicalhack3r:WordPress 3.3 XSS confirmed and quick fix - http://bit.ly/xp9I7q#xss @WordPress


zusanzusan:電子情報通信学会 基礎・境界ソサイエティ 機関誌 第5巻第3号 が発刊されました。セキュリティ関連では、今井秀樹先生が寄稿されています

テーマ : セキュリティ
ジャンル : コンピュータ

1月1~2日のtwitterセキュリティクラスタ

あけましておめでとうございます。今年も淡々と更新していきますよ。

元旦の新聞に大きく出てた、攻撃を逆探知して仕返しするという、みんな考えたことはあるけどできるわけないよなという兵器?について。
haromitsu:防衛省が対サイバー兵器、攻撃を逆探知し無力化 : 社会 : YOMIURI ONLINE(読売新聞) おぉいつの間に。攻性防壁とか攻殻機動隊しか出てこないw

piyokango:“防衛省が対サイバー兵器を開発中 | スラッシュドット・ジャパン” http://htn.to/zaKsR9

ntsuji:なんですか?これは? / 防衛省が対サイバー兵器、攻撃を逆探知し無力化 : 社会 : YOMIURI ONLINE(読売新聞)

R0zet:防衛省が対サイバー兵器、攻撃を逆探知し無力化  防衛省はウィルス作ってもOKなんですねぇ。

piyokango:2008~2010年にかけて研究を行ったネットワークセキュリティ分析装置に対しての性能確認試験が10年10月と11年5月に行われたんですね。随契?のようで契約業者は富士通、シマンテック、セキュアブレインとなっています。

gohsuket:初耳ですよね?。噂の日本領海に侵入したウイルスを迎撃する技術?ww RT @ntsuji なんですか?これは? / 防衛省が対サイバー兵器、攻撃を逆探知し無力化 : 社会 : YOMIURI ONLINE(読売新聞)

ntsuji:@gohsuket @R0zet 時間単価5000円の人を月(20営業日)約6人ほど雇える計算ですね。ウイルスという表現もなんか嘘臭いですね。ただ、受託した会社の名前が出てるということは、なんらかの元ネタがあるのだと思うのですが。

gohsuket:@ntsuji @R0zet 試作の受託だから、「結果あまり上手く行かないようですね。がはは」で済んじゃう悪寒。いにしえの第5世代コンピューターとか、政府音頭開発で成功した試しないですから。(或いは、上手く行かない事を証明する試作かも。それを受けて米から援助受ける理由付けとか)

R0zet:@ntsuji @gohsuket 言葉の表現に関しては曖昧みたいですね… 確かに、元ネタ気になります。

gohsuket:@R0zet @ntsuji セキュな人で誰か「数年前に防衛省の役人から日本領海に侵入してきたウイルスを迎撃する技術はないか?と相談されて困った」て言ってた話題を何処かで目にしたんですけど。もしかしてマジに受託取ったらF社手あげちゃったとか。あの省はそういう物の考え方しそうでw

ntsuji:@gohsuket @R0zet えぇ?!ネットの話で領海ってw 海底ケーブルのことなんでしょうかねw

R0zet:@ntsuji @ntsuji 海底ケーブルにPAC-3打ち込むイメージでしょうかw

piyokango:ネットワークセキュリティ分析装置は「サイバー攻撃等に係る分析・対処及び研究の推進」として、「情報セキュリティ2010」「2010年度の情報セキュリティ政策の評価等」「情報セキュリティ2011」にも記載がありますね。

piyokango:評価では、『防衛省の保有する情報システムに対するサイバー攻撃等に関する脅威/影響度の分析・対処能力向上のために研究試作を行っていたネットワークセキュリティ分析装置の設計・製造が終了し、2010年度中に納入された』と記載があり既に実装作業は終えているようですよ。


ぼくも手元の写真を使ってやってみたいですが、載せられた当事者にとってはサイバーテロみたいなものかもしれませんw
gohsuket:セクシーな情報セキュリティギークTop10発表 RT @MikD Top 10 Sexy InfoSec Geeks


もうスーパーランディスが頭に水かけまくった日から6年ですか… そしてドーピング検査した機関に侵入しようとして執行猶予12ヶ月だそうです。
metalabasia:Floyd Landis Sentenced For Hacking Test Lab @slashdot


すべてのAPでできるようではないみたいですが(失敗した)使わないのなら止めておきましょう。
matsuu:WPSに対するブルートフォース攻撃の実証動画。51分ほどで解析。複数の無線LAN端末があればもっと早くできちゃいそうだな。WPSは切りましょう。 / “Wi-Fi Protected Setup PIN brute force vul…” http://htn.to/p2VNwX


その他に気になったことはこのあたり。
MasafumiNegishi:Anonymousは NYEも大忙し。主に 2つの動きがあったもよう。ひとつは LulzSec系で、CAと NYの警察関係のメール公開(数GB規模)。もうひとつは、DoxCak3による複数の Dox公開。こちらは事前予告があったやつで、OpHiroshimaという作戦名。


OwaspJapan:OWASP Ruby on Rails Security Guide V2 http://bit.ly/uXtCLX


kitagawa_takuji:パスワードのセキュリティ度を診断してくれるWin向けユーティリティ『Password Security Scanner』

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
01-2012
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

12   02

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。