fc2ブログ

2月28日のtwitterセキュリティクラスタ

今日は数少ない外出する用事がある日ですが、狙いすましたように雪です。

今度はPASMOを盛り上げようとしている高木先生です。
HiromitsuTakagi:パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 - 高木浩光@自宅の日記(2012年2月27日)
「…そうしなければ、やがて、乗車履歴のデータエクスチェンジなどといった話も出てきかねないだろう。」

Benjamin_jp:@HiromitsuTakagi 「記名PASMOというのは、首都圏の私鉄を通勤通学に使用する人にとって、定期券として作らざるを得ない、避けて通れないものである。」 は、磁気定期券にすれば解決する。自分はSUICAにはできないルートを使うので、磁気定期にしている。


それに呼応するようにPASMO以外の鉄道ICカードの履歴照会情報について調べた人が現れています。ありがたいですね。
ritsukaPya:今問題の交通系IC券のネット履歴照会に必要な情報を調べてみた●ICOCA:提供無 ●スマートICOCA:郵送仮パスワード必須 ●PiTaPa:裏面情報(会員番号・期限・カードID下4桁)・申込時の氏名、電話番号、生年月日※上書再登録可 ●他の近畿中国地区の券:提供無※続く

ritsukaPya:(続き)●Suica:提供無 ●PASMO(無記名式除く):カードID・申込時のカナ氏名、生年月日、電話番号※上書再登録可 ●SAPICA(無記名式除く):カードID・登録時電話番号※上書再登録は不明 ●Kitaca・TOICA・manaca:提供無 ※続く

ritsukaPya:(続き)●SUGOCA・はやかけん:提供無 ●nimoca(無記名式除く):カードID・申込時の生年月日※上書再登録不可? ●LuLuCa:会員番号・申込時の氏名、生年月日※上書再登録可 ●passca・ecomyca・RapiCa・いわさきIC:提供なし

ritsukaPya:ということで、ネット上での履歴確認サービスを提供している券は、スマートICOCAを除いてカードに記載の情報と本人情報(氏名、生年月日の類)があれば第三者が登録しうる危険な仕様。例えばカードの写真をうっかり日記に載せたりして、それを本名も生年月日も知ってる人が見たら…

ritsukaPya:ショッピング利用時にはカードIDが全桁レシートに印字される場合があるようなのでそれにも注意が必要。(PiTaPaはSUで始まるカードID以外のデータが登録に必要なので、券の裏面を見せないことだけに気を配ればOK)

ritsukaPya:しかし、カードの現物なしで照会出来るという怖い処理をするのに、なんでこんなアホな仕様にしたんだ各社とも。既にこのように不正利用を勧めるサイトまでたくさん出来てる状態なのを知ってるんだろうか

ritsukaPya:そんな中JR西日本だけはきちんと第三者による登録を防げるシステムになっていて、これは意外だった。あとICOCAにはノーマル券に記名式が存在しない。利用者登録が必要なのは子供券とクレカチャージ用のスマートICOCAだけ。必要がない個人情報は集めない方針なんだろうか

ritsukaPya:あとTOICAも記名式は小人券だけ。

ritsukaPya:不正利用を勧めているサイトのURLが間違ってた。 正しくは


世界のみんなに見られてるってことは絶対に意識しておいた方がいいですよねー
Hamachiya2:にっきかいた→『ネットを利用するときに気をつけたいこと』


その他に気になったことはこのあたり。
MasafumiNegishi:おや、ManTechが HBGaryを買収とな。両者の共通点 → どっちも Anonymousにコテンパンにやられたw


yasulib:「ハンド (逆) アセンブルのための x86 ニーモニックの覚え方 - @a4lg のそろそろ技術的日記」


shafigullin: this is my #s01xsspuzzle challenge. I even don't wait that somebody can solve it. But it is possible.


OwaspJapan:Web application security checklist 2012 (for auditors)

スポンサーサイト



テーマ : セキュリティ
ジャンル : コンピュータ

2月27日のtwitterセキュリティクラスタ

Macだから大丈夫だと思ってる人って案外いるんじゃないでしょうか。
Tonton_:Macマルウェア「Flashback」がパスワードを狙う~早急にJavaアップデートを -INTERNET Watch @internet_watchさんから


まだまだNTML認証なネットワークは多いと考えるとLANって危険ですよね。Kerberos認証ってずっと存在だけは知ってますが、使ってる現場は見たことないです。
kitagawa_takuji:Windows7、Server 2008 R2ではグループポリシーで「NTLMを制限する:リモートサーバに対する送信」を設定することによりNTLMv2認証を殺してKerberos認証オンリーに出来るようだが(既定ではもちろん制限なし) (続

kitagawa_takuji:続)Vista以降でNTLMv2認証が既定となっただけで問題が生じ、LAN Manager 認証レベルをXPと同じレベルに落としている組織が多い現在、Kerberosオンリーを実現するのはかなりハードルが高いのではないか

ockeghem:@kitagawa_takuji ぜひ国会のネットワークはKerberosオンリーにして、民間の模範・目標になってもらいたいですね

kitagawa_takuji:@ockeghem Windowsを禁止して国産OSの超漢字にするとか

>ockeghem:@kitagawa_takuji 僕も自分なりに考えたのですよ。議員の先生方に使いやすくて、できれば国産で、セキュアで…と考えていったら、そうだ、ガラケーがあった、これしかない、と思いました:)


内容も決まっていないのに人が人を呼んでキャンセル待ち200人の大人気なShibuya.XSSです。
haruyama:Shibuya.XSS 発表者だけど内容わかってない.

hasegawayosuke:@haruyama 誰一人わかってないんで大丈夫だと思います。

bulkneets:Shibuya.XSS プレミアムチケット作って売って発表者に還元して欲しい


浸透いうな、とGhost Domainは確かに名前解決のキャッシュが消えずに残ってしまう問題ですね。
wasaist:説明用に良いのでメモっておきます / “「DNSの浸透待ち」は回避できる――ウェブ担当者のためのDNS基礎知識 -INTERNET Watch” http://htn.to/BNuUCP

beyondDNS:最近あきらかにされたGhost Domain Names問題(重要度 High の脆弱性)が「浸透問題」と一卵性の双子であることをどれくらいの人が理解しただろうか。

beyondDNS:現時点でghostと呼んでいるものは、委譲が取り消されたドメインに属する名前に対するレコードが返事として(DNSキャッシュサーバから)返ってくるものです。本来はnxdomainを返してもらいたいものですね。端的にいえば、DNSの設計不良ですが、一部のキャッシュではすでに修正ずみ。


3月8日には使えなくなるから感染がわかっていい… わけないでしょうから心当たりのある人はお早めの検査を。
IIJSECT:IIJ Security Diary: DNS Changerマルウェア感染に関する注意喚起 @IIJSECT

d6rkaiz:dns changer malware に汚染されている場合3月8日以降はFBIがサーバを撤去して使えなくなる。使ってるPCで正しいDNSを使ってるかどうかのチェックツールがFBIから提供されている。


その他に気になったことはこのあたり。
ScanNetSecurity:サイバー兵器のパラドックス、高度な兵器ほど危険性が低下する~専門家言(The Register) http://dlvr.it/1FmbWc

ockeghem:『初夏頃から始めたセキュリティ本勉強会 …通称「徳丸本」…めでたく先日読了したので、「徳丸本LT会」を実施しました』<お招き頂きありがとうございました #wasbook / “事業責任者が知っておくべき、セキュリティの話|椿ブログ” http://htn.to/hv7GYM

YamayaT:一貫してセキュア過ぎるブラックベリーと、それに難癖をつけていたインドの妥協点として、インドにサーバーを置くことになった模様/RIM finally sets up BlackBerry server in Mumbai

テーマ : セキュリティ
ジャンル : コンピュータ

2月25~26日のtwitterセキュリティクラスタ

この週末はCODEGADEのCTF予選が開催されていました。SUTEGOMA2は6位で決勝大会への進出を決めています。出場者の方々は必死だったのだと思いますが、端からは余裕を感じますね。
yasulib:sutegoma2すごい http://yut.codegate.org/#Main

07c00:朝起きたらsutegoma2が余裕で決勝進出を決めてたw強すぎワロタw yut.codegate.org/#Main

murachue:codegate所感: うわっ…私のバイナリ解析、遅すぎ…?

piyokango:“CDEGATE2012 CTF予選 終了 - てっじーの丸出し” http://htn.to/pynh7T


そして、さまざまな参加者によってWriteupが発表されています。勉強になりますね。
tessy_jp:予選終わる前に出てたww 斬新。 RT @leetmore CogeGate 2012 Quals - Binary 200 http://ctf.su/Nq6e #CTF #GODEGATE2012 #Binary200

121_15:CODEGATE 2012、解けた分のWriteup書いた。 http://d.hatena.ne.jp/Dltn/20120226 #codegate

leetmore:CodeGate 2012 Quals - Vuln 400 http://ctf.su/Myf8#codegate #ctf #writeup

deroko_:#bin400 #CodeGate2012 writeup is up : http://bit.ly/ArBSQz

deroko_:#bin500 #CodeGate2012 writeup is up : http://bit.ly/xjxi32

togakushi:とりあえず書いておいたよ。 : CODEGATE2012 Misc #3 Write up な事。


ことある度に出てくるパスワードの定期変更は必要ないという意見に対する、@kitagawa_takujiさんの、LAN内のNTLMを使ってるWindowsネットワーク環境ではあってもいいのでは、という意見とその理由についてです。長いですが読み応えあります。やはりインターネットに提供するサービスとLANは議論を分けた方がいいですよね。
kitagawa_takuji:Webサービスの認証の場合、パスワードの定期変更は無意味と言えるが、LAN内に攻撃者がいた場合に、脆弱性を利用しなくても容易にチャレンジ・レスポンスが取得可能なNTLM認証の場合はパスワードの定期変更も一定の意味を持つ、よって両者は分けて議論する必要があると思うがな、(続

kitagawa_takuji:LAN内からの攻撃であれば、NBNSレスポンスを攻撃者のIPに偽装して、送られてくるクレデンシャルをキャプチャ、後はレインボークラックかjohn teh ripperで解析というシナリオが一番簡単。これはプロトコル上の仕様なのでパッチを最新にしても防ぎ様がないし、気づくのも難しい

kitagawa_takuji:NETLM, NETLMv2, NETNTLM, NETNTLMv2などのキャプチャしたチャレンジ・レスポンス形式のハッシュをjohnで解析するにはjumbo patchが当ったものを使う必要がある

kitagawa_takuji:ネットワーク上のチャレンジ・レスポンスのキャプチャではなく、脆弱性を使って侵入されてメモリやレジストリからハッシュをdumpされた場合、例え絶対に解析できない複雑なパスワードを使用していたとしてもPass-the-Hashでハッシュ値だけでログイン可能。(続

kitagawa_takuji:続)パスワードの変更がなければ何年にも渡り情報を盗み見られる可能性がある。パスワードを定期変更すれば再度侵入してハッシュを取得しなければならないが、その時には脆弱性が塞がれているかもしれないし、何度も攻撃を行うのは発見されるリクスが高まる。よって定期変更も一定の効果はある。

kitagawa_takuji:NBNS responseのSpoofとSMB captureを使った攻撃例、ちょっとわかり難いが 

kitagawa_takuji:SMB captureを使った攻撃例はHacker Japan2011年3月号や続・ハッキングの達人のMetasploit特集でも書いた。その時はというタグを含んだHTMLメールを使ったが、(続

kitagawa_takuji:続)HTMLメールより、NBNS responseの偽装の方がより効果的だと思う。

kitagawa_takuji:もう一度繰り返すと、Webサービスの認証の場合、パスワードの定期変更は無意味かもしれないが、LAN内に攻撃者がいた場合のSMB/CIFSのNTLM認証を考えた場合、定期変更も一定の効果があるのではないか?それを一緒くたにして定期変更は無意味と切り捨てるのはどうかと思う。

kitagawa_takuji:Pass-the-Hashの対処方法として優先すべきなのはパスワードの使い回しを避けることなのだが、企業内の管理パスワードの使い回しは十数年前から問題になっているにもかかわらず一向に解消されていないのも事実。

kitagawa_takuji:LMハッシュ/NTLMハッシュとLM認証/NTLM認証を混同している人がいるのかな?

kitagawa_takuji:jumbo patchを適用したJtRでは、ネットワーク上でキャプチャしたチャレンジ・レスポンスのペアであるNETLM, NETLMv2, NETNTLM, NETNTLMv2の形式をクラックできますが、これはレジストリに保存されているLM/NTLMハッシュとは形式が異なります。


そして、具体的なNTLM認証でのチャレンジ/レスポンス取得方法。超実践的です。
kitagawa_takuji:LM/NTLM認証のチャレンジ/レスポンスを取得する方法をまとめてみる。取得したチャレンジ/レスポンスはJohn the Ripperで辞書攻撃、総当り攻撃で解析可能

kitagawa_takuji:1.Ettercap ettercap.sourceforge.net Cain&Abel oxid.it/cain.html 等で、ARP PoisoningによるLayer2でのキャプチャ

kitagawa_takuji:2.NetBIOSの名前要求に対し攻撃者のIPを返す。攻撃者のIPに飛んで来た認証要求に対し固定のチャレンジを返し、それに対するレスポンスを取得

kitagawa_takuji:2に対しては JoMo-Kunのツール foofus.net/~jmk/smbchalle… やMetasploitの auxiliary/spoof/nbns/nbns_response と auxiliary/server/capture/smb の組み合わせが使える

kitagawa_takuji:3.社内Webなどにというタグを含んだページを作成、攻撃者のIPに来た認証要求をMetasploitの auxiliary/server/capture/smb でキャプチャ

kitagawa_takuji:他にも色々方法があると思う。取得したチャレンジ/レスポンスはJohn the Ripperで辞書攻撃、総当り攻撃で解析、JtRではNETLM, NETLMv2, NETNTLM, NETNTLMv2に対応している。

kitagawa_takuji:LMの前半7文字部分だけならRainbow Tableが ftp://freerainbowtables.mirror.garr.it/mirrors/freerainbowtables/halflmchall/ で公開されている

kitagawa_takuji:LM/NTLM認証のハッシュはLAN内に悪意の有るものがいれば簡単に取得可能。shadowに対応していない/etc/passwdと同じように最初からハッシュが晒されていることを前提に、簡単には解析できない十分に複雑なパスワードを設定する必要がある。

kitagawa_takuji:パスワードの有効期限を設定するよりは、パスワードの最低長を十分大きいものにする方が重要だが、有効期限を設定することも全く無意味とは言えない。


@totoromasakiさんの質問来ました。
totoromasaki:@kitagawa_takuji 有効期限を1回にして、毎回、次ログインするときのパスワードを入れさせれば、手動なワンタイムパスワードになるわけですが、これを実装するのと、パスワードの最低長を、12文字にするの、どっちがパスワードとして強いんでしょうか。

kitagawa_takuji:@totoromasaki それだったら12文字の方が良いと思います。毎回パスワード変更しないといけないとなると、ずっとログインしっぱなしの人が出てくると思うので、ただ英数字12文字ではちょっと弱いと思います。12文字なら大小英数字記号混在、英数字だけなら15文字以上ですかね。

totoromasaki:@kitagawa_takuji 15文字ですか・・・。むーん・・・・


結局Windowsネットワークに問題があるというかんじですが、少しずつしか進まずなかなか安全にはなりませんよね。
kitagawa_takuji:Webサービスの認証の場合、ストレッチ回数を調整し計算量を増やすことで有効期限をなくしたり、最低文字数を小さくして利便性を上げることができるが、LM/NTLMの場合、計算量は固定。しかも10数年前の設計で現在のようにGPUを使用した並列処理などは考慮されていない。(続

kitagawa_takuji:続)よって、やはりパスワードの問題はWebサービスの認証とWindowsの認証を分けて考える必要がある

kitagawa_takuji:企業内ネットでCIFS/SMBを禁止するのは非現実的ではなかろうか?

kitagawa_takuji:CIFS/SMBを禁止しても、NTLM認証を有効にしたWebサーバをイントラネットゾーンに立て、誘導すればブラウザが認証情報を自動送信する。(IE,Chromeの場合、FireFoxは入力プロンプトがでる)もうWindowsを禁止するしかないね。

kitagawa_takuji:Windowsを使う前提なら、NTLM認証情報をキャプチャされても簡単には解析されないような複雑性を持ったパスワード・ポリシーを強制するしかないのではないか?


その他に気になったことはこのあたり。
backtracklinux:Kernel 3.2.6 released to repo. Upgrade instructions to BT5 R2 -> http://bit.ly/wAbsfp Official R2 release day - March 1st, 2012.


keikuma:ここで言う「オプトイン」を契約書に書いてある程度のものと誤解されると大問題なんだけどな。この誤解はKDDIの説明にも見られたし。 / IBMがインタビュー記事で言っているソーシャルグラフ分析も利用者のオプトインがあれば日本でも実現可能 - techvisor.jp/blog/archives/…

keikuma:通信の秘密を侵害する様な情報の利用については、DPI広告の時に整理が行われて、「利用者の明確かつ個別の同意」が必要とされている。

HiromitsuTakagi:KDDIは、@keikuma氏の追求を受け、プライバシーポリシーを17日に改訂したが、変更点は、利用目的7(広告)から情報(11)(通信履歴)を除外しただけであった。利用目的6(利用状況調査)、8(アンケート)、9(販促)について情報(11)を含めたままであり、違法性が疑われる。


MasafumiNegishi:Blackhole v1.2.2 http://bit.ly/xl2LTg


Tonton_:Macマルウェア「Flashback」がパスワードを狙う~早急にJavaアップデートを -INTERNET Watch @internet_watchさんから


HiromitsuTakagi:ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか - 高木浩光@自宅の日記(2012年2月26日) 「ところが、しばらく調査しなかった間に、PASMOがとんでもないことをやらかしていた。」 #pasmo


HiromitsuTakagi:ニセセキュリティ屋の特徴の一つは、場当たり対処を提案して根本的な解決方法を示さないこと。彼らに共通してそういう傾向がある原因は、自分達の遊び場がなくなることを避けようとする力が働くためだろう。根本的な解決がとられると、楽しく溜め込んできた無駄知識が紙くず同然となってしまうからだ。

テーマ : セキュリティ
ジャンル : コンピュータ

2月24日のtwitterセキュリティクラスタ

またまたパスワードの定期的更新の話です。あまりログインしない銀行のサイトってログインするたびにパスワード変えろって通知が出るのでうざいですよね。
HiromitsuTakagi:今どきこれはない……。 「1.緊急に行うべき対応策・ログインパスワードの定期的更新を義務付け、一定期間にわたって更新されない端末は接続を切断すること。」

ockeghem:自民党の「情報セキュリティに関する提言」は、策定メンバーに関する記述はないようですが、そういうものなのですか? セキュリティの専門家は監修しているのですかね。

ockeghem:まず、基本的な認識あわせとして、パスワードの定期的変更は、パスワードの漏洩があり得るという想定で、漏洩後に被害を受ける期間を短くすることだよね。三ヶ月毎に変更すると、攻撃者がパスワードを知っている期間は最長でも三ヶ月になる、と

ockeghem:衆議院のID、パスワード漏洩を教訓として、と明示されているので、想定脅威は、マルウェア感染と、マルウェア経由でのID・パスワード(ハッシュ)情報の漏洩。これらを受容しているとは言わないまでも、「想定しなければならない脅威」と考えているわけね。これ自体はアリだとは思う

ockeghem:しかし、マルウェア経由でパスワードハッシュが漏れたのであれば、パスワードを仮に毎日変更しても、攻撃者はマルウェアからいつでもパスワード情報を取得できるので、マルウェアを駆除しない限り、パスワードの定期的変更は意味をなさない

ockeghem:マルウェアを駆除できるのであれば、そのタイミングでパスワードを変更すればよいだけのこと。やはり、「定期的な変更」は運用負荷が高いだけで、実効的な意味はない。しかも、「定期的変更」作業を秘書など第三者にやらせがちで、間接的に、別の脅威の原因にもなり得ます

flat_ff:@ockeghem パスワードの漏洩源が、総当たりしか念頭にないんでしょうかね?

ockeghem:@flat_ff 外部からリモートログインできるとは思えないので、総当たりは関係ないと思うのですがね。そのあたり何も考えずに、自称セキュリティ通みたいな人が書いたのですかね。脅威のシナリオは複数考えるべきだとは思いますが…

flat_ff:@ockeghem セキュリティ担当者あるいは資料が古いのかもと思いました。最近の事情は拾われてないのかも、と。どっちにしろまずいですよね。

ockeghem:@flat_ff そうですね。どういう根拠でその提言に至ったかを知りたいです


その他に気になったことはこのあたり。
FSECUREBLOG:デジタル活動家が検閲不可能なネットワークを構築:  Scientific Americanの3月号に、企業や政府のインターネット管理を回避するための、デジタル活動家による試みに関する興味深い記事を掲載している。現在の目標は... http://bit.ly/zZEjdZ


hasegawayosuke:SECCON CTF 競技コンテスト開催!: 【第1回SECCON CTF福岡大会】の関連リンク集


internet_watch:マルウェア「DNSChanger」感染PCはネット接続不可能に、US-CERTが注意喚起 http://bit.ly/z5KdW3


piyokango:“大金稼ぎのモバイルボットネット「Android.Bmaster」 - 世界のセキュリティ・ラボから:ITpro” http://htn.to/dT9ZTd

テーマ : セキュリティ
ジャンル : コンピュータ

2月23日のtwitterセキュリティクラスタ

今日は世間は給料日みたいですね。うちにも間違って振り込まれていないでしょうか。

Shibuya.XSSというイベントが開催されます。XSSに特化しているということでどんな理解できないようなXSSが飛び出すのか今から期待でいっぱいです。それにしても大人気ですね。
ockeghem:XSSと聞いて…奇跡的に申し込めました。LT参戦します / “Shibuya.XSS テクニカルトーク#1 : ATND” http://htn.to/2YUYqy

haruyama:春山 征吾のくけー : 2012/02/23 4/4(水)のShibuya.XSS テクニカルトーク♯1で話します

kyo_ago:LT OKしてもらった!よかった! // Shibuya.XSS テクニカルトーク#1 : ATND http://bit.ly/A3YKYP

mincemaker:XSSで誕生日祝うデモのLTするん?

bulkneets:うっかりゼロデイ公開して逮捕される人5人ぐらい(全員)出たら面白そう

bulkneets:はせがわさんから中継も録画もできないような発表をしろという圧力を感じる

hasegawayosuke:@bulkneets よろしくお願いします!

bulkneets:【最終警告】shibuya.xssで絶対に非公開のゼロデイ攻撃のプレゼンをしないでください


有名サイトのWebアプリの脆弱性を見つけまくっている@kinugawamasato氏が今年はブラウザーの脆弱性の発見に力を入れるそうです。いろいろ楽しみですね。
kinugawamasato:blogかいた、週に1回程度何か書くよう心がけたい / CVE-2011-3879: chrome:// URLへのリダイレクト

hasegawayosuke:こう、ブラウザ側の脆弱性みつけるのとかって、着想に至るのも大事だけど、その着想が駄目でも類似の道がどんだけあるか根気よく探すのも大事。ってのを改めて思った。

hasegawayosuke:ブラウザのマニアックな脆弱性探す人が日本に増えたら、ブラウザベンダが日本語勉強するようになって、いろいろ楽になる!!!


ビッグデータの匿名性を確保するために電話番号をハッシュすると一意性を保持しつつ元の番号がわからなくなるそうですが。
HiromitsuTakagi:「不可逆なハッシュ演算で一意性は維持しつつ元の番号がわからないようにするだけです。」ハッシュが元に戻せないとした時点で技術的に誤り。鍵付きハッシュでも当事者がその鍵を持っているわけで。RT @kurikiyo ブログエントリーに追記 …



ockeghem:電話番号のハッシュ値から元の電話番号を求める方法。電話番号は9桁以内(頭のゼロは固定なので除外)なので10億通り。ハッシュ値の計算は一秒に100万回は可能。10億÷100万=1000秒≒17分。あなたのノートPCでも20分掛からず総当たり可能です。ソルトをつけてもあまり変わらない

kubotaku:@ockeghem ソルトの部分ですが、総当たりを実施する人はソルトの値を具体的に知っている前提ですか? 知らないのであれば探索時間が大きく変わるかなと思いまして。

ockeghem:@kubotaku ソルトは既知という前提です

kubotaku:@ockeghem ソルトは既知ということで了解です。お答え頂きありがとうございます。

ockeghem:さっきの20分といのうは、誰でも納得できる簡単な方法を示したもので、レインボーテーブル作るとか、GPU使うとかすれば、格段に高速化できます。日常的にやるんならそうしますね。

a4lg:ソルトがつかなければ Rainbow Table だし、ソルトがついても「短時間の」ブルートフォースの手間になるだけ。数秒が数十秒になる程度か…。(徳丸さんの見積もりはまだまだ甘すぎるように思われる。)


その他に気になったことはこのくらい。
ockeghem:『デバイスそのものはリスクではない…サーバをハックしたら、何百万ものアカウント情報やそのほかの細かい情報が得られるのだ』<そうだね / “モバイルプログラマはセキュリティにルーズ?Cenzicがアプリ試験ツールを立ち上げ” http://htn.to/rXfwFK


kenji_s:Movable Type 5.12、5.06、4.37、4.292を含む以前のバージョンにクロスサイトリクエストフォージェリ(CSRF)、クロスサイトスクリプティング(XSS)、OSコマンドインジェクション、セッションハイジャックの脆弱性 http://ow.ly/9eCR3


stomita:Pinterestの先週までの(iPhoneアプリ用の非公開)APIは最悪で、Pinterestに登録している任意のユーザのFacebook IDを(パスワードも何もなく)POSTで渡したらなんとaccess_tokenがもらえて、以降そのユーザでログインできていた!


ockeghem:地方公共団体職員が対象。申し込みは明日まで / “「ウェブアプリケーション脆弱性対策セミナー(発注仕様編)」の開催について - 財団法人 地方自治情報センター(LASDEC)” http://htn.to/RSAwXP


piyokango:『尚、https/sslによる通信は、端末やサーバに不具合などの脆弱性が無い、端末やサーバを改造されたりしなければ、一般的に覗き見されることはありません。』 / “Androidのhttpsの通信をスニファーする方法(暫定版) ≪ 突…” http://htn.to/NkGFrq


piyokango:MySQL.comと米軍関係のWebサイトでブラインドSQLインジェクションの脆弱性が公開。米軍サイトでは一部情報の流出も。 / “MySQL.com and US Army Site Ha…” http://htn.to/d9BcMQ


piyokango:“大金稼ぎのモバイルボットネット「Android.Bmaster」 - 世界のセキュリティ・ラボから:ITpro” http://htn.to/dT9ZTd


tokoroten:“デブサミ2012、講演スライド資料まとめ:CodeZine” http://htn.to/TMgYeP


yoggy:自分的にはCTFは健康のためにランニングを続けているとかそういう感覚に近いかも?

yoggy:いい大人になると勝てるところでしか勝負しなくなるので、ボコボコにヘコまされて悔しい気持ちを糧にして勉強する機会を与えてくれるいいチャンスだと思う


テーマ : セキュリティ
ジャンル : コンピュータ

2月22日のtwitterセキュリティクラスタ

gmail占いまだやってんですねー。
Hamachiya2:みんながぼくのこと逮捕されるって言うから、気になって9時間しか眠れなかった

tk2to:はまちや氏のGMAIL占い関連つぶやきまとめ http://togetter.com/li/261731
をトゥギャりました。呟きを使わせて頂いた皆さんありがとうございます。@HiromitsuTakagi @Hamachiya2 @bulkneets


誰がやってるかは置いといて、ちゃんと監視しているかどうか見守られているわけですね。
hasegawayosuke:「私がログを見ているだろうという想定で、誕生日のお祝いのメッセージを弊社のWebサーバにクロスサイトスクリプティング経由で送る困った方がいらっしゃいました。」 
そんなひどい人がいるんですね。


たしかに4桁って手動ブルートフォースできるからどんなパスワードでも無駄ですよね。
MasafumiNegishi:4桁暗証番号に関する学術的研究、“1234”など規則的な番号と誕生日は危険 http://bit.ly/zUeB5m

msaitotypeR:@MasafumiNegishi その研究必要なの? 四桁を何とかする方が先じゃない?

MasafumiNegishi:@msaitotypeR やっぱりそう思いますよね(^^)


ルートサーバーへのDDoSって本当に行われるのでしょうかね。雲行き怪しい気がします。
piyokango:アノニマス内でも3/31のルートサーバーへのDDoS計画を非難。 / “Anonymous denounces internet DNS attack - The Inquirer” http://htn.to/LvkeCW

MasafumiNegishi:完全にスルーしてたのですが一言だけ。Anonymousが 3/31にインターネットをダウンさせる云々というニュース出てますが Trolling(釣り)です。過去にもFacebook攻撃とか似たような話はたくさんあります。大きく騒ぐメディアを見て笑っています。スルーしましょう。

ntsuji:@MasafumiNegishi あのオペレーションの情報はpastebinに貼られているものくらいですし、セントラルも「疑わしいなこれ」って言ってましたし、チャンネルもなかったですし、別のこと(ACTA関連の投票とか下調べとか)のほうが盛り上がってますねw


再現しました。IEのバグかあ。
s_hskz:IE8以下でalert(1)する。vartical tab の取り扱いのバグということ。へぇ。

s_hskz:当然、Firefoxでは発火しない。

s_hskz:+{"\valueOf":location , "toString":[].shift , length:1, 0:zero}; // v のアタマにバックスラッシュはOK、tのアタマでは不可。 ふーん。(IE8)


第一回が無事に成功したSECCONがらみ。解けるような気がしませんがWebの問題見てみたいです。
reona396:だらっと学習帳 : SECCON CTF福岡大会に行ってきました

saboterun:CTFのWebの問題はそんなにえげつないのか...

ymzkei5:問題作成者たちからは「簡単すぎる」と言われ低得点となり、参加者たちからは「難しすぎる」「理解不能」「心が折れる」と言われてオレ涙目w RT @saboterun: CTFのWebの問題はそんなにえげつないのか...

saboterun:oh…参加者にとって何か難しいのかな。問題読んでみたいですね RT @ymzkei5 問題作成者たちからは「簡単すぎる」と言われ低得点となり、参加者たちからは「難しすぎる」「理解不能」「心が折れる」と言われてオレ涙目w

tessy_jp:予想通りに行かないのがCTF RT @ymzkei5: ぐふっ。orz  「どんな試験でも、答えられない人が多いジャンルは次回から軟化傾向になる」、「WEB問題は軟化し、出題ミスは鬼問題となるのでは…という予想です。」 http://bit.ly/yMAaRPCTF。

hasegawayosuke:CTFのWeb問題、回答率がめちゃくちゃ低くてガッカリなわけですけど、特別難しいというわけではなくむしろ落ち着いて解けば余裕な問題もあって狙い目だったはず、というのが出題側の見方です。


標的型(サイバースパイ)攻撃とソーシャルエンジニアリングという講演スライドです。読み応えあります。
ntsuji:口にするのもはばかるパスワードがRainbowCrackが報告してくるなど。

gohsuket:そういえば昨日は口頭でパスワードを伝達する手法としてNATOフォネテックコードのネタ出したんだったw RT @ntsuji 口にするのもはばかるパスワードがRainbowCrackが報告してくるなど。

ntsuji:@gohsuket 昨日、登壇されてたそうですね。聴きたかったです…

gohsuket:@ntsuji どもです?。スライド詰め込み過ぎで飛ばしまくりでした?w 後でこっそりhttp://slideshare.net/gohsuket へうpしまするw


その他に気になったことはこのあたり。
piyokango:先日THNでも取り上げられていたopargentina用に作成されたAndroidで動作するDDoSツールの解説。“We are LEGION!”というメッセージとともに1000リクエストを1秒で発射するそうです。 / “Androi…” http://htn.to/QSTT3Z


tdaitoku:セキュリティ研究者、動画を使った「NuCaptcha」破りに成功


piyokango:『尚、https/sslによる通信は、端末やサーバに不具合などの脆弱性が無い、端末やサーバを改造されたりしなければ、一般的に覗き見されることはありません。』 / “Androidのhttpsの通信をスニファーする方法(暫定版) ≪ 突…” http://htn.to/NkGFrq


piyokango:MySQL.comと米軍関係のWebサイトでブラインドSQLインジェクションの脆弱性が公開。米軍サイトでは一部情報の流出も。 / “MySQL.com and US Army Site Ha…” http://htn.to/d9BcMQ


takesako:DEFCON Group Japan (DCG893) 第一回ミーティング2月24日(金)19:00~私も登壇しますー[もう満席?] http://defcon-japan.org


jnsa:3月3日(土)開催「インターネット安全教室 in 東京 ~ネットとうまくつきあうために~」申込受付中→ http://net-anzen.go.jp/symposium/


cas_nisc:セキュリティ月間の取組みの一つとして、2月29日に東京で「関東テレコム講演会」が開催されます。⇒(PDF)


risa_ozaki:クラウドでも考えたいセキュリティと内部統制 - IFRS 国際会計基準フォーラム | @IT


ScanNetSecurity:八戸市のIT企業がウェブ改ざん、中国ハッカー同士の報復利用か(Far East Research) http://dlvr.it/1DbWVD


jpcert:こんにちは、Weekly Report 2012-02-22 を公開しました。パッチ適用忘れがないかご一読ください。 ^KS jpcert.or.jp/wr/2012/wr1207…


qmailjp:security屋は自分の商売につながらない脆弱性はみてみぬふりをするのかな。


umq:攻撃者の方が商売に直結してるから意欲的に何でも取りこんで、対策の方は必ずしもお金が出るわけじゃないからと後手に回るアンバランス


bulkneets:http://bit.ly/A5x6P5 この記事、本当に分かってる人から見れば「悪質なFUD」または「ハハハご冗談を」もしくは「P3Pがとうの昔にオワコン化したことを知らない残念W3C信者」って読みますよ。コメント欄での指摘も多くある


hasegawayosuke:ネットエージェントは天地神妙に誓ってブラック企業ではありません。 http://pic.twitter.com/lw4xWlhq



hasegawayosuke:JVN#25731073: 複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性 「この脆弱性情報は、2012年1月4日に IPA が届出を受け」←対応早い

テーマ : セキュリティ
ジャンル : コンピュータ

2月21日のtwitterセキュリティクラスタ

不正アクセス禁止法の改正ではまちちゃんがタイーホされると思ってる人が多いようですが、同じような路線をこれからも進んでいくのか、引退するのか注目ですね。
pasmo360yamy:Gmail占い、気になったので調べたら作ったのははまちちゃんで、あれはセキュリティ啓蒙のためと勝手に予想するのだけど、今回の不正アクセス禁止法案では取得や保存しなくても偽サイト作ることがNGになるらしい...まぁあのページが偽サイトか、って言われると違うと思うけど。

bulkneets:「フィッシングサイトを開設しただけで」って言われたら、当然その入力させたパスワード等を悪用するサイトのことを指すんだよなー、と思ってたら。アクセス管理者になりすまし、または誤認させて入力を求めるのがダメって書いてある。

bulkneets:「入力することを求める」で別にサーバーに送信するかどうかなんてことは触れてないから、無許可で作ったフィッシングデモサイト(実際にはサーバーに送信されません) がこのまま成立するとヤバそう。誤認するかで言えば http://login.hatenablog.jp がやばそう

bulkneets:不正指令電磁的記録の指し示す範囲がウィルスよりも広い件もそうだし、もしこのまま成立して手の込んだジョークサイト作った人が逮捕されたら「フィッシングサイトを開設」と報道されて言葉の定義が乱されるんだろうなー、と。


NHKラジオで正義のハッカーとCTFについてのお話がありました。ネットでラジオが聴けるっていいですね。

・CTFがしばらく日本で開催されなかった話について
cchanabo:「どうして途絶えてしまったんですか?」「そ、それは・・・」 大人の事情ってやつですね(違

swim_taiyaki:大人だなぁ。「オメーらが、犯罪者を育てるって報道して騒いだだろーがっ!」って言わなかったよ。

yoggy:2000年頃の話へのツッコミが微妙な受け答えで吹いた


・シマンテックの米澤さんがゲストでした。
piyokango:ソースコード盗まれた話まだですか。

ymzkei5:@piyokango ちょw

tessy_jp:そこは禁句w RT @piyokango: ソースコード盗まれた話まだですか。

yoggy:米澤さんがんばれ


・竹迫さんもゲストでした。
hasegawayosuke:竹迫さんに質問しよーかなー。


・日本人は実践力が足りないそうです。
ymzkei5:日本の基礎的な技術力は決して世界に比べて劣っているわけではないが、実践力が足りない。「実践されては困るのでは?」とツッコミ。NHKラジオ

・人材を増やすには給料上げないとという話。
piyokango:某ラッコさんの会社も2000万ですかー。

ymzkei5:うちの会社は業界内でも特に給与が安いことで有名ですよw QT @piyokango: 某ラッコさんの会社も2000万ですかー。


Anonymousがルートサーバーを攻撃するみたいですが、日本のルートサーバーも攻撃されるんですかね。なんか無理そうです。
expl01t:そこでIPv6の出番... とか そこでInternet2というのが... とかいう評論家出てきたら面白いなぁと妄想だん. Reading: ハッカー集団のAnonymous、「インターネットをダウンさせる」と予告 expl01t:.@expl01t 技術者「おいみんな大丈夫だ。Anonymousと戦う武器ならここに用意した。そう( A )さ。これは( B )を使って( C )で奴らを一網打尽にするのさ。」という大喜利をしてみたらどうだろうか? > http://www.itmedia.co.jp/enterprise/articles/1202/21/news033.html

netagent_jp:【ネットエージェント】オフィシャルブログ更新しました。「Anoymousの攻撃は成功するのか?」http://netagent-blog.jp 今回は、「Anoymousがインターネットのルートサーバをダウンさせると予告してきた」ことに関連する内容となっています。



お久しぶりです。
ntsuji:昨晩から公開しております!/ 第5回 チョコレートは数ではない!量より質だ!スペシャル | セキュリティポッドキャスト / セキュリティのアレ http://bit.ly/wvHDAj #tsujileaks


名前とか教えないとダウンロードできないオープンソースなSNSですか。
ockeghem:オープンソースの某SNSをダウンロードしたら営業から電話が掛かってきて「導入のご予定はございますか?お手伝いすることはございませんか」と言われたので「導入の予定はない」と答えてしまった。「既にテスト環境に導入済みで脆弱性を届けた」とは言えなかった。ごめんなさい(_ _)


やっぱお礼をもらったりした実績って大切なんですかね。
sophosjpmktg:Facebookのシステムに対してセキュリティ侵害した学生が8カ月の禁固刑。 過去にYahooのシステムにある脆弱性を報告し報酬をもらったこともあり「道徳的なハッカー」だと主張。(英語)


その他にきになったことはこのあたり。
MasafumiNegishi:緊急時には、防衛戦略的PRとソフトパワー戦略により、相手から好意的反応を引き出し、敵意を逸らすことも有効な対策ではないかとのこと。なかなか高度な戦略ですよねー。


cloud__watch:Arbor NetworksのDDoS検知・防御システム「Peakflow SP」をKDDIが採用 http://j.mp/wU16d4


Dinosn:#NASA hacked DB Decrypted email_passwd http://pastebin.com/NqZQwiFd


piyokango:先日THNでも取り上げられていたopargentina用に作成されたAndroidで動作するDDoSツールの解説。“We are LEGION!”というメッセージとともに1000リクエストを1秒で発射するそうです。 / “Androi…” htn.to/QSTT3Z

テーマ : セキュリティ
ジャンル : コンピュータ

2月20日のtwitterセキュリティクラスタ

早いものでもう2月もあと1週間ですよ。

一応キャンプは継続するみたいで何よりですが、プログラミングが消えたようです。
takesako:IPAプレス発表「セキュリティ・キャンプ実施協議会」の設立について~ 官民連携による若年層セキュリティ人材の発掘・育成を担う体制の構築 ~2012年2月20日「セキュリティ・キャンプ実施協議会」発起人会 hasegawayosuke:「キャンプは従来、年1 回集合型で中央キャンプとして実施してきましたが、2012 年度からはこれに加え、地⽅で開催する地⽅講座の展開をする予定です。なお、中央キャンプは従来どおりIPA の事業として運営する予定です。」 へー。


最近GoogleがSafariでやらかしていた件について。意図的だったのかはわかんないですが。
bulkneets:ぎりぎりかいた

uu59: 俺はそれほどGoogleを信用してないけど、今回の件はGoogleにとって意図せぬ事故みたいなものだったっぽいということはわかった

kitagawa_takuji:Google、IEでもプライバシー設定迂回――Microsoftが明らかに - ITmedia ニュース


ぼくもパーカーとかタブレットPCとかもらえる脆弱性を見つけてみたいものです。
hasegawayosuke:ぼくもかっこいいパーカーとか欲しい。脆弱性みつけたらモノくれるサイトの一覧を共有すべきだな…。

hasegawayosuke:XSS vulnerability in about.me | Yuji Kosuga's Blog by @yujikosuga / nice jacket more than predictable T-shirt :p

hasegawayosuke:TwitterのTシャツとか、IEのTシャツとか、FirefoxのTシャツとか、「訴えてもいいレベル」っていう呪いの言葉とか、もらったことあります。


以前聞いたときには割に合わないから作らない他のベンダーも一瞬で対応するしってことだったのですが、割に合うようになってきたんですかねVladさん。
piyokango:“ウイルス作家とセキュリティ業界…胡散くさいウワサ - ZAK×SPA! - ZAKZAK” http://htn.to/uc3XDf


ntsuji:DMで、「あんたの悪口が~」的なことを言ってきてリンクをクリックすると「セッションが切れてるのでもっかいログインして。」というTwitterに似せたサイトがってやつ結構流行ってるんですか?注意してくださいまし。 ちなみにこんなページ→ http://bit.ly/y8q3rh



その他に気になったことはこのあたり。
ScanNetSecurity:DNSの欠陥が抹殺された邪悪なサイトをゴーストドメインとして蘇らせる~サイバー詐欺師があの世トリック悪用の可能性(The Register) http://dlvr.it/1DKx0Q


ockeghem:php.net のTTLは何と2分ですよ。oname.comの5分も短いなーと思いましたが、2分とはねぇ。それでいて、レコードが切り替わらない(キャッシュが残る; 推定)というのが、なんとも


bulkneets:WEBサービスに対して対価を支払う文化なら素晴らしい物を作ろうという方向にインセンティブが働くけど、サービス自体で対価を受け取らずに全く関係ない広告を表示して収益を得ようとする構造は素晴らしいソフトウェアを作ると言うよりもアクセス数を稼ぐ方向に向いてしまいやすい


kitagawa_takuji:蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラッシュドット・ジャパン セキュリティ


kitagawa_takuji:Maker's Voice:SymantecのCTOに聞く、ソースコード流出事件とセキュリティ技術の今後 <インタビューの突っ込みが足りないなぁ。6年前に流出を把握していたのに、ソースコード公開宣言があった先月まで脆弱性を放置。


ripjyr:名古屋情報セキュリティ勉強会を4月21日(土曜日)に開催します!今回はパスワード運用ネタです! / “第3回名古屋情報セキュリティ勉強会 - 名古屋情報セキュリティ勉強会” http://htn.to/vdFNau


internet_watch:Firefox/Thunderbird 10.0.2公開、libpngライブラリの脆弱性を修正 http://bit.ly/A7dWnZ


tamiyata:Jailbreakやroot化された端末での電子証明書利用を禁止、ベリサインが対応 - ITmedia エンタープライズ http://ow.ly/9ah3L


kanireki:「標的型メール」摘発可能に 不正アクセス禁止法の改正案を閣議決定 - MSN産経ニュース

テーマ : セキュリティ
ジャンル : コンピュータ

2月18~19日のtwitterセキュリティクラスタ

大規模なレベルで公に開かれて開催されるのは日本で初めてな気がするCTFが開催されましたので、ツイートをまとめておきました。途中経過についてはあまり参加者の方のつぶやきを拾えてないので誰か補完してください(;´Д`)

第一回 Seccon CTFまとめ


DNSのGhost Domain脆弱性に関する解説がJPRSの方から出ています。
kaito834:2012年2月に発表された論文「Ghost Domain Names: Revoked Yet Still Resolvable」に関する解説記事。「 この脆弱性の影響を受けるのはキャッシュDNSサーバーのみ」「現在使用中のドメイン名の… http://htn.to/8LGs44


そしてこの脆弱性に関する前野先生の見解と対策です。JPRSの方に比べると危険度は高いとのご認識ですが、対策はわかりやすいですね。
beyondDNS:Ghost Domain Names (ゾンビドメイン)とは上位ドメインの管理者が削除したはずのドメインが利用可能なまま残るというDNSの仕組み上の不良のことです。(削除が滲透しないので、ICANNが震盪する。)

beyondDNS:ゾンビドメインを検出して対策しているキャッシュサーバもすでにあります。unboundはその一例です。ISC(BIND)は事の重大性を誤解しているのか、当分修正はでそうもないので、BINDサーバを使っているなら、サーバの入れ替えを検討すべきです。

beyondDNS:Ghost Domain Names 問題は重大な脆弱性です。当面の対策として有効なのはunboundに入れ替えることです。それができないなら、キャッシュを頻繁にクリアすることです。それも出来ないなら、サービスをやめること。

beyondDNS:DNS(キャッシュ)サーバの利用者としてできることはGoogle Public DNSに乗り換えることです。推奨はしない。unboundを検討するように管理者に働きかけるのがいいかも。


目grepに続き、耳grepですか。変な成分がほとんどでしょうからCTF会場で聞いてるふりしてライバルに聞かせるとダメージを与えられる気がします。
syuu1228:バイナリアン諸氏にとってHEXから直にx86のコード読むのは最早普通過ぎるのだろうから、今後はバイナリストリームをダイレクトに脳に流しこんで理解する方法を探求して頂きたく

a4lg:oO( 実際に耳 grep をやるときは、生データにハイパスフィルタをかけることを忘れずに。スピーカーやイヤホンの寿命を縮めたくないなら。 )

climpet:バイナリはwavファイルではありません

a4lg:バイナリは wav ファイルではありませんが、バイナリは wav ファイルにできます。

a4lg:oO( やはりバイナリを「聴く」ときには 8bit の方が良いんだろうか? それとも分解して 1bit や 4bit の方が良い? 一般のバイナリで 16bit とかやるのがマズいのはすぐにわかるが。 )

a4lg:ntoskrnl.exe のはじめ 1MB をバイナリにして今聞いてみた。目でバイナリを追いながらだから余計だけど、意外と特定のデータや周期性が見つかる。

a4lg:関数スタブ類は Max/MSP をいじった時のようにサンプリングされたグリッチ音が繰り返される感じ。あと relocation は耳で聞いてすぐ分かるけど、…それ以外のコードは全く区別がつかんなぁ。

syuu1228:これは…。RT @katsyoshi: 耳grep支援ツールがすでに出てたとは / “除夜の鐘ではなくバイナリの音を聴く - B-) の独り言” http://htn.to/rjVGed

a4lg:oO( 耳 grep 体感記がこんなにウケるとは予想外だったぞ。 )

mayahu32:Facebookでヒントをもらったので耳grepについて論文を書いてみることにする。バイナリの可聴化。単純にヘッダを付加するだけじゃなくて、様々なエンコードを試した上で人間の聴覚に訴えかけるバイナリ種類判別手法と内部解析手法を模索しよう。

kumagi:最強のバイナリエディタはBitmapViewの他にSoundOutな機能も付けれるんでしょうかねー(遠い目


そして本当に実践しているあの人が出現。
ucq:音声系ステガノは耳grepで解いたりします。いやマジで

a4lg:本物のバイナリアン…

katsyoshi:やはり本物はちがうな

ucq:いやもちろん答えまでは無理。モールスとかなら別だけど。

a4lg:@ucq 目 grep でもそのまま答えまで辿りつけるのは稀でしょ。その意味では凄いよ…。

ucq:@a4lg いや、でもあからさまなノイズだったらわかるよw

ucq:モデムの音とかなら聞いてわかる人ならいっぱいそう


その他に気になったことはこのあたり。
hktechno:SECCON CTF だけじゃなくてこんなのもあったんだ。


piyokango:Anonymousがルーマニアの国立研究所の機密文書約2000個(2.8GB)を公開。攻撃先のサイト(inoe.ro)は停止中。 / “Anonymous Hacks Romania's National Institute of R…” http://htn.to/2TKFDu


Lawcojp:盛会のうちに終了した「情報セキュリティシンポジウム道後2012」、Digestが次の箇所にあります。 興味がある人はご覧ください。 #secdogo


rocaz:グーグルほか広告数社、アップル閲覧ブラウザーの追跡拒否機能の抜け穴利用 - WSJ日本版 - jp.WSJ.com http://j.mp/w3hvzq


HiromitsuTakagi:逃げてー!「健康クラウド」ゼロプライバシー特区?(見附市、新潟市、三条市、伊達市、岐阜市、高石市、豊岡市)- 高木浩光@自宅の日記


HiromitsuTakagi:「Googleに負けまくりなのは通信の秘密が足枷なんだ!」と言い出す輩がいるが、Googleに対抗したけりゃ、通信レイヤでなく、アプリケーションレイヤ(通信の秘密が及ばない)で勝負したらいい話。勝負するアイデアのない無能達が、通信レイヤというチート行為に手をださせろとする泣き言。


keijitakeda:世界的にハッカーは不正行為をする人という意味で使われるのが一般的だと思います。それについて怒っている方々がいるのも一般的です。


moton:へぇ。pwn2ownってtwitterアカウントは別の人に使われてるのか。


codegate_yut:CODEGATE 2012 site is open. Quals registration is available by 2012. 2. 24(Fri) 20:00. Please Hurry up!!


ockeghem:日記書いた / “徳丸浩の日記: 難読化していないAndroidアプリケーションは脆弱性か” http://htn.to/rmNthn


backtracklinux:Oh, right! BT5 r2 to be released on March 1st, 2012. Kernel 3.2.4 to be pushed to the repos a few days earlier :)

テーマ : セキュリティ
ジャンル : コンピュータ

2月17日のtwitterセキュリティクラスタ

会員の購買履歴とかビッグデータとか行動追跡してからのマーケティングが大流行な予感ですが、許可してないものは使わないでいただきたいものです。
IE_Japan:Browse Without Being Browsed @windowsblogさんから GoogleがSafari内蔵のセキュリティ機能を迂回して、ユーザーの行動追跡をしているという本社のブログ。

rocaz:グーグルほか広告数社、アップル閲覧ブラウザーの追跡拒否機能の抜け穴利用 - WSJ日本版 - jp.WSJ.com http://j.mp/w3hvzq


あと通信の秘密には気を使っていただきたいものですが。
HiromitsuTakagi:当該記事公開直後の時点で、同僚社員からやんわりとダメ出しされていたのにもかかわらず、意に介さなかった様子。→


今年もデブ専が集結したデブサミが開催されていましたね。@hasegawayosukeさんの講演資料が公開されてました。
RisucoMorino:“[デブサミ2012]趣味と実益の脆弱性発見” http://htn.to/ngKyyR


案の定というか、Vistaのサポートが延長されてセキュリティアップデート期間も延びるようですね。
watch_akiba:Vistaの延長された期間は、「延長サポート期間」扱いで、メインストリームサポート期間はやっぱり4/10まで。サポート内容はちょっと変わりますが、延長サポート期間でも、セキュリティ更新はあります。 内容→ http://bit.ly/sibxo


その他に気になったことはこのあたり。
piyokango:AnonymousがSOPA/PIPA関連の抗議活動(OpGlobalBlackout)で、RootDNSサーバをDDoSすると計画。 / “Anonymous launches 'Operation Global Blackout'…” http://htn.to/q5RwYu


piyokango:RATってこんなにあるんですね。 ただ、zwShellやMFC Hunterが入ってないですね。 @shu_tom: All Rats opensc.


piyokango:AnonymousがOpChinaで、山東省の通商サイトに不正アクセスし、ユーザーID、パスワードハッシュが漏えい。 / “OpChina: Anonymous Hackers Target China's Great Firewal…” http://htn.to/2hMsKs


keijitakeda:Takanori Isobe, A Single-Key Attack on the Full GOST Block Cipher, #secdogo

テーマ : セキュリティ
ジャンル : コンピュータ

2月16日のtwitterセキュリティクラスタ

道後温泉でセキュリティシンポジウムが開催されています。早速1日目のTLがまとめられていますのでどうぞ。
Kiyosuke0418:「情報セキュリティシンポジウム道後2012 #secdogo」をトゥギャりました。 http://togetter.com/li/258917


噂は聞いたことがありましたが実際やってるサイトは初めて知りました。時給いくらくらいなんですかね。
brainfs:http://decaprher.com。2ドルで1000回の人力CAPTHA入力を依頼できるらしい


Nessusのメジャーバージョンアップがあったようですが、別に祭りになるわけでもなく、セキュリティ業界関係者はあまり興味ないのでしょうか。
ntsuji:!!! Nessus 5.0 Available http://discussions.nessus.org/thread/4265

kikuzou:早速バージョンアップ開始!! RT: @ntsuji: !!! Nessus 5.0 Available http://discussions.nessus.org/thread/4265


またまたまたまたFlashの脆弱性ですよ。会社のマシンにFlash入れるなとか言われるようになりそうです。
internet_watch:「Flash Player」の脆弱性を修正するアップデート、すでに標的型攻撃の報告 http://bit.ly/yUHlUA

jpcert:こんにちは。Adobe Flash Player には複数の脆弱性があります。Adobe Systems社が提供する対策済みソフトウエアへのアップデートを行いましょう。複数のブラウザを使っている方はそれぞれ確認しましょう。 ^KS

kaito834:Adobe Flash PlayerにおけるUniversal XSS(と呼称されている)脆弱性がこれまでも何度か修正されたけど、CreditにはいつもGoogleの名前が記載されていたと思う。


@a4lgさん顔出し取材ですよ。
a4lg:ITMedia さんの取材を受けました: スマートフォンやタブレット端末に潜む脆弱性、危険性と対策は?

a4lg:oO( すごく緊張した顔になってしまった…! )


今度はPLCが攻撃されるのですか… なんでも攻撃される時代になってきました。ある日突然すごい額の水道代が…という財布に対するDoS攻撃とか起こるのでしょうか。
moton:そーなんすよ。日本企業のも対象なんすよ。。。“@MasafumiNegishi: 2/14に PLC用の新たな攻撃ツールがリリースされたことを受けた注意喚起。> ICS-ALERT-12-046-01

kaito834:「 セキュリティ関係者は、制御システムのことをもっと知るべきだと述べ...」講演内容をふまえると、とても説得力があると感じた。どうやって知ればよいかが悩むところ。 / “After Stuxnet、PLCの脆弱性の現実--制御システム…” http://htn.to/NpHGNn

risa_ozaki:Avi Rubin:あらゆるデバイスにハッキングの可能性がある: ジョンズホプキンス大学でコンピュータ・サイエンスの教授をつとめるAvi Rubinが、先頃TEDxMidAtlanticで、有益な… http://bit.ly/yjVVDp via @FSECUREBLOG


ビッグデータ活用とか言いながらIBMの人がとんでもないことをしようとしているようです。通信の秘密とかってご存じなんですかね。
masanork:ビッグデータ活用ってWeb系サービスから始まって約款なり工夫してログ収集してたのが、バズワードに踊らされてログが溜まってそうなところに「ビッグデータを活用しましょう」とSIerが提案するようになると許諾を取らないままゴソッと扱おうとして諸々問題が起こりそうな

sladevnull:初期状態としてユーザが公開しているSNSのデータと、初期状態から非公開で秘匿が必須の通信通話データを一緒にされてもな。。。 / 顧客との接点は「ビッグデータ」にある - ビッグデータ活用のススメ:ITpro http://nkbp.jp/A4GIFK #itprojp

madarame:えーっと、この人たちは自分の「通話履歴を活用されてもいい」のかね。ユーザー視点が0過ぎる。"だれがだれに電話したというデータなので、それをグラフ化すればソーシャルグラフが描ける" →顧客との接点は「ビッグデータ」にある:ITpro http://htn.to/nhZeHJ

sladevnull:初期状態としてユーザが公開しているSNSのデータと、初期状態から非公開で秘匿が必須の通信通話データを一緒にされてもな。。。 / 顧客との接点は「ビッグデータ」にある - ビッグデータ活用のススメ:ITpro http://nkbp.jp/A4GIFK #itprojp

itochat:[これはひどい][privacy]そのうち、スマホから接続したウェブサイトのURL全てを保存しようとか言い出しそうな勢い。 ひどすぎる。 / “顧客との接点は「ビッグデータ」にある - ビッグデータ活用のススメ:ITpro” http://htn.to/S5dKJB

miz_hms:日本IBM 野嵜 功氏のインタビュー記事の中でとんでもない事が書かれてる。過去の通話記録をソーシャルグラフ化してビジネスに活用すべきとか、通話記録からコミュニティの把握を行うとか。これってさ、まっとうな社会人がしれっというには危険すぎる http://sgp.cm/d701b1


その他に気になったことはこのあたり。
ScanNetSecurity:TrustwaveがSSL監視証明書の作成を認める?上司のスタッフに対するスパイ行為は誤りと語る(The Register) http://dlvr.it/1CbmDD


tao_gaku:あれー電子版でてた(^^) RT @ijhk: 本日発売、待望の電子書籍版です。セキュリティ対策の実践ノウハウが満載!『Android Security 安全なアプリケーションを作成するために【PDF版】』


makitamakoto:脆弱性を一っ切対策していないサイトを診断しているとこれは仕様だなと思えてくるから不思議。仕様なので報告は不要ということでお願いしたい(´Д` )


kikikanContest:公表が遅れて申し訳ありません。危機管理コンテストは今年も実施致します。昨年同様、4月にWeb予選を行い、5月にインターネット予選、白浜シンポジウムで本戦になる予定です。


kitagawa_takuji:PCに愛を!:「ソフトウェアは常に“最新版”をあててほしい」――セキュリティ啓発キャンペーン「LOVE PC 2012」  「1日1回はMyJVNバージョンチェッカでソフトウェアをチェックしてほしい」 <自動実行する方式にしないと無理だろ


bulkneets:ギッハブエンタープライズについて調べていてギッハブのXSS見つけた


t_ashula:tweet 経由の xss のテストを twitter 経由でやるの unit-test 的にはおかしな話のきがしてきた


wasaist:HTML5のセキュリティチートシート / “Webプログラマ必見。HTML5のセキュリティチートシート「HTML5 Security Cheatsheet」 - MOONGIFT|オープンソース・ソフトウェア紹介を軸としたITエンジニ…” http://htn.to/cBSZPC

テーマ : セキュリティ
ジャンル : コンピュータ

2月15日のtwitterセキュリティクラスタ

5分でできたら本当に安心なPHPセキュリティ対策ですよ。
Hamachiya2:にっきかいたよ → 『5分でできるPHPセキュリティ対策』 http://htn.to/hh7gKJ

ockeghem:これ守るだけも大変そう。『htmlの属性部分には、原則として動的なものを埋め込まない』<難しくない? あと初心者にはmdb2はきついかも / “5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!(Hatena)” http://htn.to/9erVfT

ockeghem:@Hamachiya2 こんにちは。htmlspeciacharsの第3引数を指定しないと、PHP5.4で動かなくなるかも、と思いました

psychedesire:mysqli 使わないなんて中学生までだよねー。だよねー。 / “5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!(Hatena)” http://htn.to/9erVfT

ockeghem:はまちちゃんはMDB2使っているのに、『mysqli 使わないなんて中学生までだよねー。だよねー。』なんてコメントしている人なんなの? 『5分でできる…』でも、ちゃんと読んでないの?

piyokango:「5分でできる」ではなく、「5分で読める」が正しい気が。

ockeghem:それは僕も思いました RT @piyokango: 「5分でできる」ではなく、「5分で読める」が正しい気が。

fk_2000:マジレスするとこうやれば安心という手順はないのに安心しているエンジニアのところに脆弱性は潜んでしまうという。最新情報はつねに入手しておきパスワードを一ヶ月単位で変更するポリシーくらいまでやらないと本当 / “5分でできるPHPセキュリ…” http://htn.to/9erVfT

WYS_:これはまあサニタイズうんたらとセキュリティの大御所が騒ぎそうだなw / “5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!(Hatena)” http://htn.to/9erVfT

Hamachiya2:セキュリティ界隈は特に、権威(?)のうるさいおっさんが多いので「いま考えうる完全な対策でないと許さない」って風潮がやばい。初心者が下手に「ぼくの考えた最強のセキュリティ対策」を発表すると、レアな手法を持ち出されて吊し上げられるという世界なので、権威おっさん以外は誰も発表できない


PHPといえばWordPressですよねー
kenji_s:侵入経路がまた不明。再発防止できてるか不明。侵入経路がWPでなかったらどうするんでしょう?こんなんで相談にのりますとか。WPの記事はこんなのばかりですね... > WordPressの脆弱性を狙ったPHPコード不正書き換えについて http://ow.ly/95RAw


NTLMだけじゃなくてWPA/WPA2のパスワードもクラックできるみたいなので試してみたくなりました。
ntsuji:話題になっていたので使ってみましたよ。$5 自腹でw / 「CloudCrackerを試してみましたよ。」 - http://n.pentest.jp/?p=1055


正義のハッカーってよくわかりませんが、飛んでくるパケットを打ち落としまくるイメージです。
hasegawayosuke:「正義のハッカー」育成、日本で初のコンテスト : 社会 : YOMIURI ONLINE(読売新聞) 大会実行委員長を務める竹迫(たけさこ)良範さん(34)は「将来の情報セキュリティーを担う若手技術者を発掘したい」と話す。 #seccon


どこで区切るのかによると思うのですが。
piyokango:株式会社Doctor Web Pacific|Webカメラでユーザーを盗撮する新たなバックドア http://bit.ly/zIilD5 via @AddThis

piyokango:新たなってわけでもないような気がしますが。。


その他に気になったことはこのあたり。
jpcert:こんにちは。2012年2月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起を公開しました。 ^KS


ockeghem:『園田氏は「標的型攻撃の動機に深入りしてはいけない」と釘を刺した』<同意。分からないことを考えるのは時間の無駄で、対策しない言い訳にしかならない / “【レポート】標的型攻撃対策は動機を考えず情報の保護に徹せよ - サイバー大学・園田…” http://htn.to/kcj9CM


internet_watch:サードパーティ製プログラムの脆弱性、危険性が増加~Secuniaが報告書 http://bit.ly/zK4UWU


gohsuket:モクシーがクラウド型パスワード解読発表 RT @Asher_Wolf: Moxie Marlinspike's CloudCracker Aims For Speedier, Cheaper Password Cracking onforb.http://es/w3wIm7


gohsuket:RSA公開鍵のランダム性の弱点が発見され暗号業界大騒ぎか“Ron Was Wrong, Whit Is Right,” RT @newsycombinator: Flaw found in online encryption method http://j.mp/ysVXut

gohsuket:話題の、RSAのように複数の素数を種に鍵生成する公開鍵のランダム性は単一素数に基づくDH公開鍵より弱い件の論文 RT @newsycombinator: Ron was Wrong, Whit is Right http://j.mp/AqrLea


sophosjpmktg:★和訳しました★zvelo 社のセキュリティエンジニアである Joshua Rubin 氏は、Google ウォレットのPIN 漏洩に関する脆弱性について調査結果を公開しました。


FSECUREBLOG:Cryptomeがハッキング: 「Cryptome.org」は、言論の自由、暗号、スパイおよび監視に関連する情報の掲載にフォーカスしたWebサイトだ。様々な点でCryptomeは…


moton:The Hacker News | Armitage Update : Graphical cyber attack management tool for Metasploit http://goo.gl/mag/UH95M

テーマ : セキュリティ
ジャンル : コンピュータ

2月14日のtwitterセキュリティクラスタ

@ITのまとめまとめ原稿が公開されたようですよ。ここを毎日読まれている人にとってはすでに取り上げたトピックの話ですが、まあ、読んでみるのもいいではないですか。
http://www.atmarkit.co.jp/fsecurity/rensai/matome2012/02.html

早いものでいよいよ次回で1年を迎えることになります。1年を無事迎えた暁には溜まったネタを肴にグダグダ話でもしてみたいところです。

バレンタインデーなのにたこ焼き…
you_0708:我らが研究所に箱型の標的型攻撃が! CVE-2012-0214 を突くゼロデイ検体・・・! http://pic.twitter.com/XK40RHue


再起動の予感!
piyokango:今日はMSパッチの日ですが、Java(http://bit.ly/y13qKR)やAdobe(http://adobe.ly/yetMNf)も脆弱性修正のパッチ出ていますので最新版を利用されているか要チェックです。


新たに募集とか期間延長ってだいたい応募が不調なときなんだよなあ。と邪推してみますが本件とは関係ありません。
hasegawayosuke: SECCON CTF 競技コンテスト開催!: 社会人チームの参加受け付けを開始しました #seccon


私も今知りました。
moton:IPAの制御システム系セミナー2/23開催。募集中って今知ったw 情報処理推進機構:IPA重要インフラ情報セキュリティシンポジウム2012


標的型攻撃の解説に対して日本一のペネトレーター(とどこかで聞いた)@ntsujiさんが補足してらっしゃいます。実際業務で攻撃してる方のいうことには重みがありますね。
ntsuji:ボクはpwdumpだとAVに止められたり、きちんと取得できなかったりすることもあるのでSYSTEMとSAMのHIVEを持ってきてcreddumpでハッシュに戻してます。 [攻撃手法]標的型攻撃はこう動く、AD悪用で同一ドメインを制圧 - http://nkbp.jp/wAYXZQ

ntsuji:でもって、pass-the-hashするときは、他ホストでの使い回しのチェック(結果列挙)とシェル奪取のためには「keimpx」を使っています。

MasafumiNegishi:@ntsuji 実践的ノウハウw QT: ボクはpwdumpだとAVに止められたり、きちんと取得できなかったりすることもあるのでSYSTEMとSAMのHIVEを持ってきてcreddumpでハッシュに戻してます。

ntsuji:@MasafumiNegishi なんか、主語が「ボクは」から始まっての記事へのリンクなのでボクが標的型攻撃しているみたいに見えちゃいますねw

ntsuji:pwdumpは実行したときにユーザが多いと停止してサービスに登録されたままとかになるので結構厄介なときもあるので使わなくなりました。HIVEから戻すかsmbから侵入してmeterpreterでdumpのほうが安全かな。


そのほかに気になったことはこのあたり。
Lawcojp:今週の金曜(17日)、「情報セキュリティシンポジウム道後2012」で、「スマートフォンと端末情報の保護」というテーマで講演します。よろしくです。


shu_tom:「標的型攻撃メール」の変化(1)メールの送信元が海外から日本国内に移行(2)文字コードがGB2313(中国語)からISO-2022-JP(日本語)に(3)添付ファイルの主流がPDFファイルからWordファイルに その通りだと思う。


bulkneets:Pathのけん書いた http://bit.ly/zKnlZw

bulkneets:OAuth認証に使っちゃう問題についても書きました http://bit.ly/yJODQp

テーマ : セキュリティ
ジャンル : コンピュータ

2月13日のtwitterセキュリティクラスタ

バレンタインデーですね。雨降りそうですね。

案の定というか予想通りというか。
trendmicro_jp:[注意喚起]ホイットニー・ヒューストンさん死去のニュースに便乗し、Facebookなどを経由して不正Webサイトに誘導される事例を確認しています。メールやSNSのリンクのクリック時にご注意ください http://pic.twitter.com/ZOpI2bsM



日本のCTFもうそろそろですね。問題ってまだ作成中なんですよね。ギリギリだなあ。
hasegawayosuke:SECCON CTF 競技コンテスト開催!: 会場を見てきました 会場はこんな雰囲気です。 #seccon


要求が高すぎてとても入れそうにありません。
jpcert:情報セキュリティアナリストとしてJPCERT/CCで働きませんか? jpcert.or.jp/recruit/index.… ^KK


標的型フォレンジックですか…
F0ro:標的型フォレンジックって何なんですかね?小一時間問い詰めたい。

totoromasaki:@F0ro 某省の入札でみた記憶があります>標的型フォレンジック 正常に動作しないソフトウェアの検出ってのが、盛り込まれていて、吹いた記憶が

F0ro:@totoromasaki すごい!入札に出すとか上には上がいるんですねーw

totoromasaki:@F0ro bit.ly/x8g6Gj の3?2ーウ を参照。これって、どうみても・・・・

F0ro:@totoromasaki まぁフォレンジックですね。しかし「磁気デスク内のプログラム全ての命令及びルーチンが意図どおり動作しているか把握すること」ってんなことどうやってやるんですかね。”磁気デスク”?机?っていうツッコミ以前の疑問w

totoromasaki:@F0ro どっかの、よくわかってないコンサルが入って作った様な気がする仕様書です。


攻撃といえば中国というイメージは強いのですが、それほど全員仲がいいわけはもちろんないでしょうから中での争いもすごいんでしょうね。
piyokango:“レコードチャイナ:企業サイトのハッカー被害20万件、ライバル社からの攻撃も―中国” http://htn.to/2cLvrB


その他に気になったことはこのあたり。
leetmore:IFSF CTF 2012 #9 - X97 http://ctf.su/GdFEF #IFSF #CTF #writeup


WebSecurityNews:Microsoft India store down after hackers take user data - msnbc.com http://ow.ly/1hlzfa


sutegoma2:Thanks!! RT @BlackyNay Congrats to "More Smoked Leet Chicken" & "sutegoma2" & "rdot.org" Winners of #IFSF #CTF :-D


TheHackersNews:Arbitrary DDoS PoC by @lfamorim : #Security #infosec #pentest


devilok:Wireless Penetration Testing & #Metasploit Framework Tutorial http://bit.ly/y0DWtM


internet_watch:「Google Wallet」のセキュリティ問題でプリペイド機能一時停止 http://bit.ly/x5jAX8


internet_watch:Javaの脆弱性を悪用する攻撃が急増、最新版へのアップデートを http://bit.ly/wIQ35r


kitagawa_takuji:【セキュリティ ニュース】甲府富士屋ホテルのサイトが改ざん - 閲覧でウイルス感染のおそれ:Security NEXT http://security-next.com/027908


kjur:ブログ書きました:自堕落な技術者の日記「将来Google ChromeがSSL証明書のオンライン失効検証をやめて独自の失効情報プッシュを行うという困った話」


ockeghem:当事者ではないのですが、いたたたっ、と感じてしまいました RT @gallu: @ockeghem プレスリリース…をを、これですね 。…なんていうか…意識が遠くにとんだまま帰ってこれなくなりそうなほど酷い内容ですねぇ orz

テーマ : セキュリティ
ジャンル : コンピュータ

2月11から12日のtwitterセキュリティクラスタ

話題のAndroid使ってみたくなったので中華Padを買ってみましたヘ(^o^)ノ次はWindows Phoneを目指します。

UDIDを無断で取得している会社って多くてiphoneだからって安心というわけではないのですね。うちで使っているアプリもどうなってるか調べてみないと。
Chamiu_IT:株式会社明治 明治手作りチョコレシピ追加。 http://togetter.com/li/248491


ダイヤモンドで特集されるほど注目されてるみたいです。今まで携帯網で守られてたアプリの開発者はいろいろ大変でしょうね。
kaito834:週刊ダイヤモンド2/11号「特集2 奪われるプライバシー」を読んだ。最近のスマフォアプリの事例を発端として、EU新保護制度、広告によるビジネスモデル、ライフログ実証実験などが説明されており、とても参考になる。「利用者が気をつけるべき5カ条」も独自にまとめている。


Androidも信用できないので、これからはWindows Phone… といいたいところですが、誰もアプリの挙動を調査していないのとアプリが少ないからかもしれません。
hasegawayosuke:http://security-next.com/027901 【セキュリティ ニュース】Windows Phoneの実行環境はiOSやAndroidより安全、不安要素はメモリ管理 - FFR報告:Security NEXT / @a4lg さんのレポートの解説。


どこの国でもパスワード管理は適当なようで。
slashplus:[タレ]シリア大統領府で人気のパスワードは「12345」: 先週、シリア大統領府のメールサーバーがサイバー攻撃を受け、大統領側近やスタッフのメールアカウント情報が流出したことが報じられたが、3分の1以上のアカウントでパスワー... http://bit.ly/yhKfu3


これは便利なまとめ。
piyokango:セキュリティ関連の事象やレポートをまとめてみた。(2012年1月分) - piyolog


そのほかに気になったことはこのあたり。
MasafumiNegishi:Dutch ISP KPN hacked, credentials and personal information leaked http://bit.ly/AzuCVD


expl01t:Dutch ISP KPN hacked, credentials and personal information leaked http://bit.ly/AzuCVD


tetsutalow:先日私が図書館情報システムに対するDoS攻撃対策についてお話しした中身をうまくまとめて頂いています 本題もさることながら、電子書籍の波で図書館の課題も増えてると実感 #librahack


d0znpp:Heuristic WAF XSS challange you are welcome!


hasegawayosuke:福森さんや @07c00 さんの言葉を思い出しながら「よいCTF問題とは」というのを考えてる。(1)問題設定に無理、不自然さがない (2)トリビアっぽい特定知識知っているか知らないかが解くための必要条件でない (3)問題にストーリーがある、(4)心が折れないこと。ご意見募集中。

テーマ : セキュリティ
ジャンル : コンピュータ

2月10日のtwitterセキュリティクラスタ

OCNのメールが大変なことになっていたようです。ひどいですね。
internet_watch:OCN、3カ月半にわたり、他人のメールパスワードを再設定できる状態に http://bit.ly/zGhitj

ntsuji:「盗み見された報告はない」って、盗み見されたことに気付く方法がないからでは?/他人にパスワード変えられた…OCNで不具合 : 社会 : YOMIURI ONLINE(読売新聞) http://bit.ly/zbc17m

vulcain:@ntsuji ですよねー。つか、あまりにもヒドイ。

ntsuji:@vulcain 3ヶ月気付かずってのは何も言い訳できないですね。アプリのテストで即見つかりそうなものですが、テストしてなかったんですかねー

vulcain:@ntsuji テストもしてなければ接続元の確認というかログからアノーマリな状況も検出できなかったんですか?と問いかけたいですねー

bugbird:@ntsuji それよりも仕様的欠陥がサービスインしちゃっていることに驚きました


@cci_forensics さんがBlackHat EUに採択され、講演されるようです。おめでとうございます。すごいですね。
cci_forensics:My submission for BlackHat EU was accepted!

yarai1978:congrats! RT @cci_forensics: My submission for BlackHat EU was accepted!

cci_forensics:@yarai1978 あざーす!

yarai1978:@cci_forensics 「XXXがやられたようだな…」「ククク…奴は四天王の中でも最弱…」という展開を期待していますwww

cci_forensics:@yarai1978 貧弱貧弱ゥ!って英語で何て言うんですかね?w

yarai1978:あれこれ考えてHax0rてきにはn00b!だと思いましたw RT @cci_forensics: @yarai1978 貧弱貧弱ゥ!って英語で何て言うんですかね?w


その他に気になったことはこのあたり。
wasaist:Unicodeのざっくりとしたまとめっぽい。あとで読みます。 / “開発者向けUnicode FAQ--もう知らないではすまされない - builder” http://htn.to/yTf3iQ


kitagawa_takuji:「アメーバピグ」に中学生5人が不正侵入 : 社会 : YOMIURI ONLINE(読売新聞)


hasegawayosuke:"国内初のCTF「SECCON CTF」が2月18日から開催 - @IT"


netmarkjp:WAFで対策…WebApplicationFirewallを「ちゃんと」使えてる人ってどんくらいいるんだろう… - 不正アクセスによる会員情報漏えいに対するお詫びとご報告 | ベビカムからのお知らせ | ベビカム


cloud__watch:マカフィー、グローバル脅威情報サービスと統合されたアプリケーション制御ツールの新版 http://j.mp/xuseHn


smbd:他山の石…ではあるが、どこのISPだよ 「兵庫県警が無関係の会社員宅を不正アクセス禁止法違反容疑で捜索www プロバイダー「てへぺろ☆」」


piyokango:WeedGrower、またはX-pOSedを名乗るハッカーがインテルに不正アクセスをしたと発言。インテルのDBを改ざんしたサイトも例示。 / “Hackers Claims to compromise Intel's Sensitiv…” http://htn.to/sfjhaL


TheHackersNews:BFT- Browser forensic tool Released by DarkCoderSc http://goo.gl/fb/cBK1c #Security #THN #tools #news #securitynews


TheHackersNews:THC-HYDRA 7.2 - Fast and Flexible network login Bruteforce Tool Updated http://goo.gl/fb/PDsPv #Security #THN #tools


typex20:あらあらうふふ。Google WalletのPIN認証がクラックされてしまったと。ま、Googleのソフトウェアプロテクション技術なんて(ry / “Google Wallet's PIN Verification Cracked (…” http://htn.to/8vr9xx

テーマ : セキュリティ
ジャンル : コンピュータ

2月9日のtwitterセキュリティクラスタ

肉節句でした。ぼくはラスベガスバーガーを食べましたががっかりでした。

BIND 9系などのDNSサーバに脆弱性があるという論文が発表されたようです。
mj_enterprise:BIND 9系のすべてに重要度の高い脆弱性 http://j.mp/xMye1a


このDNSサーバの脆弱性についてJPドメインの中の人が解説されていますので、解説を中心にまとめておきました。


その他に気になったことはこのあたり。
internet_watch:出産・育児サイト「ベビカム」に不正アクセス、パスワードなど17万件漏えい http://bit.ly/ynTySV


mtakahas:せんでん:AVTokyoなどでもスピーカーをなさっている守屋さんに、Facebookのタイムラインの注意点をまとめていただきました。実は私もまだ使ってません。Facebookタイムライン利用時の「鉄則」(1/2) - @IT


cas_nisc:セキュリティ月間の取組みの一つとして、2月16~17日に松山で「情報セキュリティシンポジウム道後2012」が開催されます。⇒(PDF)


trendmicro_jp:[セキュリティブログ]標的型攻撃の手法をワンクリック詐欺に応用か http://blog.trendmicro.co.jp/archives/4796


BreakTheSec:Complete Cross site Scripting(XSS) cheat sheets : http://goo.gl/holpC #security #infosec #XSS #Vulnerability #PenTest


amolnaik4:[BlogPost] SQL Injection via XSS:


nahi:"Add SSL constants and allow to unset SSL option to prevent BEAST attack" This allows you to do 0/n split from Ruby.

テーマ : セキュリティ
ジャンル : コンピュータ

2月8日のtwitterセキュリティクラスタ

iPhoneはAndroidと比べると検閲があるからある程度安全だと思ってたのですが、実はそうでもないみたいですね。それにしてもひどいなあ。
minesweeper96:パスしちゃったかー / “ソーシャルサービスPathがユーザーに無断で連絡先データを収集 - ITmedia ニュース” http://htn.to/Lr3KK3

bulkneets:アドレス帳送るの、バレなきゃいいと思ってやってるのではなく、SSL通信その気になればキャプチャできるのなんて開発者は知ってる。バレて困るならもっと巧妙にやる。迷惑メール送らなければいい、名簿売らなければいい、目的外に使わなければ良い、OSから許諾なく取れるデータは使って良い、では

bulkneets:OS作ったりセキュリティポリシー作る人とアプリのデベロッパーの感覚は違うし、エンドユーザーの感覚も違う。「ひどいことしやがって、信用できない」ではなく、どういうポリシーで設計されているのか感覚を共有するための努力をすべき

bulkneets:あれ、Pathってひょっとして証明書入れなくてもMITM攻撃できた?

bulkneets:私はとても驚いています

bulkneets:この記事、手順おかしいなーと思ってたら、端末側に証明書追加しなくてもSSLキャプチャできた

bulkneets:PathはSSL証明書エラーを無視していて、端末に自前で証明書を追加するなどの手順を取らなくても、通信キャプチャ出来る。アドレス帳送ってただけじゃなくて、信用できない回線を使うと第三者から送信内容を読み取られる可能性があった。


徳丸さんが「Android Security」のスマートフォンアプリにおける暗号化についての感想を述べてらっしゃいます。スマホが注目され始めて、これまで海外の研究者の発表は多いものの日本ではあまり注目されていなかった感のある組み込み端末やICカードのセキュリティについて研究する人も増えていくのでしょうか。
ockeghem:Android Security(通称タオ本)の暗号化の章を読んだ。@haruyama が「暗号についてはだめだめ」と評していたけど、確かに良くないね。スマートフォンアプリケーションにおいて暗号鍵管理は難しいとは思う。タオ本にも有効な方法は示されていない

ockeghem:スマートフォンアプリの暗号化が対処しなければならない問題はネットワーク経由の盗聴ではなく、端末を操作できる人による窃視。なので、リバースエンジニアリングされると結局鍵もばれてしまう。アプリの難読化と同じ強度でしか暗号化できない

ockeghem:タオ本P233には「共通鍵の生成」として、IDやインストール時刻を元に鍵生成が最有力な方法として紹介されているけど、これは代表的なダメ実装ですね。初期のNetscapeの有名な脆弱性と同じ。ja.wikipedia.org/wiki/Transport… の「乱数の品質」などを参照

ockeghem:タオ本P232には、暗号鍵をハードコードする方法は絶対ダメと書いてあるけど、結局アプリの難読化に依存している以上、鍵をハードコードする方法と他の方法は大差なく、かえってハードコード(難読化の工夫はするとして)の方がマシという場合も十分あり得る

ockeghem:じゃあ、徳丸は次善の策が示せるかというと、示せません。商用難読化ツールを買ってくるくらいではないですか? もっとよいのは、ローカルストレージに機密情報を置かないこと

y_aki:@ockeghem 公開鍵暗号を併用することで少しは緩和出来るのかなーというぐらいですかね

ockeghem:@y_aki 公開鍵暗号が有効に使える応用ならば大丈夫ですよ。でも、アプリには平文を得られれ、攻撃者には平文は見せないという用途には使えませんので。暗号化してサーバーに放り投げるだけ、とかならOK

urchinhead:セキュリティチップ対応はダメですか? RT @ockeghem: じゃあ、徳丸は次善の策が示せるかというと、示せません。商用難読化ツールを買ってくるくらいではないですか? もっとよいのは、ローカルストレージに機密情報を置かないこと

ockeghem:@urchinhead セキュリティチップでも難しいです。攻撃者はセキュリティチップ付きの端末を持っているわけです。チップに保存された鍵は抜けませんが、チップのAPIを叩いて暗号化・復号はできる。リバースエンジニアリングされる前提で、正当な要求と攻撃を区別することが難しいです

ockeghem:タオ本には、鍵のハードコードの欠点として、1つ解読されれば他のファイルも全て解読可能になる…とありますが、他のファイルは端末上にあるわけで、暗号文を持っている攻撃者は端末を持っているわけですよ。だから、一台一台同じ操作で解読するだけなので、結局脅威は同じ

ockeghem:そうそう、僕が今想定していない脅威として、SDカードに保存された暗号化データについてはあまり考慮していません。他のアプリから抜かれるという奴ね。そもそもSDカードに機密情報を(暗号化していても)おくのはどうかということですが…これだけを考慮すればいいなら、別の方法もあるね

ockeghem:タオ本の批判をしましたが、全体としてタオ本はとても貴重な本だと思いますよ。これだけの情報がまとめた本は他にありませんので

ockeghem:タオ本P232には、暗号鍵をハードコードする方法は絶対ダメと書いてあるけど、結局アプリの難読化に依存している以上、鍵をハードコードする方法と他の方法は大差なく、かえってハードコード(難読化の工夫はするとして)の方がマシという場合も十分あり得る

data_head:@ockeghem この方法であれば、鍵の実体はアプリの外のパーミッションで保護された領域なのでapkの解析には耐性があります。rootを取られた場合のリスクは、スマホ以外(PC、サーバ)も同じなのでここでは考慮しません。

ockeghem:@data_head 前提次第ということですね。タオ本の10章の前提には、root化された端末による窃視も含まれています。「本章で説明する内容だけでは、データを完全には保護できない」ともちゃんと書いてありますので、これは立派だと思います

ockeghem:一応の結論としては、他アプリからの窃視には安全な乱数で鍵生成してパーミッション設定したローカルファイルに保存する、root化された端末からの窃視には、ソース上に鍵をちりばめた上で商用難読化ツールで難読化するくらい‥・ですかね。あるいは、これらの組み合わせ


その他スマートフォンがらみがいろいろと。
yohgaki:Android Webkit XSS / Cross Domain Issues ? Packet Storm http://ow.ly/8Xv87これ、古いAndroidのブラウザは修正されないな。多分。

hasegawayosuke:"Android Multiple Vulnerabilities" / 6 of 0day issues for Android, via @80vul

youten_redo:端末仕様確認ツール NTT DOCOMO さすがにこのパーミッションはちょwwwwおまwwwと言いたい

jssec_org:企業で増えるモバイル利用、セキュリティへの懸念も高まる――チェック・ポイント調査 | ITmedia http://goo.gl/yxXq9 (Y

ockeghem:やはり、悪意の第三者からは盗聴を許さず、アプリの監査は可能という、SSLの普通の使い方がバランスが取れているのですよ。iOSと比べてAndroidは監査が難しいのが難だけど、可能ですので。


いよいよ学生向けCTF始まりますね。
kensukesan:seccon.jp でアクセスできます! RT @hasegawayosuke: http://seccon.jp SECCON CTF 競技コンテスト開催!


その他に気になったことはこのあたり。
ntee:"Windows Mediaの脆弱性(MS12-004)を悪用する攻撃の検知状況" http://ibm.co/xNnZjJ Vista Home系のサポート終了後はこんな攻撃への対応をセキュリティ更新プログラム以外の方法でやらないといけなくなるわけでどういう事態になるのかな?


kitagawa_takuji:動画サイトで感染100万人超 | Reuters 府警は8日、ウイルスに感染し料金請求画面が消えなくなった被害者が、約10カ月で延べ110万人に上ることを明らかにした。関連口座には約6億円が振り込まれていたという。


nikkeibpITpro:「情報セキュリティガバナンス協議会」が発足、知識共有や啓蒙活動を実施(ニュース) http://nkbp.jp/zRXTkA #itprojp


tentama_go:千葉県警のサイバー部門が対策室から「サイバー犯罪対策課(仮)」に昇格するそう。「サイバー犯罪」倍増、「児童ポルノ法違反」で全体の3割、「ファイル共有ソフト」が多いなど、サイバーの危険性てんこ盛りな内容。この先よく名前を聞くことになりそう


yohgaki:Does NoSQL Mean No Security? - Dark Reading http://ow.ly/8WdKl いろいろセキュリティ対策の要素が抜けているのは確か。運用でなんとかする部分とも言えるけどツールがないと困る企業もある。


kitagawa_takuji:サイバー犯罪の基礎知識?『アイスマン』を10倍楽しく読むために


gohsuket:マルウェアの使うTCP / UDPポート一覧 RT @CyberGhost_EN Trojan, Malware, Virus, and Application Ports List | GSO http://bit.ly/yeyVCa


piyokango:プロレクシックなど3社が出したレポートより、最近のDDoSの傾向について。 / “Mas DDoS: More Powerful, Complex, And Widespread - Dark Reading” http://htn.to/nefVcp


yohgaki:Mas DDoS http://ow.ly/8Wd2J Half of DDoS attacks we helped ISPs work on were ideologically motivated. < 最近多いな、と感じてた通りだったのか


jpcert:Weekly Report 2012-02-08を公開しました。^YK



piyokango:“【ベトナム・インドシナ】越ネットセキュリティー最大手、サイバー攻撃でKO[IT]/NNA.ASIA” http://htn.to/NHnHsg

テーマ : セキュリティ
ジャンル : コンピュータ

2月7日のtwitterセキュリティクラスタ

最近ずっとどんよりした天気で気が滅入ります。

pcAnyywhereのソースコードがBitTorrentに放流されてダウンロードできるようになったようです。
roaring_dog:ハッカー集団AnonymousがSymantecを脅迫――ソースコード公開めぐり - ITmedia エンタープライズ

ntsuji:放流開始? RT @AnonymousIRC: Symantec source code http://thepiratebay.se/torrent/7014253 #Anonymous #AntiSec #OhIthinkSymantecGotButtraepd http://pastebin.com/GJEKf1T9


面白い共通見解に発展するかと思いきや位相がずれたまま歩み寄りを見せることなく終わってしまいました。残念ですね。まとめもなかのきえた氏によって削除された模様。
ockeghem:まとめありがとうございます / “なかのきえた氏と徳丸氏のSSLとかの話。 - Togetter” http://htn.to/KXvuBY

typex20:@d6rkaiz ありがとうございます。普段はお断りしないのですが、今回については掲載する価値はないと判断いたしました。私は様々な立場の観点からスマートフォンの端末、アプリのセキュリティーについて考えて行きたいと思います。(^_^)

ockeghem:見物の方へ。徳丸の主張:SSL使用時にはサーバー証明書のエラーチェックだけすればよい。なかのきえた氏の主張:SSL使用時にはサーバー証明書のエラーに加えてルート証明書のフィンガープリントも必ずチェックしなければ脆弱性

ockeghem:見物の方へ:徳丸の意図は、汎用的な脆弱性要件をはっきりさせたいということです。IPAに届けたら脆弱性と判定されるような基準が、スマートフォンアプリケーション分野では確立していません。それを明確にしていきたいのです。アプリケーション要件として基準をさらに厳しくすることは自由です

ockeghem:競技のルールを決めるようなものですよね。大丈夫だと思っていたアプリが、思いもかけない理由で「脆弱だ」と言われたら誰だっていやでしょう。共通認識としての脆弱性の基準が欲しい。ただし、それが時代によって変化することはあり得ます。要件による変動もありますがそれは個別の話

bulkneets:「通信経路が信用出来ないケース」の話をしてるのだから「OSの提供する証明書ストアが信用出来ないケース」という仮定もありだと思う(というのなら分かるけど、端末所有者が自己責任で通信キャプチャできるのも防ぐべきというのは全然賛同できないし脆弱性とか言われても困る)


特許庁もやられてしまったようです。確かに諸外国には垂涎の特許情報があるはずなので狙われるのは仕方ないと思いますので、がんばって守ってほしいものです。
Lawcojp:特許庁、トロイの木馬型感染で情報流出の疑い。未公表の出願情報を抜き取られて他国などで先願されてしまうと、それによる被害が甚大になる恐れがある。本省情報セキュリティ政策室の指導を受けて、再発防止策を徹底してほしい。

kitagawa_takuji:【セキュリティ ニュース】特許庁の端末3台がウイルス感染 - 特許未公開情報の流出は否定:Security NEXT

kitagawa_takuji:特許庁におけるウイルス感染事案について


どうしてアブダビで開催されたのかよくわかりませんがアブダビもIT大国を目指すんですかねえ。
F0ro:Black Hat アブダビ2011 の大居さんの資料がSECDOCSにupされてますね /Yet Another Android Rootkit - /Protecting/System/Is/Not/Enough/

F0ro:こっちも同じくアブダビの資料。ステガノ解析の資料は読むのもしんどい。誰か分かりやすく解説してw /Introduction to More Advanced Steganography


その他に気になったことはこのあたり。
yomoyomo:"ですから主要な攻撃者には3種類、金のためにやっている犯罪者や、Anonymousのような抗議活動をするハクティビストがいて、そして最後のグループとして国家があります。政府が攻撃をしているのです。" http://bit.ly/y7bd1J


backtracklinux:Maltego 3.1 released. CE edition to follow soon. Check it out http://bit.ly/xv6di1


Gizmodo:New "Man in the Browser" Attack Bypasses Banks' Two-Factor Authentication Systems http://gizmodo.com/5882888/


kjur:VeriSignが一部のネットワーク製品のLAN上のドメインcontroller.mobile.lanに証明書を発行したそうだ。ドイツのSecurepoint社の製品の管理者画面のためのようだ。鍵も証明書もコピーされまくっちゃってるって事だよねw どうやって審査通ったんだろね?


ScanNetSecurity:「Chrome」または「Firefox」を狙う、クリックジャックに似た攻撃を確認(トレンドマイクロ) http://dlvr.it/19c3Dh


roaring_dog:iMessageが他人のiPhoneに出るバグ再現&アップルの見解(動画) @gizmodojapan #gizjpさんから


ockeghem:PHP5.4のhtmlspecialcharsの非互換問題はとくに回避策は出してこないのかな。mb_internal_encodingがEUC-JPとかで、htmlspecialcharsの第3引数指定していないアプリなんて山ほどあると思うけど、どうするのかな。ラッパーかな?


sophosjpmktg:フェイスブックで偽CNNページのリンクをばらまく詐欺が発生|セキュリティ・マネジメント|トピックス|Computerworld @computerworldjpさんから

テーマ : セキュリティ
ジャンル : コンピュータ

2月6日のtwitterセキュリティクラスタ

なんかすごい雨降りなので困ったものです。

大学がそんな都合良く成績とかインターネットから入れるところにあるのかなと思ったら成績証明書とか発行するから一応1つに集まってはいるんですね。
stonecold316hel:学生時代はメインフレームだったら改ざんは無理だったろうなあw>九州大学の学生成績改ざんを五千元(約6万円)で依頼か(Far East Research) | ScanNetSecurity @ScanNetSecurityさんから

Lost_Tanuki:九州大学の成績改竄を請け負う書き込み発覚・・・ねぇ。 http://qmax.iii.kyushu-u.ac.jp/gakumu/ まあ、『強固な認証システム』が本当に強固であるかどうかは・・・


早いもので今年ももうすぐDEFCONのCTF予選が始まります。
_defcon_:DC20 CTF Announcement!


先日徳丸氏がブログに書かれていた「スマートフォンアプリケーションでSSLを使わないのは脆弱性か 」についての論争。ハニーポットAP作ってる側としてはSSLあった方がいいよと思いますが。SSLStripもありますし、SSL通信時は色変えるのにも同意します。
ChihiroShiiji:「スマートフォンアプリのSSLとか」 (「AndroidのSSLなんたらでのセキュリティの守備範囲」 の続き。)


そしてこの論争(というには噛み合ってない気もしますが)についてわかりやすい解説はこちら。
y_yagi:こっちも合わせて読むと解りやすいっす > スマートフォンアプリのSSLとかの解説っぽいもの http://togetter.com/li/253658


ミステリーツアーですか。
kitagawa_takuji:【セキュリティ ニュース】旅行業界向けニュースサイトが一時改ざん - 不正サイトへ誘導:Security NEXT http://security-next.com/027770

piyokango:原因はなんでしょうね。 / “【不正アクセスに関するお詫びとお知らせ】 | 旅行業界 最新情報 トラベルビジョン” http://htn.to/h21Nzr


kitagawa_takuji:脆弱性修正によって新たに生じた脆弱性を修正した「PHP 5.3.10」がリリース - SourceForge.JP Magazine : オープンソースの話題満載

jpcert:こんにちは。PHP 5.3.9 の脆弱性に関する注意喚起を公開しました。使用しているバージョンにご注意下さい。 ^KS


アノニマスがこのところまた目立っていますね。
piyokango:アノニマスがシリアの行政省を攻撃。ユーザー名、パスワードを奪取した他、政府のサブドメインをハック。 / “Anonymous Hacks Syrian Ministry of Public Administration - Softp…” http://htn.to/TTdShB

cyberbloom:ハッカー集団「アノニマス」、FBIと英警視庁の電話音声を公開 http://bit.ly/yOBZXm ’V for Vendetta’ を見たあとでは何だか現実と連続性があるように錯覚する。

JapanAnon:アノニマス掲示板のスレは生き返りました! (^O^)/ いつか、日本で抗議デモをしたいなあ。オフ会みたいw #アノニマス


その他に気になったことはこのあたり。
YASERYABANI:ダマスカスの知人らによると、昨日、ハッキングされたドゥニアTVのSMSサービスは「大統領、弟に暗殺される」などのデマを流したとのこと。知人の一人曰く「いやー、信じた奴が結構いてねー。『早くテレビのニュースを見なければ!』と大騒ぎだったよ」。信じた!!?


WebSecurityNews:Hackers steal details of 27,000 Czech party members - Monsters and Critics http://ow.ly/1hc1CK


piyokango:ハッカーグループTeaMp0isoNがOpNigeriaの一環でナイジェリアの政府系Webサイトの情報搾取を示唆。 / “TeaMp0isoN Leaks Tons of Data in Support of OpNigeria - …” http://htn.to/3g17RG


kamisamavipper:チェックしておきたい脆弱性情報<2012.02.07> - CSIRTメモ:ITpro http://nkbp.jp/wa81G1 #itprojp Linux/Unixユーザはさっと目を通しておくといいですねサーバ管理者は特に。。。


ritou:OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon


ntsuji:pcAnywhereのソースコードが近々放流されるようですよ。

テーマ : セキュリティ
ジャンル : コンピュータ

2月5日のtwitterセキュリティクラスタ

スーパーボールらしいですが、TLでは特に動きはないみたいですね。

おめでとうございます。そして、うらやましー。
kinugawamasato:うおーGoogleからChromebookのプレゼントをもらいました!!嬉しい!! http://pic.twitter.com/m8DcCL2I
pic.twitter.com/m8DcCL2I


先日書籍を上梓なさったラックの伊東さんがサイバー戦について語ってらっしゃいます。
kitagawa_takuji:伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 今求められる企業のセキュリティ対策:ソフトバンク ビジネス+IT


元自衛隊というだけあってチャンネル桜はイメージ通りですね。
shoden_shinsho:『「第5の戦場」 サイバー戦の脅威』の著者である伊東寛さんが出演されたチャンネル桜の番組です。今回の本でより詳しく解説!>サイバー戦をめぐる現状と国内外の情勢[桜H22/9/24]: http://youtu.be/IT3ZxEh38a8



そして、サイバー戦争はイスラエルとフィンランドが強いそうですよ。
ScanNetSecurity:サイバー戦争レポート:紛争に対して最も準備が整っているのはイスラエルとフィンランド~GCHQとNSAがやり残していることは?(The Register) http://dlvr.it/19KVms


Mac OS Xの暗号化ですがそんなに簡単に破れるのでしょうか。
youki10:FileVault が一時間以内で破れるとロシア人フォレンシック技術者

mbenlakhoua:Passware Kit 11.3 Tool to crack Apple FileVault Encryptionhttp://zite.to/A262L5via @zite


今まではやってなかったのかな。
slashdotjp: #アンドロイド #android Google、Androidアプリのセキュリティスキャン実行へ


その他に気になったことはこのあたり。
kitagawa_takuji:【海の向こうの“セキュリティ”】 第65回:韓国、機能不足のワクチンソフトが多数存在 ほか -INTERNET Watch


kaito834:2012年2月3日にJPCERT コーディネーショ ンセンターが主催した「制御システムカンファレンス 2012」に関する記事。 / “制御システムのセキュリティは“10年遅れ” 急がれる対策の今 (1/2) - ITmedia エン…” http://htn.to/GeXhL8


ockeghem:日記書いた / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://htn.to/cfjp3b


_defcon_:DC20 CTF Announcement!

テーマ : セキュリティ
ジャンル : コンピュータ

2月3日のtwitterセキュリティクラスタ

毎日寒くて大変ですね。

JPCERT制御システムセキュリティカンファレンス2012というのが開催されていたようです。たまにはセミナーにでも行きたいものですが目の前の仕事に流され気味です。
piyokango:福森さんの資料にICS-CERTへ脆弱性を報告する際、「UCQによる届け出」というお話があったのですが、これはucq氏が届け出したという理解でいいんですかね。

tessy_jp:笑うところですかねw RT @piyokango: 福森さんの資料にICS-CERTへ脆弱性を報告する際、「UCQによる届け出」というお話があったのですが、これはucq氏が届け出したという理解でいいんですかね。

ucq:わたしです

gohsuket:大文字だったので一瞬違う話と思ったw RT @tessy_jp: 笑うところですかねw RT @piyokango: 福森さんの資料にICS-CERTへ脆弱性を報告する際、「UCQによる届け出」というお話があったのですが、これはucq氏が届け出したという理解でいいんですかね。

piyokango:@tessy_jp 福森さんによる無双中は笑いが起きてもいいような内容(あまりにもひどい脆弱性だらけで)ですが、会場はひっそり静まり返っています。

piyokango:某対策を誤っているとお話されているのは今日のカンファレンスには某機構がいないからかと納得。

piyokango:JPCERT/CCの制御システムの最新動向を聞いていますが勉強不足であること実感。知らないこと多いですよ。


攻撃される側というかリクエストする側はログインが必要だけど攻撃者は必要ないということですか。
piyokango:2/1に出たPocketWifiのCSRF、JVNだと「匿名もしくは認証なしで攻撃が可能」と記載されていたのですが、今日のLACのレポートを見ると「「GP02 設定ツール」にログインしている必要があります。」との表記が。

timepark:@piyokango はじめまして。Pocket WiFiの件ですが、JVNでも「想定される影響」欄に(利用者の)ログインの記述がありますね。JPCERT/CCの脆弱性分析結果の認証レベルは、説明を読むと、どうやら攻撃者の認証有無を評価したものみたいです。わかりづらい(^_^;)


その他に気になったことはこのあたり。
kaito834:2012年2月、Andrid marketに自動的にアプリを検査する機能が実装された(コードネーム Bouncer )。クラウド環境で実際に動作させ、その挙動も分析するようだ。 / “Android and Security - Of…” http://htn.to/4S7aD9


sophosjpmktg:自分のTwitterアカウントがハックされたら、どう対処するか~Sophosが説明(Impress Watch) - Y!ニュース


bulkneets:最後の、パスワードマネージャと言うよりは、連携アプリにパスワード渡さないためのものだよね、こういうの 独自定義パーミッション使うと危険
jnsa:【データ公開】JNSAセキュリティ市場調査ワーキンググループによる「2010~2011度 情報セキュリティ市場調査報告書」が本日公開されました。


ockeghem:PHP5.3.9にてhashdos対策の際に混入したリモートコード実行の脆弱性。PHP5.3.10にて修正 / “show_bug.cgi?id=786686” http://htn.to/BcsGs6


JVNiPedia:JVNDB-2011-003662: PHP における任意のファイルを作成される脆弱性


JVNiPedia:JVNDB-2012-001265: 複数の Mozilla 製品における任意のコードを実行される脆弱性


ockeghem:おいおい、セキュリティのセミナーで、「フィーチャーフォンはセキュリティ考えなくて良い」というのは言い過ぎでしょう


hanazukin:[仕事][Security]中小企業必読 / “「情報セキュリティ事故対応ガイドブック」の公開” http://htn.to/9UrT9L


nonnmo:webページできてるよー. 「第5回公開鍵暗号の安全な構成とその応用ワークショップ」http://bit.ly/wkTmlw #scis2012


ockeghem:#idcon が難しい理由は、よく分かる。やっている人たちが頭よすぎる。あれでは、優しく説明するのは難しい …と一瞬思ったけど、@_nat のブログは分かりやすく書いてあるから、きっとホントは「やればできる」ことなのだろうw

_nat:@ockeghem すみません、すみません。今回は空き時間に急いで書いたので、ホントわかりにづらい文象だと思います...。


bulkneets:iframeの中身にインジェクションできた場合は当然iframeの中身のドメインで実行されるんだけど、iframe src="" のぶぶんにインジェクションできた場合は親フレームのドメインの権限でjavascript動く。


bulkneets:iframe人生で一度も使ったことない


ntsuji:iframe人生で攻撃にしか使ったことない

テーマ : セキュリティ
ジャンル : コンピュータ

2月2日のtwitterセキュリティクラスタ

終わってからが大変みたいでしたがお疲れ様でした。
yoshiokakizaki:遅くなりましたが, #scis2012 ナイトセッションでの発表をYoutubeにアップロードいたしました. http://bit.ly/wUSgyR


OAuth単体で認証に使うと危険!ってことらしいです。あくまでOAuthは認可の仕組みであって、認証はしないのでOpenID Connect使えってことですか。
_nat:OAuth 2.0 を認証に使うと、車が通れる程どてかいセキュリティ・ホールが開くよ、と言う良記事。コメントも読み応えあります。Facebook や、その他OAuthログインしているサイトはみんなチェク!

_nat:@_nat あーダメだ。いきなり穴が開いてるし。Facebook login してるサイト、全滅じゃないか?signed_request 使ってるサイトってどのくらいあるのかな…。

_nat:@_nat ちょっと、インシデントレポート準備始めるかなぁ。メンドウダ。

_nat:@_nat まぁ、とりあえず…。良い子の皆さんは、FBログインするときには、scope には signed_request を指定して、それを使いましょう。イマスグニ。

_nat:@_nat それ以外の OAuth 認証?を提供している人たちは、すぐに OpenID Connect 対応しましょう。Webサイト側は id_token で認証をするように。

_nat:単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone http://sakimura.org/?p=1487via @_nat


農林水産省にも標的型メールが届いたみたいです。うちみたいな独立系無職には届くはずもないので脅威のほどがよくわかりませんが、たまには届くとうれしいんですけどね。
piyokango:農水省で標的型メール攻撃の事案ですかー。

piyokango:『昨年12月19日、職員延べ約70人分のアドレスにメモが添付されたメールを送信。1月10日に送信先のアドレスの一つから同様の内容のメールが複数の職員に返信され、このメールにウイルスが仕込まれていた。』 / “農水省:職員メール外部流出…” http://htn.to/zLEWec

piyokango:『最初にメールを受け取った約50人のうち20人ほどが自宅のパソコンに転送していた。ウイルスに感染していた私有パソコンへの転送が原因で、メールアドレスなどが流出した可能性もあるとみている。』 / “農水省に標的型メール攻撃、情報流出狙う…” http://htn.to/LiDCxX

piyokango:毎日より読売の方が詳しいですね。打ち合わせメモの送付人数が毎日は約70人ですが、読売は約50人と、異なってます。

kitagawa_takuji:50人に自宅に転送の20人を合わせて述べ70人ということじゃない? RT @piyokango 毎日より読売の方が詳しいですね。打ち合わせメモの送付人数が毎日は約70人ですが、読売は約50人と、異なってます。

piyokango:なるほど。確かに70人です。 :)


そして安倍氏のサイトにも攻撃があったみたいです。
piyokango:『安倍氏のHPに攻撃があったのは、先月20日と29日の計2回。HPを閲覧すると、ウイルスを発見するためのスキャンをするように見せかけた画面が立ち上がり、..』 / “安倍元首相のホームページにもサイバー攻撃   - MSN産経ニュース” http://htn.to/gurHsP


読みます。
lac_security:ラックの取締役CTO西本と、サイバーセキュリティ研究所長 伊東それぞれによる、サイバー攻撃についての書籍が2月に発刊されました。ぜひ店頭でご覧下さい。(^ま)


奥さんの設定担当な人はアクセスしちゃいますよね。
kitagawa_takuji:ハッカーはいちばん身近な所にいる!? 約10人に1人は恋人のオンラインアカウントにアクセスしたことある ? ロケットニュース24(β)


その他に気になったことはこのあたり。
JSECTEAM:スター・ウォーズを題材に IT にかかわる法的な解説を交えたコラム「Security Wars: エピソード 3 - プライバシーの逆襲 - 5-2. ロスト・イン・ジェネレーション」 を公開しました。http://bit.ly/zNGdSj #JSECTEAM


packet_storm:Wireshark 1.4.4 Remote Stack Buffer Overflow http://packetstormsecurity.org/files/109342 #exploit


JVN:HTC 製 Android 端末に Wi-Fi 認証情報漏えいの脆弱性


ChoichiHasegawa:「情報」「情報機器」「情報通信技術」を活用してなさそうな人が、「『情報セキュリティ』は重要だ」なんて言っても、説得力がない。なぜ、そんな当たり前のことを気がつかないのだろう?と、最近何度か思った・・・。


itmedia:[エンタープライズ]VeriSign、2010年の不正アクセスで情報流出 上層部への報告も遅れ http://bit.ly/wRU28Z


itmedia:[TechTargetジャパン]ボットネット検知や攻撃可視化の強化が進む:標的型攻撃の脅威に挑む「次世代ファイアウォール」の進化 http://bit.ly/A1YnrA


kaito834:これまで3DSの「すれちがいMii広場」でMiiから受け取ったメッセージでは、「' or 1=1'」がお気に入りです:)


piyokango:CODEGATE 今年の予選は2月末(2/24-26)。 予選登録は2月中旬。http://codegate.org/Eng/


kenji_s:JSのライブラリ、こういうのいっぱいありそうで怖いですね > yuga.jsのXSS直したバージョンがなかなかリリースされないので勝手に直したやつ http://ow.ly/8P7f9


mincemaker:最近は学生の厨房クラスタより、勉強会で意識高くなって会社やめた技術ない人クラスタの方が熱い。

テーマ : セキュリティ
ジャンル : コンピュータ

2月1日のtwitterセキュリティクラスタ

情報セキュリティ月間だということで、たくさんの大手企業や団体が協賛しているlovepcという怪しげなサイトが立ち上がりましたが、突っ込んでほしいためわざと甘い作りにしているのか、口だけで実務は苦手なタイプなのかわかりませんが、いろいろと残念なようです。
trendmicro_jp:[お知らせ]2月は「情報セキュリティ月間」です。この機会に今一度、ご自身の身の回りのパソコン、スマートフォンなどのセキュリティ対策状況を確認しましょう

ITS_IBM_Japan:2月は情報セキュリティ月間です。IBMは情報セキュリティ対策推進コミュニティの一員として、「LOVE PC」キャンペーンに協賛しています。予想外に(?)かわいいキャンペーンサイトですので、一度のぞいてみてください。http://lovepc.jp/index.html#wrap

JSECTEAM:毎年 2 月は「情報セキュリティ月間」です。安心安全な IT のある暮らしのための基本的なセキュリティ対策を「Love PC」のサイトでご紹介しています。http://bit.ly/wxuvcu #JSECTEAM

kitoku_magic:lovepcのサイトでも出来る http://bit.ly/wptvZb

mi1kman:lovepc.jpの右クリック禁止が萎える

HiromitsuTakagi:サイテー、サイアクのプライバシーポリシーの典型例がここに!! http://lovepc.jp/privacy/

HiromitsuTakagi:「個人情報の利用目的個人情報について、その利用目的を特定するととも に、利用目的の達成に必要な範囲内で取り扱います。」いや、だから、このポリシーに特定した利用目的を書いて公表するんだろが、ボケが。


ぼくもAppGoat使えるようになってセキュリティ研修とか担当したいです。
hasegawayosuke:情報処理推進機構:「脆弱性体験学習ツールAppGoatハンズオンセミナー」開催のご案内 対象者:セキュリティ研修を担当されている方、これからウェブアプリケーションの脆弱性を学ぼうとされている方


警察じゃなくてセキュリティ会社と戦うんですね。
ScanNetSecurity:セキュリティ会社とサイバー犯罪者の戦いが激化--2012年セキュリティ予測(ウェブルート) http://dlvr.it/18Ql3Q


Firefoxがついに2桁バージョンに突入しています。
dry2:会社のパソコンのfirefoxを久しぶりに再起動したら、来たね!位置情報の収集して良いかだって!パソコンの無線LANアダプタで拾った周辺のの電波強度から、スマホでせっせと作った位置情報データベースを使用して割り出すのかな?企業で各社員がどう対応するのか、考える必要はあるだろうか?


チップセットによりますが最近のチップセットはAPになれるものが多くてうれしいですね。
moton:あまり知られてないがwin7はアクセスポイントになる。勉強会でジョークなESSIDのAPを簡単に立てられるw RT @yumano #memo Win7 Wifi 共有 使い勝手が大幅に向上したWindows7のワイヤレス機能 - @IT


その他に気になったことはこのあたり。
Security_Focus:★12/02/01『【危険】Android におけるスタックベースのバッファオーバーフローの脆弱性』JVN iPedia http://bit.ly/xJwg4R


bulkneets:DOM Based XSSが悪用されたかどうか検知できるように、location.hashのログを取るべき?location.hashはクライアントサイドでしか保持しないデータを受け渡すのに使ったりするから(個人的にはそういう用途に積極的に使う)サーバーに送りたくない。


okomeki:架空請求サイト疑似体験( °- °) RT @RBBTODAY: 子どもの安全・安心なケータイ利用を啓発「かながわモード」


packet_storm:Bluelog Bluetooth Scanner/Logger 1.0.1 http://packetstormsecurity.org/files/109302 #tools


piyokango:NASAや米政府に不正アクセスしたハッカーが逮捕。 / “'TinKode' Hacker Suspect Arrested for NASA, Government Attacks | Cybercrime & Cybercrimi…”

テーマ : セキュリティ
ジャンル : コンピュータ

1月31日のtwitterセキュリティクラスタ

2月になりました。2月は情報セキュリティ月間だそうです。情報セキュリティを語るという名目の飲み会があればぜひ呼んでください。
iPad_navi:「高まるセキュリティの懸念、一人ひとりが適切な対応を」??官房長官 http://bit.ly/yUoHQZ


2012年暗号と情報セキュリティシンポジウムが開催されています。能美市での開催だったんですね。
ikutana:「SCIS2012 第2日目のまとめ」をトゥギャりました。 http://togetter.com/li/250586

ちなみにSCIS2012 開催前&第1日目のまとめはこちら。
http://togetter.com/li/249820


毎朝乱数で生成されるようにするとか日付を取り入れて毎日変更するとか担当者が気分で変更するとかエクストリームログインを目指すのもいいですよね(他人事
ockeghem:日記書いた / “「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記” http://htn.to/NfVggP


楽しみにしてます!マダァ?(・∀・ )っ/凵⌒☆チンチン
ikepyon:僕が考えたさいきょうのうぇぶあぷりけんさつーるをいよいよ作らなければならなくなったorz

ikepyon:構想12年もかかってるよw


「サイバーディフェンスのための20の重大なセキュリティコントロール:コンセンサス監査ガイドライン」だそうです。IT系の翻訳された日本語ってIT日本語みたいなある意味特殊な文章だよなあと思ったり。慣れると読みやすいんですけどね。
MasafumiNegishi:SANSの 20 Critical Security Controlsですが、日本語翻訳版ができたようです。ちょびっとだけ翻訳のお手伝いをさせていただきました。


その他に気になったことはこのあたり。
labunix:“SambaにDoS攻撃を可能にする脆弱性が発覚、これを修正した「Samba 3.6.3」リリース - SourceForge.JP Magazine : オープンソースの話題満載” http://htn.to/dbm937


tomoki0sanaki:これ、SMTP Injection の検証に使えるな、最近だとOP25Bとかあるので、メールサーバ立てるの確かに面倒だし、・・・「開発時に。送信内容が確認できるダミーのSMTPサーバ「smtp4dev」


spearsden:ハッカー集団「アノニマス」から世界の政治家、独裁者に向けたビデオメッセージ- http://goo.gl/04DaR


ScanNetSecurity:コンピュータをハッキングし、成績を改ざんした学生を逮捕~賢すぎて身を滅ぼした子どもたち(The Register) http://dlvr.it/18NjZL

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
02-2012
SUN MON TUE WED THU FRI SAT
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 - - -

01   03