2月4～6日のtwitterセキュリティクラスタ

またまたグルーポンがやらかしてしまったようです。しばらくは関わらない方がいいようですね。

kitagawa_takuji: 個人情報を含むノートパソコンの紛失に関するご報告とお詫び http://info.groupon.jp/topics/20110204-581.html

piyokango: @EijiYoshida グルーポンは定期的にネタを投下して火を消さないようにしているようにしか見えないですね。いわゆる炎上マーケティングでしょうか。

EijiYoshida: @piyokango それで商売が成り立つのが不思議で(^^;)

EijiYoshida: Windowsだったら1394 or PCカード or Expressカードが付いていれば余裕で解除(ry

a4lg: 当該 PC の電源が切られていて HDD が暗号化されていることを祈るのみです。オフライン攻撃が可能なだけあって限界はありますが。 QT @EijiYoshida: Windowsだったら1394 or PCカード or Expressカードが付いていれば余裕で解除(ry

piyokango: @EijiYoshida この文面見る限りHDDの暗号化もしてなさそうな気がします。

EijiYoshida: @piyokango そんな気もしますよね。オフラインでそのまま情報抜かれて終わりそう

EijiYoshida: @a4lg あの文面だと漏洩対策が不安ですよね・・・・

a4lg: @EijiYoshida ですねぇ。パスワードの使いどころによっては 1394 などのハードウェアを使ったり、パスワードのクラックをする必要すらないわけで。

EijiYoshida: @a4lg その通りですね～。どこまで技法を知ってて対策を施してるんだろうか・・・・

EijiYoshida: この際、グルーポンはウチのワークショップを受講して漏洩対策を確認してくれないかな

piyokango: １００人受講確定で９０％オフのクーポンが発行されるわけですね。 RT @EijiYoshida: この際、グルーポンはウチのワークショップを受講して漏洩対策を確認してくれないかな

EijiYoshida: @piyokango 100人は嬉しいけど90%オフは泣いちゃいますｗｗ

明日発売？のハッカージャパンはクラックとかMetasploitとか攻撃しまくるみたいですね（まだ見てないので本当かどうかは知りません）NTLMのクラックもするのでしょうか。

kitagawa_takuji: Windowsの場合ハッシュを送信してしまう問題があるのでオフライン・クラック対策として有効期限を設けるのはありだと思う。NTLMv2認証を使用していれば問題ないけど、XPでLAN Manager認証レベルを上げてるとこはあまりないよね。2/8発売HJ3月号のp59-60を参照

kitagawa_takuji: Windows 7やVistaからNASにアクセス出来ないのでLAN Manager認証レベルをNTLMv2認証を使わないように下げるケースはあるみたいだけど。

そして、発売前なのに訂正が入っています。John the RipperとMetasploitでNTML認証のパスクラックとかしてるみたいなのでますます楽しみですね。そしてここを読めばNTMLv2認証のクラックもできるかも！？

kitagawa_takuji: john the ripperでNTLMv2認証のチャレンジ・レスポンスも解析可能だった。 % john -format:netlmv2

kitagawa_takuji: NTLMv2認証ではサーバのチャレンジに加えクライアントのチャレンジもあるためRainbow Tableなどの事前計算攻撃は不可能

kitagawa_takuji: NETLM/NETNTLM/NETLMv2/NETNTLMv2/NETHALFLM このあたりをjohnでクラックするにはjumbo patchを適用する必要がある

kitagawa_takuji: metasploitのauxiliary/server/capture/smb モジュールのオプションにJOHNPWFILE が追加されている。これでNTLMv2のチャレンジ・レスポンスを保存して % john -format:netlmv2　でクラック

kitagawa_takuji: MetasploitによるSMB認証情報のキャプチャー１．Metasploitでauxiliary/server/capture/smb を実行２．犠牲者に対しというタグを含むHTMLメールを送信

kitagawa_takuji: ３．犠牲者がHTMLを開くと認証情報が記述されたIPアドレスに送信される４．キャプチャしたチャレンジレスポンスをオフラインにてクラック実行ログ http://pastebin.com/4D7sy5BG

kitagawa_takuji: 原稿執筆時点ではJOHNPWFILEというオプションはなかったのでしょうがないがjohnでNTLMv2認証のチャレンジ・レスポンスがクラックできることは見逃していた。しばらく訂正記事を毎日ツイートするしかないか

kitagawa_takuji: NTLMv2認証を使用していれば問題ないというのは間違いでした。RT @kitagawa_takuji: Windowsの場合ハッシュを送信してしまう問題があるのでオフライン・クラック対策として有効期限を設けるのはありだと思う。NTLMv2認証を使用していれば問題ないけど、

kitagawa_takuji: NTLMv2認証を使用していればRainbowCrackなどの事前計算攻撃ができないので安全ではあるけれど

kitagawa_takuji: Windowsでは自分の知らないうちに認証情報を送信してしまってそれをオフラインで解析されることがあるのでパスワードの有効期限を設けることは無意味ではない。優先順位としては長さや文字種を増やすことの方が先なのでハギー・メソッドには同意しない。

@ntsujiさんの@ITの記事の評判がいいようなので皆さんも読んでみましょう。サラリーマンの人ってみんなパスワードを定期的に変更するのは相当イヤみたいですね…

nao_pcap: @ntsuji 連続で申し訳ないですが、ダークナイトすごく分かりやすくて面白かったです！Pass-the-hashの実例のインパクトも大きいですね！こういう文章をもっと本とかでも目にしたいですね・・

kaito834: @ntsuji @ITの第6回記事、パスワード定期変更の考え方を丁寧に解説してて興味深かったです:) Pass-the-hashに言及してるのは、本職の方だなぁと感じました。

ntsuji: 「書いててよかったー」と思える瞬間です。ありがとうございます！　RT @oumiline: このシリーズ面白くて好き | パスワードの定期変更という“不自然なルール”（1/4） － ＠IT http://t.co/sxt6VoS

有名になるといろいろ連絡が来るんですね。これからはDM送るときも「ご高名」と入れるようにしたいと思います。

ucq: 某所から連絡来てた。

ucq: 「ご高名はいろんなところから聞こえており…」 なにそれマジこわい

hasegawayosuke: なんかいろんなところに「ご高名」メール届いてるっぽいすね。

tessy_jp: ちょｗ RT @hasegawayosuke: なんかいろんなところに「ご高名」メール届いてるっぽいすね。

KDDIは有害情報のすくつ（なぜか変換できない）になって楽しそうですね。某研究所にいた人も肌色の割合でエロ画像ガンガンフィルタできるって言ってたような。

tdaitoku: RT KDDI研究所、有害ページを優先的に収集するクローラ技術を開発 http://www.security-next.com/018202

携帯のメール解析されて八百長以外にもいろんなデータ見られて力士の性癖とかみんな漏れてたりするんですよね。かわいそうに。

hasegawayosuke: ケータイのフォレンジックネタ。 http://bit.ly/fkG4UN