2月15日のtwitterセキュリティクラスタ

まとめをまとめるのは意外と大変なんだなあとか、誰とはなく。

Stuxnetに関することは日本ではあまり盛り上がってない気がするのですが、まさかインフラが攻撃されるとか思ってないんでしょうね。

gohsuket: まだ出るStuxnetの話題。Symantecより RT @BBCNews 'Nuclear virus' targets uncovered http://bbc.in/et2uPm

kimhongsun: シマンテック社のセキュリティレスポンス「W32.Stuxnet Dossier」に関する記事：Stuxnetはイランにある5ヵ所の重要社会インフラを標的に3度にわたり集中攻撃、12時間かけ侵入に成功　…私たちの安全にかかわる問題。社会インフラへのセキュリティ強化が必要です。

hackinthebox: Hackers release decrypted Stuxnet code - but don't panic http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=40016

そして、Stuxnetのコード流出に関わってるAnonymousについてのよいまとめが。

needle: 英語圏画像掲示板4chan等を主な拠点とする団体Anonymousはその名のとおり匿名個人の群集体で、ウェブサイトにいたずらしたり反サイエントロジーのデモに出没したりする。なのでウェブ投票に組織票して困らせる2ちゃんねらーみたいなもんかと思っていたが、→

needle: →Wikileaks支援の為MasterCardをDDoS攻撃するやら、セキュリティ企業 HBGaryの社長がSNSを解析しAnonymousメンバーの実名を公開すると発表したら報復ハッキングで同社の内部データ・メール数万通（Stuxnetの実物まで！）流出させるやら、→

needle: →挙句流出で同社の不正行為が発覚する始末。実際のところ一部のメンバーは正真正銘のスーパーハカーなようで、いや、2ちゃんねらーの数倍恐ろしいわAnonymous…という話だが、何故日本のメディアは（略 #nazemedia http://ow.ly/3X9XM

needle: 遂にはAnonLeaksなるリークサイト立ちあげちゃうとな。HBGary社もStuxnet持ってたのはともかく、バンカメにWikileaks攻撃を持ちかけてたやら、何故かbotnet売ろうとしてたやら…スパイ映画の世界だ… http://ow.ly/3Xa87

実はIRCなんかにコミュニティがあるのかもしれませんが、誰でも見られるセキュリティ情報としては今twitterがいちばん流通量が多いのかなと思っています。まずはお金のもらえるgoogleのセキュリティホールに関する考察です。

s_hskz: http://d.hatena.ne.jp/masatokinugawa/20110207#p1 の件。検索結果によらず、http://bit.ly/dEsDwQ あたりでもイケてたんだろうか？

s_hskz: もうけそこなったという意味ではない。わら

kinugawamasato: @s_hskz }*{width:expression(alert(0))}がHTML内にそのまま入ってるのでイケてたでしょうね！

そして、もう１つgoogleのバグについて。日本人大活躍ですね。

kaito834: https://market.android.com から logout するときにリダイレクトされる http://www.google.co.jp/accounts/Logout2 にて、meta 要素の content 属性でシングルクォートが無駄にエスケープされていた。

kaito834: うーん、バグの範疇だと思うんだけど、セキュリティ窓口に報告しておくか。

kaito834: Google Security Team 宛にメールしたら、数十分で返信がきた。早いな。とりあえず確認してもらえるみたいだ。

ありがちですよね。

tomoki0sanaki: IPA に「XSSがあるよ」とずっ～と前に指摘し、先日IPAから「サイト管理者から再現しないって言われた」とメールが来たので、そのWebサイトにアクセスしたら、Webサイトが既にリニューアルしていました・・・とさ...orz

オープンリダイレクタについての興味深い考察です。オープンリダイレクタが脆弱性でないならCookie使ってないサイトのXSSみたいなものはあまり脆弱ってないことになるのかな。

kaito834: パターン1D, 1E, 1Fが興味深い挙動だ。「[セキュリティ]オープンリダイレクト検査：Locationヘッダ編」http://d.hatena.ne.jp/teracc/20110212#1297490743

あと気になったことはこのあたり。

JVN: Microsoft Windows にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU106516/

JVN: Microsoft Internet Explorer に任意のコードが実行される脆弱性 http://jvn.jp/cert/JVNVU634956/

sen_u: 2月23日の＠ITセキュリティソリューションでアフターパーティーを開催。講演者の方々も参加！参加者募集中。昼の部は無料なのにランチ付きですよ。 http://atnd.org/events/12665 #atitlunch

hasegawayosuke: 川口メソッドで記事書いた。 http://www.netagent-blog.jp/archives/51752634.html

risa_ozaki: 「SHA-1+salt」はパスワードに十分だと思いますか？: アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム... http://bit.ly/hJssUm

hir0_t: ジャパンネット銀行のワンタイムパスワードトークンは今年で有効期限を迎えるのか。http://bit.ly/dGeQ7R