スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

5月24日のtwitterセキュリティクラスタ

またまたまたまたソニー関連。こんなにソニーの情報ばかり載せてるとGK呼ばわりされるかもしれませんが、むしろGKの人に刺されそうです。

東電には軽く負けまてしまいますが、ソニーもマイナスがすごいようです。
MasafumiNegishi: PSN対応費用で140億との試算。-> ソニー、震災の影響受け純損益を下方修正--売上高、営業利益は据え置き - CNET Japan http://bit.ly/ila6dk

kitagawa_takuji: ソニー:ハッキングと東日本大震災で1640億円マイナスへ http://jp.ibtimes.com/articles/18880/20110523/945259.htm 「内訳の多くは、より高いセキュリティのシステムを導入するためのコストだ。」

WebSecurityNews: Hacker attack to cost Sony $172 million, almost as much as initial Japanese ... http://ow.ly/1cPtqV

tdaitoku: ソニー、不正アクセス関連で140億円の費用 カード被害、現時点では報告なし http://www.itmedia.co.jp/news/articles/1105/23/news107.html


そして、今日も新しい脆弱ソニーサイトが発見されています。世界の妊娠や痴漢の人が必死こいて探してるのかもしれませんが、恨みというか関連サイト見つけて注目されたいだけなのかもしれません。
MasafumiNegishi: む、今度は sonymusic.co.jp で SQLiか?

ockeghem: みんなやめて! ソニーの中の人はきっとトイレで髪切っているわ! SQLインジェクションだけはやめてぇ~ 参考:http://d.hatena.ne.jp/ockeghem/20110518/p1

ntsuji: 次はイタリアのソニーピクチャーもSQL Injectionですね。PoCまででちゃってます。

ockeghem: やめて、ソニーの中の人は(ry RT @ntsuji: 次はイタリアのソニーピクチャーもSQL Injectionですね。PoCまででちゃってます。

ntsuji: @ockeghem なんかもう、ソニーならなんでもって感じになってきていますね。追いかけるだけでも大変になってきましたよw

ockeghem: @ntsuji でも、それ(潜在的には)ソニーさんだけが駄目という訳じゃないですよね、きっと。たまたま寄ってたかって調べられているのがソニー関係というだけで

ntsuji: @ockeghem そうですそうです。たまたまPSNの件があって目がそちらに向いているというだけですね。脆弱性が存在することに企業の規模は関係ないですしね。

katsuny3: SONYのどことどこが、何でやられたか、どっかにまとまってないですかね(^_^;) RT @ntsuji: 次はイタリアのソニーピクチャーもSQL Injectionですね。PoCまででちゃってます。

ntsuji: @katsuny3 そろそろまとめサイトがでてくるような気がします。それにしてもマスコミは海外のソニーについてはあまり取り上げないですね。一度注目されと、どんどん狙われるということも危険性の一つなんですけどね。

katsuny3: @ntsuji 注目されると二次被害、三次被害が生まれるから、公表しない。っていう選択肢もでてくるんですかねぇ。公表の方法やタイミングがますます難しくなってきた感じがします。

ntsuji: @katsuny3 どうなんでしょうね。でも、公表しなくてもいまやTwitterやFacebookなんかでバンバン情報がでてくるので公表しないほうがイメージ悪そうな気もしますね。


そして、ありがたいことに最新のまとめです。より国が増えてて素敵やん。
ockeghem: 『PSN再開後も Sonyの関連会社のサイトで次々と問題が見つかり、もう止まらない状態になっています…先月から今日までの途中経過を整理しておきます』 / もう止まらない… - セキュリティは楽しいかね? http://htn.to/L94CfD


なお、PoCには直接攻撃コードが書かれているらしいので、クリックしちゃダメですよ。以前似たようなリンクにアクセスしただけで捕まった人もいますし。
MasafumiNegishi: THNの Tweetに書かれた短縮URLは SQLiの PoCだから踏んじゃだめでーす。JPで踏んだ人は bit.lyによると7人w

ntsuji: そうですそうです。PoCの後についてる短縮はunionとかやっちゃってますのでー RT @MasafumiNegishi: THNの Tweetに書かれた短縮URLは SQLiの PoCだから踏んじゃだめでーす。JPで踏んだ人は bit.lyによると7人w


短縮されているので攻撃コードとわからないから悪くない、なんてとかやられた側は思ってくれないですからね…
ockeghem: 仕事以外では公開サイトの脆弱性チェックは(XSS等法的に問題ないものでも)しない(たまに例外もある)んだけど、ましてやソニー系のサイトはタイーホされるのではないかと心配もあって、情報が載ってても試そうとは思わないね


攻撃のスキルと、丹念に探すスキルは違うから、あながちスキルが低いとも思えませんが。
tokoroten: 今回のような攻撃は、自動化されたSQLインジェクションツールを用いて丹念に探せば、スキルの低い攻撃者でも脆弱性を見つけることができる / ギリシャのソニーミュージックサイトからユーザー情報漏えい、Sophosが指摘 -INTERNET … http://htn.to/KixN3B


piyokango: 某ISPのセキュリティ通信は色々と勉強させていただいていますが、そこのサイト自体にXSSがありますね。。


大きい組織と小さい組織で普通がいろいろ違うんだなあと。どちらのケースも想定しておいた方がいいですよね。
kaito834: Firefox 4 になってから、Firefoxアドオン「No Referrer ( Misspelled Referer )」が消えていることに気づいた。代替えアドオン探しているけどないなぁ。 http://is.gd/FWb7Ul

kaito834: 特定のサイトへの Referer 制御なら「RefControl」でいいけど、特定のサイトから任意のサイトへの Referer だけ削除したいアドオンが見つからない。イントラのサーバからインターネットのサイトに遷移するときに Referer 気にしなくていいから便利なのだが。

kitagawa_takuji: @kaito834 イントラのサーバからインターネットのサイトに遷移するときに < 会社なら普通はProxyで内部ドメインのReferer削除でしょ。

kaito834: @kitagawa_takuji そう言われるとそうですね--; Proxyない環境にいた期間が長かったので、自衛してました。


その他に気になったことはこのあたり。
kinugawamasato: 直ったってきたけどまだおかしいな http://www.iana.org/data:text/html%2C%3Cscript%3Elocation.href%3D%22http:%25252F%25252Fgoogle.com%22%3C/script%3E%5C


port139: を!ついにSQLite3のフォレンジックツール登場?! http://www.forensicfocus.com/index.php?name=News&file=article&sid=1675


attrip: SEOポイズニングとは?教えて! | A!@attrip http://htn.to/jPHmUf


MasafumiNegishi: 第2回 攻撃の主流となっているボットネット(実録!ボットネット撃退最前線) http://bit.ly/kYs7Ba


MasafumiNegishi: Hotmailの脆弱性を悪用、受信トレイのメールすべてが盗まれる (トレンドマイクロ) http://bit.ly/io1JtR


MasafumiNegishi: 被害確認! 偽システム修復ツール「Windows Recovery」 http://bit.ly/jlov0K


yohgaki: phpMyAdmin redirection weakness and script insertion vulnerability http://ow.ly/51fi8 PaaS、IaaSが広まってくるとphpMyAdmimみたいなアプリがより効果的なアタックベクタに


kalab1998: 防衛省でカウンターサイバーテロ(サイバーテロへの反撃(迎撃)?な人を募集中. http://ow.ly/51f3H


kinyuka: 「セキュリティ対策」とか(;´Д`)ウヒヒヒ RT @ikepyon: どういうのが・・・ RT @kinyuka: @ikepyonさんのtweetをテンプレ化すべき。「○○○○をアプリですべきという主張は同意できない。言語やフレームワーク側等の低レベルで本来すべきことだと思う

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。