8月29日のtwitterセキュリティクラスタ

「Morto」というWindowsのリモートデスクトップ接続（RDP）を悪用するワームが発生しているようです。会社員の頃はVPNでLANに入ってリモートデスクトップで会社のPCにつないで家で仕事することが多かったので他人事ではありません。

jpcert :既にいくつかのメディアで報じられていますが、8月後半より RDP(3389/TCP)ポートへのスキャンが増加しています。詳細について現在調査中です。Windows Server などで RDP を使っている方はご注意下さい。 ^KS

ntsuji :VPNで接続した後、リモートデスクトップで操作。なんて運用のところには効果的？ RDPを悪用してWindowsマシンに感染するワーム「Morto」が発生 - https://bit.ly/nXycem

MasafumiNegishi :New Worm Morto Using RDP to Infect Windows PCs https://bit.ly/oCfJie via @threatpost

piyokango :今流行のMortoのお話。／Aug 28 Morto / Tsclient - RDP worm with DDoS features http://bit.ly/nBJhha

piyokango :VTによると今日時点ではMortoはトレンドマイクロやMcAfeeでは検知できない模様。F-Secureも解説ブログ書かれていたのですが、検知されないのですね。http://bit.ly/qZRzJY

昨日は興味深いシンポジウムがあったようです。まとめ見て雰囲気だけでも見ておきます。

ntsuji :参加します。TLにも参加の方いらっしゃいそうですね。『ソニーの個人情報流出事件をどう考えるか-サイバー攻撃に対する政府・企業・個人の対応』 gie.sfc.keio.ac.jp/sympo110829/in…

piyokango :「「ソニーの個人情報流出事件をどう考えるか」(#GIE_sony)のまとめ」をトゥギャりました。 http://togetter.com/li/180991

引き続きApache Killer。原理が分かればどの言語でも実装は可能なのかもしれません。

flano_yuki :ふと思ったんだけどapache killerってJSでも実装できる？rangeヘッダは設定できるみたいだし...ただ同時接続数の制限あるから微妙か。ローカルネットワークへの攻撃も攻撃が成立するのは難しそう

flano_yuki :p="bytes=0-"; for(k=0;k<1300;k++){p+= ",5-"+k;} xhr=new XMLHttpRequest(); xhr.open("head","/"); xhr.setRequestHeader("range",p); xhr.send();

flano_yuki :apache killerをjsで書き直してみたー，スクリプトキディー向けに設置するとやばい気がする．一発送っただけで結構メモリ食う．xhr2対応ブラウザだとリクエストとぶのでクロスドメインでもおｋ．

piyokango :Slow HTTP DoS vulnerability test tool: http://bit.ly/pPSr38via @AddThis

長い名前だと表がバカでかくなりそうです。

ikb :紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案 internet.watch.impress.co.jp/docs/news/2011… -- なるほど、縦にも横にもかならず A-Z が見つかるから…という寸法か。三文字ずつとるようにすれば、生成されるパスワードも長くできるし、なかなかおもしろい。

expl01t :ちゃんと見てないけど，紙無くしたらアウトってことでおｋ？ Reading: 紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案 internet.watch.impress.co.jp/docs/news/2011… grc.com/offthegrid.htm

tokoroten :つまり、短いドメインのパスワードは弱くなると・・・。 / 紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案 -INTERNET Watch http://htn.to/RubXee

その他気になったことはこのあたり。

keikuma :韓国ではアダルトサイトの閲覧の際に共通番号を入力しないといけないのだけど、みんな他人の番号を勝手に使うから問題ないって言ってた。

piyokango :【注意喚起】ウェブサイト改ざんの新たな攻撃を確認 埋めこまれるコードが動的に変化 https://bit.ly/oWGWsf

tetsutalow :昔Microsoftがやられて騒ぎになったけど、Googleもですか。昔より証明書発行会社が増えてるので、今後こういう事故が増えるかも。今後はせめて重要サイトくらいDNSSEC限定にするとかいう方法でもう一枚カベ作るのかなぁ。 / Ha… htn.to/6NEpsu

McAfee_JP :McAfee Blog更新情報「VISAのカスタマーサービスを装った、偽セキュリティソフト詐欺が蔓延中」VISAのカスタマxーサービスから送られたように装う詐欺メールが世界中に広がっていることを確認しました。http://mcaf.ee/dba7n

piyokango :マカフィー、「安全なオンラインバンキングのためのセキュリティアドバイス」を発表 http://bit.ly/qbhmcL

akirakanaoka :FIT 2011企画イベント「そこそこセキュリティ ～必要なレベルで適切なセキュリティ対策を提供するには～」は9/9（金）13:00-16:00に開催です！ ipsj.or.jp/10jigyo/fit/fi… #sokosec

FSECUREBLOG :我々が「RSA」のハッキングで使用されたファイルを発見した方法: 　3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。 　現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラ... https://bit.ly/qr0IfJ