スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月17日のtwitterセキュリティクラスタ

昨夜はNHKのクローズアップ現代で「暴走するサイバー攻撃」という主にAnonymousとサイバー攻撃についての特集が放映されました。内容は極悪集団Anonymousがかわいそうな企業を攻撃!のような決めつけで、情報を追ってる人たちは批判的でした。HBGaryの元CEOが言い訳してたのは面白かったですが。

ntsuji :「セキュリティのプロでも」ってパスワード使い回してそれはないでしょw #nhk_kurogen

ntsuji :PSNのDDoS以外のこともAnonymousがしたように見える。 #nhk_kurogen

F0ro :ソニーの個人情報流出の件はAnonymousで確定・・・ #nhk_kurogen

ntsuji :あ、今、「Anonymousなど」ってはじめて言いましたよ! #nhk_kurogen

ntsuji :@nhk_kurogen ハッシュタグ #nhk_kurogen を付けてつぶやきましたが、期待はずれでした。Anonymousに関しては半分くらいでしたし、ソニー関連の事件で犯人が判明していないものまでAnonymousが犯人であると取れてしまう紛らわしい内容だと感じました。

kitagawa_takuji :米国ロケする必要性が全く感じられない内容だった  #nhk_kurogen


そして番組終了後、間違いの指摘とともにミスリードを誘う表現に対する批判が。
MasafumiNegishi :さっきのクローズアップ現代で「ソニーから流出した情報の一部」としてボカして紹介されたデータ、ようやく判明。あれは idahcが5月にカナダのソニーエリクソンから取得して公開したデータ(2,000人分)で、Anonymousは無関係だし、1億件のデータとかの一部でもなんでもない。

kitagawa_takuji :@MasafumiNegishi 流石、てっきりLulzSecによるSony Picturesからの37,500人の個人情報流出と混同しているものだと思ってました。

ntsuji :@kitagawa_takuji @MasafumiNegishi すばらしい!そっちでしたか。ボクもlulzsecとの混同だろうなくらいにしか思ってなかったです。

MasafumiNegishi :@ntsuji @kitagawa_takuji まあ「Anonymousなど」による攻撃って、「など」を強調して言ってはいましたが、見ていた人は絶対 Anonymousがやったと思ったでしょうね。ミスリードですよ、あれは。

ntsuji :@MasafumiNegishi @kitagawa_takuji あれだと国際極悪犯罪覆面集団アノニマスですねw

MasafumiNegishi :Gregg Houshが Anonymousの行為の違法性をどう正当化するのかと問われる場面、「目には目をというわけさ」と翻訳されていましたが、彼は "It's old school justice."と答えてますね。

MasafumiNegishi :Greggだけではないと思いますが、Anonymousは自分達の行為の違法性は認識しているものの、間違ったことをやっているとは思っていません。彼の発言は、新しい時代に対応できていない現在の法律のほうが間違っているのだ、と主張したかったのではないかと思います。違法だけど正しいと。

MasafumiNegishi :まあ TV番組だから視聴者にわかりやすいように演出したりとかはあると思うんだけど、デタラメはよくないと思うんだ。

kitagawa_takuji :また、どこかで話すネタが増えました。RT @MasafumiNegishi まあ TV番組だから視聴者にわかりやすいように演出したりとかはあると思うんだけど、デタラメはよくないと思うんだ。

MasafumiNegishi :しかしあれだなー、なんでソニーからの1億件近い個人情報の流出が Anonymousの仕業ってことで確定したようになってんのかな? ソニーはサーバに Anonymousっていう名前のファイルがあったと発表しただけで、それ以上はなにもない。捜査当局もこの件で誰もまだ逮捕してないよ?

MasafumiNegishi :なんだかなー、いろいろ調べてわかったことを伝えようとこれでも頑張っているつもりなのだが、まだまだらしい。別に(一部の)Anonymousによる行為を擁護するつもりはこれっぽっちもないが、だからと言って間違った理解やデタラメが広まることには我慢できないのですよ。


はてなのXSSについて。IEの誰も知らないような挙動についても語られています。
hasegawayosuke : とりあえずメモ帳は開いた…

hasegawayosuke :なるほど、IE6/7だと破れそうですね。

kinugawamasato :少なくともIE6ではパスじゃなくてクエリストリングに.htmlつけても動くということが言いたかった

hasegawayosuke :@kinugawamasato サービスパックとパッチの適用に依存しますね。

kinugawamasato :@hasegawayosuke あ、そうなんですねー。とりあえずSP3のフルパッチIE6では動きました。

hasegawayosuke :@kinugawamasato あと、さきのはてなの例で言うと、URLが /expand で終わってて拡張子入ってないからですねー。

kinugawamasato :@hasegawayosuke IE6なら拡張子のドットを%2Eにすると.phpとかでも%2Ephpで通ったりしますね。

hasegawayosuke :@kinugawamasato あと、*.do とかだと、;a.html みたいな拡張子の付与方法もありますね。

hasegawayosuke :Content-Type がIEに未知のもので、URLのクエリ除いた部分の拡張子が 1.存在しない、2.exe 3.cgi 4.dll のいずれかの場合にはクエリストリングの末尾の拡張子がファイルタイプになります。

hasegawayosuke :っていうマニアックな挙動、知ってるほうがおかしい。

hasegawayosuke :世の中に、たぶん自分の知らないXSS方法が存在してるんだろうけど、それがくやしい。

kinugawamasato :IE6で動く場合と動かない場合、何が原因か判明させるの難しい。以前Googleに報告した際に言語以外は自分と同じ環境で動かしてもらったのだけど、再現しないと言われた。ダウンロードになると言われたのでダウンロードを回避する必殺技をやってもらったら再現した。

kinugawamasato :パスに余計な情報つけれないように修正入ったけど、古いIEだとこういう状況のやつはXSSできる。無視するのもありだと思うけどね。

kinugawamasato :余計な情報じゃなくて.htmlだけブロックしたのか、そうとは思ってなかった…。

kinugawamasato :><がそのまま出力されるならほとんどの場合ごちゃごちゃやってればIE6ではXSSできるという認識でいます

hasegawayosuke :一昔前は、>< 出せなくても、charset ついてないならほぼXSSできたんですけどね。

bulkneets :はせがわさんって人がヤンチャしたからutf-7って文字コードが世界から消え去ったんでしたっけ


高木せんせい大勝利のようで。
_jackson :ひろみちゅ先生ありがとう / 2011年11月17日 PlayStationRNetworkおよびPlayStationRHomeオフィシャルサイトをご利用中のお客様へ重要なお知らせ | プレイステーションR オフィシャルサイト http://bit.ly/tgwvUt


その他に気になったことはこのあたり。
kogawam :かつて、はてなのiPhone用ブックマークレット導入ページには脆弱性があった。「このページをブックマークして編集で"?"より前を削除して下さい」という説明にも拘らず"?"以降に何を指定したURLでも通ってしまうというXSS。


suzukimasatomo :岡村久道『情報セキュリティの法律 [改訂版] 』(商事法務)が来週発売される。新たにクラウド、スマホ、ガラケー、ネット家電等のセキュリティと法律問題についても書き加えられたそうだ。情報セキュリティを法学的見地からまとめた唯一の体系書。民刑事、関連特別法の全論点を一覧できる。


piyokango :『少年は公式サイトにウソのトラフィックを流し込み、サイバー攻撃を仕掛けた』 / “英王子挙式でサイト攻撃の16歳ハッカー逮捕 | YUCASEE MEDIA(ゆかしメディア) | 最上級を刺激する総合情報サイト | 1” http://htn.to/NWguCY


mikiT_T :~allでなくて-allを使え。いいね! / 送信ドメイン認証の取組に関する助言 2011/11/4 最高情報セキュリティアドバイザー等連絡会議


gohsuket :あそこセキュ研究で有名 RT @MasafumiNegishi 「高麗大学情報保護大学院の卒業生約50人の電子メールアカウントが集中的にクラッキングされ、国家情報院が調査していることが分かった。(中略) 北朝鮮の仕業である可能性を念頭… 」


sen_u :ハッキングで大学の成績を改ざん http://bit.ly/siTkxM


Yomiuri_Online :パスワード盗まれても…変更の議員は半数以下: http://bit.ly/rv5gGp
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。