12月17～18日のtwitterセキュリティクラスタ

発売されたばかりのPS Vitaでいきなり脆弱性が見つかった？ということが話題になりました。

typex20 :早速、PS VitaのPSPエミュレーション部分の脆弱性を突かれて破られる。。 / “teck4のblog : PSPのSave Game ExploitをPS VITAで試してみた。” http://htn.to/6WpHfc

cielavenir :@typex20 いやおそらくPSPエミュの中でhelloworldできてるだけではないでしょうか。

a4lg :@cielavenir 同意します。エミュレータ内で相当マズい仮想化をやっているようならここからの拡張も有りうるかもしれませんが、現時点では PSP エミュレータ内での活動に限られるでしょう。

a4lg :oO( というか、exploit が [動いている] 時点で望みは若干少なめ。というのも、この場合 PSP エミュレータが比較的素直に CPU をエミュレートしていることを意味するからだ。 )

typex20 :@a4lg @cielavenir そう書いているつもりなのですが。。

a4lg :@typex20 ごめんなさい :( Vita の脆弱性と呼ぶのはなんか嫌だなーという気持ちで少し消極的な書き方をしてしまいましたね。

typex20 :@a4lg PS Vita上のPSPエミュレータも含めてシステムですから破られたことには変わらないでしょう。それに　ARMの本格的なハードウェア仮想化対応はCortex A15からなので、Cortex A9での仮想化は最新のx86に比べると”おもちゃ”みたいなものです。。

a4lg :@typex20 まぁそれはそうです。私が言いたかったのは PSP エミュレータからのシステム攻略は難しい気がするということ。そして仮想化 (エミュレーション) はスピード的にはオモチャかもしれませんが、セキュリティ分離とはあまり関係がないこと辺りですかねぇ…。

a4lg :もちろんそれが信用できないというのは理解できる意見ですが…正直 PSP エミュレータから次々に権限昇格していくよりは、PSV ゲームやアプリの脆弱性を見つける方が何倍も現実的だと思っています。

当選者の方おめでとうございます。当選しなかった人に徳丸本を差し上げちゃうキャンペーンをやろうかと思いつきましたが…

ockeghem :日記書いた。当選者の皆様おめでとうございます #wasbook / “「徳丸本をブロガーに差し上げちゃうキャンペーン」当選者のお知らせ - ockeghem(徳丸浩)の日記” http://htn.to/TGSfZi

密かに飛び入りで参加して勉強がてら壁の花として咲き誇るのもいいかもしれません。

hebikuzure :(リマインダ)「第６回ネットワークパケットを読む会（仮）」勉強会と忘年会は本日開催です。勉強会は http://atnd.org/events/22972から 、忘年会は http://atnd.org/events/22973から参加申込ください。忘年会のみの参加も歓迎です。 #pakeana

登場というかバージョンアップですがサイトリニューアルしたみたいですね。

moton :マルウエアのリバースエンジニアリング向けLinuxが登場。REMnux: A Linux Distribution for Reverse-Engineering Malware http://zeltser.com/remnux/

年の瀬を感じさせるまとめがまたまた。そういやもうアメリカはクリスマス休暇なのですかね。

ScanNetSecurity :2011年 セキュリティニュース トップ100 http://dlvr.it/116c5m

moton :スパムは2007年程度に減少。Cisco 2011 Annual Security Report(PDF) cisco.com/en/US/prod/col…

パスコード付けようぜ！　とか、売る前にデータ消そうぜ！　とか、そんな感じのiPhoneに限らないセキュリティTipsですね。

yas_matsu :Top 10 iPhone Security mcafee.com/us/resources/w… まあ、この手、多いね。

組織全体をLMハッシュに統一して(ﾟдﾟ)ｳﾏｰ ですが、パスワード盗む側にとっても(ﾟдﾟ)ｳﾏｰなのは秘密。

kitagawa_takuji :Windows 7から古いNASにアクセスできない場合の対処方法 － ＠IT atmarkit.co.jp/fwin2k/win2kti…　NAS側で新たな認証方式に対応するのが理想だが、セキュリティ・レベルが下がってもよいなら、Windows 7側の認証レベルを下げることでも対処可能だ。

パスワード付ZIPファイルって、パスワードの強度を上げて鍵交換の方法を工夫しても破られてしまう脆弱性があったりするんですかねえ。

itmedia :[エンタープライズ]萩原栄幸が斬る！ IT時事刻々：年末年始で大至急チェックしたいセキュリティ対策 http://bit.ly/uEnygn

その他に気になったことはこのあたり。

kitagawa_takuji :パスワード管理をシンプルで安全に--「Windows 8」「IE10」がとるアプローチ japan.cnet.com/news/service/3… @cnet_japanさんから　LastPassのようなパスワード・マネージャーをデフォルトで提供するということか

riubard :「au one ショッピングモール」再開--不正アクセスでセキュリティ強化 headlines.yahoo.co.jp/hl?a=20111217-…

hasegawayosuke :Anti Alphanum PHP Shell | Ack Ack h.ackack.net/anti-alphanum-…

ockeghem :とても参考になります。実用的な内容ですね / “co3k.org - Blog - Symfony2 の力を借りたセキュア開発 (Symfony Advent Calender 2011 JP - 18日目)” http://htn.to/SYv12q

whosaysni :PSStoreを始めようアプリがすげぇ。提供元不明アプリのインストールにチェックを入れたあと、証明書のないサイトからアプリをダウンロードさせる説明文の載った、これまた証明書のないサイトに誘導してくれます。

kitagawa_takuji :米紙、対中制裁も検討せよ　サイバー攻撃に警鐘 - 47news.jp/CN/201112/CN20…　中国発のサイバー攻撃について「比較的知られているにもかかわらず、対策はほとんど取られていない」と問題提起。１９９０年代に水面下で脅威を増した国際テロリズムと似た状況にあるとして、手遅れにな