スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月26日のtwitterセキュリティクラスタ

かまってくれる人がいないのでトラブルに巻き込まれることのないまとめサイトです。かっこよく言うと孤高です。

ウィルス作成罪が初適用されたそうです。報道もよくわかっていないのか、どんなウイルスが使われたのかなど詳細は不明なようです。
mainichijpnews:ウイルス作成:28歳の男を送検 全国初の適用 大阪府警 http://bit.ly/wugYwg

bulkneets:内容が違いすぎるだろ http://bit.ly/yrAXw8 http://bit.ly/ADvyFc http://bit.ly/zswxxx http://bit.ly/xYO4zq

mimura1133:「ウィルス」と書くか、「不正電磁的記録」と書くか、「悪意のあるコード / プログラム」と書くか。専門的な人にはそれぞれ違うように見えるけれど、一般の人には全部同じに見えるよね。


考察によるとどうやらCSRFのリンクを踏ませたようで、これが本当ならはまちちゃん大ピンチですね。
bulkneets:メールフォームに対するCSRFの可能性を強く疑っている

bulkneets:俺が気にしていることはいくつかあって、ブラウザ上で動くプログラムをウィルス扱いされて「リンクをクリックしただけで感染」というような表現が広く使われてしまうと、ブラウザやプラグインの脆弱性を利用して本当に感染するようなウィルスなのか、ウェブサイトのバグや仕様なのかわからなくなる

bulkneets:これ少なくとも、このIPアドレスから殺害予告があったんですって主張して、相手の家に警察送り込むことには成功してるんだよね。

bulkneets:普段からシークレットウィンドウ使って履歴残さないでリファラ切ったりしてる人に罠踏ませて状況証拠的に意図的に書き込んで証拠隠滅したのか、罠踏んで書きこまされたのか全く区別つかないような状態にされた上で、長時間拘束された上でカツ丼とか出されたら面倒くさくなって私がやりましたと言う

bulkneets:「メールに添付されたアドレスをクリックすると」 「お前の個人情報がネットに流れている」とアドレスを記載したメールを なので話を総合するとメールに添付されていたのはURLであって実行ファイルじゃない

bulkneets:URL送るのに添付って表現もおかしくないか?いやurl.txtなのかもしれんけど。

bulkneets:ブラウザ上で動くプログラムは全部除外せよ、とまでは思ってないけど、元々危険な動作ができないように配慮されたプラットフォーム上で動作しているプログラムを法律で規制しようとするのが危険。単に出来が悪くて使用者の意図に反する動作をするプログラムまでウィルス扱いされるよ(要は悪法になる)

SH1N0:マスコミがCSRFをウイルスって報道するから、ニュースを見た人がリスクをかなり過小評価している印象。脆弱性のあるサイトのURLを踏むだけで発動するので、罠を踏んでしまったら、自分が家宅捜査の対象になる可能性も

piyokango:NHKの報道と思われる画像3つ確認できるのですが、9/7と10/12の掲示板って違う種類なんでしょうか。 Colorの欄とか微妙にレイアウトが違います。あとこれI-BOARDっていうフリーのCGIなんですかね。http://bit.ly/wIkjNP

piyokango:さっきのTwはこの投稿
http://yaraon.blog109.fc2.com/blog-entry-6852.html のこと。 9/7はhttp://bit.ly/xqZScU http://bit.ly/y1MCtM10/12は http://bit.ly/z7cTWD


そしてこの事件、去年あたり盛り上がってたまとめサイトのトラブルが関係してたようで、これにもびっくりです。
tentama_go:ウィルス作成罪の初適用の件、「今日もやられやく」の管理人が「やらおん」の管理人に罪を着せようとしたということみたい。まとめブログの世界ってとんでもないことになってる雰囲気? http://news.nicovideo.jp/watch/nw185507

hylom:ウイルス作成罪で捕まった人、2chまとめブログ「やられやく」の関係者とかいう噂。えー。


見つけた人はたくさん賞金をもらったんでしょうかね。
yohgaki:Cross Site Scripting (XSS) Vulnerability in Google | The Hacker News (THN) http://ow.ly/8HEpH 古典的なXSSだけど、起きるときはこんなモノ


面倒なだけで報告者には特に何もいいことはないから脆弱性に比べると報告数が少ないのかなあと思いました。
jpcert:ソフトウェア等の脆弱性関連情報に関する届出状況2011年第4四半期(10月~12月)を公開しました^YK


その他に気になったことはこのあたり。
labunix:“シマンテック、「pcAnywhere」の無効化を呼びかけ - CNET Japan” http://htn.to/jD1Jx6


zer0trusion:UPDATE: Reaver v1.4! ? for any wifi crackers out there @aircrackng @KistmetWireless


openwipsng:Release planning available http://openwips-ng.org/planning.html #openwipsng


ntsuji:これは見たい! ハクティヴィスト(hacktivist)集団、Anonymousをめぐるドキュメンタリー『We Are Legion』 ≪ WIRED.jp 世界最強の「テクノ」ジャーナリズム


sshzms:“Geekなぺーじ:インターネットトラフィックで見るMegaUpload閉鎖” http://htn.to/Eo9AEE


higetomo:NSF2012のCTFパネルディスカッション - 極楽せきゅあ日記 (id:sonodam / @sonodam)


bulkneets:XHR level2でクロスドメイン通信が可能になった影響で、クエリパラメータやlocation.hashで入力された任意のURLをロードするサイトは外部ドメインのコンテンツを埋め込んでXSS出来る可能性があります。http:が通らなくても//で始まるURLが通ることがあります


HyoYoshikawa:悲鳴をあげるドコモ。DDoSツールと化すスマートフォン http://assioma.jp/?p=2728

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。