スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月7日のtwitterセキュリティクラスタ

最近ずっとどんよりした天気で気が滅入ります。

pcAnyywhereのソースコードがBitTorrentに放流されてダウンロードできるようになったようです。
roaring_dog:ハッカー集団AnonymousがSymantecを脅迫――ソースコード公開めぐり - ITmedia エンタープライズ

ntsuji:放流開始? RT @AnonymousIRC: Symantec source code http://thepiratebay.se/torrent/7014253 #Anonymous #AntiSec #OhIthinkSymantecGotButtraepd http://pastebin.com/GJEKf1T9


面白い共通見解に発展するかと思いきや位相がずれたまま歩み寄りを見せることなく終わってしまいました。残念ですね。まとめもなかのきえた氏によって削除された模様。
ockeghem:まとめありがとうございます / “なかのきえた氏と徳丸氏のSSLとかの話。 - Togetter” http://htn.to/KXvuBY

typex20:@d6rkaiz ありがとうございます。普段はお断りしないのですが、今回については掲載する価値はないと判断いたしました。私は様々な立場の観点からスマートフォンの端末、アプリのセキュリティーについて考えて行きたいと思います。(^_^)

ockeghem:見物の方へ。徳丸の主張:SSL使用時にはサーバー証明書のエラーチェックだけすればよい。なかのきえた氏の主張:SSL使用時にはサーバー証明書のエラーに加えてルート証明書のフィンガープリントも必ずチェックしなければ脆弱性

ockeghem:見物の方へ:徳丸の意図は、汎用的な脆弱性要件をはっきりさせたいということです。IPAに届けたら脆弱性と判定されるような基準が、スマートフォンアプリケーション分野では確立していません。それを明確にしていきたいのです。アプリケーション要件として基準をさらに厳しくすることは自由です

ockeghem:競技のルールを決めるようなものですよね。大丈夫だと思っていたアプリが、思いもかけない理由で「脆弱だ」と言われたら誰だっていやでしょう。共通認識としての脆弱性の基準が欲しい。ただし、それが時代によって変化することはあり得ます。要件による変動もありますがそれは個別の話

bulkneets:「通信経路が信用出来ないケース」の話をしてるのだから「OSの提供する証明書ストアが信用出来ないケース」という仮定もありだと思う(というのなら分かるけど、端末所有者が自己責任で通信キャプチャできるのも防ぐべきというのは全然賛同できないし脆弱性とか言われても困る)


特許庁もやられてしまったようです。確かに諸外国には垂涎の特許情報があるはずなので狙われるのは仕方ないと思いますので、がんばって守ってほしいものです。
Lawcojp:特許庁、トロイの木馬型感染で情報流出の疑い。未公表の出願情報を抜き取られて他国などで先願されてしまうと、それによる被害が甚大になる恐れがある。本省情報セキュリティ政策室の指導を受けて、再発防止策を徹底してほしい。

kitagawa_takuji:【セキュリティ ニュース】特許庁の端末3台がウイルス感染 - 特許未公開情報の流出は否定:Security NEXT

kitagawa_takuji:特許庁におけるウイルス感染事案について


どうしてアブダビで開催されたのかよくわかりませんがアブダビもIT大国を目指すんですかねえ。
F0ro:Black Hat アブダビ2011 の大居さんの資料がSECDOCSにupされてますね /Yet Another Android Rootkit - /Protecting/System/Is/Not/Enough/

F0ro:こっちも同じくアブダビの資料。ステガノ解析の資料は読むのもしんどい。誰か分かりやすく解説してw /Introduction to More Advanced Steganography


その他に気になったことはこのあたり。
yomoyomo:"ですから主要な攻撃者には3種類、金のためにやっている犯罪者や、Anonymousのような抗議活動をするハクティビストがいて、そして最後のグループとして国家があります。政府が攻撃をしているのです。" http://bit.ly/y7bd1J


backtracklinux:Maltego 3.1 released. CE edition to follow soon. Check it out http://bit.ly/xv6di1


Gizmodo:New "Man in the Browser" Attack Bypasses Banks' Two-Factor Authentication Systems http://gizmodo.com/5882888/


kjur:VeriSignが一部のネットワーク製品のLAN上のドメインcontroller.mobile.lanに証明書を発行したそうだ。ドイツのSecurepoint社の製品の管理者画面のためのようだ。鍵も証明書もコピーされまくっちゃってるって事だよねw どうやって審査通ったんだろね?


ScanNetSecurity:「Chrome」または「Firefox」を狙う、クリックジャックに似た攻撃を確認(トレンドマイクロ) http://dlvr.it/19c3Dh


roaring_dog:iMessageが他人のiPhoneに出るバグ再現&アップルの見解(動画) @gizmodojapan #gizjpさんから


ockeghem:PHP5.4のhtmlspecialcharsの非互換問題はとくに回避策は出してこないのかな。mb_internal_encodingがEUC-JPとかで、htmlspecialcharsの第3引数指定していないアプリなんて山ほどあると思うけど、どうするのかな。ラッパーかな?


sophosjpmktg:フェイスブックで偽CNNページのリンクをばらまく詐欺が発生|セキュリティ・マネジメント|トピックス|Computerworld @computerworldjpさんから

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。