7月17～19日のtwitterセキュリティクラスタ

昨日も今日も一昨日も暑くてたまらないですね。そんな連休中の流れを軽く。


まず、「岡崎市中央図書館に 1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について」　議論する研究会というのが開催されていたようです。参加者は主に法律家と高木先生など学者の先生方だったみたいです。長くなったので関連ツイートはtogetterの方に。



ncやncatなど、ネット接続コマンドラインツールの話。

tomoki0sanaki: debian/Linux の既定で nc(/bin/nc.traditional) に "-e" がある。cryptcat は既定ではインストールしされないらしい。(デスクトップ環境だけど、まぁ、他のエディションでも一緒かなぁ～と勝手に推測)

ntsuji: @tomoki0sanaki 他のディストリでも既定では入っているのは見たことないですね。ちなみに弊社の検査用VMには、sslcatとncatを追加で入れてあります。

tomoki0sanaki: @ntsuji nc は結構、既定で入っている場合が多くないですか?...とはいえ -e オプションは無効ですけど。....Debian/Linux は bash の仮想ネットワークデバイスファイルは無効化しているのに・・・orz

ntsuji: ncはほぼ入ってますね。最近のRedhatとかだと-eがないですね。(CentOSもそうだったような…)ssl接続のためにはcryptcatがメインですか？

ntsuji: @tomoki0sanaki えと、念の為ですが。nc -> ほとんど既定。cryptocat -> 既定はみかけたことがない。というレスでした。検査でクライアントとして使う場合はncatオススメです。 http://n.pentest.jp/?p=216

tomoki0sanaki: @ntsuji ncat 人気高いですね♪

家庭用ブロードバンドルータを攻撃する古くて新しい方法だそうですよ。

MasafumiNegishi: RT DNS Rebinding攻撃を受けやすいルータは何百万もある - http://j.mp/acEA8S

何気なく使ってますがCGIって他のプロセスから情報が見られるんですよね。今さらながらですが。

ockeghem: 高木さんの昔の日記で、「大岩くんは、CGIでBasic認証のパスワードを取得できないようになっている理由を説明した」というのがあるけど、PHPだと、$_SERVER['PHP_AUTH_PW'] でとれますね。これはまずいということかな?

rryu2010: @ockeghem CGIはリクエストボディ以外の情報を環境変数経由で渡しますが、環境変数は無条件で他のプロセスから見られる(ps -Eとか)ので機密情報は含められないというだけです。なので環境変数以外の方法での受け渡しであればOKです。

ockeghem: @rryu2010 なるほど。明快な理由ですね。高木さんはなぜ理由を書かなかったのかな?(本論と関係ないから?)

rryu2010: @ockeghem 元の話を覚えていないのであれですが、CGIを利用するプログラムを作る人が知らなくてもセキュリティ上の問題は起らないからというのもあるかもしれません。

思い込みと読解力不足によるデマってこうやって起こるんだろうなあとか。

kimukou_26: 書いている方が、セキュリティの会社の社長さんだからかなー「CUDAによるGPGPUとセキュリティについて」(http://bit.ly/bdFbNd )なんて話したらOSSなんか使えないし、(工数の安い)外国に開発発注するのもセキュリティリスクだと思うんだけどなー

hasegawayosuke: http://twitter.com/kimukou_26/statuses/18670510697 社長じゃない。現状、GPU向けコードは解析技術が確立していないという話なので海外に外注は関係ない。OSS云々は意味わからない。(とこっそりマジレス