セキュリティの専門家が語る「不思議の国、日本」
今年はケータイの脆弱性を突いた攻撃が急増 ITmedia 今年3月に開催されるカナダのCanSec 2009ではどのようなテーマが話題となりそうですか。 ルーユー そうですね、例えば、携帯電話がどんどん高性能化しコンピュータ化している中で、GoogleのAndroid関連など携帯電話のセキュリティに関する論文が数多く集まっており、それが話題の中心になるでしょう。 その中の1つに、iPhoneやAndroidケータイに対して電話をかけることができるエクスプロイトコード(ソフトウェアの脆弱性やセキュリティホールを利用した攻撃の可能性を再現するために作られる検査用コード。リスクや影響範囲などを実証するために公開されることもある)を作った開発者がおり、その人も登壇する予定です。携帯電話は比較的新しいツールのため、セキュリティレベルがPCほど高められておりません。 事実、携帯電話に企業の重要な経営情
ハッカー御用達か Twitterの功罪
時にはマスコミよりも早くニュースを伝えるTwitter。だが同時に、ハッカーたちにとっても魅力的なツールとなってきている。被害にあわないためにはどうすればいいのか。そしてTwitterの今後はどうなるのか。 アメリカで1月15日に発生したUS Airways旅客機の不時着事故。この第一報は、テレビなどのマスコミが伝えるよりも早く「Twitter」に投稿されていたという。旅客機が不時着したニューヨークのハドソン川でフェリーに乗っていた一般ユーザーが、iPhoneで撮影した写真を、Twitterアカウントを使って画像を投稿できる「TwitPic」に投稿したというのだ。 iPhoneとTwitterを組み合わせることで、一般ユーザーがマスコミに先行できるようになった。しかも、現場の声である。だが、便利なことだけではない。 Twitterを利用した詐欺事件 セキュリティ企業のSophosが、1月2
iPhoneのOpenSSHを安全に使う設定(jailbreak後) - iPhone.goodegg.jp
私の回りでもjailbreakしている人柱が何名かいるのですが、OpenSSHをデフォルトのまま使ってました…デフォルトだとインターネット上からいつものroot/alpineでログインできてしまうので安全に使う方法を紹介します。 脱獄については脱獄する危険性及び安全に使うためのヒントをご覧頂き、慎重にご検討ください。また脱獄及び記事内容の実施は、自己の責任において御願い致します。 1.試しにインターネット経由でログインしてみる。 1)iPhoneのIPアドレスを確認。 2)PC上から上記IPアドレスにアクセスしてみる。 あらら、繋がっちゃった。 あまりにも自由にアクセスできる状態なので、 やっぱなんかしら対応しなくちゃですね。 2.とりあえずの設定 CydiaからBossPrefsをインストールする。 SSHを使わない時はBossPrefsでSSHをOFFにしておく SSHを使う時は[設
簡単にVPNを構築できるツール、tinc | OSDN Magazine
tinc を使えば、仮想プライベートネットワーク(Virtual Private Network:VPN)を構築できる。VPNでは、2台のコンピュータがインターネットのような安全でないネットワークを介して通信するが、仮想ネットワーク上のホスト間のトラフィックはすべて暗号化される。 tincは、ノートPCを自宅のWi-Fi(無線LAN)ルータに接続する場合にも使える。すでにWPA2を利用して、正当なホストしか無線LANルータに接続できないようにしているかもしれない。だが、無線LANに接続するノートPCに固定アドレスを割り当てることはできないだろう。そのため、ノートPC自体のSSHデーモンに接続したり、ノートPC上のNFS共有フォルダにアクセスしたりするには、無線LANルータがそのノートPCに割り当てたIPアドレスを割り出さなければならない。だが、ノートPCと自宅のサーバでtincを起動してお
SSHをSOCKS Proxyにする
cles::blog 平常心是道 blogs: cles::blog NP_cles() « BISTRO Vent delice :: グリル満天星 » 2008/12/13 SSHをSOCKS Proxyにする ssh networking PuTTY 783 4へぇ 開発環境への接続などでSSHトンネルを使わなければいけない機会というのはよくあるのですが、使うポートやサーバーが多くなってくるとPutty(SSH)の設定が-Lだらけになってしまいます。その管理が面倒なので困っていたのですが、SSHをSOCKS Proxyとして扱うことによりトンネルの設定を大幅に簡素化できる方法があることが分かりました。 2004-12-15 - てっく煮ブログ ssh のポートフォワーディングにはリモート・ローカル・ダイナミックの3種類があって、前の2つはよく知られているけど、ダイナミックはいま
高木浩光@自宅の日記 - Nyzillaをリリースすべきか迷う
■ Nyzillaをリリースすべきか迷う 29日補足: 以下について「u-aizu.ac.jpは国立大学ではない」といった指摘を受けた。「ある国立大学」とは図1のことではないのだが、最初の段落が長過ぎて読み難かったようなので、改段落を2つ挿入して段落を3つに分割する修正を施した。 大学や会社で稼働するWinny ある国立大学の事務系部局のものと思われるドメイン名のIPアドレスが、2006年からずっとWinnyネットワーク上に観測されている。これは何なのかと以前から気になっていた。[改段落挿入29日] 最近はどうなっているのかと、2009年1月20日〜24日の期間に「WinnyWalker」で観測されたWinnyノードの全部について、IPアドレスをDNSで逆引きしてドメイン名を集計してみたところ、他にも大学のドメイン名上で稼働しているWinnyノードがいくつか見つかった。[改段落挿入29日]
ホワイトハウスのIT環境を採点する | WIRED VISION
前の記事 Mac誕生から25年:3人の識者が賛同した「過去最高のMac」とは? ホワイトハウスのIT環境を採点する 2009年1月26日 Brian X. Chen Photo: CrackBerry.com/サイト・トップページの画像はwhitehouse.govのもの オバマ新大統領は今週、ホワイトハウスに自分の所有する『BlackBerry』を持ち込んだことで、個人的な勝利を達成した。上の写真は、CrackBerry.comが掲載したものだ。 オバマ大統領はこのスマートフォンを手放さなくてはならないだろうと、多くの人々が予想していた。通信内容を傍受されたり改変されたり、あるいは居場所をつきとめられる危険性があるからだ。NSA認定の暗号化技術を使い、高度に機密性の高い通信機器とされるGeneral Dynamics社製の『Sectera Edge』に変更させられるという予想もあった。
『Google Docs』の設定にご用心:知らないうちに書き換えも? | WIRED VISION
前の記事 世界に広がるハローキティ:『iPhone』壁紙や台湾の病院にも 大気汚染の改善で5カ月長生き:米国51都市で実証 次の記事 『Google Docs』の設定にご用心:知らないうちに書き換えも? 2009年1月23日 Michael Calore 『Google Docs』[Google ドキュメント]を使用してスプレッドシートや文書やプレゼンテーションしている人は、共有しているドキュメントの共有設定を、今すぐ二重にチェックしたほうがよい。 Wired.comでは、このウェブ・アプリケーションのインターフェースに設計上の欠陥があり、誤ってインターネット上の誰もが編集できるようにドキュメントを公開してしまう可能性があることを発見したからだ。 おかしなことだが、われわれがこの欠陥を見つけたのは手痛い経験からだった。 Wired.comでは、IT企業の日々のレイオフ状況について、無料のG
脱獄iPhoneに侵入された事例と関連情報。 - iPhone.goodegg.jp
iPhoneに侵入された??? - Today’s E90 常に危険にさらされているみたい - Today’s E90 においてJailBreakenなiPhoneに侵入された事例が紹介されています。 無駄に不安を煽るつもりはないのですが… 「脱獄の難易度」と「脱獄後、(なるべく)安全に使う難易度」には大きな差があります。 良い機会だと思いますので情報をまとめてみました。再掲なものも御座いますが参考まで。 注意事項 この記事には脱獄を推奨する意図も、脱獄を否定する意図もありません。 一番安全なのはiPhoneを買わない、ネット接続しない、情報は全て信頼に足りる金庫に入れておくことかもしれませんが、今回はそう言うのはなしで。 iPhoneに限らず利便性と安全性のトレードオフは、全員に当てはまる正解はないはずです。ですので、以下の情報はヒントまたは一例として捉えて、情報収集、検討を行
TrueCryptで、Dropboxをもっと“セキュア”に使う - ITmedia Biz.ID
第21回 TrueCryptで、Dropboxをもっと“セキュア”に使う:“PCで仕事”を速くする Dropboxは便利なオンラインストレージサービスだが、ファイルをオンラインにも置くことになるので、どうしてもセキュリティが気になる。そこで、暗号化ドライブ作成ソフトTrueCryptと組み合わせてセキュアに使ってみよう。 Dropboxといえば、(1)差分だけをほぼリアルタイムに高速バックアップ (2)複数のPC(MacもWindowsもLinuxも)でファイルを自動同期 (3)履歴自動保存で上書きしたファイルも復活可能 といった特徴を持つオンラインストレージサービス(こちらの記事参照)。年額99.99ドルで50Gバイト、2Gバイトなら無料で利用が可能だ。 しかしデータをオンラインにも置くことになるため、利用に当たってはそのセキュリティが気になる人もいるだろう。IDとログインパスワードだけ
Today's E90 iPhoneに侵入された???
-----追記ここから----- 【2010/05/23】 以下の記事をアップしました。 iPhoneの脱獄について 本当に脱獄が必要なのか良く考えた上で自己責任で実行してください。 -----追記ここまで----- 昨日Calendarのデータをいじろうと久しぶりにiPhoneにログインしたところ/var/rootの下に .a なるディレクトリーが作成されていました。 .で始まるファイル名なのでlsコマンドでも-aを付けないと表示されないのですが、普段から-laを付けているので見つけることが出来ました。 で、ディレクトリーの中を見るとpsydarwin.tgzと言うファイルとそれを展開した物が入っていました。 こんなディレクトリーを作った覚えも全くないのでおかしいと思い.bash_historyを見てみるとこんなコマンドが実行されていました。 uname -a cat /etc/host
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
新米Linux管理者がよくやる10の間違い
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人にとって、Linuxへの移行は喜びに等しい出来事だ。だが、悪夢を経験する人もいる。前者ならば素晴らしいが、もし後者なら最悪だ。しかし、悪夢は必ずしも起きるわけではない。特に、新米のLinux管理者が犯しやすい、よくある間違いをあらかじめ知っていれば、悪夢を避けられる可能性は高いだろう。この記事では、いくつかの典型的なLinuxでのミスを列挙する。 #1:さまざまな手段でアプリケーションをインストールする これは最初は悪いアイデアではないように思える。もしUbuntuを使っていれば、パッケージ管理システムが.debパッケージを使っていることを知っているだろう。しかし、ソースコードでしか見つけられないアプリケーションも多くある。大し
来年はSBと契約せずにiPhoneを使える?/SIMロック解除とは | 教えて君.net
大晦日以降は、Softbankと契約を行うことなくiPhoneを利用できるようになるかもしれない。Apple非公認のiPhoneハックチームiPhone Dev Teamが、大晦日にiPhone 3GのSIMロック解除ツールのリリースを行うと予告しているからだ。そもそも国内では「SIMロック」自体があまり有名ではないので、初心者向けの解説を行う。 iPhone3GのSIMロック解除ツールが大晦日にリリースされるという旨は、「Dev-Team Blog - 'Tis the Season to be Jolly! - yellowsn0w」で伝えられている。以下、「そもそもSIMロックって何だっけ」という段階から話を始める。 □1:携帯キャリアと電話ハードウェアの関係本来、3Gの携帯電話本体と、携帯キャリア(Docomo,Softbank……)は分離している。携帯電話本体は、キャリアと無関係
高木浩光@自宅の日記 - 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート
■ 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート 脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手に手を出した、掟破りの(自称「次世代」)行動ターゲティング広告「楽天ad4U」について、amachangの「IEのinnerHTMLやappendChildで要素が挿入された瞬間を取得する方法」を参考に、その隠しリンクを露出させるユーザスタイルシートを作ってみた。(Internet Explorer用。) #ad4u_list { display: expression(function() { if (!this.__mark) { this.__mark = true; // alert(this.innerHTML); var o = '<div style="overflow:scroll; border:dashed 4px red;">'; o = o + this
Linuxでファイヤーウォールの設定がGUIで可能な便利ツール「Firestarter」 - 元RX-7乗りの適当な日々
Linuxでファイヤーウォールの設定、というと"iptables"が有名ですかね。 インターネットに接続(直結)するマシンなら、サーバマシンはもちろんのこと、デスクトップマシンでも直結するなら、様々な脅威を防ぐためにもファイヤーウォールの設定は施すべきです。 で、私もよく「iptablesってどう記述するんですか?」と質問されるのですが、正直"iptables"コマンドで設定する方法は結構敷居が高いと思います。 そこで、GUIで簡単にファイヤーウォールの設定を可能にしてくれる「Firestarter」という便利なツールがあります。 というわけで、導入・設定方法を紹介します。 インストール 今回は、Ubuntu(Hardy: 8.04)に導入してみました。導入方法は超簡単。まず、、、 [システム] ⇒ [システム管理] ⇒ [Synaptic パッケージ・マネージャ] で、「Synaptic
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
WinnyとかShareでごにょごにょしてComicView.exeを実行したひとへ。
最近PCの調子はどうですか? すこぶる元気ですか? ごにょごにょして手に入れたzipの中に入っているComicView.exeを実行してしまった人用に対応策を書かせてもらいます。たぶん優秀で善良なはてなの方たちには全く関係がないと思うけど、はてなに書けばGoogle先生も良く拾ってくれますからね。 まず最初に断っておくと、私はWindowsVistaを所持していないのでWindowsXP用の対応策になります。WindowsVistaでは同じように機能するのかも分かりません。 まず、実行した人には分かると思いますが何も起こりませんよね。 これで何も害がない実行ファイルだと思ってしまったらダメです。この時点であなたはウイルスの作者に利用されてしまっています。 ComicView.exeを実行すると「C:\Documents and Settings\All Users\スタート メニュー\プロ
WordPressのセキュリティをアップする11のポイント
WordPressのセキュリティをアップする11のポイントをPro Blog Designのエントリーから紹介します。 11 Best Ways to Improve WordPress Security セキュアなデータベースを構築する。 他のアプリケーションと共有しないWordPressのためだけのデータベースを使用する。 データベースへのアクセスは限定する。 データベースのパスワードは強固なものにする。 「wp-config.php」の設定。 セキュリティキーを設定する。 セキュリティキーツール 1.1でランダムなキーが生成されます。 テーブル名の接頭辞($table_prefix)を「wp_」以外のものに変更する。 管理画面のユーザー名にデフォルトの「admin」を使用しない。 ユーザー名はphpMyAdminなどで変更できます。 管理画面のパスワードは複雑なものにする。 英数記号
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
無線LANは超危険!?(2) 無料AP検索ワザと非暗号化の恐怖 | 教えて君.net