ゼロデイ脆弱性の価格表、秘密の攻撃コードはいくらか? - うさぎ文学日記
フランスのexploit販売会社のVupenによると、ターゲットの制御を得ることができるようなゼロデイ攻撃の価格は下記のようになっているとのこと。 Adobe Reader $5,000-$30,000 Mac OSX $20,000-$50,000 Android $30,000-$60,000 Flash,Java Plugin $40,000-$100,000 MS Word $50,000-$100,000 Windows $60,000-$120,000 Firefox, Safari $60,000-$150,000 Chrome, IE $80,000-$200,000 iOS $100,000-$250,000 iOSが一番高いんですね。それだけ脆弱性が少ないのか、需要がないのか。 Shopping For Zero-Days: A Price List For Hacke
AVTOKYO2011終了、Photo Report(開場前のみ) - うさぎ文学日記
昨日2011年11月12日に国際セキュリティカンファレンス -AVTOKYO2011がクラブアクシス渋谷で開催されました。 今回も司会で登壇したので、カンファレンス部分はあまり見ることができませんでしたが、会場は盛り上がっていたようです。 恒例のフォトレポートは明日辺りにScanNetSecurityの方で公開する予定ですが、手持ちのカメラで撮った写真を少々。といっても、イベント中は撮影するヒマがなかったので、開場前のしかありませんが。 当日は9時入りで、会場の設営準備。 メインのスクリーン以外にもモニターが複数あるので、離れた席でも少しは見やすかったのではないでしょうか? 今年はスタンド型の垂れ幕も作成。イベントっぽくなったなァ。 海外からも多数のお客さんにご来場いただきました。遠方からありがとうございます。 写真の彼女が着ているのは今年の新作Tシャツ。白ベースにしました。ほぼ完売御礼(
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。 きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。 このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。 IGHASHGPUのダウンロードはこの辺りから Ivan Golubev's blog - Cryptography, code optimizations, GPUs & CPUs and other http://www.g
セキュリティ&プログラミングキャンプ2010を終えて - うさぎ文学日記
参加者、チューター、講師、ラック社、運営関係者のみなさまお疲れさまでした。今年も無事にキャンプを終えましたね。 今年はセキュリティコースWeb組と、CTF組で参戦しました。CTFの準備&実況中継があんなに体力をそぎ落とすもんだとは思いも寄りませんでした。キャンプ終了後は2日ほどぐったり。 講師レポートや参加者レポートは、他の人のものが豊富にあるので、そちらを参考にして下さい。 タグ「spcamp」を含む新着エントリー - はてなブックマーク 毎度講師&取材で参加していましたが、今年は講師ONLYでまったり観戦と思っていたら、会場に着いてから「取材お願いします。」とのご依頼。当然まともなカメラなんぞ持ってきていない。写真はさておき取材をメインにしました。 開催の様子や講師や参加者への取材などの記事を、10月8日発売のハッカージャパンに掲載予定です。 キャンプ名物の寄せ書きに「上野宣さんついて
『ブラッディ・マンデイ-シーズン2-』にエキストラで出演 - うさぎ文学日記
1月23日(土)からTBSで始まるドラマ『ブラッディ・マンデイ-シーズン2-』にエキストラで出てきました。取材とかニュースの解説ではテレビに出たことありましたが、ドラマはもちろん初めてです。 第3話(2月6日予定)で登場すると思うので、探してみて下さい。ウォーリーをさがせより難しいと思いますけど。w 撮影は渋谷で行われ、集合は朝6時で8時半には完全撤収でした。 エキストラと言っても爆発シーンで逃げ惑うとかそんな派手なのではなく、普通に映りこんでいる程度です。「ヒマをつぶしているようにして下さい」とか「こっから、ここまで歩いて下さい」とかその程度の指示ですが、普通の動きってどんなんだっけ…と顔を少し動かすだけでもぎこちなくなりました。私、役者は向いてないかも。w 現場に役者の方が一人いましたが、若い男の子でキレイな顔した子だけど誰だかわかりませんでした…。高木遥の友達設定っぽい。 どうか1秒
セキュリティ&プログラミングキャンプ キャラバン 2009 in 東京 - うさぎ文学日記
2009年12月23日(水)にセキュリティ&プログラミングキャンプ キャラバン 2009 in 東京が新宿の日本電子専門学校7号館で開催されました。マルチトラックという初の試みも盛況に終わったように感じています。 私は『ネットワーク攻撃とユーザーの選択肢』というタイトルで、パケットキャプチャによる盗聴、ARPスプーフィング、DNSキャッシュポイズニングなどによる盗聴・改ざん・なりすましといったネットワーク上の脅威を説明し、現代の暗号技術を結集したとも言えるSSLで何をどこまで守れるのかといったことを話してきました。 16時頃から始まったフリーディスカッションでは壇上に立ち、ご来場頂いた方々からの質問に答えていきました。こだわりの逸品は?と聞かれて、「エンジニアは体力だ」と回答する右斜め上なことばっかり言っていた気がします。 ともかく自分も楽しんだキャンプキャラバンでした。ご来場頂いた方々の
AVTokyo2009無事に終了 - うさぎ文学日記
参加して頂いた皆さんありがとうございました。 スピーカーの皆さんとても楽しませて頂きました。 スタッフの皆さんお疲れ様でした! 来年も開催なるか!?
MD5を解析するWebのサービス - うさぎ文学日記
MD5が脆弱と言われていて、もう使っちゃダメと烙印を押されていても、さすがにハッシュ値から逆算して解析するアルゴリズムが存在するわけもなく、解析にはレインボーテーブルを使っています。レインボーテーブルというのは、平文とそのハッシュ値をDBのテーブルに格納しておいて、ハッシュ値で検索するというテクニックです。(この場合はレインボーテーブルじゃなくて、ただの平文とハッシュ値のテーブルかも。 参照レインボーテーブル - Wikipedia) たとえば、「password」という平文をMD5でハッシュ化すると「5f4dcc3b5aa765d61d8327deb882cf99」となります。こういった対応を表にたくさん入れておくことで、MD5のハッシュ値で検索すると元の平文が見つかるというわけです。 MD5のレインボーテーブルがWeb上から使えるサイトは結構あるようで、いくつかをピックアップ。どのサイ
セキュリティ&プログラミングキャンプ2009 を無事に終えました - うさぎ文学日記
2009年8月12日〜16日まで4泊5日で行われていた暑い夏が終了しました。参加者の方、チューターの方、事務局の方、講師の方、みなさまお疲れ様でした。すでにブログで紹介やレポートなどがたくさんあがっていますね。私はハッカージャパンに取材記事を書くので、10月発売の号に掲載される予定です。 私もちょっとだけフォトレポートを。 今年も豪華な講師陣。私はセキュリティ側の講師ですが、プログラミング側の授業もじっくり受けてみたかったですね。 今年はキャンプ参加者にはTシャツが配られました。山キャンプ版がセキュリティコース、海キャンプ版がプログラミングコースで、白色が参加者、黄色がチューター、黒色が講師でした。 アンチウイルスソフトを使わずにウイルス感染を発見する方法は、村上先生曰く”勘”だそうです。PDFファイルを開くときの0.5秒遅れる挙動でわかることもあるそうですよ。 日頃の訓練のたまものでしょ
明日からセキュリティ&プログラミングキャンプが始まります - うさぎ文学日記
そのつもりはなかったのだけど、今年も取材(2社分)で参戦です。 講師としての受け持ちは去年から倍に増えて、8時間分。 今年の学生さんたちに会えるのが楽しみです! 明日からの4泊5日をよろしくお願いします。
平成20年分の確定申告完了! - うさぎ文学日記
今年も確定申告の時期ですね。 還付申告の方は1月でも受け付けてもらえるのでお早い目に。 還付金が早く帰ってきますよ! 早くもらえるって、嬉しいっ!! 私は自社を含め、複数箇所から所得があります。 そのため、自社以外は毎月の源泉徴収税額が乙類で、 金額の3割近くが税金でもっていかれます。 高いっ! (参考)平成20年4月以降分 源泉徴収税額表|パンフレット・手引き|国税庁 もちろん確定申告をすることで、まっとうな所得税の金額に調整されます。 じゃないと、相当高い税金になってしまいます。 還付申告をすることで、甲類並に調整されるようです。 確定申告をしなくてもよい人でも、源泉徴収された所得税額や予定納税をした所得税額が年間の所得金額について計算した所得税額よりも多いときは、確定申告をすることによって、納め過ぎの所得税が還付されます。この申告を還付申告といいます。還付申告ができるのは、その年の翌
キャンプに集まれ! そして散開! − @IT - うさぎ文学日記
@ITコラム第54回目が公開されました。今回は講師として参加したセキュリティ&プログラミングキャンプ2008がテーマです。主にセキュリティコースを取り上げています。 キャンプ卒業生にセキュリティ業界にも来て欲しいのですが、ぜひIT業界以外に旅立ち、そこの業界のセキュリティを考えて貰えると嬉しいなぁという話。 そのためにはキャンプ参加者の方はセキュリティのコミュニティに参加して、セキュリティ業界ど真ん中の人たちとの交流も続けて情報交換や学習を続けていただけると幸いです。 はせがわようすけ氏から「ハッカージャパンに続いて、また俺の写真がないやんけ、どないなっとんねんな。」とお叱りを受けそうです。w 次回のコラムに予定しているBlack Hat Japan 2008とAVTokyo2008の記事には氏の写真を載せる予告。 キャンプに集まれ! そして散開! − @IT
AVTokyo2008無事に終了しました。 - うさぎ文学日記
「英語が話せなくても、技術とソースコードで俺たちは通じるぜ!」の勢いで1年前に思いついたイベントが無事に終了しました。 大勢の参加者に来ていただき、質の高いスピーカー陣にも恵まれ、スタッフの協力も得られ、BlackHatのために来日していた海外の方々も多く訪れ、とてもいいイベントになったと個人的には思っています。 今回のイベントでは同時通訳こそはありませんが、日本語と英語の両方のプレゼン資料を用意して、2台のプロジェクターを使って同期させて進めていくっていうのをやりました。海外の方の満足度が気になりますが、試行錯誤の第一歩としては得られるものはありました。 反省点も数多くありますが、来年はさらにいいものにしていきたいと思います。やるぜ!AVTokyo2009! AVTokyo2008のフライヤー Tシャツも作りました パネルディスカッションは同年代以上にはウケたかな? 大盛況のAfterP
AVTokyo 2008、ブリーフィング詳細を発表 - うさぎ文学日記
AVTokyoは、東京 高田馬場で10月11日(土)まで開催される国際セキュリティカンファレンス「AVTokyo 2008」のブリーフィング詳細を発表した。これまではBlackHat Japanの参加者のみに限定されていたAV200Xイベントであるが、その枠を外し、誰でも参加できるカンファレンスとして開催する。当日はBlackHatJapanのスピーカーも多数来場する予定。 AVTokyo 2008は、創刊10周年を迎えるHacker Japan誌(白夜書房)の記念イベントも兼ねている。 今回のカンファレンスでは「APIフックとsysenterフックを利用した新しい解析テクニックと、キャッシュカードアクセスのキャプチャリング」、「ブラウザに依存したWebアプリケーションセキュリティ」、「マルウェア体験ラボで、マルウェア事故対応の恐怖と不確実性を吹き飛ばせ!」などのセッションのほか、ショート
資料公開「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」 - うさぎ文学日記
第01回まっちゃ445勉強会で話した「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」の資料を公開しました。 「安全な車」ならみんな何となくわかるけど、「安全なWeb」ってみんなよくわからないよね。 という話から始めて、最近のWebをターゲットとした自動ツールによる無差別攻撃の現状や、被害に遭うWebサイトのほとんどはバグを抱えているからだということ、そして守るためには要件と設計が必要な理由などを説明しています。 ダウンロードはこちら(PDFファイル:868 KB) 第02回には竹迫さん、徳丸さんが登場!引き続き第2回、第3回も楽しみにしています。
emobile D01NE買った。 pfwd + リモートデスクトップ も快適 - うさぎ文学日記
ウィルコムからemobile(データ通信カード D01NE)に乗り換えました。神楽坂での計測結果は 上り362kbps、下り1.94Mbpsとなかなか調子がいいみたいです。 emobile(Windows) → ssh(Linux) → リモートデスクトップ(Windows) PuTTY のポートフォワーディング専用機の pfwd.exe を使って上記のように接続して、LAN内へのリモートデスクトップも結構快適に接続できたので満足です。 ルーターに新たにL2TP設定するのが面倒だったので、sshで併用ってことで。 ちなみに pfwd.iniの設定は以下のような感じで、リモートデスクトップで”localhost:13389”とやってつないでいます。 Compression=1 01=L13389:192.168.1.1:3389 効果があるのかどうかわからないけど、圧縮オプションも付けてみた
第1回XSS祭り(サニタイズ済み) - うさぎ文学日記
勢い余って企画した第1回XSS祭りを昨日都内某所にて開催しました。 全国から集まっていただいた11名のXSSタンは怪気炎をあげていました。私自身非常に勉強になりました。プレゼンを何本かやったり、XSSネタで盛り上がったり、DefconのCTF予選参加中のチームとSkype中継したりと、14時〜22時ごろまで盛りだくさんな内容でした。メインテーマのXSS本「XSS Attacks: Cross Site Scripting Exploits and Defense」は軽く触れただけでおしまいでしたけど。w まとめ。 手法はこの何年か進化していない。 国内の方がXSS関連は進んでいるかも(XSS本と比べて) IE、OEの問題は大きい。 参加された皆さん、お忙しいところお越し頂きありがとうございました。このために新幹線に乗って駆けつけ、XSSの威力を見せつけ、ウーロン茶飲んですぐに帰った方もお疲
「最終暗号」 ゴルゴ13 (129) (SPコミックス) - うさぎ文学日記
ゴルゴメソッド - 「Gは無理です。」でお馴染みの(?)ゴルゴ13に、ハッカー(たまには、クラッカー)がたまに登場するようです。私はゴルゴ13は、数話しか読んだことがなく、全1??巻でどれだけ登場するかはよく知りません。その1つが、129巻の「最終暗号」という話です。(他に見つけたのは、ゴルゴ13 143 百人の毛沢東 (SPコミックス)の中の「シリコンアイランド」という話) ゴルゴ13 (129) (SPコミックス) 作者: さいとうたかを出版社/メーカー: リイド社発売日: 2003/07/05メディア: コミック クリック: 1回この商品を含むブログ (7件) を見る NSA(国家安全保障局)が、世界中を盗聴していて、そこで使われている暗号も解読できているので、裏から覇権を握っている。そんな中、佐久シゲルという日本人が開発した解読不能な、「最終暗号」が登場し、それをNSAが阻止しよう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ&プログラミングキャンプ2011に参加中 - うさぎ文学日記