printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
[ThinkIT] 第1回:国産セキュアOSの歩み (1/4)
「TOMOYO Linux」は、NTTデータが開発し、オープンソースとして公開しているセキュリティを強化したLinuxです。たまにディストリビューションだと思われている方がありますが、その実体はLinuxカーネルにセキュリティを強化するための機能を加えるパッチおよびツール群です。最新のカーネルである2.6だけでなく、組み込み系を中心に現在も利用されている2.4にも対応しています。 プロジェクトでは利用者が簡単に導入できるようにするため、Red HatやDebian、SUSEなど、主要なディストリビューション用にコンパイル済みのパッケージを作成し、以下のURLにて公開しています。対応済みのディストリビューションであればコンパイル作業なしで、10分程度で導入できます。 「セキュリティを強化したLinux」は、簡単にいうとあらかじめ定義した以外の機能の実行を許さないようにしたLinuxということ
偽情報配信で交通混乱も? カーナビのハッキング手法公開
衛星ナビゲーションシステムをハッキングして偽の情報を配信するデモが、カナダで開かれたセキュリティカンファレンスで披露された。 ロシアのセキュリティ企業Kaspersky Labによると、デモを実施したのは欧州の2人のセキュリティ研究者。RDS-TMC標準を使って衛星ナビゲーションシステムに偽のメッセージを挿入できることを実証した。 RDS-TMCは欧州でカーナビ向けの速報配信にデフォルトで利用され、北米でも普及しつつある。しかしこれらメッセージの配信に使われているチャンネルが保護されておらず、対応システムで偽の情報を受信してしまう可能性があるという。 デモでは半径1マイル以内のカーナビに向け、偽の悪天候情報や交通渋滞、テロ警報などを配信。このやり方を使えば、悪質な意図を持って道路を混乱状態に陥れることができてしまうと指摘している。 この問題は自由に入手できる装置を使って悪用することが可能だ
高木浩光@自宅の日記 - 銀行のフィッシング解説がなかなか正しくならない
■ 銀行のフィッシング解説がなかなか正しくならない みずほ銀行のトップページを訪れたところ、2月26日付けで「セキュリティガイド(4コマ漫画)を掲載いたしました」というお知らせが出ていた。見に行ってみると、「インターネットバンキング編」という解説があり、「 「フィッシング詐欺」に遭わないためには?」というページがあった。この出来が非常に悪く問題がある。 まず酷いのが、「電子メールが本物かどうかは、送信元アドレスで確認できます。」という完全に誤った解説だ。 「……@mizuhobank.co.jp」というメールアドレスを From: に書いてメールを送ることは誰にでも可能なわけだが、そんなことさえ知らないド素人に、こんな大事な解説の原稿を書かせる神経が理解できない。セキュリティ専門のコンサルに一読してもらうだけで防げるレベルのミスなのに、なぜそれをしないのか。 URLの確認方法として、「UR
カーネギーメロン大学セキュリティ・ワークショップ
カーネギーメロン大学セキュリティ・ワークショップ 「情報セキュリティのためのリバースエンジニアリング」 ハードウェアやソフトウェア内部の仕組みなどを解析するリバースエンジニアリング技術は、情報セキュリティ分野において脆弱性解析、マルウェアの解析、プログラムの不適切なふるまいの検証などにおいて重要な役割を果たしています。一方で同じ技術が著作権保護の回避や競合製品の解析などの目的に使用され問題を引き起こすこともあります。 本ワークショップではこれまで語られることの少なかった重要な技術「リバースエンジニアリング」に焦点をあて、その技術と応用、法的社会的な課題等様々な観点から分析し、今後の技術向上、普及、活用、利用のあり方についてオープンな議論を行いました。
海の向こうの“セキュリティ” - 第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
今回も前回に引き続き、フィッシングの話題です。 ■アンチフィッシングツールの検知能力、米大学が比較実験 最近ではWebブラウザに「アンチフィッシング」機能を追加するアドオンや、ブラウザ自体にその機能があるものが増えてきています。読者の皆さんの中にも既にご利用になられている方もいるかと思いますが、では、数多く存在するアンチフィッシング機能を提供するツール (以降「アンチフィッシングツール」と表記) の中でどれが最も「性能」が良いのでしょうか? 今回は、カーネギーメロン大学から2006年11月に公開された、アンチフィッシングツールの性能比較を行なった実験に関する論文「Phinding Phish: An Evaluation of Anti-Phishing Toolbars」を紹介したいと思います。この論文ではアンチフィッシングツールのうち、広く使われている以下の10種類について、フィッシン
Vistaの音声機能で悪質コマンド実行の恐れ
Vistaの音声機能を悪用すると、MP3などの音声ファイルをWebページで再生し、コマンドを実行させることができてしまうとの指摘。 Windows Vistaの音声コマンド機能を悪用し、Webページに仕掛けた音声ファイルを使ってコマンドを実行できてしまう問題がセキュリティメーリングリストで報告された。 セキュリティソフトメーカーのMcAfeeが1月31日のブログに掲載した解説によると、コマンドを付けて作成したMP3などの音声ファイルをWebページでホスティングしておくと、そのページを開いたユーザーのVista上で音声ファイルが再生され、コマンドが実行される可能性がある。 例えば「Start, execute, CMD, shutdown-r」というコマンド付きのMP3ファイルを作成し、このMP3を再生するWebページをユーザーが訪れると、コンピュータが再起動させられてしまうという。 メーリ
Shareネットワーク可視化システム「Sharebot」の仕組みと運用方針
昨日、「P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発」という記事を公開させて頂きましたが、特に、Shareネットワーク可視化システムについて、知人から沢山質問を頂きました。今回は、このShareネットワーク可視化システム(以降、"Sharebot")とその運用について、もう少しお話したいと思います。 Sharebotのキー収集の仕組み Sharebotは、基本的にShareネットワークの「クローラー」です。Shareネットワーク内に存在するノードの一つとして振る舞い、相手を次々と変えながら接続し、キーを収集していきます。相手のノードとは、暗号化されたShareプロトコルに則って一対一で通信します。動きとしては、SSLに対応したサーチエンジンのクローラーに近いものがあります。Shareの暗号は、全て既知のアルゴリズムが使われています。 まずは、Shareネットワークに
【事例研究】生体認証キャッシュカードの危険性(1)安全性やコストを検討したか
ビジネス上のリスクが顕在化したとき、対処する方法は色々ある。ビジネスの枠組みを変えてリスクがリスクではないようにしてしまう、ビジネスのやり方は変えず新しい技術や手法を導入し防御する、などである。 このうち、新しい技術による防御策は、「最新技術を採用」と対外的に発表できるし、実際にメディアの受けがよいため、リスクが発生している緊急時にすんなりと採用されやすい。ただし、技術を使う時にはトレードオフを常に考慮しなければならない。技術にかかるコストや副作用を見極め、技術を導入する場合としない場合の損得をよく考えるのである。技術の導入を見送り、ビジネスそのものを見直したほうが得策となることも多い。 リスクマネジメントにおける最新技術導入の是非を巡るテーマとして、銀行が発行している生体認証機能付きキャッシュカードを取り上げる。筆者は、生体認証付きキャッシュカードは導入すべきではなかったという意見を持っ
鵜飼裕司のSecurity from USA : P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
データベース・セキュリティにおける「監査」の重要性
前回,データベース管理システムのアカウント管理の重要性について解説した(関連記事)。しかしセキュリティを確保するためには,それだけでは十分とは言えない。Webシステムのような階層構造になると,データベース・サーバーへのアクセス元はWebサーバー(あるいはアプリケーション・サーバー)になり,操作の内容を把握しなければ不正を見分けられないためである。 そこで重要になるのが,不正な操作を見付ける「監査」である。ただそのためには,例えばテーブルへのアクセス履歴やSQL分の実行履歴といった監査ログの記録が欠かせない。そこで今回は,OracleとSQL Serverを例に,監査ログ記録のポイントを解説する。 Oracleの監査機能 Oracleの場合,監査を実行するにはAudit Trail機能を使用する。ログイン,データベースに対する操作など,Oracleに関わるすべての行動を監査対象とすることがで
海の向こうの“セキュリティ”
新年あけましておめでとうございます。今年も本連載のご愛顧のほど、よろしくお願い致します。ところで皆さんはどのようなお正月を過ごされましたか? 今年はQuickTimeの未修整の脆弱性を使った攻撃手法(コンセプト)が公開されるなど、うれしくない話題で落ち着かなかった方もいらっしゃるかと思いますが、私も原稿執筆に「追われる」という意味では同じく落ち着かない日々でした(苦笑)。さて、今年最初の話題は、2006年を総括するところことから始めたいと思います。 ■2006年のセキュリティを語るキーワードは? 日本における2006年のセキュリティを語るキーワードとしては、「Winny」およびそれに伴う「情報漏洩」が挙げられると思われますが、米国では何だったのでしょうか? 2006年12月7日付で公開された「Computerworld」の記事で、2006年のセキュリティ関連の話題トップ5が紹介されています
JavaランタイムにGIFファイルにより攻略可能な脆弱性 | スラド
Secunia アドバイザリによると、SUN Java ランタイムにリモートからシステムにアクセスできる脆弱性(SUN による発表)が報告されています。幅0ピクセルの攻略GIFファイルでヒープオーバフローを起こし、任意のコードが実行できるそうな。とはいえZERO DAY INITIATIVEによると、鴨となるユーザーが、攻略ファイルをしかけた悪意あるサイトを訪問する必要があるようです。脆弱性の緊急度は 5 段階の 4 (Highly critical)で、すでに Java 1.3/1.4/5.0 で対策バージョン(1.3.1_19/1.4.2_13/5.0 update 10)が提供されています。
MySpaceのフィッシングで収集されたパスワード,最多は「password1」
セキュリティの専門家であるBruce Schneier氏は12月15日,ソーシャル・ネットワーキング・サービス「MySpace」をかたるフィッシング詐欺サイトで収集されたパスワードの傾向を公表した。それによると,「password1」というパスワードが最も多かったという。 今回のデータは,Schneier氏が執筆および発行している月刊メール・マガジン「Crypto-Gram Newsletter」12月15日号の記事中で紹介されたもの。同メール・マガジンの記事の一部は,ITproの「CRYPTO-GRAM日本語版」において日本語化して提供している。 Schneier氏は,別のセキュリティ専門家から研究目的で提供されたデータを使って,パスワードの傾向を調べた。提供されたデータは,MySpaceをかたるフィッシング詐欺の調査の際に“押収”されたユーザー名およびパスワード3万4000件。フィッシ
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.asahi.com/national/update/0717/OSK200707170148.html
間抜けなパスワード管理 | スラド
ZAKZAK - 人気女優ら丸裸に…AV業界、Winnyで大放出!
うぐぅウィルス
カーネギーメロン大学日本校CISOセミナー