I, newbie » PacSec 2008 - もはやPDFは安全なファイルではない
まー、相変わらずばたばたしてましたが。 今年は、翻訳関連は全部の権限を奪って好きなようにさせてもらった。翻訳者の選定からスライドの割り当て、成果物のレビューも。自分は仕切りに回って、最後までなるべく手を空けておいたけど、それはやっぱり正解で、最後の最後でややこしい問題が起きてもなんとか余裕を持って対応できた。翻訳に関して言えば一番まともだったと思う。いくつかレビューが間に合わないものがあったり、ギリギリまでスライドを翻訳者にお渡しできなかったりしたけれど、全体としては充分合格点だった。ただ、自分として(翻訳の内容とかではなく)この結果にはまだ不満足で、もっとよくできたはずという思いが残った。このあたりを改善するには、もっと運営にcommitしなくてはいけないね。 運営のほうは改善すべき点がたくさんあって、これは日本人をもう少しスタッフに加えればなんとかなるはず。Dragosはできのいいリー
I, newbie » 明確な悪意を持ってセキュリティポリシーを破るひとたち
組織のセキュリティポリシーを破る行為は必ずしも違法ではない。破った結果が違法行為になることはあるけど。 とはいえ、セキュリティポリシーはその組織の法律みたいなものであって、破ったからにはそれなりの社会的制裁を受けるもの。そしてシステム管理者は、セキュリティポリシーの侵害があればそれに対して何らかの対応をするのが仕事。ポリシーの策定にあたって提案をすることはあっても決定権はないし、決まった以上は「悪法も法なり」という姿勢で対応する。決定されたポリシーをいかに実効あるものにするかに心を砕いて、ポリシーを単なる文章に終わらせず、なんとかして実装する。けれども、どんな対策にも抜け道があるし、完全にポリシーを強制することが必ずしも最善な対策ではないことだってある。だからこそ、コスト、利便性やあるべきセキュリティをはかりにかけて、現実的な対策は何かを一生懸命考える。 NSM Dojoに来てもらったひと
I, newbie » TCPにDoSな脆弱性?
いろいろと騒ぎになってるみたい。まだ詳細は不明だけど、「いまのところ影響を受けないOSは確認していない」そうなので、大変ですな。 New DOS Attack Is a Killer RSnake氏による記事 New attacks reveal fundamental problems with TCP TechTargetの記事 Researchers caution against TCP/IP weakness pcworld。若干詳しい New Denial-of-Service Attack Is a Killer /.の記事 How this really SEEMS to work Computing SYN cookies? この2つは興味深い I’m safe あほだ Clearing up some factual inaccuracies… 発見者によるコメント 個
I, newbie » サウンドハウスの情報漏洩 その3
まずは、管理体制が甘かったのかという点。結論だけ書くと「落ち度があったと言えるレベルではない」という主張は微妙です。当時の対策としてあげられているのは、 ファイアーウォール ハッカーセーフ 3Dセキュア なんですが、箱とサービスだけなんですね。どのような方針で運用されていたかが見えてこない。鍵をかけても植木の下に鍵を隠しておくようではダメダメだし、対策にしろポリシーにしろ運用による裏付けがないと意味がないわけです。むしろ、対策をしたつもりで「安心感」を得たかったように見えます。それぞれの対策が何をカバーするのか、どんなメリットがあってどんな制限があるのかを理解していたようには思えません。理解不足の原因がどこにあるのは、レポートからは読み取れませんので追求しませんが。もちろん、これ以下の対策(というか無対策)しかしていないところもごまんとありますが、それをもって平均より上だからOKとはなりま
I, newbie » サウンドハウスの情報漏洩 その2
4/7(月) 13:34 三菱UFJニコスよりメールで連絡あり。 「カード会社に連絡してください」という部分を訂正して欲しい、というリクエストあり。どのような文言がよいかと、電話で質問。メールにて以下の文章を受け取り、内容を差し替えリクエストに応じる。本日ご配信しました情報流出に関するご案内の中に「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただくようお願い致します。」と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタリングする等、不正使用を早期に発見できる体制を整えており、また、万が一、本件に起因してお客様のカード情報が不正に使用され被害が発生した場合には、お客様にご負担をおかけすることのないように対応することと聞いておりますので、お客
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
I, newbie » あるプロジェクトから学んだこと
1年前から手がけていたプロジェクトが終わった。途中でなんやかんやあったとはいえ、全体として成功といえると思う。自分の身の丈にあったプロジェクトではなかったけれど、学んだことは多かった。身の丈にあっていなかったから、かな。 それなりの規模のプロジェクトは特定個人の力でどうにかなるものではない。すべての関係者が協力しなければ成功はない 仕事を丸なげしてもうまくいかない。発注側は問題意識を共有して、ともに問題解決にあたらなければいけない 関係者の信頼関係さえ築ければ、プロジェクトの半分は成功が保証される 指の指し合いは問題を解決しない 問題が起きた場合は、十分な説明を当事者にしたうえで意見を求めること。当事者が納得さえできれば、必ずしも問題が解決できる必要はない 情報の共有の手間を惜しんではいけない。その情報が不要かどうかは当事者が判断すること 調整役が現場で動いてはいけない。手を動かす人たちが
I, newbie » RSSリーダの既知の脆弱性に対する対応状況を確認する
のだったら、IzyNews - Security-check for RSS-Readersをsubscribeしてみるのはどうですか。 まとめはFeed Injection in Web 2.0 (PDF 278KB)で。 フレッシュリーダーの脆弱性に関連してSage++のこと 本来なら早急に脆弱性の内容を確認して対策バージョンをリリースすべきだとは思うんですが、JPCERT/CCから脆弱性情報の詳細を入手するには開発者ベンダ登録リストというものに住所・氏名・電話番号等の個人情報を登録する必要があるらしく、残念ながら当方では緊急度・影響度が不明な脆弱性情報を入手することの必要性と、そのために自分自身の個人情報を晒すというリスクの度合いを比較検討した結果、これ以上の情報入手を断念しました。従いまして指摘を受けた脆弱性(具体的内容は不明)は現時点でも対策されていません 誤解があるようで。 脆
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
