Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog）。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ

ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ（本家/.記事より） この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA

bugzilla.mozilla.org では JavaScript を使う exploit も使わない exploit も Bug 147777 [mozilla.org] として扱っています。この bug のコメント中、 JavaScript を使わない例は、はっきりしたものとしては 2006 年 12 月の Comment 71 [mozilla.org] が初出でしょうか。 2005 年 6 月の Comment 48 [mozilla.org] もそれっぽいですが。 まだ正式版どころか RC も出ていないので一般の人にはお勧めしませんが、人柱の人は Firefox 3.5 Preview を使って about:config から layout.css.visited_links_enabled を false にすると、リンクが visited かどうかによってスタイルを変えるの

朝日新聞の記事によると、IDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警が兵庫県尼崎市の中学3年の少年（15）を不正アクセス禁止法違反の疑いで書類送検したそうだ。 少年は、長野県大町市の無職男性（20）からYahooのIDとパスワードを盗み、男性になりすまして計16回、不正にアクセスした疑い。 少年と男性はもともとオンラインゲーム仲間。男性が少年に「キャラクターを強くするプログラムをあげる」と偽って、実際にはキーロガーをネット経由で送りつけた。少年はゲームの動きが悪くなったことからキーロガーに気づき、ソフトを解析。盗まれた履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したそうだ。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。 男性は、キーロガーを使って別のゲーム仲間のIDとパスワ

車のワイパーに偽の駐車違反警告を挟み、マルウェアを広めようとする新たなソーシャルエンジニアリングの手法が報告されている。 詳細はSANSのHandler's Diaryに掲載されているが、挟まれた紙には「この車は駐車違反を犯している。詳細はこのサイトにて確認を」といった内容が記載されているとのこと。指定されたサイトにアクセスすると駐車している乗用車の写真が掲載されており、自分の車を検索するためには「Picture Search Toolbar」をインストールするよう指示する文言が掲載されている。このツールバーをインストールするとアンチウィルスのふりをしたトロイの木馬が仕込まれる、という仕組みだ。本家記事によると、まだ多くのアンチウィルスソフトでシグネチャが登録されていない模様（VirusTotalのレポートによる）。 このように、ウェブサイトに誘導するため「物体」を介するような手法は今後増

cnn.co.jpの記事によると、先月ノートPCを盗まれた米NY州のJose Caceres氏は盗難届けを出すとともに、リモートログオンで毎日自分のPCを監視していたそうだ。本家/.でも記事になっている。 Caceres氏曰く、「（容疑者は）ほとんどポルノ閲覧にしかノートPCを使っておらず、個人を特定する手がかりがなくてイライラした」とのことだが、とうとう先週あるウェブサイトに容疑者が自分の住所と名前を入力し登録を行ったのをキャッチしたそうだ。この情報が決定打となり、容疑者は警察に御用となった。警察関係者によると、このような形でPC盗難の被害者から情報が提供されるケースは増えているそうで、ノートPCを盗まれた被害者がPCのカメラを遠隔操作して容疑者を撮影したケースもあったとのこと。

日本PKIフォーラムという「アジア共通のPKI基盤を作る」ことを目的とした団体があるそうです。この団体のセミナー申込画面の下の方に目を疑う記述が……。 ●お申込の際のセキュリティの警告について 申込画面では、下記警告画面が表示されます。これは、当サイトが「共有サーバ」を利用し、SSL認証は当サイトが利用している レンタルサーバーサービスが取得したものを使用していますが，独自のドメイン(japanpkiforum.jp)を使用しているために表示されるものです。 証明書はこのドメイン（レンタルサーバ）に対して発行されているため、「サイト名と一致しません」という警告が表示されてしまいます。 証明書の内容に問題はございませんので、「はい（Y）」をクリックして先に進んで下さい。

ついにコーヒーメーカーの脆弱性が発覚した。 Jura-Capresso社から発売されているF90型コーヒーメーカーには別売りのインターネット接続キットがあり、インターネット経由でPCからお好みのコーヒー設定などが行える。しかし、この接続キットには脆弱性があり、外部からの不正アクセスによってコーヒーの濃さや水量設定を変更したり、互換性の無いパラメータを設定することで故障させることも出来るという。 ここまでならまだ笑い話で済むが、この脆弱性を利用してユーザのWindows XPシステムへアクセスすることも可能とのこと。現在のところパッチは無い（本家/.記事より）。 コーヒーメーカーの操作は、台所まで行って自分でやるのが安全のようです。 どうも、このコーヒーメーカーのインターネット接続キットは、PCと接続して使用するものだそうで、そのためにWindows XPシステムへのアクセスまで可能になって

母親がペースメーカ埋め込み手術して手術室から戻った直後に、エンジニア？が２人で病室に来て、 埋め込んだあたりに手のひら大の金属のリング載せてノートPCつないでモニタリングと設定らしきことをしてました。 近くで見られなかったのでよくわかりませんでしたが、グラフ表示の様子からみてかなり細かいデータがとれていそう。 埋め込み後のモニターや設定のために端子とか外に出すんだろうか、まさかいちいち切り開くのだろうかと術前に心配してましたが、 ああやって非接触で測定できるのかと感心しました。 （母によると埋め込んで数ヶ月でペースメーカは体の中に沈み込んできたそうで、位置が変わるのでは外部との有線接続は難しいかも。） しかしその後の通常の医者の診察では普通の生身の人間のように脈を測ったりして正常に動作していることを 結果として知るのみで、詳しく知りたいときはやはりエンジニア呼んで測定器を載せて調べるようで

以前に中の人とネットバンキングに関する雑談をしていたときのこと。 彼曰く”僕は怖いから(ネットバンキング利用可能な)登録しませんよ。”と。 そこらへんにすべてが集約されているのだと思います。 以前のパスワードひとつの新生銀行などはやられ放題でしたし、乱数表をつかっている銀行も大したことない と思います。 特に住友信託銀行、ひどいですね。乱数表からの数字がログインや試行のたびに要求されるのですが、要求 されるのは乱数表１０個のうちの２個。 しかも乱数は１０個しかないうちの小さい順に２つという組み合わせなので、スパイウェアが入ったPCなら あっというまに乱数全部ばれてしまいます。っていうか、ログインの時点では参照系しか必要ないから貴重 な乱数つかわせちゃいかんだろ。設計したやつ出てきて謝れ、という感じですかね。 口座番号とユーザーIDが違うところだけは評価しますが、その他の部分は最低です。 三