Garbage Script on Goo BLOG
某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場
 



マイクロソフト、IE用に「セキュリティ以外の更新プログラム」 - Internet Watch

微妙にセキュリティとは違うんですが……雑記とも違うので「セキュリティ」カテゴリに。

Microsoftからのアナウンス(アドバイザリ)はココ。昨日からWindows Update/Microsoft Updateで提供され始めましたが、緊急性の高いHotFixではないので、「高速」では適用されず、「カスタム」を選び「追加選択(ソフトウェア)」の中からチェックを付けてインストールする必要があります。

リンクした記事にある通り、有体に言えば「使い勝手が悪くなります」。特にGoogleツールバーを入れている方はご注意を(現在(2006/3/2)の最新バージョンでは正常に動作しないとの事)。

「何でこんなモノをMSは提供するんだ?」と思われる方も多いでしょうが、所謂「大人の事情」……ぢゃなくて、特許にまつわる訴訟絡みで提供されているケースです。

必須のHotFixでなく、使い勝手も悪くなるので特に会社のPCに適用するのは注意が必要(業務用Webアプリを利用している処では、正常に動作しなくなる可能性があるので)です。

コメント ( 0 ) | Trackback ( 0 )




セキュリティ無料診断 | 情報セキュリティ対策支援サイト SECURE RISK MANAGEMENT...がーーーーーーーーーーーーーー! - インフラ管理者の独り言
はなずきんさんの処から。

あー……見た瞬間、某製品を思い出してしまった。orz
(今はそうかは分からないですが、リリース当初色々弄くり倒した結果、入力値に関わらず出てくるアウトプットが殆ど同じだったという、なかなか笑うに笑えない場面に出くわした事があります。)

診断としてのアプローチは、決して悪くはないんですが……いかんせんこの手の質問項目と判断ロジックをキチンと作るのは難しいですヨ(それ相応の知識・実績・経験が無いと、まず無理な筈)。

いかにも「不安を煽る」という、自分個人としてはあまり使いたくない「製品の売り込み方」ですね。

コメント ( 1 ) | Trackback ( 0 )




オンラインゲームに不正接続、大阪の14歳少年を補導 (読売新聞) - goo ニュース
あー、何も言う事ありませんヨ(投げやり)。頼むから二度とネットの世界に舞い戻ってこないで下さい。m(_ _)m
---
最初は「アイテム」という言葉が出たので、何処かのMMORPGかなぁ……と思っていたんですが、「数百種類のゲーム」から、恐らくミニゲーム集を提供しているサービスのような感じが……(アイテムは、例えばアバター用のデータではないかと……)。

コメント ( 0 ) | Trackback ( 0 )




サイバー犯罪3,000件超、ネット詐欺は前年比2.6倍に~警察庁調査 - Internet Watch
警察庁からの発表資料はココ

発表資料を読んでみましたが、実際には届出もされず(若しくは届出をしたが受理されず)泣き寝入りをしてしまうケースも多いんだろうなぁ……。

やはり多かったのは「ネット詐欺(悪徳商法・フィッシング詐欺など)」や「ネットオークションのトラブル(商品が送られてこない、情報とは違うモノが送られたなど)」の2種類……いずれも「人の脆弱性」が絡む犯罪ですね。

何度も言っていますが、Internetの世界は「At Your Own Risk」、誰かが助けてくれる保障なんて何も無いし、自分の安全は自分で守る……でも、なかなかそれを実践してくれない(頭では分かっていても、実践してくれない)のが悩みですネ。

コメント ( 0 ) | Trackback ( 0 )




くさい臭いは元から絶たなきゃだめ - ある nakagami の日記
まっちゃだいふくさんの処経由

ココで書かれている「セキュリティ監査」は「ネットワーク脆弱性調査」の事ですよね?

一応ご存知かもしれませんが、知らない方のために「セキュリティ監査」の種類を挙げますと……
---
(技術系)
  • ネットワーク脆弱性調査:手動 or ツールを用いて、ネットワークが抱えている既知の脆弱性(設定ミス含む)を洗い出す事。"nmap"などのポートスキャナーや"Nessus"などの脆弱性調査用ツールを用いるのがコチラです。
  • Webアプリケーション脆弱性調査:手動 or ツールを用いて、Webアプリケーションが抱える脆弱性(バグ、設定ミスなど)を洗い出す事。XSSやSQLインジェクション、CSRFなどの脆弱性を調査するのがコチラです。

    (マネジメント系)
  • 保障型監査:BS7799(ISMS適合評価制度)などの、各種「セキュリティ認証規格」に準じた運用が行われている事を、第三者機関が評価し、お墨付きを与える監査。「第三者審査」とも呼ばれます。
  • 助言型監査:何らかの規格・基準に則って運用が適切に行われている事を確認する監査。監査と言うより寧ろコンサルティングに近いかも……。「第一者監査(内部監査)」「第二者監査」とも呼ばれます。

    とりあえずこんなモノかな?(細かく挙げればキリが無いでしょうが……。)
    ---
    今回は「ネットワーク脆弱性調査」サービスですが……実際にNessusを使ってみるのが早いんでしょうけれど、記述されている通り、既知の脆弱性(パッチ当て忘れ)や設定ミス(ポートの穴あき状況など)を調査、レポートしてくれるサービスです。

    で……
    ---
    だけど、そんなのはわざわざ外側から調べてくれなくても、構築したり設定したり、維持管理するひとが
    ・Redhat 8.0 じゃやばくないか?
    ・ssh のポートを開けとくのはやばくないか?
    ・ssh のポートを開けるにしても、パスワード認証は止めといたほうがよくないか?
    とかいうことをちゃんと考えれば、いきなりやってきた人に外側からいろいろ
    調べまわされるよりも、よっぽどお金もかからないし効果も高い。

    (「くさい臭いは元から絶たなきゃだめ - ある nakagami の日記」より引用)

    ---
    ……とありますが、それはそれで正しいです。自分達で「自信を持って」出来るのならば、別に他の処に頼む必要は無いです。
    (尤も……最近は価格競争に入り単価が安くなっていますので(大体1-IPにつき50k円程度)、それ程目くじらを立てるような高価なサービスでも無いですけれど。)

    とは言え、人間が行う事ですから「ついうっかり」とか「つい忘れて」という「過ちを犯す」事があります。
    しかもこのような「過ち」は自分では犯したとは気づき難かったりします。

    実際、自分が遭遇したケースですが、身内のあるWebサーバに対してツールを使って調査した処、ある「不要なWebサービス」が立ち上がっていて、管理者(自分の後輩……そのサイトを立ち上げる際、何度も相談を受けました)も「あ、サービス止めるの忘れてた」というケアレスミスを1つ発見した事があります。
    (正式リリース前だったので、大きな被害にはなりませんでしたが、もし本格的に公開されていたらと考えると、少しゾッとします。)

    それと大事な視点を忘れていますけれど「いくら高い志があっても技術力に自信が無い」とか「自信はあるけれど(人的などの)コストの事を考えると他の人に任せた方が結果として安い」とか、或いは「第三者の客観的な視点が欲しい」とか「管理者に対して引き締め効果を狙いたい」というようなケースの場合、当然他の処にお願いする事になります。

    なので、全く不要だとは思わないです。>セキュリティ監査サービス

    それと「体のいい金儲けの口実」とありますが……事「ネットワーク脆弱性調査サービス」の場合、単価が非常に安いので、それだけではとてもじゃありませんが金儲けなんて出来ません(苦笑)。
    (大抵は、その結果を元に手持ちのサービス・製品を売り込む事で利益を狙います。そういう意味では「撒き餌」的なサービスだったりします。)

    他の監査は……と言うと、実体験から言いますが、もらえるお金に比べたら、とてもじゃありませんがとても苦労に見合うだけの額じゃありません(苦笑)。

    あと「Redhat 8.0」だから即NGって訳じゃないですヨ。要は既知の脆弱性に対する対策さえキチンと取っていれば良い(設定で回避する方法もあるでしょうしネ)訳ですからネ。

  • コメント ( 0 ) | Trackback ( 1 )




    先程アップしたセキュリティ教育ネタとちょっと絡むんですが、ny(やソレに類するP2Pファイル共有システム)の利用に関して、自分の考えは次の通り(ココから変わる事はまずありません)。
    ---
    (個人の利用に関して)
  • 入れるのは自分は関知しないが、「正しい利用方法(≒利用する事によるリスクの回避方法)」を知らないで使うのはマズイ。
  • 使う事によるリスクをシッカリ認識・覚悟した上で利用するならば止めはしません。但し「At Your Own Risk」である事を忘れずに。
  • 当然nyを入れたシステム上で漏れたらマズいプライベートな情報や、お仕事に関する情報(会社から持ち帰ってきたデータ等)を触れる・開くのは厳禁……漏れるのがイヤなら入れるな。
    ---
    (企業・組織内での利用に関して)
  • つーか「入れるな!!」。
  • どうしてもnyの挙動を調べたいなら物理的にClosedなN/W上で試せ。
    ---
    つーか、そんなにnyが入っている(or過去に入れてアンインストールするのを忘れた)システムは多いのか?

  • コメント ( 0 ) | Trackback ( 0 )




    ここ数日ny等による情報漏えいが多発している訳ですが……。
    (例えばココとかココとかココとか極めつけはココとか……。)

    まぁ、nyの是非は今はココでは問わないとして、ここ最近情報漏えいを代表とする「セキュリティ事件・事故(インシデント)」が妙に多発しているような感じがします。
    (もしかしたら今まで姿を現さなかった「氷山の下」がたまたま表沙汰になっただけかもしれませんが……。)

    技術面だけの対応は「イタチゴッコ」になる可能性も高く、原因を根絶するのは難しい事から、そうなるともう1つのアプローチである「教育・啓蒙」からも併せて対策する……というのは今までも言い続けてきた事です。
    (勿論教育・啓蒙だけでもアウト……結局「教育・啓蒙をしても必ず何人かはダメダメな人がいるよ~ orz」ってのはSKUF MTG#02 AMの部でも話した事ですネ。)

    が、いざ一生懸命エンドユーザ向けに教育しても「ふーん」で終わってしまうケースも多いような……。

    何がエンドユーザ向け教育を難しくしているのだろうか……自分なりの考えですけれど、「我々セキュリティ技術者の『常識』と、一般ユーザの『認識』との乖離が悪さをしているのではないかな?」と考えています。
    ---
    (セキュリティ技術者の「常識」)
  • システムのセキュリティ対策は「システム管理者」が日常業務の一環として行うモノ。
  • 原則各ベンダーからの情報を引っ張ってくる(Pull型)事で、対応を図る。
  • セキュリティ対策を怠ると、システムだけでなく、業務や生活に支障を来たす恐れがある。
    ---
    (一般ユーザの「認識」)
  • 基本的にセキュリティは誰かがしてくれる(少なくとも自分ではない)。
  • 何かあったらメーカーからリコールなり何なりが来るでしょ(Push型)?
  • セキュリティをするためにPC・ネットを利用している訳ではないし、したからと言って自分に良い事なんてあるの(面倒くさいだけじゃないか)?
    ---
    こういった「思いの乖離」が起きているのに、それを無視して「お前らとにかくやれ~」と言っても言う事を聞いてくれる訳が無いよなぁ……と。

    要は「セキュリティ対策」を「自分事」として考えてもらえるようにするためには、どうしたら良いんだろう?、ってのが今のセキュリティ教育における最大の問題点かなぁ……。
    (この辺までは、土曜病院のハシゴをしている間に立ち寄った喫茶店でまとめたネタです。)
    ---
    (自分への宿題)
    では、どうやったら「セキュリティ対策」を「自分事」として考えてもらえるのか、その興味の持たせ方(案)を挙げる事~!!(3月中に)

    とりあえず、他の方々もこんなネタは良いんでないかいというのがありましたら、教えて頂ければ幸いです。m(_ _)m

  • コメント ( 0 ) | Trackback ( 0 )




    正直、この記事見た時には脱力してしまいましたが。orz
    (確かに昔からパスワードクラックに関するツールはあったはあったんですが、UG系ネタに近いお話だったので、あまり普通の人が耳にする話題ではなかったんですけれどねぇ……正直言うと、あまり載せて欲しくなかったような(この手の記事を載せると安直に真似をする餓鬼(厨房)がいますので)。)

    本当は自宅の環境でも(週末に)検証しようと考えていたんですが、検証し忘れたので、とりあえずWindowsドメイン環境下でのケースを1つ検証事例として出します。
    ---
    【ケース:Windowsドメイン環境下での場合】
    (マシン)
    DELL Optiplex GX270(Penium4 2.8GHz、Memory1GB、Windows XP Professional SP2+2006/2までの各種セキュリティHotFixは適用済み)

    (アカウント)
  • 普段はWindowsドメイン管理者から与えられているドメインユーザ(Domain Users)を利用(ローカルのAdministartorsグループに参加)。
  • それ以外に4種類のローカルアカウント(Administartor、テスト用のユーザ(Users権限)、ASPNET、HelpAssistant(但し無効化)が登録。Administartorとテスト用のユーザには14文字以内のパスワードがセットされている。
  • なおLMハッシュは有効化されたままである。

    (検証結果)
  • LiveCDを入れてコールドスタート後、約10分後にはAdministartorとテスト用ユーザのパスワードは解析されてしまった。
  • それ以外のローカルアカウントは20分経過したが解析できないようなので手動で停止。
  • ドメインユーザアカウントは調査対象にすら含まれなかった。

    (とりあえずの結論)
  • Windowsドメインユーザはローカルの端末からでは調査対象に含まれない(ドメインコントローラ上で操作された場合は分かりませんが……尤もそのような状態になるようならば、システム以前の問題でしょうし(汗)。)
  • 思ったよりも時間がかかるので、お手軽にパスワード解析という訳にはいかない?……そもそも一般的なWindowsのデスクトップ画面とは異なる画面が10分程度も表示され続けて気づかない方もアレゲですし。
  • 組み込み系アカウントのパスワードはまず解析は出来ない?…恐らく15文字以上のパスワードが自動的に設定され、LMハッシュに関する情報が無いんでしょう。
    ---
    気になる人はココの情報を元に、LMハッシュを無効化してしまうのが一番確実ですね。

  • コメント ( 0 ) | Trackback ( 0 )




    実は今一番悩んでいるのは「エンドユーザ教育」より「セキュリティ技術者教育」の方だったりします(苦笑)。
    (エンドユーザ教育で一番悩んでいるのは「教育するコンテンツの内容」より「どうやったらセキュリティに関する事を『自分事』として捉えて頂けるか(少しでも興味・関心を持って頂き、実践し続けてもらえるか)?」という方なので。)

    まず感じているのは「セキュリティ技術者(Not セキュリティオタ(藁))」と呼べる人はIT系技術者の中でもごく限られているよなぁ……」という事。
    それも単に「セキュアなコーディングが出来ます」とか「ファイアウォールの設定が出来ます」というレベルじゃなくて、「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」になると「うーん……(悩)」って感じだなぁ……。
    (昨年末に某社のスキル診断を受けたんですが、その時出た結果を見ると、「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」に当てはまるセキュリティ技術者を選択した人がですね……全実施者の0.1%にも満たなかったと言う(苦笑)。)

    人が少ないのだから、他の処から引っ張ってくるのは難しい(大抵引っ張りだこでしょうし)と考えると自前で育てるという方向になるんでしょうが、さてどうやって育てようか……。
    最終目的は決まっている(「セキュアなシステム設計が出来る人」「セキュリティ監査が出来る人」にする事)ので……どういうステップを踏ませれば良いのか、何を教えたら良いのか、取った方が良い資格(試験)はあるか...etc...を考えると、結構頭が痛かったりします。

    ちなみに、自分が踏んだステップは全く参考になりませんでした(笑)。
    何と言うか……変態的なステップしか踏んでいませんので(ヲ。

    何か良い方法は無いもんですかねぇ……。

    コメント ( 0 ) | Trackback ( 0 )




    ACCS、Antinnyの感染者に再び注意喚起 - Internet Watch
    ACCSからの案内はココ、Telecom-ISAC Japanからの案内はココ

    まぁ、個人のPCにnyを入れる・入れないは自由(無論色々な事を考えると本当に正当な理由も無く、必要も無いのに入れるべきではないとは思いますが……)ですが、それはまぁ置いておいて……。
    (勿論、会社から貸与されているPCは別……つーか入れるな(藁)。)

    まずは何はともあれ……
    ---
  • 最新のアンチウイルスソフトを導入・更新する事。
    勿論常駐させるなり定期的(1日1回とか)にスキャンするなりして、ウイルスに対抗できる環境にしておく事も重要ですよ~(入れただけで満足しないで下さいネって事です)。
  • Microsoft Update/Windows Updateを実施して、最新のHotFix(Service Pack)を当てる事。
    今更ながらWinXPお使いの方でSP2を入れるのを躊躇っている人なんていませんよネ~。
    ---
    ……を実施して、(Antinnyだけでなく)ウイルスに感染しない事、万が一感染してしまった場合は速やかに駆除する事が重要ですヨ~。

  • コメント ( 0 ) | Trackback ( 0 )




    ゴンゾロッソオンライン、「Master of Epic」の個人情報1,373名分を流出 - Internet Watch
    (Gameカテゴリにしようか迷ったけど、結局セキュリティカテゴリにしました。)
    販売元であるゴンゾロッソオンラインからのお詫び文はココ(にしても、この変則的な用紙サイズは何なんだろう……)。

    にしても……FTPでアクセス出来る処にユーザIDに関する情報を置きますか?
    (コレは技術以前の問題……運営、マネジメント側の問題ですね。)

    あとお詫び文の……

    -- 引用ココカラ --

    ※なお、現在確認をしている段階ではありますが、基本的には、ユーザー様の氏名等、直ちに特定の個人を識別することが可能な情報や、クレジットカード番号等の信用情報は含まれていないものと認識しております。
    (「ユーザー登録情報の一部流出について((株)ゴンゾロッソオンライン)」より引用)

    -- 引用ココマデ --

    ……って、よく他の事例でも良く見られる文章だけど……本当にそうなのかな?
    (確かに漏れたデータの種類には「氏名(戸籍に載っている本名)」とは一言も書かれていませんが、「ニックネーム(HNなど)」「生年月日」「メルアド(PC・携帯)」に、所謂プライベートな情報に該当する可能性のある「パスワードリマインダ」に関する情報まで漏れたら……キチンと調べれば1人2人は直接本人の所に行き当たるでしょうからネ。)

    まぁ、確かに「たかがゲーム」なんですが……にしてもあまり気分の良いものではありませんネ。

    コメント ( 0 ) | Trackback ( 0 )




    ポインタ不要論 - 極楽せきゅあ日記
    園田先生の処から。元ネタはココ
    (元ネタの方は純粋なC話ではなく、C++も一部混ざっちゃっていますが(STL使うなら、当然C++になりますしねぇ)……。)

    自分も最早プログラマとは言えない状態にありますが(苦笑)、普通のアプリケーションを作る目的でCで書くなら、ポインタは使わない方が吉でしょうね。
    (例えばOSのカーネルとかデバイスドライバとか、組み込み系機器のプログラムをするなら、多分ポインタは必要でしょうけれど……。)

    なら元ネタで書かれているC++なら良いかと言うと、C++には言語レベルでガベージコレクションが用意されていない(メモリ管理はCと同様自分(プログラマ側)で管理する必要がある)ので、例えばデストラクタの呼び出し忘れによるメモリリーク……とかの問題も残ったりします。

    あと「入力値を信用しない」は……これは言語問わず汎用的に言える事ですね。別にポインタを隠蔽しているような言語(JavaやC#、各種スクリプト言語など)であっても、例えばバッファオーバーフローやXSS等の不正攻撃は起こりますしね。

    どちらかと言えば「ポインタ要・不要」よりも、「入力値は信用しない・出来ない事を前提としたプログラミング(これはプログラム外部からの入力もそうですが、モジュール(関数)レベルでも当てはまります)」の方が、本当はもっと重要なのかと思います。

    コメント ( 0 ) | Trackback ( 0 )




    No More「Adminでログイン」を呼びかけるMicrosoft - ITmedia
    まぁ、確かに通常は管理者権限(Administrators)でログオンせず、必要な時にだけ管理者権限でログオンするってのは正しいと言えば正しいんですが、コノ記事にも書かれている通り、Admin権限で無いと動かない・インストールできない(行儀の悪い)アプリが未だにあるから……ってのは確かにありますね。

    Windows Vistaでは改善されるような書きぶりなので、少し期待できるでしょうか……。

    コメント ( 0 ) | Trackback ( 0 )




    民主が「指示メール」提出 衆院予算委理事会 (共同通信) - goo ニュース
    まぁ、あえてココに書くのもバカらしいと言えばバカらしいんですが……にしても民主はどうやって話を収拾させようと思っているんだろう(藁)。

    えーと、電子メールの仕組みに詳しくない人向けに、通称「堀江メール」がガセだと言われている理由はこんな感じです。
    ---
  • そもそも現在のInternetにおける電子メールのシステムでは、メール単体で「確かにその人が出しましたよ」と証明する事はできません。
    (それだと一部商取引で問題があるので、電子証明書とかPKIとかがあるんですが……それはまた別のお話。)
    あ、ちなみに言うまでもありませんが「送信者(From:)欄」は簡単に偽装できるから、信頼しちゃいけませんよ(笑)。やろうと思えば皆さんが普段お使いのメールソフトでも簡単に偽装できちゃいますし(やり方は勿論書きませんよ……検索するのは自由ですが、試すなら自分自身にだけにして下さいネ)。
  • とは言え、メールの中には「何処から送られてきたか」という手がかりになる情報が記されている「ヘッダ」と呼ばれる情報が含まれているんですが、肝心のブツは殆どが黒塗りだったり印刷されていなかったり……本文よりもソコが重要なのに~(藁)。
  • 後は状況証拠(印刷物の送信日時の欄に記録されている日時は、ちょうど選挙活動(インタビュー中)だった……など)から、本当に送った可能性は低い(無いとは言えないですが)事。

    ま、詳しくはネットで調べればイヤでも出てきますので、興味のある方は少し調べてみるのが良いかもです。
    ---
    でもって、自民(小泉さん)側は「それ(メール)がホントなら、ちゃんとホンモノである証拠を出してよ」と言っているのに対して、民主側はキチンとした(論理的に納得できるだけの)証明を(現時点では)返していない事……これがお笑い話と言わずして何と言う(藁)。

    自筆のメモや肉声が録音されたテープ等と異なり、メール単体ではそれがホンモノである証明をする事は事実上できない(自筆のメモなら筆跡鑑定、録音物なら声紋観点などで、何とか証明する事はできるでしょうけれど……メールはねぇ……)訳ですから、攻めるにしてはマズい攻め方(段取りがなってない)よね。

    仮にあのメールの内容がホンモノで、建部さんの息子(次男)に送金された事が事実だったとしても、あの出し方はどう考えても「ありえない」ですヨ。

    ホント、どうすんでしょ(藁)。単に永田センセが辞めただけじゃ済まないような状態になっていますしねぇ(苦笑)。

  • コメント ( 0 ) | Trackback ( 0 )




    「脆弱性を生みやすいプラットフォームはどれだ?」,セキュリティ団体が実態調査 - 日経ITPro
    最近はBB回線が普及している事と、サーバ公開のノウハウがアチコチに転がっている事から、お手軽に自宅サーバを公開している人もおられるかとは思いますが……。

    まぁ、どんなWebプラットフォームを利用しようが、公開する前に……
  • まずはキチンとしっかりとした環境を整える事。
  • 整えた後は必ず問題が無いか確認する事(それこそ以前ご紹介した「Nessus」のような脆弱性調査ツールを利用して、既知の脆弱性が残っていない(対策忘れなど)事を確認する事)。
  • それと公開した後も定期的にパッチ適用などの運用対策を欠かさずに実施する事。
    ……が重要になるって事ですね。

    WASコンファレンス・セミナーかぁ……行きたいけれど、有休残っていないしなぁ……上司を説得して、仕事の一環として行けるようにしてみようかなぁ……。

  • コメント ( 0 ) | Trackback ( 0 )


    « 前ページ