Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

月刊MS 2007/2号の予告

2007-02-09 17:43:31 | セキュリティ(エンドユーザ向け)
マイクロソフト セキュリティ情報の事前通知 - Microsoft
今月は2/14がリリース予定日です……丁度St.Valentineの日か……つーかIPAセミナの日ぢゃん(ヲ。
(終日セミナ会場にいる予定なので、ココの更新は遅れるかも……です。)

今月は最大12件 + 悪意あるソフトウェアの削除ツールって感じです。
今月分にはMS-Officeへのセキュリティパッチも含まれているので、MS-Office使いの方は少し注意が必要です。

不覚にもワラタw

2007-02-08 17:54:43 | セキュリティ(エンドユーザ向け)
園田道夫「蔵出しセキュリティ」:添付ファイルにさよならを - 日経PC Online
まっちゃさんの処経由園田先生の日経PC Online上でのブログ記事です。

……不覚にも「『これから送ります』メール」の例文に笑ってしまいましたヨ。
ちなみに「やまがた21さん」ってのはこの方の事……つーか当人も吹いているようですが(笑)
---
マジメな話、メールの添付ファイルは開かない方がベターです。そもそも今のメールの仕組み上、送った人が確かにその人である事を確認する方法は特別なシステムを使わないと無理(※1)なので、知り合いに成りすますなんてカンタン^2だったりします。

あと同様にメール本文中のリンククリックも同じ……本気で犯罪を仕掛けようとする連中にとっては、攻撃用のドメイン取得や偽装ファイルダウンロードサービスの設置の手間なんて大した事じゃない(※2)ですから。

一番確実なのは対面形式でデータを受け渡す事……それが無理なら受け渡しする側・される側で予め「何処を使うか」「受け渡し手順はどうする?」などの取り決めをしてから、その取り決めに従った受け渡し以外はNG(添付ファイルは開かない、リンクはクリックしない)とするというのがベターでしょうね。
---
(※1)PGPやS/MIMEのような仕組みを使わないと、E-Mailのシステム単体だけでは身元保証は無理です。
(※2)1人で犯罪を企むならともかく、今のこの手の攻撃の場合、複数人が分担して事に当たるので、足が付きにくいですね。実際ココの情報を見ても、1年という非常に短いスパンで攻撃用のドメインが取得されている事が分かりますので。

Admintech.jp 第2回セミナ:レポート

2007-02-06 16:47:58 | セキュリティ(技術者向け)
……改めて、Admintech.jp 第2回セミナスタッフ、講師、参加者の皆様、当日はお疲れ様でした。

当日の様子はこんな感じでした。
---
【開始前】
テーマがテーマだけあって、■い人たち セキュリティ関係の勉強会の常連が沢山。特に前の席中央通路付近に多く集まっていたりw (いや、自分もその1人なんですが(ヲ。)

【開催のご挨拶時】
司会のやまにょんさんがゴミの捨て場所を案内しようとした時に、丁度会場に飛び込む某Tさん(本人の名誉のためイニシャルでw)……あまりのタイミングの良さに会場大爆笑。

【テーマ1:Windows Terminal Serviceを安全に使うには?】
wakatono先生によるWindows Terminal Service(WTS)のお話。思ったより食い付き(質問の出)が鈍かったのは、「WTSは知っているけど触った事がない」とか「WTSを知らなかった」という人が多かったからではないかなぁ……と。
アレは1回は触らないとイメージし辛いですし、質問もし辛いかなぁ……と。実は自分は去年のInternet Week中のセキュmemo BoFの終わりに個人的にwakatono先生に質問していたりするので、今回改めて質問したい事は無かったという事もあり、静かに見ていました。

【休憩1回目後の自己紹介】
自己紹介1発目は「定位置(※1)」に座っているヤマガタさんから……座っている場所と名前だけでウケを取れる……美味しすぎます(マテ)。

【テーマ2:プログラム解析による暗号通信文の解析方法】
lumin先生によるプログラム解析に関するお話。一応テーマに「暗号通信文」と掲げられていますが、一般的なプログラム解析のお話としても楽しく聞く事ができました。
やはり解析には「プログラミング経験(出来ればアセンブラ等の低レベル言語によるプログラミング経験)」が必須という事。……自分は最近はスクリプト言語中心だからなぁ(昔はCをいじっていたし、Cコンパイラが吐き出すアセンブラコードを眺めて楽しんでいました)……自分は手が出せない範囲ですね。
強いて言うなら……クイズの答えは懇親会まで引っ張らない方が良いと思います~(理由:懇親会に参加できない人には不利な条件だから)。

【テーマ3:安全なニンテンドーDSの使い方?】
再びwakatono先生による、Nintendo DS(NDS)の無線LAN機能に関するお話。前2つのテーマに比べて食い付き(質問の出)が良かったのは良い事なのか(苦笑)。
任天堂がネット通販限定で提供しているUSB接続形式の無線LAN APは良いかなぁ……と思っていましたが、ソフトAPである事を失念。確かにAPを挿している時に母艦(PC)にアタックされたら大変だよなぁ……。
とは言え、専用の無線LAN APなどのネットワーク機器をNDSのため「だけ」に購入・導入するのはあまりに大事過ぎるような気がします。ましてやFON(La Fonera)はお使いのISPとの契約の絡みもあるので、やはりNDSのため「だけ」にFON契約がクリアされているISPに乗り換えて、La Foneraを導入するってのも大事過ぎるような気が……。
結局のところ「何を守りたいのか?」をハッキリとさせた上で、割り切りも肝心なのかと思っています。
(このネタに関しては長くなりそうなので、別途どこかのタイミングで書きたいと思います。)
---
【懇親会(1次会)】
前回と同じく代々木の「くっちゃいな」にて。ココは飲み屋にありがちな「肉・魚中心のメニュー」ではなく「野菜中心のメニュー」ですが、非常に美味しいです……流石酒好テム管理者(笑)。
勉強会には参加できなかった人達も合流して、なかなか楽しい飲み会でした。

自分は何故か「牛乳系酒を制覇しようw」とかいうバカなネタにチャレンジ……結局メニューに載っている牛乳系酒の半分くらいは呑んだかなぁ……。
やたさんに「牛乳酎」を薦めて呑ませた後、自分も呑んでみましたが……「これって牛乳そのまんまぢゃんw」というのが共通の感想。全然普通の味で面白くなかったり(マテ)。
(ネタで言えば「紅茶ミルク」の方が良いかも……酒独特の苦味が紅茶の苦味と相まって、なかなか苦い呑み物になっていたりしましたので。)

【2次会】
1次会会場近くの某飲み屋で2次会スタート。お座敷2部屋を喫煙部屋と非喫煙部屋に分けてスタート。非喫煙部屋の方は徐にノートPCを取り出す人達が……結局Win系ノートPCが2台にMacノートが2台登場する有様(笑)。
私はその後喫煙部屋に移動し、wakatono先生、やたさん、ずきんさん達とオタ話に花が咲いたり。wakatono先生の守備範囲の広さに、やたさんの「との(wakatono先生の事)はオタクのカリスマ(笑)」との言葉に納得(wakatono先生は否定していましたが)。いやぁ……自分が覚えている限りテーマが「ガンダム」→「ラノベ」→「TRPG」→「フィギュア・ドール」→「1/1ドール」と澱みなく続いていく様子を見れば、誰もが納得するかと(笑)。
その後、ずきんさんのアレ(※2)の話に続きますが……傍目から見ていて面白すぎるので省略(ヲ。

結局自分は2次会でお別れ。更に3次会に行った人もいますが……。
---
(※1)一番前列の右側端っこの席。
(※2)一言で言えば「方向オンチ」の件。

単価激安だからなぁ……>ペネトレテスト

2007-02-06 11:50:05 | セキュリティ(技術者向け)
ペネトレーションテスト入門 情報システムセキュリティの実践的監査手法 - うさぎ文学日記
是非読みたい本なんですが、地元の書店には無かった & まっちゃ139勉強会への軍資金の絡みでまだ買えていません。

1つ気になる点……
最初から最後まで(営業開始~報告終了まで)という範囲を一冊で扱っているので、対象読者がかなり限られている気が…。これからペネトレーションテストを事業として始めるという人向け?
(「ペネトレーションテスト入門 情報システムセキュリティの実践的監査手法(うさぎ文学日記)」より引用
……とありますが、ペネトレテストをこれから事業として立ち上げるのは難しいに1票。
単に調査ツール走らせてレポートを提出だと、それこと8 IPアドレスで数万円とかいう激安市場になっていたりします(本当)。
(興味のある方はGoogleなどで検索してみると良いでしょう……普通の人は「ホントにこれで商売成り立つの?!」と思う事請け合いですw)

これから商売としてペネトレテストをやっていきたいという人は、かなり強い「付加価値」を付ける必要がありますね。例えば……

  • ツールに頼らず、手作業で(技術レベルとして)深い部分まで調査するサービス
  • SQL InjectionなどのWebアプリの脆弱性も調査し、具体的な改善方法を提供するサービス

    ……のような感じで(提供価格が)高めのサービスにしてやらないと、提供する度に赤字だらけという事になりかねなかったり(苦笑)。
    ---
    (おまけ)
    ちなみに、安価なペネトレサービスはどうやって利益を確保しているかと言うと、ペネトレサービスではなく、報告から手持ちの別製品・サービスを売り込む事で利益を確保していたりします。
    じゃないと、いくら調査を自動化していたとしても、そんな8 IPアドレスで数万円なんて価格設定できませんし(苦笑)。
    (調査を自動化していたとしても、サーバのお守りなどの維持コストが当然発生しますので。)

    • 誰か行く人います?>IPA 重要インフラセキュリティセミナー

    2007-02-06 11:14:21 | セキュリティ(技術者向け)
    遅くなってしまいましたが、Admintech.jp 第2回セミナ スタッフ・講師・出席者の皆様、当日はお疲れ様でした。
    2次会まで出ていた方は分かると思われますが、とりあえず自分は何とか地元まで帰りつける事ができました(苦笑)。
    # ギリギリ終電に乗る事が出来ました。
    # 当然駅から自宅まではタクシーでしたけれど(ヲ。
    ---
    話を変えて、コレに行く人っています?
    重要インフラセキュリティセミナー開催のご案内 - IPA

    とりあえず自分は行く方向で調整中(申し込みだけは既にしてしまいました)。
    何か講師の名前を見る限りでは濃いぃ人達が集まっているなぁ……と(ヲ。

    何故か最近……

    2007-02-02 17:24:35 | 雑記
    ……イラストと格闘していたり(ヲ。

    まぁ、昔作ったイラスト(カット)をクリンナップしているってのが正しいですが。

    ちなみにベクタデータが扱えるドローツールを使っています。絵心が無い人でも綺麗な絵が作りやすい(※)は楽しいですヨ。
    ---
    (※)必ずしも綺麗な絵が作れるとは限らないのがミソ(苦笑)。あと全体的にアニメ塗りっぽい絵になりやすいのも難点。