OWASP Top 10 2013 RC1リリース&日本語訳(ちょっとだけ)
OWASP Japan Leader らしく、OWASP Top 10 2013 RC1版の紹介でも。
OWASPでは、PCI DSSなどでも参照しているOWASP Top 10 の 2013年版のリリース準備中です。現在、RC1をリリースして、コメントを募集しています。こちらまでお願いします。 OWASP-TopTen@lists.owasp.org
新規追加のものも名称を日本語に訳しましたが、もっと適切な言葉があれば教えて下さい。
OWASP Top 10 - 2013 RC1
- A1 インジェクション攻撃(Injection)
- A2 不完全な認証とセッション管理(Broken Authentication and Session Management)
- A3 クロスサイト・スクリプティング(Cross-Site Scripting (XSS) )
- A4 安全でないオブジェクトの直接参照(Insecure Direct Object References)
- A5 セキュリティの不適切な設定(Security Misconfiguration)
- A6 機密データの露出(Sensitive Data Exposure)
- A7 機能レベルのアクセス制御の欠落(Missing Function Level Access Control )
- A8 クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))
- A9 既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)
- A10 検証されていないリダイレクトとフォーワード(Unvalidated Redirects and Forwards)
詳細はRC1版を参照して下さい。
OWASP Top 10 - 2010 から何が変わったか
2013年版では主に下記の変更が加えられる予定です。
- 「不完全な認証とセッション管理(Broken Authentication and Session Management )」が拡がってきたので、A3からA2に上がりました。XSSがA3に。
- 「クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))」がA5からA8に下がりました。開発者はCSRF脆弱性の数を減らすために努力しているようです。
- 「URLアクセス制限の不備(Failure to Restrict URL Access)」はもっと広い意味にして、A7の「機能レベルのアクセス制御の欠落(Missing Function Level Access Control )」としました。
- 2010のA7 安全でない暗号化によるデータ保存(Insecure Cryptographic Storage)とA9 不十分なトランスポート層の保護(Insufficient Transport Layer Protection)から新しいカテゴリ A6の「機密データの露出(Sensitive Data Exposure)」を作りました。
- 新しく A9の「既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)」を作りました。
OWASPは皆様に支えられています。参加をお待ちしています。
脆弱性報奨金プログラムを提供しているサイト一覧
いわゆる"Bug Bounty Programs"と言われている、Webサイトの脆弱性情報などを受け付けて、それに報奨金を出すというプログラムです。報奨金で飯を食えるようになるといいですね。
- Etsy(ハンドメイド商品のマーケットプレイス)
- Barracuda Networks(セキュリティ機器)
- Yandex(ロシアのGoogle的な。今年モスクワのオフィスに遊びに行かせて頂きました。)
以下は、バグハンターの名前は掲載するけど、報奨金は出さないサイト。
- Adobe
- EBay
- Microsoft
- Apple
- Dropbox
- Github
- Ifixit(iPhone修理とか)
- 37 Signals
- Twilio(クラウド電話)
- Constant Contact(マーケティング)
- Engine Yard(Ruby,PHP クラウドプラットフォーム)
- Lastpass(パスワードマネージャー)
- RedHat
- Acquia(CMSのDrupal)
- Zynga
- Owncloud(自分専用クラウド)
- Tuenti(SNS)
- soundcloud(音楽シェア)
- Nokia Siemens Networks
スペシャルサンクスには、何人か知っている名前を見かけますね。もちろん、日本人のあの人も!
報奨金プログラムやっているサイトの追記情報をもらいました!
追記
ハッシュじゃなくて、いわゆる暗号化してるんじゃない?とか平文じゃないんじゃない的なことを言う人もいますが、この場合わざわざ鍵の管理がめんどうな暗号化を選ぶ理由はないと思いますが。
お名前.comのレンタルサーバーが平文でパスワードを保存している
お名前.comで取ってるドメインがあったので、とりあえずレンタルサーバーも使ってみようと申し込んでみました。
設定を始めたところ、設定用のWebインタフェースのコントロールパネルに、メールアカウントや管理者アカウント、FTPアカウントなどのパスワードが表示されるという状況でした。
※パスワードの箇所は暗号化されていないパスワード文字列
さらに、パスワード変更の際には旧パスワードの入力もいらないという仕様。
そして、コントロールパネルの横のお知らせには「セキュリティ対策は万全ですか?」とか出ててシュール。
サポートセンターに「パスワードを平文で保存しているのか?」ということや「なぜWebにパスワードをわざわざ表示するのか?」について問い合わせてみたところ、下記の回答がきました。
弊社サーバーNavi、および、コントロールパネルにつきましてはSSL(Secure Socket Layer)での通信を採用いたしております。
SSL:インターネット上で情報を暗号化して送受信するプロトコル
サーバー上でのパスワード保管につきましては、弊社にて行なわせていただいておりますので、ご安心ください。>Webのコントロールパネルにパスワードを表示する必要があるのでしょうか?
安全な形式にてお客様にパスワードをご確認いただくための対応でございます。
今後ともお名前.comをよろしくお願いいたします。
「ご安心下さい」って何だよ。今後ともよろしくお願いいたしますじゃないよ。
SEC職員がBlackHatに暗号化していないPCを持ち込み。検証に20万ドル。
米国証券取引委員会(The US Securities and Exchange Commission : SEC)の職員が、ハッカーの会議(たぶん今年のBlackHat USA?)に機密情報がたくさん入ったPCを持ち込んだおかげで、安全かどうかの検証に20万ドルも費やす結果となったそうです。
PCのデータは機密情報が暗号化されていない状態で、場合によっては情報が取り放題だったようです。なぜ、職員がこのPCを持ってきたのかは明確にはなっていません。
検証の結果は情報漏えいの痕跡はなかったようですが、どうなんでしょうね。もしくは、DEFCONにも参加してたら…。気軽に機密情報入りのPCを持ち歩くと大変なことになりますね。
サイバー犯罪対策コストのレポート2012が興味深い
HPが主催し、英国のPonemon Instituteが調査したさまざまな産業分野の38団体のサンプルに基づくセキュリティのベンチマーク調査レポートです。
- サイバー犯罪は被害・対策ともに高く付く。年間平均コストは平均210万£(約2.7億円)で、4百万£〜770万£の範囲
- 最も高く付いたサイバー犯罪は、DoS攻撃と不正なプログラムによる被害
- サイバー犯罪対策コストは組織規模や産業によって異なる。防衛・公益事業・エネルギー・金融サービスは、他の産業より高い
レポートはコストに関するさまざまな項目が調査されていて、興味深いですね。
「5カ国のサイバー犯罪の総コスト」では、英国、AU、日本、DE、米国がビックアップされていて、日本は真ん中の3番目でした。
他にも、「業種別の平均年間コスト」、「38ベンチマーク企業が経験したサイバー攻撃の種類」、「攻撃を解決するまでの平均日数」、「活動コストの比較とセキュリティインテリジェンス技術の利用」、「国別のサイバー犯罪対策の内部コスト/外部コスト」など面白いレポートが目白押し。セキュリティの予算をいくらにするのかとかの参考にもなるかもしれません。
登録が必要ですが、無料で読めるので一読をお勧めします。
US版のレポートもありました。
11月7日、8日にイベントもあるみたいです!
このレポート、日本のHPさんが翻訳版とか出さないかなァ。
イーモバイルを電話だけで解約、書類もSIM返送も必要なし
ちょうどイーモバイルを契約して2年、ソフトバンクグループになったし、WiMAXは快適だし、iPhone5はDoCoMoだし、と継続する理由も特になかったのでいいタイミングで解約しました。以前は、店頭に行くのが一番という解約難所のイーモバイルでしたが、電話だけで解約できました。手順は以下の通り。
まず、手元に契約時に登録した電話番号とネットワーク暗証番号を用意して、カスタマーセンターに電話して、解約の窓口につなげます。
登録時の電話番号、名前、ネットワーク暗証番号を聞かれたら、「解約する書面を郵送します」うんぬんと言われますが、「他に方法は?」と聞くと「電話だけで解約できます」と言われますので、そのまま手続きをどうぞ。
SIMの返送も必要ありません。ハサミで切って捨てて下さい。と言われます。
サヨナラ、イーモバイル!
また契約するかもしれないけど。