no drink, no hack. を掲げるコンピューターセキュリティイベントAVTOKYOを開催します！今年もスピーカーを海外からも招待する予定です。 開催日：2011年11月12日(土) 開催場所：club axxcis SHIBYA (クラブアクシス渋谷） スピーカーやイベント内容、参加費…

アメリカのショッピングモール「Westfield Malls」のiPhoneアプリ「Westfield Malls（App Store）」には「Find my car」という機能がありました。 これはショッピングモールの駐車場に備え付けられた監視カメラを使って、映った車のナンバーを把握し、駐車場…

9月5日にComodohackerがDigiNotarの不正侵入のオマケ的に、不正アクセス可能だよと述べている問題について、グローバルサインに専用のページができていた。9月15日に段階的に再開予定のようです。 弊社証明書をご利用のお客様へのご案内 | SSLサーバ証明書な…

二人の研究者がタイポスクワッティング（Typosquatting）の効果を調べるために、フォーチュン500社の中から30個用意して半年間調べた結果、12万通、容量にして20ギガバイトの間違いメールを受信することができたようです。中には、従業員のユーザー名やパス…

Alexaのトップ10,000Webサイトに対して、セキュリティ関連のHTTPヘッダーや、モバイル端末での違いなどを調査した結果が公表されています。調査にはUA-Testerというツールが使われています。レポートは2011年3月14日段階で収集した物を解析したとのこと。セ…

window.twttr = (function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0], t = window.twttr || {}; if (d.getElementById(id)) return t; js = d.createElement(s); js.id = id; js.src = "https://platform.twitter.com/widgets.js"; fjs.paren…

IEEEやstate.govといったサイトにXSS脆弱性があると公表されています。まだ直ってないサイトも多数です。 20 Famous websites vulnerable to Cross Site Scripting (XSS) Attack ~ THN : The Hacker News そういや、XSS可能なサイトのアーカイブのXSSedって…

The Register, The Daily Telegraph, UPS, Vodafone, Acer, National Geographic などの有名なサイトがDNSハッキングによって被害を受けたようです。DNSハッキングによって表示されるページには以下のようなトルコ語を含んだメッセージが表示されたようです…

来週7日（水）に熊本県情報セキュリティ推進協議会主催で熊本学園大学にてIPA経由で講演してきます。内容は毎年開催していた中小企業情報セキュリティセミナー「技術コース」の2011年版です。 情報がどこにも出ていない気がするのですが、どうやって参加者を…

新宿中村屋の和菓子屋ISSUIのお持たせ用の和菓子です。もっと食べたいけど、少し足りないぐらいの上品なサイズです。 見た目がキレイなのと日持ちがするのがいいですね。 あんみつだけど、Wベリーソースです。あんことベリーは合いますね。美味しいです。 抹…

Linuxカーネルを管理するkernel.orgがハッキングされました。複数のサーバーのroot権限が取られ、システムが改ざんされました。rootkitは遅くとも8月12日から仕込まれていたようで、17日間検出されずに潜伏していたとのことです。 Kernel.org Linux reposito…

Pakistan Telecommunication Authority (PTA)からプロバイダに通達された内容によると、ネットワーク上のすべての暗号化トラフィックをブロックするようにと指示があったようです。 2010年に制定された回線利用に関する条例に従って、リアルタイムに音声とデ…

多くのGoogleのSSLサービスに対してMan-in-the-Middle攻撃可能にする ”*.google.com”というワイルドカードを使ったSSL証明書が発行されてしまったようです。 この問題の証明書はオランダの認証局DigiNotarで7月10日に発行されました。証明書は証明書失効リス…

Facebookにセキュリティバグを見つけて報告すると最低500ドル支払うという、Security Bug Bountyプログラムが先月から始まっています。 開始から3週間でFacebookは40,000ドルを発見者に支払っているようです。そして、もっとも効果的なレポートには5000ドル…

私もうっかりJailBreakしてしまった、訪れてワンクリックするだけでJailBreakできるJailBreakMe.comを運営するNicholas Allegra（COMEX）氏がAppleにインターンシップとして入ったようです。 JailbreakMe3.0は安全か？と書こうとしたら、うっかりJailbreakし…

プリンは硬い目タイプでカラメルはさらさら。ホームメイドな感じじゃなく、きめが細かくて舌触りもなめらかです。コクもあって美味しいです。 最近、生クリームっぽい柔らかいプリンが多いので、こういう美味しい硬いプリンはいいですね。 LA BETTOLA (ラ・…

Anonymous向けのDDoSツールとして「#RefRef」というのが公開されています。効果はPastebin.comを攻撃して実証済みなんだそうです。 動作させるためには、まずSQLインジェクション可能なところを探す必要があります。そしてそこに対してSQLインジェクションで…

Facebookのユーザーが自分の周りにもかなり増えてきています。最初は面識がある人ぐらいしかいなかったのに、だんだんあんまり交流がない人も”友達”になっています。 知らない（覚えていない）人からのリクエストを許可するかどうかの判断基準は、共通の友達…

香港証券取引所のニュースサイトに対するDDoS攻撃を仕掛けた29歳の男が逮捕されたそうです。警察によって、17組（台？）のコンピュータ、2台の携帯電話、5台のストレージが押収されたとのこと。 8月10日の午後に香港証券取引所がDDoS攻撃を仕掛けられたこと…

Adobe Photoshop CS5 でExploitを仕込んだGIF画像を開かせることで、攻撃者が仕掛けた不正なコードを実行させるという脆弱性があるようです。Exploitが公開されています。 かなり限定的な条件なので脅威は少なそう。なんか珍しいのでメモ。 Adobe Photoshop …

チョコケーキなどがおいしいOGGIの生チョコレートケーキです。サイズはミニ（190g）で10cmぐらいと小ぶりなサイズ。 見た目は濃厚で重そうで真夏に敬遠したい感じに思えますが、チョコレートの味はしっかりとしているのに意外と軽くてさくっと食べてしまえる…

ラスベガスのパリスホテルにあるシュガーファクトリーというキャンディーショップが、お店の見た目からしてかわいいのでキャンディー詰め放題やってきました。 1回目がんばって詰めたのに、箱の爪が割れててやりなおしするはめに…。店員さんは爆笑するだけ。…

お中元に頂きました。夏は水ようかんが美味しいなァ。 梅のゼリーがさっぱりしていて美味しかったですよ。見た目も涼しげ。 和菓子の叶匠壽庵

こんなのあったんだ。対IPv6用の攻撃ツールキット。 DEFCON CTF本戦もIPv6だったし、そろそろ自宅の環境ぐらいはIPv6にしてみようかな。 THC-IPV6 - attacking the IPV6 protocol suite

Apache Struts（2.2.0以下）のRemote Command ExecutionのExploitが公開されています。実行されると、リモートから不正なコマンドが実行可能なようです。 当然のようにMetasploitにも追加済み。稼働中のStrutsは要注意です。 Apache Struts < 2.2.0 Remote C…

研究者によってAESアルゴリズムに欠陥が発見されたようです。この新しい攻撃によって、専門家の予想よりも4倍速く秘密鍵を見つけることができるとのこと。 AESは過去10年はさまざまなテストが行われていましたが、これまでは欠陥は見つかっていなかったとの…

赤外線サーモグラフィカメラを使って、ATMの暗証番号の入力の痕跡を可視化して、暗証番号を盗むことができるという発表がありました。入力の10秒後なら約80%の成功率、45秒後なら60％で取得できるそうです。 10秒はともかく、45秒もあれば実現できる可能性は…

Android版のDropboxにはセキュリティ制限をバイパスできる脆弱性があり、それが悪用される可能性があるという報告がありました。 Dropboxには他のアプリケーションと連携する機能がありますが、この機能を使ってファイルなどをエクスポートする際にセキュリ…

いかにもラスベガスな風景（だと思ってる） DEFCON会場Rioホテルのデリで食べたハーフパウンドバーガー。一番小さいサイズがハーフパウンド。美味しいけどサイズが大きすぎる…。 BlackHat会場のシーザースパレスホテル こちらはシーザースにあったフォーラム…

セプキャンも終わったと言うことで、ラスベガスの振り返り。 サンフランシスコ編 ラスベガスといいつつ、サンフランシスコから。というのも、ラスベガス行きの便のトランジットがうまくいかずに、サンフランシスコで10時間も待たされることに。空港の人が「…