いわゆる"Bug Bounty Programs"と言われている、Webサイトの脆弱性情報などを受け付けて、それに報奨金を出すというプログラムです。報奨金で飯を食えるようになるといいですね。 Google Program Rules – Application Security – Google facebook Security B…

ハッシュじゃなくて、いわゆる暗号化してるんじゃない？とか平文じゃないんじゃない的なことを言う人もいますが、この場合わざわざ鍵の管理がめんどうな暗号化を選ぶ理由はないと思いますが。

お名前.comで取ってるドメインがあったので、とりあえずレンタルサーバーも使ってみようと申し込んでみました。 月額1575円の共用サーバー SD｜ドメイン取得なら お名前.com 設定を始めたところ、設定用のWebインタフェースのコントロールパネルに、メールア…

米国証券取引委員会（The US Securities and Exchange Commission : SEC）の職員が、ハッカーの会議（たぶん今年のBlackHat USA？）に機密情報がたくさん入ったPCを持ち込んだおかげで、安全かどうかの検証に20万ドルも費やす結果となったそうです。 PCのデ…

HPが主催し、英国のPonemon Instituteが調査したさまざまな産業分野の38団体のサンプルに基づくセキュリティのベンチマーク調査レポートです。 サイバー犯罪は被害・対策ともに高く付く。年間平均コストは平均210万£（約2.7億円）で、4百万£〜770万£の範囲 …

ちょうどイーモバイルを契約して2年、ソフトバンクグループになったし、WiMAXは快適だし、iPhone5はDoCoMoだし、と継続する理由も特になかったのでいいタイミングで解約しました。以前は、店頭に行くのが一番という解約難所のイーモバイルでしたが、電話だけ…

いつものExpansysからiPhone5 64GB（GSM A1429）を買いました。もちろん香港版のSIMフリー。LTEが使えないとか、FOMAプラスエリアが使えないとか、いろんな問題がありますがとりあえず新しい端末は快適です。 気になる電波状況ですが、LTEは使えないのはさて…

OWASPではXSS Filter 回避のためのチートシート（XSS Filter Evasion Cheat Sheet）を公開しました。 これは有名な「XSS (Cross Site Scripting) Cheat Sheet（http://ha.ckers.org/xss.html）」を移行したものです。Robert "RSnake" Hansenの協力に感謝！ X…

ターミナルを起動して下記のコマンドを実行する。 security dump-keychain -d ~/Library/Keychains/login.keychain 「”security”がキーチェーン”ログイン”を使おうとしています。キーチェーンのパスワードを入力して下さい」とパスワードを聞いてこない場合…

GoogleやDropboxなどが次々と二要素認証に対応していますが、そろそろウチのsshも二要素認証対応にという方向けに。30秒の簡単導入です。 $ curl 'https://raw.github.com/authy/authy-ssh/master/authy-ssh' -o authy-ssh $ sudo bash authy-ssh install /u…

おやつ用に。大丸東京店のほっぺタウンが拡張してベルアメールとかいろいろ入ってます。 甘味じゃないけど、ヤザワミートのお弁当が買えるのも嬉しいです。けど、弁当で30分待ちとか本店の行列を彷彿させる感じです…。

マンゴープリンのプリン部分が濃厚で果実味もあって美味しかった。チーズケーキやフルーツプリンも果物が美味しい。フルーツプリンはラム酒が効いていました。 京橋千疋屋 東京駅一番街店ジャンル：フルーツパーラー住所： 千代田区丸の内1-9-1 東京駅一番街…

MacOS X Mountain Lionにupgradeインストールしたら、スリープして、復帰するときに何度かに一度結構な高確率で再起動してしまっている問題にセキュリティキャンプ中に悩まされていました。最初はMBP Retina個体の問題かと思っていましたが、MBP Airの方でも…

テリーヌ・ドゥ・フリュイというなのフルーツゼリーを頂きました。濃厚なお菓子も好きですが、盛夏にはさっぱりしたゼリーがとても合いますね。 BlackHat、DEFCON、セキュリティキャンプと連続出張が終わったので、ようやく腰を落ち着けて日本で甘味が食べら…

久々の日本橋三越。夏はケーキよりも、和菓子とかつまみとかに惹かれます。試食して美味しかったので購入。日本橋三越では、今ならオリジナル風呂敷に包んでくれるというキャンペーンもやってます。お持たせにいいね。 ボルチーニとかわさびがおすすめ。わさ…

Intel Core2DuoのCPUキャッシュコントローラーの脆弱性を利用したリモートコード実行のPoCが公開されています。Core2Duo以外にもAtomでも動くそうです。 Intel Core2Duo cpu cache controller bug PoC | Inj3ct0r - exploit database : vulnerability : 0day…

元ペンタゴンのアナリストによると、中国政府または人民解放軍が世界の通信の約80％にアクセスできるバックドアを持っていると伝えています。 中国企業のHuawei社とZTE社製品のネットワーク機器にバックドアがあるので、それらを使っているネットワークには…

F-Secureの研究者がコロンビア交通のWebサイトで、Windows、MacOS、Linuxなどマルチプラットフォームで動作するバックドアを発見しました。 バックドアは署名されたJavaのJARファイルを使って、ユーザーの端末がどのOSかを判定して、プラットフォームに適し…

RFC6648として、アプリケーションプロトコル内での"X-"接頭辞と同様の構造の廃止というのが上がっていました。 HTTPなど多くのプロトコルでは、非標準パラメーターに”X-”接頭辞を付けることで、標準パラメーターと区別していましたが、メリットがないという…

PayPal もバグ報奨金プログラムを開始しました。GoogleやFirefoxなどがやっているあれです。 対象となる脆弱性は、XSS、CSRF、SQLインジェクション、認証のバイパスとのこと。報告したらいくらぐらいもらえるんでしょうね？ For Security Researchers - PayP…

フランスのexploit販売会社のVupenによると、ターゲットの制御を得ることができるようなゼロデイ攻撃の価格は下記のようになっているとのこと。 Adobe Reader $5,000-$30,000 Mac OSX $20,000-$50,000 Android $30,000-$60,000 Flash,Java Plugin $40,000-$1…

はらロールは神戸のお店。豆乳を使ったクリームとスポンジ生地がとても美味しいです。ルレ・レーブを思い出す美味しさ！リピートしたい。 左から、オリジナルのはらロール、きなこ、フルーツ、抹茶。抹茶美味しい。 東京駅地下グランスタの特設会場に出てい…

「めんどうくさいWebセキュリティ」という本を出します。内容はタイトルの通り、日々めんどうくさくなっているWebのセキュリティについて整理した一冊です。著者はMichal Zalewski氏で、私は日本語版の監修を務めました。 本書の発売を記念して、同時期に出…

「md5crypt() でパスワードを守るのはもう安全じゃないよ」と、作者のPoul-Henning Kamp氏が声明を出しています。 md5cryptパスワードスクランブラーは、1995年に作成されて、当時は十分に強力な保護機能を発揮していましたが、もはや現在は十分ではないので…

”10.0.0.1.xip.io”とするだけで、”10.0.0.1”に名前解決してくれるんだぜぇ〜？ワイルドだろ〜。 他にもこんな感じで。 10.0.0.1.xip.io → 10.0.0.1 www.10.0.0.1.xip.io → 10.0.0.1 mysite.10.0.0.1.xip.io → 10.0.0.1 foo.bar.10.0.0.1.xip.io → 10.0.0.1 x…

2012年07月06日（金）に東京商工会議所の情報セキュリティセミナー技術編にIPAの人として登壇予定です。 内容は2012年版10大脅威や新しいタイプの攻撃あたりの予定です。 1日のセミナーですが、午前と午後で申し込みがわかれているようです。 情報セキュリテ…

一気にニュースになっていますが、LinkedInのパスワード（saltなしのSHA-1ハッシュ）が漏えいして、単純なパスワードの多くがクラックされている可能性があるとのことです。 ユーザーの方はパスワードの変更かリセットをしておきましょう。 Linkedin Blog

セブから帰り、白浜から帰った翌週からロシアのモスクワで行われた「PHDays2012」というセキュリティカンファレンスに行っていました。初ロシア。 セブに行くためパスポートを旅行会社などに預けられないため、ビザ取るのも自分で大使館に行ったりしたので結…

Nmap の新バージョン Nmap 6 がリリースされました。メジャーバージョンアップで改善された6つのポイントは下記の通りです。 NSE (Nmap Scripting Engine) の機能強化 スクリプトがNmap 5 の59個に比べて、6 は348個と大幅に増えています。 Webスキャニング…

仕事の忙しさが、GW前に一段落したので、GW明けから流行りの？セブ島へ英語を勉強しに超短期留学してきました。ちなみに初留学。 滞在期間は5月6日(日)〜5月19日(土)の2週間です。 （授業は5月7日〜5月18日） 留学に行った目的は下記の二つでした。 会話経験…