security

CNET Download.Com上の”Nmap”のインストーラーが怪しい

CNETが提供するDownload.com上のNmapがトロイの木馬だという情報がMLに流れていました。 Nmap Hackers: C|Net Download.Com is now bundling Nmap with malware! 具体的には、Nmapを他のツールとセットにしてインストールするインストーラーでラッピングされ…

Facebookのコンドーム広告が、あなたの胎児からのフレンド申請でやってくる

ブラジルのコンドーム会社の新手の宣伝手法は、ターゲットとなった男性のプロフィールを模して、”Jr.”と名前を付けたプロフィールを作成して、生まれる予定の胎児からとしてフレンド申請してくるとか。 ホントなら気が狂った広告ですね。偽のプロフィールを…

水道局ハックの真実はロシア旅行中の職員のアクセスだった

イリノイ州の水道局に対するサイバー攻撃の調査の結果、ロシアに海外旅行中の職員がリモートアクセスしてきたことだと判明したそうです。 Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report | Threat Level | Wired.com このレポートが本…

感謝祭 ブラックフライデーの次の月曜日は”サイバーマンデー”というスパムに注意

アメリカでは感謝祭翌日の金曜日は”ブラックフライデー”と呼ばれるセールの開始日。店が黒字になるのでこう呼ばれるのだそうです。 スパムの世界にも当然便乗スパムが登場していて、感謝祭の休日の後の最初の月曜日はオンラインで買い物をする”サイバーマン…

PHP Vulnerability Hunter - 自動ファジングテストツール

Webアプリケーションの脆弱性を見つける方法の1つにファジングがありますが、このツールはPHPのWebアプリケーションのファジングテストを自動的に行うためのツールです。ローカルのファイルに対して使うツールとなっていて、ソースコードの分析まで行うとの…

米国政府のセキュリティ予算はIT総予算の8%、相場は19%

来期FY12のアメリカ政府の予算が公表され、ITセキュリティの予算はIT総予算の8%と分析されました。一般的な産業での相場は19%(2007年調べ)だそうです。 日本の感覚に比べると、8%でも多い気がしますね。それだけ日本が安全はタダだといまだに思い込んでる…

水道施設のSCADAのパスワードは3文字だった、と侵入したハッカーが

テキサス州の水道施設のインフラを管理するためのSCADAシステムのパスワードが3文字だったと、Threatpostのメールによる取材に攻撃を行ったハッカーが答えています。 使われていたのは、シーメンスのSIMATIC human machine interface (HMI)というソフトウェ…

ハッキングで大学の成績を改ざん

米カリフォルニア州のサンタクララ大学でハッカーがコンピュータに侵入し、60以上の学生の成績を変更するという事件がありました。Mark Loiseauという25歳の電気工学の学生は、自分の18の成績のF評価を、Aに書き換えたとのこと。 ある女子生徒が成績が書き換…

CSRF generator搭載、Burp Suite Professional

Webアプリケーション診断に使う補助ツールのBurp Suiteの有償版Burp Suite Professionalのv1.4.03が11月10日にリリースされていました。 今回追加されたのが、CSRFの診断に便利なCSRF generator機能です。これまでOWASPのCSRFTester 1.0を使っていましたが、…

AVTOKYO2011終了、Photo Report(開場前のみ)

昨日2011年11月12日に国際セキュリティカンファレンス -AVTOKYO2011がクラブアクシス渋谷で開催されました。 今回も司会で登壇したので、カンファレンス部分はあまり見ることができませんでしたが、会場は盛り上がっていたようです。 恒例のフォトレポートは…

セキュリティカンファレンス PacSec2011 開催中 1日目

11月9日(水)、10日(木)の2日間、青山ダイヤモンドホールにて国際セキュリティカンファレンス PacSec 2011が開催されていて、参加中。今年も興味深いプレゼンから、濃いぃものまで揃っていて、もっとも旬なセキュリティの話題を聞くことができます。 PacSec …

今度はイスラエル政府がAnonymousの標的に

いくつかのイスラエル政府のWebサイトが日曜日にクラッシュし、イスラエル国防軍(IDF)、イスラエル諜報特務庁(Mossad)などいくつかの政府のWebサイトがオフラインになったようです。これはAnonymousのハッカーによるサイバー攻撃ではないかと言われてい…

EUとUSで初の共同サイバーセキュリティ演習

EUとアメリカとの間で初めてのサイバーセキュリティ演習が11月3日に行われました。EU’s Network and Information Security Agency (ENISA) と米国国土安全保障省の支援で、サイバー大西洋2011としてブリュッセルで開催されています。EUでは20の加盟国のうち…

Anonymousが今度はメキシコの麻薬カルテルと対決

メキシコ軍の特殊部隊の脱走者たちが作った世界でもっとも凶暴な犯罪組織と言われている、メキシコの麻薬組織”Los Zetas(ロスゼータ)”がAnonymousの次のターゲットのようです。 Anonymous Mexicoのハッカーはロスゼータに対して、仲間の一人を解放しないと…

「It pwned」をGoogle翻訳すると…。

それプレイステーション2プレイステーション。 It pwned - Google Translate pwnはプレステの代名詞ですか。www ちなみにpwnは「ハッキングされる」みたいな意味で使われます。(Pwn - Wikipedia, the free encyclopedia)

違法ダウンロード活動をSkypeのIPアドレスから特定可能

研究者はSkypeのプライバシーの穴を利用することで、ファイル共有ソフトを利用しているユーザーのIPアドレスをSkypeと紐付けることでユーザー特定することが可能だと述べています。 Skype can be used to tie users to illegal download activity Googleトー…

旅行中にお金を取られた。助けて下さい!

誰かのアカウントをハッキングして、その友人たちを騙すという手口の一種です。具体的には、友達に対して「旅行中にお金を取られてしまったので、私にホテル代と航空券代を送金してくれませんか?帰ったら返すから」というお願いメールやメッセージを送ると…

写真でお届けする HITBSecConf2011 – Malaysia 番外編

2011年10月12日、13日にマレーシアはクアラルンプールで開催されるHITBSecConf2011に参加しています。本編もないのに、いきなり番外編。イベントや会場の雰囲気をお楽しみ下さい。 初日は観光に行ったりもしました。もちろんクアラルンプールでも観光ランニ…

2011年 DDoS攻撃トップ5 とDDoS攻撃対策の提案

Corero Network Security社による2011年のDDoS攻撃トップ5とその対策が紹介されています。 AnonymousによるWikileaksに関連するVisa, MasterCard, PaypalへのDDoS攻撃 Sony Play Station NetworkへのDDoS攻撃 LulzSecによるCIAとSOCA(the U.K. Serious Orga…

作者自身の社会保障番号をマルウェアに埋め込む

マルウェアの作成者が捕まるのは少ない例ですが、M00pのメンバーのArtturi ALMはかなり愚かだったようです。 マルウェアのいくつかに彼の社会保障番号が埋め込まれていて、さらにハンドルネームの”Okasvi”と腕の入れ墨に彫っていたそうです。 もちろん証拠は…

AVTOKYO2011 チケット発売開始、国内外のセキュリティ研究者と交流しましょう

no drink, no hack. を掲げるAVTOKYOを、今年も開催しますよ! 2011年11月12日(土)に渋谷のクラブアクシス(club axxcis)で13時〜20時30分で開催予定です。 チケットは前売り券5,000円でPeaTiXで絶賛発売中です。 AVTOKYO 2011 | PeaTiX スピーカーが誰に…

"Firefox 7"でググると正しいWebサイトに行けない

Firefox 7が出たばかりですが、"Firefox 7"というキーワードでググると正しいダウンロードサイト以外に行ってしまう可能性大です。 firefox 7 - Google 検索 中でも「Firefox 7 download - Firefox7.org」として表示される”firefox7.org”は一見Mozillaのサイ…

マルウェアがDrive-by downloadにステガノグラフィを利用

Alureon rootkitは感染したマシンのマルウェアを更新するファイルにステガノグラフィを利用していることがわかりました。 最近のDrive by Downloadなマルウェアは、新しい機能をネット上からダウンロードしてきますが、Alureonはそのファイルにステガノグラ…

MD5などを解くレインボーテーブル総なめツール「findmyhash.py」

MD5やSHA-1などを解読するためのレインボーテーブルを無償で提供しているWebサイトはたくさんあります、サイトによっては登録されている文字列が違ったりしますね。 findmyhash.pyはPythonで書かれたツールで、数十のレインボーテーブルサイトを自動的に総な…

SSL/TLSの脆弱性を攻撃するRizzo/Duong CBC "BEAST" attack

話題の”BEAST”ですが、Ekopartyで発表があったようですね。発表資料や論文などは公開されていないのかな。 追記:論文はこちら:http://insecure.cl/Beast-SSL.rar Tor and the BEAST SSL attack | The Tor Blog Security impact of the Rizzo/Duong CBC "BE…

Mac OS XにPDFファイルを装ったマルウェア登場

MacにもWindowsでよくあるタイプのPDFファイルに偽装したマルウェアが発見されたそうです。 OSX/Revir-Bと呼ばれるトロイの木馬は、PDFファイルだと思って開くとOSX/Imuler-Aというバックドアをインストールしようとします。このとき開いたPDFファイルには、…

SSL/TLSの脆弱性を攻撃する”BEAST”を防ぐ修正をChromeが追加

今週のEkoparty security conference で発表される予定の、SSL/TLSによる暗号化の脆弱性を攻撃するPoC ”BEAST”の攻撃からの防御策をChromeブラウザが搭載するようです。 GoogleはChromeブラウザのアップデートの準備が完了しているようで、すでに開発者バー…

SSL証明書不正発行のDigiNotarが破産

"google.com"などの500以上のSSL証明書を不正発行されたという事件を起こしたオランダの認証局DigiNotarが、9月19日に自己破産を申請して、裁判所によって破産宣告されたと、親会社のVASCO Data Security International, Incから発表がありました。 認証局と…

Skype for iOSにXSS脆弱性、アドレス帳を盗むことも可能

iPhone/iPod Touch用の Skype 3.0.1以前にはチャットメッセージのウインドウにクロスサイトスクリプティング(XSS)の脆弱性があると、AppSec Consultingのセキュリティ研究者Phil Purviance氏が公開しています。 ユーザーの”名前”欄に悪意のあるJavaScript…

SSL/TLS暗号化に重大な脆弱性、cookiesを復号するPoCも

TLS1.0以前のSSL技術で保護されているWebサイトで、ユーザーとサーバー間を通るデータの効率的な復号を可能にする重大な脆弱性が発見されたとのこと。新しくかつ高速なブロック単位での選択平文攻撃によって、SSLプロトコルの機密性に対して攻撃を仕掛けるよ…