ノートパソコンを盗まれたEmma Partingtonさんは、GPSトラッキングソフトをインストールしていたお陰で警察の協力を得て犯人を捕まえることができたそうです。 盗まれた後に、GPSトラッキングソフトの機能を使ってWi-Fiのアドレスから位置を割り出したり、犯…

Nimdaウイルス（ワーム）が発見されたのが2001年9月18日で10周年だそうです。 Nimdaは、メールやファイル共有、Web経由で感染したり、IIS4や5のディレクトリ・トラバーサルの脆弱性を利用するなど感染力が強いウイルスでしたね。名前の由来は「admin」を逆さ…

no drink, no hack. を掲げるコンピューターセキュリティイベントAVTOKYOを開催します！今年もスピーカーを海外からも招待する予定です。 開催日：2011年11月12日(土) 開催場所：club axxcis SHIBYA (クラブアクシス渋谷） スピーカーやイベント内容、参加費…

アメリカのショッピングモール「Westfield Malls」のiPhoneアプリ「Westfield Malls（App Store）」には「Find my car」という機能がありました。 これはショッピングモールの駐車場に備え付けられた監視カメラを使って、映った車のナンバーを把握し、駐車場…

9月5日にComodohackerがDigiNotarの不正侵入のオマケ的に、不正アクセス可能だよと述べている問題について、グローバルサインに専用のページができていた。9月15日に段階的に再開予定のようです。 弊社証明書をご利用のお客様へのご案内 | SSLサーバ証明書な…

二人の研究者がタイポスクワッティング（Typosquatting）の効果を調べるために、フォーチュン500社の中から30個用意して半年間調べた結果、12万通、容量にして20ギガバイトの間違いメールを受信することができたようです。中には、従業員のユーザー名やパス…

Alexaのトップ10,000Webサイトに対して、セキュリティ関連のHTTPヘッダーや、モバイル端末での違いなどを調査した結果が公表されています。調査にはUA-Testerというツールが使われています。レポートは2011年3月14日段階で収集した物を解析したとのこと。セ…

window.twttr = (function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0], t = window.twttr || {}; if (d.getElementById(id)) return t; js = d.createElement(s); js.id = id; js.src = "https://platform.twitter.com/widgets.js"; fjs.paren…

IEEEやstate.govといったサイトにXSS脆弱性があると公表されています。まだ直ってないサイトも多数です。 20 Famous websites vulnerable to Cross Site Scripting (XSS) Attack ~ THN : The Hacker News そういや、XSS可能なサイトのアーカイブのXSSedって…

The Register, The Daily Telegraph, UPS, Vodafone, Acer, National Geographic などの有名なサイトがDNSハッキングによって被害を受けたようです。DNSハッキングによって表示されるページには以下のようなトルコ語を含んだメッセージが表示されたようです…

来週7日（水）に熊本県情報セキュリティ推進協議会主催で熊本学園大学にてIPA経由で講演してきます。内容は毎年開催していた中小企業情報セキュリティセミナー「技術コース」の2011年版です。 情報がどこにも出ていない気がするのですが、どうやって参加者を…

Linuxカーネルを管理するkernel.orgがハッキングされました。複数のサーバーのroot権限が取られ、システムが改ざんされました。rootkitは遅くとも8月12日から仕込まれていたようで、17日間検出されずに潜伏していたとのことです。 Kernel.org Linux reposito…

Pakistan Telecommunication Authority (PTA)からプロバイダに通達された内容によると、ネットワーク上のすべての暗号化トラフィックをブロックするようにと指示があったようです。 2010年に制定された回線利用に関する条例に従って、リアルタイムに音声とデ…

多くのGoogleのSSLサービスに対してMan-in-the-Middle攻撃可能にする ”*.google.com”というワイルドカードを使ったSSL証明書が発行されてしまったようです。 この問題の証明書はオランダの認証局DigiNotarで7月10日に発行されました。証明書は証明書失効リス…

Facebookにセキュリティバグを見つけて報告すると最低500ドル支払うという、Security Bug Bountyプログラムが先月から始まっています。 開始から3週間でFacebookは40,000ドルを発見者に支払っているようです。そして、もっとも効果的なレポートには5000ドル…

私もうっかりJailBreakしてしまった、訪れてワンクリックするだけでJailBreakできるJailBreakMe.comを運営するNicholas Allegra（COMEX）氏がAppleにインターンシップとして入ったようです。 JailbreakMe3.0は安全か？と書こうとしたら、うっかりJailbreakし…

Anonymous向けのDDoSツールとして「#RefRef」というのが公開されています。効果はPastebin.comを攻撃して実証済みなんだそうです。 動作させるためには、まずSQLインジェクション可能なところを探す必要があります。そしてそこに対してSQLインジェクションで…

Facebookのユーザーが自分の周りにもかなり増えてきています。最初は面識がある人ぐらいしかいなかったのに、だんだんあんまり交流がない人も”友達”になっています。 知らない（覚えていない）人からのリクエストを許可するかどうかの判断基準は、共通の友達…

香港証券取引所のニュースサイトに対するDDoS攻撃を仕掛けた29歳の男が逮捕されたそうです。警察によって、17組（台？）のコンピュータ、2台の携帯電話、5台のストレージが押収されたとのこと。 8月10日の午後に香港証券取引所がDDoS攻撃を仕掛けられたこと…

Adobe Photoshop CS5 でExploitを仕込んだGIF画像を開かせることで、攻撃者が仕掛けた不正なコードを実行させるという脆弱性があるようです。Exploitが公開されています。 かなり限定的な条件なので脅威は少なそう。なんか珍しいのでメモ。 Adobe Photoshop …

こんなのあったんだ。対IPv6用の攻撃ツールキット。 DEFCON CTF本戦もIPv6だったし、そろそろ自宅の環境ぐらいはIPv6にしてみようかな。 THC-IPV6 - attacking the IPV6 protocol suite

Apache Struts（2.2.0以下）のRemote Command ExecutionのExploitが公開されています。実行されると、リモートから不正なコマンドが実行可能なようです。 当然のようにMetasploitにも追加済み。稼働中のStrutsは要注意です。 Apache Struts < 2.2.0 Remote C…

研究者によってAESアルゴリズムに欠陥が発見されたようです。この新しい攻撃によって、専門家の予想よりも4倍速く秘密鍵を見つけることができるとのこと。 AESは過去10年はさまざまなテストが行われていましたが、これまでは欠陥は見つかっていなかったとの…

赤外線サーモグラフィカメラを使って、ATMの暗証番号の入力の痕跡を可視化して、暗証番号を盗むことができるという発表がありました。入力の10秒後なら約80%の成功率、45秒後なら60％で取得できるそうです。 10秒はともかく、45秒もあれば実現できる可能性は…

Android版のDropboxにはセキュリティ制限をバイパスできる脆弱性があり、それが悪用される可能性があるという報告がありました。 Dropboxには他のアプリケーションと連携する機能がありますが、この機能を使ってファイルなどをエクスポートする際にセキュリ…

キャンプは8月10日(水)から開始していて、すでに3日目。今年もWebセキュリティクラスの講師として参加していて、私の担当の講義も終わっています。Webのセキュリティ問題で、現在解決できていない問題についてディスカッションなども行いました。 明日はCTF…

先日ラスベガスで行われていて、私も参加していたDEFCON19にて、会場であるRioホテルからキャリアまでの間のCDMAと4Gのネットワークに対して、土曜日の朝から月曜までMITM（中間者攻撃）が行われていたという投稿がFulldisclosureにありました。 そのネット…

資料のダウンロードが早速始まっていますね。 参加した人も、参加していない人も下記からダウンロード！ Index of files - Good.net

あっという間にもう最終日の午後。今日が終わったら日本に帰ります。 DEFCON CTF CTFももちろん最終日。今日は朝から得点が表示されていません。攻撃や対策が効果があったかどうかわからないのがもどかしいところ。 2日目の夜の作戦会議風景。 3日目もブース…

モヒコン（Mohawk Con）、名前の通りモホーク族、ではなくモヒカンにするというものです。カット代はEFF（Electronic Frontier Foundation）に寄付するみたいです。 こんなの人気がないだろと思っていたら、行列ができて続々とモヒカン族が誕生しています。…