太郎日記’79J

「やったろうやないの。」な太郎のblog
技術ネタはタロタローグに任せて、こっちはニュースメインで。
<< August 2017 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >>
 
RECOMMEND
MySQLによるタフなサイトの作り方
MySQLによるタフなサイトの作り方 (JUGEMレビュー »)
佐藤 真人,桑野 章弘,岡田 達典,大黒 圭祐
MySQLだけでなく、DBサーバやアプリの設計など、あらゆる手段を使ってタフなサイトを作る本である
最新記事
あわせて読みたい
あわせて読みたい
なかのひと
ClusterMaps
CM by JUGEM
スポンサーサイト

一定期間更新がないため広告を表示しています

- | 個別記事 | - | -
まぁ、ユニークな方が受け入れられるよね。

空自の“自虐ポスター” 情報漏洩防止に効果!?(MSN産経ニュース)

「私が情報を漏らしました 元自衛官が実名告白」…衝撃的な“見出し”が並ぶ「週刊秘密保全」の広告。実はこれ、航空自衛隊が隊員に情報の漏洩(ろうえい)や流出の防止を呼びかける秘密保全がテーマの啓発ポスターなのだ。週刊誌の車内つり広告をまねたユニークな発想と、“自虐的”な見出しが空自内で話題となっている。全国の部隊で掲示されているが、その効果は!?
日本の航空自衛隊は何処へ行ってしまうのでしょうか・・・?
でも、読みたい内容ばかりなところが素敵だ。

JUGEMテーマ:ニュース

Microsoftさんが、「脆弱性はここですよ〜」と教えてくれたから攻撃できました!だから違法じゃありません!?

パッチから exploit を自動生成する技術(Radium Software)

カーネギーメロン大学の研究者による,パッチから exploit を自動生成する技術の論文。パッチによって変更される箇所を解析することにより,パッチ適用前のプログラムに存在していた脆弱性を見つけ出す,というもの。
これは凄い攻撃方法。
パッチから脆弱性を逆引きすると言う、言われてみればそうだよね的な手法です。
まぁ、パッチの方が攻撃より先なので、ゼロデイ攻撃とまでは行きませんが、
出たばっかりのパッチだからまだ更新されないPCが多い事は間違いないでしょう。
なので、ワンデイ攻撃?とでも言いましょうか?
相当な攻撃力ですね。

しかも、例えばパッチが出た瞬間は真夜中で、大多数の人がそれから半日近く経って
ようやくパッチの存在を知ると言うような国、
つまりパッチが最初に公開される国の地球の真裏の国の人全員を攻撃できると考えれば、
ほぼゼロデイ攻撃と変わらないですよね。
なんて恐ろしい技術だ。

JUGEMテーマ:インターネット
見よ!福岡脅威のメカニズム!!

ウィニーで地図取得容疑 兵庫県警巡査を書類送検へ(asahi.com)

 ファイル交換ソフト「ウィニー」を利用して住宅地図最大手ゼンリン(北九州市)の著作権を侵害したとして、福岡県警は24日午後、兵庫県警の男性巡査(31)らを著作権法違反(公衆送信権の侵害)容疑で福岡地検に書類送検する。県警は今月上旬、巡査の自宅を捜索し、押収した私物のパソコンに大量の同社製の地図データが保存されているのを確認。これらのデータをウィニーで入手し、他の利用者も取得できる状態に公開した疑いがあるとみている。
最近、日銀内部資料流出などで久しぶりに話題に上がってきたWinnyの、
画期的な逮捕(書類送検)のニュース。

まず第一に、今までは、ソフトウェアをどっかから入手してきて、
ソフトウェアの形で共有可能にしてた人間が捕まってたけど、
何と今回はソフトをWinnyで入手し、そのまま放置しといた人が捕まった。
第二に、福岡県警が、独自の検索法を開発したらしいと言う事。

ソフトを最初にWinnyネットワークに入れた奴ではなく、
それを拾って共有可能にしといた奴(キャッシュ状態?)が逮捕されたのは斬新。
今後、どんどん逮捕者が増える可能性のある新しい決断だと思われる。
ただ、とりあえず家に押しかけて、PC見てWinnyのキャッシュ持ってたら逮捕とか、
そういった暴走方面に行かないことを祈る。
そういった意味でも、この独自の検索法の正体が知りたい。
正体を公開して、なるほどなー!と思わせる技術であることを証明して、
Winnyでの逮捕者を増やしつつ、抑止力になりつつ、日本の技術レベル向上に貢献して欲しい。

ウィルスバスター2008は、ハッキリ言ってゴミ!

最近ウィルスバスターを2008にしたんだが、

これが全く使えん!

まず、SpybotやadAwareなどの定番ソフトと競合するらしく、
ウィルスバスター2008のインストール時にこれらを削除させられる。
ウィルスやスパイウェアの対策が1つのソフトで完璧になるわけなどなく、
(1つのソフトだと、どうしても発想が1つになる。トレンドマイクロが気付かず、Spybotが気付く発想もある)
複数種類の防御策を講じる必要があるのに、これはかなりダメな機能だ。

また、迷惑メール対策機能が付いてない。
2007の時は迷惑メールに[MEIWAKU]と付いていたのに、
2008になったらその機能が削除されたようで、
受信フォルダに迷惑メールがたまりまくっている。
こんな目につきやすい部分の重大機能を省くという発想がヤバイ。
明らかに機能がダウンしてるように見えるこの迷惑メール判定機能の削除は、
ウィルスバスター2008のウリである、
ウィルスバスター2007に比べてメモリ使用量50%削減
が、必要な機能を削除しなきゃならない、
言っちゃったがために引っ込みの付かないことになっただけみたいな印象を受ける。
普通の思考があれば、「見えないところの無駄を削ろう」となる筈だ。
それが、毎日見える迷惑メール機能のオミットにまで及ぶと言うコトは、
かなりの非常事態なのだろう。
おそらく、ウィルスバスター2008はただの張子の虎なのではないだろうか?
実は見た目だけの常駐で、内実は何もしてないソフトなんじゃないか?
そんな印象すら与える。

ウィルスバスター2008を買った俺だからこそハッキリと言える!

ウィルスバスター2008は使えないゴミ!

報道が決めるのは、Winny流出ファイルの「寿命」ではなく「所有者数」では?

Winny流出ファイルの寿命を決める要因は「書き込み」や「報道」(@IT)

ウイルス感染などによりWinnyネットワークにファイルが流出してしまっても、その後のダウンロードの状況によっては消滅することがある。ただ一方で、掲示板への書き込みやプレスリリース、ニュース報道などによって流出ファイルの所有者が増加すると、長期にわたってWinnyネットワーク上にとどまる傾向がある――ネットエージェントが10月16日に公表した「Winnyネットワークにおける流出ファイル推移調査結果」からは、このような傾向が明らかになった。(2007/10/16)
よくある「Winnyでの情報漏えい」事件の、
流出ファイルのその後。

続きを読む >>
Googleを制するものはクラックを制す

クラッカーがGoogleを使って脆弱なサイトを探す方法の例(Geekなページ)

Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた「Google Hacking Database (GHDB)」というサイトがあります。そこでは様々な検索キーワードが紹介されています。紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。)(2006/12/28)
俺のソーシャルブックマークに、
ブログに載せる記事としてずっと残っていた、
Googleを使って、脆弱なサイトを探す方法です。

内容はこんな感じ。

秘密鍵
BEGIN (CERTIFICATE|DSA|RSA) filetype:csr
ユーザ名とパスワード
"admin account info" filetype:log
アクセス解析CGIのパスワード
"AutoCreate=TRUE password=*"
FTPソフトの保持しているパスワード
"index of/" "ws_ftp.ini" "parent directory"
どれも結構怖いですよね。
最近だと、確かGoogleがフィッシング対策用に作ってるブラックリストから、
ユーザ名とかパスワードが漏れ出してたりしたそうですし、
URLですら油断できない世の中になっているというわけです。

そろそろクレジットカードが欲しいニャー

猫にクレジットカードが発行される オーストラリア(Exciteニュース)

[シドニー 4日 ロイター] オーストラリアの銀行が猫にクレジットカードを発行してしまい、謝罪する羽目になった。猫の飼い主が銀行の身元確認におけるセキュリティをチェックしようとカードを申請したところ、発行されたという。(2007年01月05日 12時49分)
銀行の身元確認システムのセキュリティに関する、
笑える「笑えない話」。
オーストラリアのキャサリン・キャンベルさんが、
銀行に対して「猫の名前で」クレジットカードを作ろうとしたそうです。
目的は、銀行の身元確認システムが、
ちゃんとセキュアに機能しているかの確認です。

まぁ、勿論相手は猫です。
戸籍にも載ってないし、
人間でもない。
カードなんて出来るわけないですよね。

  ,j;;;;;j,. ---一、 `  ―--‐、_ l;;;;;;
 {;;;;;;ゝ T辷iフ i    f'辷jァ  !i;;;;;   
  ヾ;;;ハ    ノ       .::!lリ;;r゙   
   `Z;i   〈.,_..,.      ノ;;;;;;;;>  そんなふうに考えていた時期が
   ,;ぇハ、 、_,.ー-、_',.    ,f゙: Y;;f     俺にもありました
   ~''戈ヽ   `二´    r'´:::.
じゃーん!
カードは出来てしまいました。
もうやりたい放題ですな。
今度は隣の家のペットのイグアナ辺りの名前で、
3枚目のクレジットカードでも作りますか。

一応、対処はしたみたいです。

銀行側はすでにこのクレジットカードをキャンセルしたことを発表、声明で「あってはならないことが起こってしまい、謝罪いたします」としている。
銀行側はセキュリティの徹底見直しを行って欲しいですね。
この銀行だけでなく、この記事を見た全ての銀行が。

そうなる前に、金属バットでコンピュータを破壊しろ!でも感電して相打ちかもよ!?
「コンピュータの攻撃で死者も出る」―サイバーテロの未来を予測するマカフィー(CNET Japan)
「マルウェアの歴史には2段階ある。1980年代後半から2000年ごろまでは、ウイルス作者の主な目的は趣味で作ったウイルスで自分の能力を自慢し、有名になることだった。それが1990年代後半以降は、犯罪や金銭目的が主流となり、ボットやバックドア、パスワードスティーラー、スパイウェア、アドウェアなどが急増している」―マカフィーは11月2日、セキュリティの最新事情について説明会を開催し、McAfee Avert Labsでウイルス対策とスパイウェア対策の研究・開発を統括するJoe Telafici氏がこのように語った。
(中略)
さらにTelafici氏は、「遅かれ早かれ、コンピュータの攻撃で死者が出ることもある」と述べた。(2006/11/20 22:08 )
恐ろしい未来の話。
コンピュータへの攻撃が、人の死に繋がる未来が来るというものです。
まぁ、漫画やアニメ、ドラマや映画など、あらゆる物語において
コンピュータの暴走の話は描かれています。
この説明会におけるコンピュータによる死は、
要するに病院や軍事関係など、人の命にかかわる現場への
ウィルス攻撃による被害ですが、
社会インフラをコンピュータに頼っている現代においては、
いつ「Pluto Kiss」が発生してもおかしくありません。
問題は、個人レベルではこういった問題に対処するのが難しいというコト。

ですが、割れ窓理論に従えば、われわれ個人が現存するウィルスに対して
しっかりと自衛をし、彼らを蔓延らせないことにより、
より強大なウィルスの誕生を阻害することが出来るはずです。
マカフィーも、ウィルスと直接戦闘が可能な
オンラインゲームでも出してくれませんかね?
次は「マネージャ必見!安全なウェブサイトの作らせ方」とか「安全なウェブサイト構築のための顧客説得術」が欲しいね。

安全なウェブサイトはどうやって作るのか(CNET Japan)

独立行政法人情報処理推進機構(IPA)は11月1日、ウェブサイト開発者や運営者向けにセキュリティ対策資料「安全なウェブサイトの作り方 改訂第2版」を発行した。(2006/11/02 20:24)
チラッと見た感じですが、これは結構いいんじゃないですかね?
と言うより、必携って感じですかね。
基本的なことばかりをわかりやすく解説してるので、
入門書としてオススメです。

「詳しい内容はリンク先をみてねハート

って感じでしたが、まず初級者やこれからWebサイト作りをする人は、
リンク先の細かい話を飛ばしてもよさそうです。
そう考えると、印刷して配布するとかが便利そうですね。
印刷しても大丈夫なのかな?ライセンス的には。

味方になると弱くなるの法則が働いてちょうどいいくらいの強さ、それがWinnyの脅威
Winnyはどこまで危険か(CNET Japan)
新宿で開催されたセキュリティに関するカンファレンス「ブラックハット・ジャパン・2006・ブリーフィングス&トレーニング」。講演2日目の10月6 日、ネットエージェント代表取締役の杉浦隆幸氏によるセミナー「Winnyのプーさん」が行われた。杉浦氏はWinnyの暗号を解読し、発信者のIPアドレスや検索ワード、ファイル名などを検知するシステムを開発。Winnyによる著作権違反ファイルの流出やAntinnyウイルスによる情報漏洩源の追跡などをしている。(2006/10/08 10:12)
Winnyの話。
話題になった当初は、
「わけのわからない怪物」
感のあったWinnyですが、
このところは大分見えてきて、制御可能なものへと推移してきたって所でしょうか。
今後、この流れが進んで、
ファイル交換以外にも、
色々なところで活躍して欲しいものです。
Winnyネットワークがもっとおおっぴらに使いやすいものになれば、
それを利用して楽しいアプリとかが出てきそうですしね。
あと、金子氏が無罪になり、Winnyのセキュリティホールを埋めて欲しいというのは同感。

Copyright (C) 2004 paperboy&co. All Rights Reserved.

Powered by "JUGEM"