poohSec

プーさんたちとセキュリティ

USB バッテリー充電器にバックドア

2010年03月07日

• USB のバッテリー充電器にバックドア (UnderForge of Lack) Energizer DUO USB battery charger という、USB を使って再充電可能の電池を充電するユニットがあるのですが、それに付属する”Energizer UsbCharger”に、リモートからシステムアクセス可能なバックドアが付属しているというトンデモナイ話が公表されました。
  

  そもそも充電器に付属するソフトウェアとはなんのために必要なのでしょうか？

• ダイエット系の SPAM ツイート大量発生。数百アカウントが乗っ取られた模様！ (in the looop) 次のようなダイエットのメッセージ “Check out this diet I tried, it works!” (このダイエット，きくから試してみて！) や，その下にある “I lost 20 lbs in 2 weeks!!” (2 週間で 20 ポンドもダイエットできた！) といったツイートについた url は絶対クリックしないでください。
• サイバー攻撃に無防備、193 自治体 (YOMIURI ONLINE) 住民の個人情報漏えいにもつながりかねない危険な状態だったが、54 団体は発覚後も「財政難」などを理由に対策をとっていなかった。専門家は「公共性の高さを自覚し、計画的な改善を進めるべきだ」と主張している。 … 中には、住民の個人情報を扱いながら、10 年以上前に欠陥が発覚した古い暗号化システムを使っているサーバーが 495 台もあった。また、5 年前にソフトウエア会社のサポート期間が終了し、セキュリティー対策が一切とられていない基本ソフトウエアを搭載するサーバーも 27 台あった。いずれも、センターは「使うこと自体が問題」と指摘する。
  

  Windows NT ですか？RHEL 2.1 ですか？そういえば RHEL 3 も今年の 10 月までなんですよね。

• 国内初 券面に一回だけ有効なパスワード「ワンタイムパスワード」が表示できるキャッシュカードを開発 (DNP) 利用者は、自分の口座の金融機関が開設するインターネットバンキングで利用する場合、ATM などで使用するキャッシュカードとは別に、専用の表示機能を持つ機器やカード、乱数表が記載されたカードなどを所持する必要があるなど運用上の煩雑さが課題となっています。
• グーグルへのサイバー攻撃 中国高官「詳細な証拠を」 (asahi.com) 苗次官は、中国政府とグーグルとの協議について「我々は正式な接触や協議をしていない」と述べ、「グーグル事件に特化した調査はしていない」と言い切った。ただし、「さらなる情報が提供されることを歓迎する。詳細な証拠があるなら、厳格にこの事件を処理する」とも語った。
• 携帯電話: 山でも通話 OK …各社が基地局整備 — (毎日jp) 背景には利用者の要望がある。稜線 (りょうせん) ではふもとにある基地局を経由して通話できる山が増え、登山の携行品として携帯電話は定番化している。 … 携帯電話会社側も「遭難時に利用してもらうため」 (ドコモ) と整備の意義を強調する。中高年の登山ブームを受けて「山でも通じる」と利用者を囲い込む効果もありそうだ。

Red Hat Security Advisory

• [RHSA-2010:0129-01] Moderate: cups security update (RHEL5)
• [RHSA-2010:0125-01] Moderate: systemtap security update (RHEL4)
• [RHSA-2010:0124-01] Important: systemtap security update (RHEL5)
• [RHSA-2010:0126-01] Important: kvm security and bug fix update

カテゴリー: ニュース

Windows ライセンス証の保護シート

2010年03月06日

• ガンブラーのチェックがんばるー (ver1.08) by yamagata21a (糸の切れた凧)
• 「北朝鮮のミサイルで沖縄に被害」 — デマで恐怖をあおるメールが流通 (ITmedia)
• Windows ライセンス証の保護シート販売中、ノート PC 向け？ (Akiba PC Hotline) 「シートを貼ってからはがすと、おそらくラベルを破損してしまう」とのことなので、使用の際は注意が必要だ。
  

  そうそう、Microsoft もなんでもっと丈夫なシールにしてくれないのでしょうか？

カテゴリー: ニュース

毎週パッチの有無の確認が必要

2010年03月05日

• Opera ブラウザに深刻な脆弱性、パッチは未公開 (ITmedia)
• 携帯サイトの「かんたんログイン」になりすましの問題 (ITmedia) OpenPNE は携帯サイトを中心に利用されているとみられ、多くの携帯電話ユーザーがこの問題の危険にさらされていると、セキュリティ研究者などが以前から指摘していた。
• 3 月の MS 月例パッチは「重要」レベルが 2 件 (ITmedia)
• 「マイミク通信簿」の空飛ぶ、開発中アプリが改ざん — ユーザーにウイルス感染の恐れ (CNET Japan)
• 偽ウイルス対策ソフトも Windows 7 にアップグレード？ (ITmedia)
• 偽の「公式アプリ」で個人情報を盗む — フィッシング詐欺の手口 (ITmedia)
• ソフトウェアパッチは年平均 75 本、4.8 日ごとに導入が必要 — Secunia 調べ (ITmedia)
  

  確かに 1 週間に 1 回くらいなにかしらをメンテナンスしている気がします。

• 危険リンク 345% 増加、セキュリティ脅威の傾向とリスク (マイコミジャーナル)
• 「IE」、ソーシャルエンジニアリング型マルウェア対策でリード — 米調査 (CNET Japan)
• 流出個人情報の再放流犯に対する IBM の奮闘、犯人は今後もやると宣言 (Slashdot) 逮捕された再放流犯は、取り調べの検察官に対して「次回は著作物が混ざらないようにクリーニングして放流してやる」と言い残し、釈放後も、起訴状を掲示板にアップロードして、放流を続ける姿勢を見せたという。日本 IBM の徳田氏によると、今回は放流されたデータ中の日本 IBM 作成の文書の著作権で起訴しているが、個人情報の名簿全体をデータベースとみなして、データベース著作物の著作権侵害で告訴することも検討したが、確実さのために前者に絞ったのだという。
  

  個人情報取扱事業者として認定することはできないのでしょうか？個人情報を持っているなら再放流せずにきちんと管理しなさいと。

• スペインで過去最大のネット犯罪組織摘発 被害 1300 万台に (IT-PLUS)
• 証拠隠滅のため USB フラッシュドライブを飲み込んだ男 (Slashdot) 4 日程「経過観察」が行われたそうだが「自然排出」されることはなく、結局消化器官に傷める恐れがあるとの判断が下され、Necula 氏も病院で摘出処置を受けることに同意したとのこと。
• DNP デジタルコムと KCCS、Web サイト脆弱性診断サービスを提供開始 (マイコミジャーナル)
• Twitter、「拡張性と可用性」を求めて MySQL から Cassandra へ乗り換える (SourceForge.JP Magazine)
• 6 コアの Gulftown は「Core i7-X980」として来週発表へ (PC Watch)
• Intel、『Atom』搭載のサーバー プラットフォームを発表 (japan.internet.com)
• 2010 年 2 月の携帯・PHS 契約数、ドコモが純増 1 位に (ケータイ Watch)
• 光回線機器販売「インプロトテレコム」が倒産 (asahi.com) 2003 年に設立し、賃貸アパートやマンションの家主に光回線を設置すれば、入居率が高まると勧誘して機器を販売。09 年以降は、「無料で光回線を導入できると勧められたのに、高額の費用支払いを求められたのは不当」として、家主らから代金返還訴訟が相次いでいた。代金返却の請求額は総額 10 億円超にのぼるという。
• 夫婦でネットゲーム没頭、乳児が飢死…韓国 (YOMIURI ONLINE)
  

  国内の似たようなニュースからも親の資質のない親が増えているように感じます。子供と同じ目に合わせてやるべきです。子供は親を選べない…。

カテゴリー: ニュース

DEP を回避する Exploit が公開

2010年03月04日

• OpenSSL Kerberos “kssk_keytab_is_available()” Denial of Service (Secunia)
• CUPS “lppasswd” Privilege Escalation Vulnerability (Secunia)
• Opera “Content-Length” Processing Buffer Overflow Vulnerability (Secunia)
• VMware ESX Server Multiple Vulnerabilities (Secunia)
• VMware ESX Server 4 Multiple Vulnerabilities (Secunia)
• PNG ライブラリ「libpng」に脆弱性、国内製品にも影響 (ITmedia)
• Windows のセキュリティ機能「DEP」をかわす方法、研究者が公表 (ITmedia) 今回公表されたエクスプロイトコードは ASLR が無効になっている場合に DEP をかわすことができてしまう方法を実証したもので、DEP が完璧ではないことが示されたとしている。> Internet Exploiter 2 – bypassing DEP (Skypher)
• 「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現 (ITpro)
  

  .htaccess の話ってここにつながるわけですね。.htaccess で Rewrite。よく考えますね。

• Amazon の注文確認を装う詐欺メールが大量流通 (ITmedia)
• 大規模ボットネットの「Mariposa」摘発、首謀者ら 3 人を逮捕 (ITmedia)
• イスラエル兵が SNS で対過激派作戦ばらす、計画中止に (Reuters) 兵士は作戦の時間や場所などの詳細情報を、最新状況としてフェースブック上に書き込んでいたという。
  

  仕事でも SNS を使うのやめてほしいですね。Twitter とか。危なっかしくて見てられません。

• パスワードを保護する方法、IPA が推奨策を紹介 (ITmedia)
  

  特に目新しくない普通のことしか書いていないです。一般人向けですね。

• Google、PayPal ら、政府サイトにもアクセスできる認証フレームワーク構築団体「OIX」立ち上げ (ITmedia)
  

  …米連邦政府向け認証フレームワークなのでもちろんはボクたちは使えません。

• プログラマーの力量を見極める質問 (Slashdot)
  

  とある天才ハッカーにコンテキストとコンテキストスイッチを説明しろといぢめられたことを覚えています。ボク、プログラマちゃうし。

カテゴリー: ニュース

F1 キーを押すと … 爆発します

2010年03月03日

• Apache HTTP Server Multiple Vulnerabilities (Secunia)
• libpng Ancillary Chunks “Decompression Bomb” Denial of Service (Secunia)
• VBScript の未修正の脆弱性を突く PoC が公開、MS が回避策を呼び掛け (ITmedia) 米 US-CERT もこの問題に関連して、「Web サイトで F1 キーを押すよう促すメッセージが出ても、このキーは押さない」「Windows Help System へのアクセスを制限する」などの対策を呼び掛けた。
  

  F1 キー = ヘルプ

• ブルースクリーン問題の MS パッチが配布再開、マルウェア起因のトラブルに対処 (ITmedia) 配信再開にあたっては MS10-015 のインストールパッケージに新しいロジックを実装し、システムの状態に異常が検出された場合はインストールされないようにした。
  

  rootkit が埋め込まれているというメッセージを出してくれるのでしょうか？

• mixi の “登録制” 開始に便乗、迷惑メールや偽サイトに注意 (INTERNET Watch)
• ユーザーにエラーメッセージを読ませるには？ (Slashdot)
  

  このごろ、エラーメッセージを読まないアホエンジニアが多くなりました。

• ソフトバンク、ウィルコム支援へ = 投資ファンドと合意 (ScanNetSecurity)

カテゴリー: ニュース