2017年04月09日

情報処理安全確保支援士登録完了

交付からもう1週経っちゃったけど、無事に「情報処理安全確保支援士」に登録されました。😃
試験合格自体はずいぶん前なので、早速集合講習があるみたいです。
場所が遠くなければいいんだけど。

ロゴマーク使えるけど、登録番号も載せないとなので、
ちょっと思案してます。名刺とかに使うにはいいんだけど、
番号は公開されているので、ネットに晒すのは躊躇するというかなんというか。

posted by koteitan at 11:47| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2017年02月07日

Cookieの有効範囲と省略時の動作について

結果オーライでdomain無指定がうまく機能している状況を目の当たりにして
どういう動きか説明する資料を作成するために、情報収集したので、備忘録しておこう。

Cookieの仕様とセキュリティ > domain指定

domain を指定しない場合は、Set-Cookie を送信したホストにのみクッキーは送信されます。 domain 属性なしで、example.com によって設定されたクッキーは www.example.com や docs.example.com には送信されません。 domain を省略した場合と、domainに今接続しているホスト名を指定した場合ではクッキーが送信される範囲が異なる点に注意が必要です。 サブドメインに送信されてはならないクッキーには domain 属性はつけてはなりません。


CookieのDomain属性は *指定しない* が一番安全 〜徳丸浩の日記


    Domain属性を指定しないCookieは、Cookieを発行したホストのみに送信される
    Domain属性を指定したCookieは、指定のホストおよびそのサブドメインのホストに送信される

すなわち、Domain=example.comを指定したCookieは、www.example.comにも送信されます。Domain属性を指定しないCookieは、example.comに送信され、www.example.comには送信されません。
これは、CookieのRFC2965(旧規格)、RFC6265(現規格)には明確に記述されています。

    3.3.1 【中略】
    Domain Defaults to the effective request-host. (Note that because there is no dot at the beginning of effective request-host, the default Domain can only domain-match itself.)
    http://www.ietf.org/rfc/rfc2965.txt

    4.1.2.3. The Domain Attribute
    【中略】If the server omits the Domain attribute, the user agent will return the cookie only to the origin server.
    http://www.ietf.org/rfc/rfc6265.txt



RFCからの引用があるとお偉い方も納得してくださる。RFC偉大。
posted by koteitan at 11:30| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2017年01月08日

cipherのマッチング順序制御

デフォルトはクライアント優先

以下のパラメータが有効であると、サーバーが優先(SSLv3、TLS1.0の時)

Apache
SSLHonorCipherOrder 

Nginx
ssl_prefer_server_ciphers

BIGIP
Cipher server preference

IHS
無い。常にサーバーが優先
Does IHS have anything like mod_ssl's SSLHonorcipherorder?

No, IHS always uses the servers preference (acts like 'SSLHonorcipherorder on');



うむ、見事にバラバラである。
posted by koteitan at 16:49| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年11月03日

誕生日攻撃 CVE-2016-2183

誕生日のパラドックスからもじったんだ。
しらんかった。わかりやすいようなわかりにくいような・・・。




我々はブラウザとウェブサイト間を長期間トリプルDESのHTTPS通信を監視できるネットワークの攻撃者が785GBのトラフィック量をキャプチャすることでセキュアなHTTPクッキーを再生できることを示す。

785GBがいまどきの感覚で多いのか少ないのか、議論が分かれそうですな。



posted by koteitan at 10:23| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年10月24日

Dirty COW

ロゴといい、サイトといい脆弱性ビジネスの香りが若干するが・・・。
ローカルユーザーから権限を昇格させたり、ReadOnlyファイルに書き込んだりできる。
外部からは厳しいね。
なにかの脆弱性経由でシェル取られた後なら可能だろうけど。




POC

posted by koteitan at 23:11| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年10月22日

small WindowSize DOS

攻撃手法としては古めかなー。
大抵のFW製品やIPSは検知してくれるだろうしね。
slowlorisとか懐かしいな。めがねサルだかリスの画像が出てくるんだよね。
個人鯖とかだとmod_antilorisとかmod_security2をコンパイルビルドして、バーリアッ!しなきゃならんが
エンタープライズな環境だと、専用の防御サーバーが居るだろうしそっちに任せるが
役割分担的にもいいんでないかなー。両方守っておけばそりゃいいけどさ。


備忘録としてメモ


posted by koteitan at 10:07| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2016年09月24日

Nprton WiFi Privacy

iPhone7が発表されて、各キャリアからも20GBとかのプランが出だしたから、
WiFiを利用しないという手も取れるけれども、それでもYoutubeやニコ動を1時間も見れば
パケットは1GBぐらいいくわけなので、やっぱり公衆WiFi使いたいよねぇ。
とはいってもセキュリティ的にアカンやつとかもあるので、自衛したい。
自分の情報を狙われるというより、踏み台にされることが怖い気がするね。

そこで、安心安全信頼のノートン先生のVPN
https://itunes.apple.com/jp/app/id1095519285
アンドロイド版もあるみたいよ。

ちょっと検証してみたけど、テザリングしているとVPNにならない。
(WiFi接続、USBやBlueToothは未検証だし、仕様なのかどうかも未確認)

(1)iPhone  (VPN-ON)
(2)iPad(WiFi版)をiPhoneへテザリング

この状態で確認くんしてみると(1)はちゃんと西海岸なりドイツなりになるが
(2)はSoftBank(筆者はSoftBankキャリア)になる。
中国に出張をよくする友達に聞かれて確認してみた。
行ったことないけど、中国のネットはやっぱ怪しいらしい。
研究職だからかすごい気にしていたね。
posted by koteitan at 20:40| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2012年12月19日

【セキィリティ】日本語版はどういう感じでくるんだろうか・・。

いや、この記事の件だけどね

”話す” ランサムウェアを確認
http://blog.trendmicro.co.jp/archives/6446

ランサムウェアってのは過去にも何回か取り上げたことあるけど、
身代金要求型ウイルスな。

弊社では、「TROJ_REVETON.HM」として検出する新たなランサムウェアを確認していますが、これは、氷山の一角でしょう。近い将来、歌うランサムウェアといった、更に改良が施された不正プログラムが登場するといっても過言ではないかもしれません。

歌うは無いやろ・・・(;´Д`)
「カネハラエー、イマースグ、ドーナッテモシランゾー♪」てか?

後、英語やロシア語で語りかけられてもわからんぞ、というかもしれない。
だが、分析によると稼働しているPCの位置から、その地の言語で話すらしい。

トレンドマイクロは、警察を装う新たな不正プログラムの亜種が、罰金を吊り上げるために「声」を備えたと報告を受けました。この亜種(「TROJ_REVETON.HM」として検出)は、感染したコンピュータを動作不能にしますが、ユーザに支払いを促すために単にメッセージを表示するのではなく、音声でもこの支払いを強いるのです。感染ユーザは、不正プログラムが何を言っているのかを知るために翻訳する必要はありません。不正プログラムは、感染ユーザが位置する国の言語を喋ります。

流暢な日本語でくるのか、ゆっくりボイスでくるのか、河内弁なのか広島弁なのか、丁寧語なのかヤクザ風なのか、
どうでもいい方面が気になってしまうなぁ。
posted by koteitan at 17:59| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

【セキュリティ】Samsungの最新CPU搭載端末に脆弱性 遠隔操作される恐れ

サムスン、モバイル端末向けプロセッサ「Exynos 4210/4412」に全ての物理メモリーに
アクセスできる脆弱性がある可能性

全ての物理メモリにアクセス≒なんでもできる ということですな。
いやはや。恐ろしいですねぇ。

公式発表はまだないので、対策としてはぁゃιぃアプリを入れない、ぐらいしかないですね。
まぁ、私はAndroid端末一つももっとらんので、対岸の火事なんですけれども。

詳しくは参考情報先へ。
該当機種としてはこれららしい。

■ 日本国内で Exynos 4210 または Exynos 4412 を搭載してる端末

Galaxy S2 SC-02C -NTTドコモ
GALAXY Tab 7.0 Plus SC-02D – NTTドコモ
Galaxy Note 2 SC-02E – NTTドコモ
Galaxy S3 alpha SC-03E – NTTドコモ
Galaxy S2 WiMAX ISW11SC – KDD au


参考情報
http://gpad.tv/develop/samsung-exynos-4210-4412-exploit-root-full-access/
http://gigazine.net/news/20121217-samsung-galaxy-malware/
http://forum.xda-developers.com/showthread.php?t=2048511

Ram dump, kernel code injection and others could be possible via app installation from Play Store. It certainly exists many ways
to do that but Samsung give an easy way to exploit. This security hole is dangerous and expose phone to malicious apps.
Exploitation with native C and JNI could be easily feasible.

JNIって聞くとなんかムッハーってしませんか。しませんか。そうですか('A`)
posted by koteitan at 17:41| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2012年11月13日

[セキュリティ] 2012/10のJDK/JRE脆弱性を利用した攻撃の存在を確認

まぁ、健全な皆様は普段はJavaアプレットオフにして、アップデートは毎日チェックが
当たり前なので、問題ないかもしれませんがね、
将棋倶楽部24に熱中しすぎてJavaアプレットオフを忘れてしまうとかいう失態を行うことも
あるわけですよね。
まぁ、俺なんだが。(攻撃コードは踏んでないよ)

https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_20121112?lang=ja_jp

これに出てくるランサムウェアってのは身代金要求型マルウェアのこと。
分かりやすく言うと
「きさまの大事な大事な彼女(嫁でも子供でも大事なものと置き換えてくれ)の写真はロックした!
返して欲しくば金はらえ!」
的な極めて姑息な攻撃をする。

しかし、普段Javaで飯喰わして貰ってる俺が言うのもなんだが、
アプレットって本当にまだ要る技術なのかなぁ・・・(´-ω-`)
確かにmake at once , do any ware の効果は大きい。
いろんな環境で使われることが想定されるようなものを各バージョン毎に用意するのはナンセンスだしね。
しかしローカルアプリならまだしも、アプレットである必要が本当にあるのかな。
WEBサーバー機能だけ持たせておいて、jarのダウンロード、あとは起動方法のリンクだけ書いておくとか。
でもそうすると、クリック一つで管理コンソールが起動する、というメリットが消えてしまい
いちいちダウンロード+コマンドという手間が必要になる。これを受け入れがたい現場とかも確かにあるんだろうなぁ。一度普及してしまったものはそう簡単には無くせない。

一方Appleはjavaのサポートを見限った。
http://developer.apple.com/library/mac/#releasenotes/Java/JavaSnowLeopardUpdate3LeopardUpdate8RN/NewandNoteworthy/NewandNoteworthy.html

意訳
appleはもうしらん。oracleから勝手にダウンロードしてやれ。

まぁ、何にせよJREを消せない人は、
 (1)普段はアプレットオフ
 (2)こまめなアップデート
 (3)大事なファイルが有る(それへアクセスできるも同じ意味)マシンでぁゃιぃサイトへ行かない

これぐらいの古典的対策しか無いのが現状。
ゼロデイもあるので、ノートン先生やマカフィーがあればおkとはいかないんだなぁ。


posted by koteitan at 18:44| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2012年10月26日

不正監視によってブロックされました!俺自身が俺の手によって!

ウイルスバスターのアップデートが!

(1)パターンファイルの自動更新が始まる
(2)システムに変更を加えようとしています!でブロック
(3)アップデート中です。中断しないでください。 でフリーズ
(4)スタート-ファイル名を指定して実行-tistool から「全ての製品を停止」
(5)停止する前にアップデートを終了させてください
\(^o^)/オワタ
(6)無視して再起動する
(7)(1)へ
本格的に\(^o^)/オワタ/

いまどきサポートも切れてる2010(パターンの更新は大丈夫)を愛用していたのがダメだったのか。
覚悟を決めて「くらうど」とやらに更新した。
ファイアウォールも無いし、毛嫌いしていたんだが更新されなくなったサードベンダーのものよりも
更新されているMSのがよいか、という解釈で。

まぁ、結果解ってたことだけど、PCがモッサリ化した。
タスクリストからはバスター関連プロセスが原因とわかっているけどね!

もうT42限界かなぁ。
posted by koteitan at 18:12| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2012年01月05日

hashdos

いろんなこと考える人居るなぁ・・・。(´-ω-`)

アルゴリズムそのものに対する攻撃なので対策は無いというのがまた。
エントリー数を減らしてしまえば問題ないし、改ざんされるわけじゃないみたいだが。

CPUの処理速度が早くなれば成り立たなくなる攻撃でもあるのかな。

http://blog.tokumaru.org/2011/12/webdoshashdos.html
http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html
http://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

POCのリンクもあったんだけど、やめとこ。
posted by koteitan at 18:05| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2011年01月18日

[セキュリティ]ランサムウェア

名前はかっこいいシリーズ。
なんか久々だな。

ランサムウェアとは・・・?
http://internet.watch.impress.co.jp/docs/news/20101203_411460.html
http://www.symantec.com/connect/blogs-138
http://www.keyman.or.jp/3w/prd/21/30002321/
http://blog.trendmicro.co.jp/archives/2899

身代金要求型ウイルスとでもいうのかな。
本当にRSA4096暗号とかかけられたら分子コンピューターとかもってこない限り無理である。
RSAて輸出規制なかったっけ・・・。4096ビットとかいいんだっけ・・?
うーむ、ソースでてこんな。

posted by koteitan at 10:40| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2010年05月21日

[セキュリティ]httponly ねぇ

ちょっと考えればわかるじゃろ。
scriptからアクセスできないからってブラウザにデータが来てないわけじゃない。

ということは、余裕で突破される。相手の方が絶対上手なんだよ。
小手先でどうにかしようとしてもダメ。王道的対応が必要

以下のリンクが一刀両断していて気持ちいい。
http://itpro.nikkeibp.co.jp/members/NBY/Security/20040809/148386/?ST=tech_dev

posted by koteitan at 19:26| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年07月15日

U+202E

Unicodeは便利だが便利過ぎて怖い面もある。
切れすぎる包丁というかナイフというか。

U+202E (RIGHT-TO-LEFT OVERRIDE)という制御コードを用いれば
拡張子偽装が簡単にできてしまう。
アイコンや、説明文も合わせて改ざんされていると
はっきり言って区別できない。
(中身を見るとかはあるだろうけど)

RLO1.jpg

※これは説明やアイコンは偽装していません

例の様なファイル名だと突然exeが名前に出てくるのでぁゃιぃと
感づくかもしれないが、英語名などに混ぜ込まれるとわかりにくくなる。

対策としては、windowsの標準機能にてブロックしてしまうことが
考案されている。

U+202E (Right-to-Left Override;RLO)使用の拡張子偽装法を防ぐには:拡張子を表示させる設定でも危険!
http://d.hatena.ne.jp/famnet/20090408/1239193335

[SECURITY] Unicodeで拡張子を偽装された実行ファイルの防御方法
http://d.hatena.ne.jp/hasegawayosuke/20061222/p1

1. メモ帳を開いて、"**"と入力する(前後の引用符は不要)。

2. "*"と"*"の間にキャレット(カーソル)を移動させる

3. 右クリックで「Unicode 制御文字の挿入」から「RLO Start to right-to-left override」「RLO Start of right-to-left override」を選択

4. Ctrl-A で全て選択、Ctrl-C でクリップボードにコピー。

5. ローカルセキュリティポリシーを開く

6. 画面左側の「追加の規則」を右クリック

7. 「新しいパスの規則」を選択

8. 「パス」欄で Ctrl-V をして、メモ帳の内容を貼り付ける。

9. セキュリティレベルが「許可しない」になっていることを確認して「適用」

以上で、this-(U+202E)txt.exe(表示は this-exe.txt) のような、拡張子が偽装されたファイルの実行を禁止できる。


※5 コントロールパネル-管理ツール-ローカルセキュリティポリシー
※6 ソフトウェア制限のポリシー-右クリック-新しいポリシーの作成
   追加の規則…(以下同じ)

windowsのシステムも例によって逆に読まれてしまうので、
1ファイルぐらいならDELを押してみると・・・

RLO2.jpg

このようにファイル名中にRLOが入っているため、

「'秘密[RLO]gpj.exe'をごみ箱に移しますか?」

「'秘密?かすまし移に箱みごを'exe.jpg」

と謎の日本語になる。
怖いですなぁ・・。
posted by koteitan at 18:19| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年06月24日

レジストリ破損から復活するには

いつものようにwindowsの電源をいれてら、

次のファイルが存在しないかまたは壊れているため、Windows を起動できませんでした: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

というメッセージと共に懐かしいDOS画面が出てきて
ガ━━(゚Д゚;)━━━ン!! とかなった人も居るだろう。

まぁ、賢いみんなはバックアップからシステム戻して終了。
データなんて別保管だから痛くもかゆくも無いはずだよネ。

後学のために、強引に治す方法は
・回復コンソールで頑張る
 Repairフォルダからバックアップを戻す方法
http://www.e-joy.co.jp/supp/faq/winxp/00014.htm
http://support.microsoft.com/kb/307545/ja
http://qanda.rakuten.ne.jp/qa3506122.html

などだが、プリインストール機などで、Repairフォルダにバックアップなんか
ねーよ!!な場合、(*.bakはあるかもしれない)
さらに酷いことになりかねない。(コンソールすら無理になったり)

そんなことになっても、我らがknoppix様ならなんとかなったりする。
 knoppixでシステムドライブをマウントし、System Volume Informationから最新のバックアップを戻す方法

「System Volume Information」に感謝。
http://ymch.jp/blog/?mode=all&no=2380
http://totoro0306-lj.hp.infoseek.co.jp/60/VAIO.htm
KNOPPIXでsystemファイルを修復
http://mogg.blog.ocn.ne.jp/mogg/2008/08/knoppixsystem_0ae7.html
http://www.rcis.aist.go.jp/project/knoppix/
http://pasokoma.jp/44/lg447999.html

こっちの方法がGUIでサクサクとパスワードもなんにも無しで
できてしまうので、っていいのかそれ・・(;´Д`)

こういう方法でダメなら物理破損を疑ったほうがいい。
それよりknoppix超便利だけど、怖い。windowsセキュリティが
まったく役に立っていない。最近のものはUSBメモリからもブートできるし、
そのUSBメモリの容量も16GBとかあるのでぶっこぬきもできてしまう。

対策として考えられることは物理的にデバイスをロックしておく、
BIOSパスワードをかけておき、外部ブートできなくする、
HDDを暗号化する、などなど。

しかし、これを施すと逆に今回のような症状のときに治せないという
ことになるので、バックアップは大事ですぜ。


posted by koteitan at 18:31| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年06月10日

backdoor in BIOS!

昔書いた組み込みHackのPC版とでも申しましょうか・・。

http://itpro.nikkeibp.co.jp/article/COLUMN/20090511/329755/

最近のBIOSは3MBもあるんですって。奥さん、聞きました?
昔のパソコンだと128KBとかですよ。追加メモリ買ってこないと
MSDOSすら動かないのですよ。
いまどき、爪の先ほどのmicroSDですら8GBとかですよ、
なんということでしょう。私が最初に買ったHDDなんて、いまどきの
キューブPCほどの大きさもするのに100MBですよ。
携帯電話のメモリよりも少ない。
取り乱しました。ごめんなさい。

というわけで3MBもあればbackdoorとしては何でもできる。
必要ならオンデマンドでアップデートさせればいいしね。

とか言ってると本気でやる愉快なやつらが居たよ。
http://i.zdnet.com/blogs/core_bios.pdf

pythonで100行とあるが、中身はバイナリの羅列じゃねーのかよと。
動作の仕組みなどは解答処理にパッチして空きエリアへすっ飛ばし、
そこに書き込んだ自己コードを実行させ元の処理へ、
となんかデジャブ。
( ゚д゚)ハッ! 自己解凍形式のゲーム改造とかこれじゃん。
(winnyなどのUPXで圧縮されているものに手を入れるのもこの手)

て、ことはこの手を発見するにはその手のゲーム等が
チート対策で行っているようなことをやれば・・・って出来るのかね。

でもって、最悪検出できなくてBIOS-backdoorが入ったとしよう。
それを検出するのははっきり言って容易では無いよな。
専用のハードウェアが書き換えられているかを検出するぐらい?
しかしこれは今のupdatableなBIOSより不便だしなぁ。
書き換え可能ならそっちも潰せば検出できなくなるし。

あと、このPDF記事で面白い表現がある。

Vendors provide perodic update to add new features and fix bugs.
They also provides it's own tools to flash from DOS ,windows,
and even from ActiveX!


perodic がようわからん。periodic なら定期的にだが。
辞書が手元に無いのさ(´∀` )ハハハハ

超俺的意訳すると
BIOSってのはさー、定期的に新機能やバグ修正で更新されるじゃん、
でもってその更新には大概各社のツールでやるんわけだよ。
DOSとかwindowsとかで動くね。
あー、あとActiveXでも動いちゃうんだね!(((( ;゚д゚)))アワワワワ

つまりぁゃιぃサイト回るときはActiveX オフ。絶対。
再起動汁とかでたら、もう終了のお知らせかもしれんよw
 




posted by koteitan at 16:54| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年01月07日

[セキュリティ]セッションハイジャックだって?

ダメだ。笑いを堪えられない。
document.cookie に JSESSIONID="てきとうな値を入力" をやってみて、
ハイジャックできない。なぜだ?と言う。
いかん、素人だ。やばい。剣鉄也呼んできて!

WebSphereのJSEESSIONIDは27桁(英数半角大文字小文字)+
サーバーID9桁(文字条件同じ)

セッションIDだけに着目してみる。
長生きする必要がある。宇宙開闢から130億年。
1.3E+9 をよく記憶しておこう。続きを読む
posted by koteitan at 20:04| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2008年07月15日

spamのヘッダーを解析してみよう

スパムといえば、ゴーヤチャンプルなんだがなぁ。

このサイトはスパムのヘッダから、ブラック入りのIPかどうか
偽装ヘッダかどうかを判定してくれる便利ツールである。

http://nayuki.homeunix.com/~stakasa/cgi-bin/hdpar.htm


spamに対するもっとも簡単で且つ最大の効果がある方法は
無視することだ。
posted by koteitan at 18:26| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする