2019年2月16〜17日のtwitterセキュリティクラスタ

「被害を防ぐために利用者ができることはほとんどない。」って本当!?

通販決済、精巧ニセ画面…1万3千人分被害か : 国内 : 読売新聞オンライン yomiuri.co.jp/national/20190…
こわ…正規サイトにアクセスして途中からすり替わったら確かに気づけないだろうなあ

通販サイトの決済ページに似せた精巧な偽画面で、カード情報1万3千人分被害。

> トレンドマイクロ「被害を防ぐために利用者ができることはほとんどない。」
これホントに言ってるなら、セキュリティ会社辞めた方が良い。元々信用してないけど。 yomiuri.co.jp/national/20190…

よく考えたら、遠回しにばかにされたのかな?「遠回しの皮肉で言ったつもりだったのですが、どうにも遠回しすぎて意図の誤解が産まれてしまうよう」な
頭の悪い奴って。
あと、都合が悪いから削除の対策で、スクショと魚拓は必要なんだなー、と思った。誤解なら消さずに反論しないと意味ないよね。

あぁ、消えたら元の話がわからないから、スクショを。
皮肉だそうです。
yomiuri.co.jp/national/20190… 元記事は、正規サイトで決済画面だけ偽物に差し替えられたというもの。通常はサイト側の処理なので、サイト側の改ざん防御が必要な話かと。 pic.twitter.com/IPX0zHwnHR

その流れで、ウチの改ざん検知製品入れてれば防げ(ry というゲスな宣伝はありとは思う。
auditdやtrip wire,ElasticStack(auditbeat=実質auditd)の有用性のページ作って宣伝もありかもしれないが、コンシューマ向けの記事だから「利用者ができることはほとんどない」。

某アカウントが叩かれてるけど、つまり送信先のブラック/ホワイトリストとか異常検知、改ざん自体の検知、MITM して実現されてるであろう不正送金防止機能とかで防げない方式ということなの? / 通販決済、精巧ニセ画面…1万3千人分被害か : 国内 : 読売新聞オンライン yomiuri.co.jp/national/20190…

@you0708 そういう複雑・高度な攻撃ではなく、こちらで説明している攻撃のことだと思います
blog.tokumaru.org/2018/10/ec.html

ありがとうございます。なるほどユーザ側のセキュリティソフトで防ぎようのある攻撃ということですね。 twitter.com/ockeghem/statu…

@you0708 ユーザ側のセキュリティソフトで防ぐのは現実的には難しい気がしますが

@ockeghem むむ、否定形だったのでそうだと思ったのですが、先ほどの機能で防げるような攻撃ではあるがセキュリティソフトでは無理というのはどういうことでしょう?

@you0708 ああ、すみません。複雑・高度な攻撃ではないが、セキュリティソリューションで防ぐのは難しいと思います。改ざん検知等でサイト側で早期検知することは可能だと思います

@ockeghem むむむむ、すみませんもう一度確認させてください。最初に挙げたようなユーザ側のセキュリティ製品で可能な機能では防ぐことは、可能ではあっても数が多いとか諸事情で現実的には難しいだろう、という意味で合っていますか?

@you0708 挙動としてはフィッシングサイトに誘導されたようなもので、単に偽の画面上でクレジットカード番号を入力しているので、偽画面のURLがわかっていればブロックできますが、それは通常難しいだろうということです

@ockeghem @you0708 だいたいそういうところですね。突っ込まれているポイントはその他いくつかあると思ってます。①セキュリティ製品を入れって定番を書いて(だっけな?)と書いているけど、セキュリティ製品なら何でも良いの?と言う点と、②当該企業の製品にそういう脅威に対するソリューションないよね?の2点

@ockeghem @you0708 だと思います。①はちょっとライトに行き過ぎたんじゃない?だし②については「おまいう」と言う点が少し燃えた点なのかと理解しています(②については観点は違いますが某弊社のblogも酷かったので…何も言えません)。この件って、燃えているんですか?

トレンドマイクロのWebレピュテーションはこういうのに強いイメージ

yomiuri.co.jp/national/20190…

その他に気になったことはこのあたり。

これ gigazine.net/news/20190215-… ベンチマーク的にはその通りなんですが、こと企業内への実際の攻撃においては Credential Dumping で平文パスワード抜くとか NTLM そのものを悪用してなりすます (クラックしなくても良い) アタックベクターが圧倒的に多いんじゃないかとは思うんですよね

8文字のWindowsパスワードはわずか2時間半で突破可能と判明 – GIGAZINE gigazine.net/news/20190215-…

Tinker氏によるとWindowsのパスワードをローカルやActive Directoryのドメインコントローラーのデータベースに保存する際に今でもNTLM認証は使われ続けている < NTLM認証ではなく、NTLMハッシュ

LM認証、NTLM認証、NTLMv2認証、NTLMv2 Session認証、Kerberos認証などは認証プロトコル

LMハッシュ、NTLMハッシュがWindowsのパスワード保存形式、LMハッシュはVista以降は既定で無効

ADからNTLMハッシュを取得できるということは(Backupから取得するなどの場合を除いて)既に管理者権限を奪われている。更にPass-the-Hashなど平文に解析しなくてもハッシュのまま攻撃可能な手法もある。

よって、NTLMハッシュの解析速度より、NTLM認証のチャレンジレスポンスを取得して解析するnetntlmv2などの解析速度の方が実際の攻撃耐性には重要。こちらはNTLMハッシュに比べ数十倍は時間が掛かる。

NTLM認証のチャレンジレスポンスを取得する手法は様々あり、ADの管理者権限は不要。

掲載されました>DL違法化拡大「文化庁は失格」「ネット告発の活発化で創作・研究が萎縮」、山田奨治教授に聞く|弁護士ドットコムニュース bengo4.com/internet/n_925… @bengo4topicsさんから #違法DL拡大

charset=EUC-JP みたいなサイトはなぜcoreとかconfigみたいなフォルダまで公開ディレクトリ以下に配置するのか、謎は深まるばかりである

ダウンロード違法化立法だけど、法案作成に動いてる事務方って、わかってなくてああいうことをしてるんじゃなくて、影響が広範に及ぶことをわかってあえてそうしてるんだよ。「結局ゴリ押しすればOKでしょ」と国民の方がバカにされてると思ったほうがおそらく正確。

intel SSD Toolboxのアップデート来てますね。権限昇格の脆弱性がようやく対処されたようです intel.com/content/www/us… pic.twitter.com/8fRliXNlMX

iOS向け有名アプリの海賊版配布にもEnterprise向けの証明書が利用されている。Reutersの報道後、Appleは直ぐに証明書をrevokeしたが、海賊は直ぐに別の証明書を利用したという。 twitter.com/verge/status/1…

「アカウント情報検証を完成してください。」の件名で、Amazonを騙るフィッシングメール。
Fromで一応Amazonを詐称ですが、ドメインは別物。
リダイレクタなしでhxxp://resetting-warnning-support-amazon[.]comにてフィッシングサイト営業中ですので、騙されないよう、お気を付け下さい。 pic.twitter.com/0c9TDxmTXq

細かな点を言うと、SNIは証明書選択のみではなく、クライアント認証をするかや暗号スイートの選定など他の判断のためにも使用されます。これは、SubjectAltNameがあればSNI不要とはならない、というのを補強する論点

南欧マルタの銀行で1.4億ドルの不正送金未遂。海外への不正送金を検知した30分後には全ての営業店、ATM、
PoS、公開Web、インターネットバンキングを停止したらしい。

この決断はすごいですね。

Hackers tried to steal €13 million from Malta’s Bank of Valletta | ZDNet zdnet.com/article/hacker…

docomo @docomo_cs#Phishing サイトが動き始めました。相変わらずBanking Trojanの #Ramnitのバイナリコードが含まれています。アクセスするとマルウェアに感染する可能性があるのでアクセスは絶対にしないでください。
sms-nttdocomo .com
125.227.174 .33
urlscan.io/result/320895c… pic.twitter.com/yP8aBaBdI6

タイムラインの社畜者を見てるとセキュリティエンジニアになってもやりたいことができずグチャグチャになっているのをよく見るので行く会社はちゃんと選びましょう
#マシュマロを投げ合おう
marshmallow-qa.com/cheenablog?utm… pic.twitter.com/fyRs6C9wmi

【第4回】サイバーセキュリティ勉強会2019 in 塩尻 の発表資料を公開しました。発表の機会をいただき、ありがとうございました。→ ハニーポットで見る攻撃の検知傾向 〜秘密のファイル〜 speakerdeck.com/morihi_soc/han… #shiojiri_oss

500RT 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 nlab.itmedia.co.jp/nl/articles/19… pic.twitter.com/hycAX8mbR4

【警官すごむ 取り調べ音声入手】
yahoo.jp/BY0fuv

「コインハイブ」を設置したとして検挙されたウェブデザイナーが、神奈川県警の捜査員に取り調べで「法律に引っ掛かってんだよ」などとすごまれたという。当事者とその弁護士に取材。

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>