2019年3月9〜10日のtwitterセキュリティクラスタ

無限アラートURL貼り付け事件の続き

2011年の愛知県警Librahack事件、2018年の神奈川県警他Coinhive事件と、それぞれ困難な事案だったが、2019年兵庫県警無限アラート事件は全然困難な感じがしない。みんなで各自どんどん抗議していけばよい。国会で吊るし上げられるまで手を緩めずに行こう。

URLを書いただけで作ったわけではないという点については、リンク先が真の不正指令である場合には供用罪又は同未遂罪は成立するので、そこを強調してしまうと揚げ足を取られるので要注意です。
twitter.com/burakon/status…

JavaScript無限ループURL貼り付けで警察が動いたことの問題は、IT業界が萎縮することなんかではなくて、運用者の裁量に委ねられてる部分が多いような法律ができてしまい、しかも当の運用者は立法の精神を完全に勘違いして不適切な運用をして開き直っていることにあるのではなかったのか。

運用者として「自分の子供に言えるのか」みたいなことを言ったのだとしたら、まさに立法の精神を理解していないことの現れで、むしろみんな自分の子どもが何らかのハッカー的な資質を示したなら、いいぞもっとやれっていうに決まってるだろが。

2018年のWizard Bible事件も見逃せない。警察は恐らくプログラム自体は理解せず、記事のテーマ、ファイル名にTrojan、コメントに侵入と書いてあるだけでウイルスと断定してる。
実際の中身はただのソケット通信プログラムで、システムコール関数_popen()を呼び出してるだけ。 twitter.com/HiromitsuTakag…

ちょうど良いタイミングで、Coinhive事件について衆議院法務委員会で30分に渡り追求してくださった議員先生がいらしたようです。
twitter.com/ko_matsudaira/…

明治大学齋藤孝道教授による解説 / “「あれはウィルスなのですか?」 – Takamichi Saito – Medium” htn.to/hzfwHu2qW8X

コメントしました/兵庫県警、ネットいたずらの女子中学生“不当”補導に世界中から嘲笑…検挙数ノルマに利用か biz-journal.jp/2019/03/post_2…

ハア?
biz-journal.jp/2019/03/post_2…
「弁護士法人ALG&Associates執行役員の山岸純弁護士は、犯罪であるのは間違いないが、」

最近、話題の件、チューリングマシンにおいて、任意のプログラムが無限ループを含むか否かは判別できないのであるから(停止性問題)、無限ループがあることをもって、それを犯罪とすべきではないと思うのですが。

続き。仮に捜査当局が任意のプログラムに対して無限ループがあることがわかるという立場であれば、それはチューリングマシンを超越する計算能力をもつマシンが前提となりますし、そのマシンはチューリング賞に値する研究成果になることになります。

EFFが無限ループは犯罪ではないと言ってくれたのは良いのですが、問題は犯罪とした本人たちに届かないどころか本人たちはそういう団体の存在すら知らないのではないかと思われるところ

ブラクラの件、PCへの被害云々とか関係なしに踏んだらイラっとするものを明確に嫌がらせ目的で貼ってるんだから死刑でいいと思うんだけど、これを死刑にされると俺も普通に死刑になるので困ってる

その他に気になったことはこのあたり。

リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案 – 高木浩光@自宅の日記(2019年3月9日)
takagi-hiromitsu.jp/diary/20190309…
「条文がリークされたことで、まだ指摘されていなかった新たな問題点の存在に気づいた。それはリーチサイト規制の部分にある。 」 pic.twitter.com/mnK8U3WYdZ

「リーチサイト規制もボツにせよ」というのではなく、リーチサイト規制こそ「原作のまま」「著作権者の利益を不当に害する」に限定するのが当然の帰結であり、ついでにダウンロード違法化の範囲拡大も同様に限定すればよいのだ……というふうに使っていただきたいところです。
twitter.com/HiromitsuTakag…

あんまり深く読んでないですけど、案外セキュアな実装というのは、訓練しないと難しいのだなあ、という気持ちになりますね。うーん。| “If you want, I can store the encrypted password.” A Password-Storage Field Study with Freelance Developers – net.cs.uni-bonn.de/fileadmin/user…

@lmt_swallow ていうかセキュリティエンジニアという肩書にも関わらず油断してると普通に脆弱なコード書いてたりするし人類に安全なコードを書くのは難しすぎる

最近はMITMや、それに類することができる場合に(半)永続化できるXSSについての paper も出てたんですが、まあ普通そんな状況想定して作らんですよね | Don’t Trust The Locals: Investigating the Prevalence of Persistent Client-Side Cross-Site Scripting in the Wild. swag.cispa.saarland/papers/steffen…

警察におけるサイバー人材募集の悩ましい現実(山本一郎) – Y!ニュース news.yahoo.co.jp/byline/yamamot…

緊急用「00000JAPAN」注意点 yomiuri.co.jp/life/20190309-…

クレジットカード情報などの個人情報を入力することは避けたい。一般社団法人「セキュリティ対策推進協議会」は、どうしても利用する必要がある場合、通信内容が暗号化される「VPNアプリ」をインストールして使うよう勧めている

鍵なしWi-fiでも常時HTTPSのサイトで警告を無視しなければ問題ない。HTTPではVPNを使ったとしても出口ノード以降は平文となるのでカード番号などは入力すべきではない。HTTPSのフィッシングサイトは有線、LTE、VPNでもある問題でまた別。

NSAに海底ケーブルを丸ごと傍受されても大丈夫な様にすべての通信をTLS化しましょうという流れになったので、HTTPSでも盗聴の恐れがあるという人はNSA以上のスーパーハカーを想定しているのかしら?

OSやブラウザを更新することも重要。最新のブラウザではSSLv3やRC4などの問題のある方式は無効になっている。

ただし、HTTPSでも接続先はわかってしまうので、接続先も知られたくないという場合にはTorなりVPNなりを使うべし。

Firefoxでロードされるページ数で見ると既に日本でも73%がHTTPS。スマホの主要アプリはほぼHTTPSに対応しているのでスマホでは更に比率が高いと思われる。今どきカード情報をHTTPで入力させるサイトは殆ど無い。危険がゼロという訳ではないが、以前に比べWi-Fiの盗聴は割の合わないものになっている。 pic.twitter.com/nhiw44dz98

旧イオンシネマのドメインにアクセスすると、Chromeだと悪質なChrome拡張紹介に飛ばされた。
「旧ドメインへアクセスすることにより、お客さま等に何らかの被害等が生じても、当社では一切責任を負いません。」で済まされる話でも無いと思いますが…… twitter.com/akina1015/stat…

電動キックスケーターの人気モデルに脆弱性が見つかった。ハッキングされるとスマートフォンから自在に操作可能になり、人が乗っていても急ブレーキをかけたりできるようになるというのだ。
セキュリティ企業があえて公表に踏み切ったのには、ある事情があった。(WIRED)
sankei.com/wired/news/190…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>