2019年3月22日のtwitterセキュリティクラスタ

ブラクラで補導の件、毎日新聞でコラムに書かれていたりします。

毎日新聞スクラップ 坂村健の目『ネットを「正しく恐れる」ために』

ニュースよく見てなかったけどあったな。中学生が見せしめにとはむごい。 ift.tt/2Fip8g2 pic.twitter.com/C8X0GmFfBp

さすがは坂村健先生。説得力あるコラムです。13歳少女が補導された事件「技術的に言えば全くの「子供のイタズラ」。現実の世界でドアを開けたら「この紙がある限り部屋から出られません!」と書かれた張り紙が何枚も張ってあるようなたわいのないもの。無視して出ればいい」 mainichi.jp/articles/20190…

毎日新聞の校正が機能していない例。「168条」は偽造印章等不正使用未遂罪。
理系の人は「168の2条」でなく「168条の2」と書いてあるのを168条の一部だと思ってしまうのが出た事例か。
twitter.com/pinpinkiri/sta…

兵庫県警ブラクラ事件で、まだ女子中学生が「夜遊びしてて補導されたレベル」だと思ってる人がいるみたい。「触法少年」でググるか、僕の記事を読んでください。刑事事件として対応されています。
note.mu/sorairosokuze/…

例のブラクラ事件絡みで、兵庫県警によれば「短縮URLはURLの偽装に当たるので違法」らしいけど、bitlyの国内総代理店やってる会社の社員としてはこれ営業妨害もいいところ。本気で文句言おうかなぁ。
bit.ly/2YfgyY1

兵庫県警は頭が悪すぎてなぜ叩かれているかもわかってないし、なんなら「自分たちの迅速な捜査で名前が売れた」くらいにしか思ってない、という恐ろしい話が聞こえてきた。
事実ならこの国の警察組織は終わっているとしかいいようがない。

oh…「何を経緯に逮捕状が出されるか不明な点およびRISS持ちとして李下に冠を正さずの精神で非公開にします」:ブログ記事非公開のお知らせ – ごちうさ民の覚え書き kataware.hatenablog.jp/entry/2019/03/…

Facebook、パスワード暗号化せずに保存していたそうです。

取材等に『パスワードを平文で保存しているウェブサービスはかなりの数に上るだろう』と答えてきましたが、大物がいましたなぁ / “Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 – ITmedia NEWS” htn.to/9MPnk8LqZXy

暗号化しないものを保管していた…ではなく、なぜパスワードが平文のまま扱われていたのかが問題なんだけどなぁ。
フェイスブック、数億人のパスワードを暗号化せず保管
afpbb.com/articles/-/321…

ただし、twitterがログにパスワードが平文保存していた件と同様に、自社の点検で気づいて修正した点と、漏洩は起こってない点は重要です twitter.com/ockeghem/statu…

夜行性インコさんのまとめ。相変わらず速い:Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた – piyolog piyolog.hatenadiary.jp/entry/2019/03/…

Facebook、ユーザーのパスワード数億件が読み取れる状態で保存されていたと発表 japan.zdnet.com/article/351345…

2000人あまりのFacebook社員がログで判断した分だけで900万回も平文のPWを含むデータを検索していた。数億人のPWが平文で保存。

そう、問題はPWが平文で保存されていただけでなく数多くの社員が参照してたこと。 twitter.com/gcluley/status…

その他に気になったことはこのあたり。

国会リポート 第377号をアップしました。

今回の内容は:
・誤解が誤解を呼んだダウンロード規制について
・「シンゾーがいいなら俺もいいよ」

こちらからお読みください。
↓↓↓↓↓
amari-akira.com/01_parliament/…

セキュリティの人が攻撃コードとか公開するの、単に面白がってるように見えるかもしれないけど、技術情報を共有することが有益だと考えているからだってことわかってほしいな。ChromeやFirefoxでも修正された脆弱性の詳細は後にベンダ自ら公開しているけど、それにどういう意味があるか考えてほしい。

公開のタイミングは考える必要があるけど、最終的に公開しない方がいい場合ってあまりないと思う。公開して知識を共有することで、また同じバグが繰り返されることを防ぐことの方が未来にとってずっと重要だと思います

PoCがあると攻撃者がすぐに攻撃できるから未パッチの人危ないという指摘は間違っていないのだけど、もし今日まで世界の人間がみんな詳細を黙っているタイプの人だったら、攻撃に関する知識は悪い人たちだけの物になり、コンピュータの世界は今よりもずっとひどい状況になっていただろう。

どうしても攻撃したい攻撃者は解析してでも探すし、未パッチの人はいつまでも未パッチな状況で、最善の行動は何か、あとはその判断を詳細を理解した人がするだけだ。少なくとも、攻撃に関して共有することが無作法だと決めつけられるほど簡単な問題ではないはず。

ホントにこれですよ。
攻撃したい人はいくらでも脆弱性探すし、どんなに情報を隠したって見つかる時は見つかる。それだったら、見つけた脆弱性情報を世の中に共有して注意喚起促した方がフェアじゃないですか?
もちろん対策がないまま公開してもどうしようもないので、タイミングは考えるべきだけど

禁止パスワードのカスタマイズで「パスワードに含めるべきではない単語のリストと曖昧さを考慮してマッチングされます (また、綴りを記号で置き換える leetspeak -> l33t-sp3@k のようなものもチェックされます)。」って、曖昧さを考慮するのってすごいな。めっちゃ便利。

github.com/jpazureid/blog…

lifebearの不正アクセス、2019年2月に攻撃された➡︎2019年3月18日に外部のセキュリティ専門家から連絡があって判明➡︎2019年3月21日に不正アクセスあったのでパスワード変えてねメールってもう遅ない?変えんに越したことはないんだけどさ

どうやらLifebearていうスケジュールアプリが不正アクセスを受けて情報漏えいしたようで、その数時間後にネトフリが乗っ取られたので(アプリに使ってるメアドもPWも同じ)たぶんそれが原因かもな。PWは暗号化してるっていうけど、知らない間に漏れてる情報とかと照合したら分かるかもしれんしな。

ハニーポットのログ分析(2019/03/21)
相変わらずGPONが来ていたこと以外では、atomやvscodeを使ったリモートファイルの管理のスキャンが複数種類来ていました。
sec-owl.hatenablog.com/entry/2019/03/…
#ハニーポット観察

2017年から @Unit42_Intel が観測を続けてきた #Cardinal RATが再び動きを見せました。フィンテック企業を標的に限定的な攻撃を仕掛けています。攻撃の中では別のマルウェアファミリ#EVILNUM が利用されている様子も伺えました。詳しくはこちら: paloaltonetworks.jp/company/in-the… pic.twitter.com/cYPFrCbGeY

ノキアからサブライセンスを受けた会社が提供していたスマホのファームウェアでGPS情報などを中国のサーバに送信していた模様。
原因はコーディングミスと説明しているようです…

Nokia firmware blunder sent some user data to China
zdnet.com/article/nokia-…

Microsoft Defender ATPで、集中管理もできるようにした上で、Macまで対応するって、MSは完全にアンチウィルスベンダを潰しにかかっているのではと思ってしまう。

itmedia.co.jp/news/articles/…

【ブログ更新】3月中旬のNCAA男子大学バスケットボールトーナメントを楽しみにしているのは、ファンだけでなくサイバー犯罪者も同様です。サイバー犯罪者が個人情報等にアクセスするために使用する手法と、安全に観戦するためのヒントをお伝えします。
blogs.mcafee.jp/march-mayhem-o…

個人情報保護の意識高まる中国–是非が問われる自動コンテンツ認識技術 japan.zdnet.com/article/351345…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>