2019年4月2日のtwitterセキュリティクラスタ

公開鍵を公開したくない人がいるって本当!?

いやこれほんとマジなんだけどさ、公開鍵を公開したくないボケが案外多数いて、弊社一部エンジニアにまでその考えが広まってたりするのよな。一度マジで言われたのが、「公開鍵を平文で送るな」ってのな。どうしろと

公開鍵珍言シリーズは他にも「公開鍵をそのままサーバに保管するな」「公開鍵が盗聴される恐れがある」「公開鍵だけ送るのでは復号ができない」などもあった。

@illness072 公開鍵の意味って知ってる?

誰だその暗号化理解してないやつは()
ソースコードに秘密鍵書いたバカもいますがね

そーゆー間抜けな人たちって、パスワード付きZipで暗号化すると満足したりしません?本当に意味不明ですが twitter.com/illness072/sta…

共通鍵暗号と公開鍵暗号の違い、流石に全てのソフトウェアエンジニアが知っていてくれと思う気持ちもあるけど、どのタイミングでどう学べばいいのかわからん(僕はCSの大学で習ったので特殊例だという自覚がある) https://t.co/WdWWGYNOay

秘密鍵を公開するほどではないにせよ、何らかのリスクはありそうだし公開するのはそれはそれでどうなのかという気がするが……。GitHub、コミットのメールアドレスを隠してくれているのかと思いきやcloneすると見えるし、地味に怖い。

その他に気になったことはこのあたり。

Webアプリを公開したら攻撃を受けた話 – Theories of Pleiades mwc922-hsm.hatenablog.com/entry/2019/03/…

WebShellの攻撃きてるな良いな〜
WordPress専用のハニーポットたてよ

I’m excited about this mechanism; I think it will give servers the ability to defend themselves against some classes of attack that are difficult today, and I know that @arturjanc and @we1x are chomping at the bit to use it on Google’s servers: mikewest.github.io/sec-metadata/ twitter.com/intenttoship/s…

Mike West さんが以下のツイートなどで触れている通り、 “cross-site search, timing attacks, etc” みたいなカテゴリの攻撃への対策は、今少しアツいテーマだと認識している twitter.com/mikewest/statu…

docs.ruby-lang.org/ja/latest/meth…
JSON.dumpのioは使っているところがあるのだろうか…

JSON.dump(1, Pathname.new(“|touch me”)) でmeファイルができることは確認した。

県警、「サイバーセキュリティ対策本部」発足 | 社会 | カナロコ

どこかと思えば神奈川県警wwww

“うち、県警の摘発は全国の警察で最多の1278件に上った。”
ほぉ… kanaloco.jp/article/entry-…

@vagrantet 全国の人口の7%を占めるに過ぎない神奈川県の警察の検挙件数が14%あるのか。

これから、47都道府県警それぞれで全く別の47個の「サイバーセキュリティ対策本部」が作られていくと思うと、DIO様ばりに「無駄無駄無駄無駄ァッ!」以外の感情が湧いてこないですね……。 kanaloco.jp/article/entry-…

一番初めの仕事はコインハイブ事件についてごめんなさいすることになるの? 県警、「サイバーセキュリティ対策本部」発足 kanaloco.jp/article/entry-…

県警のサイバーセキュリティ対策本部長は交通課出身で、コンピュータは全然わかっていない方のようだ。 kanaloco.jp/article/entry-…

『非通過型トークン決済と呼ばれる、安全性の高い決済方法を採用しておりましたが、 不正アクセスによりカード入力フォームを改竄され、 入力したカード情報を不正に取得』 / “クレジットカード情報流出に関するご質問と回答 | 株式会社サーカス” htn.to/Tpcw5dSG

このFAQを読む限り、こちらで分類したタイプ4 による手口のように見えますね
blog.tokumaru.org/2018/10/method… twitter.com/ockeghem/statu…

診断事業者1000社のうち、116社(11.6%)のホームページに脆弱性があることが分かった。

県警では昨年10月1日から、独自開発した「ホームページ脆弱性診断ツール」を使用し、簡易診断を行っている。

愛知県警が中小事業者ホームページの脆弱性診断 | 日刊警察
bit.ly/2WH9KB3

これを読んで改めて “SSH 仕組み” でググって出てきたページをいくつか読んでみたけれど、惨憺たる状況だった / SSHの公開鍵認証における良くある誤解の話 qiita.com/angel_p_57/ite…

特定期間のみ、セキュリティコードなのでフォーム改ざん系(JS飛ばしor偽フォーム)でしょうね。

不正アクセスによるお客様情報流出に関するお詫びとお知らせ(株式会社サーカス )
circus-circus.jp/free/info-2019… pic.twitter.com/IGa3vrgqk7

F-SecureからMiraランサムウェアの復号ツールが公開されました。
暗号化のときに復号に必要な情報が暗号化ファイルに追加されるので、ランサムウェア本体から得た情報と組み合わせて復号可能になった模様。

Mira Ransomware Decryptor
labsblog.f-secure.com/2019/04/01/mir…

セキュリティ通信ニュース更新しました!
自動車300万台にハッキングリスクが発覚、警報システムを修正
securitynews.so-net.ne.jp/news/sec_30008…

Commando VM: The First of Its Kind Windows Offensive Distribution | FireEye Inc
fireeye.com/blog/threat-re…
FireEyeがWindows環境用のペネトレーションテストプラットフォームを公開したみたいですね。
ライセンスの問題があるからプロビジョニング用のスクリプトを配布しているみたい。
面白そう。

I’ve just registered and looked around @Burp_Suite Web Academy launched today. Everything looks really great – content is awesome as well as labs

Go check it out if you haven’t done it already.

#hacking #bugbounty #bugbountytip #webappsec

portswigger.net/web-security

『This vulnerability is potentially very serious, since it can expose aspects of confidential browsing sessions to malicious servers.』

Microsoft Edge and Internet Explorer Zero-Days Allow Access to Confidential Session Data
blog.trendmicro.com/trendlabs-secu… pic.twitter.com/gn1wJuWtEO

ソフトバンク文字が入ったドメインにて佐川のフィッシングサイトが動作しはじめていることを確認しました。ドコモのようにソフトバンクでもアプリダウンロード型準備中ですかね…?みなさま、ご注意ください。
m-softbank[.]com
67.229.35.83
@NaomiSuzuki_ #Phising pic.twitter.com/qTK4H09bmn

【ブログ更新】日本時間で4月7日に予定される、GPSの週番号がリセットされる「ロールオーバー」。米国 国土安全保障省はその前後に影響を受ける可能性があるGPS受信機の問題に関してアラートを発行しています。これを利用した攻撃からデバイスを護るヒントをお伝えします。
blogs.mcafee.jp/gps-rollover-p…

金融機関サイバー攻撃の犯人、断トツは北朝鮮 カネ目当てに犯罪を企てる「モラル」なき国家 《黒井 文太郎》 #JBpress jbpress.ismedia.jp/articles/-/559…

自然言語処理などに利用されるAIモデルは言葉の「言い換え」に脆弱であると研究者らが指摘
gigaz.in/2CRizRd

【注意喚起】
新元号発表に便乗し、詐欺メールによる攻撃が発生しております。携帯電話各社の注意喚起をお読み下さい。

nttdocomo.co.jp/info/spam_mail…
twitter.com/au_support/sta…
twitter.com/SoftBank/statu…

なにかイベントがあると、それに便乗して詐欺メールは登場します。ご注意を! pic.twitter.com/Y5Sleg3Qu3

「令和」関連ドメイン名の争奪戦が発生、早くもオークションに出品される例も【やじうまWatch】 internet.watch.impress.co.jp/docs/yajiuma/1…

新元号「令和」発表に便乗したフィッシングメールに注意を、ドコモやソフトバンク、KDDIが注意呼び掛け  internet.watch.impress.co.jp/docs/news/1177… pic.twitter.com/PomqqMdpRp

無料のVPNサービス「Warp」、パブリックDNS「1.1.1.1」アプリに追加、Cloudflareが4月中旬より提供  internet.watch.impress.co.jp/docs/news/1177… pic.twitter.com/vxPGuJkBwY

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation