2019年5月1〜6日のtwitterセキュリティクラスタ

ぬ。自衛隊がサイバー対抗ウイルスを保有することが不正指令電磁的記録作成等罪に該当しかねないと書いてる人いるが、ウイルス対策ソフトの開発会社が同罪が不成立となるように自衛隊も不成立では。

「正当な理由なく」の文言から、ウイルス対策ソフトの開発会社は犯罪不成立となる。自衛隊も同様では?

ウイルス対策ソフトベンダーの場合は研究用に内部利用する事が想定されるが、自衛隊は外部に感染させることを目的に保持するという話なので完全に別のこと。「正当な目的」かどうかは憲法や自衛隊法に照らして別途判断されるべきですね。 twitter.com/so6287/status/…

はてなブログに投稿しました
ドンキの見守りWiFiカメラ「スマモッチャ-」を発売直後に分解してハックする(準備) – honeylab’s blog honeylab.hatenablog.jp/entry/2019/05/… #はてなブログ

SECCON 令和CTF writeup – yuta1024’s diary yuta1024.hateblo.jp/entry/2019/05/…

QRは誤り訂正して復元かと思ったらもっと単純だったし、Brain*uk問は独自のインタプリタを探してしまったし、頭が固すぎた。。

ac.jp」ドメインの審査不備問題についてまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/05/…

属性・地域型JPドメイン ac.jp の審査不備問題に関して、piyokangoさん( @piyokango ) がブログにまとめています。
わかりやすい!

ac.jp」ドメインの審査不備問題についてまとめてみた – piyolog piyolog.hatenadiary.jp/entry/2019/05/…

Thunderclap: 多くのOSでデバイスがアクセスできるメモリを制限するIOMMUの扱いがMMUほど徹底されておらず、悪意あるデバイスがDMAを使ってメモリ上の触ってはいけないデータを読み書きできるよ、という脆弱性 thunderclap.io

@beepcap 論文流し読みしかしてないけど、従来は基本的に信頼できる内蔵ハードウェアが相手だったから、IOMMUに起因するパフォーマンスの低下を嫌ってザルな使い方がなされてきた、みたいな事書いてある

Thunderclapはハードウェアに物理的なアクセスを要する脆弱性ではあるけど、最近のPCはThunderbolt3とかいうPCI-Express(もちろんDMA付き)が充電端子として生えている為「悪意ある充電スタンドが任意のコードを実行できる」というシナリオが容易に想像できるあたりが問題を深刻にしてるっぽい

ゆうちょ銀行を装う「進んでいただき、ご確認ください。」という件名のフィッシングメールが、今日もばらまかれているようです。誘導先がなんじゃこりゃドメイン( www.jpbauk-japmingyouteng[.]com)ですが、営業中なのでご注意ください。不正送金のおそれがあります。twitter.com/ScootNov_Snow/…

indeedの偽キャンペーンを仕掛けていた人たちがネタをモンスターストライク変え、「-#モンスト1位感謝キャンペーン-」という件名のメールをばらまいたそうです。MySoftbankのアカウントを差し出しても10,000円のクーポンはもらえないのでご注意ください。twitter.com/miso_whiteout/…

メール記載が予測されるURLは monst1(.club .pw .site .work .xyz) 。例によって /以降を保持して monsterstrik.php.xdomain[.]jp にリダイレクトします。/0 – /9 /a – /h /zz に、昨年と同じこの偽サイトが日付だけ変えて設置されていました。グラブル来るのか twitter.com/NaomiSuzuki_/s…

『sv7759サーバー』本日AM9:33頃~AM9:55頃、AM10:18頃~AM10:39頃までのDDoS攻撃によるアクセス障害について(AM11:22 更新) – 2019/05/02 | レンタルサーバー【エックスサーバー】 xserver.ne.jp/information_de… pic.twitter.com/dUQRiWyPtQ

「そんな厳しい法適用はされませんよ」ってのが全く信用ならないのはcoinhiveでも無限アラートでも照明されてるわけですが →海賊版サイト対策 法整備なぜ紛糾?(識者に聞く):日本経済新聞 nikkei.com/article/DGXMZO…

日記書いた #ssmjp / “鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した | 徳丸浩の日記” htn.to/3aZTVxRovH

日本ハッカー協会セミナー「不正指令電磁的記録罪の傾向と対策」の動画ですが、音声の不備を修正したものをアップロードしました。 youtu.be/umYIqISRIbg

“コンテナはなぜ安全(または安全でない)なのか – sometimes I laugh” htn.to/2dPrTp1aa6

「コンテナはなぜ安全(または安全でない)なのか」が面白かった。sil.hatenablog.com/entry/why-cont…
「chroot監獄からの脱獄」はpivot_root(2)を使う。
「forkした時点でそのプロセスはコンテナ内部から乗っ取る」のを防ぐにために、sleepを入れptraceで確実に捕まえる。 twitter.com/Civitaspo/stat…

リンクが張ってある
「コンテナの作り方、壊し方」
speakerdeck.com/mrtc0/containe…
も面白い。
「open_by_handle_at(2)を使ったホストのファイル読み出し」はこちらを参考。

Safari also ignores null characters included in <style> only if it is appended via JavaScript:

style=document.createElement(‘style’);
style.innerHTML=’*{background:r\u0000ed}’;
document.body.appendChild(style);

ブログ更新しました。今回はプライバシーネタです。

NIST プライバシーフレームワークをどう見るか – 思い出したいことがある seko-law.com/entry/nist_pf

セキュリティエンジニアとして働くまでの軌跡をまとめてみました。きっかけをくださったセキュ塾さん、No1zyさん、日本ハッカー協会さんありがとうございました!!
セキュリティエンジニアを志して4年、たどり着いたスタートラインへのキセ…
nickshadows.hatenablog.com/entry/2019/05/…

SEでは広い範囲の知識が問われるんだろうけど、セキュリティ業界になると「jsできます!」とか言ってきたら、まずは「XSS知ってる?」「XSSどこまで知ってる?」「CSRF攻撃に関係するXMLhttpRequestのCORSの挙動を理解してる?」
「websocket理解してる?」
とかjsを深掘りする方向で質問されます。 twitter.com/kazukichi3110/…

#TSG_CTF のwriteupです。どちらも非想定解だろうし、アホな解き方で申し訳なさしかない…
graneed.hatenablog.com/entry/2019/05/…
graneed.hatenablog.com/entry/2019/05/…

BADNONCE Part 1: <style>script[nonce^=…] { background(url(…)); }</style>みたいにCSS Injection
BADNONCE Part 2: @.importを使う これ medium.com/@d0nut/better-…
RECON: <iframe src=’/profile?onchange=”grapes.checked=false;”‘></iframe>みたいにXSS Auditorを使ってXS-Search

再度コメントするが、Coinhiveやアラートループ、Wizard Bibleといった近時の諸事件は、刑事弁護の視点からの強い関心を引くだけの素材だった。

実際に広く関心を呼ばなかったのは、(特に刑事弁護に関心を持つ)弁護士に、技術を理解できる人が少ないからだと思う。ハードルが高いということ。 twitter.com/Hideo_Ogura/st…

Write-up on the @adafruit Feather based SSID collector .
I just published “Feathering for SSIDs.” link.medium.com/1iBFSaDfsW

中国のとあるスマートシティ監視システムのデータが公開状態になっていた tcrn.ch/2vKFLMV

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>