2019年6月10日のtwitterセキュリティクラスタ

ハイヒール履きたくない人はCISSPやってセキュリティ屋さんになればいい?

IT業界志望者や海外転職希望者で英語力をアップしたい人は技術系書籍を原書で読むのが早い。CISSPは海外で需要がある。セキュリティ人材は不足しているためかなり就職しやすい。給料も高い→ (ISC)2 CISSP Certified Information Systems Security Professional amzn.to/2Lw1jrH

ハイヒール履きたくない人はCISSPやってセキュリティ屋さんになればいいのに、なんで給料激安な接客やらグラビア仕事やりたがんの? 女子少ないから大人気になれて年収1000万とか稼げんのにぃwwwwww最近の攻撃の話とか楽しいしぃwwwww twitter.com/May_Roma/statu…

CISSPとれるのはスゴイけど、それだけでセキュリティ屋に転身できるみたいな軽い勧め方はチョット… twitter.com/May_Roma/statu…

未経験からセキュリティ屋に転身するには、元々のスキルセットをセキュリティの文脈に投射できなきゃ厳しいと思うンゴ

最新の攻撃に対応するには普段の技術的なキャッチアップに加えて、じみ〜な日常的な官僚的お仕事も含まれるんだけど、っていうかCISSPはそういったお仕事をこなすための知識をぶっこむ資格やん…まあ、求人によるか。

広範で汎用なセキュリティ的ドメイン知識をぶっこむ資格(ワイの個人的感想

その他に気になったことはこのあたり。

はてなブログに投稿しました #はてなブログ
クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/06/…

これはすごい調査だ / “クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた – piyolog” htn.to/3SjkLBQtWD

『@ozuma5119さんの尽力により関係者への連絡が行われ問題のサイトはテイクダウンされたようです』ということなんですが、個人的に尽力された @piyokango と @ozuma5119 には最大限の敬意を表するとして、本来これをやるべき組織はどこなんでしょうね。ひょっとして、日本にはない? twitter.com/ockeghem/statu…

当たり前だけど、悪さをする相手というのは高度な知識と技術を持っているんだよなあ。 / “クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた – piyolog” htn.to/2oaz6nXYbq

夜行性インコさんの調査。search-hot\.com、167.179.73.64、45.63.95.198は蹴っておいたほうが無難ですね:クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた – piyolog piyolog.hatenadiary.jp/entry/2019/06/…

はてなブログに投稿しました #はてなブログ
クレジットカード情報漏洩事件のまとめ(~2019年6月) – フォックスエスタ
foxestar.hatenablog.com/entry/2019/06/…

はてなブログに投稿しました #はてなブログ
アネモネもEC-CUBEだった – Fox on Security
foxsecurity.hatenablog.com/entry/2019/06/…

The Unusual Case of Open Redirection to AWS Security Credentials Compromise medium.com/@logicbomb_1/t… /myaccount/におけるSSRFの脆弱性を悪用してEC2インスタンスのメタデータからTemporary Security Credentialを取得できた。すでに修正済み。

“The Unusual Case of Open Redirection to AWS Security Credentials Compromise” by @logicbomb_1 link.medium.com/plRZlhVRkX

Subdomain takeover dew to missconfigured project settings for Custom domain . medium.com/bugbountywrite… readme.ioにおけるsubdomain takeover事例

“Subdomain takeover dew to missconfigured project settings for Custom domain .” by @prial261 link.medium.com/COTDad2RkX

Windows10の.NET Frameworkのバージョンを取得するPowerShellスクリプト – あるSEのつぶやき・改 aruse.net/entry/2019/06/…

NHKが不正アクセスの被害増加について警告。2段階認証を勧めている。個人でできる最も現実的な対策。楽天はいつサポートしてくれるの?
あと攻撃者のボットが問題だと報じているのだが、微妙にプログラミングを黒魔術のように言ってるのが気になった。魔術だというなら企業は魔術師をもっと雇えよ。

NHKの不正アクセス増加報道の動画、2段階認証のところまで入れて欲しかったなぁ。
www3.nhk.or.jp/news/html/2019…

イスラエルのセキュリティ企業CHEQ、アドフラウドによる全世界での被害額は、今年300億ドルにも及ぶと算定。同じくデジタル広告の10%に相当とも。同社ホワイトペーパーから| thedrum.com/news/2019/06/0…

project-syndicate.org/commentary/det… ナイ氏のサイバースペースの抑止力の論文です。読売の記事との比較は、週末にでも。 project-syndicate.org/commentary/det…

久々にひどいやつ見た。自分ではインストールしてないそうなので、たぶんショップか何かで入れられたんだろうけど、わけの分からんクリーナー系とセキュリティ系アプリが10個くらいインストールされてた。 pic.twitter.com/VXIsOjCsZs

Amazonに「フィッシングサイトあるよ」とstop-spoofingにAbuseメール送ったら、「君のメールアドレス、うちの顧客リストにないから何も対応できない」という回答が来て、頭がハテナになってしまった。商品の問い合わせと思われた模様。
…って、何のためにstop-spoofingの専用アドレスが…

@ozuma5119 stop-spoofingからの回答要旨
・連絡どうも
・security departmentで調査する
・当該メッセージ、サイトはAmazonのものではない
・そういうサイトへのアクセスには注意して欲しい
・Amazonは顧客の情報を販売したりはしていない
・Amazonの名前を騙る行為を目にした場合は躊躇わずまた連絡して欲しい

@ozuma5119 ちなみにstop-spoofingへの連絡内容は以下の通り
・自己紹介(日本の某で云々)
・連絡目的(フィッシング情報提供、御社顧客の被害防止)
・エビデンス(メールをeml形式で添付、当該サイトのURLとスクリーンショット)
・私は匿名の一市民、本件に関する報告、謝礼等一切不要
・I hope your good job
以上

@ozuma5119 まぁ自分がそのAbuse対応担当者だったと仮定して、対応取りやすい内容で…
自分もAbuse対応の際には、エビデンスの無い申告は躊躇なく無視するので。

ただ対応不可能なメールを対応出来かねていると
「『無かったこと』になってしまう」
って言われてしまうので、困りもんですけどね…

medium.com/@darksearch/da… このようなクリアウェブからダークウェブを検索して(Tor2Web でアクセスもできる)クリアウェブ完結型のダークウェブ検索サービスも需要はありそうですが、個人的にはダークウェブ内で完結するダークウェブ検索サービスがもっとあると助かります

がしかしこういう部分はスゴいですね… API も用意されてるみたいなのでローコストで自動化したら巷にあふれるダークウェブ調査系のサービスとか要らなくなりそう pic.twitter.com/HurinrN7OH

富士通のSystemwalkerを偽装したバックドア。
オリジナルとバイナリ比較して差分を解析してみたい・・
2caec93832c95047cf7016731e91850764d230556bbb66a9f1ff77c7811ab3e3 pic.twitter.com/IxpANNE1hz

OAuth2をサポートするサービスの使い方は知っていても、OAuth2サーバ自体の作り方ってご存知ですか?この本にはどうやら作り方が載っているっぽいですよ?意外と楽しいですので、この本買って読んでチャレンジしてみては? amzn.to/2WtWX4i pic.twitter.com/Zpx0Sosm9W

2段階認証を登録してるサービスがそろそろ20個行きそうな感じで認証アプリが地獄のような様相を呈してきてるんだけど、みなさんどうしてるんですか

今、バグバウンティを楽しめている自分を忘れないために作りました。多くの人がバグバウンティを楽しんでもらいたい。自分は結果出てないけど、楽しいよ!結果は出したいよ!
#bugbounty

【備忘録】じぶんを飽きさせない考え方【バグバウンティ編】 – Nickセキュリティログ nicksecuritylog.com/entry/2019/06/…

ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか – 高木浩光@自宅の日記(2019年6月9日)
takagi-hiromitsu.jp/diary/20190609… pic.twitter.com/HGrqF7LRik

[ITmedia エンタープライズ]「SHA-1証明書」の無効化を表明、Apple bit.ly/31kYXQ9

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation