2019年8月14日のtwitterセキュリティクラスタ

「セキュリティ・キャンプ 全国大会 2019」、「セキュリティ・ネクストキャンプ 2019」の2日目です。

おはようございます! 灼熱の「セキュリティ・キャンプ 全国大会 2019」、そして新たな取り組み「セキュリティ・ネクストキャンプ 2019」の2日目が始まりました。今日からは、各トラック、ゼミに分かれてワイワイ手を動かします。#seccamp

「セキュリティ・キャンプ全国大会 2019」「セキュリティ・ネクストキャンプ 2019」1 日目のダイジェスト動画が公開されました。皆さんぜひご覧ください! youtube.com/watch?v=RLSlkG… #seccamp

トラックCでは凌 翔太さん、目黒 有輝さんによる講義「制御システムのセキュリティとShinoBOTによる攻防演習」が始まりました。この講義では、実在の制御システムを模した環境を用いて演習を行っていきます。#seccamp pic.twitter.com/SI1h73HOK5

トラックA最初の講義は梨和 久雄さん、小林 稔さんによる「インシデントレスポンスで攻撃者を追いかけろ」です。仮想的なインシデントが発生した環境のデータを用いて、CTF形式で問題を解いていき、最終的にインシデントの全容を把握することを目指します。 #seccamp pic.twitter.com/h5yaeUOmqb

小中学生限定のジュニア開発ゼミも始まりました。まずは美濃 圭佑さんによる「ソケット通信でWebサーバにアクセスしよう」です。まずはNode.jsを使ってサーバとクライアントを作成します。 #seccamp pic.twitter.com/tXEzH4rv94

トラックB最初の講義は、仲山 昌宏さん、坪内 佑樹さんによる「クラウド時代における大規模分散Webシステムの信頼性制御」です。クラウド時代において、高い信頼性をもつ大規模なWebシステムをいかに構築し運用するのかを、負荷増大に対するスケーラビリティの話題を中心に議論します。 #seccamp pic.twitter.com/2l8OcnwsfI

トラックDでは松岡 正人さん、今岡 通博さんによる講義「IoTセキュリティ・チェック実機演習」が始まりました。この講義では家庭用ロボットの実機モデルを用いて、IoTセキュリティ・チェックを体験します。#seccamp pic.twitter.com/gfp9SZwcQK

セキュリティ・ネクストキャンプ 2019の2日目も始まりました。最初の講義は高江洲 勲さん、伊東 道明さんによる「攻撃検知エンジンの開発」です。攻撃検知エンジンを開発し、攻撃ベクター生成エンジンと対決をして改良していくハイレベルで実践的な講義です。 #seccamp pic.twitter.com/h6vZRKAUh8

トラックXではまず各ゼミの紹介があり、その後各ゼミごとに取り組みを開始しました。トラックXには天津 健さんによる言語自作ゼミ、緑川 志穂さんによる暗号化通信ゼミ、星野 喬さんによるデータベースゼミ、木藤 圭亮さん、村島 正浩さんによるリバースエンジニアリングゼミがあります。 #seccamp pic.twitter.com/1hMEKPzEfe

Zトラック「アンチウィルス実装ゼミ」では、「Linuxマルウェア解析と検知シグネチャー作成」と、「Linuxマルウェアの統計的特徴量を用いたマルウェア判定器の実装と評価」という2つのテーマに分かれて3日間取り組みます。 #seccamp pic.twitter.com/d7mGRywgt8

トラックYでは、OS開発とCコンパイラ自作のゼミが開講されています。事前学習で開発を進めた作品を、さらにブラッシュアップさせていきます! #seccamp pic.twitter.com/KXdLPAvlts

午後の講義がスタートしました。A1~3「インシデントレスポンスで攻撃者を追いかけろ」では、IDA基礎演習が始まりました。この講義の後、午前に引き続いてCTFが行われます。 #seccamp pic.twitter.com/V0iAtBehP4

午後のネクストキャンプ最初の講義は、坂井 弘亮さんによる「エミュレータによるCPU特殊命令の追加の実験」です。 この講義では、CPUに独自追加された特殊命令について、推測し再実装します。 #seccamp pic.twitter.com/cuS1EYat4H

B1~3「クラウド時代における大規模分散Webシステムの信頼性制御」では、午前の講義を踏まえた上で、サンプルアプリをベースに高品質なアプリを製作するハッカソンを行います。まずは自己紹介が行われました。 #seccamp pic.twitter.com/b2gMFXIIoa

トラックC「制御システムのセキュリティとShinoBOTによる攻防演習」では、ShinoBOTの動かし方をレクチャーしています。これから演習タイムが始まります。#seccamp pic.twitter.com/DiK83DAHtv

トラックD「IoTセキュリティ・チェック実機演習」では実機IoT分析演習が始まりました。前半の座学で学んだことを生かして分析を進めていきます。#seccamp pic.twitter.com/cGlxPMsGfS

トラックYのOS開発ゼミ、Cコンパイラ自作ゼミは引き続き開発を進めています。最終日の成果発表が楽しみですね! #seccamp pic.twitter.com/gUZnjqVPAS

「アンチウィルス実装ゼミ」では、午前に引き続き各自で作業を進めています。課題について受講者やチューターが活発に議論や発表をしています。 #seccamp pic.twitter.com/IXmmF8X3FC

「ジュニア開発ゼミ」では、午前の講義の知識をもとに、HTTPのヘッダなどを書き換える独自機能を追加したHTTPプロキシを作成しています。 #seccamp pic.twitter.com/X6MB7zCrSV

標準ゼミトラックでは、午前に引き続いて各ゼミで課題に取り組んでいます。 #seccamp pic.twitter.com/i2L63s6ASr

ネクストキャンプでは、午後と夜を使って坂井 丈泰さんより「だまされないGPS」の講義を行っています。GPSによる位置計算プログラムの改良を通して偽装(スプーフィング)対策を考えます。 #seccamp pic.twitter.com/PYstbgCaq2

トラックCでは、受講者が真剣に手を動かしています。写真だとわかりづらいですが、ロボットアームを激しく動かすデモンストレーションが行われています。#seccamp pic.twitter.com/okbwIg8ptH

はてなブログに投稿しました #はてなブログ
ドロップキャッチを悪用したTwitterのっとりについてまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/08/…

その他に気になったことはこのあたり。

「どうも。ユーザを守るために2要素認証を導入しないんですか?」ベンダー:「どうも〜。ログインする時にユーザ名もパスワードも両方知らないといけないので、実質は2要素認証ですよ〜」 なるほど〜 #2要素認証 #2FA pic.twitter.com/7A4mfZWLvh

似た話で、たまに「パスワードを2種類用意させれば安全になるのでは」という趣旨のことをいう人がいるのですが、それは単にパスワードを長くしているのと一緒ですよね、という……。
(2つのパスワードをくっつけて入れるか、分けて入れるかはUIの問題でしかない) twitter.com/yamatosecurity…

なるほどこのフレームワークはデフォルトでstate使わないっぽいぞ? #state警察

Scala & PlayFramework & pac4j での GitHub ログインの実装 qiita.com/7ma7X/items/68… #Qiita

CSRF対策のエラーの意味がわからず、provider_ignores_stateをtrueにしたら動いたってのは、無事解決ではありませんよ。 #state警察

omuniauthのGoogle認証でめちゃくちゃ詰まった話。無事解決できたよ!!! qiita.com/kt215prg/items… #Qiita

フィッシング詐欺被害者の金銭被害は、どこまで救済すべきなんだろう
無条件に全額救済は絶対に自作自演が出るし、かと言って「本人が騙されたから」ゼロ救済というのも…

しかし、ネットじゃないリアルな詐欺(結婚詐欺とか)も、被害回復給付金とか一応あるけど戻らないのが普通。正義はどこぞ。

@ozuma5119 オンラインバンキングの場合は全銀協の申し合わせによりフィッシングでも救済されるようですが、「重大な過失や故意、同居者による犯罪」などは免責となるようですね。フィッシングは本来預金者の責任でしょうが、通常は救済されるようです。

@ockeghem なるほど、やはり銀行はその辺り申し合わせているんですね。
最近の、フィッシング詐欺にやられて携帯キャリア決済やポイント利用されてしまうケースの場合、IDパスワードを騙されて入れた人の過失はどこまで救済されるべきなんだろう? と考えていました(そして”正義とは何か”…と考えはじめる)

artsploit/solr-injection: Apache Solr Injection Research github.com/artsploit/solr… Webアプリ/サービス実装次第で、Solr (Local) Parameter Injectionによりデータや設定の改ざん、最悪の場合、既知の脆弱性との組み合わせで任意のコード実行に至るとのこと

Def con 27: Apache Solr Injection
media.defcon.org/DEF%20CON%2027… Michael Stepankin氏のセッション資料

Def con 27: More Keys Than A Piano: Finding Secrets In Publicly Exposed Ebs Volumes media.defcon.org/DEF%20CON%2027… xBen “benmap” Morris 氏によるpublic公開されていたEBSスナップショットの解析結果。同氏によると、2週間以内に実証コードも公開する予定とのこと

Go 1.12.8とGo 1.11.13がセキュリティリリースされました。net/httpパッケージのHTTP/2実装でのDoS脆弱性とnet/urlパッケージのパース検証問題が修正されていますので各自アップデート願います。 #golangjp groups.google.com/forum/#!msg/go…

【注意喚起】
語学たん界隈で、乗っ取りDMが拡散しているようです。
headlines.yahoo.co.jp/hl?a=20190708-…
実害は報告されてへんみたいですが、
「ONLY FOR YOU」どうたらこうたらと書かれてるDMが来たら、知り合いのものでも開かんようにしてください。

2019年8月のセキュリティ更新プログラムを公開しました。詳しくはセキュリティ更新プログラム ガイドをご覧ください。
aka.ms/sug

[更新] メルカリをかたるフィッシング (2019/08/14) を掲載いたしました。
antiphishing.jp/news/alert/mer…

HTTP/2 Vuln
CVE-2019-9511 Data Dribble
CVE-2019-9512 Ping Flood
CVE-2019-9513 Resource Loop
CVE-2019-9514 Reset Flood
CVE-2019-9515 Settings Flood
CVE-2019-9516 0-Length Headers Leak
CVE-2019-9517 Internal Data Buffering
CVE-2019-9518

Vendor Information:
kb.cert.org/vuls/id/605641/

Missed a Briefing at #BHUSA? Presentation materials provided by speakers are available now. Presentations can be downloaded here: ow.ly/WSC550vvR4W pic.twitter.com/Izuvvxm7vx

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>