ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2008-06-30 だるい

1月ぐらい休みたい。

[]改ざん攻撃はこう防げ!Webサイトの正しい守り方(第1回) (from id:ockeghemさんとこ) 改ざん攻撃はこう防げ!Webサイトの正しい守り方(第1回) (from id:ockeghemさんとこ)を含むブックマーク 改ざん攻撃はこう防げ!Webサイトの正しい守り方(第1回) (from id:ockeghemさんとこ)のブックマークコメント

http://itpro.nikkeibp.co.jp/article/COLUMN/20080624/309301/

今後の連載に期待w

ya_taya_ta 2008/06/30 16:23 2009年1月は丸々お休みですか…(違

ikepyonikepyon 2008/06/30 16:51 一月(ひとつき)ですよw

トラックバック - http://d.hatena.ne.jp/ikepyon/20080630

2008-06-27 頭痛が痛い

風邪引いたのが直ったと思ったのに、頭が痛いorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20080627

2008-06-20 今日こそは早く帰る

そしてマックを取りに行くぞぉ!

[]PCの誤設定で人生を棒に振った不運な男の話 PCの誤設定で人生を棒に振った不運な男の話 を含むブックマーク PCの誤設定で人生を棒に振った不運な男の話 のブックマークコメント

http://www.computerworld.jp/topics/vs/112489.html

これはひどい・・・

しっかりセキュリティたいさくはしときましょう。

ya_taya_ta 2008/06/20 11:36 >そしてマックを取りに行くぞぉ!
『そして例の店で飲むぞぉ!』
#では?

ikepyonikepyon 2008/06/20 12:37 お金がないので、それは…orz

トラックバック - http://d.hatena.ne.jp/ikepyon/20080620

2008-06-19 ねむねむ

暑いし眠いしorz

[]「被害を隠すな」サウンドハウス社長不正アクセス体験語る(from yamagata21さんとこ) 「被害を隠すな」サウンドハウス社長が不正アクセス体験語る(from yamagata21さんとこ)を含むブックマーク 「被害を隠すな」サウンドハウス社長が不正アクセス体験語る(from yamagata21さんとこ)のブックマークコメント

http://internet.watch.impress.co.jp/cda/news/2008/06/18/19989.html

行ったセミナーの記事が出てた。

というわけで、昨日のセミナーのまとめっていうか殴り書きw

あまり参考にならないだろうけどw

・事件発覚前のサウンドハウス社の売り上げの75%はインターネット経由のものである。

・売り上げのうちクレジットカード使用した決済は38%であった。

・代金引換、銀行振込み、クレジットカード決済はほぼ満遍なく使用されていた。

プレスリリースhttp://www.soundhouse.co.jp/news/20080418.pdf)を出すにあたり、

 社内、LACからの反対があった(プレスリリース後、問い合わせが増えると考えたため)

 が、事件の詳細を出すことにより社会へのセキュリティに対する認識が向上すると考え、

 公開した。

・その際、クレジットカード使用できなくなることも考慮したが、2割程度の売上げ減で

 済むと判断した。(実際どれだけ減ったかは教えてくれなかったw)

2006年までのログがたまたま残っていたため、2006年ごろには既に攻撃されていたこと

 がわかった。それ以前から攻撃されていたかもしれない。

・流出した可能性がある個人情報の件数は12万件である。しかしこれは最大値であり、

 ログから9万5千件しか漏えいしていないことがわかった。そのうちカード番号を含んだ

 件数は2万7千件であった。

漏えいしたカード情報のうち4811件が被害にあったが、そのほとんどが2008年に登録

 されたものであった。

カード会社との連携により情報公開日を定めたが、公開日前に被害のあった顧客から

 問い合わせが集中した。どうやらカード会社不正使用された顧客に連絡した際に

 情報を漏らしたようだ。カード会社も決めた情報公開日を守ってほしい。

サウンドハウスとしては情報を逐次公開したかった。しかし、カード会社情報公開

 ることでパニックが発生することが予想されたため、十分な準備期間をほしがった。

顧客カード会社との板ばさみになったことが大変だった。

・対策費用の総額は2800万円ほどであり、その内訳は、調査費用に400万、サーバ

 の修正、監視サービス等に2400万ほどかかった。(ソフトウェアの回収は含まれてい

 ないようだ)

・24時間365日の監視体制を実施していれば、被害はもっと小さかったかもしれない。

 監視体制の重要性を痛感した。

・今後の社会への提言は以下のとおり。

 一般市民:もっとセキュリティ意識を高めるべきではないか?

 一般企業:被害の実態をもっと公開して情報共有してはどうか?

 カード会社:事件が発生したときに仕切るだけではなく、公開できないような情報

        もっと公開してほしい。

 セキュリティ会社:適切なアドバイスが一般に知られていないのではないか?

 行政ISMSなどの規格に準拠いるかどうかはみるが、具体的な対策のガイドライン

    出してもよいのではないか?

・今回の事件で以下のことが必要と感じた。

 1. 現在の攻撃のトレンド情報などの警報をわかりやすく教えてほしい。

 2. セキュリティ対策を全ての人(プレイヤー)が自己防衛のために考えなければなら

   ない。

 3. 現在被害がない組織マルウェアが既に侵入している可能性がある。侵入されて

   いないことを確認するには、投資を行う必要がある。問題があれば、修正しなけれ

   ばならない。

 4. 24時間365日の監視体制が必要である。

 5. 事件が発生した場合に備えて、対策本部を設立しておく必要がある。

 6. セキュリティに詳しい人材を確保する必要がある。

 7. 効果的なセキュリティ対策基準が必要である。

2008-06-18 あつ〜

[]シスコラック社共催 日本が狙われている!Web攻撃の裏で起きている真実と対策セミナー シスコ、ラック社共催 日本が狙われている!Web攻撃の裏で起きている真実と対策セミナーを含むブックマーク シスコ、ラック社共催 日本が狙われている!Web攻撃の裏で起きている真実と対策セミナーのブックマークコメント

に行ってきた。

後ほどサウンドハウスの話はまとめる予定。

とりあえず、対策費用はアプリだけで2480万サーバ類で2800万だったらしい。調査費は400万だそうだ。

しゃっちょさんのセキュリティ対策にかける意気込みはかなり伝わってくるお話だったと思う。

トラックバック - http://d.hatena.ne.jp/ikepyon/20080618

2008-06-17 今度のFirefox3は劇早らしいw

FireFox3の広告が山手線で流れてたw

[]WASFコンファレンス2008 WASFコンファレンス2008を含むブックマーク WASFコンファレンス2008のブックマークコメント

http://wasforum.jp/conf2008/

今年は7/4、7/5の二日にわたるらしい。サウンドハウスとかカカクコムの話にid:ockeghemさんの話が聞けるんだ。

参加の予定w

トラックバック - http://d.hatena.ne.jp/ikepyon/20080617

2008-06-16 macが起動しないorz

なんか再インストールに失敗したっぽいのだが、DVDからの起動もうまくいかないorz

[]発注者のためのWebアプリケーションセキュリティ入門(1) 発注者のためのWebアプリケーションセキュリティ入門(1)を含むブックマーク 発注者のためのWebアプリケーションセキュリティ入門(1)のブックマークコメント

http://www.hash-c.co.jp/d/20080615.html

確かに、要件としてセキュリティが挙げられていないと無理だろうなぁ。

でも、SQLインジェクションXSSを正常に動いていないバグとして考えると特にセキュリティ要件として入れなくてもいいような気がするんだけど、どうなんだろう?

ここで、何を正常とするか?という定義が問題になるとは思うけど、どんなデータを渡されても、仕様に定義された動作しかしないということとすれば、いいんじゃないか?これだとあいまいすぎて抜け道があるか・・・

かといってセキュリティ要件ってどういったことを書けばよいかさじ加減が難しい。

[]起動キーコンビネーション 起動キーコンビネーションを含むブックマーク 起動キーコンビネーションのブックマークコメント

http://support.apple.com/kb/HT1533?viewlocale=ja_JP&locale=ja_JP

こういうのは付属マニュアルに書いておいてほしい。って書いてあったっけ?

トラックバック - http://d.hatena.ne.jp/ikepyon/20080616

2008-06-09 Hackされた?

6/6の記事を書いた記憶がないorz

アカウントハックされたか?w

まあ、酒に酔っていたので、ゴーストハックされたんだろうけどw

[]PerlのTaintモードって・・・ PerlのTaintモードって・・・を含むブックマーク PerlのTaintモードって・・・のブックマークコメント

http://sourceforge.jp/projects/securecoding/document/securecoding_staff_report_2008_05_30/ja/1/securecoding_staff_report_2008_05_30.pdf

http://www.ipa.go.jp/security/awareness/vendor/programming/a04_03_main.html

をみて思ったんだけど、PerlのTaintモードって運用時に使用する必要ないんじゃね?

デバッグ時にTaintモードを使って、処理漏れがないか(どのようなデータであっても想定内の動作しかしないこと)を確認するほうがいいと思うんだけど・・・

エラーが発生したら、その部分の処理を見直して、修正すると言う作業をしたほうがいいと思う。

まあ、あんましTaintモードを過信するのはどうかと思うけどな。

ItisangoItisango 2008/06/10 21:25 デバッグよりも開発中に使用すべき機能です。
迂回コードをいくらでも書けてしまうので信用してはいけませんが、Taintモードを使わずに作られたスクリプトはもっと信用してはいけません:-)
昔のCのlintの偉くなったやつ、ぐらいの感覚で使うのが良いのではないでしょうか?

yamagata21yamagata21 2008/06/10 22:01 Taintモードでも動くようにコードを構成した後で、わざわざ -T を外す利点って何があるのでしょうか〜?(@_@)

ikepyonikepyon 2008/06/10 22:54 確かにTaintモードでエラーなしに動くのであればーTを外す必要はないかもしれませんが、ーT入れることによる負荷はどんなもんなんでしょう?>yamagata21さん
なんとなく、チェックを毎回するので若干パファーマンスが悪くなる気がしますが・・・

yamagata21yamagata21 2008/06/11 00:29 確かに重いようですね〜。環境変数から値をローカル変数にコピーするコードを -T有りと無しで 100万回実行してみたところ、何度やってもトータルで約1秒ほどの差が生じました。
ところで、運用時に -T 外していると、改修時に Taintモードでの確認をするのを忘れそうな予感もしますねw

KanatokoKanatoko 2008/06/11 09:23 1秒の件、CPUはどんなやしですか?>ymgtさま

ikepyonikepyon 2008/06/11 11:29 微妙な負荷ですねぇw>yamagata21さん
運用時のコードをそのまま改修することはないと思うので(そう思いたいw)、それはないんじゃないでしょうか?<確認忘れ
運用時にはずすの忘れて遅いとか言うのはありそうですけどw

yamagata21yamagata21 2008/06/11 12:30 するどいツッコミを貰ってしまったwので、お返事書きました:
http://yamagata.int21h.jp/d/?date=20080611#p02

ikepyonikepyon 2008/06/11 14:59 Taintモードは後こんなエラーが出るのも嫌かも
http://www.ipa.go.jp/security/awareness/vendor/programming/images/a04_03_2.png
って設定で消せるんでしたっけ?

yamagata21yamagata21 2008/06/11 15:07 このエラーが出るのは“Taintモードでも動くようにコードを構成”する前の話ですよね。(これは、-T をつけていなければ、汚染された入力が入り込んでしまっていたかも知れない場面なので、エラーの表示で済んでよかったね♪くらいの心意気ですw)

ikepyonikepyon 2008/06/11 15:33 そうですね。ただTaintモード脳wに陥るとまずいかなとも思います。なんか間違った処理を行ってTaintモードでも動くようなコードを作ってしまったら目も当てられないですしw

azurestoneazurestone 2008/06/16 01:18 Taintモードをしっかり認識しておく事こそが、ある条件下においては、とても重要な鍵となります。詳しくは、次回のセキュアコーディング勉強会で話します。

2008-06-06 暑すぎ

[]本当のプロ 本当のプロを含むブックマーク 本当のプロのブックマークコメント

呑んでいて、話にあがったんだけど。本当のIT系プロというのは、全てのことについてプラスマイナスを説明してくれる人だと思う。(ITに限らないと思うが)

プラスしか言わない人は、かなり怪しいw

それは、セキュリティ新興宗教に似ているということと同じだったりする。

導入することによる利点と問題点を言わないやつは信頼しちゃいけないというのは正しいと思う

2008-06-05 ほんとに6月?

なんか、暑い日がないんですけど・・・

[]セキュリティ新興宗教セキュリティは新興宗教wを含むブックマーク セキュリティは新興宗教wのブックマークコメント

セキュリティ業界ってなんとなく新興宗教っぽいなぁと。

「あなたのサイトは悪いハッカーに狙われているかもしれません。今ならこの製品を買えば、被害を受けることを防げます」とか、「 あなたのサイト情報漏えい事件を起こしてしまったのは信心が足りなかったからです。この製品さえ買えばこれからあなたのサイトは安全になります」見たいな感じで営業してるしw

いや、何ね、なんとなく胡散臭いなぁと思っただけですw

もうちょっと別のアプローチで攻めないといけない気がする今日この頃

n2sn2s 2008/06/06 00:14 http://d.hatena.ne.jp/sumii/20060916/1158422895
を思い出しました。
こういうのはセキュリティカルトと呼ぶべきでしょうか(汗

ikepyonikepyon 2008/06/06 09:35 そういうのもありましたねw
まあセキュリティ原理主義ともでも言うような過激なものもありますしw
セキュリティが一番大事とか思っちゃう人もいますからね。あくまでバランスが一番大事なんですけど・・・

2008-06-02 ikepyon[at]gmail.comは私のメールアドレスですw

明らかな間違いメールのリプライ元に私のメールアドレスが書かれていたorz

そりゃ私のとこに届くわなぁ。

自分のメールアドレスは正しく覚えて、記述しましょうw

[]SQLエスケープ再考 SQLのエスケープ再考を含むブックマーク SQLのエスケープ再考のブックマークコメント

http://www.tokumaru.org/d/20080601.html#p01

なかなかすばらしいですね。

まあ、こんなの以前書いてみたけど、今一ですねw

いらないことをいっぱい書いてるしw

トラックバック - http://d.hatena.ne.jp/ikepyon/20080602

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |
Connection: close