naoeの日記 このページをアンテナに追加 RSSフィード

主に,情報セキュリティサマリMLとかINAS-MLのメモ用日記です.
実験的にsec-summaryの内容を日記として公開中

Twitterはじめました〜
twitter / kensukenaoe

2009-01-31 2009 1/25〜1/31

[][] を含むブックマーク のブックマークコメント

Calling all Researchers! Send in the Top Web Hacking Techniques of 2008

http://jeremiahgrossman.blogspot.com/2009/01/calling-all-researchers-send-in-top-web.html

今年もトップを決めよう企画.今回トップの人はBlackHat USA Briefings 2009の無料招待券がもらえるらしい.

去年は80個あったリストも今の時点ではまだ67個.

漏れがあったら教えて〜とのこと.

トラックバック - http://d.hatena.ne.jp/naoe/20090131

2009-01-30

CarolinaCon 2009 CarolinaCon 2009を含むブックマーク CarolinaCon 2009のブックマークコメント

March 13th - 14th 2009

http://www.carolinacon.org

RFIDIOt 0.1w released RFIDIOt 0.1w releasedを含むブックマーク RFIDIOt 0.1w releasedのブックマークコメント

http://rfidiot.org/

トラックバック - http://d.hatena.ne.jp/naoe/20090130

2009-01-29

6th International Symposium on Image and Signal Processing and Analysis(ISPA 2009) 6th International Symposium on Image and Signal Processing and Analysis(ISPA 2009)を含むブックマーク 6th International Symposium on Image and Signal Processing and Analysis(ISPA 2009)のブックマークコメント

http://www.isispa.org/

http://www.isispa.org/CFPSS-multimedia.pdf

Web Application Scanners Comparison Web Application Scanners Comparisonを含むブックマーク Web Application Scanners Comparisonのブックマークコメント

http://www.cgisecurity.com/2009/01/web-application-scanners-comparison.html

ちょっと気になったのでメモ

Calling all Researchers! Send in the Top Web Hacking Techniques of 2008 Calling all Researchers! Send in the Top Web Hacking Techniques of 2008を含むブックマーク Calling all Researchers! Send in the Top Web Hacking Techniques of 2008のブックマークコメント

http://jeremiahgrossman.blogspot.com/2009/01/calling-all-researchers-send-in-top-web.html

今年もトップを決めよう企画.今回トップの人はBlackHat USA Briefings 2009の無料招待券がもらえるらしい.

去年は80個あったリストも今の時点ではまだ67個.

漏れがあったら教えて〜とのこと.

Trend Micro News Checker Trend Micro News Checkerを含むブックマーク Trend Micro News Checkerのブックマークコメント

http://jp.trendmicro.com/jp/threat/tools/news-checker/index.html

Adobe Airももれなくインストールされまする.

トラックバック - http://d.hatena.ne.jp/naoe/20090129

2009-01-28

トラックバック - http://d.hatena.ne.jp/naoe/20090128

2009-01-27

トラックバック - http://d.hatena.ne.jp/naoe/20090127

2009-01-26

サイバーセキュリティは優先事項」――オバマ政権が明言 「サイバー・セキュリティは優先事項」――オバマ政権が明言を含むブックマーク 「サイバー・セキュリティは優先事項」――オバマ政権が明言のブックマークコメント

http://www.computerworld.jp/news/trd/133129.html

「膨大なデータを分析して見えてくること」ニコニコ動画データ分析研究発表会 「膨大なデータを分析して見えてくること」ニコニコ動画データ分析研究発表会 を含むブックマーク 「膨大なデータを分析して見えてくること」ニコニコ動画データ分析研究発表会 のブックマークコメント

http://codezine.jp/article/detail/3516

トラックバック - http://d.hatena.ne.jp/naoe/20090126

2009-01-24 2009 1/18〜1/24

[][] を含むブックマーク のブックマークコメント

IMF 2009

5th International Conference on IT Security Incident Management & IT Forensics

September 15th - 17th, 2009. Stuttgart, Germany

http://www1.gi-ev.de/fachbereiche/sicherheit/fg/sidar/imf/imf2009/

DIMVA 2009

Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessment

Milan, Italy. June / July, 2009

http://www.dimva.org/dimva2009

第29 回 NT-Committee2 関東勉強会

テーマ:「ヨソでは聞けない仮想化技術お話

日時: 2009年1月24日(土)  13:30〜

http://www.hidebohz.com/Meeting/20090124.htm

HITBSecConf2008 - Malaysiaの動画が公開

http://thepiratebay.org/torrent/4654588/HITBSecConf2008_-_Malaysia_Videos___Day_1

http://thepiratebay.org/torrent/4654974/HITBSecConf2008_-_Malaysia_Videos___Day_2

Hack In The Box Security Conference 2009 - Dubai の登録もあわせて出ていた

http://conference.hitb.org/hitbsecconf2009dubai/

First IEEE International Workshop on Information Forensics and Security

December 6-9, 2009 - London, United Kingdom

http://www.wifs09.org/

[][]  を含むブックマーク  のブックマークコメント

IPv6アクセス比率を表示するブログパーツIPv4/IPv6 meter」

http://internet.watch.impress.co.jp/cda/news/2009/01/22/22187.html

ePassport emulator v1.02とeCL0WN v1.01がリリース

http://www.dexlab.nl/

Apache Jackrabbit version 1.5.2

http://jackrabbit.apache.org/downloads.html

Apache Jackrabbit is a fully conforming implementation of the Content Repository for Java Technology API (JCR).

milter manager

milterを効果的に使うためのmilterだそうです.

http://milter-manager.sourceforge.net/index.html.ja

トラックバック - http://d.hatena.ne.jp/naoe/20090124

2009-01-23

トラックバック - http://d.hatena.ne.jp/naoe/20090123

2009-01-22

ePassport emulator v1.02とeCL0WN v1.01がリリース ePassport emulator v1.02とeCL0WN v1.01がリリースを含むブックマーク ePassport emulator v1.02とeCL0WN v1.01がリリースのブックマークコメント

http://www.dexlab.nl/

IMF 2009 IMF 2009を含むブックマーク IMF 2009のブックマークコメント

5th International Conference on IT Security Incident Management & IT Forensics

September 15th - 17th, 2009. Stuttgart, Germany

http://www1.gi-ev.de/fachbereiche/sicherheit/fg/sidar/imf/imf2009/

DIMVA 2009 DIMVA 2009を含むブックマーク DIMVA 2009のブックマークコメント

Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessment

Milan, Italy. June / July, 2009

http://www.dimva.org/dimva2009

JPCERT/CC、制御系システムの情報セキュリティに関するコーナーを開設 JPCERT/CC、制御系システムの情報セキュリティに関するコーナーを開設を含むブックマーク JPCERT/CC、制御系システムの情報セキュリティに関するコーナーを開設のブックマークコメント

http://japan.zdnet.com/news/sec/story/0,2000056194,20386717,00.htm

トラックバック - http://d.hatena.ne.jp/naoe/20090122

2009-01-21

第29 回 NT-Committee2 関東勉強会 第29 回 NT-Committee2 関東勉強会を含むブックマーク 第29 回 NT-Committee2 関東勉強会のブックマークコメント

テーマ:「ヨソでは聞けない仮想化技術お話

日時: 2009年1月24日(土)  13:30〜

http://www.hidebohz.com/Meeting/20090124.htm

Apache Jackrabbit version 1.5.2 Apache Jackrabbit version 1.5.2を含むブックマーク Apache Jackrabbit version 1.5.2のブックマークコメント

http://jackrabbit.apache.org/downloads.html

Apache Jackrabbit is a fully conforming implementation of the Content Repository for Java Technology API (JCR).

トラックバック - http://d.hatena.ne.jp/naoe/20090121

2009-01-20

First IEEE International Workshop on Information Forensics and Security First IEEE International Workshop on Information Forensics and Securityを含むブックマーク First IEEE International Workshop on Information Forensics and Securityのブックマークコメント

December 6-9, 2009 - London, United Kingdom

http://www.wifs09.org/

トラックバック - http://d.hatena.ne.jp/naoe/20090120

2009-01-19

milter manager milter managerを含むブックマーク milter managerのブックマークコメント

milterを効果的に使うためのmilterだそうです.

http://milter-manager.sourceforge.net/index.html.ja

トラックバック - http://d.hatena.ne.jp/naoe/20090119

2009-01-17 2009 1/11〜1/17

[][] を含むブックマーク のブックマークコメント

2009年1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起

http://www.jpcert.or.jp/at/2009/at090001.txt

Webアプリの脆弱性は5+1の分類で把握せよ−NTTデータCCS長谷川氏

http://enterprise.watch.impress.co.jp/cda/security/2009/01/09/14612.html

ボットネット御用達ISP遮断で激減したスパムが復活傾向に

http://internet.watch.impress.co.jp/cda/news/2009/01/15/22099.html

2009年中に世界の開発者50%以上がSaaSを担当――米調査会社が予測

http://www.computerworld.jp/news/sw/131749.html

Google,異種ブログ・サービス間のデータ変換ツールをオープンソースで公開

http://itpro.nikkeibp.co.jp/article/NEWS/20090113/322738/

マイクロソフトの駆除ツール、Windowsの脆弱性を突くウイルスに対応

http://itpro.nikkeibp.co.jp/article/NEWS/20090114/322850/

ウイルスから寄生型へ―マルウエアの新たな時代

http://itpro.nikkeibp.co.jp/article/COLUMN/20090113/322749/

クリッカブル・リンクはオンライン詐欺の餌食を生み出す悪習

http://itpro.nikkeibp.co.jp/article/COLUMN/20090113/322782/

被害が広がるDNSキャッシュポイズニング、IPAが対策資料を公開

http://japan.zdnet.com/news/sec/story/0,2000056194,20386459,00.htm

[][] を含むブックマーク のブックマークコメント

Search Engine Tools and Services

http://www.seomoz.org/blog/rewriting-the-beginners-guide-part-viii-search-engine-tools-and-services-5844

Webの負荷テストに使えるフリーソフトウェア

http://sourceforge.jp/magazine/09/01/13/0136230

JPCERT/CC REPORT 2009-01-15

http://www.jpcert.or.jp/wr/2009/wr090201.html

2008年12月の緊急注意喚起の続報〜SQLインジェクション攻撃の変化について

http://www.lac.co.jp/info/alert/alert20090114.html

VMware ESXiのまとめ

http://d.hatena.ne.jp/connect24h/20090112#p1

量がすごいです

2009 Top 25 Programming Errors

http://cwe.mitre.org/top25/pdf/2009_cwe_sans_top_25.pdf

プログラミングエラーのトップ25が公開された

[][] を含むブックマーク のブックマークコメント

日本セキュアOSユーザ会 セキュアOS塾-02

http://www.secureos.jp/index.php?events/jsosjk02

日時:2月2日(月) 18:30〜20:15

Presentations @ ClubHack2008

http://clubhack.com/2008/Presentations

Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessment

http://www.dimva.org/dimva2009

[][]  を含むブックマーク  のブックマークコメント

apache_1.3.41+ssl_1.60 released

http://www.apache-ssl.org/

There's a New AppScan In Town

http://blog.watchfire.com/wfblog/2009/01/theres-a-new-appscan-in-town.html

AppScanの新しいバージョン

http://www-01.ibm.com/software/awdtools/appscan/standard/

ここからトライアル版がダウンロードできる

[][] を含むブックマーク のブックマークコメント

Kernel Security Wiki

http://security.wiki.kernel.org/index.php/Main_Page

というのが出来たみたいです.

ノートン プロテクション ブログ 日本版

http://communityjp.norton.com/t5/blogs/blogpage/blog-id/npbj

ってのが始まったらしい

2009年IT・セキュリティ分野の動向や予測を集めてみた

http://d.hatena.ne.jp/naoe/20090114

トラックバック - http://d.hatena.ne.jp/naoe/20090117

2009-01-16

apache_1.3.41+ssl_1.60 released apache_1.3.41+ssl_1.60 releasedを含むブックマーク apache_1.3.41+ssl_1.60 releasedのブックマークコメント

http://www.apache-ssl.org/

トラックバック - http://d.hatena.ne.jp/naoe/20090116

2009-01-15

Kernel Security Wiki Kernel Security Wikiを含むブックマーク Kernel Security Wikiのブックマークコメント

http://security.wiki.kernel.org/index.php/Main_Page

というのが出来たみたいです.

2008年12月の緊急注意喚起の続報〜SQLインジェクション攻撃の変化について 2008年12月の緊急注意喚起の続報〜SQLインジェクション攻撃の変化についてを含むブックマーク 2008年12月の緊急注意喚起の続報〜SQLインジェクション攻撃の変化についてのブックマークコメント

http://www.lac.co.jp/info/alert/alert20090114.html

ノートン プロテクション ブログ 日本ノートン プロテクション ブログ 日本版を含むブックマーク ノートン プロテクション ブログ 日本版のブックマークコメント

http://communityjp.norton.com/t5/blogs/blogpage/blog-id/npbj

ってのが始まったらしい

ボットネット御用達ISP遮断で激減したスパムが復活傾向に ボットネット御用達ISP遮断で激減したスパムが復活傾向にを含むブックマーク ボットネット御用達ISP遮断で激減したスパムが復活傾向にのブックマークコメント

http://internet.watch.impress.co.jp/cda/news/2009/01/15/22099.html

マイクロソフトの駆除ツール、Windowsの脆弱性を突くウイルスに対応 マイクロソフトの駆除ツール、Windowsの脆弱性を突くウイルスに対応 を含むブックマーク マイクロソフトの駆除ツール、Windowsの脆弱性を突くウイルスに対応 のブックマークコメント

http://itpro.nikkeibp.co.jp/article/NEWS/20090114/322850/

ウイルスから寄生型へ―マルウエアの新たな時代 ウイルスから寄生型へ―マルウエアの新たな時代 を含むブックマーク ウイルスから寄生型へ―マルウエアの新たな時代 のブックマークコメント

http://itpro.nikkeibp.co.jp/article/COLUMN/20090113/322749/

クリッカブル・リンクはオンライン詐欺の餌食を生み出す悪習 クリッカブル・リンクはオンライン詐欺の餌食を生み出す悪習を含むブックマーク クリッカブル・リンクはオンライン詐欺の餌食を生み出す悪習のブックマークコメント

http://itpro.nikkeibp.co.jp/article/COLUMN/20090113/322782/

被害が広がるDNSキャッシュポイズニング、IPAが対策資料を公開 被害が広がるDNSキャッシュポイズニング、IPAが対策資料を公開を含むブックマーク 被害が広がるDNSキャッシュポイズニング、IPAが対策資料を公開のブックマークコメント

http://japan.zdnet.com/news/sec/story/0,2000056194,20386459,00.htm

Presentations @ ClubHack2008 Presentations @ ClubHack2008 を含むブックマーク Presentations @ ClubHack2008 のブックマークコメント

http://clubhack.com/2008/Presentations

There's a New AppScan In Town There's a New AppScan In Townを含むブックマーク There's a New AppScan In Townのブックマークコメント

http://blog.watchfire.com/wfblog/2009/01/theres-a-new-appscan-in-town.html

AppScanの新しいバージョン

http://www-01.ibm.com/software/awdtools/appscan/standard/

ここからトライアル版がダウンロードできる

Webアプリの脆弱性は5+1の分類で把握せよ−NTTデータCCS長谷川氏 Webアプリの脆弱性は5+1の分類で把握せよ−NTTデータCCS長谷川氏を含むブックマーク Webアプリの脆弱性は5+1の分類で把握せよ−NTTデータCCS長谷川氏のブックマークコメント

http://enterprise.watch.impress.co.jp/cda/security/2009/01/09/14612.html

トラックバック - http://d.hatena.ne.jp/naoe/20090115

2009-01-14 2009年IT・セキュリティ分野の動向や予測を集めてみた

[]2009年のIT・セキュリティ分野の動向や予測を集めてみた 2009年のIT・セキュリティ分野の動向や予測を集めてみたを含むブックマーク 2009年のIT・セキュリティ分野の動向や予測を集めてみたのブックマークコメント

年明けてからいろいろなところでこれが流行るぜあれが流行るぜ,あれが危ない,などの記事があったので

何を勉強したらいいかの自分メモとして集めてみます.

ちょっとComputerWorldばっかりですけど随時追加予定.

2009年セキュリティと脅威の動向予測

http://www.fortinet.co.jp/news/pr/2009/pr010609.html

フォーティネット、2009年セキュリティと脅威の動向予測トップ9を発表

http://www.sbbit.jp/news/10666/

2009年セキュリティと脅威の動向予測

http://japan.zdnet.com/release/story/0,3800075480,00041817p,00.htm

2009年は闇経済がますます活発化か

http://japan.internet.com/webtech/20090106/6.html

・財布の紐はかたく

・情報セキュリティで求められるものが変化

・多数のWeb2.0の脆弱性が問題に

・より太く、速いスピードのネットワーク

・3Gモバイルのセキュリティ

・より多くのお金がネットの闇経済に流入

・ますますオンラインゲームがターゲットに

・計画的でターゲットを定めた攻撃が増加

・オンラインでも法の裁き

2009年国内IT市場10大予測を発表

http://www.idcjapan.co.jp/Press/Current/20090108Apr.html

IDC Japan、2009年の国内IT市場10大予測を発表

http://it.nikkei.co.jp/pc/news/release.aspx?i=209098

世界不況でも堅調な伸びが期待できるIT分野は

http://www.computerworld.jp/topics/econo/129229.html

・国内IT市場は、これまでの拡大傾向から一変してマイナス成長となる

・仮想化サーバーとシステム管理ソフトウェアの拡大がSIerの選別を促進する

・PCの急速な価格下落によって、主要ベンダーの事業撤退が起こる

・バーチャルクライアント化が進展し、サーバーとストレージによる処理集中化への回帰が起こる

・モバイルPCの利用拡大と、携帯電話向けアプリケーションの増加によって、クラウドコンピューティングへの流れが加速する

・部門単位のSaaS利用拡大はIT統制見直しの契機となる

セキュリティ市場に新技術が投入され、システムインフラ整備の重要な要素となる

・データセンターのグリーン化への取り組みが本格化する

・日本のITベンダーによる海外進出が加速する

・ITベンダーのコンプライアンスへの対応力が試される

仮想化,バーチャルクライアント,モバイルPC,グリーンITは省スペース低消費電力の流れだから当然かと.

同じ機能,価格で提供できるのならという組織が増えてきているし,そういう提案がここ1,2年増えているので,これは納得.

2009年コンピュータ市場で何が“流行る”か

http://www.computerworld.jp/news/trd/130869.html

2009年は“Vista”の年になる>>Windows7

・PCプラットフォームがついに細分化される

・Apple製品の企業への普及が進む

・Microsoftは自前の携帯電話を作らない

企業ってあまりApple製品を使っていないのかな?

大学は一昨年くらいから大分導入事例が増えてきている印象があるけど...

大胆予想:2009年にIT業界を襲う10大事件

http://www.computerworld.jp/news/trd/130849.html

2009年半ばまでに景気回復の兆しも

・DDR3がDRAMの主流に

・ネットブックが台頭――価格は200-300ドルに

・厳しさを増すモバイル・ガジェット市場

・シュワルツCEO、サンを去る

・タイムワーナーが“重荷”のAOLを手放す

・「Windows 7」のリリースは年内に

・クラウド・ベンダーによるSaaSプロバイダーの吸収合併が本格化

・さらに悪質化するサイバー犯罪

・オバマ新政権はIT施策を積極的に推進する

来年を占う:2009年IT業界の10大ニュースを大胆予測

http://www.itmedia.co.jp/enterprise/articles/0812/24/news023.html

PlanIT編集チームが選んだIT業界2009年10大ニュース

順位予測したニュースその根拠
1ITを景気回復の原動力にITによって企業の競争力強化や地方活性化などを推進すれば…。
2クラウドビジネスに向けた合従連衡が活発化クラウドビジネスにはこれまで以上に総合力が問われる。“寄らば大樹”の勢力争いに。
3MicrosoftがYahoo!の検索事業を買収ケリがついた問題とみられているが、条件が整えばMicrosoftは再び触手を伸ばす。
4GoogleとSalesforce.comが資本提携すでに緊密な提携関係にあるが、クラウドの覇者を目指してさらなる結束へ。
5基幹業務系でもSaaS利用拡大とくに中堅・中小企業向け基幹業務にSaaSのコストメリットが威力を発揮しそう。
6SI業者のサバイバル競争が激化クラウド、SaaSへのパラダイムの変化に対応できうるSI業者のみが生き残れる。
7大手パソコンメーカーが相次いで撤退へ超低価格パソコンが台頭する中で、利益を出せなくなったメーカーは撤退を余儀なくされる。
8グリーンIT化が加速ITそのもののグリーン化だけでなく、各分野でのITによるグリーン化が一層求められる。
9クラウドサービスでシステム障害が頻繁に発生クラウドサービスの拡大に伴いシステム障害が目立つようになる。2009年はそれを実感する。
10ニンテンドーDSiの情報端末利用が拡大インターネット接続機能が強化されたDSiは情報端末としての利用価値も大いにある。

2009年スパムメールはさらに進化する!?

http://www.computerworld.jp/news/sec/131149.html

・ソーシャル・ネットワーク・スパムの増大

スパムメールを配信するネットワークの複雑化

・脅威のハイブリッド化

・特定の集団や個人にスパムを送りつけるスピア・フィッシングの増加

・手口の巧妙化

セキュリティベンダー各社、来年は「マルウェア検出手法の刷新を図る」

http://www.computerworld.jp/news/sec/129929.html

・「新たなマルウェアは毎日1万2,000種類も現れる」

・“ポスト・シグネチャ”の検出手法を巡り多種多様な取り組み

・ウイルス対策の世界にも“クラウド”

2009年の企業IT予算は10〜20%の大幅減――米調査会社が予測

http://www.techworld.jp/topics/report/102819/

2009年中に世界の開発者50%以上がSaaSを担当――米調査会社が予測

http://www.computerworld.jp/topics/move/131749.html

2009年セキュリティ動向は?――ベンダー各社の予測を読む

http://www.computerworld.jp/news/sec/130929.html

2009年の最注目セキュリティ技術は「暗号化」

http://www.computerworld.jp/news/sec/131189.html

2009年は計画的なスピア型攻撃が主流になる

http://itpro.nikkeibp.co.jp/article/NEWS/20090106/322289/

犯罪者にも魅力的:2009年は「クラウド攻撃元年」に? Websenseが予想

http://www.itmedia.co.jp/enterprise/articles/0812/10/news035.html

「ネット犯罪百花繚乱」 G DATA Software Lab が2009年情報セキュリティ予測

http://japan.internet.com/webtech/20081219/6.html

企業のIT支出は2009年の夏に回復する――フォレスターが示す4つの理由

http://www.windows-world.jp/news/-/129410.html

2009年は再び不特定多数を狙った攻撃が活発に - トレンドマイクロが予測

http://www.security-next.com/009654.html

2009年の重要ITトレンド予測とテックバイザーの立ち位置

http://blogs.itmedia.co.jp/kurikiyo/2009/01/2009it-b9f1.html

Opinion: Security predictions for 2009

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9124621&source=rss_news

2009 Security Predictions

http://www.sans.edu/resources/securitylab/2009_predictions.php

Security predictions for 2009

http://www.itworld.com/security/59948/security-predictions-2009

10 Security Predictions For 2009

http://www.crn.com/security/212201985

The 2009 Security Prediction Prediction List

http://blogs.gartner.com/greg_young/2008/12/19/the-2009-security-prediction-prediction-list/

2009 security predictions: Deja vu all over again

http://www.infoworld.com/article/08/12/31/2009_security_predictions_Deja_vu_all_over_again_1.html

2009 - my security predictions

http://www.itpro.co.uk/blogs/danj/2008/12/10/2009-my-security-predictions/

Looking ahead at security trends for 2009:

http://news.cnet.com/8301-1009_3-10128133-83.html

Four Threats For '09 That You've Probably Never Heard Of (Or Thought About)

http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=212700328

State of IT Security - 2009 Prediction

http://preachsecurity.blogspot.com/2009/01/state-of-it-security-2009-prediction.html

Week of (everyone else’s) Security Predictions 2009

Day One: Cisco

http://blogs.iss.net/archive/WoSP_1.html

Day Two: MessageLabs

http://blogs.iss.net/archive/WoSP_2.html

Day Three: PandaLabs

http://blogs.iss.net/archive/WoSP_3.html

トラックバック - http://d.hatena.ne.jp/naoe/20090114

2009-01-13

Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessment Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessmentを含むブックマーク Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessmentのブックマークコメント

http://www.dimva.org/dimva2009

トラックバック - http://d.hatena.ne.jp/naoe/20090113

2009-01-12

VMware ESXiのまとめ VMware ESXiのまとめを含むブックマーク VMware ESXiのまとめのブックマークコメント

http://d.hatena.ne.jp/connect24h/20090112#p1

量がすごいです

2009 Top 25 Programming Errors 2009 Top 25 Programming Errorsを含むブックマーク 2009 Top 25 Programming Errorsのブックマークコメント

http://cwe.mitre.org/top25/pdf/2009_cwe_sans_top_25.pdf

プログラミングエラーのトップ25が公開された

トラックバック - http://d.hatena.ne.jp/naoe/20090112

2009-01-10 2009 1/4〜1/10

[][] を含むブックマーク のブックマークコメント

OWASP AppSec Europe 2009 Poland

http://2009.confidence.org.pl/lang-pref/en/

http://2009.confidence.org.pl/call-for-papers

Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessment

http://www.dimva.org/dimva2009

4th Annual Symposium on Information Assurance (ASIA '09)

12th Annual New York State Cyber Security Conference

June 3-4, 2009, Empire State Plaza (Albany, NY)

http://www.albany.edu/iasymposium

The International ACM Conference on Management of Emergent Digital EcoSystems (MEDES'09)

http://sigappfr.acm.org/MEDES/09/

扱うトピック

  • Digital Ecosystem Infrastructure
  • Web Technologies
  • Social Networks
  • Data & Knowledge Management Systems
  • Multimedia Information Retrieval
  • Ontology Management
  • Services Systems and Engineering
  • E-Services , E-Learning, E-Humanities and E-Government
  • Emergent Intelligence
  • Game Theory
  • Networks and Protocols
  • Security & Privacy
  • Standardization and Extensible Languages
  • Human-Computer Interaction
  • Business Intelligence
  • B2B, B2C, B2A, E-Commerce, E-Business, E-Marketing and E-Procurement
  • Digital Library

[][]  を含むブックマーク  のブックマークコメント

Process Memory Dumper (PMD)

is an application that allows you to dump the entire memory of the chosen process.

http://www.evilfingers.com/tools/ProcessMemoryDumper.php

トラックバック - http://d.hatena.ne.jp/naoe/20090110

2009-01-09

マイクロソフト セキュリティ情報の事前通知 - 2009 年 1 月 マイクロソフト セキュリティ情報の事前通知 - 2009 年 1 月を含むブックマーク マイクロソフト セキュリティ情報の事前通知 - 2009 年 1 月のブックマークコメント

http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

今月は一件のみ

トラックバック - http://d.hatena.ne.jp/naoe/20090109

2009-01-08

トラックバック - http://d.hatena.ne.jp/naoe/20090108

2009-01-07 今日時点での偽SSL証明書の話関連をピックアップ

今日時点での偽SSL証明書の話関連をピックアップ 今日時点での偽SSL証明書の話関連をピックアップを含むブックマーク 今日時点での偽SSL証明書の話関連をピックアップのブックマークコメント

そろそろ各種ベンダーからもプレスリリースやらメールが回り始めたことだし

ちょっとづつ集めてみよう.どうせ仕事でこの辺をやる羽目になるのだろうから・・・

MD5 considered harmful today: Creating a rogue CA certificate

http://www.win.tue.nl/hashclash/rogue-ca/

http://d.hatena.ne.jp/naoe/20090105#p1でも書いたように

年末にWebAppSecのメーリングリストでこの件について僕は知りました.

そのときはふーん.PS3を200台使うとかうらやましすぎる.とか位にしか思っていなかった.

あとはここでもよくCFPを流していてChaos Communication Congressは前にも流したのでへぇーくらい.

http://d.hatena.ne.jp/naoe/20080701#p1

あぁ,この集まりかぁ.くらい.

MD5 SSL Summary

http://isc.sans.org/diary.html?storyid=5590

日本じゃあまり見かけなかったので,ぷらぷらしてみたら,この辺に当たった.

SSL broken! Hackers create rogue CA certificate using MD5 collisions

http://blogs.zdnet.com/security/?p=2339

有名どこにもちょこちょこと記事が出てきた.

年末時点ではここで打ち止め.特に調べもせず.

yebo blogMD5衝突攻撃による偽SSL証明書の作成」

http://yebo-blog.blogspot.com/2008/12/md5ssl.html

年明けてからちょっとづつざわついてきた.

見つけた日本語でのBLOGでは分かりやすいまとめはここかな.

ここから色々と数珠繋ぎに.

Microsoft Security Advisory (961509)

Research proves feasibility of collision attacks against MD5

http://www.microsoft.com/technet/security/advisory/961509.mspx

上記のBLOGでも書いてある通りMicrosoftがAdvisoryをすぐに出していた.

MD5 vulnerable to collision attacks

http://www.kb.cert.org/vuls/id/836068

USCertでもでてた.

簡潔にまとめられている作者の一人(というか筆頭著者)のページ

http://www.phreedom.org/research/rogue-ca/

パワーポイントとかがあるので読みました.

おもろい!と同時に結構苦労しているなぁと.

結論からして,すぐにあわてる必要は無いということ.

しかしMD5からSHA-1に変えるのが吉!が自分の中の結論.

べりサインサーバID MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について

http://www.verisign.co.jp/ssl/about/20090106.html

MD5アルゴリズムを利用した全てのSSLサーバ証明書の発行を2009年1月6日(火)以降、停止いたします。

対象製品

グローバルサーバID」(日本ベリサイン「ストアフロント」システムから発行分)

 ※上記以外のサーバID製品は影響がございません。


上記対象製品署名アルゴリズムを以下の通り、2009年1月15日(木)以降、MD5か ら、よりセキュアなSHA-1へ切り替えます。

詳細はこちら

※尚、1月6日から1月15日までの間、対象製品の発行を一時的に保留させていただきますお客様にはご不便をおかけし大変恐縮ですが、どうぞご理解・ご了承ください。

1月5日以前に申請いただき、1月6日時点で未発行のサーバIDは、1月15日以降に発行させていただきます

・また1月6日以降に申請されたサーバIDも同様に、1月15日以降に発行させていただきます

とのこと.いち早く対策方針が出てた.

うひゃー,これって今有効期限バリバリ残っている証明書をMD5で作ってしまった場合,これをSHA-1で作り直すのを無料でやってくれるとかってサービス無いのかな?

MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について

GlobalSignはMD5使っていないぜとアピール

http://jp.globalsign.com/info/report/2009/01/id175

サイバートラストSHA-1使っている

とアピール.

まとめ

2008年の段階でCAMD5を利用しているところは以下の通りとのこと.

RapidSSL

FreeSSL

TrustCenter

RSA Data Security

Thawte

verisign.co.jp

なので,この辺の証明書を使っている人はとりあえず注意したらどう?という感じですね.

でも,SHA-1あるいはもっと強化してRSAを使っていても現実レベルコリジョンを引き起こせるようになったらどうするの?

って状況はずっとついてきますね...

2009-01-06

Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessment Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessmentを含むブックマーク Sixth International Conference on Detection of Intrusions and Malware & Vulnerability Assessmentのブックマークコメント

http://www.dimva.org/dimva2009

4th Annual Symposium on Information Assurance (ASIA '09) 4th Annual Symposium on Information Assurance (ASIA '09)を含むブックマーク 4th Annual Symposium on Information Assurance (ASIA '09)のブックマークコメント

12th Annual New York State Cyber Security Conference

June 3-4, 2009, Empire State Plaza (Albany, NY)

http://www.albany.edu/iasymposium

2009年の最注目セキュリティ技術は「暗号化」 2009年の最注目セキュリティ技術は「暗号化」を含むブックマーク 2009年の最注目セキュリティ技術は「暗号化」のブックマークコメント

http://www.computerworld.jp/news/sec/131189.html

2009年は計画的なスピア型攻撃が主流になる 2009年は計画的なスピア型攻撃が主流になる を含むブックマーク 2009年は計画的なスピア型攻撃が主流になる のブックマークコメント

http://itpro.nikkeibp.co.jp/article/NEWS/20090106/322289/

トラックバック - http://d.hatena.ne.jp/naoe/20090106

2009-01-05

偽のSSL証明書作成を研究者グループが実証、200台のPS3を使用 偽のSSL証明書作成を研究者グループが実証、200台のPS3を使用を含むブックマーク 偽のSSL証明書作成を研究者グループが実証、200台のPS3を使用のブックマークコメント

http://internet.watch.impress.co.jp/cda/news/2009/01/05/22003.html

多分,オリジナルは2008年12月30日にWebAppSecで投稿されたこれかと

MD5 considered harmful today: Creating a rogue CA certificate

http://www.win.tue.nl/hashclash/rogue-ca/

ってちゃんと書いてありましたね.失礼しました.

The International ACM Conference on Management of Emergent Digital EcoSystems (MEDES'09) The International ACM Conference on Management of Emergent Digital EcoSystems (MEDES'09) を含むブックマーク The International ACM Conference on Management of Emergent Digital EcoSystems (MEDES'09) のブックマークコメント

http://sigappfr.acm.org/MEDES/09/

扱うトピックは

  • Digital Ecosystem Infrastructure
  • Web Technologies
  • Social Networks
  • Data & Knowledge Management Systems
  • Multimedia Information Retrieval
  • Ontology Management
  • Services Systems and Engineering
  • E-Services , E-Learning, E-Humanities and E-Government
  • Emergent Intelligence
  • Game Theory
  • Networks and Protocols
  • Security & Privacy
  • Standardization and Extensible Languages
  • Human-Computer Interaction
  • Business Intelligence
  • B2B, B2C, B2A, E-Commerce, E-Business, E-Marketing and E-Procurement
  • Digital Library

Process Memory Dumper (PMD) Process Memory Dumper (PMD)を含むブックマーク Process Memory Dumper (PMD)のブックマークコメント

is an application that allows you to dump the entire memory of the chosen process.

http://www.evilfingers.com/tools/ProcessMemoryDumper.php

ネットエージェント、ファイル共有ソフトによる情報漏えい事件・事故に対する対応ガイドを公開 ネットエージェント、ファイル共有ソフトによる情報漏えい事件・事故に対する対応ガイドを公開を含むブックマーク ネットエージェント、ファイル共有ソフトによる情報漏えい事件・事故に対する対応ガイドを公開のブックマークコメント

http://release.nikkei.co.jp/detail.cfm?relID=208870&lindID=1

トラックバック - http://d.hatena.ne.jp/naoe/20090105

2009-01-03 2008 12/28〜2009 1/3

[][] を含むブックマーク のブックマークコメント

National Security Agency Releases History of Cold War Intelligence Activities

http://www.gwu.edu/~nsarchiv/NSAEBB/NSAEBB260/index.htm

ちょっと前の読み応えのあるNSAの冷戦時のお話

[][]  を含むブックマーク  のブックマークコメント

韓国産のsqlインジェクションツール WITOOL

WITOOL is an sql injection GUI tool by DotNET.

http://witool.sourceforge.net/

SSL Blacklist 4.0

http://www.codefromthe70s.org/sslblacklist.aspx

FirefoxのAddOn.

だめなcertを使っているかどうかが確認できる.

TA-Mapper: Application Penetration Testing Effort Estimator

http://www.coffeeandsecurity.com/resources/tools/tamapper.aspx

Inguma (version 0.1.0 R1)

二つのツールが追加されたとのこと

OpenDis Binary Navigator. A navigator for executables.

PCAP Fuzzer: Another interesting tool (well, a library and a tool) is

this, the PCAP based fuzzer. Record a session in one PCAP format file

and use it in your scripts to automatically fuzz every token (or every

byte) of the communication. It's good, in example, to audit propietary

network protocols.

https://sourceforge.net/project/showfiles.php?group_id=188246&package_id=220086&release_id=650077

FSpy - linux filesystem activity monitoring

Website: http://mytty.org/fspy/

Repository: http://code.google.com/p/fspy/

Release-Talk-Slides: http://www.mytty.org/fspy_25c3_richard-sammet.pdf

このpdfを見て思ったのですが,日本語以外でも高橋メソッドって使われ始めてるんですねぇ...

Zerowine Sandbox

マルウェアかどうかをビヘイビア分析によって判断するサンドボックス

Zero wine is a sandbox created with WINE and QEmu to (automatically)

analyze malware.

It's behavioral based: Just upload your malware to the zerowine's web

server and let it analyze the malware's behavior by running it (in a

isolated environment).

The very first release consist in a prebuilt QEmu virtual machine (the

recommended way) or the python source code (see the file INSTALL for

details).

Sourceforge's Project Page

http://sourceforge.net/projects/zerowine/

Download Virtual Machine

https://sourceforge.net/project/showfiles.php?group_id=248410&package_id=303323&release_id=649964

Download Source Code

https://sourceforge.net/project/showfiles.php?group_id=248410&package_id=303323&release_id=649963

Documentation

http://zerowine.sourceforge.net

Blog

http://joxeankoret.com/blog/?p=33

怪しいPEファイルを提出するだけで判断してくれる.

BLOGによると有名どころのPackerでpackされたものでもほぼ全部検出できるそうです.

[][] を含むブックマーク のブックマークコメント

CAN YOU CRACK A CODE? Try Your Hand at Cryptanalysis

http://www.fbi.gov/page2/dec08/code_122908.html

FBIからの挑戦

セキュリティいろはかるた」なんてものがあるらしい

http://www.amazon.co.jp/dp/B001NK7QTY/

これも武田さんが監修らしい

トラックバック - http://d.hatena.ne.jp/naoe/20090103

2009-01-02

トラックバック - http://d.hatena.ne.jp/naoe/20090102

2009-01-01

SSL Blacklist 4.0 SSL Blacklist 4.0を含むブックマーク SSL Blacklist 4.0のブックマークコメント

http://www.codefromthe70s.org/sslblacklist.aspx

FirefoxのAddOn.

だめなcertを使っているかどうかが確認できる.

TA-Mapper: Application Penetration Testing Effort Estimator TA-Mapper: Application Penetration Testing Effort Estimatorを含むブックマーク TA-Mapper: Application Penetration Testing Effort Estimatorのブックマークコメント

http://www.coffeeandsecurity.com/resources/tools/tamapper.aspx

トラックバック - http://d.hatena.ne.jp/naoe/20090101