Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2011-05-31

[]恩を仇で返す

まさにその言葉通りだな(苦笑。

no title

no title

2011-05-30

2011-05-29

[]チャンピオンズリーグ決勝、バルセロナ対マンチェスター・ユナイテッド

それにしてもなぜ、ファーガソン監督はメッシ番を置かなかったんだろう?これまで攻撃力を減殺できた事例では、ボランチのところを三枚にするというのが最も効果的だったのにねえ。

あともう一つわからなかったのは、試合への入り方だ。マンUは最初ものすごいプレスかけまくっていたけど、一か八かそこで先取点を狙いに行くつもりだったのかなあ。でもペース配分的にはむしろ、バルサが気を抜く瞬間にパワーを残しておけるかどうかというのがポイントだし、案の定だけどそこにパワー残っていたときはワンツーで同点に持ち込めたけど、後半ガス欠になってからは攻撃が単発になってきたしなあ。今期のバルサの守備は、何気に個人依存度が高いからそこさえ突破できれば十分点取れたのに。

「対バルサ」として策を練ることを潔しとしなかったのか。もしそうなら、その気持ちもわからなくもないけど、決勝まで来たら勝者のみが正義だしなあ。そうでなかったのだとしたら、モウリーニョレベルの策士たりえなかったってことなのかな。

2011-05-28

[]対策サボってるもんなんだなー

ネットで無料の情報を参照するくらいでも予防策・対策できるのに、それすらやってない会社がけっこうある、ってのがだんだん明らかになってきてる感ありますね。ソニーのような例はちょっと論外だけど、企業グループ全体でポリシーとか手順とかを徹底できているのかという、そういう論点もあるよなあ。

no title

世界的な展開のグループともなると、セキュリティに対する態度や文化的な違いみたいなものも超えていく必要があるとか。なんか、ホンダがアメリカに進出したときとかに品質や仕事の態度に関して現地の人々との文化的な違いを乗り越えていったとか、そういう話あったと思うんだけど、それをもう一度やらんといかんのじゃないか。セキュリティってところで。

2011-05-27

[]どうやって大もうけしてるの?

no title

すぐに消えちゃうヤホーヘッドラインで「サイバー犯罪者は大もうけ」という記事を読んだ。へ?大もうけってどうやってんの?とか思って元ネタを当たってみたんだけど、

no title

さまざまな兆候を見ると、プロのサイバー犯罪者の一部は、多数の家庭用 PC を感染させることから大企業に対するハッキングに目標を変更することで大儲けしたことが分かります。ホームユーザーとは異なり、大企業は報復を仕掛けてくる恐れがあるため、攻撃者にとっては高リスクです。それでも企業を標的にした攻撃に対する見返りは大きく、また、ブラックマーケットの中でもこの領域には競合相手が少ないというメリットがあります。

よくわからない(笑)。

まあ相手がソニーなら儲けになりそうだけど、そういうことを言ってるのかなあ。

[]情報危機管理コンテスト

絶賛トラブル対応中w。いや、コンテストがトラブってるというのではなく、トラブルに対応するコンテストなのでね(笑)。

no title

決勝大会に出ているのは以下のチームのみなさん。

同志社大学「purple people」

関西大学「コバゼミ」

情報セキュリティ大学院大学「学生」

HAL東京「drafts」

信州大学「kstm」

f:id:sonodam:20110527135911j:image

懐かしのカレー本を見つけた。愛読している学生さんがおられるようです。

そういえば今年はUstしてるんだった。

http://www.ustream.tv/channel/sccs-contest2011

2011-05-26

[]全日本空輸

よさこいソーランのおかげで、2年ぶりくらいに全日本空輸という会社の飛行機に乗ることになりそう。何度か書いてるけど、横浜フリューゲルスを潰したあの会社はあっしにとっては無かったことになってるんだけど、たまにどうしても乗らなければならなくなるのが今でもしゃくに障る(笑)。

とはいえ、メインの選択肢であるJALもかなり頼りないんだけどねえ(苦笑)。

[]第15回サイバー犯罪に関する白浜シンポジウム

今日からですね>白浜シンポジウム

no title

あっしも今日から参加。明日は情報危機管理コンテストで学生さんの奮闘を愉しみます。

no title

[]情報漏洩についての講演

来月「情報漏洩」を題材にした講演を2回ほどやることになりそうです。

しかし、正道、王道的な対策については、ここ数年IPAの情報セキュリティセミナー(昨年度は中小企業情報セキュリティセミナー)でやりまくってるし*1SQLインジェクション攻撃とかの話もそこでしまくったので、事後対策とかそういうテーマで話そうかなって思ってます。

*1:今年はIPAは情報セキュリティセミナー的なものはやらなくなったんですけどね。

2011-05-25

[]OSC札幌

用事絡めて行くことにしました。

オープンソースカンファレンス2011 Hokkaido - オープンソースの文化祭!

っていろいろ手配始めて見ると、飛行機も宿もけっこう混んでますね。で、教えてもらったんだけどOSCの時期ってよさこいソーランとかあるんですねえ。思い出すなぁ>風のガーデン

以前にもラリーと重なって混んでて、それでも最終便とかは確保できたのでそれで帰ろうとしていたら、そのとき関東で起きた地震の影響で羽田便ダダ遅れで、家からクルマで羽田まで迎えに来てもらったことあったっけなあ。

最終便ってのはそういうリスクあるんだよなー。バスも電車も微妙に間に合わない的な。

金曜日から入る予定なので、また夜飲みとかに誘っちゃおうかな(笑)?

2011-05-24

[]震災とクラウド

IPAを通りがかったらクラウド勉強会とか開催されていたので、後半だけ見て(聞いて)来たっす。

クラウドは震災でけっこう役に立ったし、震災以降クラウドにネタを移行する会社多いという話が出ていたんだけど、今いろんなところで落ちまくってるクラウドのイメージと、震災に強いというのとギャップが凄いなw。クラウドというか、要するに被災した地域ではない場所に置かれているコンピュータにデータを預けていたから助かった、預けていれば安心、ということか。ってもちろん、そういう要件だけならクラウドである必要は無いけど、クラウドだと安いから良いのかな。というか、クラウド未満で、リモートにデータを預ける仕掛けがあったらそちらの方が実は安心だったりするんじゃないのかな?クラウドの弱点やリスクを抱え込まなくても良いだろうしね。

2011-05-21

[]コパアメリカはNHKのBSが独占中継なのか

女子のドイツワールドカップも中継するんだな。

最近BSはハイビジョンになったから綺麗でいいよなー。この6-7月はちょいと球蹴り的に楽しみだ。

2011-05-19

[]マニュアル

するっとマニュアルを紐解いてみると・・・

PHP: プリペアドステートメントおよびストアドプロシージャ - Manual

プリペアドステートメントとはいったい何の ことでしょう? これは、実行したい SQL をコンパイルした 一種のテンプレートのようなものです。

ふむふむ。

プリペアドステートメントには 2 つの大きな利点があります。

なるほど。

プリペアドステートメントに渡すパラメータは、引用符で括る必要は ありません。それはドライバが自動的に行います。 アプリケーションで明示的にプリペアドステートメントを使用するように すれば、SQL インジェクションは決して発生しません (しかし、もし信頼できない入力をもとにクエリの他の部分を構築している のならば、その部分に対するリスクを負うことになります)。

ほうほう。そうなんだー。いやー勉強になるなぁヽ(´ー`)ノ

2011-05-18

[]わかってから1週間で対応したんだよ

どんなコンテンツをお探しですか?:朝日新聞デジタル

あの怪しいログによれば情報自体が出回っているのが2月下旬とかだったんだけど(ま、怪しいけどw)、わかるのが遅かった、ということか。

この手の言い訳はどちらにしても救いがないよなあ(苦笑)。

[]南米選手権辞退までの経緯

no title

こうやってきちんとレポートしてもらうと、苦労がよくわかるなぁ。

原委員長になって、代表監督の交渉もそうだったけれどこれまでは変に伏魔殿的に隠蔽されてきた経緯を可能な限りオープンにしてくれるようになったことは、本当に大きいと思うなぁ。こういう情報を開示していけば、世間はプロセスを無視した無茶を言わなくなるし、原委員長に続く人が交渉をやるときの糧にもなるしね。

2011-05-17

[]児玉清さん

亡くなったのか。

ご冥福をお祈りします。

no title

[]あの事件から何を学ぶべきだったのか

まとめよう、あつまろう - Togetter

まとめよう、あつまろう - Togetter

こんなことがあったんですな。

事件を起こした側の苛立ちもわかる。けれどわたしは、以前あった同様のあの事件のとき、当事者が逮捕されてしまったことで残念ながらその後のさまざまな活動が萎縮してしまったことも見てきた。だから、わたし自身の問題としてあの事件から得た教訓を伝え切れていなかったことを悔やむ。

この人がシステムを止める以外に手立てを持たなかったことも業界全体の問題であるように思う。技術やノウハウがあれば、止めなくても監視するとか、防御するとかいう手段を提案することができたと思うし、それをやらずにいきなり停止ってところまで暴走しちゃったってことは、おそらくペネトレーションテストしか知らないってことなんだろう。そういう人しか育ててこれなかった業界、会社、そういうものの問題なんだろなあ。

まあ、この人の場合修正はしているらしいから、ソースを書いたりはできるのかな。しかし、だとしたらなおさら、いきなり止めるという暴挙に行った論理がわからない。ソースを書いたり修正したりできるなら、頼むからわたしにそれを無償ででもやらせてくれ、と言うネゴをすれば良かったのに。逆に言えば、脆弱性を発見し、そのヤバさを理解しているこの人が偽計業務妨害で逮捕とかなってしまったら、そして誰かがリスタートさせてしまったとしたら、そのシステムが安全になる可能性をひとつつぶしたってことじゃないか。

[]地球移動作戦とか

no title

no title

隕石来てるみたいだしなー。

[rakuten:neowing-r:10430446:detail]

no title

著者の西さんは、東日本大震災で被災されたそうです。この書籍の印税を寄付するとか。

[]南米選手権出場を辞退

惜しいチャンスだったけど、震災の影響で超過密日程になってしまったこともあるし、致し方ないかなあ。

逆に言えば、海外で活躍する選手がそれだけ重要視されているということは、喜ばしくもあるけどね。

2011-05-16

[]クラウドを利用した攻撃

あらいさんとかが言ってたとおりの展開になってきましたなぁ>クラウド利用

エラーページ - SankeiBiz(サンケイビズ)

クラウドって、隣人が悪魔だったときがヤバイと思うんだけどね。ネットワーク監視的な意味で。アウトバウンドの監視とかしていれば、クラウドからしかけられた攻撃って検知できそうだけど、クラウド内で攻撃→踏み台とかいうことになるとけっこうな厄介さになるだろうしね。

2011-05-15

[]勉強会の成果

昨日は目grepテーマの勉強会、別名千葉旨いものメインな勉強会に参加された方お疲れ様でしたー。進行とかぜんぜんきちんと設計していなかったにもかかわらず、各所で議論が起こったりして楽しかったっす。

継続的にテーマを掘り下げていきたい感じもあるので、引き続いて開催していこうかなあ。

そんな勉強会の成果の一つはこちらw。

f:id:sonodam:20110514133327j:image

f:id:sonodam:20110514133404j:image

2011-05-14

[]スクエニもやられたんですか?

no title

他にニュースソース無しなんですがどうなんですかね?メアドだけっちゃだけなのかもしれんけど。

2011-05-13

[]付箋にメモって貼られたパスワード

住基ネットの情報、秋田市職員が不正に閲覧 | スラド セキュリティ

なんという典型的な図式(笑)>付箋パスワード

「モラルの問題」かぁ。

よく公務員さんとかは自分たちが無謬であって、しかも悪いことをしないという前提であるとおっしゃるけど、人間誰しもミスは犯すし餌があれば食いつくしw金のためなら悪いこともするよねw*1。職場の連帯感とか仲間意識に以前ほど期待できなくなってきているから、モラルも弱まっているし。だからそれだけに頼ることは難しいと思うし、モラルやリテラシーを向上させるコストって意外にかかっちゃうんだよなー。

むしろ心理的抑止効果を期待できるようなシステム、運用にするとかの方がコストパフォーマンスが良かったりするしね。いまどきの自分勝手マインドが増えつつある世の中では、そういう方向性の方が向いてるんじゃないかなあ。

[]Web Application Hacker's Handbook 2nd Edition

出るのか。

no title

*1:実はこの住基ネットの問題って、公務員は無謬で、かつ悪いことしない前提で制度や運用を設計している公務員さんたちと、自分たちのあるがままの姿=ミスするし、悪いこともする、を認めているわれわれとの、ある種不毛な、かみ合わない議論のせいで理解し合えなかったという面もあるんじゃないかなあ。

2011-05-12

[]自殺報道における社会的リスクヘッジ

自殺予防 メディア関係者のための手引き(日本語版第2版)

上記WHOガイドラインに関連した、日本の各メディアへの取材記事。

全文表示 | これでいいのか! テレビの自殺報道規定 : J-CASTニュース

自殺対策支援センターライフリンク 「いじめ自殺」報道のあり方

どうすれば自殺を防ぐことができるのか、減らすことができるのか、具体的なノウハウをもっと共有していくべきだよね。

WHOの文書の最後、要約だけを引用しておこう。

要約:すべきことと、してはいけないこと

何をするべきか

  • 事実の公表に際しては、保健専門家と密接に連動すること。
  • 自殺は「既遂」と言及すること。「成功」とは言わない。
  • 直接関係のあるデータのみ取り上げ、それを第1面ではなく中ほどのページの中でとりあげること。
  • 自殺以外の問題解決のための選択肢を強調すること。
  • 支援組織の連絡先や地域の社会資源について情報提供をすること。
  • 危険を示す指標と警告信号を公表すること。

してはいけないこと

  • 写真や遺書を公表しないこと。
  • 使われた自殺手段の特異的で詳細な部分については報道をしないこと。
  • 自殺に単純な理由を付与しないこと。
  • 自殺を美化したり、扇情的に取り上げたりしないこと。
  • 宗教的、あるいは文化的な固定観念をステレオタイプに用いないこと。
  • 責任の所在を割り付けたりしないこと。

2000年に出た第一版と中身変わってますね。

自殺以外の選択肢を強調する、というのは第一版にもあったけど、とりあえず悩んで苦しいとかなったら電話しろってのは一つですかね。

一般社団法人日本いのちの電話連盟

一般社団法人日本いのちの電話連盟

自殺予防総合対策センターというのもあります。

no title

自殺防止センターも各地にありますね。

404 Not Found

自殺防止イエローページというのもありますね。悩み全般を相談できるところやノウハウを出しているところを地域別に示してくれる検索エンジンだとか。

自殺防止イエローページ

ご寄稿文集 死にたい あなたへ

[]ツイッター

しかしツイッターってほんとヤバいシステムだよな(笑)。

まあそのヤバさって結局Winnyとかと同じで、いったん書いちゃったらほとんど取り返しがつかない、いやーんな材料ほど強力な伝播力に乗って拡がる、というところかな。魚拓っぽい仕組みがさまざま出てきている以上に、手元に残っているキャッシュを保存するノウハウみたいなのを普通の人が普通に知ってるから、ほんと取り返しのつかなさはある意味Winny以上。さらにヤバい香りがするのは、何気にスクリプト必須に近くて、暴露トラップとか出てきても不思議はないところか。ただ、データ量に制限があることがリスクを低減してはいるけどね。

しかし逆に、そのデータ量制限てのがまた誤解を生みやすいというかw。マスゴミとか言いつつちょっと変な意図が入った発言の流れ無視っぽい切り出しには敏感に反応するのに、前後を読まずにむしろ煽り目的で超拡散みたいなことよくやる人けっこう居るもんなあ。やってること同じじゃんとか思うw。まー実際には煽ってる人とマスコミ批判してる人が同じってことじゃないとは思うけどね。

[]クレジットカード情報が漏洩したかも?の事後対策

no title

2011-05-11

[]追憶のカシュガル

あっという間に読んでしまった(笑)。なかなかおもしろかったなー。

異国歴史ミステリー、という感じでしょうか。しかし御手洗潔は京大にも居たんですねえ。・・・っと何かネタバレ書きそうになったのでやめとくかw。

2011-05-09

2011-05-08

[]セベ・バレステロス

54歳ですか。若いなぁ。広めに見ると同世代か。

アメリカ全盛の時代にヨーロッパから殴り込み的な天才で、勝つと痛快なゴルフだったよなぁ。

ご冥福をお祈りします。

2011-05-07

[]衝撃を与えられるか

叩き良化急、ということで調教や馬体重から評価急上昇中ですが、さてどうなるか。不安も楽しみもいっぱい。

2011-05-06

2011-05-05 On The Move/深町純

[]ビン・ラディン特定部隊来た(来てた@2年前)

no title

地理的情報活用の研究を行っている学生さんのチームがCIAよりさかのぼること2年前にビン・ラディンの居所を突き止めていたという件。

さすがアメリカ、社会実験的な意義の前にはプライバシー的な問題は後回しというか(笑)。いやそれは冗談ですが、うんとこさ単純化すると、どうしても形式犯的な考え方になるわれわれと動機の正義さえ確認できればいいじゃん的な考え方になるかれらとの違い、というものを再認識しますなあ。

まあ相手がビン・ラディンなら、やつらが手段を選ばず、対象も選ばないことに比べたら、かれらのプライバシーをほじくることくらいかわいいもんだ、なんて思ったりもするけどねw。

[]放送されたものを酷いとするか、良いとするか

フィギュアスケート世界選手権 を放送したフジテレビの酷さ(冒頭に追記致しました) | 早紀のブログ

酷いかどうかは価値観次第かも知れないですね。テレビ局は政治家と同じで、ニーズのあるところから来る要望にもとづいて動く、モノを作るわけで、声の上がらないところのニーズを確かめるすべは基本持たないから、聞こえてくる声、視聴率というものにわずかに出てくる要望を一所懸命推察しながら作られた、その結果があの演出になるんだからなぁ。酷いという評価がネットでひろまっても、所詮まだまだマジョリティではなくて、週刊誌の素材や新聞、そういうところに出てくる声を見る限り番組大成功!なんて思ってたりするかも知れませんね。

デジタルディバイドというとデジタルな方が恩恵というか、良いんじゃないかと錯覚するけど、世の中の主流はまだまだデジタルじゃない方ってことで、そこのニーズが変わらなければ番組作りも変わらないんだろうなあ。

変えていくのがすべて良いかどうか、それもわからないけど、ただひとつ言えるのは、グローバルな意味で連帯を意識できるし、テレビ局によって作り込まれた選手間の人間ドラマよりもはるかに感動的なコンテンツたり得たと思うのに、それをむざむざ逃してしまったテレビ局の企画者が、めちゃくちゃもったいないことしたなあってことですかね。とはいえ、素材の価値に仮に気づいていたとして、その連帯とか、安藤美姫さんのインターナショナルな対応の、その対応をするに至った感覚のすばらしさみたいなものを伝える演出をする力があったかどうか、そこもわかりませんけどね(笑)*1

*1:「おお!ロシア語で!なんとロシア語で挨拶していますっ!」的な(笑)。

2011-05-03

[]お気に入りの一言

気に入ったギャグはとことん推しますよおじさんなのでw。

「大丈夫。保証期間が過ぎたら個人情報壊れますから。タイマーセットしてあるので」

まぁ、推すのは推すけど、ウケるかどうかはまた話が別だな(笑)。

2011-05-02

[]なぜ凄腕ハッカーvsスクリプト厨という認識のギャップが生まれてしまうのか

no title

「(日本時間の)4月21日に不正アクセスの報告を受けた。調査を進めるにつれて、対応が容易ではない巧妙な手口だということが分かってきた。どのようなデータが漏えいしているかの判断すらも困難な状況になった」

こういうとき、どうしても自己弁護的に「相手がすごかったから自分たちじゃどうしようもなかった。ベストは尽くしていた」と言いたくなるものだよね。サウンドハウスのときもそうだったけど、今回なんか既知の脆弱性ってとこから下手するとスクリプトな人じゃないかと思われるのに、相手を超ウィザード級ハッカー(今チラ見した攻殻機動隊でそんなフレーズが出てきましたよw)であるかのように形容して失笑を買ってしまう。今はtwitterのようにデマも真実も等しく強力に伝播させるツールが存在するので、そういう評価はものすごく商売に痛手になっても不思議じゃないのに、そんな認識をさらけ出してしまう。それはなぜなんでしょうね?

  1. ついている専門家のセキュリティ知識のレベルがそんなものだから
  2. 専門家がそもそもついていないから
  3. システムを作り上げるときにセキュリティの知識を持った専門家が居なかったから(後で参入していたとしてもやれることは限られる)
  4. IPAのセキュリティセミナーに来ていなかったから(笑)

思いつくところではこんな感じの原因(候補)があるでしょうか。最後は半分はジョークですが半分は本気です。無料のそういうセミナーを誰かが受講していたら、それだけでも今回のこういう事態には至らないで済んだとも思えますからねえ。

あともう一つ過去の事例と共通する部分があるのは、真の被害者は誰なのかということをあまりよくわかってない、わかっていたとしてもそれを会見で表現できていない、というところかな。ソニーも被害者なんだけど、本当の被害者って預けていた重要個人情報をダダ漏れされてしまった利用者であるわけで、それをしっかり認識した上で対処していたとしたら、気づいてから10日後とかに公表するとか無かったんじゃないかなあ。事実を確認してから、と慎重になるのもわかるけど、公表が遅くなればなるほど個人情報が悪用されてしまうリスクは高くなるしね。

[]ArpON

アーポンっちゅーのかな(笑)。

no title

ArpON (ARP handler inspection) is a portable handler daemon that make ARP secure in order to avoid the Man In The Middle (MITM) through ARP Spoofing/Poisoning attacks. It detects and blocks also derived attacks by it for more complex attacks, as: DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking and SSL/TLS Hijacking & co attacks.

ほほー。

[]経済産業省からソニーに、報告汁との指令が出る

no title

報告してないんだ。あららららら−。いやーつくづく後手に回ってますなあ。いや、違うか、連絡はしていて、詳細の報告はまだなんだけど、こいつはけっこうヤバそうなんで法律に基づいて報告しろ、という流れか。

怪しげなログによると2月下旬にすでにヤラレてたっぽいんだけど、問題はソニーがそれをいつ気づいたのかってことだよな。

[]5月6月の勉強会とかの予定

某所に書いた紹介エントリから転載するですよ。

札幌で開催されるパケット勉強会第三弾が5月20日(金)の夜、開催されるようですね。

Hokkaido.cap #3 : ATND

サイバー大学に在学しておられる八巻さん主催。

ちなみに第一弾、第二弾のハンズアウト資料も公開されています。すばらしい。

Nothing found for Slide 3623

Nothing found for Slide 3832

もひとつちなみに、第四弾は札幌OSCにて開催されるそうです。6月11日(土)。

オープンソースカンファレンス2011 Hokkaido - オープンソースの文化祭!

札幌はLOCALっていう法人ができてからけっこう活発(まあそれ以前からそうでしたけどね)に活動していますねー。あっしも何度かせきゅぽろ勉強会とか含めてお邪魔してます。サイバー大学勉強会も何気に協力いただいて開催しましたね。

あと各地の勉強会のご紹介。

広島市内で開催されるせきゅりてぃもみじ。5月21日(土)。

第20回セキュリティもみじセミナー : ATND

こちらは先頃Webアプリケーションセキュリティの書籍を出版された徳丸さんによるWebアプリセキュリティのセッションですね。

ここは毎回同じところで懇親会が開催されるんですが、この居酒屋ひさごの穴子天とかが絶品なんですよね。他の飯も美味すぎ(笑)。

第20回セキュリティもみじセミナー(懇親会) : ATND

久しぶりにこちらにはうっかり出陣しようかと考えて画策中ですヽ(´ー`)ノ

札幌パケットともみじの翌週ですが、5月29日(日)に京大で超交流会2011というのが開催されます。IT系でとにかく集まろうよ的なイベントですが、夏のセキュリティ&プログラミングキャンプで講師を一緒にしていただいてるはせがわようすけさんや竹迫良範さんが出演するセッションがありますね。主な話題はこちらもWebアプリセキュリティだと思います。

プログラム - 京大情報学同窓会 超交流サイト

あっしも会場に出没する予定ですヽ(´ー`)ノ

というのも実はそれに先だって、毎年恒例の南紀白浜で開催されるサイバー犯罪に関する白浜シンポジウムというのがあり、

no title

その中の学生参加な情報危機管理コンテストの審査委員やってるので、その週後半は関西に居続けるのです。

no title

毎年のことながら旅ガラス生活の時期が来ちゃいました(笑)。

6月に入ると、今度は北九州小倉でセキュ鉄勉強会が開催されますね。

ページが見つかりませんでした - 北九州情報セキュリティ勉強会 セキュ鉄

6月18日(土)ですな。

こちらはクラウドと法律というお題で、法律家の先生がしゃべってくれるようです。

あともう一つ(笑)。

北九州と日程かぶりますが6月18日(土)〜19日(日)の1泊2日で、たぶん場所は軽井沢になると思うんだけど(笑)セキュ蕎麦勉強会というのも開催されます。

FrontPage - PukiWiki

これは何やってるかあまり情報が出てこない、蕎麦食べてるだけというような謎の勉強会なんですが(笑)、わたしもけっこうな頻度で出席して、なかなか他では聴けない金融犯罪のネタとかフォレンジックスのネタとかで盛り上がってますよ。

5月にもういっこあった。福岡のHack in the Cafe。徳丸本特集っすな。

Hack in the Cafe Fukuoka #7 : ATND

[]情報漏洩に気づけるか

ソニーやられちゃいましたね。しかし、やられたことに気づけるのかっていうと、まあどれだけのアクセス数があるのかわかりませんが、少なくとも単純にアクセス数の量的な変化とかで攻撃じゃん?と気づくのは難しいかもしれませんね。

今回の場合既知の脆弱性ってことだから、そんなにテク持って無くても攻略できたんじゃないかと思いますし、特異な行動になってあらわれることなく、するっと抜けたりしたかも。

ただ、何で気づいたのかはわかりませんが、情報を抜かれるという事象は一つのIP、ノード、アカウントから大量のデータを要求するリクエストがきてそれに応じてしまっているということなので、データベースへのアクセスをコントロールしているところでそのリクエストの特異性に気づくようにできたんじゃないかと思いますね。あるテーブルから10件以上のデータを引き出そうとするリクエストはおかしい、ってな感じで。

そういう仕掛けが無かったとしたら、あとはもうフォームからの入力とかそういうものの中身を吟味する仕組みをどこかに入れておく必要があると思いますが、さすがにものすごいトラフィックがありそうなサイトで中身の吟味っていうのはパフォーマンス的に厳しいのかも知れませんね。mod_securityのコアルールといってもそれなりに量がありますし。

Category:OWASP ModSecurity Core Rule Set Project - OWASP

コメントが若干入るけどSQLインジェクションだけで400行オーバーですね。

akamaiとかが使っているということですが、パフォーマンスにはどの程度の影響があるんでしょうね?

数個のルールセットで捕捉しようぜ研究してるんですが(笑)、そろそろ実証実験して数値出していきたいすなー。

まあそれはさておき、中身を吟味しないで気づくためにはそれなりに仕掛けが必要ですし、仕掛けを入れられない、無い状態ですでに運用中というサイトには後付けでWAFのようなものを入れる必要がありそうですが、そういうときにどのくらいのパフォーマンスになるのか、そういうギリギリのところでの評価データというのが社会的には欲しいところですねえ。もちろん、脆弱性を修正するというのが王道なんですが、それができない事情もいろいろありそうですしね。

こちらもご参考:Web Application Firewall(WAF)読本

2011-05-01

[]情報漏洩即解雇

ちょい前のエントリに「漏洩したのかソニー」ってタイトルを付けたけど、なぜか「こっちを向いてよハニー♪」の節でヘビロテされてる(笑)。

アメリカでは、漏洩したおかげで即解雇ってなった例が出てきていますね。

404 Not Found

企業秘密の漏洩みたいなもんだからこの処置も当然か。撮り直しとかになったらどんだけ費用かかんのかと思うし、賠償請求されないだけマシなのかな。いや、されるのか。