SecuLog

■Micorosoft RDPは相変わらずMITM可能？というお話

Windowsのターミナルサービスで使われているRDP(Remote Desktop Protocol)では、デフォルトで通信の暗号化が行われています。こういう話もありましたね。

• @IT: ターミナル・サービスの暗号化レベルを強化する

で、このRDPでは鍵の交換に公開鍵暗号を使っているのですが、この際の公開鍵の検証の仕方として変な方法を使っているために相変わらずMITM可能なのです、というお話があるようです。

• Remote Desktop Protocol, the Good the Bad and the Ugly (PDF)

公開鍵に署名するのにDLLにハードコードされた秘密鍵を使っているんだそうでorz...ウソぉ。

上記に対応したものではないですが、Cain & Abelは v2.7からRDPv4 session sniffer for APRということで以前のバージョンのRDPに対してMITMなことが出来るようになっているようです。

seculogger による 10:12 午後 の書き込み
コメント(1) | トラックバック(0) | Translate (en)

■ForensicsではSMART情報とかも気にするのかぁ

SecurityForcus Forensics-MLにポストされていた資料です。

• SMART ANTI-FORENSICS（PDF）

斜め読みもいいところなんですが、Forensics用にディスクイメージを複製する際にはHDDのSMARTが提供する属性情報が書き換わるねぇ、というお話なのかなぁ。

seculogger による 08:14 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■ハニーネットプロジェクト

Amazonにも出てたので貼ろうかと思いましたが、

	タイトル	ハニーネットプロジェクト―汝の敵を知れ
	著者	ハニーネットプロジェクト , 園田 道夫 , ドキュメントシステム
	出版社	毎日コミュニケーションズ
	価格	￥ 6,510
	ページ数	629
	メディア	単行本
	更新日時: 2005-06-03 00:25:40 ()

在庫切れ扱いですか（;´Д｀）

あ、予約受付中になってますね。

seculogger による 07:26 午後 の書き込み
コメント(3) | トラックバック(0) | Translate (en)

■RAID-DPって何

• @IT: SATAディスクの信頼性を向上、NetAppが新ストレージ

にて、

低コストが特徴のシリアルATA（SATA）ディスクを使いながら、独自技術の「RAID-DP」を使って信頼性をハイエンドクラスまで高めた。

ってのがあって、RAID-DPって何？ってことでぐぐってみると、NetAppから技術資料が出てるんや。

• NetApp Data Protection: Double Parity RAID for Enhanced Data Protection with RAID DP (PDF)

パリティを２つ持つことで、ディスクが２つ同時にコケても復活可能にしたRAID4ってことですか。

seculogger による 03:31 午後 の書き込み
コメント(10) | トラックバック(0) | Translate (en)

■CNET: 米セキュリティ企業、ゾンビPCからのトラフィックを追跡する新システムを発表

この製品は同社のウェブサイトから入手可能だ。

とかあるから、最初は定点観測用ツールでも出たのかと思ったら、ぜんぜん違うし。

• CipherTrust's ZombieMeter

によると、

Through data received from the Company’s global network of IronMail appliances, which protect more than 10 million enterprise e-mail inboxes, the ZombieMeterSM tracks the number of new, completely unique zombies per hour, every hour.

ということで、同社のIromMailを導入した顧客から収集したデータを集計し、ゾンビPC数と思われるデータを１時間ごとの更新頻度で一般公開するようにしたと。

CipherTrustでは他にも、

• Source of Spam
• Phishing Stats

といったような統計情報を提供してくれているようです。

seculogger による 03:01 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■SeleniumというWebアプリテストの半自動化ツールがあるらしい

• 川o・-・）＜2nd life: webアプリケーションテストツール seleniumがヤバすぎる

によると、

このseleniumを使えば、簡単な記述で人間が実際にブラウザを操作してテストしている部分の大半である画面遷移、フォームの入力、ヴァリデーションの正否がなどが行える。つまりインターフェイスの仕様が変わらなければ延々とテストし続けられるわけだ。

とか、

何がいいのかって、実際にブラウザでwebアプリの動作を見つつテストできるのが良い。テストがたのしーんですよ！！！

とかあって、Webアプリのセキュリティ検査にもうまく使えそうで、なんかそそられますね。まだ動かしてないけど、これは試しておいて損はなさそうな気がするなぁ。

8/13追記:

テストケース記述支援用のPerlスクリプトがあるようで。

• プチツール - selenium Processor

9/26追記:

• Selenium ver.0.5 勝手にまとめサイト via オレンジニュース

10/4追記:

ユーザ操作を記録して、selenium用のコマンドを生成してくれるFireFox Extensionだそうです。

• Selenium Recorder via オレンジニュース

こういうの、クライアントハニーポット向けにも応用できないかなぁ。

seculogger による 02:19 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■百式: ソーシャルブラウジング

ソーシャルネットワークに参加している友人たちのサイト評価を共有して、参照中のサイトの信頼性を計るというサービスがあるらしい。

ソーシャルネットワークを使うと、口コミでの評判というやつを色々と数値化して表す方法がでてくると。それをサイト評価に応用しているわけですか。

seculogger による 02:03 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■機能による抽出（検索）というのは。。。

ということでSA宴会への移動中にふとした思い付きで質問したら、逆にねたふりいただいちゃったようなのですが（笑。

何の話かといいますと、「コンピュータの調査をするときに通信機能を持っている実行可能ファイルを抽出したりするような調査をすることってあるんでしょうか？調べるとしたらどういう手段がありますかねぇ」みたいな事をお話していたわけです。

例えばWin32のPEな実行ファイルなんかですと、個別に調べるのであれば、Dependency WalkerやらVC++付属のDUMPBIN.EXE、Borland C++だとtdump.exeとか、そういうDLLなどの依存関係を調査するツールを使用することになるかと思います。で、例えばws2_32.dllとかwsock32.dllなんかがインポートされていれば通信機能がありそうだとか推測することは出来そうです。で、ここまではいいのですが今のところ、

• ファイルを１つずつ調べるのは面倒だから、一括で調べる方法はないかなぁ（dumpbin.exe使ってスクリプト書けば出来そうな気はする）。
• Cygwin見たいに一つのDLL経由でWinsock関係含む多数のDLLをインポートしてる場合には、通信機能使ってなくても全部引っかかってくるなぁ。
• .NETやJavaなアプリは当然別の調べ方だし。

とか障壁が色々ありそうだなぁと思っているところです。なんかこの辺りをお手軽に調べる方法があると、面白い調査が出来そうなんですが。

あやしい実行ファイルが予め絞り込まれている場合は、従来から色々あるリバースエンジニアリング手法で個別に詳細に調べるのが正道と思いますが、ざっくりとあたりをつけるための手法としては、他にはどういうものがあるでしょうかねぇ。

seculogger による 11:42 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■MSN Postmaster ホーム

MSN Hotmailにおけるspam対策や技術仕様、ガイドラインなんかがまとめて公表されるようになったそうで。

というか、メールサービスを提供している事業者からのこういう情報提供って、今はなさ杉ですやね。メールがどこにでも届くものではなくなっている昨今、各組織でこういうのはもっと積極的にやってかないといけないんでしょうねぇ。

• Smart Network Data Services

ってのがなかなか面白そう。自分の管理ネットワークからMSN hotmailへのメール発信状況を参照できるようにしてくれるらしぃ。

seculogger による 03:17 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■ファイルを暗号化して身代金を要求するという

ねたが数日前に報道されてましたが、

• CNET: ファイルを暗号化して「人質」に--PCユーザーをねらう新手の攻撃

そろそろ各社の日本語のウイルス情報にも載ってきてるみたいなのでメモ。

• McAfee: PGPcoder
• Symantec: Trojan.Pgpcoder
• Sophos: Troj/Gpcode-B
• F-Secure: Gpcode

seculogger による 02:32 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■『Covert Channel』 ～ 偽装通信とその見破り方へのアプローチ

wakatono先生お疲れ様でした。

別のところで似たネタをお話させていただいていた関係で、いつにも増して面白く感じられた勉強会でした。

（5/31追記: プレゼン資料公開されています。「wakatonoの戯れメモ: 2005年5月28日のセキュリティアカデミーで使った資料ですー」）

以下ちょっと思いついたこと。

seculogger による 02:11 午前 の書き込み
コメント(1) | トラックバック(0) | Translate (en)

■JVN#FCAD9BD8: メールクライアントソフトにおける mailto URL scheme の不適切な解釈

mailtoからメール送るなんて、ここもう何年もやってない気がするけど一応。

そういえば今朝方、Becky!もBCC指定を無視する修正を加えた新しいのがアナウンスされてたな。

• Becky! Internet Mail Ver.2.21.02

seculogger による 06:59 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■ITmedia: セキュリティホールは永遠に不滅

とけたバターにならない程度にまったりと、ってわけですか（;´Д｀）。

オーラッド氏は、新たに発見されたトロイの木馬について説明してくれた。このトロイの木馬は、ユーザーがトークンを使ってオンライン銀行サイトの認証手続きを済ませるまでは、そのユーザーのPCの中にじっと潜んでいる。ユーザーが認証を受けると活動を始め、ユーザーが利用するオンライン銀行サイトでバックグラウンドセッションを開き、送金フォームを埋め、そのユーザーから巨額を盗んでしまうのだという。

へー。って、一部のセキュリティ製品がまさにそういう機能を先取りしていますやねー。トークンデバイスを使った一部のシングルサインオン製品とかは、ユーザのログイン認証を横取りしてID/パスワードの自動入力とかしたりしますが、まぁそういうのの応用って感じで。

こういう場合は入力機構だけでなく視認機構ものっとられるのが相場なので、CAPTCHAなんかも無力ですな。

seculogger による 05:01 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■CNET: ウイルスよりもゾンビPC--「サイバー攻撃の戦術に変化」と専門家

時間的局所化と多様化による生き残り戦術をとるようになってきているということでしょうかね。

短期的に多様な亜種を少数ずつ広めたほうが、ウイルス対策ベンダーへの検体提供も遅らせられるし、たとえ一部がシグネチャ登録されても残りの亜種は生き残ることが出来る、と。

seculogger による 04:37 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■嫌嫌嫌ー

嫌杉。

本格的に壊れたらしぃ。

seculogger による 02:10 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)