«Prev

2005年 8月 31日

Massive Enumeration Toolset

Google APIを使って、python経由でコマンドラインからのさまざまな検索が出来るように作られたスクリプト。

使いこなせば、いろいろなものを自動で収集したりとか出来そうだ。

 

seculogger による 05:26 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

MSサポート技術情報: PCと~く

さっきなんとなく新着を見ていて気づいたんですが、サポート技術情報ってこういうネタも掲載していたんですね。知らなかった。

 

seculogger による 04:08 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

ブラックリスト方式よりもホワイトリスト方式というのは難しい?

たとえば、以下のような記事を見てもわかるとおり、最近では世の中に流通するMalwareというのは、ものすごい勢いで増えているようですね。

その結果,同社のウイルス対策ソフトで検出できたものが2万8309件(767種類),検出できなかったもの,つまり未知のボットは3537件で2938種類だった。収集した3705種類のうち,実に2938種類が未知のボット(その時点の対策ソフトでは検出できなかったボット)だった。

もうずいぶん以前からブラックリスト方式のシグネチャは限界が来ているのはわかっていて、ウイルス対策ソフトは何らかの形でヒューリスティック方式を取り入れたりしているわけですが、それでも追いつかなくなってきてると。

こうなってくるとわりと単純な発想では、「ひょっとするとMalware以外の善良なソフトウェアを分析・分類してホワイトリストシグネチャを作る、あるいはデジタル署名を提供するようにしたほうが、よっぽど効果があるのではないか」と思ったりするんですが。しかしホワイトリスト方式のソフトウェアDBを提供してくれるようなところって、話を聞きませんねぇ。やっぱりそう簡単ではないということなんでしょうかね。

Malwareをよいものと誤認定してしまったときのリスクというのが大きいのかな。

 

seculogger による 03:50 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

InternetWatch: 「怪しいファイル募集」トレンドマイクロがウイルス届出窓口を一般公開

今までやってなかったのが不思議ではありますが。って、これCD-R/フロッピーの郵送でしか受け付けてくれないのか。。。

オンラインでの届出を受け付けないのは、ウイルス作者自身が偽の届出を危惧しているからなのかな?しかし、他社ではオンラインで検体の届出を受け付けてくれるところもあるしなー。

 

seculogger による 02:15 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

Drk7jp: mod_setenvif を使って Apache のログを軽量化

mod_setenvifってそういう使い方ができるんですね。

 

seculogger による 01:53 午前 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

2005年 8月 30日

CNET: IEにまたパッチ未公開の脆弱性--セキュリティ研究者が警告

最近はこの手の情報が出回るのって、早くなったもんですよねぇ。手元のフィードのタイムスタンプだと、サイトにのるのが一番早かったのはSecurityTrackerかなぁ。

 

seculogger による 09:40 午後 の書き込み
commentコメント(2) | トラックバック(0) | babelfishTranslate (en)

CNET: メール送信者に評価を与えるウェブサイトが登場

TrustedSourceってのはこれかなぁ。

CipherTrustといえば、こんなのもありましたね。

どれもIronMailのデータを使ってるっぽいので、世界地図はいまいち実情を反映してないような気もしますが。

 

seculogger による 09:30 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

@IT: メールアドレスを漏えいから守る方法

最後のメールアドレスを集めないってのは、でも日常的にメール使っている中では考えてみると結構大変。集めたくなくても勝手に集まってしまうし、最近の環境は便利すぎて、意図的に整理しなくても個人情報が容易に検索できる環境が勝手に整ってしまう。

記事の場合は、メルマガ用途とかでとりあえず入力させてみるとかそういうことを想定しているんだろうけど。まずは扱わざるを得ないことを前提に、いかに安全に取り扱うかを考えておくほうが優先かなぁ。

 

seculogger による 09:25 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

2005年 8月 29日

IPA: 海外情報セキュリティ関連文書の翻訳・調査研究(NIST文書など)

from 葉っぱ日記

SP800シリーズの翻訳文書が8つほど公開されています。今後も続々リリース予定があるようですね。

管理系の文書中心なので、システム計画・管理に関わっているのであれば、読んでおいて損はないはず。

 

seculogger による 04:12 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

2005年 8月 27日

SecurityTracker: HP OpenView Network Node Manager Input Validation Hole in 'connectedNodes.ovpl' Lets Remote Users Execute Arbitrary Commands

OpenView NNMのWebインターフェースに脆弱性。

Webインターフェースにアクセス可能なユーザが、NNMの動作しているマシンにノード指定などの引数を経由して任意のコマンドを送り込み、実行させられるとのこと。

なんかコレみると非常に単純なシェルコマンドインジェクションなような。。。

発見者は、6.41 と 7.5で確認しているらしいけれども、それ以外については触れられていない。対策についても今のところ触れられていない。ベンダーには通報してないんだろうな。

信頼できないネットワーク/ユーザからのNNMへの接続を適切に制限していれば、影響は緩和できるだろうけど。

8/30追記:

HPのアドバイザリで出てるみたいです。

ユーザ登録が必要だけど。

 

seculogger による 10:34 午前 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

[Full-disclosure] Multi-Languages OPcodes DB

最近はFindJmp2とかいう便利なものがあるらしぃので、多言語対応Exploitの作成も容易になってるんですかねー。

 

seculogger による 10:17 午前 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

Zotob/Mytobウイルスの製作者逮捕されたらしぃです。

モロッコとトルコ、それぞれ18と21ですか。

銀行カード偽造詐欺に使うために、感染PCから情報を盗んでいたのだとか。

8/29追記:

FBI発表とMSのプレスリリースも出ているようです(from セキュリティホールmemo)。

日本語メディアからもいろいろ記事が出ているようですね。

8/30追記:

 

seculogger による 06:47 午前 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

2005年 8月 26日

SecurityTracker: pam_ldap Password Policy Control Error Lets Remote Users Bypass Authentication

pam_ldapのパスワードポリシー制御処理部分に欠陥があるために、リモートユーザがpam_ldapを使用しているシステムにアクセスできてしまう。

PasswordPolicyResponseValueからのオプションのエラー値を省略するLDAPサーバに対して認証を試みると、与えられた資格情報とは無関係に認証されてしまうとのこと。

影響を受けるバージョンはpam_ldap-169~179。180でこの問題が修正されている。

PasswordPolicyResponseValueというのは、このあたりのRFC Draftに書いてあるもののことのようです。

関連:

 

seculogger による 07:19 午前 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

2005年 8月 25日

Secunia: Windows Registry Editor Utility String Concealment Weakness

Windows 2000/XP/Server 2003に付属のregedit(レジストリエディタ)では長い文字列を値の名前にした場合の処理に不備があるため、存在する値が不可視となるという問題があるとのこと。

これを悪用すると、regeditでは参照できない値が作成できるため、プログラム自動実行用のレジストリキーに見えないプログラムエントリを作成できてしまう。これはキーロガーなどの悪質なソフトウェアの隠蔽などに使用される恐れがある。

regedit固有の問題であるため、regコマンドやその他のレジストリユーティリティを使用すればよい。

ちなみに手元で試したところ2000ではregedt32は古いレジストリエディタとなっているため、regeditで不可視となった値でも正常に参照・削除を行えた。2000より新しいOSの場合はregeditとregedt32は同じものになっているのでregコマンドなどを使う必要がある。

8/27追記:

8/25のHandler's Diaryが26日に更新されていて、値の名前が長い場合に影響を受けるソフトウェアの一覧が掲載されていますが、それによると、

  • AdAware
  • Autoruns 8.13
  • MS AntiSpyware Beta
  • HijackThis v1.97.0.7
  • HiJackThis v1.99.0
  • HiJackThis v1.99.1* (Generate StartupListLog)
  • Msconfig (WinXP)
  • Norton SystemWorks 2003 Pro
  • RegAlyzer 1.1
  • RegEdit
  • reg.exe (under some circumstances)
  • Registry Explorer 3.0.0.276
  • Spybot S&D
  • WinDoctor v. 7.00.22

って、regeditだけじゃなくて結構いろんなものがボロボロみたいですね。reg.exeも特定の状況下ではだめな場合もあるとか。。。

ひょっとしてレジストリアクセス用のAPIの問題なのかしらん?セットされた値の確認はできないものの、Spybot S&Dのように値の書き込みの監視機能で検出できる場合もあるとか。

ISCでは、LVNSearchという、レジストリを再帰的に検索して254文字を超える値の名前の有無をチェックしてくれるツールを提供していますね。

 

seculogger による 05:14 午後 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

Proactive Honeypots

以前こちらに書いたHoneymonkeyのような、脆弱クライアントを使って悪意あるサイトを探索するクライアントサイドのハニーポットについて紹介された記事を見つけたのでメモ。

Honeymonkey以外に以下のような試みがあるようですね。

HoneyclientはPerlで書かれている短いプログラムなので、何をしようとしているのかを今から勉強するにはちょうどよいかも。

 

seculogger による 07:33 午前 の書き込み
commentコメントなし | トラックバック(0) | babelfishTranslate (en)

«Prev