2005年 11月 22日
■Sony BMG rootkit CD問題
- WiredNews: ソニーCDが明らかにしたセキュリティー業界の本質的問題(上)
- WiredNews: ソニーCDが明らかにしたセキュリティー業界の本質的問題(下)
しかし、セキュリティー企業がルシノビッチ氏が気づくまでこの件を突き止められなかったことよりも、発覚後も沈黙を決め込んでいたことのほうが、はるかに大きな問題なのだ。
ソフトウェアへの信頼を判断する方法に問題があるんでしょうねぇ。配布元に基づく信頼ではなくて、内容による信頼こそが優先されるべきところが、そうはなっていないという。
関連:
- PCWatch: 交換に追い込まれたコピープロテクションCD問題~rootkit入りCDを試す
- PCWatch: rootkit入り環境で各種セキュリティソフトを試す
コメントなし
Translate (en)2005年 11月 21日
■史上最悪のソフトウェアバグ
- WiredNews: 「史上最悪のソフトウェアバグ」ワースト10を紹介(上)
- WiredNews: 「史上最悪のソフトウェアバグ」ワースト10を紹介(下)
2000年までの案件しか出てきていないのですが、いろいろあったんですね。
「歴史から学ぶためにも、まずは歴史を知ることが必要だ」というお言葉もあるようですので、ワースト10に止まらずにそれ以外も知りたいものですが、そういう文献ってどういうのがありましたかねぇ。
■InternetWatch: TRUSTe、「信用できるソフトウェア」だけを認定する制度を開始
夏ぐらいに、「ホワイトリスト方式のソフトウェアDBを提供してくれるようなところって、話を聞きませんねぇ。」とかつぶやいていたようなのですが、どうやらTRUSTeのほうでそのような認定制度の運用が始まるらしいということで。
もちろん、懸念事項もあって、
とのことですが、個人的には、「アドウェアを除く」といったカテゴリー分けがあれば足りるように思ったりしているのですが、今のところはそこまでのものではない様子。
なんにせよ今までなかった(と思う)試みなので、うまくいくものなのかどうか、興味深いところではあります。
2005年 11月 06日
■本日の散財
 | タイトル | 最新Oracle10gマスタリングハンドブック―最強RDBMSアーキテクチャの全貌と構築/運用テクニック |
| 著者 | 岡本 順孝 , サイバネティック | |
| 出版社 | 秀和システム | |
| 価格 | ¥ 3,990 | |
| ページ数 | 669 | |
| メディア | 単行本 | |
この本とは関係ないけど、Oracleのパッチ適用手順って、もうちっとマシにならんもんかね~。
 | タイトル | Apacheセキュリティ |
| 著者 | アイヴァン リスティク , Ivan Ristic , クイープ | |
| 出版社 | オライリージャパン | |
| 価格 | ¥ 3,780 | |
| ページ数 | 421 | |
| メディア | 単行本 | |
 | タイトル | Winnyの技術 |
| 著者 | 金子 勇 , アスキー書籍編集部 | |
| 出版社 | アスキー | |
| 価格 | ¥ 2,520 | |
| ページ数 | 201 | |
| メディア | 単行本 | |
 | タイトル | サーバー管理者のためのイベントログ運用の基本 |
| 著者 | 養老 利紀 , 平松 健太郎 , 高橋 明 , 相場 宏二 | |
| 出版社 | 毎日コミュニケーションズ | |
| 価格 | ¥ 2,940 | |
| ページ数 | 391 | |
| メディア | 単行本 | |
■SANS ISC: XML-RPC for PHP Vulnerability Attack
ということで、予想はしていましたが、やっぱりXML-RPCの脆弱性をついた広範囲なワーム攻撃が行われだしているようです。当サイトのログにも11/5付けで攻撃試行の形跡が残っていました。
■小島先生のところのまとめ
- セキュリティホールmemo: XML-RPC for PHP Vulnerability Attack
Nucleus CMSでは英語版では3.22、日本語版では3.21+XML-RPCパッチで対処されているので、7月と8月の問題発覚時点で段階で対処していればこの問題の影響は受けないと思いますが、万が一そうでない場合は早急に調査及び対処が必要かと。
■Microsoft Anti-Malware Engineering Team Blog
MicrosoftのAnti-MalwareチームのBlogが出来たそうなので、フィードを購読に追加。
最近購読しても、未読件数が増えるだけになってしまうから、購読フィードもそろそろ整理しないといけない。
■ITmedia: CiscoがIOSの脆弱性を警告、Black Hatで公開の脆弱性とも関連
例の件以降では、IOSのoverflow系セキュリティホール修正はこれに続いて2個目ということで。
なんだか、まだまだ出そうな気がするしなぁ。
■ボット屋逮捕
- ITmedia: ボットで稼いだ「ボットマスター」、逮捕される
逮捕されたジャンソン・ジェームズ・アンシェタ被告は、ロサンゼルスのFBI支局におびき寄せられ、その後拘留された
リアル・ハニーポットでお縄ということですか。確かに営利目的には、この手が一番効きそうだしなぁ。
■UK Honeynet Project: Honeystick HOWTO
Debian SargeとVMWare、Roo Honeywallを組み合わせて、BootableでPortableなデモ用Honeynet環境やインシデントレスポンス用キットとしてのUSBメモリスティックを作ってしまおうというHOWTO文書。Step by Stepで分かりやすい。最近だとVMWareにもPlayerがあるから、仮想マシン環境も無償で使えるし。
USBメモリの必要サイズが2GBとちと大きめなのが気になるけれども、1本作っておくと小ネタとしていろいろ使えるかも知れない。
この用途やサイズだと、1CD SnortのようにBootable DVDイメージと設定保存用USBメモリを組み合わせる形態がよさそうかと思うけど、そのうち出るかなぁ。
2005年 11月 04日
■日経ITPro: 千葉銀行をかたる悪質なCD-ROM,インストールすると不正送金
最近はどうか知らないけど、10年近く前のプロバイダがシェア競争を盛んにやってたころには、CDROM入りのダイレクトメールって結構あったような気がするしなぁ。スパイウェアのはしりのような動作をするやつを配っていたところもあったような。
そういった過去もあるから、ひょっとするとこの手口には免疫がない人が多いのかも知れず。
■Anti-Spyware Coalition Risk Model Description
先月末にスパイウェア関連の用語定義に関する文書の正式版を出しているAntispyware Coalitionですが、引き続き、リスクモデルに関する文書のパブリックコメントを募集していますね。
- 潜在的な望まれない技術に関する共通の用語とプロセスのアウトラインを示すこと
- ソフトウェアベンダーやユーザが意思決定プロセスの理解を深められるように、検出に通じるような振る舞いを記述すること
- ソフトウェアアプリケーションを分類するために使用するアプローチの概要を提供すること
などが、この文書の目的とのこと。
2006/01/13追記:
正式版になったようです。
関連:
2005年 11月 03日
■PHP4.4.0以前及びPHP5.0.5以前に脆弱性が見つかっているようですね。
- Hardend PHP Project: Advisory 20/2005: PHP File-Upload $GLOBALS Overwrite Vulnerability
- Hardend PHP Project: $GLOBALS Overwrite and it's Consequences
- yohgaki's blog: PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下)
PHPでは、4.3.11からregister_globalsがon(4.2以降デフォルトではoff)にされている場合にも$GLOBALS配列の上書きが禁止されるようにコードが変更されている。しかし、'GLOBALS'という名称のファイルアップロードフィールドを含むmultipart/form-data POST リクエストを使用することで、この制限が回避されてしまうということでしょうかね。
ホーム
アーカイブ
管理画面