年: 2006年

URIのデコード回数を検知?!

オライリーのONLampにURIのデコード回数を検知する仕組みを紹介したA Canary Trap for URI Escapingですが、セキュリティ的には良いプラクティスとは言えませんね…

このような仕組を取り入れるより、アプリケーションを正しく作り、正しくエンコード・デコードされるようにするべきです。このような事が一般的になれば、IPSによる保護がさらに難しくなります。

コメントを書いておこうか、と思ったら先にもう書いている人がいますね。

「ウィニー使いません」 愛媛県警、全職員に誓約書

誓約書は

 (1)公務に使うパソコンやフロッピーディスクなどを許可なく外部に持ち出さない
 (2)私物パソコンであってもファイル交換ソフトを入れない

の2項目。

この2項目のだけだとすると、突っ込みどころ多数です。
ニュースに流す(?)くらいならセキュリティと法律の専門家に相談してから誓約書を作った方がよいのではないでしょうか…

警察はプロの犯罪者に狙われやすい職業と思われますが、この誓約書からすると許可があれば私物パソコンを業務に使っていると思われます。自衛隊でさえ私物パソコンで機密資料を参照しても良いようなので普通に行われているのでしょう。

2項目にするなら

-許可無くデータのコピーは作成しない
-認定したコンピュータ以外ではデータを参照しない

といった感じでしょうね。こんな誓約書にすると業務がまわらなくなるから本当に困るのでしょうけど。

米IBM、スパコンの単一ファイル読み書きで毎秒102GB達成

米IBM社は9日(米国時間)、スーパーコンピューターの単一ファイルへの持続的な読み出し・書き込み処理で、毎秒102GB超の世界記録を達成したと発表した。

ということらしい。凄い数値ですね。数千台のプロセッサを使ったらしいので当たり前かも知れませんが普通のCPUのL1キャッシュより速いです。

ディスクの大きさも1.6ペタバイト( 約160万GB )だそうです。160GB HDDだと1万個。バルクでもトラック何台分になるかな?

万能ではないセキュリティ対策

2005年11月、インシデントレスポンス、コンピュータ・フォレンジックなどITセキュリティサービスを提供するGuidance Softwareの顧客データベースにハッカーが侵入。情報を盗難する事件があった。

セキュリティ対策は万能ではないのは常識ですがセキュリティツールを販売している会社のサーバがクラックされるのは痛いですね。医者の不養生といいますがフォレンジックツールを販売している会社を狙うとは…. プロの犯罪者はすごいですね。

Macのクラックコンテスト。30分でroot権限

Macのクラックコンテストが行われ30分でroot権限を取得された事が報道されていますが、それに対する反論。

Anyone that wanted to hack the machine was given access to the machine through a local account (which could be accessed via SSH), so the Mac mini wasn’t hacked from outside — root access was actually gained from a local user account.

“That is a huge distinction,” said Schroeder.

SSHアクセスが許可されていたことは重要だ、との主張です。

確かにそうなのですが、Web, Mail, LDAP, etcの外部向けサービスからroot権限が取得できるのであればサーバアプリのセキュリティホールなので「Macのクラックコンテスト」とは言いがたくなります。ローカルアクセスもできないのに「クラックできる?」とコンテストされてもやる気がおきません。

しかし、一般的なユーザは報道だけみると「Mac=危険」と思ってしまうかも知れません。確かにローカルアクセスができる場合、危険度は高いと思いますが、全体として安全性はそれほど悪くないと思います。

LinuxでもWindowsでもローカルユーザ権限があれば管理者権限を取得できてしまうセキュリティホールは沢山報告されています。今回利用されたセキュリティホールがどのような物だったか公開されていないので詳細は分らないですがが、Macだけが特別危険と言うことでは無いです。Macは今までクラッカーに相手にされていなかった(?)のでまだまだ問題が沢山(?)あるのかも知れません。

Windowsの場合、普通に使うためには管理者権限をを持っていないと困る場面が多くあります。アプリケーションが管理者権限を持っていないと動作しない、などというケースも少なくありません。普通のユーザは普通に管理者権限を持つアカウントでログインしてPCを利用しています。

Mac OS Xでは通常権限のユーザでログインしても普通に利用でき、普通のユーザは通常のユーザ権限を持つアカウントを使用しています。Windowsに比べればOS Xの方が比べものにならないくらいセキュリティ上まし、と言えると思います。

Microsoft Origamiプロジェクト

PDAをフル機能PCにしてしまおう、というプロジェクト(?)らしい。

http://www.origamiproject.com/ によると、3/9(EST?)に詳細は発表するそうです。

OrigamiはTunamiと同様に英語かな?と思い検索してみると

http://www.onelook.com/?w=origami&ls=a

広く認知されている用語ではないようですね。

参考:
http://news.com.com/Intel+shows+Origami-like+device/2100-1044_3-6046793.html

太陽の嵐が衛星を利用したシステムに影響

The next 11-year solar storm cycle should be significantly stronger than the current one, which may mean big problems for power grids and GPS systems and other satellite-enabled technology, scientists announced today.

今後11年間は現在よりかなり強い太陽の嵐が予測されるそうです。身近なところでは衛星放送に影響があるのかな?

Listservに深刻な脆弱性

listservに深刻な脆弱性だそうです。最近はlistservを使っているMLはあまり見ませんが、だからこそ危ういのかも知れません。3ヶ月は脆弱性の詳細を公開しないそうです。

Peter Winter-Smith of NGSSoftware has discovered a number of vulnerabilities
in L-Soft’s LISTSERV list management system. The worst of these carries a
critical risk rating.

Affected versions include:

– LISTSERV version 14.4, including LISTSERV Lite and HPO
– LISTSERV version 14.3, including LISTSERV Lite and HPO

And possibly all prior versions of LISTSERV which are installed with the web
archive interface, which is currently the default installation behaviour.

The vulnerabilities which have been fixed can, in the worst of cases, allow
a remote unauthenticated attacker to execute arbitrary code on the system
hosting the LISTSERV archive web interface.

This issue has been resolved in the latest release of L-Soft LISTSERV
(version 14.5), which may be downloaded from:

http://www.lsoft.com/download/listserv.asp
http://www.lsoft.com/download/listservlite.asp

NGSSoftware are going to withhold details of this flaw for three months.
Full details will be published on the 3rd June 2006. This three month
window will allow users of L-Soft’s LISTSERV the time needed to apply the
patch before the details are released to the general public. This reflects
NGSSoftware’s approach to responsible disclosure.

NGSSoftware Insight Security Research
http://www.ngssoftware.com
http://www.databasesecurity.com/
http://www.nextgenss.com/
+44(0)208 401 0070

Thunderbirdのパフォーマンス改善方法

最近使い物ならないくらいThunderbirdが遅くなってきていました。理由は簡単で「フォルダの最適化」を自動で行わないようにしていたのでゴミが大量に溜まったことが原因でした。

フォルダの最適化を自動化した場合、多くのフィルタルールがあるとエラーが発生する場合が多くあります。この為、手動でフォルダの最適化を行わないようにしていた事を忘れていました。早速フォルダの最適化を行いました。改善はしたのですがどうもまだ遅いままでした。

ちょっとググると.msfファイルを消すと症状が改善されると書いたページを見つけました。プロファイルディレクトリの.msfファイルを全部消してThunderbirdを起動すると随分パフォーマンスが改善されていました。

まだ遅いと思える動作があるのですがとりあえずこれで様子見。

SPAM対策

コメントSPAM対策にBBQあらしお断りシステムのチェックを入れてみました。コメントの送信時にのみチェックするようになっているので参照だけであればどこからも参照できると思います。もし問題があった場合にはご連絡いただけると助かります。

BBQの使い方

b2evolutionへの変更(htsrv/comment_post.phpのはじめの辺り)

// SPAMMER check
$srv_name = implode('.', 
     array_reverse(explode(".", $_SERVER['REMOTE_ADDR'])) ) . '.niku.2ch.net';
if ( checkdnsrr($srv_name, 'A') ) {
  require(dirname(__FILE__)."/../b2evocore/_410_stats_gone.page.php");
}

中国版、.fletsの様な物

中国が独自にトップレベルドメインを作成・運営するのでは?という話。

インターネットの専門家らは、今回の動きが、中国が別に専用サーバを立て、独自にトップレベルドメインを管理するという事態に発展することを懸念している。このような事態が発生した場合、インターネットの分裂につながることが予想できるからだ。

勝手にトップレベルドメインを作り出したら面倒なことになります。インターネットの管理、特にDNSに関しては言いがかりとしか思えない議論もあったそうなので、それが原因なのかも知れませんね。

.flets を国レベルで運営する、と考えたら許せる?

誰かが.comドメインの管理でVeriSignが儲けている金額を見て、新たな利権を作るためのトップレベルドメインだったり?

ルートサーバの信頼性に疑問がある場合、ファーミングが可能になるなど、セキュリティ上大きな問題となります。ルートサーバの管理を分散しろ、などの無謀な議論には反対ですが勝手に作って勝手に運営するのは自由にすればと思います。

セキュリティポリシーって?

Winnyで機密情報が流出事件が相次いでいますが、ほとんどが

「ファイル交換ソフトを入れたPCでの閲覧は禁止していた」

と報道されています。

Winnyで情報漏えいがあった組織のセキュリティポリシーは本当に「ファイル交換ソフトが入ったPCで閲覧は禁止する」と書いてあるのでしょうか?

そもそも勝手にソフトをインストールするのは一切不可にすべきです。データを持ち出して自分のPCで参照するのも当然不可にするべできす。自衛隊などが取り扱う機密情報は公開ネットワークに接続しているまたは接続する可能性があるコンピュータからデータ参照は禁止すべきだと思うのですが….

セキュリティポリシーがどうなっているのか気になる所です。公共系の組織はISO9000やISO14000を取得する前にISMSを取得した方がよいのではないでしょうか?

もしかして立派なセキュリティポリシーがあるけれど、広報担当でさえ内容を知らない状況なのでしょうか?

gmailのXSS

GoogleにXSSの情報の出所はBloggerユーザのブログだったようです。

http://ph3rny.blogspot.com/2006/03/vulnerability-in-gmail.html

予想に反してSubjectにスクリプトタグを入れるとJavaScriptを埋め込めるという単純なミスだったようです。

日本人のWebプログラマなら「Subjectがエンコードされている」いるのは常識ですがシングルバイト圏のプログラマには常識ではなかったりします。エンコードされたSubjectヘッダに対してフィルタ処理を行っていたのでしょう。(多分)

コーディング処理が終わった後にフィルタ処理を行っていない間違いはメールに限った事ではありません。PHPはブラウザからの入力は自動でデコーディングするのでこのようなミスは発生しづらいのですがPerl等のWebプログラムではよくある間違いの一つです。

F-Secueのウィルスマップ

F-Secureのウィルスマップは現在のウィルス感染状況が地図で分かるようになっています。過去の履歴も参照できるようです。

私が日本の地図を参照したときは三浦半島だけウィルスが流行している状況(Epidemic)に分類されていました。

このマップ、なかなか良くできています。