tsupoのクリップ (10787) / security (1066)
-
「おれがやる」――必然だったサンドボックスの搭載
閉鎖空間でウイルスの挙動を見る「サンドボックス」。「FFR yarai 2009」のサンドボックス開発でエンジニアは何を目指したのか? → yarai って名前が何となく、やらしい。あと 801 っぽい
-
シマンテックのウェブサイト、ブラインドSQLインジェクション攻撃の被害に - Editor’s FYI - ZDNet Japan
「unu123456」と名乗るルーマニア人研究者が、ブラインドSQLインジェクション攻撃によってSymantecのサーバに侵入し、データベースからパスワードなどの顧客情報を盗み出すことに成功したという
-
-
iPhone狙うウイルス出現 携帯OSが新たな標的に セキュリティー-最新ニュース:IT-PLUS
初の携帯電話ウイルスは、2004年6月に発見された「Cabir」というワーム / 日本の携帯電話(略)独自OSは情報が非公開であるため、ウイルス発生・感染の危険性は低いとされている / 共通OSを(略)
-
利便性とセキュリティのはざまで苦しむ現場
現場業務の効率と情報漏えい対策のバランスを、どう取っていくか / 「予防的統制」と「発見的統制」 / リスクを分析した後、それに応じたポリシー策定や対策を実施
-
SSLの脆弱性でTwitterのパスワード入手に成功 - ITmedia エンタープライズ
脆弱性はTLS/SSLのリネゴシエーションの過程に存在 / 中間者攻撃によってHTTPSセッションにデータを挿入することが可能 / この問題に対処した更新版の「OpenSSL 0.9.8l」ではリネゴシエーションの処理を無効化
-
脱獄済みiPhoneのデータ根こそぎ奪取、ハッキングツール見つかる -INTERNET Watch
初のiPhoneワーム「ikee」と同様に、Jailbreakを行っているiPhoneで、ルートのパスワードが変更されていないものを標的にする / 被害が目に見える形では現れないことから、ユーザーが攻撃を認識することは難しい
-
asahi.com(朝日新聞社):ハッカーが米決済システム侵入 世界のATMから8億円 - 社会
データを盗用してカードを偽造 / 日本や米国、イタリアなど少なくとも280都市の2100台に上るATMから現金を引き出した疑いがある → 世界各地に彼らのエージェントがいるってこと? 8人で12時間で280都市は無理
-
[Think IT] 第1回:フィッシング詐欺の最新状況 (1/3)
RSAセキュリティでは、RSA Anti Fraud Command Center(AFCC)と呼ぶ組織を中心に、オンライン犯罪の調査、分析、対策を24時間365日体制で実施 / 不正アクセス禁止法違反は、前年同期比で12.5倍に増加
-
ECサイトソフトウェアはなぜ更新されないのか - @IT
特に、Zen Cart に限定しないのなら、「7. いろいろしがらみがあって、バージョンアップすること自体が禁止されている」というのもあると思います / そのしがらみを何とかしろ、と言いたいところだけど
-
【緊急速報】iPhoneで世界初のワーム型ウィルスが発生:ソーシャルメディア。マーケティングにどう活用するか?:ITmedia オルタナティブ・ブログ
感染する条件 / (1) ジェイルブレイクしている / (2) SSHを導入 / (3) しかもそのパスワードをディフォルトのまま変更していないユーザー
-
mixiアプリ「サンシャイン牧場」、課金ユーザーの個人情報が閲覧可能な状態に:ニュース - CNET Japan
ミクシィは「(略) 外部の課金システムを禁止することは考えていない」とコメント / サンシャイン牧場の課金システムの脆弱性はすでに改修済み → いわゆる「不正焼き鳥行為」の脆弱性はどうするんだろう?
-
サンシャイン牧場の件が全国ニュースに | 水無月ばけらのえび日記
停止の判断や修正作業が素早かったために被害の拡大を防ぐことができた / 対応後の告知は分かりにくかった
-
本人と偽ってプログラムを操作 (サンシャイン牧場の件・毎日新聞版) | 水無月ばけらのえび日記
あくまで「1件ずつ閲覧」できる状態 / 1件ずつしか取得できないと言っても、繰り返せば大量の情報を取得することが可能 / そんな派手なことをしたらサーバのログにあからさまな痕跡が残る / 取扱終了はまだ
-
[mixi] 運営者からのお知らせ
「提供者が外部の課金システムを利用する場合の監視・チェックを強化するとともに、当社が公式に提供する課金システムの導入を急ぐことで、ユーザーの皆様が、より安心してmixiアプリご利用いただける環境を用意するべく尽力して参ります」 → 課金を開始するのが早すぎたってことですね
-
オンライン銀行を狙う2面攻撃型トロイの木馬 - japan.internet.com Webテクノロジー
ログインの POST リクエストを捉え、リクエスト データを暗号化し、指令サーバーにそのデータを送信 / ログイン フローに動的な HTML コード(ユーザーに取引認証機器を使用するように促す認証画面)を挟み込む
-
[ウェブサービスレビュー]ウイルス駆除もOK--「Trend Flex Security オンラインスキャン」:レビュー - CNET Japan
ほかのアンチウィルスソフトメーカーが提供するオンラインスキャンツールと比べた場合の優位性は、ウィルスの検出のみならず、駆除にも対応すること → 何か悪いことをしようと思えば、簡単にできてしまうということでもある
-
銀行員を装いチャットで接近、ますます巧妙化するオンライン詐欺 - ITmedia エンタープライズ
フィッシング詐欺サイトにアクセスしたユーザーに対し、攻撃者が銀行の詐欺対策担当者などになりすまして、ライブチャットで話しかけるというもの。RSAはこの手法を「Chat-in-the-Middle攻撃」と名付けた
-
ハッカーサイトがハッキングされた!まさに“taste of your own medicine” - japan.internet.com カレンの実践IT英語
ハッキング方法について情報交換したり、マルウェアのソースコード、ユーザーログイン情報や盗難クレジットカード番号などを販売したりする「アンダーグラウンド」フォーラムのひとつ Pakbugs.com が逆にハッキングにあう
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る - Zero Day - ZDNet Japan
Facebookのパスワードリセットメッセージをかたった大規模なスパム攻撃 / 攻撃者が用意した実行ファイルはBredolabのボットネットにリンク
