Posted by at

2009年07月26日

旗取りゲーム

昨日の「ばりかた勉強会」の内容はDEFCON CTF(Capture the Flag)関係でした。

実は、このCTFは数年前から私の目標としてる大会
セキュリティに興味をもったのもコノ大会の影響なんです。

どんな大会か、簡単に説明すると・・・

課題によってパソコン、サーバーからパスワードを探し出すとポイントになり
より多くのポイントを稼いだチームが、決勝に進めると言うもの
世界規模の公認ハッキング大会です。

世界レベルでのエントリーとなる為、500チームくらいから決勝に上がれるのは上位10チーム
決勝は、ラスベガスのセキュリティイベントの一部として開催されます。

昨日話を聞いた中では、韓国は国レベルで、エンジニア(ハッカー)を募り厳選した強者30名のチームで挑んだりしている様です。
中には問題を解かず、回答を直接ハックしたり、解いた問題が他のチームに見えないように妨害したりと、有り有りルールでの壮絶な戦いに成っている様です。


最高!


昨日の勉強会で、更にCTFへの熱が・・・

今年の予選は終わったので、来年は参戦します!
ラスベガスに行きたい!


世界で10本指に入るだけの努力と経験を積めば、かならず目標を達成出きるはず。  
タグ :CTFDEFCON


Posted by 田中克之 at 19:38Comments(4)セキュリティ

2009年06月11日

個人情報もっと大切に・・・

個人情報を漏洩しない為に、システムを構築するのって凄くお金がかかると言うイメージあります?

でも、セキュリティってちょっと覚えておくだけでも、個人情報漏洩率などもかなり下がってくるはずです!
例えば・・・・

パスワードを誕生日にしないとか・・・
パスワードを書いた付箋をパソコンに貼らないとか・・・
パソコンを立ち上げっぱなしで、席を離れない、もしくはログオフして席を立つとか・・・


インターネット上でも、大切なデータはWEB上に置かないとか・・・


お金もかからないし、大した手間でもないですよね(^^;


と言う事で、WEB上に個人情報を置いてる人って居ないか、ちょっと調べてみました。

普通にGoogle 検索しますが、今回は個人情報の可能性として、みなさんが良く使うエクセルのファイルがWEB上に存在しないか、調べて見る事に・・・

検索窓には以下の様に入力しました。

「filetype:xls 一覧 名前 mail」

filetype:xls とは、エクセルのファイルをWEBから検索と言う意味です。
一覧 名前 mail は、単純に名簿などによく使われる語句を並べてみただけです。


結果が・・・



書式のひな形やテンプレートなら許せるとして、きちんとデータが入った物も沢山見つかります。

もし、WEB上に大切な情報をアップロードしてる可能性があるなら、すぐ降ろした方が賢明です。
リンク貼ってないから・・・誰にもアドレス教えてないから・・・
と、言うのは甘いです。(汗  


Posted by 田中克之 at 09:35Comments(0)セキュリティ

2009年05月10日

遠隔でHDDを消去!

ノートPCのHDDを遠隔消去、富士通とウィルコムが盗難対策サービスを共同開発(ITpro)
http://itpro.nikkeibp.co.jp/article/NEWS/20090507/329598/

社外に持ち出したノートパソコンの紛失・盗難対策サービスらしです。
盗難で、1番に狙われてるのが、パソコンと言う話しをよく耳にしますが、このサービスが入ってると一先ず安心出来そうです。

会社のノートPCを車に置きっぱなしにしていて、車上荒らしに合って盗難された場合、即効HDDを消去すれば情報の漏洩はかなりの確立で防げそう!

勘違いで、パソコンを車に乗せてたと思い、実は会社に置きっぱなし・・・っと言うオチは、なしとして・・・(汗

でも、このサービスが普及すれば当然、盗難人は即効HDDをPCから物理的に切り離す方法をとるでしょうね。
また、遠隔で扱える仕組みは、ハッカーやクラッカーにとっても、ヨダレが出るほど嬉しい機能・・・

世界中でHDDの誤消去が増えなければいいですが(汗  

Posted by 田中克之 at 12:28Comments(2)セキュリティ

2009年03月11日

【結構重要!】Adobe、Reader9.1へのアップデート

先月終わりごろに、一発集中大発生したAdobe、ReaderとAcrobatの脆弱性を付いたマルウエア。

すべてのバージョンに関わる、大問題のネタでしたが、昨日やっと対策バージョン9.1が発表された様です。
まだ、アップデートされて無い方は、すぐにアップデートして下さいね。
http://get.adobe.com/jp/reader/

adobeが3/11までにアップデートすると告知した瞬間から本日までゼロデイ攻撃が発生しています。
たった2週間をターゲットにしたって仕方が無いと思いますが、居るんですよね~知らずにアップデートされない方・・・しかも沢山・・・

とりあえず、この記事で1人でも、被害者を減らせると信じています(汗  
タグ :adobe脆弱性


Posted by 田中克之 at 19:56Comments(2)セキュリティ

2009年02月26日

今度は、Adobe Flash Player に脆弱性

Adobe Flash Player の脆弱性に関する注意喚起(公開記事)
http://www.jpcert.or.jp/at/2009/at090004.txt

要するに・・・

ホームページで、よく見るスムーズに動いてる動画などが、ほとんどFlashです。
そのFlashがウイルスなどを呼び寄せたり、入ってくる抜け道を作ったり、遠隔操作する為のプログラムを仕込んだり出来る可能性がある訳です。

知らないうちに、パソコンが乗っ取られた!なんて事のないようにスグ更新した方が無難です。

Adobe Flash Player ダウンロードセンター
http://www.adobe.com/go/getflash

しかし、次から次へ・・・脆弱性発見されますねぇ~
ソフト開発会社さん、大変だ(汗  


Posted by 田中克之 at 08:42Comments(0)セキュリティ

2009年02月23日

指紋認証ディバイスマニア?

ばりかた勉強会でのLT資料集めで、かなりマニアになってます。
今回は、面型とも言われてる拇印タイプの指紋読み取りのみを集めています。

↓これが、今回の実験用ハムスター。


実験結果は、お楽しみに~~♪

  
タグ :指紋認証


Posted by 田中克之 at 21:19Comments(0)セキュリティ

2009年02月20日

PDFファイルに注意!

Adobe Readerなどに危険な脆弱性、「PDFウイルス」が既に出現(ITpro)
http://itpro.nikkeibp.co.jp/article/NEWS/20090220/325190/

「Adobe Acrobat」に脆弱性が見つかったらしいです!
今存在する、Adobe Reader全てに影響するとの事なので、注意が必要です。

修正プログラムは、現時点で未公開で3月に公開予定との事ですが、その間にコノ脆弱性を付いてくる悪用PDFは、間違いなく増えるはず!

とりあえず、解らない場合はAdobe Readerの修正が入ってから開けた方が無難かもしれませんね~

私自身、いつも請求書はPDFで送ってますが・・・
今回は、遅らせて発行するか、JPGで送るか何か考えないと・・・
  


Posted by 田中克之 at 23:14Comments(0)セキュリティ

2009年02月17日

USBポート付、耐火・耐水金庫?

USBポートを搭載したストレージ向けの耐火・耐水金庫が発売(ITpro)
http://itpro.nikkeibp.co.jp/article/NEWS/20090216/324877/

持ち運びに便利な、USBメモリが、ちょっとじゃ持ち運べない金庫に内臓?
多分記事を見る限り、CDやUSBメモリなども保管は出来るし、外から中のUSBメモリにアクセスも出来ると読めるのですが、一般的にはあまり実用性が無さそう・・・

凄く限定された分野?又は、話題性で役に立つかな?

どうせなら、金庫内にCD/DVDドライブやHDDも内蔵して欲しかった気もします。
ただ、落下テストなども行っているので、光学ドライブやHDDは破損の可能性が有りますね。


面白いとは思いますが、1つ心配が・・・・

USBポートが外に有り、中のUSBメモリにアクセス出来る点と、中の機密性から熱は逃げないと言う点で、外部USBポートから過度の電圧かけたら、中でショートして中で発火しない?

中は真空状態に、するべきだった?


テストマニアの私としては、ちょっとテストしたい気もしてきました。(汗

テスト材料に、希望小売価格12万3900円・・・ちょっと高い・・・
  


Posted by 田中克之 at 09:08Comments(0)セキュリティ

2009年02月13日

「Becky! Internet Mail」に脆弱性が!

メールソフトBecky!にバッファオーバーフローの脆弱性(ITmediaエンタープライズ)
http://www.itmedia.co.jp/enterprise/articles/0902/12/news078.html

開封確認のエラー処理によるものらしいです。

現在、この脆弱性を対策されている、 Ver.2.50 がダウンロード出来るようですので、Becky!使われてる方は、早急にアップデートした方がいいですよ~~


  


Posted by 田中克之 at 09:10Comments(2)セキュリティ

2009年02月10日

バイオメトリク認証(指紋認証)の穴

昨夜の実験です。指紋認証は結構危険でした。

前に、認証した人の指紋で認証可能!?

(1)普通に指紋認証
(2)スクリンセイバーでロックをかけ認証画面にする
(3)センサーに息を吹きかける
(4)認証・・・・

実はコレ、偶然起こった事ですが、暖房の風が指紋センサーに当たってると、認証画面に指紋が浮き出ようとしています。
そこへ、息を吐きかけると認証してしまうと言う事態が・・・

実際に実験した内容を、手元にあった超低解像度のデジカメのムービー機能で撮影して見ました。
全体にボヤッっとして、ピンボケですが、何となくイメージは掴めると思います。

mixiのID持ってる方は、是非ご覧ください。
http://mixi.jp/view_diary.pl?id=1076310601&owner_id=4977760

指紋認証された後は、きちんと指紋をふき取りましょう~

と、言うわけで、もう少し深くテストを考えています。
お楽しみに♪  


Posted by 田中克之 at 20:56Comments(0)セキュリティ

2009年02月09日

WEPは、もう止めませんか?

また一つWEPが破られていく(ITpro)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071022/285066/

無線LANでの、WEPの脆弱性はかなり有名になりました。
SQLインジェクション並みに有名ですよね・・・

SQLインジェクションに関しては、一般のネットサーファーには、直接影響する事は、ほとんど無いかもしれませんが、無線LANって、普通にパソコンのこと詳しくなくても、使用していますよね?

さて、と言うわけで、無線LAN機器はファームウェア更新でWEPは選べないようにしましょう~(笑<メーカーさん  
タグ :WEP無線lan


Posted by 田中克之 at 18:22Comments(0)セキュリティ

2009年02月07日

無線LANは無法地帯

無線LANセキュリティの教科書
http://hackerjapan.blog55.fc2.com/blog-entry-109.html

無線LANのセキュリティ意識を高める為に買いました。


WEPは無意味だ!

と言うより・・・

私の周りでは、フルオープンが流行ってる様子(汗


最初から開放目的なら、まだOKだと思いますが、たまにうちの無線LANが落ちてる時に勝手に周りに繋がってくれたりして、共有まで・・・・

ハニーポット?


セキュリティの意識が無いのか・・・裏をかいてるのか・・・疑問です。

でも、まぁうちの実家は、リアルで寝る時も家のカギを閉めないでドア開けっぱなしする位だから、地方の意識恐るべし(汗


  


Posted by 田中克之 at 12:19Comments(0)セキュリティ

2009年02月07日

クラウドコンピューティング化に向けて

情報漏洩防止対策など、セキュリティーは完璧ですか?


完璧なんて・・・きりが無いですから、はっきり言って無謀ですよね?

世の中便利になればなるほど、、セキュリティーの穴は増えていきます。
パソコンの台数が増えれば、壊れる可能性も増えるし、データ損失の可能性も増えてきますよね?

そこで、データを守る為に、更に台数を増やしてミラーリングやバックアップで対策をします。

同じデータが増えれば、漏洩する可能性も増えてくる・・・


ん。。。。悪循環。。。


そこで、今注目を浴びてるのが、AmazonやGoogleなどが提案している、クラウドコンピューティングシステムです。

社内のパソコンは、単なる作業用として、データは雲の上(クラウド)に、保管します。
また、データのみならず、エクセルやワードの様なオフィスアプリも、クラウド上で、使ってしまえ~って言うシステムです。

これだと、最低でも物理的(盗難や災害)などでの、データ損出・漏洩は考えなくて良いのでコストもかなり抑えれますよね?

興味のある方は、まずGoogleの色んな機能を試して見てはいかがでしょうか?
手始めに・・・カレンダーやグループ、ドキュメントなどオススメですよ。
http://www.google.co.jp/  


Posted by 田中克之 at 09:53Comments(0)セキュリティ

2009年02月02日

ハードディスクの保存情報がPC自体の価値を上回る

http://itpro.nikkeibp.co.jp/article/MAG/20090129/323752/

2005年1月以降で2億5200万件以上の重要な個人情報が漏えいしている・・・との事
そしてその大半がノートPCの盗難から?

毎年何千台ものノートPCが盗まれている・・・
大丈夫ですか?

ノートPC車に置きっぱなしとか・・・
PCに、パスかけてなかったり・・・

大切な個人情報持ち歩いてたり・・・

怖い怖い・・・  


Posted by 田中克之 at 01:10Comments(0)セキュリティ

2009年02月01日

2010年にSSLが使えなくなる?

http://itpro.nikkeibp.co.jp/article/COLUMN/20090106/322273/

確かに仮想化が、これだけ一般化すると、単に鍵の長さを長くするだけでは解決出来ないですね・・・・
さて、と言う事でとりあえずSSLは、使うしかないとして、その後に替わるものは?

ちょっと調べると、SSLに替わるものとして、PCTと言うVisa International によって独自に開発されたプロトコルが有るらしいですが、残念・・・

こちらも同時に廃止らしい・・・

どうなるんでしょうかね?
通販関係では深い悩み・・・  
タグ :SSLPCT


Posted by 田中克之 at 21:56Comments(0)セキュリティ

2009年01月30日

2/2情報セキュリティの日・・そして「情報セキュリティの歌」

「情報セキュリティの歌」で子供にも情報セキュリティ訴え(@IT)
http://www.atmarkit.co.jp/news/200901/29/infosec.html

フセイアクセス スパムメール カイザンウイルス♪
ネットの奥にひそむもんすた~♪

子供が歌ってたら、さすがにフリーズするかも・・・(汗

でも、まぁ子供の頃から、パソコン勉強するより先にセキュリティーを学んだ方が良いのは間違いないでしょう(^^  


Posted by 田中克之 at 10:11Comments(0)セキュリティ

2008年02月22日

明日は、マイ定番のバリカタセミナー

久々に明日は、福岡でのセキュリティーセミナー バリカタ

このセミナーは、結構気合を入れていかないと酒に飲まれてしまう、超コアなセキュリティーセミナーなんです(^^;ちょっと言い過ぎかも・・・)
でも、その分情報も多く得られ、とくに1次会!(一般的な2時間)は、濃すぎるくらい濃い。。。

もし、行かれる方いましたら、当日声をかけてくださいねぇ~(^^;
  

Posted by 田中克之 at 16:57Comments(0)セキュリティ