アーカイブ

2019年01月

カテゴリ:
↓真面目な体系立ってるレポートはこちらからどうぞ
Security-JAWS 第12回レポート #secjaws #secjaws12 #jawsug
https://dev.classmethod.jp/cloud/aws/security-jaws-12-report-1/

すでに真面目なレポートが上がっているので内容について真面目にはかかないで済みます。
ありがとうございますー

かなり軽いノリの参加レポートですので悪しからずご了承ください。

さて、今回はJAWS系のイベントは初参加です。
もちろんユーザグループの存在は知っていたのですが、開発系のJAWSにいる知り合いがパリピなのできっとSecurityもパリピで怖い人の集まりだろうと正直敬遠してましたが、
真面目な人当たりのよい運営側の知り合いも出来たので行ってみようじゃないかと。

写真を何枚かフェイスブックにあげさせて頂いた通り、
例によって入り口からして超シャレオツで気が引けていました。

どんなパリピな人たちが居るのだろうと、
どきどきして会場に入った第一印象は「黒い」でした。

スーツとか暗い色の服装の人ばかりで髪の毛も黒い(またはナイスグレー)方ばかり。
模様の入ったとか色のついたとかスーツでない格好の人のほうが珍しく、
開発系イベントでよくいる茶髪とか蛍光色系な服装で青ジーンズな方は聞く側にはいませんでした。
おそらく自社開発ではなく客先とかでの開発または実運用者側の人たちが多いのかなと。

下手なセキュリティイベントとかに行くと参加者側も発表者側も服装がだらしなくて
内容もイベント進行も大してうまくもないのに適当でとだらしなくてしまりもないし、雰囲気もやたらギスギスしていて暗い(ひどいとネタにクスッと笑うだけで睨まれる)し、
女のくせにとか若いやつはと大きな声でディスられるのでうーん・・・と思うことは多いのですが
(つまんねー!と思うようなところはすぐ立ち消えてるので無問題といえば無問題)

きっちりした服装のひとばかりで安心して期待度MAXで参加させていただきました。

カテゴリ:
EU、人気の高いOSSを対象に総額約100万ドルのバグ報奨金制度 | マイナビニュース https://news.mynavi.jp/article/20190110-753815/

人気OSSに限ってですが日本円で億単位のバグ報奨金をだすと公表。
どうしてこれがニュースになっているかといえば、
ZERODIUMがバグへの報奨金額をアップしたから。

「脆弱性の買取」を行うZERODIUMが買い取り価格をアップ、iOSを遠隔で脱獄させる脆弱性は2億円以上 - GIGAZINE
https://gigazine.net/news/20190109-zerodium-payout-change/

ZERODIUMに限った話ではないですが、
ダークウェブでは未発見の脆弱性には高値がつくため、
バグハンターにそっちに売られないようにするために努力しているとのことです。

仕事でみつけることがあっても個人ではなく会社として報告あげてはいましたが、
個人で報告をあげて報酬を得るとなると、副職を禁止している日本ではどうなるんでしょうね。
(企業として報告をあげると企業対企業なので「ありがとう」だけデス;)

カテゴリ:
仮想通貨マイニングは違法? 注目の裁判始まる 被告人は「何が違法か明確にして」|弁護士ドットコムニュース
https://www.bengo4.com/internet/n_9045/

仮想通貨は、P2Pネットワーク上で取引台帳を分散管理していまして、
発生した取引の正当性を、参加者が自身のコンピューターリソースを使い複雑な暗号問題を解くことで検証しています。
マイニングとは、この仮想通貨の取引に必要な複雑な計算に協力した対価として仮想通貨を獲得できる仕組みのことです。

他者のコンピューターリソースを使って不正にマイニングを行う事をスクリプトジャッキングといいまして、

スクリプトジャッキングは
なんらかの手段でユーザーのパソコンをマルウェアに感染させてマイニングを行わせたり、
Webサイトの改竄で不正なコードを仕掛け、ユーザーがサイトを閲覧するとマイニングを行うコードが実行されたりするとかの手法をとります。

で。
安直な改ざん被害とか攻撃して書き換えたというわけでもなく、
サイト管理者が広告収益の代わりにとCoinhive(コインハイブ)というマイニングツールをサイト配置したら、警察に検挙された、というわけです。
ただ配置したからではなく、ユーザの許可なく実行されるように設置していたことで「スクリプトジャッキングという不正行為である」と判断され検挙されているわけですが、
管理者によって意図的に配置されたユーザにとっては好ましくないプログラムは果たして不正行為に該当するのかということで争っていくようですね。


この検挙以降、
大抵の企業サイトはサイト閲覧者のいろいろな情報を取得しアクセス解析を行っているがため、
個人情報云々で同様に検挙されないようにサイトを見た際の承諾確認表示がしつこくされるようになったとか…

カテゴリ:
映画「ミッション:インポッシブル」5作品の“セキュリティ突破方法”を考察してみた (1/3)

ミッション:インポッシブルシリーズを初めてみたのは映画館で友人とだった口ですが、
セキュリティを下手に知ってると息をのむような真面目な説明シーンが大抵ツボになるという、
いらんところで大爆笑してしまい友人をびびらせ、鑑賞後に友人にコレはギャグ映画だろと言って怒られました。

正直同じことを思って考えてた人がいて安心しましたw

特撮系とかアニメに真面目に物理を計算して突っ込むノリと同じで
いわゆる「大人げない」セキュリティ考察をやるのは楽しいので、
教育としてぜひ皆さんも守る側と責める側で「どうすべきだったか」を皆でワイワイとやってみるのはいかがでしょうか。

一般的なアクション映画もなかなかにセキュリティネタが多く面白いのですが、
セキュリティに馴染みのない皆さんにはまずスパイ映画を大人として汚れてしまった感満載で楽しめるようになっていただきたいものです。

スパイ映画の中でも特にミッション:インポッシブルシリーズは、認証ネタだけではなく
本当に毎回突っ込みどころが多すぎて追いつかないくらいにはセキュリティ事故/改善ネタが多いのでおすすめです。

カテゴリ:
engadgetさんはいつも記事が分かりやすくてサクサク読めるので初心者の人にもおすすめです。
今回はUSBの話

USB-IF、USB-C向け認証プログラムを発表。粗悪な充電器などを排除 https://japanese.engadget.com/2019/01/03/usb-if-usb-c/

USBの規格を作っているところが認証プロコルをつけようと検討しているとの記事ですが、
認証プロトコルのついた機材を使えばいいし
認証を超えた先を対処しない限りプログラム経由で乗っ取れるので
badusbの完全排除というより、

規格を付け加えることによる信頼性の向上、
つまりは機材としての粗悪品を減らしたいのでしょうね。
十分それだってセキュリティの範疇なので嬉しい限り。

ただ、この規格そものものが攻撃できる穴に今後ならないといいなぁとは少し思います

このページのトップヘ

見出し画像
×