2015年5月8〜10日のtwitterセキュリティクラスタ

yousukezan
2015年5月8〜10日のtwitterセキュリティクラスタです。ゴールデンウイーク終わっちゃいましたね

すみだセキュリティ勉強会でした

Shingo Kawamura@blp1526

#sumida_sec x509v3 extensions とは。

yakumo3@yakumo3

CTって略すけどCTスキャンじゃない方。悪の帝国が提唱してる証明書の監視・監査の仕組み。#sumida_sec

shimapee@shimapee

Googleっていう悪の帝国w
#sumida_sec

shimapee@shimapee

EV取ってるのに監査記録がありませんと表示し不安を煽る。
悪の帝国の手口
#sumida_sec
CTログサーバを監視することによって不正な証明書を発行を検知できるかも?
#sumida_sec
なるほどねーおそらく非公開だろうねってFQDNがモリモリ分かってしまうと
#sumida_sec

yakumo3@yakumo3

テスト用のサーバのFQDNが見えちゃうのは便利そうだな…あかんやん… #sumida_sec

Shingo Kawamura@blp1526

#sumida_sec “関係者にしかFQDNを教えないことは、もちろん「気休め」でしか無い”

yakumo3@yakumo3

yakumo3@yakumo3

続いて inaz2 さんのProxy2の話〜 #sumida_sec
自作Proxyのお話は興味深い!
#sumida_sec

yakumo3@yakumo3

yakumo3@yakumo3

自作Proxyというと、こちらも浮かんでくるけど、Proxy2も興味深いな〜 qiita.com/bbr_bbq/items/… #sumida_sec

Dahlia*@dahlia_cocoa

いろいろやばいSuperfish問題 #sumida_sec

Dahlia*@dahlia_cocoa

信頼されてるならなんでもできちゃう、 #sumida_sec
マルウェアがMitM攻撃のために証明書追加するような先ほどのお話は最近こんなのがありましたね
blog.trendmicro.co.jp/archives/11258
#sumida_sec

Dahlia*@dahlia_cocoa

部屋を暗くしてパーカーかぶって黒い画面見ながら「わかった」って言うとハッカーぽい気分になれる() #sumida_sec

yakumo3@yakumo3

リバプロは普通にサーバを表に出さずにサービス提供する時とかにも使うから、この話は使いではあるなぁ。SSLのパーシステンスとか気軽にやりたい時とか。#sumida_sec

Rintaro@_rintaro_f

これだとクライアント側に証明書インストールさせなきゃいけない手間がなくなるんだよな #sumida_sec

Rintaro@_rintaro_f

例えば信頼できる仲間とCTF出るなら、proxy2を1つかませといて全通信をログに吐き出しておき、
$ tail -f log|grep -i flag
とかやっとくと隠れキーワードも逃さなそうだよね #sumida_sec

yakumo3@yakumo3

最後、furandon_pigさんのSSLのFREAKの話〜 #sumida_sec

Dahlia*@dahlia_cocoa

FREAKってどんな脆弱性だっけ? 中間者攻撃で弱い暗号でSSL通信してた。わざと弱い暗号をつけて輸出していた頃のものがそのまま残ってたのが原因 #sumida_sec

Dahlia*@dahlia_cocoa

弱い鍵で暗号化してるもんだから、秘密鍵をサクッと解読できちゃう #sumida_sec

Dahlia*@dahlia_cocoa

脆弱性情報から得られるもの
#sumida_sec

Dahlia*@dahlia_cocoa

脆弱性を入れ込まないようにするために脆弱性情報を使えないかな? #sumida_sec

Dahlia*@dahlia_cocoa

公開された脆弱性情報からプログラミング上で注意すべきポイントを把握する #sumida_sec

Dahlia*@dahlia_cocoa

こういうの、開発する側になると結構大事だよなー #sumida_sec

DJ GINSHARI@inaz2

今日の発表資料です #sumida_sec / proxy2: HTTPS pins and needles slideshare.net/inaz2/20150509…
本日お越し頂いた皆さま、ありがとうございました。当日の発表資料はblogの方に載せておきます。 #sumida_sec ozuma.sakura.ne.jp/sumida/2015/04…
「すみだセキュリティ勉強会 2015#1」をトゥギャりました。 togetter.com/li/818829
全部読みたい人はこちらへ。

その他に気になったことはこのあたり。

徳丸 浩@ockeghem

おっと、やじうまWatchにも取り上げられました。私記事は非常に単純化したモデルであり、事故とは異なる可能性があることにご留意ください / “【やじうまWatch】「嵐」コンサートのホテル予約重複を再現したプログラムがわかりやすい…” htn.to/Lgg86w

徳丸 浩@ockeghem

『少々エッジケース気味なので、今日の日記ではORDER BY句のカラム名が外から指定可能な前提で、どんな攻撃が可能なのか考えてみます』<エッジケース すまそw / “SQL識別子の扱い – 2015-05-08 – T.Terad…” htn.to/SagLwH
We’re proud to introduce the 2015 Nmap/Google Summer of Code Team! seclists.org/nmap-announce/… pic.twitter.com/SplhIyfvzs

unixfreaxjp@unixfreaxjp

重要なマルウェア研究情報「ad injection malware」と言います
Ad Injection at Scale: Assessing Deceptive Advertisement Modifications (PDF) static.googleusercontent.com/media/research…

gaku@tao_gaku

セミナー申し込もうとしたら既にいっぱい//「情報セキュリティ対策の自動化を実現する技術仕様CVSSv3、STIX、TAXIIの概説」セミナー開催のお知らせ:IPA 独立行政法人 情報処理推進機構 ipa.go.jp/security/vuln/…

abend@number3to4

nghttp2 v0.7.14が出とる。バグ報告したやつが書かれている!!よかった。

nghttp2.org/blog/2015/05/0…

abend@number3to4

nghttp2 v0.7.13で確認していますが、nghttpでtimeoutオプションで2147483648以上の値を指定するとコアダンプするというバグです。
【セキュリティ情報】Adobe Readerの識別番号APSB15-10に関するセキュリティ情報の事前告知がUS時間5月7日に更新されました。アップデータはUS時間5月12日に公開予定です。adobe.ly/1cteovJ (英語)

masa141421356@masa141421356

前にも同じこと言った気がするけど、もうAppleは日本語版のセキュリティ情報提供やめたほうがいい。なんで4月の更新情報がいまだに掲載されない?
support.apple.com/ja-jp/HT201222 , support.apple.com/en-us/HT201222
マルウェア作者がサンドボックスを検出する新たな手段を発明したのなら、当然のことながらそこで一服したりしない。
blog.f-secure.jp/archives/50747…

Sen UENO@sen_u

SSL証明書にふざけたメッセージを埋め込む。よく考えるなァw / Stupid certificate tricks bit.ly/1cklQbH
ドイツ情報機関BND、NSAの為のインターネット監視を停止:h/t Mathias dw.de/german-intelli…
mobile.slashdot.jp/story/15/05/10… #プライバシー #privacy 政府、携帯電話の端末IDは個人情報に該当しないとの見解

NHKニュース@nhk_news

米 中国の新サイバー攻撃システムを懸念 nhk.jp/N4JA4E4L #nhk_news

窓の杜@madonomori

通信経路を秘匿するブラウザー「Tor Browser」v4.5、メニューで接続経路を表示可能に forest.impress.co.jp/docs/news/2015… pic.twitter.com/UfX1jm6Ne6
【レポート】訃報を装ったメールに仕込まれた「DragonOK」- 巧妙な標的型攻撃を防ぐ術 j.mp/1FSEwLM

INTERNET Watch@internet_watch

飛天ジャパン、「FIDO U2F」に準拠するUSBセキュリティキー「ePass FIDO」  internet.watch.impress.co.jp/docs/news/2015… pic.twitter.com/iqZmRpWf1q
日本語ランサムウェア=身代金ウイルスに注意 j.mp/1F9dVLr
名大卒業生の成績、7年前から閲覧可能だった? j.mp/1H584aq

ITmedia@itmedia

[エンタープライズ]WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も bit.ly/1zPucDs

ITmedia@itmedia

[エンタープライズ]Adobe、ReaderとAcrobatのセキュリティアップデートを予告 bit.ly/1zPkdhg
https://matome.naver.jp/odai/2143104086586030201
2015年05月11日