UnderForge of Lack

ベリサイン、2年以内に全トップレベル・ドメインでDNSSEC導入へ
米国VeriSignは、今後2年以内に、同社が運用するすべてのトップレベル・ドメイン（TLD）に、DNSのセキュリティ拡張仕様「DNSSEC（Domain Name System Security Extension）」を導入すると言明した。
VeriSignは、Network World米国版向けの声明で次のように述べている。「われわれは、当社が運用するすべてのTLDにDNSSECを実装すべく動いている。この作業が完了するまでには、約2年を要する見込みだ。なかでも『.com』は、そのサイズの大きさゆえに、DNSSECの導入が最も遅れるTLDとなるだろう」
DNSSECは、デジタル署名と公開鍵暗号技術を用いることで、Webサイトのドメイン名と対応するIPアドレスを確実に検証できるようにする仕組みだ。DNSSECを導入することで、Webトラフィックをハイジャックして偽のWebサイトにリダイレクトするDNSキャッシュ・ポイズニング攻撃も防ぐことができる。

さて・・・

ずーーっとホッタラカシにしてた DNS キャッシュポイズニングの話なんですが
何故かというと、
「一般人レベルで太刀打ちできる話じゃないので不安感を増大させてもシャーナイよね？」
って話だったんですよね
（だって上位レジストラが汚染されたらアウトなんだもん・笑）

いや・・あと、自分が理解できなかった部分も大きいのですが（笑）

---------------------
簡単な説明：
DNSキャッシュポイズニング攻撃と、脆弱性への対応についての解説
#攻撃者がカワイイ（そこかよ！）

汚染の脆弱性の詳細が対応前に流出して問題になった事故のお話(Kaminsky Poisoning)：
DNS キャッシュポイズニング続報 -- 2008.07.25

Kaminsky flawの詳細：
An Illustrated Guide to the Kaminsky DNS Vulnerability

IPA：
「DNSキャッシュポイズニング対策」の資料を公開

IPAの資料:
DNSキャッシュポイズニング対策
PDFが分厚い・・・

---------------------
で？
って聞かれそうで怖いんですが、
危険！危険！って注意喚起されても、結局何もできないんですよね

DNSチェックツールを使って、自分のプライマリDNSのCross-Pollination Checkは出来ますが、ISP報告までは普通の人はやんないでしょうね（笑）

---------------------
さて・・
DNSSEC(英語)ですが・・

次世代のセキュリティ拡張DNSSECをBIND 9で実現
これを見てどっかで見た組織図だな？って思った人も多いはず
そう、認証のヒエラルキーがPKIのソレなんです。

だからVeriSignが導入するって宣言してるんですよ（笑）
※いちおう分割管理らしいですが・・・VeriSignがルートゾーンのDNSSEC運営法を提案

BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処
業界団体のInternet Systems Consortium（ISC）は7月8日、DNSサーバ「BIND9」のアップデートを公開し、DNSプロトコルの脆弱性に対処した。ただし完全解決のためにはDNSSECの導入が望ましいと指摘している。
ただし、脆弱性は基本的にDNSプロトコルに内在するもので、BIND9特有のものではないとISCは解説。完全な解決策は、DNSセキュリティ強化のための拡張仕様であるDNSSEC導入しかないと指摘している。今回はDNSSECの早期導入がまだ現実的には期待できないとの判断からBINDをアップデートしたが、できるだけ早くDNSSECを導入することが望ましいと強く勧告している。

しかし、現実的には
NS脆弱性への対処策で意見が分かれるIETF総会
インターネット関連技術の標準化を進めるIETF（Internet Engineering Task Force）は、今年夏に発見されたDNSの脆弱性への対処方法を模索している。今週ミネアポリスで開催中のIETFの会合で、この問題が議論されている。争点は、IETFがDNSサーバを運用しているDNSレジストリやISP、企業に、DNSのセキュリティを向上させる拡張仕様「DNSSEC（Domain Name System Security Extension）」へのアップグレードを促すか、あるいは暫定措置としてこの脆弱性に対応するためにDNSプロトコルを改変するかのどちらを選ぶかだ。
どちらに転ぶかはかなり不透明なのが実情のようです。

今回、.gov のTLD(Top Level Domain)が DNSSECを2009年末までに換装することを受けて、.COM .NET を管轄するVeriSignは（多分に金銭的な要素もあるでしょうが）DNSSECを前倒し的に導入することを決めましたが、これによって BIND の DNSシステムが一新される契機になるかどうかはもう少し様子見しなければいけないでしょう。

いずれにせよ、DNSキャッシュポイズニングの問題は「放置できないレベル」に達していることだけは間違いありません。

---------------------
お勉強：
yebo blog さん
ここの DNS タグ、及び study タグを読んで勉強してください。

づつう（変換できません）になっても責任はもちませんが（笑）

---------------------
ずーっと、ポイゾニングって記述してきた気もしますが、表記を統一しますネ

これが記念すべき２００番目の書き込みでした。

Safari 4 βが配信中なのは既にお伝えしたとおりですが

ようやく他のブラウザに追いついたSafari 4のセキュリティ
何年もの間，重要なセキュリティ機能については後れを取っていたAppleだが，同社はようやく最新のSafariにマルウェアブロッカー，フィッシングフィルタ，EV（Extended Validation）証明書のサポートを組み込んだ。

一瞬日付を疑ってしまった。
[2009/02/26]
んむ・・間違ってない。

別にApple信者じゃないけど、この誤謬はヒドイな（笑）
というか翻訳記事だから元の記事からして間違ってるわけですが・・・
Apple catches up on Safari (browser) security

Safari 3.2リリース、EV SSLに対応 -- 2008.11.15
AppleのWebブラウザ「Safari」のバージョン3.2がリリースされた。FirefoxやIEと同様に、フィッシングの疑いが報告されているサイトへのアクセスをブロックして警告する機能が搭載されたほか、EV SSLに対応した。

4月には、PayPalがEV SSLに対応しないブラウザを締め出すのではないかとの噂が話題になった（関連ストーリ「PayPalがフィッシング対策を強化」）が、これで解決といったところだろうか。EV SSL対応サイト（たとえば https://mixi.jp/）にアクセスすると、ウィンドウの右上角の南京錠マークの左に、緑色でサイト運営者名が表示されるようになった。このユーザインターフェイスは使いやすいだろうか。

ここで問題になったのは EV-SSLが非常にミニクイ点でした

具体例：
EV SSL によって実現する安心サイト

Safari3.2 のEV-SSL拡大
ワカンナイヨ（笑）

---------------------------
Echo on
ま・・日経だしショウガナイか（笑）
Echo off

EV-SSL に関しては
5分で絶対に分かるEV SSL
でも見てください

私個人は EV-SSL懐疑派なので、どうでもいいヤ（笑）
EV-SSLが従来のSSLに置き換わるならともかく、「信頼証明」にランクつけてどうするんだろう？って派閥です。

Apache Tomcatに脆弱性
情報処理推進機構（IPA）セキュリティセンターとJPCERT コーディネーションセンターは2月26日、Apache Tomcatに情報漏えいにつながる恐れがある脆弱性が見つかったとして、JVN（Japan Vender Note）に情報を公開した。
脆弱性が存在するのはAache Tomcat 4.1.32～4.1.34、5.5.10～5.5.20で、既にサポート対象外のApache Tomcat 3.x、4.0.x、5.0.x も影響を受ける可能性があるという、Apache Tomcat 6.0.xは影響を受けないことが確認された。
POSTリクエストされたデータの内容が漏えいする可能性があり、リモートから別のユーザーのリクエストデータに含まれるパスワードやセッションID、ユーザーIDを参照される恐れがある。
The Apache Software Foundationは、Apache Tomcat 4.1.35以上、5.5.21以上、6.0.0以降の各バージョンで脆弱性に対処済み。ユーザーにアップデートを呼び掛けている。

となってるんですが・・・

これって去年の夏頃に出てたコレ
JPCERT/CC REPORT: Apache Tomcat にディレクトリトラバーサルの脆弱性 -- 2008.08.27
Apache Tomcat には、ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者が細工した URI を参照させることで機密情報を取得する可能性があります。なお、本件に関しては攻撃方法に関する情報が公開されています。対象となるバージョンは以下の通りです。- Apache Tomcat 4.1.0 から 4.1.37- Apache Tomcat 5.5.0 から 5.5.26- Apache Tomcat 6.0.0 から 6.0.16この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに Apache Tomcat を更新することで解決します。詳細については、ベンダや配布元が提供する情報を参照してください。
よりも旧い話なんじゃないの？
とか思ったりもしました。

----------------------------
まぁ、Apache + Tomcat(Java Servlet)を稼動している人は、バージョンをチェックしてみてください。
Security Updates

Avira Website XSSed
Cross-site scripting vulnerabilities affecting several pages of an Avira-controlled website have been disclosed

最近の流行に従って、Aviraもヤラレタようですね（笑）

XSSにしても、SQLインジェクションにしても、ハッカー（あるいはクラッカー）の攻撃手段・対象は多岐に及んでいます。

抗ウィルスソフトベンダーを集中的に狙っているのは、技術の誇示にあるようですが・・

Methodman has recently disclosed similar XSS vulnerabilities affecting the website of Kaspersky Labs. The hacker is likely to have been inspired to target AV vendors by the similar acts of another self-confessed ethical hacking group called HackersBlog, which has recently disclosed various SQL injection vulnerabilities in the websites of Kaspersky, Bitdefender, F-Secure and Symantec.

最近はPCではないものがインターネットに接続されるようになり、セキュリティのベクトルが多様化していることはご存知のとおりですが・・・

Hackers target Xbox Live players
Xbox Live is being targeted by malicious hackers selling services that kick players off the network.

マイクロソフト、Xbox LIVEユーザーを狙う攻撃を調査
悪意あるソフトウェアを使用することで攻撃者は、IPアドレスをターゲットにしたサービス拒否（DoS）攻撃によって、ゲームプレーヤのコンソールやゲーム全体を一時的にシャットダウンすることなどが可能になるという。

これって・・アレですか？
「気に入らないプレイヤー」を DoS/DDoSアタックで行動不能にさせてしまえってことなんですカネ？（笑）
そりゃ・・hping使えば一撃で轟沈させれそうな気もしないでもないですけど・・

------------------
2007年頃の話ですが
Xbox Live hacked, accounts stolen -- 2007.03.20
"Some folks are having their Microsoft points stolen and or points purchased via their stolen gamer tag," Finisterre said.

A quick search of user forums at xbox.com and other gaming sites turned up multiple messages from Xbox Live users complaining about hijacked accounts, which typically link gamer tags to Windows Live ID (formerly .NET Passport).

一応、MSは否定
Microsoft，「Xbox Live」にセキュリティ問題はないと反論 -- 2007.03.26
3月第4週の初め，「複数のXbox Liveユーザーが，自分のオンライン・アカウントでログオンできなくなった」という内容の情報が流れた。アカウントは，ユーザー名に相当する「ゲーマー・タグ」など，ユーザーのオンライン人格（ペルソナ）を形成する情報を含んでいる。ゲーマー・タグは「Live ID」（旧名称は「Passport」）アカウントに紐付けされており，ユーザーはパソコンから自分のアカウント情報にアクセスできる。

ただしMicrosoftは，「別件で，悪意のあるユーザーにアカウントを乗っ取られ，ログオンできなくなったユーザーの事例が数件あった。いずれの事例も，ユーザーが相手に個人情報を提供した結果，アクセスを許し，パスワードを変更されていた」と述べる。言い換えれば，ハッカーがアカウント乗っ取りにソーシャル・エンジニアリングを使っただけで，MicrosoftのLiveサービスを狙って攻撃したわけではなかった。

水平漏洩によるIDジャックってことになってるようです。

------------------
XBoxには マイクロソフトポイント（Microsoft Points）という、専用の電子マネーがあり、それ（１ゲイツ = 1.48円）を溜め込んでいるアカウントは危険かもしれないと、現アカウント保持者の方は指摘しています。
※１ゲイツは、現在は１バルマーにデノミ（1:1デノミ）されました（笑）

こういう新しいサービス・プロトコル・環境が増えてくると、ますますセキュリティ担当者のづつう（変換不能）を誘うことになりそうです。

参考：
ニンテンドーポイント

プレイステーションストア

関連：
室井さん！PS3が エラーコード 8002A535 でサインインできません！ -- 2009.02.01
なんというか・・・タイヘンソウです（笑）

頭から読むと楽しいです（いや・・楽しんじゃダメだろ・・）
パソコントラブル出張修理・サポート日記

------------------
かんわきゅうだい

これは？

却下（笑）

すげー悪意のあるタイトル絵だな！
って怒られましたが・・・XBOXもってないから悪意なんか無いですよ（笑）

あぅえ～？
Obama chooses Locke for Commerce post
President Obama on Wednesday announced he has chosen former Washington Gov. Gary Locke as his nominee for Commerce secretary, trying a third time to fill a key Cabinet post for a country in recession.

John Thompson氏だと思って期待してたんだけどな（笑）

ごめんなさい、期待してないわけじゃないけど良く知らないもんで（笑）
Gary Locke

次期商務長官に中国系のロック前州知事指名　オバマ大統領

-----------------------
トンプソン氏が商務長官になったら Nortonセンセイが MSRTに統合・・・とかは期待してませんでしたヨ！

※当Blogでは政治の話はしないことが暗黙の了解ですので、念の為（笑）

さて・・どこから始めますか（笑）
Gmailで約2時間半の障害が発生
米Googleが運営するWebメールサービスGmailで、午前9時30分（グリニッジ標準時）から約2時間半にわたって障害が発生。世界中のビジネス向けGoogle Appsユーザーを含むGmailユーザーがサービスを利用できなくなった。

同社はただちに復旧作業に着手し、現在は完全に復旧している。

24日発生したGmail障害、原因は調査中。
Gmailは2008年に4回大きな障害が発生しており、2009年に入ってからは先月に引き続き2度目の障害である。Webメールサービスがこれだけ広まるとダウンしたときの影響も大きい。昨日もお困りになった/.Jerは多かったのではないだろうか？

コメント内
どこかの凄い人が「Googleが繋がらないから作ってみた」とか言って似たような(規模は別として)ものを作ったりしないもんだろうか。


全然違う方向の「すごい人」は既にアップ済みでした。
※職場で開いている人、一部不適切な絵が（仕様上しょうがなく）貼られていますので注意してください
Gmail Downtime Exposes Ad-Rigged Site
"炒"訳
Gmailがダウンしている間に Google で“gmail down”というキーワード検索をすると、"Google Group"なる組織（笑）が運用する Gmail Down というページがヒットした。このページはポルノグラフィのイメージがバナーとして登録されており、そこから更に別のサイトへと誘導されていた。しかしそのページの先には悪意あるファイルの罠が待ち構えていた。

つーか踏む前にキヅケヨ（笑）
Malwareの作者は、なんというかフレキシビリティに溢れてるなぁと感心・・・

--------------------------
Google、Gmail障害の原因を説明
同社によると、障害が起きる前、欧州のデータセンターの1つで通常のメンテナンス作業が行われていた。通常、メンテナンス中はユーザーのアカウントを別のデータセンターで保管するため、問題は起こらないはずだった。
ところが、データをそのデータの所有者に地理的に近い場所で保管するための新しいプログラムコードの影響で、メンテナンスが行われていない別の欧州のデータセンターにデータが集中して負荷が過剰になり、問題が1つのデータセンターから別のデータセンターへと連鎖反応を起こしてしまったという。問題をすべて解決するのに、1時間かかったとし、バグはすでに修正されたと説明している。


Current Gmail outage

--------------------------
Gmailは 2008年に１日以上停止するトラブルを起こしており、今年に入っても２度目の大規模障害ではあります。

「Gmail障害」で浮き彫りになった、無料サービスを業務利用することのリスク -- 2008.08.19

グーグル幹部、Google Appsサービス障害の“過剰報道”に苦言
「最近発生したGoogle Appsのサービス障害をIT関連のマスコミが過剰に報道した結果、当社のホステッド・コラボレーションおよびコミュニケーション・スイートの安定性に関して誤解が生じている」。米国Googleのマシュー・グロツバック（Matthew Glotzbach）氏は、IDG News Serviceとのインタビューでこのような見解を示した。Googleは、当メディアIDG News Serviceについても「過剰報道を行ったマスコミ」とみなしている。

--------------------------
そういえば、こんな話もあったけど・・
Gmailアドレスから氏名を明らかに、スパムへ悪用の恐れも
Googleアカウントを利用して、他人のGmailアドレスからそのユーザーの氏名を割り出せてしまう方法があることが分かり、セキュリティ専門家がSecuriteamのブログで紹介した。
それによると、自分のGoogleアカウントでカレンダーの共有機能を使い、他人のGmailアドレスを入力すると、そのアドレスの持ち主が登録している氏名が表示される。

Finding the name behind the gmail address


また、こんな話も
Gmail Security Flaw Proof of Concept
この脆弱性を悪用すれば、攻撃者はGmailユーザーに知られずに不正なメッセージフィルターを作らせることができると警告している。それにより、攻撃者はユーザーのGmailアカウントに送られたメールをゴミ箱に入れ、メールのコピーを攻撃者自身に転送することでメッセージを盗むことができてしまうとこのブログには書かれている

Google、「Gmailの脆弱性」報告に反論
だがGoogleは、この問題の原因はGmailの欠陥ではなく、攻撃者がWebドメインオーナーを不正なサイトに誘導して情報を盗むフィッシングの手口にあると説明している。
「攻撃者はWebドメインオーナーにカスタマイズしたメールを送り、ユーザー名とパスワードを盗むためだけに設置したgoogle- hosts.comなどの偽サイトに誘導した」とGoogleのセキュリティブログで情報セキュリティエンジニアのクリス・エバンズ氏は述べている。

--------------------------
利便性を追求して Gmail にmailを集約化すると、こういう危険性もある・・

という法則の話ということで〆ておきますか（笑）

先日、新種が確認されたConficker(B++)ですが、名称的に Conficker-C になるようです。

Updated Conficker Functionality
We’ve been getting questions from some of our customers about a new sample of Win32/Conficker, dubbed by some as Conficker.B++. We’re aware of this sample and our definitions already detect this sample as Worm:Win32/Conficker.B, but given the new functionality described in this blog post, we’re updating our definitions as of 1.51.856.0 to distinguish it as Worm:Win32/Conficker.C. Future versions of the MSRT will detect this sample as Worm:Win32/Conficker.C while the MSRT which was released earlier this month detects it as Worm:Win32/Conficker.B.
超・意訳
将来のMSRT(悪意のあるファイルの駆除ツール）で対応するからちょっとまってね。
まぁ・・そうですね（笑）

Conficker.B++, a.k.a. C
What should you do? What you always should have done: Apply security updates to all systems (especially, in this case, Windows XP and earlier systems), use a firewall and anti-malware software and keep them updated.

どうすりゃいいんだい！？　全部のシステムに対してセキュリティアップデートを掛けること！　そしてファイアウィールと抗マルウェアソフトを最新にキープすること！

んなこと言われても・・Firewallを最新にしてどうするっての？
たぶんここで言ってるFirewallはIDS/IPSのことなんでしょうけどネ

----------------------------
New DOWNAD/CONFICKER Variant Already Detected
遅ればせながら、新種Confickerに対応したと発表したTrendMicroですが、WORM_DOWNAD.ADとして「既に対応済み」を強調しつつ、

Infected users should read and follow the instructions at the solution page for this malware here. We also provide a fixtool which can likewise help non-Trend Micro users.
ここの指示に従って感染したPCを修復を図るようにと呼びかけています。また、TrendMicroのユーザ以外に対しても、fixtool : SysClean-WORM_DOWNAD.zip (MD5:854BF1F7E0F8500EAE79BE94795A0571) を提供していることをアピールしています。

----------------------------
参考：
Symantec の詳細な解析レポート
Downadup Advanced Crypto Protection

読んでてづつう（なぜか変換できない・笑）してきたので CLOSED..

----------------------------

Thumbs.db というファイルを見たことが有りますか？

ここを見てる人は
「隠しファイルも表示する」
「拡張子を表示する」
なんて設定は当然でしょうから、当然みたことがあるでしょうが

画像の入ったフォルダにある「Thumbs.db」って何ですか？
A: WindowsXP以降で使用されるシステムファイルで、画像の入ったフォルダを開いたときに表示される“縮小画像”が保存されています。あらかじめ縮小画像を作っておくことで、画面表示を速くするというわけです。

しかし、このThumbs.dbは、いわいるデータベースでして、

フォルダ [PICTURE]に２０枚の画像ファイルをコピー
：この時点で２０枚分のサムネイルが作成される

フォルダ[PICTURE]から５枚の画像を削除
：２０枚分のサムネイルはそのまま

これが、どういう事態を招くか？といいますと・・・

※職場で開いている人は注意してください。
Thumbs.dbから削除済み画像を覗かれるかもしれないビューア

・・・・・・・・・・・
危険すぎる（笑）

-----------------------------------
まず、Win2Kの人は、そもそも Thumbs.dbがありませんので関係ありません（Yeah!)

WinXP以降の方で、充分に速度の速いPCの方は
Thumbs.dbファイルを作成しないようにする
としてもいいかもしれません
（というか、遅いＰＣでも Thumbs.dbは作らないほうがいいと思いますヨ・・）

そういえば、Thumbs.db.scr ってウィルスありましたね（笑）

-----------------------------------
DOSプロンプトから既存の thumbs.dbを全部消すには

C:\Documents and Settings>cd \
C:\>del thumbs.db /s /a:sh

解説：
del -- ファイルの削除

補足：
人に画像ファイルを送るときに、フォルダごと圧縮をかけると Thumbs.dbも送られてくることが多いです。
必ず圧縮ファイルに Thumbs.dbが入っていないことを確認するクセをつけましょうネ

-----------------------------------
Ｂさんの質問：
FirefoxのCacheには無いよね？

シラナイヨ（笑）

2年契約でiPhone 3G 8Gバイト版が実質0円
ソフトバンクモバイルは2月25日、2年契約をすることで「iPhone 3G」の本体価格を値下げし、パケット定額フルの月額上限額を4410円とする期間限定のキャンペーン「iPhone for everybody」を発表した。申し込み受付期間は2月27日から5月31日まで。

iPhone for everybody

ついさっき買っちゃったよ！って人へ
FAQ　購入後 -- iphone wiki

ま・・こういう噂もありますので、計画的に
アップルがフラッシュメモリを大量発注、新型iPhoneに向けた動きか？