UnderForge of Lack

OpenSSLの最新バージョン 0.9.8k が公開されています。

Security Advisory: OpenSSL 0.9.8k is now available

OpenSSL 0.9.8j 以前のバージョンのバグフィックスは以下のとおり

ASN1 printing crash(CVE-2009-0590)

Incorrect Error Checking During CMS verification.(CVE-2009-0591)
※CMS(Cryptographic Message Syntax)を導入していない場合は無関係

Invalid ASN1 clearing check(CVE-2009-0789)

OpenSSLをお使いの人は、バージョンチェックしてみてください。

-------
しかし・・よほど Ver1.0にしたくないんだろうな（笑）

まさかドン・ペドロじゃなかった・・McAfeeに言われてしまうとは思わなかった（笑）

W32/Conficker: Much Ado About Nothing?

Confickerが4/1に何かヤルヤル！と危機感を煽る記事が増えてるけど、過去のMichelangeloやらBlasterやらでも似たような騒ぎだけが起きて実際には何も起きなかったことを学習してないの？

WindowsUpdateをきちんと適用していれば AprilFoolの日に怯える必要は無いんですよ。

いや・・全くそのとおりなんですよね（笑）
このレポートにもあるように

mqqcmg.dll -- 1b8557969145f32854ee8b4b04e6d64f
sislsvdv.wa -- 93e1d13b424557b611b8892f200f4cbf

90%以上の抗ウィルスソフトは、このワームに対応しています。
ですので、きちんとWindowsUpdateを適用させ、（それなりの）ウィルス対策を行っている個人や企業は、Conficker/Downadupを必要以上に恐れる必要はありません・・・・たぶんね

問題があるとすれば

• DMZの内側にあってインターネットに接続しているものの、管理権限その他の問題でWindows Updateを受けられないPC群
  
• WindowsUpdateの存在すら知らず、（今でも）IE6をノーガードで使っているような危機管理能力の無いユーザ
  
• そもそもまともなOSでないため、WindowsUpdateすら受けられないユーザ（笑）

あたりでしょうか？

余談：
『空騒ぎ』（からさわぎ、Much Ado About Nothing）

こんなワームなら増殖ＯＫなんですが・・（笑）
かわいい毛虫 ベビー用【ハロウィン☆コスプレ衣装】

Googleドキュメントに新たなセキュリティ・ホール
Googleドキュメントに、また新たなセキュリティ・ホールが発見されたようだ。TechCrunch Japanの記事によると、これはセキュリティー・コンサルタントのAde Barkah氏が指摘しているもので、概要は次のとおり。

• 非公開文書に埋め込まれた画像ファイルは非公開とはならず、URLさえわかれば誰でも閲覧可能（さらに、文書を削除してもその画像はアクセス可能状態のまま残る）
  
• 先日追加された図形描画機能で作成した図を誰かと共有した場合、共有相手はその図のバージョンをさかのぼって閲覧可能
  
• 共有相手から誰かを削除した後でも、特定の条件下で、その相手が共有文書に依然としてアクセス可能（深刻な問題なので詳細は非公開）

TechCrunchの問い合わせに対し、Googleの広報担当者は「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」と回答しているとのこと。


Googleドキュメントにさらにセキュリティーホール発見

またGoogleですか・・

最初の問題は画像のストレージサーバが特定のユーザの権限に紐付けされていないことが原因でしょうが、そもそも
xttp://docs.google.com/File?id=dczjts34_227g3234gdg_b
こんなURLをどうやって知るのか？という根源的な疑問はあります。
この辺は、BlogなんかのWebAppliも同じで、Blogを消したからといって画像が消えているわけではないことは誰だって知ってると思ってたけど・・違うのかな？

ま・・セキュリティホールといわれればセキュリティホールですけどね（Googleがその画像をクローラで取得したりすると特に・笑）

３に関しては詳細不明だし、評価不能・・


そもそも重要な機密文書をGoogle Documentに書くってあたりが、人為的セキュリティホー・・・

最近沈静化したのかな？とか思っていた Google StreetView ですが、英国で再び激しく攻撃されているようです。


「Googleストリートビューは違法」――英プライバシー保護団体が苦情
英国のプライバシー保護団体Privacy International（PI）はStreet Viewが市民に及ぼす脅威や影響を示すために、市民から寄せられた以下のような苦情を紹介している。

• 15歳の少年がスケートボードを持っている写真がStreet Viewに掲載された。この少年の両親はスケートボードの利用を禁止していたため親子げんかになり、少年は現在友人のところにいる
  
• 既婚男性が同僚の女性と密着して話している様子をGoogleが撮影。道路工事でうるさかったため密着して話さなければならなかったのだが、浮気しているように見え、夫婦げんかになった
  
• 暴力的な元夫から逃れるために転居した女性が、Street Viewで自分の居場所がばれるのではないかと不安を訴えている
  
• 大会社で働く2人の男性が、キスをしているように見える写真がStreet Viewに載った。実際はそうではないが、会社中に写真が出回り、彼ら自身もそのパートナー（女性）も恥ずかしい思いをした
  

（笑）

コメントは控えておこう


ストリートビューの削除責任はGoogleにあり

Google Street View Brings Up Take-Down Issue -- GoogleWatch

NHKの一件で（一躍？）有名になったBOTnetですが、最新のBOTnetはPCではなく RouterやDSLmodemを狙ったものらしいです。

mipsel搭載ルータやモデムを狙い、ボットネット形成するワーム
Mipsel-based-linuxなマシンを狙ったワーム「psyb0t」により、10万台規模のボットネットが形成されているらしい

　感染条件は
　* mipsel搭載のデバイスであること
　* WAN側からアクセス可能なtelnet、SSHもしくはWebベースのインターフェイスがあること
　* ユーザー名とパスワードの組み合わせが脆弱であるか、搭載ファームウェアが利用しているデーモンが脆弱であること

ボットネットに組み込まれたものの90％は、ユーザー側のミスによるとのこと。

※Mispel : debian MIPS 概観


New Botnet Runs on DSL Modems and Routers

Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks


-------------------
また、OpenWRT / DD-WRT のルータにも脆弱性が存在し、BOTnetの構成メンバーとなってしまっている例もあるようです。

Botnet Worm Targets DSL Modems and Routers
"The people who bring you the DroneBL DNS Blacklist services, while investigating an ongoing DDoS incident, have discovered a botnet composed of exploited DSL modems and routers. OpenWRT/DD-WRT devices all appear to be vulnerable. What makes this worm impressive is the sophisticated nature of the bot, and the potential damage it can do not only to an unknowing end user, but to small businesses using non-commercial Internet connections, and to the unknowing public taking advantage of free Wi-Fi services. The botnet is believed to have infected 100,000 hosts."


対策？
うーん・・（苦笑）
SSHベースでのインターフェイスで ID が root 固定のものとか危険かも・・（Buffuro!?)
WAN側から操作できないタイプも多いとは思いますが・・・

一旦感染すると、しつこく偽セキュリティソフトの広告を出してくることで有名なウィルス Vundo ですが、最新のものは更に手口がイヤらしくなっているようです。

ファイルを勝手に暗号化して人質に、有料ソフトの購入迫る

問題のマルウェア「Vundo」はユーザーのシステムに感染すると、PDF、Word、JPGなどのファイルを暗号化してしまい、暗号を解除するために有料プログラム「FileFix Pro 2009」を購入するよう迫る。ユーザーは、脅しの手に乗るのは馬鹿げていると分かっていても、ファイルを人質に取られている以上、言われた通りのソフトを購入するしか手がなくなるという。

しかしFileFix Proを入手しても、復旧できるのは一部のファイルのみ。システムに感染したままのマルウェアによって、再び暗号化される悪循環に陥るという。このマルウェアがファイル共有サービスのLimeWireでMP3ファイルに見せかけて配布されているという情報もある。

人（ファイル）質かよ！（笑）

TrendMicro:
Data-for-ransom Syndicates Strike Online
「ランサム」シンジケートがオンラインに侵攻

Antivirus2009 Holds Victim's Documents for Ransom
Antivirus2009は被害者のドキュメントを人質に取る！

実に笑えるタイトルで、楽しんでます（楽しむなよ！）
こんな画面が出てきた人は感染しています


米セキュリティ企業のFireEyeは
A new method to monetize scareware
perlベースの「人質にとられたファイルの解凍ツール」を公開しています。

余禄：
b1c90ff4ceea86765bfb4c5b88ce1249 - setup_4_.exe
うぇ～い

Firefoxに深刻な脆弱性、修正パッチ公開へ
MozillaのオープンソースブラウザFirefoxに深刻な脆弱性が報告された。コンセプト実証（PoC）コードも公開されており、Mozillaは修正パッチの開発を急いでいる。

指摘元レポート: Mozilla Firefox and Seamonkey XSLT Memory Corruption Vulnerability - VUpen

Bugzilla: Mozilla Bug 485217
Found on security focus, not sure where the original came from. Exploit code at the link iframes a little xml file with an xslt transform that causes a crash reliably on 3.0 branch and trunk (and presumably 1.9.1, didn't test). Null, but it's being called, assuming the worst for the moment.

Mac版 Linux版でもクラッシュが確認されたようですね。


脆弱性を解決したFirefox 3.0.8は、3月30日から4月1日の間にリリースする見通しとなっている

CDやUSBの自動実行を利用して感染を拡大するワーム（ウィルス）は Conficker/Downadup に留まらずその数を増していることは既にご存知のとおりですが、TrendMicroから Autorun の現状に関するレポートが出されました。

読み物としても面白いので興味のある方はご一読ください。

＜コラム＞USBワームが作成する「Autorun.inf」の分析とその傾向

■目次■
▼ 数から見るUSBワーム
▼ さらに巧妙になる「Autorun.inf」の難読化
▼ 自動実行ファイルの拡張子から見る「Autorun.inf」
▼ URLを直接開くことが可能な「Autorun.inf」
▼ 利用方法により拡がる「Autorun.inf」の危険性
▼ まとめ


Autorun.inf の難読化の実情とか、URLを直接開ける Autorunの性質(OPEN=)とかを知っておくと、今後の対策の一助になる・・かもしれませんね。

というか・・
ここを見てる賢者諸氏は、既にAutorunそのものを切っているものと思っていますが？（笑）

そう言えばIRC上で妙な話を聞きました（一部改変しています）

(aaa) 取引先の20台くらいのPCが一斉にVistaに変わったんだよね
(xxx) なんでまた今頃？
(aaa) なんでも Win2Kのサポートが切れたから、ボリュームディスカウントでお安くしますとか言われたらしい
(xxx) ・・・・・・
(bbb) ・・・・・・

私なら「詐欺だっ！」って即刻ツッコムところでしょうがネ。

現時点で「サポート」が終了しているのは

Windows 98(ME) 以前
Windows NT4.0 以前
のものです

Windows デスクトップ製品のライフサイクル
にあるように、

対応OS	サポート期間
Windows Vista（Business/Enterprise）	2017年4月11日まで
Windows Vista（Home Basic/Home Premium/Ultimate）	2015年4月11日まで
Windows XP	2014年4月 8日まで
Windows 2000	2010年7月13日まで

というわけで、 Win2kの「サポート」が打ち切られて見捨てられるのは来年の７月の話です。その頃には Windows7もリリースされているでしょうから、その頃考えようかな？って思ってる Win2k ユーザは多いはず・・なんですけどね

もっとも、IE8のように最初から WinXP above のアプリが増加傾向にありますので転換を早めに考えることは悪くはないと思いますが、「今」Vistaを導入することには全くと言っていいほどメリットはないと思うんだけどなぁ・・


それともその販社が自腹を切ってWin7へのアップグレードを確約したとか？　・・・アリエン（笑）

恒例のナニコレ用語集ですが、また厄介なものを槍玉に挙げてきたHさんに脱帽。

--------------------------------

SaaS

SaaS （software as a service）

5分で絶対に分かるSaaS

なんだかSARSと混同しそうな名称ですが、発音的には「サース」と明示的に差異を強調する必要があるようです（笑）

一般的な認識としては、ソフトウェアを「ライセンス」の形で供給するのではなく、「必要な機能の分だけ対価を支払ってサービスを享受するもの」という認識だったのです。それってASPと何が違うん？って思う方もいるかもしれませんが、はっきり言って同じモノとおもってよいかと。

用語的な混乱を避けるために、ASP=業者さん、SaaS=サービスそのものの差す言葉、って認識で（現在のところは）間違ってないんじゃないかな？

具体的な話をするならば、これまで（高額な開発費コストを掛けて）自社専用のアプリケーションを開発させてきた企業が、パッケージではなくソリューション単位に細分化された「アプリケーション・モジュール群」を必要なものだけ個々に発注し、場合によってはある程度のカスタマイズを適応することで自社の業務に合ったアプリケーションを入手しようとする動きが活発化している～もしくは活発化しているように見せかけている（笑）という話ではないかと思います。

個人的には SaaSもユビタキスもWeb2.0も似たベクトル上に遊弋している存在なので、「そーなのかー」程度の調査しかしてませんがね

--------------------------------

用語が一人歩きして全く方向が違ってしまった例もあります

インシデント(incident)
英語で「出来事」の意味。日本語として使われている「インシデント」は、重大事故に至る可能性がある事態が発生し、なおかつ実際には事故につながらなかった潜在的事例のこと

サービスサポートにおけるインシデント管理
インシデント管理の目的はあくまで業務復旧であり、業務への影響を最小限に抑える事を第一として考える。この目的を達成させる為に、インシデント管理では以下の達成目標を掲げている。
　* 可能な限り迅速に平常時のサービスを提供できる状態にすること
　* ビジネス業務への悪影響を最小限にとどめること
　* SLAに則ったサービスレベルを維持すること

「インシデント」をもっと（小難しく）解説しているのはCSIRT マテリアル -- JPCERT/CCあたりでしょうが、一般人・中小企業の関係者にこんなこと言われてもよくわかりませんネ。


個人的には、事態（アクシデント）が発生した際に、その重大性を切り分けして的確に業務回復を図る、トリアージ的な診断・対応システムのようなもの？と考えていたのですが、実際のトコ何か事態が発生する度に消耗するインシデント・トークン（チケット）のような印象を抱く人も少なくないはず。

インシデント制のテクニカルサポートを行う上で必要なものは何？

「あ・・もしもし、重大と思われる現象がおきているのですが？」
「お客様のインシデントチケットは期限切れです。新しいチケットを購入してください」

カネの切れ目がサポートの切れ目　諸行無常