UnderForge of Lack

ビスケットの日
バカヤローの日
織部の日
エッセイ記念日

----------
沿岸部の方は津波に気をつけましょう

----------
セゾンカード #
セゾンカードの日本語フィッシングメールが着弾しています。

Subject: エクスプレス・トランスファー（Express Transfer)へのご請求はこちらから

hXXp://www.saisoncard.co.jp.netanswerplus・us/cgi-bin/welcomeSRS.pl?client_id=s5ewgRSDJSVV23&session_id=ZXJyb3Iu
65.39.207.3 AS13768 (PEER1)

メールも全て日本語ですので、注意してください
※ここを見てる方は大丈夫だとは思いますが～

これが「釣り」ってやつか！！
釣られないでくださいね（苦笑）

----------
津波+SEO=FakeAV #
最近は時事ネタにSEO毒が注入されるまでのタイムラグが無くなって来ました・・
Massive Earthquake in Chile Leads to a Surge of Rogue Antivirus
Tsunami Threat May Lead to Surge in Social Engineering Scams

Googleもそろそろ手を打たないと、検索の信頼そのものの崩壊につながりかねません。

続く
----------
SEO Poisoningの考察 #
Insight into fake AV SEO
実際に存在するサイトと、検索エンジンから飛んできた場合で別々のリファラを返すやりかたですね。

シャチの事故とそのSEOーPosoningの様子
Hotbar has a whale of a time -- PaperGhost

Image Searchers Snared By Malware
We got hit by this
JavaScriptによるリダイレクトと、.htaccessのmod_rewriteルールを変更することで悪意サイトに誘導するため、サイト管理者側は一見しただけではまったく判らないのがこの攻撃の特徴です。
気になるヒトは .htaccess を再チェックしてみてください。

これはあなた？　Twitterアカウントをフィッシングする意味とは？
悪党連中は、自分たちのSEO攻撃を強化するため、ソーシャル・ネットワークの信用を利用することができる。
TwitterでスパムDM出回る　フォロワーに自動でDM送りつけ
アカウント管理にも気をつけないと、意図せず加害者に廻ってしまう可能性もあります。

----------
Koobface #
あとで読んでおこう（こうして宿題が溜まる）
Web of Koobface
If your site is hacked…
If you were unlucky your site could have been hacked. Here is what you can do to detect this.

Scan your server for new suspicious files and directories.
Search for suspicious .swf files (especially if you don’t use Flash). In the rogue directories, hackers place a Flash file with a name like “n0ld7q.swf“
Search for files that contain this string: KROTEG. I see it at the top of the main script on every compromised (by Koobface) site.

----------
Botnet勢力図 #
L.png -- Botnet Interactions
いろいろあって面白いですね～
いや・・面白がってどうするって言われそうですが・・

----------
Xforce Report #
Key Findings in the 2009 X-Force Trend and Risk Report
As we wrap up another X-Force Trend and Risk Report, we once again find ourselves looking at the latest security threats that defined 2009. Let’s take a look at some of those highlights.
レジュメ

----------
CVE-2010-0232 #
CVE-2010-0232の脆弱性を調べてみる
CVE-2010-0232脆弱性実証コード(PoC)の調査と、カーネルレベルでのデバッグに関する記事
いつもご苦労様です。

----------
GEEK的文句の言い方？ #
ご近所への苦情は Wi-Fi接続名で
please no more grindcore at 3am
そりゃちょっとね・・（苦笑）
でも、この子はきっと許してく・・なわけない！

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	33170	AS16276	02/17 10:35:20	02/28 09:50:11
91.121.24.139	28604	AS16276	02/17 10:35:20	02/28 09:50:11
91.121.7.26	20930	AS16276	02/20 05:50:34	02/28 09:50:11
89.149.244.211	15326	AS28753	02/20 08:30:31	02/28 09:50:11
62.75.218.192	6188	AS8972	02/17 12:30:27	02/28 09:50:11
91.121.108.53	27405	AS16276	02/17 10:35:20	02/28 09:40:12
213.251.133.159	414	AS16276	02/17 18:00:50	02/27 22:50:11
91.204.116.114	653	AS44976	02/24 23:30:07	02/27 21:40:10
78.41.156.236	916	AS6908	02/18 20:00:43	02/27 06:40:05
89.110.147.181	5383	AS24989	02/17 13:30:59	02/27 03:00:06
77.68.44.169	2388	AS15418	02/17 10:35:20	02/27 01:40:05
81.18.190.210	238	AS39180	02/26 22:40:05	02/27 01:40:05
80.248.208.205	351	AS35830	02/26 10:50:08	02/27 01:30:07
83.168.238.66	184	AS35041	02/26 16:00:05	02/27 01:30:07
87.118.90.76	430	AS31103	02/26 12:10:05	02/27 01:00:05
85.14.202.210	610	AS13301	02/20 04:50:59	02/27 00:40:05
92.51.132.101	531	AS20773	02/20 14:50:38	02/27 00:40:05
87.106.247.193	466	AS8560	02/17 19:40:50	02/27 00:10:06
80.93.49.223	93	AS35295	02/26 23:40:05	02/27 00:10:06
80.74.159.89	95	AS21069	02/26 23:10:06	02/26 23:40:05
212.146.105.75	183	AS5606	02/26 10:50:08	02/26 23:10:06
62.176.153.45	178	AS8426	02/26 10:50:08	02/26 22:10:06
213.137.2.118	178	AS13122	02/26 16:40:07	02/26 22:10:06
69.60.10.2	85	AS26163	02/26 21:40:08	02/26 22:10:06
66.147.239.213	85	AS4323	02/26 21:40:08	02/26 22:10:06
91.121.1.99	321	AS16276	02/17 21:00:39	02/26 20:40:05
217.13.215.186	68	AS12494	02/26 19:40:05	02/26 20:00:06
84.242.167.49	68	AS8672	02/26 19:40:05	02/26 20:00:06
86.58.190.93	599	AS16095	02/26 10:50:08	02/26 19:40:05
62.68.162.19	483	AS15467	02/26 12:10:05	02/26 19:40:05
78.137.161.186	201	AS31122	02/26 17:10:06	02/26 19:40:05
89.200.168.88	81	AS41078	02/26 11:40:05	02/26 12:00:06
216.87.163.53	81	AS30217	02/26 11:40:05	02/26 12:00:06
67.210.97.244	81	AS15244	02/26 11:40:05	02/26 12:00:06
91.199.104.50	74	AS44418	02/26 11:20:06	02/26 11:40:05
213.160.24.49	74	AS20676	02/26 11:20:06	02/26 11:40:05
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　skipped(5日):[14]

----------
Google Safe Browsing #
| 1267300830 | B | [goog-black-hash 1.51979 update]
| 1267300802 | M | [goog-malware-hash 1.19684 update]
| 308124 | +870(307254) 微増
| 1420153 |
EoF

絆の日
ドミニカ共和国独立記念日 (1844年)

----------
Thunderbird 3.0.2 #
Thunderbird 3.0.2 で修正済み
は、まだ空欄ですが、以前Firefox 3.0.18で修正された内容だと思われます。

Mozilla Thunderbird Multiple Vulnerabilities 4
same as:
Mozilla Firefox Multiple Vulnerabilities 4
1) An error exists when handling out-of-memory conditions. This can be exploited to trigger a memory corruption and execute arbitrary code via a specially crafted web page.
2) Multiple errors in the browser engine can be exploited to corrupt memory and potentially execute arbitrary code.

パッチなう～
モジラ、「Thunderbird 3.0.2」をリリース--重要なセキュリティ問題を修正

----------
Skype 4.2 Gold #
Version: 4.2.0.152
セキュリティFixはありませんが、インスタントメッセージのデフォルト設定を、「誰でも」から「コンタクトのみ」に変更したことで、spam着信を減らすようにしています。

skypeに届くspam

----------
SQL Injectionはこうして発生する #
A Big Case of ...OOPS...
サニタイズ（って言うなという話もありますが）されていない文字列を直接パースするCMSは、確実にSQLインジェクションの危険に曝されます。しかし、Webをちょっとみただけで、その状況が発生しているのかどうかわかりますか？というお話・・
So... in 45 minutes the room had gone from non-believers to realizing they not only had a massive SQL Injection problem - but had also been rooted and were now distributing the Zeus bot from one of their main websites.
Whoops.
恐ろしすぎます。

via:
Understanding SQL Injection the Hard Way
［ASP.NET］FreeTextBoxコントロールでリッチな入力ボックスを作成するには？
ValidateRequest属性はfalseに設定
ただし、データ検証を無効にした場合、（当然のことながら）クライアントが「有害な」データを送信しても、ASP.NETはこれを検出することができない。原則として、validateRequest属性をfalseに設定するのは、（アプリケーション全体に対してではなく）HTMLタグを含む文字列を送信する必要があるページに限定するのが好ましい。また、データ検証を無効にしたページについても、必ず自前で、入力内容を明示的に検証することを強くお勧めする。
まさにセキュリティと利便性のトレードオフの実例

サニタイズ言うな地獄
サニタイジングの悪夢から逃れた後は，CSRF にうなされそうだ。皮のジャケットを着たレイザーラモン HG が，腋毛をジェリジェリやりながらフォ～ッ! と叫んでいる姿を想像してしまったからだ。CSRF とは，クロスサイトリクエストフォージェリというものらしい(まだよく分かっていない)。
その空想はいやだ～～～～～～～～！

微妙に続く
----------
PHP #
changelog - Version 5.2.13
Improved LCG entropy. (Rasmus, Samy Kamkar)
Fixed safe_mode validation inside tempnam() when the directory path does not end with a /). (Martin Jansen)
Fixed a possible open_basedir/safe_mode bypass in the session extension identified by Grzegorz Stachowiak. (Ilia)

PHP Two Security Bypass Vulnerabilities 2

----------
APC NIC #
APC Network Management Card のウェブインターフェースに複数の脆弱性
ウェブインターフェースにログインしている状態で細工された URL を読み込むことで、ユーザの権限で意図しない操作が行われる可能性があります。

Firmware update:
Cross Site Scripting & Forgery Issue (XSS/CSRF) in NMC-Based Products

----------
偽MSE #
If it calls itself “Security Essentials 2010”, then it’s possibly fake, innit?
似てる似てる（笑）

Furthermore, it also downloads and installs a Win32/Alureon component, and another Layered Service Provider (LSP) component, also detected as Trojan:Win32/Fakeinit. This LSP monitors the TCP traffic sent by various Web browsers that the user might have installed, and blocks any traffic to certain domains, instead displaying the following:

LSPスタックが破壊されたり、セキュリティソフトで一部チェーンが除去されたりすると、かなり厄介な事態になります。
参考：
LSPハイジャックの対処法

----------
あっ (no.1) #
SEO poisoning not in well, but it’s aiming for the water heater

----------
あ～っ (no.2) #
NOT the real VirusTotal.com
virus-total・in as 115.100.250.109
AS24136 MAINT-CNNIC-AP
彼の国のISPにしては、MDL/MALURL等の参照履歴は無く、綺麗なものですね・・

----------
Joannie Rochette #
Searching For Joannie Rochette Leads To Rogue AV
誰だろうと思って検索しちゃった（相手の思う壺？）: ジョアニー・ロシェットさん。

日本だと浅田真央さんネタとかで Security Tool に誘導されたらきっと恐ろしい犠牲者が出るんでしょうね・・・

----------
Latvia #
Zabbixとかzlkon.lvでおなじみ（！？）のラトビアですが、なんというかすごいことに・・
Latvian hacker tweets hard on banking whistle
失業率の上昇など経済的な苦境が続き、給料のカットに苦しむ一般民衆とは対照的なエネルギー公社の総裁の昨年のボーナスの額を、ハッカーが銀行の経営データをクラック、Twitterと地元TVに公開したそうです。
Latvian 'Robin Hood' hacker leaks bank details to TV
BBCのReferはちょっと怖いのでパス。
A hacker has become a popular hero in the Baltics, and scourge to the authorities, by leaking information on the finances of banks and state-run firms to Latvian TV.
英雄視ですねぇ・・

----------
MitB #
あとで読むためのメモ：
MITB (Man in the Browser) Protection Layers

----------
OpenSSL #
OpenSSL 0.9.8m Announce
This new OpenSSL version is a security and bugfix release which implements RFC5746 to address renegotiation vulnerabilities mentioned in CVE-2009-3555.
Changelog

1.0(1.1?) stableが出る前に アルファベットが尽きそうな気もしないでもな・・・

----------
延命・・ #
Windows 2000の維持とパッチ適用に悩む管理者の実態が明らかに
マイクロソフトが7月13日でサポートの終了を表明しているWindows 2000について、多くの企業ユーザーがサポート終了後も運用を継続する意向であることが、トレンドマイクロの調査で明らかになった。基幹システムでのセキュリティ対策が難しくなっているという。
基幹システムなら、外に出なければ良いんですよ！
と、言ってしまえればどれだけ楽になることか・・ *sigh*

----------
その他 #

クレジットカード情報流出：モンベルの流出数判明/金融庁がアリコに行政処分
2月の国内フィッシング事情：オンラインゲーム（WoW）/クレジットカード（VISA）
2月の国内フィッシング事情：まだ続くYahoo!/Twitterアカウント狙うDMスパム

New version of dnsmap

Firebug 1.5.2
We expect this to be the last version of 1.5 and we are concentrating on new code for Firebug 1.6.

A Brief Reminder, Passwords Have Been Around Forever
At first he thought the password was ‘password’
(笑)
Remember, the password is ‘Swordfish’.

GoogleやeBayが導入する燃料電池発電機 Bloom "Energy Server"
原理説明(swf)：
Solid Oxide Fuel Cells: How it works
う～ん・・あんまり理解できてないかも・・

ん～？
Windows XP Internet Explorer 8,7 .HLP vulnerability
はてさて・・？

----------
訃報 #
訃報：Internet Explorer 6、享年8歳
朝、教室に入ったら自分の机の上に花が飾ってあったんだ。
＃「いじめ、カッコ悪い」（IE6談）
に盛大に吹きました（笑）

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	28694	AS16276	02/17 10:35:20	02/27 10:10:05
91.121.24.139	24267	AS16276	02/17 10:35:20	02/27 10:10:05
91.121.108.53	22963	AS16276	02/17 10:35:20	02/27 10:10:05
91.121.7.26	16769	AS16276	02/20 05:50:34	02/27 10:10:05
89.149.244.211	11159	AS28753	02/20 08:30:31	02/27 10:10:05
62.75.218.192	4926	AS8972	02/17 12:30:27	02/27 08:40:06
78.41.156.236	916	AS6908	02/18 20:00:43	02/27 06:40:05
89.110.147.181	5383	AS24989	02/17 13:30:59	02/27 03:00:06
77.68.44.169	2388	AS15418	02/17 10:35:20	02/27 01:40:05
91.204.116.114	591	AS44976	02/24 23:30:07	02/27 01:40:05
81.18.190.210	238	AS39180	02/26 22:40:05	02/27 01:40:05
80.248.208.205	351	AS35830	02/26 10:50:08	02/27 01:30:07
83.168.238.66	184	AS35041	02/26 16:00:05	02/27 01:30:07
87.118.90.76	430	AS31103	02/26 12:10:05	02/27 01:00:05
85.14.202.210	610	AS13301	02/20 04:50:59	02/27 00:40:05
92.51.132.101	531	AS20773	02/20 14:50:38	02/27 00:40:05
213.251.133.159	321	AS16276	02/17 18:00:50	02/27 00:40:05
87.106.247.193	466	AS8560	02/17 19:40:50	02/27 00:10:06
80.93.49.223	93	AS35295	02/26 23:40:05	02/27 00:10:06
80.74.159.89	95	AS21069	02/26 23:10:06	02/26 23:40:05
212.146.105.75	183	AS5606	02/26 10:50:08	02/26 23:10:06
62.176.153.45	178	AS8426	02/26 10:50:08	02/26 22:10:06
213.137.2.118	178	AS13122	02/26 16:40:07	02/26 22:10:06
69.60.10.2	85	AS26163	02/26 21:40:08	02/26 22:10:06
66.147.239.213	85	AS4323	02/26 21:40:08	02/26 22:10:06
91.121.1.99	321	AS16276	02/17 21:00:39	02/26 20:40:05
217.13.215.186	68	AS12494	02/26 19:40:05	02/26 20:00:06
84.242.167.49	68	AS8672	02/26 19:40:05	02/26 20:00:06
86.58.190.93	599	AS16095	02/26 10:50:08	02/26 19:40:05
62.68.162.19	483	AS15467	02/26 12:10:05	02/26 19:40:05
78.137.161.186	201	AS31122	02/26 17:10:06	02/26 19:40:05
89.200.168.88	81	AS41078	02/26 11:40:05	02/26 12:00:06
216.87.163.53	81	AS30217	02/26 11:40:05	02/26 12:00:06
67.210.97.244	81	AS15244	02/26 11:40:05	02/26 12:00:06
91.199.104.50	74	AS44418	02/26 11:20:06	02/26 11:40:05
213.160.24.49	74	AS20676	02/26 11:20:06	02/26 11:40:05
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　skipped(5日):[13]

----------
Google Safe Browsing #
| 1267232442 | B | [goog-black-hash 1.51922 update]
| 1267232403 | M | [goog-malware-hash 1.19665 update]
| 307254 | +1930(305324) 反転増加
| 1416411 |
EoF

8080系が恐ろしい勢いでIPを増やしています
とうとう、大西洋を渡ってアメリカのISPも汚染を開始しました。

何度も言うようですが、脆弱性をきちんを塞いでいれば恐れることはありません。

しかし、一旦感染してしまうと、どうにもなりません。一部のホームページで 「Security Tools を駆除してOK」のような誤った対策が掲示されているようですが、そんな生易しいものなら、ここまでパンデミック化していません。Security Tools は、表面に現出する一部に過ぎません。

不幸にして感染してしまった方は、今後のことも含め、疑心暗鬼にならないためにも、バックアップを取ってクリーンインストール（完全に安全と確認できるスナップショットまでリカバリー）を行い、適切な対処を取ってくださいますようお願い致します。

	count	ASN	登録	更新
80.248.208.205	270	AS35830	02/26 10:50:08	02/26 22:00:05
213.137.2.118	166	AS13122	02/26 16:40:07	02/26 22:00:05
62.176.153.45	166	AS8426	02/26 10:50:08	02/26 22:00:05
66.147.239.213	73	AS4323	02/26 21:40:08	02/26 22:00:05
69.60.10.2	73	AS26163	02/26 21:40:08	02/26 22:00:05
94.23.11.38	27214	AS16276	02/17 10:35:20	02/26 21:40:08
91.121.108.53	21266	AS16276	02/17 10:35:20	02/26 21:40:08
91.121.7.26	14883	AS16276	02/20 05:50:34	02/26 21:40:08
89.149.244.211	9742	AS28753	02/20 08:30:31	02/26 21:40:08
62.75.218.192	4111	AS8972	02/17 12:30:27	02/26 21:40:08
91.121.24.139	22496	AS16276	02/17 10:35:20	02/26 21:10:05
89.110.147.181	5170	AS24989	02/17 13:30:59	02/26 21:10:05
77.68.44.169	2243	AS15418	02/17 10:35:20	02/26 21:10:05
78.41.156.236	612	AS6908	02/18 20:00:43	02/26 21:10:05
87.106.247.193	373	AS8560	02/17 19:40:50	02/26 21:10:05
92.51.132.101	346	AS20773	02/20 14:50:38	02/26 20:40:05
91.121.1.99	321	AS16276	02/17 21:00:39	02/26 20:40:05
213.251.133.159	231	AS16276	02/17 18:00:50	02/26 20:00:06
217.13.215.186	68	AS12494	02/26 19:40:05	02/26 20:00:06
84.242.167.49	68	AS8672	02/26 19:40:05	02/26 20:00:06
86.58.190.93	599	AS16095	02/26 10:50:08	02/26 19:40:05
62.68.162.19	483	AS15467	02/26 12:10:05	02/26 19:40:05
78.137.161.186	201	AS31122	02/26 17:10:06	02/26 19:40:05
91.204.116.114	446	AS44976	02/24 23:30:07	02/26 19:10:05
87.118.90.76	160	AS31103	02/26 12:10:05	02/26 19:10:05
83.168.238.66	115	AS35041	02/26 16:00:05	02/26 16:30:08
85.14.202.210	520	AS13301	02/20 04:50:59	02/26 12:00:06
67.210.97.244	81	AS15244	02/26 11:40:05	02/26 12:00:06
89.200.168.88	81	AS41078	02/26 11:40:05	02/26 12:00:06
216.87.163.53	81	AS30217	02/26 11:40:05	02/26 12:00:06
213.160.24.49	74	AS20676	02/26 11:20:06	02/26 11:40:05
91.199.104.50	74	AS44418	02/26 11:20:06	02/26 11:40:05
212.146.105.75	93	AS5606	02/26 10:50:08	02/26 11:10:05
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---

二・二六事件の日
脱出の日
パナマ運河開通記念日 1914年
咸臨丸の日
血液銀行開業記念日

----------
Operation b49 #
Cracking Down on Botnets
we have executed a major botnet takedown of Waledac, a large and well-known “spambot.”
*clap* *clap* *clap*
すばらしいっ！
トレードマークの Dr.Waledacもしばらくは出て来れないでしょう（笑）
Three days into the effort, Operation b49 has effectively shut down connections to the vast majority of Waledac-infected computers, and our goal is to make that disruption permanent. But the operation hasn’t cleaned the infected computers and is not a silver bullet for undoing all the damage we believe Waledac has caused. Although the zombies are now largely out of the bot-herders’ control, they are still infected with the original malware.
Botnetに「銀の弾丸（特効武器）」は無く、C&Cを失ったゾンビは今後も潜伏し続けることでしょう。このあたりの徹底的な掃討は各Cert、セキュリティ機関及びISPの連携が必要です。そして、それが無ければ Mega-Dのように再び復活してくることになるかもしれません。

Dismantling Waledac
Microsoft Ambushes Waledac Botnet, Shutters Whistleblower Site
正に「アンブッシュ」ですね。
いずれにせよ、Botnetに堕ちるようなPCを運用していることが問題であって、そういう環境を一日も早く払拭することが重要です。

続く？
----------
MS KILLED Whistleblower site, too? #
ところで、Cryptome.org と今回の一件の因果関係が良くわからないのですが・・・
Microsoft Takes Down Whistleblower Site, Read the Secret Doc Here

Microsoft's wiretap guide goes online, security site goes offline
Long-established privacy and cryptology website Cryptome.org was pulled offline on Wednesday after Microsoft launched a legal offensive over its publication of Redmond's guide to internet wiretapping.
Cryptome restored after Microsoft change of heart
Microsoft to Withdraw Copyright Complaint, Cryptome Coming Back Online
Network Solutions says it will announce the withdrawal of the DMCA copyright complaint by Microsoft and the return of Cryptome online later this morning.
DMCAの濫用ともとれる内容ですが、何だかよくわかりません。

----------
しくしく
MS の Complaint PDFを開こうとしたら固まるので時間取られました・・

----------
tDiary #
tDiary 付属のプラグイン tb-send.rb におけるクロスサイトスクリプティングの脆弱性
update: tDiaryの脆弱性に関する報告(2010-02-25)
問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確認していません)。Firefox、Opera、Safariなどの主要なブラウザでは発生しておりません。
また、tDiary 2.2に特有の問題であり、tDiary 2.3では発生しません。さらに、tb-send.rbプラグイン(TrackBack送信プラグイン)が有効になっている場合のみに発生します。
すごいピンポイントなんですね。

tDiary Unspecified Cross-Site Scripting Vulnerability 2

----------
so-net articles #
サイト改ざん猛威：「8080」がコード変更、「Gumblar.x」も攻撃再開
大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。
サイト改ざん猛威：ウイルス感染を100％防げる「ソフトウェアの更新」を
これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100％防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。
サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道
ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。
いつもいつも的確な記事をありがとうございます。

----------
SQL #
モンベルの報告書：
不正アクセスによる情報漏えいの内容
不正アクセスの日時・攻撃手法
日時：2010年1月25日午前3時39分～1月26日午前6時37分にかけて断続的に
攻撃元：海外（中国のIPアドレス）
攻撃手法：弊社ウェブサーバー内のデータベースに対する「SQLインジェクション」（コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法）。
※ガンブラー・ウイルスによる攻撃ではありません。
SQLインジェクションなら、使用していたCMSも公開して欲しいなぁ・・オリジナルだったらショウガナイですが。

参考：
Anatomy of a SQL Injection Attack

----------
Picasa #
Google Picasa JPEG Processing Integer Overflow Vulnerability 3

Update to version 3.6 build 105.41.

----------
IBM Tokyo SOC #
ZeuSの国内レポートは貴重ですね
東京SOCでのZeus/Zbot検知状況【Tokyo SOC Report】
これは、1～3 のウィルス・ファイルのダウンロードがクライアントPCにて発生した件数をカウントしています。
毎月5件程度のダウンロードが確認されています。昨年、感染を拡大したGumblar.X攻撃によるウィルス・ダウンロードと比べると検知件数が大幅に少ないことが分かります (Gumblar.X攻撃によるウィルス・ダウンロードは、2009年10月には約2千件確認されていました(*2))。様々なベンダーから、 Zeus/Zbotに関連する不審なメールが出回っているという情報が日々公開されていますが、実際の被害に遭う事例は少ないようです。
グラフの縦軸が １桁なのに注目！

国内の ZeuS の感染事例は確かに少ないようですね。

----------
Skypeのspam #
skypeに届くspam
確かに最近多いですね・・

----------
RSA conference #
RSA 2010: Top 15 Conference Sessions You Shouldn't Miss

Conference Stuff

----------
(笑) #
Teaching Some Security. Asking for help!
最高！
日本語版も作ってあげてください。

----------
pass-the-hash攻撃 #
Pass The Hash
良く知らなかったのですが、暗号化（Hash'ed）された文字列そのものを盗んで、正規パスワードを知ることなくアクセスできるという攻撃手法です。

詳細：
Pass-the-hash attacks: Tools and Mitigation

----------
Twitter釣り続行中 #
「This you????」　TwitterのフィッシングDM、日本でも出回る

This you?? What's the point of phishing a Twitter account?

----------
Password #
「パスワードの使い回しを防ぐ方法教えます」――米セキュリティ企業
パスワード使い回しの危険を避ける便利な方法――Websenseが紹介

元：
Top Secrets About Your Passwords

もういっそ覚えられないパスワードにして、マスターパスワード設定できるアプリ（きちんとマスターパスワードとの合成暗号化を行っていることが必須条件ですが）に記憶させ、パスワード自体はtxtにメモって自分で暗号化かけてFD（笑）にでも保管しておくとか・・・いろいろ考えるのですがなかなかうまくいきませんね。

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	25651	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.24.139	21513	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.108.53	20140	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.7.26	13879	AS16276	02/20 05:50:34	02/26 08:50:05
89.149.244.211	8656	AS28753	02/20 08:30:31	02/26 08:50:05
89.110.147.181	4545	AS24989	02/17 13:30:59	02/26 08:30:05
62.75.218.192	3069	AS8972	02/17 12:30:27	02/26 05:30:05
85.14.202.210	346	AS13301	02/20 04:50:59	02/25 05:30:05
91.204.116.114	81	AS44976	02/24 23:30:07	02/25 04:50:05
78.41.156.236	444	AS6908	02/18 20:00:43	02/25 03:40:08
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1267128034 | B | [goog-black-hash 1.51835 update]
| 1267128002 | M | [goog-malware-hash 1.19636 update]
| 305324 | -1981(307305) 漸減中
| 1410089 |
EoF

夕刊紙の日
箱根用水完成の日(1670年)
サミュエル・コルトが回転式拳銃の特許を取得(1836年)
ヱビスビール発売(1890年)
がんばれ受験生！
国公立大２次試験　前期日程きょうスタート

----------
再起動 #
何かパッチが来てました
更新プログラムは、Internet Explorer 8 では、ネイティブ JSON 機能です。
と、これに関する以下のもの・・・かな
2010年 2 月の累積的なタイム ゾーン更新プログラムの Windows オペレーティング システム
Windows 7 のまたは Windows Server 2008 R2 の x 64 エディションを実行しているコンピューターで Windows 7 のコンテキストではなく、Windows Vista コンテキストでアプリケーションを実行します。
アプリケーション互換性に関する更新プログラムを Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2: 2010年 2 月
勝手に再起動要求を出されるのには参った・・・
グループ・ポリシーの変更方法：
gpedit.mscを起動 → ［コンピュータの構成］→［管理用テンプレート］→［Windows コンポーネント］→［Windows Update］
「スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない」
これだっ！
「有効」(E) にして適用

参照：
自動更新における自動再起動を抑止する
Windows Updateで発生している“自動再起動問題”

----------
HURRY! #
3月4日にIE6の葬儀が厳粛に執り行われる予定―棺の中は空のようだが…
YouTubeは3 月13日までIE6のサポートを停止しないし、もちろんその他数千、数万のサイトがIE6のサポートを続けるだけでなく、中にはIE6専門に作られたサイトまである。しぶとい奴だ。残念ながら棺の中に遺体は入っていないとはいえ、この葬儀は厄介払いへの一区切りではある。
ちゃんと頭を下にして埋めてね（苦笑）

Die IE6! DIE!!!
参考：
End users are the main targets of online attacks

追記：
本気にした人が居たので念のため・・・・
SAVE IE6 Project は April, 1. 2009 から開始されています（苦笑）

----------
Analize 8080 #
Gumblar/8080系が使用する file.exe を実行してみた -- にわか鯖管の苦悩日記
詳細な解析レポートです。すばらしい！

ちなみに、レポートに出てくる "124.216.48.53" は、いったい幾つのブラックリストに載ってるんだ！？ってくらい素敵なIPですね・・

参考？：
日立情報、Gumblar対策ソリューションを提供開始--包括的なセキュリティ環境の構築を支援

----------
ああ・・これ読んでたら時間が無くなった・・

----------
祝・映画化！（違 #
New Adobe Download Manager Bug
このポスター(?)には笑うしかなかった・・

Adobe Releases a Security Update for Download Manager
Adobe getPlus DLM Unauthorised Installation Vulnerability 4
Adobe patches critical vulnerability in Download Manager

マテマテマテ！？　なんなんですか！？この数は・・
Vulnerabilities Discovered by VUPEN in 2010 (Total in 2010: 27 Vulnerabilities)

----------
ごめん by Secunia #
Firefoxの件：
Sebastian Klipper(Secunia CSO) says:
This particular report is a bit special because of the lack of information available. Normally, we do not write about vulnerabilities unless certain details are available and / or we can test it. (…) and previous vulnerabilities reported by this company / person has proved to be reliable.
過信は禁物ってこと？

あと、こんなのも・・
Mozilla Firefox v3.6 URL Spoofing Vulnerability
Verified: yes

----------
有罪@イタリア #
Serious threat to the web in Italy

ロイターは怖いのでリンクだけ：
Google executives convicted for Italy autism video
有罪確定っと？

解釈的にちょっと違うかもしれませんが・・
イタリアでは、インターネットは違法と相成りました -- 本の虫

追記：
有罪確定ではなく、控訴するということです。
グーグル幹部ら3人、侮辱ビデオの投稿問題めぐりイタリアで有罪判決
このいじめの動画をめぐる訴訟は、Googleの提供するオンライン動画サービスに関連するイタリア当局との対立の一例に過ぎない。2009年12月には、現在イタリアの首相を務めるメディア王のSilvio Berlusconi氏が設立して保有するイタリア放送局のMediasetが、同社のコンテンツをGoogle傘下のYouTubeにアップロードされたと訴え、勝訴に至っている。
そんなことがあったのですねぇ・・
ベルルスコーニ、Google、YouTubeを告訴！
Italian Media Company Sues YouTube
結果は不明ですが・・

----------
週間脆弱性 #
チェックしておきたいぜい弱性情報＜2010.02.24＞BGM
オラクルWebLogic Serverにリモートから攻撃可能なぜい弱性（2010/02/07）
マイクロソフト2010年2月の月例セキュリティ・アップデート（2010/02/10）
米シスコ Cisco IronPort Encryption Applianceに複数のぜい弱性（2010/02/10）
Adobe Flash Player 10.0.45.2/9.0.262.0リリース（2010/02/11）
Squid 3.0.STABLE24（2010/02/12）
Thunderbird DNSプリフェッチ処理にぜい弱性（2010-01-29）
いつもありがとうございます。

そういえば Thunderbird 3.0.2はまだですね

----------
LCS #
LCS(艦じゃない)のお話
What does a philologist and a lollipop have in common?

Longest common substring problem
longest common substringとlongest common subsequence -- あなうん
最長共通部分列 配布ページ

言語学者とロリポップ(合資会社マダメ企画)の共通点を真剣に考えた私はきっとダメ人間・・・

----------
Eat spam #
一緒くたに・・・
Spammers go "Full Throttle" on Auto Recalls
One of the world's biggest automakers has recently been in the headlines because of necessary recalls
Toyotaもこんな「利用」されたら不本意でしょうね・・

On Olympics, St. Patrick’s Day, Screensavers, and Wallpaper

Wordless Wonders: New Image Spam Attacks
DO NOT CLICK JUST ENTER かよ！

----------
計画的に #
ご利用は？
セキュリティ情報リリース スケジュール
問題になりそうなのは 2010/08/11 かな？

2010年のセキュリティ情報公開予定日一覧

----------
リスク(物理的な) #
Denial of availability risk: earthquakes
これは日本は笑い事ではありませんね

----------
新SSL? #
あとでちゃんと読むためのメモ：
VeriSign to offer "Trust Seal" certification for websites

----------
完璧に時間切れ #
時間があったらあとで加筆するかも？（たぶんむり）

N.Y. Firm Faces Bankruptcy from $164,000 E-Banking Loss
ZeuSが銀行を殺したと・・

第9回 決済アプリのセキュリティ基準、PA-DSSとは

Flash Player 10.1 b3 リリース：GMA 500サポート、バグ修正多数

OpenDNS adopts DNSCurve
DNSCurve: Usable security for DNS!? 初耳でした。

Using code coverage to improve fuzzing results
ファジングの話

What is your firewall telling you and what is TCP249?
また 135/137/139/445/1433/1434/25 関連のづつう(変換不能)Portが新しく・・・

ネットで実名を使う理由、4割が「説得力がある」――ニコ割アンケート
お前が言うなって言われそうなんですが・・

社内ネットカフェでの“幽霊”事件――不特定の人物が使う落とし穴

The biggest case of user failure in history?
Facebookね

A New Twitter Worm Is Making the Rounds
Twitterね

ミラクル・リナックスが、Zabbixとパトライトのネットワーク監視表示灯を連携
なんぞ！？
ZabbixはPHPのバージョンの依存度を下げないとダメなんでは？

ヨーロッパにおける Google独禁法訴訟はMicrosoftの指紋まみれ
バルマー氏の汗も入ってる？

----------
ああ・・
ソニー、SCEのネットワーク事業を吸収合併　新SCEが誕生


----------
8080 #

	count	ASN	登録	更新
94.23.11.38	21533	AS16276	02/17 10:35:20	02/25 09:00:05
91.121.24.139	17606	AS16276	02/17 10:35:20	02/25 09:00:05
91.121.108.53	15891	AS16276	02/17 10:35:20	02/25 09:00:05
91.121.7.26	9852	AS16276	02/20 05:50:34	02/25 09:00:05
89.149.244.211	5226	AS28753	02/20 08:30:31	02/25 09:00:05
89.110.147.181	2769	AS24989	02/17 13:30:59	02/25 09:00:05
62.75.218.192	2411	AS8972	02/17 12:30:27	02/25 09:00:05
85.14.202.210	346	AS13301	02/20 04:50:59	02/25 05:30:05
91.204.116.114	81	AS44976	02/24 23:30:07	02/25 04:50:05
78.41.156.236	444	AS6908	02/18 20:00:43	02/25 03:40:08
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

91.204.116.114: NEW

----------
Google Safe Browsing #
| 1267041656 | B | [goog-black-hash 1.51763 update]
| 1267041608 | M | [goog-malware-hash 1.19613 update]
| 307305 | -1799(309104) 漸減
| 1406260 |
EoF

南国忌
クロスカントリーの日
鉄道ストの日
月光仮面登場の日 (1958年)
昭和天皇の大喪の礼 (1989年)
湾岸戦争勃発 (1991年)

----------
JRE again #
（お詫び）ホームページの一部機能の利用停止について
現在、当社ホームページのキーワード検索機能の利用を停止しております。
なお、その他の機能については通常どおりご利用になれます。

　下記の期間にURL（hXXp://www.jreast-search.jp/）を直接入力したお客さまのみウィルス感染の可能性がございます。
　期間：2010年2月18日（木）22時29分～2010年2月22日（月）17時18分
ＪＲ東日本サイトが再びガンブラー被害
１２月末に起きた改ざん事件で、ＪＲ東日本は「感染源となったパソコンは特定し、対策を進めている」とコメントしていた。筆者の推定にはなるが、クリーンインストールをしなかったか、もしくはデータコピー時に別のパソコンに感染したのかもしれない。
　以前と同じページが、同じ攻撃手法で改ざんされてしまったのだから、ＪＲ東日本、あるいはサイト制作会社の対応がまずかったことは間違いない。
えーっと、なんでしたっけ？・・
これだっ BGM

何度も言うようですが、Noooo_spam様の６つの対策を行っていれば（現時点では感染はしません）
もっとも、昨年の12月初旬から今年1月前半まで、Adobe Reader 9.3のゼロデイが存在したわけですが、これも「Acrobat JavaScript」が斬られていれば動作する性質のものではありませんでした。

もし不幸にも感染してしまった（インジェクションが発生した）場合の始末ですが、結構大変です。
1. 感染の恐れがあるPCの全洗浄
　特にVMやBootCamp、Note型など、普段起動していないような環境を入念にチェック。
2. 社員全員に「FTPアクセスを自宅、もしくはその他の場所」で行ったことが無いかブリーフィング
　使ったことのあるPCの洗浄と、環境ファイル・レジストリの消去も必要です。
3. 全Credential の変更
　FTPにとどまらず、POP/IMAP/MySQLなどのアカウント情報変更
　(※) 特に phpmyadminを導入しているところは、バージョンの調査が必須。

その後、コンプライアンス（？）的に以下の作業が必要になるでしょう
a. セキュリティ・ポリシーの見直し
b. OS/Browser/Application の見直し
c. FTP/POP/IMAP/telnetなど、平文でパケットを飛ばしているプロトコルを徹底排除
d. サーバの対応状況の確認、あるいは設定変更あるいは ISP変更

これも繰り返しになりますが、
きちんと rssh の設定が可能なところは、SFTP(SSH2, TCP/22以外) + パスフレーズ入り秘密鍵認証で。
989/990を開けられるところは、Implicit FTPS による転送を
FTPSしか対応できないところは、FTP(E)S+PASV で
FTPしかできないでござる～　というところは VPN経由でどうぞ（苦笑）

続く
----------
Passwordの使いまわし #
さて、ここまで事態が悪化すると、本当にFTPだけの問題なのか？と疑問になっている方も多いかもしれません。

実際問題として、パスワードの使い回しをしている方は多く、特に MySQL の ID/Pass が SSH のCredential と同じのところを何度も見かけました（マテマテマテ）。
マスターパスワードが使用可能な SFTP/FTPS クライアントを使用し、保管パスワードがきちんと cipher'ed されているか確認することが重要な時代になってきているのかもしれません。
Use master password to encrypt passwords in stored sessions

(こないだどこかでやった)確認事項：

マスターパスワードをセットすべきクライアント：
Firefox
Opera
Thunderbird
WinSCP

SSL通信を行っているか確認すべきプロトコル
FTP TCP/21+PASV, or TCP/989-990
SMTP (SMTP over SSLRFC3207 TCP/465)
POP3 (POP3 over SSLRFC2595 TCP/995)
IMAP (POP3 over SSLRFC2595 TCP/993) or (Secure IMAP TCP/585)

あと・・非常に重要なことですが、あまりヒネったマスターパスワードを設定すると、あとで取り返しの付かない事態になりますので、お気をつけください（該当者２名有）


※セキュリティ対策って、その時々は「必死で」やるんですが、喉元過ぎるとすぐ忘れてしまうんですよね～　継続的なセキュリティ対策を対処し「続ける」ことが重要で・・ってみなさんわかってらっしゃいますよね？（笑）


----------
Firefox "UNKNOWN" vulnerability #
Secunia Advisory SA38608
Mozilla is aware of the claim of a zero-day in Firefox as posted here: http://secunia.com/advisories/38608/. We cannot confirm the report as we have received no details regarding the reported vulnerability, such as a proof-of-concept or steps to reproduce. We’ve attempted to contact the researcher who discovered the issue but have not received a response.
リサーチャ（？）と連絡を試みたけど反応無しっと・・

こっちでは「購買者」には反応しているようですが？
VulnDisco 9.0
I've bought VulnDisco 9.0 and tested the FireFox 0-day-exploit. It did NOT (!!!) work with FireFox 3.6 and 3.5.8 at WindowsXP SP3 and at WindowsVista SP2.
Honestly I think that exploit is just a hoax, an good advertisment trick - Secunia () believed it without testing it by themselves
If you do have Vulndisco and Canvas license, I would suggest you to contact us via email admin@vulndisco.net. and describe in more details how you've tested firefox exploit.
というわけで、こそこそと進行しているようですが、詳細は不明のまま・・・

だいたい、Immunityって、MySQLの怪しげなリモートコード実行の追加情報も出てこないので、今後は FUD ステッカーを５枚くらい貼ってから読むことにしますか・・・

----------
Intelも！ #
Operation Auroraも、話が大きすぎるのと政治色が強まってきて何が何だかまったく・・
‘Sophisticated’ Hack Hit Intel in January
Intel hit by 'sophisticated' hack last month
というわけで、IntelもGoogleやAdobe同様ハッキングをうけていたと公表しました。
具体的に何をされたのかは不明ですが・・・

グーグル攻撃に使われたコード、作成した中国のセキュリティ専門家を特定か--英報道
Chinese programmer fingered in Google attacks

はっきりしていることは、この攻撃コードが他のDbD攻撃に転用されているような様子は（現時点では）ありません。

----------
つこーた US版 #
FTC finds P2P networks rife with leaked identity data
The Federal Trade Commission today finally voiced concern about the long-known problem of data leaking into criminal hands via LimeWire, BearShare, Kazaa and dozens of other peer-to-peer (P2P) file sharing networks.
マテ・・

こういうのにはあまり国境はないのでしょうね・・たぶん

Widespread Data Breaches Uncovered by FTC Probe

----------
Adobe はアップデートでも脆弱性誘導 #
20日の話の続き
Security update available for Adobe Download Manager
なんかいろいろ手順が書かれていますが、
コントロールパネルの「プログラムと機能」から Adobe Download Manager を削除する
Firefoxの場合、
Adobe DLM(powered by getPlus(R))
も抹消してください。

Adobeのプロダクツは、どこまでも疑ってかからないとダメなんでしょうか？
Now's the time to ask
誰か突撃してみてくれませんか？（笑）

アドビ製品とFirefoxに未修整の脆弱性～コード実行のおそれ
Adobe Download Managerに脆弱性の情報、Adobeが調査を表明

----------
ByE6 #
BYE-IE-6
YouTube、IE6などのサポートを2010年3月に終了
さような～・・・

Nearly 20% still running IE 6
19% of respondents in a Virus Bulletin poll said that they are still running the browser, whether at home, at work, or both.
1/5 ですか？・・・

昨日紹介した BLADE: Hacking Away at Drive-By Downloads でも、MS-IE6への攻撃が他よりも飛びぬけて多いことが実証されています。

微妙に続く
----------
スロットマシーンの検証 #
ヨーロッパでは、反トラスト法の関係で、Windows7をインストールするとブラウザ選択の画面がでるのですが・・

ヨーロッパ人のためのランダムなブラウザ選択画面–その‘ランダム性’を検証してみた
スロバキアのテクニュースサイトDSL.skのマジメな人たちが、まさにこの疑問に答えるべく、ページの現在の実装とwww.browserchoice.euにあるコードを調べた。そしてその結果、リストの並び順は期待したほどランダムではないことを発見した。といっても、Microsoftが自社製品をえこひいきしているわけではなく、むしろ、 GoogleのChromeブラウザがやや有利、という調査結果になった。
(笑)

----------
時間切れ：

----------
炉 #
lots of fraud, scam, moneymule domains to blacklist
Mostly money-mule, fraud, scam domains added. Also some fast-flux and other malicious domains as well,.

----------
Another ZeuS #
Kneber: Another day at the office
In fact, there are many active botnets that are spawned by this widely distributed kit. It has become so popular, and accessible, that attacks like this are bound to arise in the numbers: Kneber is merely one of them.
ZeuS系もいろいろあるようですね・・
IT Firm Loses $100,000 to Online Bank Fraud
こういう特定銀行を狙ったスピア型にも ZeuS ツールが使われるケースもあるようです。

----------
その他 #
次々と手口を変え感染拡大を続ける偽セキュリティ・ソフト

電車内で“大声”で「通話」「会話」、迷惑だと感じている利用者はともに9割超え
そりゃ当り前でしょう・・問題はそれを注意できるかどうかであって・・

New Brazilian Banking Trojans Alert
VTをこういう使い方するときはハッシュかURLを提示してください（笑）

インターネット犯罪から身を守るために必要なのは「堅実で情報に敏感な奈良県民」の県民性
こめんとできない・・

オペラ、デバッグツール「Dragonfly」をオープンソースプロジェクトに移行
まだ使ってないのは内緒・・・ orz

Rogueware competing with Microsoft
To be honest, we’re fed up with seeing these programs everyday, because it’s always the same stuff, the same interfaces, the same icons, the same behaviour…and just another name.
うはは・・セキュ会社のひとでもウンザリするんですね

燃料電池革命？　Google、eBay等がテスト中のBloom Energyがいよいよお披露目へ
あ～、そういうことですか
Bloom Box Black SEO

----------
8080 #
DeListed --
worldmusicmagazine.ru
sugaryhome.ru
greatwebradio.ru
--

	count	ASN	登録	更新
94.23.11.38	17310	AS16276	02/17 10:35:20	02/24 08:40:42
91.121.24.139	14631	AS16276	02/17 10:35:20	02/24 08:40:42
91.121.108.53	11461	AS16276	02/17 10:35:20	02/24 08:40:42
91.121.7.26	5626	AS16276	02/20 05:50:34	02/24 08:40:42
62.75.218.192	979	AS8972	02/17 12:30:27	02/24 08:40:42
89.149.244.211	1771	AS28753	02/20 08:30:31	02/24 08:30:37
89.110.147.181	1135	AS24989	02/17 13:30:59	02/24 08:30:37
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.41.156.236	366	AS6908	02/18 20:00:43	02/22 05:30:51
85.14.202.210	250	AS13301	02/20 04:50:59	02/22 04:31:02
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

IPの追加が止まった感じでしょうか？
ひょっとしたら、リストに無いドメインで新しく「開拓」されているのかもしれませんが・・

----------
Google Safe Browsing #
| 1266955250 | B | [goog-black-hash 1.51691 update]
| 1266955203 | M | [goog-malware-hash 1.19589 update]
| 309104 | -2064(311168) 順調に漸減中
| 1402368 |
EoF

税理士記念日
富士山の日 「ふ(2)じ(2)さん(3)」
ふろしきの日 「つ(2)つ(2)み(3)」
共和国の日(ガイアナ)

----------
2009 下半期レポート by IBM Tokyo SOC #
2009年下半期 Tokyo SOC 情報分析レポート
2009 年下半期 Tokyo SOC 情報分析レポート
すばらしいレポートなのでずーっと眺めていたら、時間が・・・・

１個だけ気になったのが 24P
FTP プロトコルについても、FTPS やSFTP への移行することで、公開鍵認証を利用することが可能です。
FTPSって公開鍵認証ってあったのでしょうか？（汗）
この前レポートで「無い」って書いちゃったので、もしあったらヤバいなぁ・・
RFC4217には、それっぽい記述があるんですが、具体的な施策が無かったもので・・・
※そもそも SSL/TLSはサーバのCert証明書から公開鍵を生成するものだと思っていました。（だから「オレオレFTPS」と呼んでる）

まぁアレだ・・「細かいこと・・」なのかもしれませんが
SSL/TLS/SSH/PKIは再勉強しないと危なそうな気配・・・

参考:
RFC2228
X.509 Style Guide

----------
"BLADE" slay DbD #
BLADE: Hacking Away at Drive-By Downloads
The story delves into greater detail about the as yet unreleased software, called “BLADE,” (short for Block All Drive-By Download Exploits). That piece, which explores some of the unique approaches and limitations of this tool, is available at this link here.
名前がかっこいいなぁ～
Brian Krebs氏は、DbD(Drive by Download)を事前に察知、予防するソフトウェアの検証を行っているようです。
BLADE MALWARE URL ANALYSIS RESULTS

そのレポートの後にある、
the vulnerable applications that were most targeted in the drive-by attacks the BLADE group saw:
圧倒的ではありませんか！

I’ll be sure to let readers know when this tool is publicly available for download.
please

----------
Bloggerを狙ったフィッシング #
Phishers target Blogger.com accounts
BloggerはGoogle帝國のサービスの一つですが、Gmail等とCredentialが連動していることがありますので注意が必要です。
Subject: Your Blogger Account
Dear Blogger account owner,
To update your Blogger account please click the following link:
http://www・blogger・com/update/VE.php?service=blogger&c=111111111111111111&email=youremail＠yourdomain.com.
Thank you for using Blogger.
This is a post-only mailing. Replies to this message are not monitored or answered.

blogger.comの偽サイト -- Feb.22
相手はまた FastFluxですね・・

----------
Bot's CnC TLDcc #
Botはいくつかのヒエラルキーに分かれていますが、その中でも特に重要なのがその命令系統(CnC, C&C = Command and Control)です。
Top-10 TLDs Abused by Botnets for CnC
う～ん・・.com .org .info .biz に関してはどうにもなりませんね・・・
というかcomだけでほぼ95%を占めていますから、怪しい葉っぱは森の中に隠せということなのでしょうか。

----------
HURRYの文字が点滅中

----------
ドメインの所有者開示の話 #
ICANN、ドメイン所有者を特定できないケースが多発と認める
Draft Report for the Study of the Accuracy of WHOIS Registrant Contact Information

参考：
Public Comment: Draft Report on WHOIS Accuracy
Public Comment: Registration Abuse Addressed


「ICANNだけに遺憾の意で終わりだろ」とか言った友人に何の罰を与えるか検討中


----------
何でもSEO汚染 #
Bloom Box Black SEO
BloomBoxは燃料電池のBloom Energy社の製品で、昨今注目を集めていますが・・

mes_fs9.exe 4/41 (9.76%) 2010.02.22 15:07:17 (UTC)

----------
当然オリンピックも #
News "parasites" on the prowl
Win32/Winwebsec

----------
そしてAmazonも #
Amazon and Greeting cards to distribute malware
Amazon Shop! Your order has been paid! Parcel NR.XXXX (XXXX are random digits)
.exe付きの Greeting Card ってイヤですよね・・・

----------
IPSログとその問題点？ #
New Risks in Penetration Testing
If you attack from home or from a free desk at work, you may find that because of this new Reputation Filtering feature, you've just blacklisted an IP address that you need every day to do "real work". You might be blacklisting your entire company, or even worse, your spouse (from personal experience - you just never want to do this ! ).
自分のPC(会社のISP)使って PortScanなんかやったら、そりゃブラックリストに載るでしょう？（苦笑）

----------
aaaaaaaS #
Not Every Cloud has a Silver Lining
Defining Clouds - " A Cloud by any Other Name Would be a Lot Less Confusing" の続き

私なんか未だに「プライベート・クラウド」なるものの定義がわかりませんよ～

参考：
CaaS、MaaS

----------
偽masterCard #
アラートメールにご用心～偽MSのウイルスメール、偽MasterCardのフィッシング

----------
PIT: PDFedit Xpdf #
PDFedit Xpdf Multiple Vulnerabilities 4
Fixed in the CVS repository.

----------
PIT: EasyFTP #
Easy FTP Server v1.7.0.2 CWD Remote BoF
Verified: yes

----------
PITs: Valious Media Player #
今日の Explo.it には多数のメディアプレイヤー系の DoSやらBufferOverflowやらが記載されています。
dos

----------
75% #
75% of organizations suffered a cyber attack

----------
FBI used webcam for spying #
FBI, grand jury now probing high school's webcam spying

----------
Please come in! #
安易な位置情報の公開に警鐘を鳴らす「Please Rob Me」（どうぞ空き巣に入って）

----------
Cn #
112番元素の名称は「Copernicium」に決定

オチになってなかった・・

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	13411	AS16276	02/17 10:35:20	02/23 08:40:06
91.121.24.139	10984	AS16276	02/17 10:35:20	02/23 08:40:06
91.121.172.32	10038	AS16276	02/17 10:35:20	02/23 08:40:06
80.69.74.73	9111	AS20857	02/17 10:35:20	02/23 08:40:06
91.121.108.53	8716	AS16276	02/17 10:35:20	02/23 08:40:06
188.72.211.253	5705	AS28753	02/17 10:35:20	02/23 08:40:06
91.121.221.181	3784	AS16276	02/19 23:30:35	02/23 08:40:06
91.121.7.26	3434	AS16276	02/20 05:50:34	02/23 08:40:06
87.233.139.100	2622	AS15703	02/17 10:35:20	02/23 08:40:06
213.251.164.84	1973	AS16276	02/17 10:35:20	02/23 08:30:19
188.40.118.68	1973	AS24940	02/17 10:35:20	02/23 08:30:19
94.23.199.154	1973	AS16276	02/17 10:35:20	02/23 08:30:19
78.31.107.49	1973	AS24931	02/17 10:35:20	02/23 08:30:19
77.68.44.169	1973	AS15418	02/17 10:35:20	02/23 08:30:19
91.121.180.112	1785	AS16276	02/20 00:30:36	02/23 08:30:19
89.149.244.211	428	AS28753	02/20 08:30:31	02/23 07:40:10
89.110.147.181	581	AS24989	02/17 13:30:59	02/23 04:40:12
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.41.156.236	366	AS6908	02/18 20:00:43	02/22 05:30:51
85.14.202.210	250	AS13301	02/20 04:50:59	02/22 04:31:02
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
92.51.132.101	11	AS20773	02/20 14:50:38	02/20 15:00:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
62.75.218.192	257	AS8972	02/17 12:30:27	02/20 04:40:46
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1266868829 | B | [goog-black-hash 1.51619 update]
| 1266868803 | M | [goog-malware-hash 1.19565 update]
| 311168 | -3077(314245) 減ってる減ってる！
| 1398959 |
EoF

国際友愛の日
エジプトのアブ・シンベル神殿の奥に陽が届く日(※1:37頃)
竹島の日
食器洗い乾燥機の日
猫の日 cuz [にゃー(2)にゃー(2)にゃー(2)] (cute)
おでんの日 cuz [ふー(2)ふー(2)ふー(2)]

----------
はい否定 #
昨日の「中国の２大学が Googleなどの Operation Auroraの拠点になっていた」という話に対して
Chinese schools deny Google cyber-attack links
いともあっさりと否定（笑）
"The report of the New York Times was based simply on an IP address. Given the highly developed network technology today, such a report is neither objective nor balanced."
昨今だと、これは事実でしょうね（もっとも、本当にIP Spoofされていたかどうかも悪魔の証明なのでなんとも・・・）

あんまり近寄ると政治の話になりそうですのでこの辺で・・・

でも微妙に続く
----------
Cyber Shockwave #
Cyber Shockwave
CNNの番組見てないのでなんともいえませんが、大規模インフラを狙ったサイバーテロの特集が組まれていたようで・・・
最近は日本でも流行ってるらしいですね。

あまり騒ぎすぎると FUD になりますし、かといって何も対策しないのは企業・自治体としてどうか？と思われそうです。
このへんの匙加減とか、「何をすれば良いのか」とかは各国によってそのベクトルも様々でしょうから機密保持的になかなか出てこないでしょう（ポンポン出てくるほうが怖い）
FUD化しそうな記事はこっち：
Spike In Power Grid Attacks Likely In Next 12 Months
関連：
基幹インフラの半数以上がサイバー攻撃を経験、McAfeeが調査 -- 2010.01.29
McAfee, Inc. Report Reveals Cyber Coldwar, with Critical Infrastructure Under Constant Cyberattack Causing Widespread Damage

個人的にはこっちのほうが面白かったかな:
「ブラッディ・マンデイ シーズン2」を考察する#01

----------
Xハコ #
Everything you ever wanted to know about Xbox hacking
Hacking and phishing threats that PC users have suffered for years are now becoming part and parcel of the online gaming experience for users of Microsoft's Xbox console.
X箱を持っている人は、"Three-ring circus"という言葉に過剰に反応していましたが（笑）たぶんコレのことでしょう。
高度化し、かつ現金（あるいは仮想マネー）が飛び交い、かつセキュリティの意識の薄い家庭用ゲーム機は、今後益々犯罪者のターゲットになってしまうことでしょう。

遅ればせながら、PaperGhost氏(vitalsecurity.org)、Sunbelt入社おめでとうございます。

----------
TCP/12174 #
TCP Port 12174 Request For Packets
TCP/12174のtarget Senseがハネあがっているようで、注意喚起が出ています。

確証はありませんが、LANDesk関連かもしれませんね。
TCP/9594とTCP/12174に関して妙なログが出ていないかチェックしてみるのも良いでしょう。

Multiple Symantec Alert Management System 2 components Intel LANDesk Common Base Agent (CBA) command execution
SAVCE 10 after applying MR8 patch still vulnurable (Intel LANDesk CBA) -- 2010.01.22

----------
MAEC #
Looking for "more useful" malware information? Help develop the format.
MAEC(Malware Attribute Enumeration and Characterization)
何だろうとおもったら HomeLand Security(つまり米国主導）支援のマルウェア研究機関ですね。（CVE/CWEと同じ系列）
AMTSOとの連携とかは不明ですが、今後の活動に期待します。

----------
なんとなく時間切れ気味

----------
ZeuSとBredolabの境 #
What the Bad Guys Know: We'll Click on ANYTHING!
やってることはどっちも同じですね・・それにしてもオゾマシイ数のURLです。
関連：
Man in the Browser
ZeuS: ‘A Virus Known as Botnet’
この２本はよく読んでおかなきゃ・・・（時間ないっ）

----------
MDL explode #
今日（02/21)のMDLは大量の登録でほとんど爆発状態です。
ZeuS, Koobfaceも多いですが、CUSTOMER.KRYPT.COM(AS35908)とかもあって、まだ解析できてません。
また、ZeuS Trackerさんのほうも、21日付けで大量の登録がありますので、「何かが」起きているのかもしれません。

IDSに妙なものが引っかかったかたは（こっそり）教えてください（笑）

----------
NTP Poizoning #
NICT、日本標準時のNTPサーバーをJPIXに設置
一般ユーザー側は意識している人でもフリーなNTPサーバーを使うことがほとんだろうと。ということを考えるとフリーのntpサーバーをDDoSで落とすとか、偽の時間情報を流すことで簡単に社会的混乱が引き起こされてしまうのではないかと思ってしまうわけです。
NTP汚染とか、そんな話を先週やってたばっかりなので、実にタイムリーでした。

----------
8080 #
改良終了： Stable(?) Ver 0.0.1c

	count	ASN	登録	更新
94.23.11.38	10169	AS16276	02/17 10:35:20	02/22 08:30:46
91.121.24.139	8453	AS16276	02/17 10:35:20	02/22 08:30:46
91.121.172.32	7760	AS16276	02/17 10:35:20	02/22 08:30:46
80.69.74.73	7260	AS20857	02/17 10:35:20	02/22 08:30:46
91.121.108.53	6684	AS16276	02/17 10:35:20	02/22 08:30:46
188.72.211.253	4469	AS28753	02/17 10:35:20	02/22 08:30:46
91.121.221.181	2444	AS16276	02/19 23:30:35	02/22 08:30:46
91.121.7.26	2267	AS16276	02/20 05:50:34	02/22 08:30:46
87.233.139.100	2007	AS15703	02/17 10:35:20	02/22 08:30:46
213.251.164.84	1598	AS16276	02/17 10:35:20	02/22 08:30:46
188.40.118.68	1598	AS24940	02/17 10:35:20	02/22 08:30:46
94.23.199.154	1598	AS16276	02/17 10:35:20	02/22 08:30:46
78.31.107.49	1598	AS24931	02/17 10:35:20	02/22 08:30:46
77.68.44.169	1598	AS15418	02/17 10:35:20	02/22 08:30:46
91.121.180.112	1162	AS16276	02/20 00:30:36	02/22 07:21:06
85.17.58.10	359	AS16265	02/20 06:50:47	02/22 06:40:52
89.149.244.211	279	AS28753	02/20 08:30:31	02/22 06:30:23
78.41.156.236	366	AS6908	02/18 20:00:43	02/22 05:30:51
85.14.202.210	250	AS13301	02/20 04:50:59	02/22 04:31:02
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
89.110.147.181	541	AS24989	02/17 13:30:59	02/21 15:00:48
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
92.51.132.101	11	AS20773	02/20 14:50:38	02/20 15:00:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
62.75.218.192	257	AS8972	02/17 12:30:27	02/20 04:40:46
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1266782420 | B | [goog-black-hash 1.51547 update]
| 1266782402 | M | [goog-malware-hash 1.19541 update]
| 314245 | -4437(318682) 減少中
| 1396412 |

----------
余談 #
この記事書いてる真っ最中に、管理画面の変更が行われたらしく、ぐちゃぐちゃに・・
そしてまた戻るっと・・
何かやるときは、事前に報告して欲しぃなぁ・・

あとWordPressのバージョンもそろそろ・・

EoF

国際母語デー
日刊新聞創刊の日
食糧管理法公布記念日 現行法
漱石の日
ファミリーベーシックv3の発売(1985年) 9,800円

----------
二日酔いの日(for me)
----------
So, just prevent everything
Is "Green IT" Defeating Security?
ノーフォークのNuke事件に関して、CIOが「節電のために電源をOFFにした人だけが感染した」と発言したことに関して。
正確な説明と全体像の提示を行わないと、こういう事態を今後も繰り返すことになるでしょう。

Employees must have the "big picture" to be of any help. Counting on updating our AV program is just is not a viable methodology any more. While it is imperative that we keep doing our jobs by keeping definitions as updated as possible, (and prevent over-ride of security settings), we are still back to the subject of application patching. All the glorious AV definitions in the world will not prevent an employee from making that search that redirects, or opening an attachment that starts the proverbial ball rolling toward weeks of clean-up and bad press via media hype.
対ウィルスソフトの重要性は変わっていませんが、本当にそれが役に立っているのかは微妙なところです。そして、従業員が（表面上は危なくない）陥落サイトにリダイレクトされる危険性を防いではくれません。

やはり逃げ回るしかないのかなぁ・・とか半分諦観している今日この頃。シス管諸氏の悩みのタネは今後も尽きないようです。

----------
TLDcc
The .ru Substitutions for .cn Domains
cnnicの方針変換により、劇的に減少した悪意 .cn ドメインに変わって、.ru が台頭してきたっと・・

もともと、.cnドメインでも中国国内から直接飛んでくる例は（4134とその仲間たちを除いて）減少傾向にありました。最近はロシアの皮を被った、ヨーロッパの悪意サーバ群が異常に活発です。更にロシア以外の、.pl .uk .cz なども増加傾向にあり、vc hn sc io nz gs la といった、見慣れないなドメインも飛んできており、TLDccによって悪意サイトかどうかを判断することは（そもそも元から無理がありましたが）ますます難しくなっています。
悪意サイトのホスティングは、ある意味「仕方が無い」部分もあるかもしれませんが、問題はテイクダウンに対する明確な取り決めや指標がなければ「無視している」と取られてもしかたのないところもあります。
こうした取り決めを標準化するのは各Certの役目・・・のはずですよね？

参考：
ZeuS/zbot - Outlook Web Access利用者を狙うスパム
ドメインは最近の流行にあわせて .pl
ZeuS/zbot - Facebook and Visa の継続
TLDがいろいろバリエーションが変わって、しかも増えています。
vc hn sc io nz gs la
ドメイン取得しやすいレジストラでいろいろ実験しているのかもしれません。

※そういえば ASN を個人で取ってる人がいらっしゃるらしいという話がIRCで盛り上がっていましたが・・
(45679かな・・？)
AS番号リスト (2010/02/20現在)

----------
3322.org
Two Chinese schools implicated in Google Aurora attacks
が、こうなったと・・？
グーグルへのサイバー攻撃「中国２校が発信」　米紙報道

3322.org ってそんなスゴイ存在だったのかぁ・・（苦笑していいものやら）

----------
Hardening Wordpress
WPを使っている方へ
Hack Proof WordPress

----------
Twitter LOL釣り again
Twitterを使っている方へ
Hack Proof WordPress
If you receive a DM asking "LOL is this you," it's not. It's phishing. Don't enter your password!
またか・・

----------
炉
aurora, zeus, phishing, pushdo,rogue domains to block
lots of fake antivirus, aurora, zeus, and botnet domains to block. Sources include google.com safebrowsing, threatexpert.com, hosts-file.net and others:

----------
OSS thru ..?
オープンソースソフトウェア、仕事で開発するプロダクトに使ってる?
「高度情報化社会における情報システム・ソフトウェアの 信頼性及びセキュリティに関する研究会 」
ぐわっ・・・なにこの "bunch of PDFs"は！？

OSSの問題は考えれば考えるほどづつう（変換不能）になりますが、実際には割と何も考えずに使っているような気もします。こういうのって社内や納品先でコンプライアンス（？）の検証とかやるもんなのでしょうかネ？

ただ、（古い）IEやOEを使い続けることが「安全ではない」という認識は少しづつ広まっている気がします。

----------
統一
「そろそろ互換性を持たせてもいいじゃないか?」という規格は?
OSネタは危険なことになりそうなのでスルーしておいて、ウィルス名と電子マネーとUSBとUAとインデント（笑）は統一して欲しいな～

----------
8080
現在改良中：

	count	ASN	登録	更新
94.23.11.38	7297	AS16276	02/17 10:35:20	02/21 10:20:40
91.121.24.139	6380	AS16276	02/17 10:35:20	02/21 10:20:40
80.69.74.73	5750	AS20857	02/17 10:35:20	02/21 10:20:40
91.121.172.32	5422	AS16276	02/17 10:35:20	02/21 10:20:40
91.121.108.53	4836	AS16276	02/17 10:35:20	02/21 10:20:40
188.72.211.253	3485	AS28753	02/17 10:35:20	02/21 10:20:40
91.121.221.181	1628	AS16276	02/19 23:30:35	02/21 10:20:40
87.233.139.100	1481	AS15703	02/17 10:35:20	02/21 10:20:40
91.121.7.26	1314	AS16276	02/20 05:50:34	02/21 10:20:40
213.251.164.84	1223	AS16276	02/17 10:35:20	02/21 10:20:40
188.40.118.68	1223	AS24940	02/17 10:35:20	02/21 10:20:40
94.23.199.154	1223	AS16276	02/17 10:35:20	02/21 10:20:40
78.31.107.49	1223	AS24931	02/17 10:35:20	02/21 10:20:40
77.68.44.169	1223	AS15418	02/17 10:35:20	02/21 10:20:40
91.121.180.112	1036	AS16276	02/20 00:30:36	02/21 09:30:43
85.17.58.10	185	AS16265	02/20 06:50:47	02/21 07:40:34
89.149.244.211	108	AS28753	02/20 08:30:31	02/21 06:30:27
78.41.156.236	107	AS6908	02/18 20:00:43	02/21 03:00:40
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
85.14.202.210	37	AS13301	02/20 04:50:59	02/20 23:30:33
88.80.221.41	335	AS39023	02/18 06:40:49	02/20 22:40:41
92.51.132.101	11	AS20773	02/20 14:50:38	02/20 15:00:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
62.75.218.192	257	AS8972	02/17 12:30:27	02/20 04:40:46
78.46.46.3	16	AS24940	02/20 04:30:27	02/20 04:40:46
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
89.110.147.181	534	AS24989	02/17 13:30:59	02/20 02:40:53
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

テーブル構成まで自動化できるようになったので楽になりました（笑）
今後 50IPを増えたらどうするか考えることにします

追記：
Tさんへ

追記2：
以下のドメインを検索対象から除外します。
ampsguide・ru
burkewebservices・ru
carswebnet・ru
easylifedirect・ru
freeprosports・ru
funwebmail・ru
guidebat・ru
homeproair・ru
homesaleplus・ru
lagworld・ru
suesite・ru
superaguide・ru
theatticsale・ru
theaworld・ru
thechocolateweb・ru
thelaceweb・ru
themobilewindow・ru
themobisite・ru
viewhomesale・ru
webdesktopnet・ru
webdirectbroker・ru
webnetenglish・ru
webnetloans・ru
whosaleonline・ru
worldsouth・ru
worldwebworld・ru

現在の検索対象：
avattop・ru
authentictype・ru
biltop・ru
cobalttrueblue・ru
cometruestar・ru
counterbest・ru
gametopsite・ru
genuinecolors・ru
genuinehollywood・ru
livesitedesign・ru
newusaguide・ru
recentmexico・ru
sitemape・ru
superhighest・ru
supertruelife・ru
theantimatrix・ru
thetruehelp・ru
toplinemarine・ru
truelifefamily・ru
truesoulonline・ru
trueworldmedia・ru
xxlwebhost・ru
yourauthentic・ru
yourtruecrime・ru
yourtruegame・ru
yourtruemate・ru

----------
Google Safe Browsing
| 1266714021 | B | [goog-black-hash 1.51490 update]
| 1266714003 | M | [goog-malware-hash 1.19522 update]
| 318682 | -5681(324363) テイクダウン開始！
| 1394754 |
EoF

旅券の日
愛媛県政発足記念日
交通事故死ゼロを目指す日
歌舞伎の日
普通選挙の日
アレルギーの日

----------
Firefox 3.6 built on cemetery
さて・・・
Zero day exploit for Firefox 3.6
昨日、注意喚起した話ですが、どうやらかなりややこしい事態になっているようです。
Exploit for zero-day vuln in Firefox is for sale
The Intevydis site says: “Exploitation frameworks are not new on the market, but only we may offer you hundreds of CANVAS modules for unpatched and unknown vulnerabilities in highly popular software products.”
という感じで、脆弱性情報を得たければ、プロダクツ（CANVAS modules）を買えと、半ば脅迫ともとれる行動に出ているようです。
なんだかなぁ・・

Firefox 3.6 "0day" - trying to find more info (and more "0day") -- extraexploit
によれば、2/12-2/13に、これによるのではないか？と推測されるクラッシュレポートが出ているそうです。

現状まだ、「ゼロデイ・アタック」が開始されているわけではなく、あくまでも Possible(可能性）の段階ですが、ヒープクラッシュがどのようにして引き起こされるのか不明ですので、要注意です。
FUDっぽい気もしないでもないんですが、どう転ぶかはわかりません。
特定のサイトで、Firefoxがクラッシュする場合、そのサイトには近寄らず、Mozilla Foundation にその状況をレポートしてみてください。

----------
Knebor the Alternative ZeuS
これも、昨日の "Hilary Kneber"の続報ですが
NetWitness Discovers Massive ZeuS Compromise
Its analysts have discovered a dangerous new ZeuS botnet affecting 75,000 systems in 2,500 organizations around the world. The newly-discovered infestation, dubbed the "Kneber botnet" after the username linking the infected systems worldwide, gathers login credentials to online financial systems, social networking sites and email systems from infested computers and reports the information to miscreants who can use it to break into accounts, steal corporate and government information, and replicate personal, online and financial identities.
潜伏しすぎだろ！と思ったりするんですが、そんなにルートキットが流行してるんでしょうか？

The Kneber botnet - FAQ
Researchers from NetWitness found just 1972 digital certificates, and over 68,000 stolen credentials over a period of 4 days.
どうやって集計してるんでしょうね・・・
陥落しているPCのOSは圧倒的に XP が多いですが、一部に Vista も含まれています。

Scansafeから、Malicious IP/Domainリストが出ています（復活感謝！）
Zeus "Kneber" Botnet Cache Discovered
Googleセンセイに尋ねた結果
あまり芳しくないですね・・

とりあえず現時点でできることは、DbD攻撃に対する防護を整え、できる限り最新のOS/Browserを使用することです。
※Firefox 3.6 は現在アレなんですが・・・

Kneber: Another bot yet?
Just what is this botnet called Kneber?
ZeuS: ‘A Virus Known as Botnet’
From where I sit, security stories that lack appropriate context tend to ring hollow, and squander important opportunities to raise awareness on the size, scope and real-world impact of these threats.
総合的な視点とか言われても、話が大きすぎるのでなんとも・・・

----------
Adobeのダウンロードマネージャー
Adobe Download Manager issue
Adobe is aware of the recently posted report of a remote code execution vulnerability in the Adobe Download Manager.
まず穴を掘る、その穴を埋めるために、別の穴を掘る(*repeated)

Skeletons in Adobe's security closet -- Aviv Raff On .NET
And yes, you do get a big dialog box when you are forced to download the software. Like this will really matter to the attacker, when all he wants is to get his malicious software on your machine.
Skeletons in Adobe's security closet
0day vuln in Adobe Download Manager disclosed
yEr PwNeD!!!!

*shrug*

続く
----------
Adobeの穴は本当に塞がれたのか？
Adobe Reader and The Unspecified Vulnerability
今回の Reader 9.3.1 の穴は CVE-2010-0188 として非公開処理されており、その詳細は公開されていません。
Adobe Acrobat and Reader CVE-2010-0188 Unspecified Remote Code Execution Vulnerability

Secuniaで独自に解析した結果、その"AcroForm.api"の修正にかかわるコーディングは、オープンソースのlibtiffライブラリに関連するものとされ、TIFFイメージのパーシング処理の際に呼び出されるものとされています。
この libtiff の修正が行われたのは、Secunia Advisory SA21304 の際で、それは 2006年の話です。
尚、TIFFベースのスタックオーバーフローは、CVE-2006-3459として、Reader 9.3.0でもコード実行可能だったと指摘しており、その因果関係を示唆しています。
Soon after the finding, a TIFF file exploiting the stack-based buffer overflow registered under CVE-2006-3459 was internally developed and confirmed to allow code execution in Adobe Reader version 9.3.0.
※[APSB10-02] Security updates available for Adobe Reader and Acrobatには該当CVEは無し。

「こまかいことはいいんだよ～」・・かなぁ？

----------
Deep Insight
恒例、FireEyeのシリーズです
Man in the Browser
ブラウザーの「中の人」ってイヤな存在ですよね・・

----------
8080 Deep Research
インジェクション 8080のアクセス制御？ 2
初回アクセスから117時間は0byte応答
その後252時間スクリプトがダウンロード可能に。
お・・お疲れ様ですっ

しかしこれ、ここまでアクセス制御しても引っかかる人が多発してるって何なんでしょうね・・・

ad72・net as 68.178.254.1
　via AS26496(PAH-GoDaddy)
gazrossii・ru as 195.208.0.4
　via AS25535(RUCENTER)
wam.co・id as 67.215.237.42
　via AS22298(SPNW)
なんですかこの co.id() って（笑）

----------
Pidgin
version 2.6.6 (02/18/2010)

----------
WordPress DOWN
WordPress.com 停止で、本誌および1019万9999ヶ所のブログがダウン
データセンター業者の一社が主要ルーターに予定外の変更を加えた結果、ネットワークに当社がこれまで経験したことのない問題が起こり、サイトが破壊された
あ～あ～

----------
Flash Cooooookie
Adobe Flash Player 10.1、クッキーを残さない「プライベートブラウジングモード」をサポート

関連・・？
Jobs曰く「FlashはiPadを殺す」…もっと現実的になったほうがよいのでは？
(笑)

----------
8080

現在改良中：

	count	ASN	登録	更新
94.23.11.38	4453	AS16276	02/17 10:35:20	02/20 09:10:44
80.69.74.73	4363	AS20857	02/17 10:35:20	02/20 09:10:44
91.121.24.139	4270	AS16276	02/17 10:35:20	02/20 09:10:44
91.121.172.32	3078	AS16276	02/17 10:35:20	02/20 09:10:44
91.121.108.53	2849	AS16276	02/17 10:35:20	02/20 09:10:44
188.72.211.253	2548	AS28753	02/17 10:35:20	02/20 09:10:44
87.233.139.100	1031	AS15703	02/17 10:35:20	02/20 09:10:44
213.251.164.84	847	AS16276	02/17 10:35:20	02/20 09:10:44
188.40.118.68	847	AS24940	02/17 10:35:20	02/20 09:10:44
94.23.199.154	847	AS16276	02/17 10:35:20	02/20 09:10:44
78.31.107.49	847	AS24931	02/17 10:35:20	02/20 09:10:44
77.68.44.169	847	AS15418	02/17 10:35:20	02/20 09:10:44
91.121.180.112	426	AS16276	02/20 00:30:36	02/20 09:10:44
91.121.221.181	380	AS16276	02/19 23:30:35	02/20 09:10:44
91.121.7.26	165	AS16276	02/20 05:50:34	02/20 09:10:44
89.149.244.211	17	AS28753	02/20 08:30:31	02/20 08:40:41
85.17.58.10	49	AS16265	02/20 06:50:47	02/20 08:30:31
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
88.80.221.41	314	AS39023	02/18 06:40:49	02/20 06:00:37
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
78.41.156.236	46	AS6908	02/18 20:00:43	02/20 05:20:33
87.106.247.193	25	AS8560	02/17 19:40:50	02/20 04:50:59
62.75.218.192	257	AS8972	02/17 12:30:27	02/20 04:40:46
78.46.46.3	16	AS24940	02/20 04:30:27	02/20 04:40:46
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
89.110.147.181	534	AS24989	02/17 13:30:59	02/20 02:40:53
84.200.227.144	269	AS31400	02/17 12:30:27	02/19 23:20:44
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
91.204.116.79	7	AS44976	02/20 04:50:59	---
88.191.63.28	7	AS12322	02/20 04:50:59	---
85.14.202.210	7	AS13301	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---

毎日コレが載るの、ウットオシクないですか？

----------
Google Safe Browsing
| 1266609629 | B | [goog-black-hash 1.51403 update]
| 1266609602 | M | [goog-malware-hash 1.19493 update]
| 324363 | -2399(326762) ちょっと減りました
| 1390933 |

※メールの匿名希望の方へのお返事
この部分は Google Safe Browsing のレポートで、３行目が「現在」悪意ドメインとしてブラックリストされているドメインの総数、４行目は現在までに１回でも登録されたことのあるドメインの数です。

EoF