Archive for 3 月 20th, 2010

2010.03.20 土曜日

Posted in security on 3 月 20th, 2010 by gnome

春分 UTC: 3月20日 17:32 (JST: AM2:32)
上野動物園開園記念日
1882年(明治15 年)、恩賜上野動物園開園。同時に東京国立博物館も開館した。
LPレコードの日
1951年、日本コロムビアから日本で初めてLP レコードが発売される。LPはLong Play の略称。
地下鉄サリン事件
1995年、東京都の地下鉄でカルト団体のオウム真理教が起こした化学兵器を使用した無差別テロ事件である。都会の民間人をターゲットとした世界初の毒ガステロ事件であり、日本の社会のみならず世界に大きな衝撃を与えた。13人が死亡、5,510人が重軽傷。
忘れられない「地下鉄サリン事件」

----------
March 30 #
いつもなら、脆弱性が発表されるとすぐに手を打つ Mozilla ですが、今回はアレですね・・
Update on Secunia Advisory SA38608
Mozilla was contacted by Evgeny Legerov, the security researcher who discovered the bug referenced in the Secunia report, with sufficient details to reproduce and analyze the issue. The vulnerability was determined to be critical and could result in remote code execution by an attacker.
というわけで、懸案のSA38608 の何だかよくわからない(HOAX?)脆弱性が検証されたようです。
Mozilla Firefox Unspecified Code Execution Vulnerability 4
Nightly(B3)には既に入っていますが、10日も放置すると宣言しているのは、お察しくださいということなのでしょうか?

ちなみに、この脆弱性を「発見」したとされるintevydis はblog を閉鎖して雲隠れ中。Immunity の公式コミュニティも停滞中です。

一方、Secunia 側は皮肉ったBlog をPost しています
Mozilla To Fix Vulnerability Claimed To Be Fake...
but Mozilla has now fixed this vulnerability in their Beta build and it will also be included in the upcoming version 3.6.2.

こうした問題は、脆弱性を「発見」したリサーチャのビジネスモデルに左右されるものなのでしょうか?
How he designs his business model or whether or not he chooses to adhere to "responsible" disclosure is not something for us to judge.
少なくとも、指標4を発表する以上、Secunia 内部で再現可能かどうかチェックして欲しかったですね~

まぁ、細かいことは忘れて今後もがんばっていきましょう(一本締め!)

Firefox zero-day fix set up for 30 March release
Attack code for Firefox zero-day goes wild, says researcher(18th Feb)

Firefox 3.6.x - 0 day for document.write - yet another March 3

----------
CA #
CA Releases Updates for ARCserve Backup
US-certから何かでてます。

CA20100318-01: Security Notice for CA ARCserve Backup
ARCserve Backupにバンドルされている JREが古い(r12.5, r12.0 及び r11.5)ままなので、そのままだと様々な脆弱性を潜在的に抱え込むことになるということです。既にライフサイクルの終了を迎えており、使用し続けることは高リスクです。

CA ARCserve Backup JRE Multiple Vulnerabilities 4
CA updates ARCserve Backup

CA 製品は日本国内ではあまり見かけませんが、US では大企業に導入されていることが多いです。

----------
Drupal #
昨日忘れてました
Security updates for Drupal modules
日本でも導入事例が徐々に増えつつあるOSS のCMS 、Drupal ですが、複数のセキュリティFix のパッチが出ています。
数が多いので、現在導入されているコンポネンツとの互換に注意して適用してください。

Email Input Filter - Arbitrary code execution
Drupal Email Input Filter Module PHP Code Execution Vulnerability 4
Tag Order - Cross Site Scripting
Drupal Tag Order Module Script Insertion Vulnerability 2
Keys - Cross-site Request Forgery
Drupal Keys Module Cross-Site Reques Forgery Vulnerability 2

----------
悪意ISPは遮断できるか? #
難しい命題ですね。
Dancho Danchev氏と、ウィーン工科大のThorsten Holz氏(honeyblog)とのQ&A (4ページもあって長いですが・・)
The current state of the crimeware threat - Q&A
読んでたら時間無くなりそうなので、あとで読もうっと(といって積まれていく)
※Troyakの話は3ページ以降

関連:
Naming and Shaming ‘Bad’ ISPs
ThePlanet’s Yvonne Donaldson declined to discuss FIRE numbers, the abuse longevity claims, or the company’s prevalence on eight out of ten of the reputation lists that flagged it as problematic. In a statement e-mailed to Krebs on Security, she said only that the company takes security very seriously, and that it takes action against customers that violate its acceptable use policies.
FIRE: FInding RoguE Networks
つまり確信犯だと・・・
それにしても、どっかでみたようなISPが一杯並んでいますねぇ(苦笑)

Should major ISPs join the fight against botnets?

----------
skipfish #
帝國の新サービス
Meet skipfish, our automated web security scanner
skipfish
web application security scanner
あとで試してみようっと

Google Releases Skipfish Application Security Scanner
The free scanner is designed to work within a variety of existing Web application frameworks and is built with an emphasis on speed and low false-positives, the company said.

----------
Malware in SmartPhone #
As Many as 3,000 Vodafone Memory Cards Infected by Malware
事態がどうなってるのかちっとも判りませぬ。

Memory Cards of 3,000 Phones Infected By Malware

----------
Dancho Danchev氏のレポート読んでたらタイムオーバー(英語長文は辛い・・)

----------
Other #

Beyond the Initial Compromise
陥落の連鎖(NTLM lv1とか使わないでくださいね)
CVE-2010-0231

強いパスワードを作るコツ
↓強くしないとこうなっちゃうぞ~?
ディーラーのシステムへ不正侵入、車100台を動けなくした元従業員を逮捕
このシステムはディーラーが販売した車に小さなボックスを取り付けて、遠隔操作でエンジンに点火できなくしたり、警笛を鳴らしたりできる仕組みになっていた。
怖いシステム・・

ネットの風評を“良き”流れに転換する方法
へ~(としかいえない・・

Google、『Nexus One』の商標登録申請が却下される
帝國の取る次の手は?
あと、ブレラン原作者の遺族はこの会社も訴えるべきですよね~

ネットの「名誉棄損」有罪確定:最高裁が個人の書き込みに初判断示す
背景がよく解説されています。さすが so-netさん
個人ユーザーの書き込みにも、マスコミ報道や出版と同等の事実確認が不可欠とする判決には、賛否両論があるだろう。ネットに行き過ぎた中傷が蔓延していることは確かだが、ネットならではの個人の本音の書き込みが社会悪を撃つ力となってきたことも否定できない。行き過ぎた中傷を諌める力と、自由な言論を委縮させる力と。どちらもありえることを念頭に、この判例が及ぼす影響に注目していきたい。

アメブロ個人情報流出:不正アクセス容疑でホリプロ元契約社員を逮捕
というか、xlsで生パスワードを保管してた会社の責任はどうなんでしょう?

I Know What Your Office Equipment Did Last Summer...
怖い・・・
最近の多機能コピー機に何が詰まってるのか?とかチェックしないとダメ?
via High-tech copy machines a gold mine for data thieves

Malicious Code Evolution from IE Zero-Day Exploit Code
CVE-2010-0806と、エスカレートし放題の難読化技術の解説。.jpg にスクリプトを埋める方法は、以前にもありましたね。

Lock, stock and two smoking Trojans: bank robbery in the 21st century
There was nothing new about the technique, but we did clock something else that was quite unexpected: while monitoring the Bredolab Trojan, we noticed that it was showing a rather unhealthy interest in the HLM\Software\BIFIT registry key. This key contains information about any programs installed on the computer that are used for online transactions and was developed by a company called BIFIT. A malicious program, which shows up as Trojan-Banker.Win32.Fibbit.a, was subsequently installed on the infected computer during the next update from botnet HQ.
Bredolab系の情報蒐集先まで解析できてるのかな? この名指しされた会社との関連がいまいちわかりませんが・・・

Googleと Intelとソニー、Google TVを共同開発か
Google TVの発表で、Apple TVが「趣味」以上になる
帝國の野望

Google’s Pacific submarine cable "Unity" nearly complete
帝國はどこまでやれば気が済むのでしょう?(苦笑)
千倉に通してくれたことに感謝すべきなのでしょうが

Confickerワームの検知状況(2009年4 月~2010年2月)
漸減中
今後、Confickerワームの感染ノードは順調に減少し絶滅に至るのか、 あるいはSlammerワームなどと同じく完全な収束には至らず、永くインターネットに遍在することになるのか、引き続き注視してまいります。
残念ながら、一度拡散したウィルス(特にワーム)はなかなか駆逐できないのです・・・
via Allaple の作者に判決

Viacom vs 帝國
YouTube、Viacom が自作自演と主張―「自分で密かに番組をアップした後でわれわれを訴えた」
訴訟文書の公開でYouTube買収の詳細明らかに―共同ファウンダー、Chad Hurleyの取り分は3億3400万ドル
訴訟文書って隠し事できませんからね~

Radiko
IPサイマルラジオ「radiko.jp」が示すラジオ業界の課題
おかげで大阪近辺の交通事情に詳しくなりました(苦笑)

----------
Share #
ウイルス入りエロゲームで個人情報流出祭り
あ~あ~あ~

これかな?
setup.exe
2010.03.20 00:28:56 (UTC) 1/41 (2.44%)
Symantec 20091.2.0.41 2010.03.20 Suspicious.Insight
Symantec以外は華麗にスルー(笑)

setup.exe
2010.03.20 10:43:29 (UTC) 1/41 (2.44%)
JST 19:45現在、まだ Nortonセンセのみ

MySpace は、特に音楽系に特化してたコミュニティで、インディーズレーベルのアーティストが盛んに自曲を公開してた頃は、かなりヒットがあったはずですが、最近はどうなんでしょうか?

----------
8080 #
countASN登録更新
91.121.108.53111132 AS16276 02/17 10:35:2003/20 09:50:22
91.121.160.21742445 AS16276 03/12 19:40:1503/20 09:50:22
91.121.180.5515915 AS16276 03/13 01:10:1603/20 09:50:22
91.121.137.12414339 AS16276 03/17 23:50:2503/20 09:50:22
94.75.229.7214293 AS16265 03/18 01:10:2603/20 09:50:22
94.23.13.654613 AS16276 03/16 22:10:2403/20 09:50:22
188.165.192.10655 AS16276 03/20 09:40:2803/20 09:50:22
91.121.163.21529675 AS16276 03/12 18:10:1703/20 09:40:28
94.23.12.62544 AS16276 03/20 06:40:2603/20 09:40:28
91.121.64.21425866 AS16276 03/12 07:40:3003/20 09:10:33
93.89.80.1173062 AS39326 03/15 13:10:3103/20 09:10:33
194.150.236.199288 AS44976 03/15 07:40:3803/20 08:40:27
91.121.7.2677209 AS16276 02/20 05:50:3403/20 08:10:36
91.121.108.38288 AS16276 03/20 06:10:3603/20 08:10:36
91.121.184.16722687 AS16276 03/12 17:40:1503/20 07:40:29
91.121.85.1789026 AS16276 03/15 00:10:3403/20 06:10:36
91.121.134.588335 AS16276 03/16 10:40:2803/20 06:10:36
91.121.24.13991851 AS16276 02/17 10:35:2003/20 05:40:33
91.121.113.1841148 AS16276 03/17 03:10:4103/20 03:10:37
94.23.231.140922 AS16276 03/16 20:40:3403/20 01:40:32
91.121.121.2271660 AS16276 03/17 20:10:2103/19 23:00:23
78.41.156.23613443 AS6908 02/18 20:00:4303/19 14:00:19
91.204.116.1145900 AS44976 02/24 23:30:0703/19 05:40:32
91.121.155.20453 AS16276 03/17 21:10:2203/18 00:10:36
188.40.113.20119 AS24940 03/17 20:40:2703/17 21:10:22
82.98.193.21124917 AS8455 03/13 23:40:2303/17 18:00:30
62.75.218.19250024 AS8972 02/17 12:30:2703/17 08:10:34
85.197.78.2179 AS25220 03/17 06:10:3303/17 06:40:26
193.138.206.56286 AS35470 03/16 22:40:4703/17 02:40:49
85.17.137.935768 AS16265 03/16 05:40:3403/17 01:40:37
91.121.147.1634656 AS16276 03/12 08:10:2703/17 01:00:23
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 4日経過:[59]IPs

2つIPが追加されましたが、いつもの OVH です。

さらに1個追加されましたが、やっぱり OVH です。

追加された IP : 188.165.192.106をちょっと調べてみると・・
http:// (Port 80) で叩くと
HTTP/1.1 200 OK
Date: Sat, 20 Mar 2010 01:21:02 GMT
Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch Phusion_Passenger/2.2.9
Last-Modified: Sat, 24 Oct 2009 10:34:35 GMT
という形で「見た目はまともなサイト」に接続しますが、

:8080
をつけて叩くと・・
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 20 Mar 2010 01:21:48 GMT
Content-Type: text/plain
Connection: close

何かが居るっ!(苦笑)

このVPSのオーナーが感染してしまったのか、そもそも管理パスワードが漏れてるのかはわかりませんが・・・

----------
Google Safe Browsing #
| 1269043205 | B | [goog-black-hash 1.53432 update]
| 1269043201 | M | [goog-malware-hash 1.20166 update]
| 301384 | +1095(300289) 微増
| 1507917 |
EoF

Leave A Comment »

ホットワード padding margin 土曜日 春分 上野動物園
割引クーポンまとめ情報 - クー割