UnderForge of Lack http://www3.atword.jp/gnome R.I.P Security, just prevent everything Sat, 08 May 2010 23:02:15 +0000 http://wordpress.org/?v=2.6 en 移転のご案内 http://www3.atword.jp/gnome/2010/04/09/we-are-moved/ http://www3.atword.jp/gnome/2010/04/09/we-are-moved/#comments Fri, 09 Apr 2010 00:53:04 +0000 gnome http://www3.atword.jp/gnome/?p=8120 移転いたしました

http://www.underforge.net/

ブックマーク等で飛んでこられる方は、お手数ですが URL の変更をお願い致します。


それから、atwordさん。これまでのあいだ、ありがとうございました。
感謝しています。


---------------------
We've moved to new realm.

Please change your bookmark a.k.a Gravestone following...
http://www.underforge.net/

Okie, I and other stuff won't be stay here anymore, however here won't decay unless provider decide to delete.

Many thanks to ATWORD for admit us use here that completely free.

And farewell !

]]> http://www3.atword.jp/gnome/2010/04/09/we-are-moved/feed/ 移転先トラブルのお詫び http://www3.atword.jp/gnome/2010/04/09/apologize-wwwunderforgenet-dead/ http://www3.atword.jp/gnome/2010/04/09/apologize-wwwunderforgenet-dead/#comments Thu, 08 Apr 2010 23:00:55 +0000 gnome http://www3.atword.jp/gnome/?p=8124 ごめんなさい
iptablesが動いてないかどうかチェックしてて
iptables -F を撃ってしまいました(泣)

ALL packet DROP になっているので誰も入れません
現在修復の依頼中ですが、最悪、再移転の可能性もあります。

現在復旧しております。

この記事は1個下げておきます。

]]> http://www3.atword.jp/gnome/2010/04/09/apologize-wwwunderforgenet-dead/feed/ バレタ・・ http://www3.atword.jp/gnome/2010/04/08/woot-please-not-expose-until-dns-should-be-stabled/ http://www3.atword.jp/gnome/2010/04/08/woot-please-not-expose-until-dns-should-be-stabled/#comments Thu, 08 Apr 2010 12:39:59 +0000 gnome http://www3.atword.jp/gnome/?p=8115
既に、一部にバレているようですが、移転作業中です。

が・・何か DNS がおかしくて、一部の環境下(というか私だけ?)で A レコードが明後日の方向に向いてしまう病気が治りません。

どなたか、お名前.com の dns1.onamae.com でハマった経験をお持ちの方は対処方法を教えてください m(_ _)m

;; AUTHORITY SECTION:
underforge.net. 66485 IN NS dns2.onamae.com.
underforge.net. 66485 IN NS dns1.onamae.com.

ぐお~
TTL長すぎなんだよぉぉぉぉ~(号泣


あと、これまでお世話になりました atword にお礼申し上げます。
が!
exportがどうしても出来ませんので、過去ログはここに残して移転することになりそうです。
これまで1年間以上の間、ありがとうございました m(_ _)m

]]> http://www3.atword.jp/gnome/2010/04/08/woot-please-not-expose-until-dns-should-be-stabled/feed/ 2010.04.08 木曜日 http://www3.atword.jp/gnome/2010/04/08/apr-8-2010-thu/ http://www3.atword.jp/gnome/2010/04/08/apr-8-2010-thu/#comments Thu, 08 Apr 2010 00:20:10 +0000 gnome http://www3.atword.jp/gnome/?p=8105
灌仏会(花祭り,仏生会,浴仏会)
釈迦が旧暦の四月八日に生まれたという伝承に由来。
忠犬ハチ公の日
忠犬ハチ公銅像及び秋田犬群像維持会が制定。
でじたる渋谷●渋谷今昔物語…ハチ公のおはなし
ヴィーナスの日
1820年、エーゲ海メロス島の農夫が『ミロのヴィーナス』を発見。
参考書の日
学習書協会が、参考書の大切さを知ってもらおうと1984年に設定。花祭りの日であり、全国的に入学式が多いこの日が選ばれた。
タイヤの日
4月は春の全国交通安全運動が行われる月であり、8がタイヤをイメージさせることから。

----------
/Launch #
昨日の、Adobe Readerの「信頼性管理マネージャ」ですが、Adobeも公式にOFFにすることを薦めています。
PDF "/Launch" Social Engineering Attack
As we investigate this, users can use the following method to further mitigate against this risk.
こんな辺鄙なblogでではなくて、公式に書くかデフォルトでOFFにして欲しいものですが・・・

we are therefore always listening to and evaluating ways to allow end-users and administrators to better manage and configure features like this one to mitigate potential associated risks.
ふ~ん(AA略

ちなみに、レジストリによる設定も可能のようですので、システムポリシーやGPOに精通している方は、一括変更が可能・・かもしれません
3.システム・ポリシー(2)
※ポリシーエディットは苦手・・・
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals
Name: bSecureOpenFile
Type: REG_DWORD
Data: 1
この設定なら、グレイアウトになっていいかも

Adobe Releases Guidance for Launch Functionality Mitigation in Acrobat and Reader
Adobe suggests workaround for PDF embedded executable hack
Adobe issues official workaround for PDF vulnerability
Adobe mulls changes to close hole in PDF apps
But it won't close the hole completely, he said. A separate PDF specification that allows applications to keep track of revisions could still be used to inject harmful code into PDFs using other types of programs.
完璧なんか無いです!

PDF の設計を利用し、任意のコードを実行する方法公表される
Re:この機能の有用性はどこにあるの?
「実的な意味で有用な使い方」と仰いますが、例えばExcelにVBAマクロは不要ですか?
まぁ、要らない人は要らないんでしょうけど、恐らく世間一般においては、
Excelの需要はマクロの需要とニアリーイコールです。
Excelを開いてマクロが実行できることは、ある程度の認識があると思います。しかし、PDFにペイロードをエンベッドできたり、勝手にJavaScriptを実行してリモートに通信したり、シェルコードを実行できたりすることを認識しているひとが居るでしょうか?
ましてや、それが Web Browserと連動して勝手に動作したら・・・
Excel Macro と同列に比肩する性質のものではないと考えます。

----------
miXSS XSSの新ベクトル? #
Researcher Details New Class Of Cross-Site Scripting Attack
A new type of cross-site scripting (XSS) attack that exploits commonly used network administration tools could be putting users' data at risk, a researcher says.
Tyler Reguly, lead security research engineer at nCircle, today published a white paper outlining a new category of attack called "meta-information XSS" (miXSS), which works differently than other forms of the popular attack method -- and could be difficult to detect.
また新用語がががっ

ネットを監視するツール群が蒐集する、whois, nslookup, DNS query, http request などの情報がストアされているレコードなどが盗み見られたり、JavaScriptのようなスクリプトが含まれる場合、その実行によってXSSが発生してしまう危険性・・という認識でいいのかな?

"The user provides the domain name pointing to the TXT record, while the service resolves the TXT data and displays the data to the user," the paper says. "Since the data contains JavaScript, the returned data is processed, and successful cross-site scripting has occurred."

づつうの種はなかなか消えません。
(このXSSとは関係ありませんが、phpmyadmin のような、既に攻撃に晒されている管理ツールは特に危険です)

----------
KDDI #
「auお客さまサポート」WEB画面における他のお客さま情報の照会について
発生条件としては、お客さまが「auお客さまサポート」にご登録しているau携帯電話回線の契約を、他のお客さまに譲渡した場合であって、譲り受けたお客さまが、4桁からなるau暗証番号を、譲り受ける前に指定されていたau暗証番号と同一番号に指定し、かつ、当該au携帯電話回線の契約を「auお客さまサポート」にご登録していない場合に、本不具合が発生していました。
こんな特殊な条件でも
対象数 2,837件
もあるんですね・・
au暗証番号ってデフォルト 1111 とかなのかな?(笑)

KDDIの「auお客さまサポート」で個人情報が照会できる不具合

----------
逮捕!逮捕!x70 #
Romanian police arrest 70 phishers and fraudsters
Police in Romania have announced that they have arrested 70 people, breaking up three separate gangs involved in organised cybercrime in the process.
すごいな~ルーマニア警察!
RAIDの様子を YouTube で公開(笑)

Police arrest 70 in Romania for Internet fraud
70 Romanian Phishers & Fraudsters Arrested -- garwarner
Police cuff 70 eBay fraud suspects
Scams caused €800,000 losses
額もすごいな~

----------
本、Buzz、また本 #
First Books, then Buzz, then Books again: Google gets sued
Google ってほんとに訴訟されるのが好き(なわけはないか・・)

Photographers to Sue Google Over Book Scanning
"Google has been involved in a massive campaign of unauthorized scanning and public display and distribution of works. A lot of those works are photographs and illustrations and they're doing it without authorization of the copyright owners," said Victor S. Perlman, the ASMP's general counsel and managing director. "I call that infringement."

----------
時間切れ
----------
Other #

Things You Need to Remember About DOWNAD/Conficker
一度拡散してしまった Worm は本当にシツコイ・・

Malware Spoof an Adobe Update and VPSKeys
VPSの鍵!?とか思ったら違った・・ VPSKeys ヴェトナム語のIME・・かな?
関連:「言論封じ込めのマルウェア」は事実無根――ベトナム政府が反論
デジカメのメモリカードで解雇された研究者 (1/2)
via データは消えない――メモリカードやUSBメモリに潜む落とし穴 (1/2)

Antivirus2010 – Multiple “Avatars” in a Single .exe
Avatar's かぁ・・どっちかっていうと SKIN って印象ですが > 多種多様なFakeAV's

The Many Paths to Security Awareness
Security awareness: many levels, many things

Shadows in the Cloud
情報を盗む「サイバースパイ網」、中国に存在か

Internet Café, DirectX, and Online Games
Enjoy playing. Level up!
(苦笑)

クラウド時代のアカウント窃盗
Dreamhost account hacked
読み物として・・
(「クラウド」と強い相関関係があるかは?ですが、だからこそ「cloudy」なのかも・・)

IntelliCom NetBiter デバイスにおけるデフォルトパスワードの問題
IntelliCom が提供する NetBiter デバイスに出荷時に設定されているパスワードは、遠隔の第三者に利用される可能性があります。
また、HICP は、パスワードを平文で通信するため、通信を傍受している第三者によって、パスワードを盗聴される可能性があります。

■03/28(日)~04/03(土) のセキュリティ関連情報

【今週のひとくちメモ】DNS-CERT の設立提案

Security through virtualisation
発想:なんでもかんでも仮想化してやるっ

Microsoft's web privacy push: 'we're the anti-Google'
Responsible by name, unprofitable by nature

MP3ファイルには個人情報の電子透かしあり, クラウドに対するDRMに利用されそう

「radiko」ストリーミングのセキュリティを強化--エリア外聴取を取り締まり
さようなら大阪・・・ちょっと残念(笑)

Spammy Links From Remote Servers

a-squared Free 4.5.0.27 がシステムファイル services.exe をウィルス判定!?
誤検出の可能性大

動画:iPad でスーパーマリオカートをプレイ
エミュ~

iTunes、不正請求問題で消費者庁に再回答
また面白いことに、今回の回答はなぜか英文併記となっています。日本語に不自由な国民のために英文も用意してくれたと考えるか、まずどこかで作られた英文があって日本語に訳しただけと考えるかの判断はお任せします。
そりゃ AJ に回答権は無いから、AJの人が英訳して、それを送って向こうの法務担当が回答したのでは?

----------
ううっ・・昨日 8080 系の ドメインを大量に追加したら 恐ろしいことに・・

----------
8080 #
countASN登録更新
94.23.12.6265010 AS16276 03/20 06:40:2604/08 09:02:04
91.121.137.12455316 AS16276 03/17 23:50:2504/08 09:02:04
94.75.229.7248819 AS16265 03/18 01:10:2604/08 09:02:04
94.23.246.17247481 AS16276 03/22 13:10:3204/08 09:02:04
94.23.235.9344760 AS16276 03/20 10:10:3204/08 09:02:04
195.160.200.3641323 AS44949 04/04 05:30:5804/08 09:02:04
91.121.121.22738548 AS16276 03/17 20:10:2104/08 09:02:04
91.121.117.3738475 AS16276 04/04 04:20:3504/08 09:02:04
91.121.134.5828892 AS16276 03/16 10:40:2804/08 09:02:04
91.121.169.626680 AS16276 04/04 04:20:3504/08 09:02:04
94.23.159.12826496 AS16276 04/04 05:00:4904/08 09:02:04
77.241.93.11424768 AS34762 04/04 13:20:4404/08 09:02:04
94.23.231.14019802 AS16276 03/16 20:40:3404/08 09:02:04
94.23.225.15299 AS16276 04/07 16:41:0804/08 09:02:04
91.121.21.16299 AS16276 04/07 16:41:0804/08 09:02:04
193.138.204.815 AS35470 04/07 17:21:0704/08 09:02:04
146.110.10.755 AS25171 04/07 17:21:0704/08 09:02:04
87.98.137.1975 AS16276 04/07 17:21:0704/08 09:02:04
91.121.160.21772638 AS16276 03/12 19:40:1504/08 08:51:23
91.121.163.21542256 AS16276 03/12 18:10:1704/08 08:51:23
91.121.180.5529017 AS16276 03/13 01:10:1604/08 08:51:23
91.121.8.736690 AS16276 03/22 06:10:2304/08 08:51:23
85.90.233.16689 AS15830 04/07 16:41:0804/08 08:51:23
188.165.52.21789 AS16276 04/07 16:41:0804/08 08:51:23
88.80.221.12989 AS39023 04/07 16:41:0804/08 08:51:23
217.23.7.1125 AS49981 04/07 16:50:5104/07 22:10:54
91.196.127.235 AS8262 04/07 16:50:5104/07 22:10:54
81.89.102.1785 AS35366 04/07 16:50:5104/07 22:10:54
195.160.200.3717955 AS44949 04/04 05:30:5804/06 18:54:05
91.121.204.1454189 AS16276 04/04 08:50:4404/06 18:54:05
62.75.186.2331056 AS8972 04/06 17:50:5204/06 18:54:05
91.121.95.1605207 AS16276 04/04 05:30:5804/06 17:55:06
94.23.26.272612 AS16276 04/04 10:50:4704/06 17:55:06
188.165.196.1824642 AS16276 04/04 05:00:4904/06 17:10:39
91.121.158.132462 AS16276 04/04 08:20:5004/06 17:10:39
91.121.220.1126357 AS16276 04/04 05:00:4904/06 16:10:38
91.121.122.813727 AS16276 04/04 04:20:3504/06 16:10:38
94.23.233.345149 AS16276 04/04 07:00:4804/06 11:51:00
91.121.56.65764 AS16276 04/04 04:20:3504/06 10:50:54
94.23.29.1061109 AS16276 04/04 04:20:3504/06 07:40:42
91.121.113.841163 AS16276 04/04 08:50:4404/06 03:50:55
78.47.110.236133 AS24940 04/06 01:51:0004/06 02:10:46
94.23.208.741261 AS16276 04/05 02:50:4204/06 01:51:00
91.121.66.111680 AS16276 04/04 10:50:4704/05 12:10:34
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[95]IPs

多すぎ!

ちなみに、怪しげなラウンドロビンで巡回しているドメインがあるのですが、
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
X-Powered-By: Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5
Set-Cookie: JSESSIONID=9B38106CA2E506E327437EB8B00769B1; Path=/
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 67
Date: Thu, 08 Apr 2010 00:18:48 GMT
nginxじゃない!?

----------
Google Safe Browsing #
| 1270684824 | B | [goog-black-hash 1.54793 update]
| 1270684802 | M | [goog-malware-hash 1.20614 update]
| 331972 | +3518(328454) 33万突破
| 1615406
EoF

]]> http://www3.atword.jp/gnome/2010/04/08/apr-8-2010-thu/feed/ 2010.04.07 入学式 http://www3.atword.jp/gnome/2010/04/07/apr-07-2010-entrance-ceremony/ http://www3.atword.jp/gnome/2010/04/07/apr-07-2010-entrance-ceremony/#comments Wed, 07 Apr 2010 00:16:00 +0000 gnome http://www3.atword.jp/gnome/?p=8087
世界保健デー(World Health Day)
1948年、国連により世界保健機関 (WHO) が設立される。
世界禁煙デー
世界保健機構が1988年4月7日に設立40年をむかえることを記念し、この日を"a world no-smoking day"(世界禁煙デー)とした。尚、その後、毎年5月31日とする決議が採択される。
1 2 3
1994年のルワンダにおけるジェノサイドを考える国際デー(International Day of Reflection on the Genocide in Rwanda)
生神女福音祭東方正教会
カトリック教会受胎告知に相当する。

----------
[WARNING] #

Fighting Malware(MalwareURL)に、なんかいろいろ捕捉されてますね。

検出名 Trojan-Downloader.JS.Pegel.u

8080のKaspersky検出名なのですが、別の攻撃パターンのような感じを受けます。

あと、差し込まれる場所が特殊ですね。

Analysis report for hXXp://pqshow.org/in.cgi?2

時間なかったのであまり見ていませんが、新しいパターンの可能性があります。
MalCodeは いつもの PDF が挙がっていますが、コードを流し読みした感じでは、もっといろいろやってそうな気配ですね。

注意しましょう。

----------
Escape from PPDF #
Update: Escape From PDF
Adobe Reader has a Trust Manager setting to disable opening non-PDF attachments with external applications.
This setting also disables the /Launch action:
な~んだ!あるじゃん!!



というわけで、Adobe Readerの推奨(というか必須)設定がまた増えました。
Foxitに関しては
The interesting thing about this fix is that it breaks my Foxit PoC, but that the Adobe PoC works for Foxit now!
という(笑っちいけないけど・・LOL)状況ですので、現時点では回避不能です。

Adobe suggests workaround for PDF embedded executable hack

ただ、この Worm的動作に関しては別のリサーチャのPoCですので、どうやって防げるかはまだ不明です。
PDF security hole opens can of worms

----------
Java(どっち?) #
Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性
OracleなんだかSunなんだか・・・

Java SE6 update18 は(500個バグがあったとはいえ)一応、セキュリティパッチではなかったため、企業内で導入を見送ったところもあるかもしれません。しかし、今回はセキュリティ修正を含んでいますので注意してください。
署名された Java アプレットを実行することで、遠隔の第三者によって、任意のコードを実行される可能性があります。

電子入札システム推奨クライアント環境について(2010/01/16更新)
2010/01/16 (Java実行環境について)JRE6.0 Update 17での正常動作を確認しました。
農水省は、テストがんばってます

電子入札システムへのログインについて
本システムでは標準としてjre1.5.0_06を推奨しています。これより新しいバージョン(jre1.6.0_16 平成21年10月現在)でも動作を確認しておりますが、以後のバージョンについて動作の保証ができませんので、コントロールパネル→Java→アップデートの「アップデートを自動的にチェック」を必ずOFF(チェックを外す)で使用してください。なお、Javaのバージョンを変更された場合はjava.policyをお使いのバージョンの指定されたフォルダへ移動(コピー)しなければなりません。
探し回ること、30分、ようやくみつけた・・
J2SE 5.0 Update 6 がリリースされました。-- 2005 年 11 月 30 日
化石になってそうなJavaですね・・・

----------
不正規な証明書 #
Removing the RSA Security 1024 V3 Root
The short story is this: we’re removing the “RSA Security 1024 V3″ root from our list of trusted CAs. Its owners have confirmed that it is not in use, and not covered by current audits.
へ?
どこからそんな証明書が紛れ込んだのでしょう?

時間かかったけど、RSAは最終的に、「不要な証明書」だと確認しましたので、削除する方針っと
RSA has since confirmed that this root is no longer needed and can be removed from the product. That clarity, while late, is welcome and confirms our original decision.

We’ve had questions come in about Apple’s inclusion of this root in their keychain system, and their plans for removal, but those are best directed to Apple.
(笑)

Mozilla warns of unknown root certificate authority in Firefox
Mozilla now says that an official at RSA has confirmed that the root CA authority does belong to RSA. Miscommunication drama.
RSA says it fathered orphan credential in Firefox, Mac OS

とり急ぎでもありませんが、恐らく近日中にパッチで削除されるのではないでしょうか?
※証明書そのものが悪用された形跡は今のところありません。

----------
またこの話が再燃 #
GhostNet 2.0 espionage network uses cloud services
ソース:(ScribdのPDF?リーダを動作させないといけないので注意)
SHADOWS IN THE CLOUD: Investigating Cyber Espionage 2.0
This report details a cyber espionage network that targeted compromises against systems belonging to the Indian Government, Tibetan interests to include those in the Dalai Lama's office, and others.
またそっちの話になってるな~

Researchers Trace Data Theft to Intruders in China
Son of GhostNet: China-based hacking targets India government
China denies connection to high-level hacking

----------
がんぶら~ #
飽きた!という方も多いでしょうね、コレ・・
マカフィー、3 月のサイバー脅威の状況を発表
Gumblar(ガンブラー)をはじめとしたDrive by Download 攻撃は3 月に入ってから下火になり、関連する検知名はランク圏外に順位を落としています。しかし、様々なDrive by Download 攻撃は依然存在しており、今後も大規模な攻撃が発生する可能性もあるため、引き続き警戒が必要です。

全然そんな感じしないんですけど、McAfee的な統計はCVE-2010-0806の方が深刻だったのかな?

まだ続くガンブラー改ざん被害、Webサイト管理の再確認を~IPAが呼びかけ
コンピュータウイルス・不正アクセスの届出状況【2010年3月分および第1四半期】
「ガンブラー」の手口によるウェブサイトの改ざんは依然として続いており、いまだに「某ウェブサイトを閲覧したらウイルス検知の警告が表示された」、「顧客からの通報で自社ウェブサイトの改ざんが発覚した」などの相談や届出がIPAへ寄せられています。
なんか、ノリが、「WebPageを見たら1ヶ月で5kg痩せました」って感じにみえるのは疲れてるから・・かな

【インフラストラクチャセキュリティ】Gumblarの再流行(Vol.1)

セキュ会社がいくら必死に対応しても、相手はこんなサービス(15¢)で、掻い潜るだけです。
いたちごっこを止め、根本的な穴を塞ぐことを重点におきましょう。

いつもの6か条に、今日の1個が加わりそうですね。

----------
#
April 5 update – 300 new domains
82movie.com has been delisted; 300 new domains have been added.
Sources: support.clean-mx.de, www.freepcsecurity.co.uk, www.malwareurl.com, and others:
ero-para .jp ・・・なんだこりゃ・・
いつもありがとうございます。

----------
Other #

Application Logs
個々のアプリログまでは見ないかもですね・・
※そもそも Windowsのシステムログって役に立ったためしg(squelcher cut)

「闇サイト」、利用者装い摘発へ 警視庁が専従捜査班
潰すなら徹底的に

Kasperskyのサイトが
http://www.viruslist.com/en/weblog から
http://www.securelist.com/en/weblog へドメイン変更
は、いいんですが、アイコンが黒の抜きなので、そのままだと何がなんだか(笑)

Child abuse frame-up backfires on stalker
ストーカー、女性宅に忍び込み児童ポルノをダウンロードする
この男性は同僚の女性にいたくご執心だった模様。この同僚女性の夫がいなくなれば自分にもチャンスがあると思ったのか、女性宅に忍び込みコンピュータに児童ポルノをダウンロード。ハードディスクを取り外し、女性の夫の所有物として警察に匿名で送り付けたという。
恐ろしい(笑)

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI
Perlだけに珪化してますね(おもしろくない)

Account notification email warning? Don't follow the instructions
XXXXX account notification
「下手な鉄砲も数撃ちゃ当たる」とでも、思ってるのか、異常な数が着弾しています。
hxxp://malware.comain.tld/malware/malware.exe
こんなURLを踏む人ってどんな人なんだろう?とは思いますが・・・

Computer Crooks Steal $100,000 from Ill. Town

e-Banking Guidance for Banks & Businesses

補足的な質問に対する音楽情報サイト運営事業者からの回答について
消費者庁 vs Apple 第4ラウンド

ウイルスバスターのWEB広告のちょっとうさんくさいおっさんは何者ですか?
ウイルスバスターのWEB広告のちょっとうさんくさいおっさんは何者ですか?
一見すると生臭坊主で、パソコンなんてつかってなさそうなおっさん
うははは 私も知りたい!

----------
8080 #
countASN登録更新
94.23.12.6263840 AS16276 03/20 06:40:2604/07 09:10:41
94.23.246.17246234 AS16276 03/22 13:10:3204/07 09:10:41
94.23.235.9344097 AS16276 03/20 10:10:3204/07 09:10:41
91.121.121.22737885 AS16276 03/17 20:10:2104/07 09:10:41
195.160.200.3629637 AS44949 04/04 05:30:5804/07 09:10:41
91.121.117.3726789 AS16276 04/04 04:20:3504/07 09:10:41
94.23.231.14019139 AS16276 03/16 20:40:3404/07 09:10:41
91.121.169.614994 AS16276 04/04 04:20:3504/07 09:10:41
94.23.159.12814810 AS16276 04/04 05:00:4904/07 09:10:41
77.241.93.11413082 AS34762 04/04 13:20:4404/07 09:10:41
91.121.160.21772561 AS16276 03/12 19:40:1504/07 09:00:55
91.121.137.12454809 AS16276 03/17 23:50:2504/07 09:00:55
94.75.229.7248312 AS16265 03/18 01:10:2604/07 09:00:55
91.121.163.21542179 AS16276 03/12 18:10:1704/07 09:00:55
91.121.180.5528940 AS16276 03/13 01:10:1604/07 09:00:55
91.121.134.5828385 AS16276 03/16 10:40:2804/07 09:00:55
91.121.8.736613 AS16276 03/22 06:10:2304/07 09:00:55
195.160.200.3717955 AS44949 04/04 05:30:5804/06 18:54:05
91.121.204.1454189 AS16276 04/04 08:50:4404/06 18:54:05
62.75.186.2331056 AS8972 04/06 17:50:5204/06 18:54:05
91.121.95.1605207 AS16276 04/04 05:30:5804/06 17:55:06
94.23.26.272612 AS16276 04/04 10:50:4704/06 17:55:06
188.165.196.1824642 AS16276 04/04 05:00:4904/06 17:10:39
91.121.158.132462 AS16276 04/04 08:20:5004/06 17:10:39
91.121.220.1126357 AS16276 04/04 05:00:4904/06 16:10:38
91.121.122.813727 AS16276 04/04 04:20:3504/06 16:10:38
94.23.233.345149 AS16276 04/04 07:00:4804/06 11:51:00
91.121.56.65764 AS16276 04/04 04:20:3504/06 10:50:54
94.23.29.1061109 AS16276 04/04 04:20:3504/06 07:40:42
91.121.113.841163 AS16276 04/04 08:50:4404/06 03:50:55
78.47.110.236133 AS24940 04/06 01:51:0004/06 02:10:46
94.23.208.741261 AS16276 04/05 02:50:4204/06 01:51:00
91.121.66.111680 AS16276 04/04 10:50:4704/05 12:10:34
91.121.79.7282 AS16276 04/04 09:50:4604/05 04:20:51
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[94]IPs

とある方にも、ウザイ8080/google レポートを送りました。
きっといまごろウンザリしているはず(笑)

----------
Google Safe Browsing #
| 1270598407 | B | [goog-black-hash 1.54721 update]
| 1270598402 | M | [goog-malware-hash 1.20590 update]
| 328454 | +533(327921) 一向に減らないですね
EoF

]]> http://www3.atword.jp/gnome/2010/04/07/apr-07-2010-entrance-ceremony/feed/ 2010.04.06 火曜日 http://www3.atword.jp/gnome/2010/04/06/apr-06-2010-tue-true/ http://www3.atword.jp/gnome/2010/04/06/apr-06-2010-tue-true/#comments Mon, 05 Apr 2010 23:51:16 +0000 gnome http://www3.atword.jp/gnome/?p=8083
北極の日
1909年、アメリカ海軍の軍人ロバート・ピアリーが、世界で初めて北極点に到達したことから。
コンビーフの日
1875年、コンビーフの台形の缶が特許登録された。
公立学校始業式 さぁ新学期~
寒の戻り特異日 ほんとに寒い
城の日 as 「し(4)ろ(6)」
の日 as 「し(4)ろ(6)」
スタンリー・キューブリック監督の映画『2001年宇宙の旅』がアメリカで公開。(1968年)
「ディスカバリー」が軌道に、打ち上げ成功
まだまだ遠いケド、おめでとうございます。

新聞をヨム日 as 「よ(4)む(6)」
「これを機会に新聞を読み始めませんか」というキャンペーンが行われる。
続く
----------
読まなくなった日 #
日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆
リンクの仕方やページの内容によっては、お断りする場合があります。リンクをお断りするのは次の場合です。
 個別記事へのリンク
以上の項目に違反した場合は、損害賠償を請求することがあります。

なんというか、これが本音なのか、それとも舌禍(フッタ禍)なのか知りませんが、日経系のソースの取り扱いは WSJ並に気をつけないと怖いですね。
ITProソースに関しても、今後は引いておくことにします。
HIRTさんの、週間脆弱性は有用な情報ソースだっただけに残念です。

あれこれ
というか、ドブリンク(DeepLink)がイヤなら、mod_rewriteで強制的にTOPへ飛ばせばいいのに
mod_deny_deeplink.c
MAC(Message Authentication Code) and HMAC

Bye!

セキュリティに復帰:
----------
IPA再警告 #
コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について
「 ウェブサイトの管理方法を再確認しましょう! 」
~ "ガンブラー"による被害はいまだに続いています ~
なんか、ほんとに Gumblar/8080系の話ばっかり(というか、どうみても8080ですが・・)

WEP にはいくつかの欠点が見つかっているため、現状では使用することを推奨しません。
任天堂に言ってください(苦笑)
WEPは一瞬で解読――ニンテンドーDSはどうなる

続く
----------
神戸 #
ホームページのウイルス感染について -- 神戸市
神戸市がサイト運営を委託していた「こうべ環境未来館」のページの一部において、不正なプログラムである「Gumblar(ガンブラー)」による改ざんが確認されました。

ガンブラー:神戸市のサイト、ウイルスに感染 被害拡大疑いも /兵庫 -- 2010年3月14日
via 止まらぬサイト改ざん:訪問の心あたりはありませんか~新規告知サイト22件
なんとなく、同じ委託先なのかなっと・・
最近、個々の陥落先ページを見ることは少なくなったのですが、全Flashのサイトの陥落はヤメてほしいな(苦笑)

あれこれ(再掲)
の陥落のケースなんかも、かなり悲惨(社会的信頼とか)ですね

----------
PDF-worm #
え・・?って感じの映像ですが・・
Are PDF’s Worm-able? -- sudosecure.net
PDF Worm Demo - No JavaScript Required
Using the Launch feature built into the PDF specification we can easily launch an attack from one PDF onto other PDFs. This is a simple POC but could be expanded upon to infect all PDF files on a user's computer.
えーっと・・・JavaScriptがOFFになっているにも拘わらず、最初何も起きなかった PDF を開いた後、Mal-Craftedされた PDFを開き、もう一度何も起きなかった PDF を開くと・・・
いったいぜんたい何がどうなればこんな WORM的動作がおきるのか・・・
Before you ask, no I will not be disclosing the internal code that makes this possible nor will I be sharing out the PDFs within the proof of concept to the general public.
そのほうがいいと思います。

Thanks!

PDF関連:解析のススメ
Matt's Primer for PDF Analysis -- VRT
As part of this effort, we've had to do a very deep dive on the PDF format. I thought it might be useful to share some of what we're seeing come in our data feeds, and what you should look for when reviewing PDF files.

----------
Defence #
Antivirus: Are you covered?
FortiOSのAD的な記事ではありますが、幌馬車の絵が面白かったので(ちょっと長文)
複雑化される暗号化、難読化、通常使われないアーカイバ、一般的でない圧縮技術などを「駆使」して、検出を逃れようとするマルウェアと、その対応のため、シグネチャベースの検出技術は肥大化し、システムに大きな負担を強いています。にもかかわらず、ウィルス・マルウェアの寿命は短命化し、結果的に検出漏れが増大しています。
これは間違いない話ですね~かといってヒューリスティックを強めにすると、誤検知が増えると・・・

FortinetのようなiDCに投入されることの多い IDS/IPS製品は、スピード重視なのか、危険回避重視なのか?といった顧客ニーズに併せた、より細分化されたプロダクツを実装していくことになるのでしょう。

関連?
AV Scans Slowing Down Your Machine? Think Again
使ってるAVScannerもわからないのに(どうみてもKasperskyですがね!)、SSDを褒めればいいのか、なんだかよくわからないな(苦笑)
いや、CrystalDiskMark が、何も説明も無く使われていることを誇るべきなのでしょう!

----------
これは危ないかも #
Spotting the scams
twitpicに貼られたフィッシング誘導の詐欺ですが、かなりやり口が巧妙です。
多言語に対応されたら更に犠牲者が増えそうな予感・・・

----------
PITs #

Zip Unzip Archive Processing Buffer Overflow Vulnerability 3
UNPATCHed - Do not open untrusted archives.
これ関連かどうか、不明ですが、昨日からやたらと Zipアーカイバ系のものが沢山・・
TugZip 3.5
Zip Unzip v6 (.zip) 0day stack buffer overflow PoC exploit
ZipScan 2.2c SEH
ZipCentral (.zip) 0day SEH Exploit
eZip Wizard 3.0 (.zip) SEH

PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
verified: YES
SpotLight入ってます

Foxit Reader 3.2.1.0401 Released
Foxit Reader Embedded Program Execution Vulnerability 4
Update to version 3.2.1.0401.
UScertのレポートに出るようになれば立派なソフトウェアですね(褒めてるのかどうかは?)

Advenced Management For Services Sites Security Bypass 4
UNPATCHed Edit the source code

MassMirror Uploader "MM_ROOT_DIRECTORY" File Inclusion Vulnerabilities 4
UNPATCHed Edit the source code

Uiga Proxy "content" File Inclusion Vulnerability 4
UNPATCHed Edit the source code

Nodesforum Multiple File Inclusion Vulnerabilities 4
UNPATCHed Edit the source code

Unpatched4連弾、いずれもサニタイズミスとかそういうヤツですね

私としてはここに、もう1個加えたいけど・・(例のアレ)

----------
Malware作者用VT #
Virus Scanners for Virus Authors, Part II
Virus Scanners for Virus Authorsの続き
For 15 cents, you can scan your file to see if any potential victim’s anti-virus program will detect it. Or maybe you’re more interested in seeing how well your drive-by download site is flagged by anti-virus products as malicious? Perhaps you want to see whether your site is listed on any of the major spam and anti-malware blacklists? All these checks can be had for $0.15 each.
そりゃ、VTの検出率が(一時的に)悪くなるわけですね・・
そして、マルウェアのライフサイクルが短くなればなるほど儲かる(15¢)

----------
Whool Foods #
ホールフーズ・マーケット:アメリカでは有名なスーパーマーケットですが
Facebook users warned of Whole Foods gift card scam
Whole Foods working to curb Facebook-based scam
ギフトカードあげるから、Facebookのアカウントよこせ!ということですね(苦笑)

日本でも楽天とかでやられるとかなりヤバめなことになりそうです。
自分が意図しない、予期しない、不審な「ログイン画面」が開いたり、ログインを求められたりしたら、まず最初に疑ってかかってください。

----------
Other #

Apple、今週木曜に iPhone OS 4のプレビューイベント開催
さてはて

もはや「ネットは便所の落書き」ではない
ネットの「名誉棄損」有罪確定:最高裁が個人の書き込みに初判断示す
判例化してしまうことへの恐怖感・・かな? so-netさんの記事をみるかぎり、ちょっと特殊なケースな気もしますが、どうなんでしょう?

XXXXX account notification
この手のspamも減りませんね
減らないということは、踏んでる人がいるということなのか?
※PCToolsの検出名: HeurEngine.ZeroDayThreat がちょっとキニなりました・・

UK firms face info security D-Day
英国での「データ保護法(Data Protection Act (DPA)」の違反金額が 50万ポンドに増額

簡単で完璧な阻止率100%のスパム対策の実装について
や~め~て~
朝から笑いすぎました

----------
8080 #
countASN登録更新
94.23.12.6262032 AS16276 03/20 06:40:2604/06 08:30:45
91.121.137.12454004 AS16276 03/17 23:50:2504/06 08:30:45
94.75.229.7247507 AS16265 03/18 01:10:2604/06 08:30:45
94.23.246.17244279 AS16276 03/22 13:10:3204/06 08:30:45
94.23.235.9343094 AS16276 03/20 10:10:3204/06 08:30:45
91.121.121.22736882 AS16276 03/17 20:10:2104/06 08:30:45
91.121.134.5827580 AS16276 03/16 10:40:2804/06 08:30:45
94.23.231.14018136 AS16276 03/16 20:40:3404/06 08:30:45
195.160.200.3615170 AS44949 04/04 05:30:5804/06 08:30:45
195.160.200.3714458 AS44949 04/04 05:30:5804/06 08:30:45
91.121.117.3713529 AS16276 04/04 04:20:3504/06 08:30:45
94.23.233.344690 AS16276 04/04 07:00:4804/06 08:30:45
91.121.169.63986 AS16276 04/04 04:20:3504/06 08:30:45
188.165.196.1824298 AS16276 04/04 05:00:4904/06 08:11:00
94.23.159.1283585 AS16276 04/04 05:00:4904/06 08:11:00
91.121.160.21772414 AS16276 03/12 19:40:1504/06 08:00:49
91.121.163.21542032 AS16276 03/12 18:10:1704/06 08:00:49
91.121.180.5528793 AS16276 03/13 01:10:1604/06 08:00:49
91.121.8.736466 AS16276 03/22 06:10:2304/06 08:00:49
94.23.29.1061109 AS16276 04/04 04:20:3504/06 07:40:42
77.241.93.1142649 AS34762 04/04 13:20:4404/06 07:10:44
91.121.220.1125287 AS16276 04/04 05:00:4904/06 06:51:09
91.121.95.1603915 AS16276 04/04 05:30:5804/06 05:41:11
91.121.204.1452389 AS16276 04/04 08:50:4404/06 04:51:15
91.121.113.841163 AS16276 04/04 08:50:4404/06 03:50:55
91.121.158.131940 AS16276 04/04 08:20:5004/06 02:10:46
94.23.26.271761 AS16276 04/04 10:50:4704/06 02:10:46
78.47.110.236133 AS24940 04/06 01:51:0004/06 02:10:46
94.23.208.741261 AS16276 04/05 02:50:4204/06 01:51:00
91.121.122.812734 AS16276 04/04 04:20:3504/05 22:50:35
91.121.56.65706 AS16276 04/04 04:20:3504/05 16:50:42
91.121.66.111680 AS16276 04/04 10:50:4704/05 12:10:34
91.121.79.7282 AS16276 04/04 09:50:4604/05 04:20:51
93.89.80.11751602 AS39326 03/15 13:10:3104/04 04:20:35
91.121.155.2042533 AS16276 03/17 21:10:2204/04 04:20:35
85.131.217.25125986 AS34309 03/26 01:50:4004/04 04:20:35
92.52.88.24021385 AS15395 03/30 04:50:4304/04 04:20:35
88.191.70.859149 AS12322 03/31 11:50:5304/04 04:20:35
78.41.156.23618312 AS6908 02/18 20:00:4304/04 03:40:54
80.248.221.983237 AS35830 03/31 20:50:5604/04 03:10:59
62.193.208.1754662 AS28677 03/31 19:51:0204/04 02:40:47
91.204.116.1146968 AS44976 02/24 23:30:0704/04 02:10:34
85.197.78.213649 AS25220 03/17 06:10:3304/03 19:40:53
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[84]IPs

まだ追加するのか!?

----------
Google Safe Browsing #
| 1270508424 | B | [goog-black-hash 1.54646 update]
| 1270508402 | M | [goog-malware-hash 1.20565 update]
| 327921 | +2964(324957) ふえるわかめ
| 1601445 |

新学期は今日だった orz..
しかも、昨日「火曜日」とか書いてるし・・・
Herr Katze様、謝謝

疲れが溜まってるのカナ~(とか逃げてみる)

あと、8080系のラウンドロビンが実際にどんな感じになってるのか知りたいとかノタマワル奇特な人が居たので、メールレポートを送りつけてやったら、結構喜んでる(ほんとに危篤なやつ・・)様子でした。
他にも欲しい方がいらっしゃいましたら viruswarntoyou @ gmail.com までご連絡を

1日でイヤになるとおもいますけどね!

EoF

]]> http://www3.atword.jp/gnome/2010/04/06/apr-06-2010-tue-true/feed/ 2010.04.05 月曜日(火曜日じゃない!) http://www3.atword.jp/gnome/2010/04/05/apr-5-2010/ http://www3.atword.jp/gnome/2010/04/05/apr-5-2010/#comments Sun, 04 Apr 2010 23:34:45 +0000 gnome http://www3.atword.jp/gnome/?p=8070
デビューの日
1958年、読売巨人軍長嶋茂雄がプロ初出場したことに因み、その年デビューした新人にエールを送る日。
ちなみに、国鉄金田正一投手を相手に4打席連続空振三振だった。
小笠原返還記念日 (1968年 小笠原復帰協定締結)
ヘアカットの日
明治5年4月5日(旧暦。新暦では1872年5 月11日)のこの日、東京府が女子の断髪禁止令を出したことに因む。前年に散髪、脱刀が許可されたが、これを受けて髪を短くする女性が続出したため、「男性に限って許可した断髪を女性が真似てはならない」という禁止令を発布したものである。
イースター島発見。
オランダ海軍提督ヤコブ・ロッゲフェーンがイースター島を発見。発見日がイースターであったことにちなみ名づけられる。

----------
月曜だし、まだ何もない・・はずっ

----------
金融のサイバー犯罪リスク #
ここ数年のサイバー犯罪は、マルウェアやウィルスが金銭にストレートにリンクしているケースが多く、そういう意味では金融関係のお仕事の方々は気をつける必要があります。
Financial Management of Cyber Risk

The Financial Impact of Cyber Risk
ANSI(American National Standards Institute)ですね。
(ソースを見ると hidden input で何だか怪しげなBase64文字列があるんですが・・・気にしちゃだめ?)
Downloadも登録制だし、必要な人だけにしたほうがよさそうです。

アメリカやヨーロッパの金融系のセキュリティ関連の話は、Brian Krebs氏のBlogを見ておくことをお奨めします。

----------
Erase, WHAT? #
管理プログラムがGoogleにインデックスされないようにする」
個人的に、今期(2Q)のMVW(ord) 決定の名言(苦笑)ですが、その開発(発明?)会社は、「このシステムを採用しているサイト」として高らかに公開していたリンク集を全て抹消。

メッセサンオーのスクリプトを開発した会社が「採用サイト」を隠し始める!
これって、脆弱性がありますよ?って認めているのと同じことだと思うのですが、導入しているところに適切な警報を出しているのでしょうか?

現時点で GETクエリーを使用しているものを、セッション等に早急に変更できない以上、このシステムを継続使用すべきではありません(frameなら安全とか何の冗談なのか・・)。
特に、現時点でストアされている csv は、ドキュメントルートから辿れる場所から 即刻、いますぐ、光の速度で、退避・削除すべきです。

安物買いの銭失いといいますが、一旦失った信用を快復するのは至難の業です。
お早めに適切な対処をしたほうがいいですよ~
メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性 -- 黒翼猫のコンピュータ日記 4/2

----------
POC for Foxit, but Reader? #
Foxit上で、全く無警告でshellが動作してしまう問題が、修正されました

が、

DidierStevens
LOL^2 Foxit is fully in line with Adobe now. Warning displayed, my PoC for Foxit fails. But now my PoC for Adobe works on Foxit. :-)
Addition: only for the .EXE launch. No control over warning dialog though.

苦笑
引き続き、この問題は続行しそうです。

----------
チェックシート #
色々なチェックシート -- Luffyのメモ
Lenny Zeltser社(かのSavvis社のセキュリティ顧問)のインシデントチェックシートの話が出てたので、翻訳されたかな~とか思ったけど、違ってました。残念。
でも、有効なチェックシート群ですので、参考にしてみてください。

Information Security Cheat Sheets and Checklists

Cheat Sheet: Analyzing Malicious Documents -- 2009-12-07
2009.12.08 火曜日

----------
CVE-2010-0806 #
MS10-018の適用は済まされたでしょうか?
Internet Explorerのセキュリティ更新プログラムを提供開始 (MS10-018)

中国国内での CVE-2010-0806 攻撃が激化しており、一部東南アジア諸国にも飛び火しています。

IDSに引っかかったペイロードには、妙なAutoDeskファイル(FLIC)がembbedされていましたが、これは何なんだ?という感じですね(苦笑
ただ、見知らぬ攻撃ベクトルがある可能性もありますので、一応注意しておきましょう。

----------
PrisonBreak!! Season.. #
動画:アップル iPad、早くも Jailbreak 成功
も・・もうですか・・
ヨイコの皆さんは真似しちゃだめですよ~(笑)

iPad jailbroken in a single day

----------
Other #

あなたのサイトがGoogleセンセに真っ赤に塗られてしまった際の対処法:STEP by STEP
URL removal explained, Part I: URLs & directories

Penetration Testing: Learn Assembly?
HD.Moore氏による、アセンブリ講座

----------
8080 #
countASN登録更新
94.23.12.6261053 AS16276 03/20 06:40:2604/05 08:10:51
91.121.137.12453582 AS16276 03/17 23:50:2504/05 08:10:51
94.75.229.7247085 AS16265 03/18 01:10:2604/05 08:10:51
94.23.246.17243241 AS16276 03/22 13:10:3204/05 08:10:51
94.23.235.9342537 AS16276 03/20 10:10:3204/05 08:10:51
91.121.121.22736325 AS16276 03/17 20:10:2104/05 08:10:51
91.121.134.5827158 AS16276 03/16 10:40:2804/05 08:10:51
94.23.231.14017579 AS16276 03/16 20:40:3404/05 08:10:51
195.160.200.377570 AS44949 04/04 05:30:5804/05 08:10:51
195.160.200.367526 AS44949 04/04 05:30:5804/05 08:10:51
91.121.95.1602697 AS16276 04/04 05:30:5804/05 08:10:51
94.23.159.1281282 AS16276 04/04 05:00:4904/05 08:10:51
94.23.26.27808 AS16276 04/04 10:50:4704/05 08:10:51
91.121.160.21772355 AS16276 03/12 19:40:1504/05 08:00:47
91.121.163.21541973 AS16276 03/12 18:10:1704/05 08:00:47
91.121.180.5528734 AS16276 03/13 01:10:1604/05 08:00:47
91.121.8.736407 AS16276 03/22 06:10:2304/05 08:00:47
91.121.117.376813 AS16276 04/04 04:20:3504/05 07:40:53
94.23.233.342600 AS16276 04/04 07:00:4804/05 07:40:53
91.121.56.65528 AS16276 04/04 04:20:3504/05 07:40:53
188.165.196.1822903 AS16276 04/04 05:00:4904/05 07:10:45
91.121.220.1122358 AS16276 04/04 05:00:4904/05 07:10:45
91.121.122.811885 AS16276 04/04 04:20:3504/05 06:40:47
91.121.66.111514 AS16276 04/04 10:50:4704/05 06:40:47
91.121.169.62426 AS16276 04/04 04:20:3504/05 06:10:51
91.121.204.1451467 AS16276 04/04 08:50:4404/05 06:10:51
94.23.208.74527 AS16276 04/05 02:50:4204/05 04:50:39
91.121.113.84465 AS16276 04/04 08:50:4404/05 04:50:39
91.121.79.7282 AS16276 04/04 09:50:4604/05 04:20:51
77.241.93.1141271 AS34762 04/04 13:20:4404/05 03:10:49
94.23.29.106399 AS16276 04/04 04:20:3504/05 01:50:50
91.121.158.13814 AS16276 04/04 08:20:5004/04 20:50:35
93.89.80.11751602 AS39326 03/15 13:10:3104/04 04:20:35
91.121.155.2042533 AS16276 03/17 21:10:2204/04 04:20:35
85.131.217.25125986 AS34309 03/26 01:50:4004/04 04:20:35
92.52.88.24021385 AS15395 03/30 04:50:4304/04 04:20:35
88.191.70.859149 AS12322 03/31 11:50:5304/04 04:20:35
78.41.156.23618312 AS6908 02/18 20:00:4304/04 03:40:54
80.248.221.983237 AS35830 03/31 20:50:5604/04 03:10:59
62.193.208.1754662 AS28677 03/31 19:51:0204/04 02:40:47
91.204.116.1146968 AS44976 02/24 23:30:0704/04 02:10:34
85.197.78.213649 AS25220 03/17 06:10:3304/03 19:40:53
80.190.241.118561 AS24900 04/02 06:50:5604/03 07:10:38
88.198.55.175833 AS24940 03/24 05:50:2504/02 09:10:48
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[82]IPs

昨日、今日で合計 20 IPが追加、そのうち、17個が OVH です。
陥落サーバの入れ替えを図っている気配がありますね。

----------
Google Safe Browsing #
| 1270422016 | B | [goog-black-hash 1.54579 update]
| 1270422002 | M | [goog-malware-hash 1.20542 update]
| 324957 | +4052(320905) また増加
| 1595404 |

新学期、新年度、がんばっていきましょう~

EoF

]]> http://www3.atword.jp/gnome/2010/04/05/apr-5-2010/feed/ 2010.04.04 日曜日 http://www3.atword.jp/gnome/2010/04/04/apr-4-2010-sun/ http://www3.atword.jp/gnome/2010/04/04/apr-4-2010-sun/#comments Sat, 03 Apr 2010 23:26:54 +0000 gnome http://www3.atword.jp/gnome/?p=8056
地雷に関する啓発および地雷除去支援のための国際デー(International Day for Mine Awareness and Assistance in Mine Action)
沖縄県誕生の日
1879年、琉球藩の廃止と沖縄県設置が全国に布告される
あんパンの日
1875年、明治天皇に木村屋(現:木村屋總本店)のあんパンが献上される。
トランスジェンダーの日
性同一性障害者の団体「TSとTGを支える人々の会」が制定。女の子の節句(ひなまつり)が3月3日、男の子の節句(こどもの日)が5月5日、その中間。
どらやきの日
「桃の節句」と「端午の節句」に「はさまれた」日。
おかまの日
同上の理由
ピアノ調律の日
4月の英語表記が April、調律に使うAの音の周波数が440Hzという所から。
交通反戦(交通戦争)デー as 「死(4)死(4)を返上」
ヨーヨーの日 as 「ヨー(4)ヨー(4)」

----------
今日は日曜だし平和です
(昨日の花見の余波で、二日酔いです)

----------
Twitter Account #
Nicole Richie exposed as Twitter hacker
人物相関関係がよくわからないや(笑)
ニコール・リッチー
キム・カーダシアン
Joel Madden
ドリー・パートン
ポーラ・アブドゥル
リッキー・マーティン

要するに、ニコール・リッチーがApril Fool Joke で キム・カーダシアンのTwitterアカウントにログインして、「アカウントハッキング」を演じたということかな?
このへんのセレビな人々は Joke で済みますが、同時にSNSのパスワードを共有するのはヨクナイことです。そういう意味では若い層に多大な影響力をもつ人たちが率先してやっては困るかな?

特に、Twitterのアカウントは、id がバレているので、必ずパスワードは厳重に管理しなければなりません。そういう意味でもっとも BFA に弱いと言えるかもしれませんね。

----------
ZeuS spread fast-flux #
ZeuS: Cybercriminals moving over to FastFlux Hosting
Good News:
Today, a month after the Troyak shutdown, the number of active C&C servers is still on a very low level. We are now at a point where ZeuS C&C servers get offline just a few minutes after they appears on the ZeuS Tracker.

Unfortunately...
During the last few days I just noticed that more and more ZeuS C&C servers popping up which are hosted on a FastFlux botnet. To be precise: It’s not new that cybercriminals are hosting the infections binaries (used to infect their vicitims) on FastFlux botnets.

Troyakのshutdownとupstream peerの切断により、防弾ホストがそのデメリットを認識し、(表面上)心を入れ替えたように見えますが、Botnet Masterは暫定的に C&Cを Fast-Flux ネットワークにリプレスしている模様。
Fast-fluxベースは追いにくいのが難点ですね。
Fast-fluxの運用に必須なTTLの短いDNSサービスを潰していけば良いのでしょうが、現実的には難しいのでしょうね。

また、今日の ZeuS Trackerに、日本のISPと思われるものが捕捉されていますね。
xxx.82.30.246
SUSPENDED
This account is suspended by server admin
素早い対応に感謝いたします。

参考:
攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1
攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その2
via McAfee

----------
15ヶ国 #
イェール大学、Gmailへの移行を見合わせ
イェール大学では電子メールをGmailに移行する計画が進められていたが、検証の結果当面見合わせることが決まったそうだ
メールサーバを自前で運用するデメリットの方が最近大きい気もしますが、どうなんでしょうね

Gmailのあらゆるデータは世界中にあるデータセンタのうち 3箇所に保存されるそうだが、これはデータがデータセンタ所在国の法律の適用対象になることを意味している。大学側はこれを懸念事項としており、 Googleに「データが送信され得る国のリスト」を求めたそうだが、Googleからは「データが送信されない15カ国」のリストしか回答として得られなかったそうだ。
メールってそういうものでは?(笑)

Google stores every piece of data in three centers randomly chosen from the many it operates worldwide in order to guard the company’s ability to recover lost information — but that also makes the data subject to the vagaries of foreign laws and governments, Fischer said. He added that Google was not willing to provide ITS with a list of countries to which the University’s data could be sent, but only a list of about 15 countries to which the data would not be sent.
なんか質問と答えがかみ合ってない気がするのは私だけでしょうか?

----------
FakeRean #
最近、spamやらSEO毒やらで暴れ放題のFakeAVですが、愛すべきわが友人の一人が、思いっきり踏みつけて下さいましたので記念書き込み(笑)
食らったのはコレ
card.exe
2010.04.04 00:05:37 (UTC) 16/42 (38.10%)
Win32/FakeRean
なんかもう典型的な「偽セキュ」なワケですが、踏んだ人曰く「日本語のスパムメールにクッツイテいた!」とのこと。

皆様、きをつけましょうね。

----------
8080 #
countASN登録更新
94.23.12.6260018 AS16276 03/20 06:40:2604/04 08:10:37
91.121.137.12453109 AS16276 03/17 23:50:2504/04 08:10:37
94.75.229.7246612 AS16265 03/18 01:10:2604/04 08:10:37
94.23.246.17242134 AS16276 03/22 13:10:3204/04 08:10:37
94.23.235.9341975 AS16276 03/20 10:10:3204/04 08:10:37
91.121.121.22735763 AS16276 03/17 20:10:2104/04 08:10:37
91.121.134.5826685 AS16276 03/16 10:40:2804/04 08:10:37
94.23.231.14017017 AS16276 03/16 20:40:3404/04 08:10:37
91.121.117.371289 AS16276 04/04 04:20:3504/04 08:10:37
195.160.200.36915 AS44949 04/04 05:30:5804/04 08:10:37
188.165.196.182815 AS16276 04/04 05:00:4904/04 08:10:37
91.121.122.81510 AS16276 04/04 04:20:3504/04 08:10:37
94.23.159.128314 AS16276 04/04 05:00:4904/04 08:10:37
91.121.160.21772283 AS16276 03/12 19:40:1504/04 08:00:46
91.121.163.21541901 AS16276 03/12 18:10:1704/04 08:00:46
91.121.180.5528662 AS16276 03/13 01:10:1604/04 08:00:46
91.121.8.736335 AS16276 03/22 06:10:2304/04 08:00:46
195.160.200.37779 AS44949 04/04 05:30:5804/04 07:50:41
91.121.169.6474 AS16276 04/04 04:20:3504/04 07:50:41
94.23.233.34278 AS16276 04/04 07:00:4804/04 07:50:41
91.121.95.160501 AS16276 04/04 05:30:5804/04 07:00:48
91.121.220.112178 AS16276 04/04 05:00:4904/04 05:30:58
91.121.56.65196 AS16276 04/04 04:20:3504/04 04:50:33
94.23.29.106196 AS16276 04/04 04:20:3504/04 04:50:33
93.89.80.11751602 AS39326 03/15 13:10:3104/04 04:20:35
91.121.155.2042533 AS16276 03/17 21:10:2204/04 04:20:35
85.131.217.25125986 AS34309 03/26 01:50:4004/04 04:20:35
92.52.88.24021385 AS15395 03/30 04:50:4304/04 04:20:35
88.191.70.859149 AS12322 03/31 11:50:5304/04 04:20:35
78.41.156.23618312 AS6908 02/18 20:00:4304/04 03:40:54
80.248.221.983237 AS35830 03/31 20:50:5604/04 03:10:59
62.193.208.1754662 AS28677 03/31 19:51:0204/04 02:40:47
91.204.116.1146968 AS44976 02/24 23:30:0704/04 02:10:34
85.197.78.213649 AS25220 03/17 06:10:3304/03 19:40:53
80.190.241.118561 AS24900 04/02 06:50:5604/03 07:10:38
88.198.55.175833 AS24940 03/24 05:50:2504/02 09:10:48
213.246.39.135333 AS21409 03/02 01:30:1304/02 07:40:41
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[81]IPs

今日だけで 12 IPが追加、10個が OVH ってのがいかにもアレですが・・・

----------
Google Safe Browsing #
| 1270335613 | B | [goog-black-hash 1.54507 update]
| 1270335602 | M | [goog-malware-hash 1.20518 update]
| 320905 | +4287(316618) 増加傾向になってますね
| 1588623 |

EoF

]]> http://www3.atword.jp/gnome/2010/04/04/apr-4-2010-sun/feed/ 2010.04.03 花見の日 http://www3.atword.jp/gnome/2010/04/03/apr-3-2010-hanami-watchout-blossoms/ http://www3.atword.jp/gnome/2010/04/03/apr-3-2010-hanami-watchout-blossoms/#comments Sat, 03 Apr 2010 00:10:36 +0000 gnome http://www3.atword.jp/gnome/?p=8047
日本橋開通記念日
1911年、東京都中央区にある日本橋が木橋から石橋に架け替えられた
ペルー日本友好の日
1899年、日本人移民790人が佐倉丸でペルーのアンコン港に上陸した
愛林日
日本でかつて行われていた国土緑化の記念日。1950年(昭和25年)から全国植樹祭に引き継がれた。
神武天皇祭
いんげん豆の日
いんげん豆を日本にもたらしたとされる隠元禅師延宝元年4月3日(旧暦。新暦では1673年5 月19日)に亡くなった
清水寺みずの日 as 「し(4)み(3)ず」
シーサーの日 as 「シー(4)サー(3)」
葉酸の日 as 「よう(4)さん(3)」

----------
Firefox 3.6.3 #
Pwn2Own で指摘された問題を最初にfixしてきたのはやはり Mozillaでした。
Mozilla Releases Firefox V3.6.3
Mozilla Firefox first to patch Pwn2Own vulnerability
Mozilla Foundation セキュリティアドバイザリ 2010-25
スコープの混同による解放済みオブジェクトの再使用
同コンテストで入賞した実証コードは Firefox 3.6 のみに影響し、旧バージョンには影響しません。ただし念のため、このバグを引き起こす別の方法が見つかった場合に備えて、今後のリリースで Firefox 3.5 にも修正を行う予定です。
CVE-2010-1121
Unspecified vulnerability in Mozilla Firefox 3 on Windows 7 allows remote attackers to execute arbitrary code via unknown vectors that trigger memory corruption, as demonstrated by Nils during a Pwn2Own competition at CanSecWest 2010.
というわけで、Firefox3.6系の方は、至急パッチをあててください。

Firefox 3.6.3 closes a critical hole
Mozilla Firefox DOM Node Moving Use-After-Free Vulnerability 4

----------
Foxit plugged off hole? #
いろいろ問題になってる「PDF仕様問題」で、72時間待った Foxit readerが・・
Foxit Reader 3.2.1リリース
私はコマンド実行の許可を問うだけでなく、JavaScriptのようにオプションで常にコマンド実行不可に設定できて欲しかったのですが……乗換先はどのソフトにしよっかな。
ああっ・・ ユーザ(-1) (苦笑)

専門家が指摘、PDFを開くと任意のコードが実行されるおそれ
「Foxitに報告したところ、今週中に修正プログラムを公開するとのことだった。どのような修正が行われるかはわからないが、ほかのPDFリーダーのように、警告メッセージを表示するようになるのではないか」と、スティーブンス氏は電子メールで述べた。
正解!
Foxit Reader Security Update

少なくとも問題になっている仕様
ムービーや歌を埋め込むことができる。
オブジェクトを含むことができ、Embedded JavaScriptを完備
フォームからネット上のどこかにあるサーバへ直接サブミットできる
実行ファイルをラウンチする機能
JavaScriptを動作させる機能この機能だけはON/OFF可能・デフォルトはON
この辺は、デフォルトOFFで、出来れば永久に斬って欲しかったですね

↓開くとき注意:高頻度で固まります。 756 PDF
Document management — Portable document format — Part 1: PDF 1.7
417p以降をちょっと読んでづつう(変換不能)に襲われました。
12.6.4.8 Sound Actions(425p) とか、目から何かが落ちました(PDFって一体全体何?って)

精読したmikko_hypponen氏に乾杯~

仕様と脆弱性の間で
また、JavaのSWTではIEコンポーネントを使って開発することができますが、このときのセキュリティ設定もIEのものが使われるのではなく、非常に緩い設定で動作しますので、やはりCMD.EXEを実行することが可能です。
これ・・もっと顕著なのが、Eclipseですね。今はどうかわかりませんが、SWTローディングで固まってしまい、最悪無限BSoDループになってしまう悪夢を記憶している人もいるのでは・・(笑)
この惨劇のおかげで、未だにUACを斬ってる開発者もいるという話・・

続く
----------
JIT Spray? #
まだまだ続くPDFへの風当たり
The Upcoming Black Hat Europe 2010 presentation
In the middle of April in Barcelona, my co-worker Guillaume Lovet and I will give a presentation at Black Hat Europe 2010, which is named “Adobe Reader’s Custom Memory Management: A Heap of Trouble“. This talk focuses on the custom heap management, which is being used on Adobe Reader.
うあ~
ついに GIT SPRAYが公開されるのか~

なんか「もうやめて、PDFのライフはマイナスよ」ってメッセージが聞こえてきそうな・・・

----------
VMware #
VMware Releases Security Advisory for ESX Service Console Updates[Security-announce] VMSA-2010-0006 ESX Service Console updates for samba and acpid
ESX 4.0 ESX ESX400-201003405-SG

VMwareもまだPacth Pendingが4つあるので・・・・

Security Advisory for ESX Service Console

----------
Java #
Oracle Java SE and Java for Business Critical Patch Update Advisory
Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible.
む?
Critical Patch Update = CPU (なんという紛らわしい略称)

Red Hat release OpenJDK 1.6.0 security update
Java SE から派生したOpenJDKにも飛び火していますので、適正パッチを充ててください。

----------
あどみん権限 #
Eliminate two thirds of comp security risk!
まぁよくいわれる話なんですが、実際の企業でこのへんの管理はどうなってるんでしょうね?

1. 一般従業員は管理者権限の必要な動作は一切認められていない
2. 一般従業員にも Adminstrator Passwordを教え、適切な場合には管理者パスワードを打ち込んでもらう
3. なんかへんなダイアログが出たら管理者を呼び出す

きっと3なんでしょうけど・・・

----------
Zabbix #
Zabbix PHP Frontend "user" SQL Injection Vulnerability 3
Input passed via the "user" JSON parameter to api_jsonrpc.php is not properly sanitised before being used in a SQL query in include/db.inc.php script. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
まぁ・・万人に Zabbix コンソールを開放してるようなトコは無いと思いますが・・
Advisery: Zabbix <= 1.8.1 SQL Injection
Update to version 1.8.2 or later.

----------
Nokia.de #
Nokia.de(faced)
Spammer (笑)

従業員の仕業の可能性を疑われていますが・・・

----------
root I 続報? #
中国DNSルートサーバ停止事件でNetNodが調査経過公表
これを読んだ感想ですが、思ったよりもややこしい話になるかも知れませんね。場合によっては、中国からi.root-servers.netが撤退せざるを得ない状況が生まれてしまうのかも知れません。

元の記事
最初にニュースを見た時には、結構衝撃を受けたのですが、今回の事件に関して色々調べてみた結果、実はかなりショボイ事件なのではないかと思い始めました。今回の事件は、何か新しいものというわけではなく、単なるオペミスで数年前から存在している体制が漏れただけっぽい気がします。

中国とインターネットが絡んだだけで、話がヤケに拡大してしまうのは確かで、正直あまり好きではないのですが、今回の問題はインターネットの根幹を揺るがしかねない問題でもあります。
中国が1個のLANになっちゃうのなら別にかまわないのですけどネ。

上記tracerouteの最後の一ホップであるi.root-servers.netの手前が日本のdix-ieになっています。これは恐らく、IP anycast用として利用されている192.36.148.17というIPv4アドレスの所在地が「スウェーデン」となっているだけであり、パケットがスウェーデンのストックホルムに飛んでいるわけではないですね。 IP anycastとGEO Locationの相性は最悪ですね(笑)。
だって、うちのradikoは大阪なんですもん(苦笑)

ともあれ、
Root Server Technical Operations Assn
に、
I: Tokyo, JP / Beijing, CN
と書かれていますので、北京 (上海) 東京が経路的に確保されているのは間違いありません。
別紙: Trans Pacific Express ケーブルルート概要図
via 日中米間を結ぶ光海底ケーブル「Trans-Pacific Express」における 日本発中国向けルートの運用開始について

さらに、この件が未解決なままダラダラと進んでしまうと、FとJに関しても議論が飛び火し得るのではないかと妄想しました。たとえば、「FとJに対して、中国国内でTwitter.comを問い合わせると、どうなるの?」という話は確実に登場しそうです。要は、今まで眠ってた物を掘り起こしてしまった形と言えそうです。
ほんと、どうなるんでしょうね?
今後、こうした「独自ルートサーバ」が台頭してくると、Bogon問題あたりと衝突してさらにカオスになってしまう恐れがあります。
DNSSECに影響が及びませんように(祈)

だから、みんな DNSクエリを 8.8.8.8 に送ろう(違)

----------
Easter #
Want to Make Easter Even More Magical? Click me!
イースターおめでとう・・・(BugsBunny)
2009年の頃には絵はなかったけど、最近は絵がついているらしい・・
Easter E-Card Virus
ロシアにも
It’s an Easter Spam Eggs-traviganza!

----------
ECATEL #

AS29073 Ecatel: Need more proof of their being crimeware friendly?
ECATEL.NET donated a Dedicated server!
マテコラ・・
29073 and AS29073
どうみても真っ黒です。本当に

----------
Other #

Happy “Birthday” to Me
私は、登録するときの誕生日は 2/29にしてるな~(笑)
※基本的にSNSなどの公開プロフィールには何も書かないこと!

3月の国内フィッシング事情:セゾンカード/Yahoo!/Facebook/ボットネット

苦情急増の「情報商材」に注意~クロネコやmixiかたり誘導するスパム出回る

Google Chrome 4.1 OOB Array Indexing Bug
Verified: no

Electronic Bodyguards bureau sets up shop in Switzerland
Houppermans said: "Why buy a consultant at £1,500/day if you can get the best in their field at £1,000?"
さぁ・・

Beware fake eBay security alert
The email message with the subject line "eBay Procedural Warning - Security Alert," is addressed to "Dear eBay Member," and warns recipients that the sender has "detected security issues on behalf of your account."
来てた、来てた(笑)

情報処理学会が日本将棋連盟に挑戦状、今秋から決戦へ
こういうノリ、大好きですよ!

DTI、月額490円から利用可能な仮想専用サーバを前倒しで提供開始
移転しようかな~

ソフトバンク松本副社長、「SIMロック解除義務化は不利益過大」
ふむふむ・・
KDDIが語る「SIMロック解除」のメリットとデメリット
ちょっと勉強不足でした・・・Docomoな見解も聞いてみたいな~

Worst April Fools' Joke ...EVER.
I'm sure it was hilarious to the prankster (read: hacker) when on April 1st all the users of the system magically had $31,337.00 in their accounts [as the balance] - but the company didn't think so. What's worse... the code had been so carefully modified that it took months to figure out and un-do the issues created.

Challenging conventional wisdom on AV signatures (Part 1 of 2)
そして while(TRUE)

----------
iP@d #
The arrival of the iPad: What to expect
アップル、「iPad」に最適化されたサイトの一覧を公開
KORGがiPad版 ELECTRIBE を発売、期間限定1200円
ううっ・(号泣)

天から降ってこないかな(壊れるって!)

----------
最悪の・・ #
アキバのゲームショップ『メッセサンオー』が購入者の個人情報だだ漏れの大惨事!
あえてコメントは控えよう・・
しかしこれ、どう和解するのか・・・しないのか・・・

ちなみにそのCMSの仕様が凄まじいものです
メッセサンオーの流出理由など

* URLにパスワードなどが含まれる仕様
* パーミッションが不適切で、顧客データを含んだcsvファイルが誰でもアクセス可能であった

で、対策内容にも絶句。

すでに最新のプログラムでは、検索エンジンにインデックされないように対策を施してあります。
管理プログラムに下記の対策がなされています。
1.metaタグの挿入(noindex,nofollow,noarchive)
2.USER_AGENTよるSpiderの排除

・・・・・・
もはやなにもいうまい
そんなもんで来なくなるんなら、だれもBaiduをIPレンジで弾いたりシナイヨ!

Secuniaに報告しても呆れて不採用になりそうだな~

こういう個人情報を預かるシステムは、もうちょっと金掛けたちゃんとしたものを使ってほしいですね。
まったくです。

----------
8080 #
countASN登録更新
91.121.160.21772208 AS16276 03/12 19:40:1504/03 08:50:47
94.23.12.6259039 AS16276 03/20 06:40:2604/03 08:50:47
91.121.137.12452679 AS16276 03/17 23:50:2504/03 08:50:47
94.75.229.7246182 AS16265 03/18 01:10:2604/03 08:50:47
93.89.80.11745499 AS39326 03/15 13:10:3104/03 08:50:47
91.121.163.21541826 AS16276 03/12 18:10:1704/03 08:50:47
94.23.235.9341426 AS16276 03/20 10:10:3204/03 08:50:47
94.23.246.17241080 AS16276 03/22 13:10:3204/03 08:50:47
91.121.155.2036941 AS16276 03/17 21:10:2204/03 08:50:47
91.121.121.22735214 AS16276 03/17 20:10:2104/03 08:50:47
91.121.180.5528587 AS16276 03/13 01:10:1604/03 08:50:47
91.121.134.5826255 AS16276 03/16 10:40:2804/03 08:50:47
85.131.217.25119956 AS34309 03/26 01:50:4004/03 08:50:47
94.23.231.14016468 AS16276 03/16 20:40:3404/03 08:50:47
92.52.88.24016005 AS15395 03/30 04:50:4304/03 08:50:47
85.197.78.210974 AS25220 03/17 06:10:3304/03 08:50:47
91.121.8.736260 AS16276 03/22 06:10:2304/03 08:50:47
88.191.70.857063 AS12322 03/31 11:50:5304/03 08:40:39
80.190.241.118561 AS24900 04/02 06:50:5604/03 07:10:38
78.41.156.23617152 AS6908 02/18 20:00:4304/03 06:40:41
62.193.208.1753579 AS28677 03/31 19:51:0204/03 03:40:46
80.248.221.982574 AS35830 03/31 20:50:5604/03 00:40:45
88.198.55.175833 AS24940 03/24 05:50:2504/02 09:10:48
213.246.39.135333 AS21409 03/02 01:30:1304/02 07:40:41
91.204.116.1146635 AS44976 02/24 23:30:0704/02 03:40:33
91.121.24.139116419 AS16276 02/17 10:35:2003/31 18:41:00
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[80]IPs

----------
Google Safe Browsing #
| 1270252820 | B | [goog-black-hash 1.54438 update]
| 1270252801 | M | [goog-malware-hash 1.20496 update]
| 316618 | +1830(314788)
| 1581528 |

どなたかは存じ上げませんが、激しいラブコール (F5 DOS) を送ってくださっているWin7 / Opera/9.80な方がいらっしゃるようです。
あんまり F5 を頂きますと、追い出されちゃうのでご遠慮願えませんか?(笑)

EoF

]]> http://www3.atword.jp/gnome/2010/04/03/apr-3-2010-hanami-watchout-blossoms/feed/ 2010.04.02 金曜日 http://www3.atword.jp/gnome/2010/04/02/apr-02-2010-fri/ http://www3.atword.jp/gnome/2010/04/02/apr-02-2010-fri/#comments Fri, 02 Apr 2010 00:02:25 +0000 gnome http://www3.atword.jp/gnome/?p=8041
国際こどもの本の日(International Children's Book Day)
国際児童図書評議会(IBBY)が1966年に制定。アンデルセンの誕生日(1805年)に因む。
図書記念日(図書館開設記念日)
明治5年4月2日(旧暦)、東京・湯島に日本初の官立公共図書館・東京書籍館が開設された
五百円札発行記念日 (1951年)
歯列矯正の日 as 「し(4)れ(0)つ(2)」
CO2削減の日 as 「シー(4)オー(0)ツー(2)」
蓮翹忌(光太郎忌)
高村光太郎(1956年没)
ヨハネ・パウロ2世 (2005年 満84歳没)

----------
アップデートおさらい #
ここ数日、アップデートが激しくてわからない!という意見をもらいましたので、再度まとめておきます。

Windows: 自動アップデート
IE6: 6.0.2900.5512 (2008年頃から変わらず)
IE8: 8.0.7600.16385 (変わったのをみたことがない)

MacOS X 10.5 以降 : 自動アップデート 最新:10.6.3
QuickTime 7.6.6
iTunes 9.1
Safari 4.0.5 (2010.03.11)

Oracle(Sun) Java SE
JRE/JDK Java 6 update 19

Mozilla
Firefox 3.6.2
 not recommanded : 3.5.9 / 3.0.19(dead-end)
Thunderbird 3.0.4

Chrome : 自動 : 4.1.249.1045

Opera : Opera 10.51

最新版を保ちましょう~

----------
PDF #
PWNED Data Format
Didier Stevens氏の投げかけた問題の波紋が拡大中
Adobe, FoxIt investigating PDF executable hack
Here’s the official response from Adobe:
Didier Stevens’ demo relies on functionality defined in the PDF specification, which is an ISO standard (ISO PDF 32000-1:2008). Section 12.6.4.5 of the specification defines the /launch command. This is an example of powerful functionality relied on by some users that also carries potential risks when used incorrectly. The warning message provided in Adobe Reader and Adobe Acrobat includes strong wording advising users to only open and execute the file if it comes from a trusted source. Adobe takes the security of our products and technologies very seriously; we are always evaluating ways to allow end-users and administrators to better manage and configure features like this one to mitigate potential associated risks.
えーっと、「仕様なんだからしようがないだろ!信頼できないPDFをひらくんじゃない(超意訳)」ってことでいいですか?

Foxit側:
“Foxit takes every security concern seriously and we focus our engineering resources at determining the cause of the problem and coming up with a complete and safe solution. Upon hearing of a possible security concern, our development team went to work and a resolution was determined in less than 24 hours and an updated version of the Foxit Reader will be made public in the next 72 hours.
72時間以内になんとかするからちょっとまってね(はぁと)

あまりにも違う両者の対応に愕然としないようにしましょう

「ファイルを開くだけでプログラム実行の恐れ」、PDFの危険な仕様
PDFの機能を利用してコードが実行可能に 研究者が公表
Booby-trapping PDF files: A new how-to
PDFからのプログラム実行をとりあえず防いでみる
これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して(遊んで)みました。
遊んで≒リバースエンジニアって via ...
リンク貼ろうとおもったけど、LifeFileStoreだったのでや~めた。

----------
AviraとAvastの喧嘩 #
Avira pulls off the dirtiest trick on Avast!
http://www.avast.eu
http://www.avira.com/en/pages/index.phpにリダイレクトされているというもの
なんかこーいうことは、やっちゃいけないことですよね
ただ、Whoisが完全にクローズなので、本当に Avira GmbH がやってるのかどうかは不明です。

サイバースクワッティング
Misdirection on the Internet
まぁ、お互い(個人)無料でがんばってる会社ですし、当事者間で解決してほしいですね。(信者間戦争はあまり好ましくないデス)

http://www.antivir.cz org: ALWIL Software
こういうことをはじめると際限が無い・・

----------
PITs #
PrettyFormMail におけるクロスサイトスクリプティングの脆弱性
PrettyFormMail を使用しない
パッチ提供の予定が無いため、PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切り替えることをお勧めします。
メール送信ソフトのPrettyFormMailに脆弱性

Compiere におけるクロスサイトスクリプティングの脆弱性
update: Compiere_J300_A02バージョンのセキュリティ脆弱性対応パッチ
ERPソフトのCompiereに脆弱性、パッチ公開

OSSEC v2.4 released

Wireshark 1.2.7
doesn't look like any security issues

About the security content of AirPort Base Station Update 2010-001
Apple AirPort Base Station Network Access Restriction Bypass 2
well, sure : Apple patching FRENZY :)

-- CMSs --
DynPG CMS "DefineRootToTool" File Inclusion Vulnerability 4
Unpatched Edit the source code

Drupal Taxonomy Filter Module Multiple Script Insertion Vulnerabilities 2
Update to version 6.x-1.1 or later.

Irmin CMS "_Root_Path" File Inclusion Vulnerability 4
(a.k.a Pepsi CMS)
Unpatched Edit the source code

KimsQ Multiple Remote File Inclusion Vulnerabilities 4
Unpatched Edit the source code (requires that "register_globals" is enabled.)

-- Other --
Open DC Hub "myinfo()" Buffer Overflow Vulnerability 4
Unpatched Restrict network access to trusted users only.

Novell ZENworks Configuration Management Two Vulnerabilities 3
Update to version 10.3.

----------
Time Over

----------
Aurora #
ベトナムのBotnetの話がAurora攻撃とダブってるというか、同じものというお話
マカフィー、1月に発表したGoogleへの攻撃に関するレポートの内容を訂正

Operation Aurora Resized

Botnet attacks blogs by Vietnamese dissidents

Google、ベトナム人ユーザー狙うサイバー攻撃を警告、既に数万台が感染
via The chilling effects of malware

やっぱり政治が絡んだMalware話はわけわかりませんね・

Journalists covering China say Yahoo e-mail accounts hacked

----------
4/1 #
Internal April Fools joke...
April Fools Blackhat SEO Campaign

セキュ会社にエイプリルフールはご法度でも、犯罪者はそんなことはお構いなし

Product Announcement from the Lab
Labからの製品発表
これは・・まじめなツールなんですよね?・・たぶん

----------
Conficker #
Conficker Botnet 'Dead In the Water,' Researcher Says
水面下へ・・

Conficker zombies celebrate 'activation' anniversary
Thursday marks the first anniversary of the much hyped Conficker trigger date.
去年散々おどかされた記憶が薄れつつ・・

別種のWormもあるようですので、気をつけましょう(USB/リムバブルのAUtoRunは塞いでますよね?)
リムーバブルメディア経由で感染するウイルスの活動検知状況

----------
ZeuS vs.. #
SpyEye vs. ZeuS Rivalry
パイの奪い合い

日本での感染数は少ないようですけど、今後はわかりません。

----------
Other #

Tools: CMS Explorer Tool Released
"CMS Explorer is designed to reveal the the specific modules, plugins, components and themes that various CMS driven web sites are running. It can also search OSVDB.org for vulnerabilities in found components, as well as "bootstrap" a security proxy by downloading potential file names from the component's code repository and then requesting them directly from the target.
CMS explorer currently works with Wordpress, Drupal, Joomla! and Mambo."
CMS Explorer (or: what's that CMS running?)
CMSの脆弱性検査と、そのサイトのCMSをチェックするツール・・かな?

Dead Zango installers haunt Download.com
しぶとい・・

Sexy romances distract hackers from data theft, Sophos research proves
romance@sophos.com なんだこのメアドは!?(笑)

Chrome share gain outpaces browser rivals
着実にFirefoxとChromeが伸びてますね・・・私は Operaに浮気中~!
What's Google planning for Chrome 5?

Spammers Capitalize on Easter Happy EasterHappy Easter Duck

PWN2OWN & Fuzzing -- GarWarner
ブラウザのハッキングコンテストで露呈した最新セキュリティ技術の限界

Ukrainian cybercrime-friendly ISP hit by fire after clean-up

ALERT: Please treat all content from plexusmedia-adv.com and plexusmedia.net with extreme caution
Sources report that suspicious content using the domain plexusmedia-adv.com has been discovered.
A new version of Sality at large
Last Friday, Kaspersky Lab’s experts detected a new variant of Sality.aa, which is at present the most popular polymorphic virus.
これも古くから居ますね

Google researchers out kernel bugs in Windows, Linux and VMware

あちこちにiPadの最初のリビューがぞろぞろと出て参りました
さあ、読め読め。そんな忍耐力はないって? いいから読めよ、読むべき理由を書くと長くなるから、書かないけど。
え~ 時間無い

ようこそ。しっくす・アパートの部屋においでました!
こんな不意打ちはやめて~~
だめ・・お腹よじれそう(笑)

----------
8080 #
countASN登録更新
91.121.160.21772118 AS16276 03/12 19:40:1504/02 08:50:59
94.23.12.6258045 AS16276 03/20 06:40:2604/02 08:50:59
91.121.137.12452196 AS16276 03/17 23:50:2504/02 08:50:59
94.75.229.7245699 AS16265 03/18 01:10:2604/02 08:50:59
91.121.163.21541736 AS16276 03/12 18:10:1704/02 08:50:59
94.23.235.9340915 AS16276 03/20 10:10:3204/02 08:50:59
94.23.246.17239996 AS16276 03/22 13:10:3204/02 08:50:59
91.121.121.22734703 AS16276 03/17 20:10:2104/02 08:50:59
91.121.155.2029624 AS16276 03/17 21:10:2204/02 08:50:59
91.121.180.5528497 AS16276 03/13 01:10:1604/02 08:50:59
91.121.134.5825772 AS16276 03/16 10:40:2804/02 08:50:59
94.23.231.14015957 AS16276 03/16 20:40:3404/02 08:50:59
92.52.88.2409974 AS15395 03/30 04:50:4304/02 08:50:59
91.121.8.736170 AS16276 03/22 06:10:2304/02 08:50:59
62.193.208.1752450 AS28677 03/31 19:51:0204/02 08:50:59
80.248.221.981864 AS35830 03/31 20:50:5604/02 08:50:59
88.198.55.175759 AS24940 03/24 05:50:2504/02 08:50:59
93.89.80.11738444 AS39326 03/15 13:10:3104/02 08:40:41
88.191.70.854277 AS12322 03/31 11:50:5304/02 08:40:41
80.190.241.118452 AS24900 04/02 06:50:5604/02 08:40:41
213.246.39.135333 AS21409 03/02 01:30:1304/02 07:40:41
85.131.217.25113240 AS34309 03/26 01:50:4004/02 06:50:56
85.197.78.26394 AS25220 03/17 06:10:3304/02 06:11:00
78.41.156.23615879 AS6908 02/18 20:00:4304/02 04:10:44
91.204.116.1146635 AS44976 02/24 23:30:0704/02 03:40:33
91.121.24.139116419 AS16276 02/17 10:35:2003/31 18:41:00
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[80]IPs

----------
Google Safe Browsing #
| 1270162804 | B | [goog-black-hash 1.54363 update]
| 1270162801 | M | [goog-malware-hash 1.20471 update]
| 314788 | +1669(313119)
| 1575778 |
EoF

]]> http://www3.atword.jp/gnome/2010/04/02/apr-02-2010-fri/feed/