5月31日のtwitterセキュリティクラスタ
いよいよ6月になってしまいましたが、相変わらず涼しいです。地球温暖化ってどうなったんでしょうね。
ネットエージェント10周年記念パーティは今日ですか。さすがパケットブラックホールの会社だけあって言うことが違います。
ライブドアに脆弱性の報告を行うと1万5000円もらえるみたいなので、みんなで見つければいいと思いますが、仕事でやってる人って日給換算するとそれくらいはもらってんですよね。
脆弱性診断についてのあれこれ。本職の人たちのリアルな会話が、ただのウォッチャーである私にも、セキュリティ診断業界の光と闇を感じさせてくれます(大げさ)。実際どんな調査が行われているのか取材してみたいんですけどねえ。
制御システムセキュリティだそうで、このあたりの分野はこれまでセキュリティとかあんまり考えられていない気がしますが、気のせいでしょうか。攻撃とかされなさそうですしね。
国際化電子メールアドレスですか。制御文字とか埋め込まれると大変なことになりそうです。
OpenVASとNessusの結果の違いだそうです。
週末、新聞の一面に出たらしいDPIについて。ISPが流れるパケットを見て行動ターゲッティングですか。意見はたくさん出ていたのですが、多すぎるので高木先生のものだけ。
そして、DPIをやろうとしている側の言い分。セキュリティ対策ですか?
他の人のツイートについては
http://togetter.com/li/25443
http://togetter.com/li/25334
などを参照すればいいかと思います。
これを機会にAnonymizerとかTorを真剣に使う機会を考えた方いいのかもと思ったのですが、現状でもgoogleには明け渡しているようなもので、そっちについても考えにゃならんなあと思う次第です。
ちょっと興味ありますが、個人ではなかなかクラウドは使わないので。実際問題、クラウドって使う側よりも使わせたい業者や広告がほしいマスコミが騒いでるだけのような気がするのですが、どうなんでしょうね。
実はページランクを上げるためにリンクした疑惑ですか…
選挙を乗っ取って国をハックすればやりたい放題ですものね。わかります。
ネットエージェント10周年記念パーティは今日ですか。さすがパケットブラックホールの会社だけあって言うことが違います。
lumin: @hasegawayosuke パケットキャプチャしている人は自動的に録画できるじゃないの? RT 明日の講演のustream中継は、録画もするんでしたっけ?
hasegawayosuke: @lumin ustream側で録画してるとパケットキャプチャしてない人でもうれしいですね!
ライブドアに脆弱性の報告を行うと1万5000円もらえるみたいなので、みんなで見つければいいと思いますが、仕事でやってる人って日給換算するとそれくらいはもらってんですよね。
kinugawamasato: malaさんにお礼の日記書きました! http://d.hatena.ne.jp/masatokinugawa/20100529/thx_mala
bakera: [メモ] これはいろいろな問題をはらんでいますね……。 http://d.hatena.ne.jp/masatokinugawa/20100529/thx_mala
ymzkei5: メモ。脆弱性報告→お礼という流れ。 RT @bakera: [メモ] これはいろいろな問題をはらんでいますね……。http://d.hatena.ne.jp/masatokinugawa/20100529/thx_mala
脆弱性診断についてのあれこれ。本職の人たちのリアルな会話が、ただのウォッチャーである私にも、セキュリティ診断業界の光と闇を感じさせてくれます(大げさ)。実際どんな調査が行われているのか取材してみたいんですけどねえ。
ockeghem: 昔の診断屋は、脆弱性が見つからない時はプライドにかけて秘技を繰り出してなんとか脆弱性を見つけようとしたものだが、イマドキの促成栽培された診断屋はそんなことしないのかな(体験者の感想です。効果には個人差があります)
bakera: @ockeghem それが「Server: フィールドにバージョンが出ている」とかいう「脆弱性」につながるのでしょうか……。
ockeghem: そういうのは「秘技」に値しませんが、診断屋はよくやりますね。OPTIONSを許容しているとか…もっとすごいのもあるけどないしょw RT @bakera: @ockeghem それが「Server: フィールドにバージョンが出ている」とかいう「脆弱性」につながるのでしょうか……。
ockeghem: .@umq 本来、診断のレギュレーションが明確であれば、秘技は必要ないと思います。レギュレーションが公開されているのは「ウェブ健康診断」くらいではないでしょうか?
ymzkei5: 「Apache Running」とかですね、わかりますw RT @ockeghem: そういうのは「秘技」に値しませんが、診断屋はよくやりますね。OPTIONSを許容しているとか…もっとすごいのもあるけどないしょw RT @bakera
hasegawayosuke: 秘技売ります。値段要相談。
ymzkei5: もしも報告書に載せるにしても「Vulnerability」と「Information」で分けると思いますけどねぇ。 RT @ockeghem: OPTIONSを許容しているとか… RT @bakera: 「Server: フィールドにバージョンが出ている」とかいう「脆弱性」…
ymzkei5: 最近はメニューが細分化されていますから、お安いほうのメニューでは割り切ってやっているかとw RT @ockeghem: 昔の診断屋は、脆弱性が見つからない時はプライドにかけて秘技を繰り出してなんとか脆弱性を見つけようとしたものだが、イマドキの診断屋はそんなことしないのかな
umq: @ockeghem レギュレーションがきっちりしてないビジネスって、いびつですね
ockeghem: .@umq 買ってみるまで中身が分からない、1回目はよくても2回目もよいとは限らない、ということがまかり通ってますからね。なんとかしたいとは思うわけですが
bakera: @ockeghem @umq @ymzkei5 発注側(?)としては、何を基準にして脆弱性診断の業者選定をしたら良いのかが良く分からないです。値段の違いや実績で選ぶことはできるのですが、内容の違いは分かりにくく……。
ockeghem: .@bakera 基準はある程度作れるのですが、中身を埋めるのが難しいですね。自己申告になるとか、相対比較が難しいとか…脆弱性診断業者選びのコンサルティングとか前から構想していますが、需要がよめないです
MasafumiNegishi: 脆弱性診断はよくも悪くも診断を実施する人に依存するサービス。昔からツールが進化した今でもそこは変わっていない。平準化とか作業の標準化なんて幻想だが、ユーザには伝わっていない。ユーザだけじゃないかww ただし、判断基準は示すべきだし、それはできるはず。できてないけど。
制御システムセキュリティだそうで、このあたりの分野はこれまでセキュリティとかあんまり考えられていない気がしますが、気のせいでしょうか。攻撃とかされなさそうですしね。
lac_security: JPCERT/CCさんから制御システムセキュリティ関連の資料が公開されていますね。(^む) http://www.jpcert.or.jp/ics/information02.html
国際化電子メールアドレスですか。制御文字とか埋め込まれると大変なことになりそうです。
hasegawayosuke: |┃≡⊂( ・∀・) ガラッ 呼ばれたと聞いて。@ando_Tw: 国際化電子メールアドレス?EAI。ローカルパートも国際化、ヘッダもUTF8直埋め込み? ハセガワヨウスケ君(仮名)の出番か!? DKIM壊れるけどいいのかよ? SMTP下位互換? 委員会でも筋悪すぎという意見。
OpenVASとNessusの結果の違いだそうです。
vulcain: 今日の懇親会で触れたOpenVASとNessusの比較資料(約1年前の物) http://bit.ly/cnXsHK #matcha445
vulcain: http://security.lss.hr/en/Services/openvas.html で公開されていたものだけど、新しい脆弱性にはOpenVASって結果 #matcha445
週末、新聞の一面に出たらしいDPIについて。ISPが流れるパケットを見て行動ターゲッティングですか。意見はたくさん出ていたのですが、多すぎるので高木先生のものだけ。
masanork: DPIのロビイングしていた人々は「個別同意は不要、政府がガイドライン整備、通常の行動ターゲティングと同様のオプトアウト」を望んでた模様。それに対しWGは「個別同意は必要、政府はガイドラインを作らず」としたのに「総務省容認」と書かれる訳で
HiromitsuTakagi: DPI広告の件だけど、家族で回線を共有してるから云々という声があるけど、調べてみると、利用者の嗜好はブラウザ単位で(おそらくcookieで識別して)蓄積されるみたい。ということは逆に、利用者の完全な同意をとるには家族全員の同意をとる必要があり、それしなければ違法だよね。
HiromitsuTakagi: さっきの話。ブラウザ単位で制御するなら、ブラウザごとに個別の同意をとればOKということになるのかもしれないが、オプトインでないと違法だから、cookieが消える毎に再度の同意処理が必要になると思われ、さすがにそれだと利用者が減っちゃうから、回線単位での同意にしたがるはず。
HiromitsuTakagi: DPI広告の実現方法、同意した顧客の通信と不同意の顧客の通信の判別をどうやってやるのか。 DPIで判別したら不同意顧客の通信を傍受することになるので違法。それとも正当業務行為? 顧客ごとにルーティングを分けるのが正しいだろうが、ブラウザ単位の同意の場合、DPIしないと分けられない。
HiromitsuTakagi: というわけでやはり、家族全員の「有効な同意」を得ないと違法じゃないだろうか。
HiromitsuTakagi: DPI広告は、URLではなくペイロードを見るようですよ。少なくともPhormの場合。(日本で導入されようとしているものがPhormかはわかりませんが。) QT @masanork 今回の報告書でいうとDPIで参照するURLはHTTP層としてはペイロードではなくヘッダに当たり…
HiromitsuTakagi: @masanork ページ内の文字列から嗜好を分析すると、Phorm社の仕組み説明に書かれています。 http://www.phorm.com/isps/personalised_advertising/how_it_works.html
HiromitsuTakagi: @masanork Gmailの場合は、AdSense同様に、ブラウザ上で処理が完結しているから問題が小さい(相対的に)のだと思います。ブラウザプラグインを入れたのと同じことをJavaScript上で実現したのが画期的だったわけで。
HiromitsuTakagi: ええ?そんな要望が通ると思うISPがあるとすれば驚愕。そんなISPは日ごろから何をしてるかわかったものではないですね。 @masanork DPIのロビイングしていた人々は「個別同意は不要、政府がガイドライン整備、通常の行動ターゲティングと同様のオプトアウト」を望んでた模様。…
そして、DPIをやろうとしている側の言い分。セキュリティ対策ですか?
shunmomo: 30日朝日朝刊1面トップ記事、(いつものことだけど)なかなか言ったことをチャント書いてくれないのは辛いナァ...ネット犯罪がひどくなる中で、健全なインターネット発展のためにも、1.セキュリティ対策としてのDPIと、2.利用者権利重視としてのオプト・インの重要性を言ったのにナ!
他の人のツイートについては
http://togetter.com/li/25443
http://togetter.com/li/25334
などを参照すればいいかと思います。
これを機会にAnonymizerとかTorを真剣に使う機会を考えた方いいのかもと思ったのですが、現状でもgoogleには明け渡しているようなもので、そっちについても考えにゃならんなあと思う次第です。
gohsuket: Anonymizer.comは健在。Lanceと話して日本展開すっかな? RT @_nat: しかしDPI本気でやられそうになってきたらISPの向こう側にSSLのproxy建ててISPに読み取られないようにするなどと言うことも真面目に考えなきゃいけなくなるんでしょうね #dpi
ちょっと興味ありますが、個人ではなかなかクラウドは使わないので。実際問題、クラウドって使う側よりも使わせたい業者や広告がほしいマスコミが騒いでるだけのような気がするのですが、どうなんでしょうね。
_kana: 6/8火午後2時よりCSA JC(クラウドセキュリティアライアンス日本支部)のキックオフセミナーやります。事前登録&無料セミナーですので興味ある方はぜひ。http://j.mp/dD3dqV
実はページランクを上げるためにリンクした疑惑ですか…
yumano: ああ、ページランク・・・ RT @rocaz: 経産省が利用された特撮.comからリンクされページランクが流れていたと思われるサイト集1 : http://bit.ly/dwv9yw http://bit.ly/dc3Zdt http://bit.ly/9rGziD
選挙を乗っ取って国をハックすればやりたい放題ですものね。わかります。
ymzkei5: ■インドの投票システムで不正に対する脆弱性が明らかに : ネット選挙ドットコム http://www.net--election.com/news_wPdTBeAkn.html
