Last modified: Sun Sep 16 16:54:03 2018 +0900 (JST)
それでもIISを捨てられなかったら…… (ZDNet)、がんばるしかないのでは。 がんばればなんとかなるわけだし。
情報セキュリティ管理概論、高いのか安いのかよくわからんな……。
VAWW-NET Japan「NHKへの見解・公開質問状」 の話はけっきょく平行線のまま (NHK はシラを切りどおし) のようで、 これに対抗して メキキ・ネット Ver. 2001 でなおも追及していく、という流れになっているようです。 公判もはじまるようで。
The Coroner's Toolkit (TCT) と TCTUTILs とゆーのがあるんだそうです。
おそまきながら、 FreeBSD Tripwire-2.3.1 port, in shar format ベースにいじり中。
Makefile で /var/adm/tcheck となっているところを /var/adm/tripwire に修正。
サンプルの twpol.txt には /usr/local/krb5 があるので削除。 その他、微調整。
程度で ok のようです。やっぱ tripwire はよくできてるなあ。
“2ちゃんねらー”6人逮捕,不正アクセスで (ZDNet)、行ってらっしゃ〜い。
匿名希望さんから: セキュリティ・パーフェクトセミナー2001 というのがあるそうです。10/17 青山ダイヤモンドホール。無料だそうです。
DELL でオンラン見積りすると、その後で ^M がたくさんついた mail が届くんですが、どうしてなんでしょうね。
SecurityFocus.com Newsletter 第 110 号日本語版 (テキスト, 英語版)。 ProFTPD の話題は ftpd ML に patch が流れていた。
Cisco Security Advisory: Vulnerable SSL implementation in iCDN
Cisco Internet Content Distribution Network (iCDN) 2.0 に問題。 問題のある SSL ライブラリが利用されているため、 壊れたクライアント証明書を使うとクライアント認証を迂回できてしまう。 1.0 には問題がない。 2.01 で fix されている。
Cisco Security Advisory: Multiple SSH Vulnerabilities (UPDATED)
Cisco Secure PIX Firewall SMTP Filtering Vulnerability
PIX の SMTP コマンド制限機構 (mailguard) を迂回することが可能。 ……なんか昔も似たような話が: Cisco Security Advisory: Cisco Secure PIX Firewall Mailguard Vulnerability
IO Wargames での発表資料のようです。
「墜落機は空軍が撃墜」 石原知事が本会議で発言 (毎日新聞)、 さすがは「YES と言える男」、無責任にトバしてます。 指揮系統外の人はいいですねぇ。気楽で。
米首脳、ここにきて一転弱気のワケ… 「大規模攻撃」から慎重論続出 (ZAKZAK)、 ゴアだったらもうちょっとはマシだったと思うんだが……。 こんな奴に投票したのは誰なんだ。
民主主義はどこへ (スーザン・ソンタグ) (原文、ニューヨーカー 2001.09.24 号)。 Yamada さん情報ありがとうございます。
「PGP開発に悔いなし」〜テロ事件を受けてZimmermann氏が声明を発表 (INTERNET Watch)。 バックドアですか。某国政府関係者もラブラブなようだし。 やっぱりそうなのですか。
[aml 23967] Fwd: Fw: [ml-eforum 4864] 米軍事報復と石油利権 と フォロー、湾岸戦争にひきつづき、また出たよ石油ネタ……。 ブッシュってのは結局これなのかぁ? 進歩がないぞ……。
電子メールの遅配——原因は政府の監視かウイルスか(上) (WIRED NEWS)、 それはさすがに考えすぎだと思うが……。
「全国民への身分証明書発行」はテロ防止に役立つか (WIRED NEWS)、 テロ防止を名目にした国民支配の役には立つでしょう。 テロ防止の役には立たないでしょう。
親米ハッカーに協力を呼びかけるテレビ広告 (WIRED NEWS)、 ふ〜んヴァンパイアものですか……。
米国で過熱する「愛国ブーム」 (WIRED NEWS)、 ふ〜ん赤狩りですか……。頭悪い人はどこにでもいるのねというか、 スタージョンの法則というか。
戦闘準備に入る無人偵察機(上)、 彼らには領空侵犯という概念は存在しない模様。
[aml 24006] 「テロリズムに対する報復が人権を踏みにじる」という文章を空虚だと感じる理由、 戦争する一方で、こういう人達には援助の手をさしのべる……くらいの芸を見せればまだかわいいのだが、ブッシュにはそういうつもりはないらしい。 まあ、石油が手に入ればそれでいいんでしょう。
マイクロソフトのNimdaワーム情報サイト,「よくある質問と回答」ページなど多数の情報が追加に (日経 IT Pro)、FAQ とかなんてどこからたどれるんだろうとずーっと思ってたんだけど、 Nimda ワームに対する防御策の説明 の画面右の方にあったのね。 web ブラウザの幅を小さくしていると気がつかないのよん。
Nimda,休眠を経て活動再開へ (ZDNet)、また来るんですか……。
Samba の Nimda ワーム対策 (日本 Samba ユーザ会)、veto files 設定による防御方法。
[sitemcis]SSCE3.0 の Nimda ワームの対策 (IE との互換性について) 、こういうことがあるので、 Windows Update したときに、やみくもに「IE 5.5 SP2 にせぇよ」とか 「IE 6.0 にせぇよ」とか出すのはやめてほしいよね。
chkrootkit 0.34 が出たそうです。Shimizu さん情報ありがとうございます。
OpenSSH 2.9.9 が出ましたね。portable 版はすでに 2.9.9p2 になっています。 2.5 から 2.9.9 までのモノに含まれていた security 問題の fix がされているそうです。
……もと記事はこれですね: OpenSSH: sftp & bypassing keypair auth restrictions
「がんばれ!! ゲイツ君」のサイバーの世界、実の世界 、閣下が書いたものではなかったとは! まずいよ、ちゃんとプロダクトアクティベーションしなくちゃ。
IISは捨てなさい——Gartnerが企業に警告 (ZDNet)、だからぁ、 たいへんポピュラーで、かつヨワヨワな site が多いってのが狙われる理由なワケでしょ > SophosのCluley氏。 めちゃくちゃ強いのばっかだったら、狙われたとしても、 これだけの状況にはならないでしょ。 「過去の行い」のツケがこういう形で出ているのでしょ。 もちろん IIS をちゃんと運用している site はたくさんありますし、 Apache に移行したところでちゃんとやらなきゃヤラれるってのは同じですが、 「port 80 だけ開けてます」状況でパコッと落とされるヤツがいる確率をくらべると、やっぱ IIS >> Apache でしょ。
そういうことを認識できていないと、 こういう発言をして世間の失笑を買ったりするわけでしょ。 今この時期にこういう発言をしてはいかんでしょ。 セキュリティに対するコミットを強くアピールしなきゃいけない時期なのに。
どうも最近勘違いをしている人が増えてきているようなので、書いておきます。 私は個人向けサポート施設ではありません。 個人宛ての情報提供ば多いに歓迎しますが、 「xxx についておしえてください」とか書かれても、 たいていの場合は無視します。 疑問・質問は セキュリティホール memo ML などに投げていただけると、どなたかの reply がつくかもしれません。
VisualStudio.NET には、buffer overflow 対策のコンパイルオプション /GS が追加されるのだそうだ。 説明するより読んでいただいた方が早いだろう:
The Buffer Security Check Switch
The runtime checks are very cool, but another switch that you should always turn on is /GS, the Buffer Security Check switch. The purpose of /GS is to monitor the return address for a function to see if it is overwritten, which is a common technique used by viruses and Trojan horse programs to take over your application. /GS works by reserving space on the stack before the return address. At the function entry, the function prolog fills in that spot with a security cookie XOR'd with the return address. That security cookie is computed as part of the module load so it's unique to each module. When the function exits, a special function, _security_check_cookie, checks to see if the value stored at the special spot is the same as it was when entering the function. If they are different, the code pops up a message box and terminates the program. If you want to see the security code in action, read the source files SECCINIT.C, SECCOOK.C, and SECFAIL.C in the C runtime source code.
As if the security-checking capability of the /GS switch wasn't enough, the switch is also a wonderful debugging aid. While the /RTCx switches will track numerous errors, a random write to the return address will still sneak through. With the /GS, you get that checking in your debug builds as well. Of course, the Redmondtonians were thinking of us when they wrote the /GS switch, so you can replace the default message box function with your own handler by calling _set_security_error_handler. If you do whack the stack, your handler should call ExitProcess after logging the error.
パフォーマンスがどの程度低下するのか、とかは記述されていない。 高橋さん情報ありがとうございます。 この文書の日本語版が MSDN Magazine 日本語版 No.18 にあるそうです。
SecurityFocus のレイアウトが変更されたそうです。
NHK スペシャル 「狂牛病 なぜ感染は拡大したか」 の再放送ですが、
「狂牛病 なぜ感染は拡大したか」の再放送予定は9月23日(日) とご案内しましたが、放送した9月16日以降、 厚生労働省や農水省が新たな対策を打ち出しました。 そこで、再放送ではなく、こうした動きを含めた最新情報を盛り込んだ別の新たな番組で、この問題を取り上げることにします。ご了承ください。
となったそうです。上西さん情報ありがとうございます。 本当の理由は「農水省からヨコヤリが入った」である、に 1 万クレジット。 ちなみに再放送予定ページには、すでに上記はありません。
美浜の会方面:
JCO 臨界被曝事故から 2 年 阪南中央病院調査委・報告書 深刻な健康被害の実態を明るみに 国の線量評価は高い測定値を排除 国は線量評価をやり直せ! 住民の健康被害を認め補償せよ
BNFL再処理工場からの放出放射能はアイリッシュ海から北極海までも汚染 −ひとたびプルトニウムが放出されれば、 海底に蓄積し、海産物等を長期間汚染し続ける−
国は平気で嘘つくという典型ですなあ。 これでもまだ原発ラブラブってんだから、 自民党ってトコは本当に原発利権ジャブジャブなんだろうなあ。 国防ってのは鉄砲撃つだけじゃないはずなんだが。 自民党方面で「国防」を語る人ってなぜか天皇ラブラブな人ばっかりだったりするしなあ。
「ウイルスバスター2002ベータテストのお知らせ」 メールがやってきた。メールには「期間:2001年 9月24日〜2001年 10月1日」 と書いてあるが、示された URL には「2001年 9月13日(木)〜2001年 9月18日(火)」とある。過ぎてるじゃん (笑)。 しかし、1 week しか期間ないのね。
アンテナを利用している方へ: 15 分おきとかで check していらっしゃる方もいらっしゃるようですが、 1 時間より短い更新間隔って意味ないと思います。 30 分おきという人がけっこう多いようなんですよね。
あと、更新間隔 1 時間のセキュリティアンテナを 30 分おきにアンテナしている人がいるようですけど、それって虚しくないですか?
ISS Forum 2001 “Commerceを守れ!!” 〜ネットワークセキュリティからコマースセキュリティへ〜 っていうのがあるんだそうです。 10/17、ホテルパシフィック東京(品川)、無料。
Frontpage製ウェブでのマイクロソフト批判は禁止 (slashdot) って本当なんですかね。MS 本社の EULA と MSKK の EULA が違う、 なんて状況は信じられないんですが……。
B-) さんち、 心の平和のためには知らないほうがいいこともあります…… (半分マジ)。
あっ、気がつくと よしだともこさんち にかわいいお写真が……。
セキュリティ・スタジアム、無事終了いたしました。 たいへん盛況のうちに終了でき、一同ただただ感謝感謝です。 staff のみなさんおつかれさまでした。 ほとぼりがさめたら (^^)、 またやろうと言う人がどっかから出てくるでしょうきっと。 クラッカーとの仮想戦がセキュリティ・スタジアムで進行中! (日経 BizTech) などの記事も出ていたようです。
しかし、最も驚愕すべき情報は、スタジアムが終了し宴会も終了し伊原さんが眠りについた後にもたらされたのであった。 まったく、なんて世の中なんだ。
「ウイルスに狙われるのはIIS浸透の代償」とマイクロソフト阿多社長 (日経 IT Pro)、狙われるのは設置台数が多いくせにヤラれやすいからであって、それ以上でもそれ以下でもないと思いますけど。 最も浸透している Apache が大量にヤラれていないのはなぜ? 浸透しただけではヤラれないんです。
「セキュリティ・ホールが皆無の製品を提供するのは,残念だが難しい
」、MS 製品には「仕様に穴がある」ってのが少なくないので、まずはそこから fix してもらわナイト。
あ、slashdot でも出てますね。
「IISにこそアクティベーションが必要ですね
」
という意見は、確かにそうだと思ったり。
あと、ガートナーがIISの即時リプレースを強く推奨だそうで。
Gartner remains concerned that viruses and worms will continue to attack IIS until Microsoft has released a completely rewritten, thoroughly and publicly tested, new release of IIS
ですって。
buffer overflow 対策が VC++ に追加される、とかでもいいかも。
社会復帰するまで、どれくらいかかるんだろう……。 とりあえず mail を読まなくては……。
Local vulnerability in libutil derived with FreeBSD 4.4-RC (and earlier)
FreeBSD 4.4-RC 以前に付属する OpenSSH は、root 権限を保持したまま login class capability database の処理を行ってしまうため、 ~/.login_conf に
default:\
:copyright=/etc/master.passwd:
とか
default:\
:welcome=/etc/master.passwd:
とか書いておくと、これができてしまう、という指摘。 つまり、なんでも読める。 手元の 4.3-RELEASE で再現できることを確認した。 いやはや、これはマズい。 http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/lib/libutil/login_cap.c では、緊急対応として ~/.login_conf 機能を停止しているように見える。 4.3-RELEASE 用 patch。 4.4-RELEASE では、あらかじめ ~/.login_conf 機能が停止されている。 RELENG_3 や RELENG_2_2 でも fix が入っている。
ports の security/openssh-portable を使っている人は ok。 security/openssh は使ってないからわかんないなあ……。
管理側は、当然ながら持てる力は可能な限り持とうとします。 しかも、秘密にできる部分は可能な限り秘密にします。 これを健全に監視するのはメディアの使命なのですが、 日本のメディアはあまり期待できなかったりするのがアレゲ。 必要な事は自分達でなんとかしよう。 それはまた、民主主義国家の国民に課せられた使命でもあるのだから。 と言ってみたり。言うのは簡単。やるのはたいへん。
Windows NT/2000 用の VPN-1/FireWall-1 4.0, 4.1 の Management Server に弱点。GUI 認証コードに buffer overflow する弱点があり、任意のコードを実行できてしまう。ただし、攻撃は認証された GUI クライアントの IP address からしか実行できないため、この弱点を利用した攻撃を実行するのは困難だと考えられる。 hotfix があるので適用すればよい。
Xprobe 自体はまだまだ完成度が低いようなのですが、 brush up されるとけっこうアレゲそう。 あと、Path MTU Discovery についてちゃんと書かれているのは good ですが、 ICMP を使った壁ぬけツールとか、 「これは止めよう危険な ICMP」に触れていないのはちょい残念。 続編を期待。
ARIS predictor: Nimda Worm Analysis (securityfocus)、 ものすごくわかりやすい解析レポート (PDF 文書)。 必読。
NIMDAWormBlocking (from [janog:03760])、 Nimda ワームからのさまざまな保護方法。
[memo:1302] Windows
Update IE 6 「最小構成インストール」はNimdaに対して脆弱なまま
に続くスレッド。
改訂された
Nimda ワームに関する情報
にあるように、「重要:IE 6.0 をセットアップする場合は、必ず Outlook Expressを含む標準構成以上でセットアップしてください
」
が重要なようです
([memo:1375])。
関連:
Nimda 続報,IE6でもウイルスを勝手に実行してしまう恐れあり
(日経 IT Pro)
[memo:1315] IE5.5のバージョン表示 に続くスレッド。 [memo:1350] とか。 MS のバージョン表示は崩壊している模様。迷惑だなあ。 信用できるのはビルド番号だけみたいです。
Nimda checker, Re: Nimda checker - now available(NTBUGTRAQ)、 こういう便利なツールの日本語版 Windows での動作が保証されていないってのは、つくづく痛いですなあ。
Nimda Scanner from eEye Digital Security 、 version 1.0.3 になってます。
Trend Micro Fix Utility Removes Shares (NTBUGTRAQ)、 1.22 でオプション化されたそうです。
主要ウイルス対策ナビゲーター (NAI)
NIMDA Worm/Virus Report -- Preliminary (incidents.org)
米テロ教訓にIX一極集中を分散化へ 岐阜県知事 (MAINICHI Interactive)、 大手町アタックについてはセキュリティ・スタジアム後の夜中の議論でも話題になった。
米のTV、激突映像自粛 ラジオも事件連想させる曲規制 (asahi.com, info from [aml 23769])、
さっそく情報操作ですか。
「なぜこんな仕打ちを受けるのか
」、
まさかほんとうに理解できないのか。
ウォルデン・べローのエッセイ(英文)
とか
グローバル・ピース・キャンペーン
の「広告掲載を予定している
退役米海兵隊員グレッグ・ニーズ氏の手紙」
とか
米国へのテロ事件についてのムミアのコメント
とか読めよなあ。
発表した実行犯に誤りある可能性…FBI長官 (Yomiuri On-line)、 今後「ビン・ラディン関与の証拠」ってのが出てくるかもしれないが、 それが捏造である可能性はきちんと考察しナイト。 なにしろ U.S. 政府には湾岸戦争時に前科がありますからねえ。
P.I.P. 米国同時多発テロ後のニューヨーク、戦争バンザイな声ばかりではないことがわかる。
テロ事件でメッセージ曲 佐野元春さんがネット公開 (MAINICHI Interactive)、これ今日までじゃん。
米機関、前日にビンラディン氏側近の「大攻撃」会話傍受 (asahi.com)、 事後にしか気がつけないシステムというわけだ。すばらしい。
WIRED 方面:
ブッシュ大統領、対テロリズム法案を議会に提出 (WIRED NEWS)、 一言で言うと「やりたい放題法案」ですな。
テロ事件の影響で注目を集めるテレビ会議システム (WIRED NEWS)、 物理実体の移動を徹底的に駆逐する程臨場感のある遠隔会議システムの登場までは、まだまだ時間と帯域と CPU power が必要なようですが……。
CDジャケットに、炎上するツインタワー (WIRED NEWS)、確かにシャレにならない……。
WIRED のは 米国同時多発テロ にまとまっています ([aml 23804])
aml 方面:
[aml 23760] 9-11peace.org (Re: ボストン発)。 [aml 23809] 9-11peace.org/Petition Site/www.nyc.indymedia.org も参照。
[aml 23795] 転載「反戦の声を伝えないメディアがこわい!」、 [aml 23796] Fwd: [pmn-ml 202] Fwd:[labor-members 386] 超党派国会議員の集い。 代理参加も含めて国会議員 70 人参加、というのは確かにかなりなものなはず。 報道規制? という声が出ても不思議じゃない。
[aml 23797] Re: メキシコから帰って(国際法について)、 また読まねばならない本が増えたってことか……くぅ。
[aml 23811] Fw: 「テロへの報復」は法的な正当性が成り立たない、アピール、 U.S. はテロ国家になりたいのか? すでにそうなっているという意見もあるだろうが。
[aml 23832] リッジ、米国テロ対策部門の長官に、 ブッシュ政権って、ほんとに軍事政権だねえ。
今夜 セキュリティスタジアム 2001 へ向けて出発しますので、このページの更新は止まります。
Detailed Nimda Analysis Report (incidents ML) 出ました。
W32/Nimda@mmウイルスを駆除するツールのダウンロード (NAI)、 今回はオリジナルなんだろうか。from README.txt:
WHAT IT DOES: ============= 1) On WinNT/2K it kills the MMC.EXE task On Win9x/ME it kills the LOAD.EXE task (note: other valid processes may also use these names) 2) Scans the specified directory and all subdirectories for infected files 3) Repairs all W32/Nimda@MM files found 4) Removes all hidden open shares 5) Removes registry keys created by the worm: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\C-Z$" 6) Removes the GUEST user account from the ADMINISTRATORS group in WinNT/2K 7) Removes the "LOAD.EXE -dontrunold" command from the SYSTEM.INI files under Win9x/ME
[memo:1270] (fwd) [Win2k:07359] Re: TROJ_NIMDA.A 感染被害拡大中、 今からもういちどワクチンデータを更新しておくのが確実のようです。
[memo:1262] Nimda IE6、 IE 6 では攻撃コンテンツは動かないけど「インターネット一時ファイル」としては存在してしまうという指摘。 IE 5.5 SP2 でも同様。 続くスレッドに Netscape での状況もあるので参照。
「PE_NIMDA.A」専用対策Web開設、自動駆除ツール無償提供開始 〜「PE_NIMDA.A」VAC‐1国内大規模感染警報〜 (トレンドマイクロ)
[memo:1258], [memo:1260], [memo:1264], [memo:1268] も参照。 自動駆除ツールを実行しただけで安易に安心しない方がいい。
緊急特集 史上最悪のウイルスが出現 −W32/Nimda (ZDNet Security How-To)。 読んでおきましょう。
内向け DNS (?) が腐ってたっぽいですけど、直りました? > fujitsu.com。 ……直ってないみたいですねえ……。 ……直ったかな?
ぐはっ (吐血)。reimy さんありがとうございます。
関電の庄野広報部長 交渉から逃亡 (美浜の会)、すばらしい会社です。
狂牛病検査、生後30カ月以上の100万頭も対象に (asahi.com)、 ようやく必要性に気がついたようです。とりあえず、なにより。 高々 30 億でなんとかなるんなら、F-2 一機やめればいいだけじゃん (70 億もあまるぞ……)。 戦闘機だけが「国防」じゃないぞ。
これはやっぱ、NHK スペシャル「狂牛病 なぜ汚染は拡大したか」 のインパクトなんだろうな。 NHK えらい。今週の NHK スペシャルも必見ってかんじだし。 「狂牛病 なぜ汚染は拡大したか」は 9/23 に再放送 だそうです。未見の方はぜひ。
Nimda worm に関する情報 (MSKK)
本ワームへの対策としては、各製品 (小島注: IE 5.01 / 5.5) に対して Service Pack 2 のインストールを行うか、 Internet Exploler 6 のインストールを推奨いたします
なお、Outlook Express 6 については FREAK SHOW: Outlook Express 6.00 なんて話もありますのでご注意。
MSN ウェブサイトご覧の皆様ならびに Internet Explorer ご使用の皆様: 新種のワームによるサーバーの被害とご利用者への影響について (MSN)
MSN、ヤられてしまいました。
新種ウイルス警報 VAC2「TROJ_NIMDA.A」 〜日本国内で感染被害拡大中〜 (トレンドマイクロ) 。 TROJ_NIMDA.A詳細情報 も出ました。
株式会社シマンテック、 新種ワーム「W32.Nimda.A@mm」の危険レベルを4に設定し、緊急対応 、 W32.Nimda.A@mm (シマンテック)
W32/Nimda@MM (NAI)
EVERYDAY PEOPLE 緊急情報 Nimda
msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる(2001.9.19) (NetSecurity.ne.jp)
セキュリティホール memo ML: [memo:1192] CodeRedの変種? に続くスレッド。 Code Blue ではなかった。
Worm Watch: 観察ソフト
Our sumary of the NIMDA (CV) worm (incidents ML)
incidents のアーカイブがとまってるようなので local copy への link。 NAI の 'cleaner' tool や SARA 3.4.9a の対応も紹介されている。
Alert: Some sort of IIS worm seems to be propagating (NTBUGTRAQ)
%systemroot%/system32/drivers/etc/services を編集することにより tftp を無効にする方法が紹介されている。 確かに、変更しても問題ない site は多いはず。
[connect24h:04692] Re: nimda、 ファイル共有を介した感染をするための行為が半端じゃないようです。 samba の場合は veto files の設定 により事前に防ぐことが可能です。 ただし、つくられるのは *.eml だけではない模様 ([memo:1243], TROJ_NIMDA.A詳細情報) ですので、注意が必要です。
IIS infection prevention from W32.Nimda.A@mm/TROJ_NIMDA.A (NTBUGTRAQ) は URLScan を使って対処しろ、というアジテーション。 Russ 氏が URLScan について、いくつか フォロー をしている。利用を検討している人には参考になると思う。
Re: NIMDA Virus
で、FreeBSD の negraph モジュールが投稿されている。
This node is designed for preventing NIMDA worm virus packets
on stage of IP transport, can effectivly filter large traffic flows
だそうで、ipfw と組みあわせて利用できるみたい。
(すんません、私はきちんと理解できてないです)
ワーム「Nimda」の被害広がる,危険度は「高」 (日経 IT Pro)
【緊急警告】「Nimda」ウイルス出現,メール本文のプレビューやWebページ閲覧だけで被害も (日経 IT Pro)
【TechWeb特約】史上最悪のワーム「Nimda」,「Code Red」以上の感染力 (日経 IT Pro)
『Code Red』を超える新種ワーム (CNET)
音声ファイルになりすますメール送信ウィルス「Nimda」に注意 (INTERNET Watch)
かなりヤバイワーム、W32.Nimda.A@mm (slashdot.jp)
ウイルス「Nimda」、農水省や毎日新聞なども感染 (asahi.com)
MSNにウィルス添付? (2ch.net)
JANOG ML: 酒井 清隆さんのまとめ文書 ([janog:03744])
ゼロから始める Linux セキュリティ 第2回 ホストレベルセキュリティの総仕上げ (@IT)、xinetd / ipchains / ファイルパーミッションの話。
マイクロソフト セキュリティ サーベイ、9/25 からだそうです。
(独) 産業技術総合研究所 の オープンハウス 2001、情報処理研究部門のプログラムには「セキュリティ」という文字列がいくつも見えます。 しかし、「セキュリティ脆弱性」の「展示」ってどんなだろう。 ピッキングされやすい鍵……とかじゃないんですよね? (^^;;;)
(独) なんて書かれると、ドイツかと思ってしまう。
PGP,PGP/MIMEへのWindows版MUAのサポート状況 、これは便利。 KaMail、 そこかしこに危険とか書かれていて楽しそうなメーラだなあ。 (from [connect24h:04634])
貴重な情報をネットで発信するアマチュア・ジャーナリストたち (WIRED NEWS)、 こういう記事が出てくるあたりが WIRED の真骨頂か。 マスメディアには真似できまい。
第二話 会社の資産と資産価値 (+sec)、 今日も sircam さんが顧客情報てんこもりの Excel ファイルを送ってきてくれました。
高まる憎悪、おびえる在米イスラム教徒 犠牲者2人に (asahi.com)、頭悪すぎ。
ネット上の名誉棄損、ISPの責任は? 相次ぐ司法判断、法案作りも進行中 (MAINICHI Interactive)。 利用停止請求権の創設検討 行政機関の個人情報保護法制研究会 (MAINICHI Interactive)。
出版業界が自主規制機関 CD-ROMなどに有害情報識別マーク
(MAINICHI Interactive)、「同委の判断結果は公表する
」そうですが、
反論する機会はあるのかしらん。
スパマーのレッテルを貼られないためには誠意だけでは不十分 (ZDNet)、メールヘッダ読めない人の方が多いだろうしなあ。 でも管理者なら読めてほしいぞ。
中長期的には、やっぱ PKI して digital signature ついたやつだけがウチからの mail です、みたいにしないとダメなんだろうなあ。金かかるけど。 すごく、金かかるけど。
同時多発テロが暴いた米諜報能力の限界 (日経 IT Pro)、 後付けで何か言うのは簡単だが、諜報能力がどうこうよりも、 想像力の欠如こそが第一の原因だろう。 それは「ふつうの人間」としてはむしろ健康であるとも思うし。 CIA や FBI がふつうの人間では困る、というのはあるだろうが。
Tea Room for Conference No. 498-3 にも出ているが、 「戦争をけしかけるCNN」、本当だとしたらどえらいことである。 こういう情報、確認が困難、というのがまたアレゲなのだよな。
脆弱な web アプリケーションのほんの一例、なのでしょう。
MS01-044 問題 (新規分) のうち、CAN-2001-0506 の検証プログラム。 これまで LAC は exploit を一切公開していなかったと理解しているが、 何が変化をもたらしたのだろう。 個人的には歓迎する変化なのだけど。
さっそくアンテナに追加しておきました。
規制・権力ラブラブ派がいっせいに行動しているって感じ。 何が必要(悪)で、何はそうでないのかをきちんと見極めないと、 どさくさまぎれにとりかえしのつかない状況になる恐れあり。 CODE インターネットの合法・違法・プライバシー が予言するような未来は急激に接近しているのかもしれない。
テロ対策とプライバシー保護の難しい問題 (2001年9月13日)
コンピュータは「愚行増幅器」,安全な世界はある? (2001.09.14)
プライバシー擁護団体がオンライン傍受・監視の強化を警告 (2001年9月15日)
米上院議員,テロを受け「暗号化ソフトの規制」を提案 (2001年9月17日)
米上院、ネット監視を強化する新テロ対策法を採択(上) (2001年9月14日 12:55pm PDT)
もうみんな、フーバーという名前は忘れちゃったんですかね。
ネット通信の大海に身をひそめて (2001年9月14日 2:00am PDT)
米議会で高まる暗号規制への動き (2001年9月13日 1:45pm PDT)
次なる犠牲者は市民的自由? (2001年9月13日 2:00am PDT)
sambar server も動きだした…… が、これがまた直感に反する動きをするソフトで。好きになれないなあ。 .ini 読まなきゃ理解できないのなら、GUI なんかつけるなっつーの。 1 時間くらいさんざん悩まされたぞ。 素直に apache for win32 にすべきだったかな。 でも変ったソフトがあったほうがおもしろいだろうし。 まあ、Windows の経験値が驚く程低い人間が即興で server たてるってのがそもそもアレゲなんだが……。
くそっ、XMail がうまく動かん……。 VMWare を入れると PktFilter はへろへろになってしまうようなので、 泣く泣くアンインストール。
ご意見募集もの:
人権擁護委員改革、ネットで意見募集 法務省 (MAINICHI Interactive)
10/31 まで。
[aml 23484] 第5回自由権規約審査 外務省が意見募集 (aml ML)
10/19 まで。
セキュリティ・コンファレンス 2001、パートナー ¥44,000 一般 ¥48,000 だそうで。 w3m だとわけわからんページだな……。
やっと
pktfilter
が動きだした。
global option は 1 行しか定義できない模様。
複数行定義すると、最後のものが有効になる。
ip = "all" | "from" ip-addr [port-comp | port-range] "to" ip-addr
[port-comp | port-range]
って書いてあるけど、all は使えない模様。from any to any で逃げた。
もしかして、any って書けば通じるのかな。
現地レポート第2弾:せっかくのWebも役に立たず? (ZDNet)、web はブロードキャストするためのメディアでは (まだ) ない、ということなのだと思う。 実際の話、みんな TV 見てたよね?
米大統領、民間機でも「撃墜していい」と許可出していた (asahi.com)、 まあ、ある意味「当然」なんだけど、 ほんとうに実行されていたらゾッとする話ですねえ。
米でついに「反中東」殺人 しかもインド系を誤解する (asahi.com)、 愚かすぎ。
狂牛病方面、農林水産省のデタラメぶりはここ数日の状況ですでに明らかだが、 昨日の NHK スペシャル「狂牛病 なぜ汚染は拡大したか」を見てあきれかえってしまった。 農林水産省は、狂牛病対策の基礎資料とも言える、 肉骨粉の輸入・流通状況を全く把握できていないのだ。 なお悪いことに、輸入・流通状況の追跡調査もやるつもりは全くないらしい。 さらに悪いことに、狂牛病対策としては来年から、 牛 10000 頭について 抜きとり検査をするだけだという。 直ちに、全て、ではないのだ。
どうやら彼らは、対応の不徹底が日本の畜産業に壊滅的打撃を与えかねないことがわかっていないようだ。少なくとも私は、当分 J ビーフは買わないつもりだ。 もう遅い可能性は低くないんだが。
監視社会に反対するネットワーク が「わたしたちは騙されない! −−許すな!!個人情報「強奪」法案9.28市民の集い」をやるそうです。 9/28(金) 18:30 渋谷勤労福祉会館。
セキュリティアンテナ で日経 IT Pro - セキュリティがうまく取れてませんでした。 cookie 対応じゃないとダメみたいなので、 wget 1.7 に移行して対応しました。
KB JP296861: QChain.exeを使用して複数のHOTFIXを再起動せずにインストールする方法 出てます。 他のツールも「日本語対応」表明されてほしいっす。
「〜ない〜ない」という日本語はわかりにくいぞ。 「8.11.0, 8.11.1, 8.11.2, 8.11.3, 8.11.4, 8.11.5 をご利用の方のみ 8.11.6-2 へアップデートして下さい」でいいはずだ。
Multiple Xinetd Vulnerabilities の件だと思います。
奇聞総解・パレスチナ Watch: 2001/09/14 号、あの映像は、湾岸戦争での「重油にまみれた海鳥」と同じ効果を発揮しているような気が。 特定のおおよろこび系の人の映像をくりかえし使用していたしなあ。 なお、「重油にまみれた海鳥」の原因をつくったのは実は US 側であったことが後に判明していたりする。
豪州モスクに火炎びん 米テロ事件の余波か (CNN)、 これではテロリストと同じじゃないか……。
あっ、 UNIX System Administration Handbook 3rd Ed. って出てたんだ。知らんかった……。 DNS & BIND 4th Ed. とともに、どこかで get せにゃならんかな。
大惨事につけ込むオンライン詐欺(1) (ZDNet)、この手の人たちはチャンスを逃しませんねえ。
フーリガン対策で法規制検討 国際会議も対象に (asahi.com)、 口実さえ整えばなんでもできるのかな。 (from [aml 23531])
NetBSD 1.5.2 が出たそうです。.iso は 2001.09.16 (現地時間だろうなあ) に用意されるそうです。
Cyber-Retaliations are Likely Following Yesterday's Attack (incidents.org)、 「サイバー戦争」はすでに開始されているようです。 これまた宣戦布告なしの模様。
NATOが数万人のアフガン派遣を準備 英紙報じる (CNN)、これまた「宣戦布告なき戦争」なんじゃないのか。 しかし、こんな事態が発生するとは、1979 年 12 月には思いもつかなかった。 1980 年代当時、聖戦を闘う戦士たちは西側ではヒーロー扱いだったのにねえ。
google.com を「アフガン 1979」で検索したら 聖戦の泥沼に沈みゆくパキスタン という記事が hit した。 http://tanakanews.com/ にはいろんな記事があるなあ。 あの田口ランディまである。
トレンドマイクロ、セキュリティ初心者向けWebサイト・メールサービスを無償提供開始、 scan が噛んでいるのね。
MS から Code Blue ワームに関する情報 出てます。
Tea Room for Conference No. 496 によると、はまっていらっしゃる方がいらっしゃるようです。
締切 5 分前に セキュリティスタジアム 2001 にエントリー。 って、まだぜんぜん構築できてないし。 Windows はよくわからん。
Outlook Express 6.00 に 2 つの弱点。 text/plain なメールに JavaScript を書いてOutlook Express 6.00 に送ると、この JavaScript が実行されてしまうという。 また、10 か月前に指摘した html.dropper 問題 が解決されていないという。
昔なら職業スパイか 007 しか持っていなかったようなモノが、今ではそのへんに売ってますしねえ。 将来的に進む方向としては、従業員監視用の脳内ナノソフトとかかなあ。いやだなあ。
SetTextCharacterExtra() を使用すると、余分な間隔が追加される 、 API の仕様を変えちゃイカン。
Windows XPへの更新後、Bluetoothワイヤレスデバイスが機能しなくなる 、 やはり死んでいる……。
Windows 2000 のインストール後 Windows XP を起動できない、 またですか……。
スタートメニューのインターネットと電子メールの表示を変更する方法、 ではいったい何のためにあるものなの?
ATAPI ディスク ドライブの 48 ビット論理ブロック アドレスのサポートについて 、デカいディスクも出たようですし、いよいよこういう時代ですか。
[winxp] Windows XP TCP/IP ロング ファット パイプ への対応 、便利になったようです。
Windows XP Home Edition での Administrator の扱いについて、 なんだかなあ。 Pro 方面については Windows XP のようこそ画面に Administrator が表示されない 。なんだかなあ。
実際にこういう闘いをされた方もいらっしゃるんでしょうね。
2001.09.12 の Multiple vendor 'Taylor UUCP' problems. に追記した。 OpenBSD の対応を追記。
Exchange 5.5 で Outlook Web Access を利用している場合に弱点。 外部から "Find Users" 機能に直接アクセスできてしまうため、 Exchange のユーザ情報を得ることができてしまう。 Outlook Web Access を利用していない場合、Exchange 2000 を利用している場合にはこの弱点はない。 patch があるので適用すればよい。
詳細: Exchange Public Folders Information Leakage。 CVE: CAN-2001-0660
Windows NT 4.0 の RPC Endpoint Mapper (port 135) に異常なパケットを投げると、RPC サービスがダウンしてしまう。 Windows 2000/XP にはこの問題はない。 patch が出ているので適用すればよい。 ただし、TSE 用 patch はまだ出ていない。
CVE: CAN-2001-0662
Microsoft から、IIS 用の新しいセキュリティツール URLScan が登場。 B-) さんち (2001/9/13) に日本語解説がある。 またhsj さんち (01.09.13) にもレポートが出てます。この Server: タグは……(^^;;;)。
不正なリクエストを遮断,IIS用セキュリティ・ツールを米MSが公開
(日経 IT Pro)
によると「マイクロソフトによると日本語版での動作は保証しないという。日本語版対応については現在計画中,公開時期は未定である
」そうで。
MS 本社は、これまでの「事後に patch 提供」から
(ようやく) 一歩進んで「やられないよう先手を打つ」態勢になっていているようだが、MSKK はまだ意識がそこまで行っていないのかな。
VMWare 2.0 から 3.0 への special upgrade offer がきてるなあ。 $89 だって。通常料金より $10 安い。9/30 まで。
IE6 日本語版らしきもの が get できるようです。おがわさん情報ありがとうございます。 らしきものなので、get する方は at your own risk で。
aml ML, 紹介しきれないのですが、 US テロ方面でも「オルタナティブ」な情報が流れていてすばらしいです。 こういうのは、マスメディアからは流れてこないですねえ。 Tea Room for Conference No. 495 でも話題になってますね。
このクソいそがしいのに MacOS X をインストールしてしまった。 確かに、とんでもなく重い。 MacOS 9.x ではスカスカ動いてたのに。 その MacOS 9.x も、MacOS 8.x と比べるとすごく重いのに。 速くなるという MacOS X 10.1 がはやくほしい。
「ウイルスバスター2002」β版テスト参加募集開始 の件ですが、トレンドマイクロ web page で事前登録しておかないとダメみたいです。 おまけに先着 1000 人だけなので、興味のある人は今すぐ登録しましょう。
米大統領、主要国首脳と電話協議 パキスタンに協力要請 (asahi.com)。 攻撃準備続行中なのかな。
ライフル銃で本紙記者威嚇、データカード奪う/米軍兵士 (琉球新報)、 さっそくこれです。 米国の対応が注視されているときにこれでは……。 (from [aml 23473]) (力武さんの助言を受けちょっと修正: ありがとうございます)
関連: イスラム教徒への暴行事件相次ぐ 米国各地 (asahi.com)。 「バイク乗りは全員珍走団」と同じ論理ですな。 頭悪すぎ。
ようやく、限定的ながら航空輸送が再開される模様:
FAA allows limited flights to resume
(cnn.com)。
The use of federal air marshals, common in the early 1970s during a spate of hijackings, will be stepped up
だそうだが、武装した海兵隊が同乗する……わけじゃないんだよね?
関連: 足止めされていた民間機の飛行認める 米政府 (asahi.com)
個人情報保護でブックレット 共同アピールの会が出版 (MAINICHI Interactive) だそうです。
発言削除義務違反は認めず 「ニフティ訴訟」 東京高裁判決 (MAINICHI Interactive) の判決文が http://www.asia-u.ac.jp/~matimura/ にあがっています (from ilc-C ML [ilc-C:15848])。 今回は、妥当な判決だと思います。
sendmail 8.12.0 が出たそうです。
BIGLOBE プライバシー国際標準規格P3Pに対応 (MAINICHI Interactive)、 事実上「ready to Windows XP / IE 6.0」でしょうか。 さすが NEC。 関連: BIGLOBE、個人情報保護規格「P3P」に国内で初めて対応 (INTERNET Watch)
米PGPセキュリティが「PGPsdk」のソースコード公開 (MAINICHI Interactive) だそうです。
「知りすぎた男」が実名で告発する警視庁の裏ガネ (incidents.gr.jp)、 世の中こんなんばっかなのか。
米国政府のハッカー対策専門家を育てる奨学金プログラム (WIRED NEWS)、
「セキュリティーの訓練を受けた信頼できる卒業生を、年間3000〜4000人送り出している
」
という大学は日本にあるのか?
情報戦争に備える米国政府 (WIRED NEWS)、 「悪意あるハッカー」が「敵対関係にある諸国」の尖兵である場合はどうなんだ。
もう1つの「2000年問題」もクリア——10億秒目を刻むUNIX (WIRED NEWS)、 [memo:1169] によると CVSup 君がダメダメだった模様。
penetration technique research site に「改ざんされたサイトのOpenPort(TCP)ランキング(2001.08.01-31)」が出てます。
ideon 君 replace を記念して X-TT + mozilla 0.9.3 へ移行 (これまで bitmap font しか使ってなかったのです)。 http://www.coolbrain.net/xtt.html がものすごく参考になった。 しかし、うぅ、重い。GHz 級 CPU が必要か。 Windows 版 Netscape 6.1 はもうちょっと軽い感じがするんだが。
誤植 fix。やまざきさん感謝。
2001.09.06 の ASSESSMENT 01-019: Buffer Overflow Vulnerability in Telnet Daemon (x.c worm) に追記した。 こがさんの疑問の話を追記。
Windows 2000 Pro. と比べると、ずいぶんわかりやすくなった、とは言えますよね。
RUS-CERT Advisory 2001-08:01 Vulnerabilities in several Apache authentication modules の件は、ひきつづいて PostgreSQL 方面の PAM/NSS モジュールについても問題が発見されている: RUS-CERT Advisory 2001-09:01 Vulnerabilities in PAM and NSS modules using a PostgreSQL database
予想どおり改良が続けられている、ということなんだろうなあ。 Code赤青緑、次は何色 (/.) にもあるように対抗ワームも登場しているっぽいが、 止めるにはとにかく埋めるしかないわけで。 でも Survey Shows 12% of IIS SSL Sites Have Backdoor にあるように穴つきがたくさん残ってますから、 root.exe 突きワームがつくられたらまたもや……。
関連: 極悪ワームの「青」バージョン,感染拡大 (ZDNet)
GNU の uucp パッケージ 'Taylor UUCP' に弱点。 直接的には local user が uucp 権限を得られるのだが、 ここからさらに daily スクリプト経由で root が取れてしまう場合があるとされている。 Caldera fix: Security Update [CSSA-033.0]Linux - uucp argument handling problems
OpenBSD-current では、uucp を削除し、必要なら packages/ports から入れるようにしたそうだ。 参照: vulnerability in UUCP、Re: vulnerability in UUCP ([email protected])
cnn.com に 1 機目 (!!) と 2 機目の衝突状況 video が置かれてます。
時代後れの国務省システムがテロを招いた? (CNet)、 エシュロンの前にやっとかなきゃいかんことがいっぱいあったんじゃないの?
米国で同時多発テロ、情報センターとなるインターネット (CNet)、
「大手メディアのウェブサイトはトラフィックが激増し、麻痺状態に陥った
」。
そういうことからか、
http://www.google.com/
の英語ページで、CNN など各種ニュースサイトの cache やってます。
incidents.org より:
Note that the most up to date news coverage can currently be found on TV or radio. Many online news services are unavailable or unresponsive due to extremely high demand. http://www.google.com is providing cached news reports from CNN.com as a public service.
アカマイの共同設立者、ハイジャック事件の犠牲に (CNet)、 こんな話が続々出てくるんだろうか。 米国同時テロ:戦場と化したニューヨーク (WIRED NEWS)。 なんてことだ。
米国同時テロ:「無事」を伝える電子メールとインスタント・メッセージ (WIRED NEWS)。 夜に入っていよいよ現場はたいへんな状態だろう。
ラディン氏支持者の会話を傍受 墜落機にも関係者 (cnn.co.jp)、 イスラム方面か……。21 世紀になっても人類は宗教戦争とは訣別できないのか。 消防士 200 人が死亡か 警察官 78 人不明、なんてことだ。 治安維持のためにも、今こそ大量に必要な人材なのに。
http://simon.xcom.gr.jp/US-terrorism.txt に時系列な状況がまとまっています。(from janog ML)
【N+I 2001】「N+I 2001 アトランタ」が開幕,無線通信が新たな顔として台頭 (日経 IT Pro) も閉じるようですね。 米フォードとダイムラー、テロ攻撃を理由に全ての米工場を一時閉鎖へ (日経 BizTech)、 影響はいよいよ広範囲に発生してきてます。
「逃げ遅れるぞ!」 日本人社員の脱出記 (asahi.com)。
危機管理体制を要求 国土交通相と防衛庁長官 (asahi.com)。 対テロ体制は冗談抜きで何もないからな……。
SNS Advisory No.42: Trend Micro InterScan eManager for NT Multiple Program Buffer Overflow Vulnerability の話。 InterScan eManager for Windows NT Ver. 3.51J を利用している人は適用しましょう。
「patch は適用できてもそれ以上のことはできない」という人が 10% いるってことなんでしょうねえ。
%u encoding IDS bypass vulnerability もそうだが、「防衛システムはすり抜けるが対象物は受け入れる」攻撃は今後もあるでしょうね。
ニューヨーク世界貿易センタービルに 2 機の航空機が激突!! 激突したのはハイジャックされたボストン発アメリカン航空航空機? 2 機目は B767? 映像を見る限り、双発のそうとうデカい航空機であることだけは確か。 2 つあったセンタービルは、激突後 2 つとも倒壊してしまった!!! さらに、ペンタゴンや議会、国務省でも黒煙が上がっているという。 「バトルランナー」(原作版) のラストシーンを思い起してしまうが、 これはハリウッドの SFX ではなく、現実なのだ。 絶句。
やはりテロ、しかも同時多発テロなのか?! ……パレスチナ方面から犯行声明が出た? その組織のスポークスマンは否定しているというが。 ブッシュ大統領もスピーチしている。 ニューヨーク証券取引所は閉鎖。 政府関係者は続々と避難を開始しているという。 ニューヨーク、ワシントン発着の国際線航空機は一旦カナダへ向かっているそうだ。
なんということだ。 あの「歴史的な和平」ははるか遠い昔の物語になってしまったのか。 パレスチナ武装組織もイスラエル軍も、何人殺せば気が済むのか。 アラファト氏はおくやみコメントしていたが、TBS ではパレスチナ方面で おおよろこび している映像を映していた。 お前ら……それで国際世論を味方にできると思っているのか。
……というか、これはテロというレベルを越えているんじゃないか? 米軍が全面的な作戦行動を起こす可能性もあるんじゃないか? それこそブッシュの思うツボなんじゃないか? ブッシュは、徹底的にやるような気がするぞ。 ……まさか、パールハーバーと同様に「避けられたにもかかわらず避けなかった」んじゃあるまいな……。
ともかく、直ちにスピーチを発表するあたりは、さすがに U.S.A. ではある。しかし、このような攻撃に対する備えがある国がどれだけあるというのか。 同じことが日本で発生したら、政府は対応できるのか?
cnn.com はぜんぜんつながらないな……。 ……あ、つながった。 コンテンツを徹底的に削っているようだ。
関連:
WTCFOIAVideos (YouTube)
NHK News 9/11 Live (YouTube)。2001.09.11 NHK ニュース 10。 中継開始すぐに 2 機目が突入する。
09 11 2001 Live Unedited Cnn News Coverage From 8 50Am To 11 30Am (YouTube)
CNBC on Sept. 11 (Fixed Broadcast) 8:34 AM - 11:25 AM (YouTube)
ideon 君がお亡くなりになったので replace しました。ぜぇぜぇ。 このページ自体は、replace 作業中は backup を見せていました。 セキュリティアンテナに依存している自分を発見。
お使いの電子メールソフトの From: の設定をご確認ください > [email protected]。 [email protected] になっているため、memo-ctl から mail が返せません。
IPA ISEC 【情報セキュリティセミナー】開催のお知らせ 「ウイルス対策/不正アクセス対策」、 東京だけじゃないところがいいです。 東京、金沢、札幌、新潟、広島、大阪、福岡、熊本、名古屋、仙台、沖縄、埼玉、高知であります。 すごいね。
Outlook 2002におけるメッセージ・エンコーディングの問題点 の件ですが、 patch を適用すると直るそうです。
米司法省、MS独禁法違反訴訟再審理で分割求めない方針 (日経 BizTech)、 こういうのを予定調和と言うのでしょうか。
screen 3.9.10 が出てます。security fix を含んでいるそうです。 FreeBSD ports。 3.9.9-3.9.10 diff。 (from installer ML)
SEAWorks さんから (ありがとうございます):
ウィルスバスターのベータテスターですが、過去の慣例からいくと、 ライセンスがもらえます。 2001 の Sneak Preview 版でテストする際に継続して利用できるライセンスをいただきました。
まあ、Sneak Preview の場合、ライセンスが無いと自動更新機能などがテストできないので、その様になっていたのかもしれませんけどね。
昨晩なにげに 「ウイルスバスターの冒険」 を読みはじめたら、止まらないものがあったり。
わは、BSD系Linux。 なんだかなあ。……直ったようです。
connect24h ML 方面からですが、 Project ORION Test Vehicle はスミソニアンにあるみたいです。 行ってみたいなスミソニアン。
あと、http://ttsw.com/orion/LASL1970.pdf もナマナマしくていいです。
「反乱」起こす技術者,中村修二氏の提訴がダメ押し (日経 IT Pro)、 そうあるべき報酬を与えればよいだけの話なのだ。
2001.09.06 の Title: Gauntlet Firewall for Unix and WebShield CSMAP and smap/smapd Buffer Overflow に追記した。 CERT Advisory 登場。
FreeBSD Security Advisory FreeBSD-SA-01:57.sendmail [REVISED]
バイナリ版 update package が更新されている。
FreeBSD Security Advisory FreeBSD-SA-01:59.rmuser [REVISED]
patch が更新されている。
2001.09.06 の %u encoding IDS bypass vulnerability に追記した。 ISS Alert: Multiple Vendor IDS Unicode Bypass Vulnerability。
Outlook 2002におけるメッセージ・エンコーディングの問題点 (@it)、 これは改悪だなあ。
なかなか投げる機会がないので投げてみる: [social-memo:2] FYI: Dug Song 氏ホームページ「DMCA により検閲削除」。
「オプトインメール利用実態調査」、 おもしろそうだが吐血しそうな価格。
Ghost Port Scan 0.7.0 が出たそうです。
ARIS Analyzer 1.5 が出たそうです。
Cerberus Internet Scanner が Typhon として version up されたそうです。
日本ソフトウェア科学会 チュートリアル 「インターネットセキュリティ」、 9/20 大阪市立大学文化交流センターだそうです。
パラサイトコンピューティング実験 米ノートルダム大 (MAINICHI Interactive)、迷惑だよなあ。 とりあえず nd.edu からの接続は拒否するとか? (そういう問題じゃない)
元記事では「銀河ヒッチハイク・ガイド」 (だよね The Hitchhiker's Guide to the Galaxy って) が参照されているなあ。 やっぱ、読んでおくべき本なんだろうか (って絶版だよね邦訳版……)。
「官に甘く民に厳しく」、研究会報告書案 行政機関対象の個人情報保護 (MAINICHI Interactive)、 タダで高級ホテル泊まったりできる人達のやることだからなあ。 住基ネットを考える会設立へ、桜井さんら というのも出てますね。web page ないのかな。
「ウイルスバスター」が「パソコン・ベスト・ソフト賞」を 2年連続受賞!! 〜「WORLD PC EXPO 2001」 にて 「ウイルスバスター2002」β版テスト参加募集開始〜 だそうです。βテストすると安く買える〜〜とかいう話はあるのかな。
住友電工/ネットマークス共同セミナー 「ネットワーク運用監視ソリューションセミナー」、 セキュリティアウトソーシングサービス「SecurePlanet」 というのは最近はじまったものなのかな。
Internet Explorer 6.0,大きな変更はバージョンのみ? (ZDNet)、 バージョン番号のつけかたがマーケ主導なのはどこでも同じですし、 こういうシブい機能 up こそが重要だと思うんですけどねえ。 日本語版まだですかねえ。首がワニガメみたいになってきているんですが。
Tea Room for Conference の No. 488 も参照。
『SirCam』ワーム蔓延、破局がこないと学ばない (CNet)、 いまだに来ますからねえ。 おもしろそうなファイル名だったらウィルス部分をたたき切って読んでますが、 そういうファイルってなかなかない……とかいう話じゃないな。
ウィルス方面では、トロイの木馬型ウイルス「Win32.Review」の被害が拡大,危険度は「中」 (日経 IT Pro) というのもあるそうです。 麗美さん情報ありがとうございます。 ……って、これは昨日紹介した W32/APost@MM の話ですね。
rmuser スクリプトに弱点。 パスワードファイル用の一時ファイルの処理に問題があり、 ある時点において一時ファイルのパーミッションが world-readable になってしまう。 4.4-RELEASE ではこの問題は fix されている。
ひさびさに update されたのだそうです。 Preface, Introduction to Security, Installation, Physical and console security, Administration, Filesystem and files, Authentication, Limiting and monitoring users が増え、その他もろもろも改訂されているそうです。
WebSweeper による URL アクセス制限をかいくぐる方法。 ベンダーは It is not practical to use WEBsweeper to manage blacklists と述べていらっしゃるそうです。
RealSecure, Dragon, Snort, NFR など世の中の IDS の多くに弱点。 IIS UNICODE bug で有名になった UNICODE (UTF) encoding だが、 よく知られる %01%23 といった形式の他に、%u0123 という形式も使えるのだそうで。 しかし世の IDS の多くは %u を利用した形式に対応していないため、 %u 形式を使うことで、IDS の警戒をすり抜けることが可能だそうで。
Credit:
This technique first came to our attention by an exploit written by HSJ. The %u encoding technique was used in HSJ's .ida buffer overflow exploit however it was not used to mask the attack to bypass Intrusion Detection Systems when performing attacks against IIS systems.
だそうで。
対策としては、IDS 各社から patch が出ているので適用する (元記事参照)。 snort では 1.8.1 で fix されているそうだ。
telnetd 穴 を突くワーム x.c が登場という話題。穴は塞ぎましょう。
2001.09.12 追記:
X.Cワームに感染する可能性があるのは,Solaris,SGI IRIX,Open BSD
」
とあるが、
x.c worm analysis
では「the worm affects BSDI 4.1, NetBSD 1.5, and FreeBSD 3.1 through 4.3
」で、
Solaris や IRIX はどこから出てきたのか?
という疑問を
こがさんが投げかけている。
同様の弱点があるという意味では Linux も取りあげないとアレゲだし、
いまいちよくわからないですよね。
リカバリーツール出てます: X.C. Worm Detection and Removal Tool (from LWN)
Gauntlet for UNIX 5.x/6.0 や WebShield for Solaris v4.1 などに含まれる smap/smapd および CSMAP デーモンに buffer overflow する弱点。remote から smap/smapd, CSMAP 動作権限で任意のシェルコマンドを実行できてしまう。 patch があるので適用する。
CERT Advisory 登場: CERT Advisory CA-2001-25 Buffer Overflow in Gauntlet Firewall allows intruders to execute arbitrary code (LAC による邦訳版、 reasoning.org による邦訳版)。
J066983: [WMP]WindowsMediaPlayer7 インストール後Windows2000 がシャットダウンしない。ハマりそうですね。
JP305929: SRP インストール後 "この証明書には無効なデジタル署名" が表示。 SP6a + SRP + IE 5.01 SP2/5.5 SP2 の場合に発生するそうです。 対応 patch が示されてます。
W32/APost@MM、「情報掲載日 01/09/03」「発見日 01/09/05(米国日付)」 だそうです。未来からやってきたのでしょうか (BGM: ターミネーター)。 漣パセリさん情報ありがとうございます。
JPCERT/CC REPORT 2001-09-05 出てます。 そういえば xinetd 2.3.3 出てますね。
ニチメンの小型デジカメシリーズ,今度は“スパイカメラ”だ (ZDNet)、 うーん……。いよいよ「誰でも盗撮、君も田代まさし」の時代なのか? その結果として、たとえばアンパンだらけになるようなら、色香がなくなって悲しいぞ……。 関連: ニチメン、Zippoライターサイズの小型デジカメ (PC Watch)
IPv6はセキュリティに弱い?! (日経 IT Pro)、 はじめに NAT/NAPT ありきという発想がアレゲだと思うんだが。 なんのための v6 なんだか。
放置していいのか,情報システム部門の“弱体化” (日経 IT Pro)、 「自業自得」なだけなのでは。
2001.08.22
の
Code Red による深刻な問題に対する防護策と対処方法についての説明:
よくある質問と回答
に追記した。
「2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されて
」
いるそうだ。IHA さん感謝。
Code Red 方面、Windows 2000 Pro. で「テストとして IIS を一時的に組み込んでいたために,感染したユーザーは多かった
」、となっていますが、手元の組織でも
Windows 2000 Pro. + IIS 5 でヤラれるという事例が先日発生しました。
その人は Windows 2000 Pro. な note PC (DELL) を使用していたのですが、 どうやら「プレインストール」の段階ですでに IIS 5.0 がインストールされ稼働していたらしいのです。 このため、使用者は「IIS を動かしている」という自覚のないまま Windows 2000 Pro. を使いつづけ、結果として Code Red にヤラれてしまったようです。
FAT/NTFS とかいうからみもありますし、 プレインストール OS はやっぱり一旦消すのが吉なんでしょうかねえ。
IISデフォルト動作のW2K機 (slashdot.jp)
mod_jkの使用方法、 いまどき mod_jserv は古いのね…… (from apache-users ML)。 (新しいバージョンのドキュメントに link し直しました: 鰈崎さん感謝)
な、なにー! HP が Compaq を買収だって?!、 HP newsroom にはまだ何もないなあ。 (from EVERYDAY PEOPLE)
……あ、出た。 HEWLETT-PACKARD AND COMPAQ AGREE TO MERGE, CREATING $87 BILLION GLOBAL TECHNOLOGY LEADER。 HPがCompaqを買収--IBMに迫るコンピュータ会社誕生 (日経 BizTech)。
HP-Compaq合併を提言した男——では次に起こるのは? (ZDNet)、実に興味深い。
あちらを立てればこちらが立たず——Microsoftのセキュリティ対策 (ZDNet)、 利便性とセキュリティがトレードオフなのは Microsoft に限った話じゃないっつーに。 わかった上で利便性を取りたいのなら取ればいいだけの話。 現状が問題なのは、わかってない人が「デフォルトだから」利便性を取らされてしまっているという点。 それを解決する上で便利なツールであることは確か。 でも、わかってない人はこういうツールがあることもわかってないだろうな。
TV録画もしちゃうぞ「フレッツ・ロボ」 NTT西とタカラが開発 (ZDNet)、 crack しがいのある目標がまたひとつ、のような気が。 特に、ストーカー方面な人とか……。 プレゼントとしてさしあげてトロイの木馬とする、なんてのもありそうな気が。
セキュリティ・スタジアム 2001 の競技参加者募集は 9/4 12:00 から開始されます……ました。 募集人数は、各日ともに 攻撃 = 24 防御 = 15 検知 = 3 の合計 42 人 (合計述べ人数 168 人) です。多分。
受付作業は全てボランティアが手作業にて行いますので、 反応が遅くてもゆるしてあげてください。
……申込書不備の方が多数いらっしゃるそうです。 特に、IPアドレスの必要個数、電源容量の単位、ルールの誓約等に注意していただきたいそうです。 受付作業は人間がやっておりますので、作業負荷の低減にご協力ください。 _o_
ssh での通信はもちろん暗号化されている。 しかし、その暗号化されたパケットをながめると、いろいろなことがわかるという。
ssh は 8 バイト境界でしかパディングしない (ブロック暗号を利用する場合)。 最初の login 時の入力はバッチ的に送られるため、 そのパケットサイズを眺めることで、パスワードのだいたいの長さ (ex. 7 文字以上なのか否か) を判別することができてしまう。
対話モードにおいては、ssh はユーザ入力一文字ずつを 1 パケットにして送る。 よって、送られるパケットの時差はすなわちキー入力間の時差である。 この時差を測定し、さらに、あらかじめさまざまなキー入力間の時差 (aa, ab, ac, ...) を別途測定しておく。 これらを統計処理することで、 暗号を破らなくても、 暗号化されたパケット間の時差を得るだけでユーザ入力 (ex. パスワード) を知ることができてしまう。 実際に知ることができるのは可能性のあるユーザ入力のリストなのだが、 論文中の Table 1: を見る限り、パスワード 8 文字だとリストの上位 5% 程度で hit する場合が多いようだ。
対抗策としては、 パケット送出時に random delay を入れるとか、 定期的に dummy packet を送るとかが示されている。 前者については、攻撃者はこの noize を除去可能と述べられている。 後者は帯域の問題が指摘されている。 50ms 毎に dummy packet を送出するとすると 1280 bytes/s を消費してしまうのだ。これはもちろん ssh の 1 コネクション毎に、ということだろう。 十分な帯域があれば気にならないかもしれないが……。
くぅ、数式とかわかんないし……(T_T)。
関連: 研究チームがSSHを悪用したハッキングツールを開発(カリフォルニア大学バークレー校) (Vagabond / NetSecurity.ne.jp)。 予測じゃなくて推測ですよね。 中野さん情報ありがとうございます。
これに対抗するための openssh 2.9.9p2 用の patch が登場している。 http://www.silicondefense.com/software/ssh/index.htm では、2.9p2 / 2.9.9p2 用の patch と、patch が適用された openssh アーカイブが公開されている。 50ms 間隔で dummy packet を送付する patch だそうだ。
xinetd 2.3.0 に複数の弱点。 Solar Designer さんによる xinetd 2.3.0 audit status に基づくものだそうです。 2.3.0 では xinetd 2.3.0 bug の件が完全には fix されていないのだそうです。
2001.09.05 追記: xinetd 2.3.3 出てますね。
ロシアからのGRIC利用停止及び アット・ニフティ全会員の皆様へセキュリティ強化のお願い (@nifty)、 流行りの盗みツールがあるのかなあ。 (from EVERYDAY PEOPLE)
セキュリティ・スタジアム 2001 の競技参加者募集は 9/4 から開始されるようです。 stay tuned.
MS ダウンロードセンターに Windows 2000 Security Patch: Trusting Domains Do Not Verify Domain Membership of SIDs in Authorization Data (MS01-047) が出てます。 MS01-047 自体はまだ公開されていない模様。
システム管理者に求められるスキル (日経 IT Pro)、 「励んでほしい」と言うのは楽だが、 励んだところで何の見返りもない場合は多いだろうしなあ。 励めば励むだけ仕事が増えてしかも見返りはない、というのはありがちな状況のような。
通信傍受法は「合憲」 東京地裁 (MAINICHI Interactive)、 まあそんなもんでしょうねえ。
つボイ@ラジオ 第 93 回、なるほどウルトラマンコスモスですか…… お万の方パターンですな。
電脳ハザードの来襲のナゾ、
「攻撃性の高い宗教団体のネット浸透が再度活発になっていると言う
」
のだそうです。
具体的にはどのあたりなんだろう。
麗美さん情報ありがとうございます。
Internet Week 2001 参加申込案内メールが SJIS でやってきたよ…… (T_T)。
で、JWNTUG はふたたび BOF をやることになったのだが、 BSD BOF とおもいっきりカチあってるし (T_T)。
「子猫を殺して料理するビデオ」に激しい怒りの声 (WIRED NEWS)、 きっとウサギやサルやモルモットなら何の問題もなく ok だったんだろうな。 偽善だね。
Windows NT/2000 用の iPlanet Messaging Server 5.1 evaluation copy に弱点。 ユーザ情報を web ブラウザで編集するときに、長大なユーザ名を入力すると buffer overflow が発生してしまう。このため、remote から任意のコマンドを local SYSTEM 権限で実行できてしまう。売りもの版でどうなっているのかは不明。
なんだか http://www.lac.co.jp/security/snsadv/ にアクセスできなくなっているような。 …… URL が http://www.lac.co.jp/security/intelligence/SNSAdvisory/ に変更になった模様です。 sugim さん情報ありがとうございます。
Adobe はそういうことはしないだろうなあ。 そうするつもりなら、はじめから FBI とおはなしなんかしていないだろうから。 関連: アドビ・ファイルの暗号解読容疑者、上司とともに無罪を主張 (WIRED NEWS)
Windows NT/2000 に付属の DNS サーバは、デフォルトでは、 委任されていないサーバからの変な glue レコードを受け入れて cache に入れてしまう。 このため cache が汚染されてしまい、 結果としてユーザを偽の/誤ったサーバに誘導してしまう。 Q241352 に対応方法が書いてあるので適用する。 日本語版である JP241352: DNS キャッシュ破壊の防止策 では NT 4.0 にしか触れてないな……。 まあ、NT/2000 共に同じなんだけどね。
これは、2000.06.13 の Windows 2000 server の DNS と同じ話ですね。
2002.03.08 追記:
特集 インターネット「常時」接続計画 第6回 DNSサーバの設定と確認 (@IT)。Windows 2000 DNS サーバでの対策の方法が 1 ページ目にわかりやすく書かれている。