IBMがアプリケーション・セキュリティ用のツール公開

AlphaWorksから、アプリケーション・セキュリティ用のツール2種。
1. IBM Secure Shell Library – Javaアプリケーションがサーバ間でやり取りするデータを暗号化する。SSHの実装だそうで。
http://www.alphaworks.ibm.com/tech/sshlite
2. Security Workbench Development Environment for Java (SWORD4J…強引な略称…) – プログラムのセキュリティを検査するツール。
http://www.alphaworks.ibm.com/tech/sword4j
IBM offers free tools for application security – IT Security News – SC Magazine US
The offerings consist of IBM Secure Shell Library for Java, which automatically allows customers to encrypt Java application data transferred from one server to another, and the Security Workbench Development Environment for Java, which lets developers test and validate applications.

“IBMがアプリケーション・セキュリティ用のツール公開” の続きを読む

Webのサービスへの攻撃増加

「Web services」というのはここではWebで提供されるサービス、という意味。
Web services increasingly under attack
AP配信のニュースで、Ajaxに基づくスクリプトのバグが利用された、なんて記事が出るようになったのね。
Orkutを狙ったワームMW.Orcは写真ダウンロードに見せかけたリンクでワームをダウンロードし、タイプログやファイルを外部に送信。
FaceTime Security Labs Warns Against Data-Theft Worm Targeting Google’s Orkut
クリックを促すメッセージはポルトガル語で書かれていた。なんでもOrkutのゆーざの70%はブラジル人だそうで…知らなかった。

“Webのサービスへの攻撃増加” の続きを読む

KDDI 400万件漏洩は開発用PCから

やばいなあ。
しかしなんで2003年時点のデータが今頃出てきたんだろ。散々売りまわして用ナシになったってことかな。
で、セキュリティ対策をしていても結局はログが残ってることが大事と。
【KDDI情報漏えい続報】「アクセス・ログは1年間しか保存していなかった」:ITpro
顧客情報を管理するシステムに格納されたデータ。同システムに接続できる開発保守用のパソコンから情報が流出した。「通常,開発保守用パソコンに顧客情報を保存することはなく,何らかの理由でダウンロードしたものと思われる」
。「インターネットとは接続しておらず,完全にクローズなシステム。当社の社員あるいは出入りのベンダーから持ち出された可能性が高い」。開発保守用パソコンは合計186台あり,ユーザーは社員が48人,委託ベンダーが177人。ただし,アクセス・ログは基本的に1年間しか保存しておらず,どのユーザーが情報を抜き出したのかは特定できていないという。
「DION」と旧KDDのインターネット接続サービス「NEWEB」の顧客情報で,2003年12月18日時点のもの。名前,住所,電話番号が含まれる。さらに,2万6493人分の性別,9万8150人分の生年月日,44万7175人分のメール・アドレスの情報

“KDDI 400万件漏洩は開発用PCから” の続きを読む

CD交換サイト

USで音楽ファン向けの新しいビジネスが始まった。
la laで自分が持っているCDと欲しいCDを登録すると、このCDを送れ、と指示が来たり、欲しいCDが送られてきたりする。欲しいのがもらえると、1枚あたり$1.49支払う。中古CDがあまりやすくならない点に目をつけて 、これなら安くできる、ということ。
ファイル交換(=コピー)じゃないから、著作権も問題ないだろうと。RIAAは静観の構え。
Wired News: New CD-Swap Site Hooks Music Fans

空港でID提示を拒否する – プライバシー侵害阻止

USで飛行機に乗るときに、身分証を見せずにゲートに入ろう、という運動をしている人がいるらしい。
Wired News: The Great No-ID Airport Challenge
しかもこの記事で実際にやってみたジム・ハーパーさんはそこいらの人ではなく、Department of Homeland Security (国土安全保障省、だっけな)の中のプライバシー委員会という微妙な立場の組織の委員らしい。
セキュリティは大事だけど、あちこちでIDを見せないと通行できないようになるのはプライバシー保護的に問題がある、という主張らしい。
で、実際にサン・フランシスコの空港で記者に免許証を渡しちゃって入っていき、身分証は何も持ってませーんといったら。
脇に連れて行かれていつもよりいろいろ検査されたけど。
行列をバイパスできて、かえって良かったとか。
なんのこっちゃ。
でも僕がUSでパスポート持ってませーん、ていうわけにも行かないよなあ。
ちょうど昨日、Enemy of the State (邦題 エネミー・オブ・アメリカ)っていう、NSAが盗聴やら衛星やらを悪用して悪事をもみつぶそうとしている映画(のビデオ)を見たところで、グッドタイミングの記事だった。(ジーン・ハックマンがかっこよかった)
しかし今年訴訟になってた、AT&Tがブッシュ政権の秘密の盗聴プログラムに協力して通信データを提供していたという問題と考え合わせると、冗談ごとではない。
この件は相変わらずもめているようだけど。
米連邦地裁、NSA監視プログラムに関する審理の非公開を求めるAT&Tの要求を却下 – CNET Japan

Smoke on the Waterは2本指

WOWOWでやってた、パープルのメンバーにMchine Headについていろいろ聞くというインタビュー番組をビデオで観た。
ROCK THE CLASSIC ディープ・パープル~マシン・ヘッド|WOWOW ONLINE
インタビューなんて、と思ったけど、とても面白かった。最近の(といっても何年か前だろうけど)メンバーが現れて、当時を回想していろいろ語る。ロジャー・グローヴァーは卓をいじって音の重ね方を解説しながら、リッチーとジョン・ロードは楽器を弾いて見せながら、2人のイアンはへらへら笑いながら2人で突っ込みを入れ合いつつ。
ジョン・ロードはバッハ風のこういう音階をネ、と弾いて見せつつ、こういう風に音を上げるとね、とマーシャルのボリュームをぐいって回す。
で、Smoke on the Waterのリフは、右手は2本指で弾いてたのね。ピックを小指のほうにしまっといて、親指と人差し指で挟むように2本の弦を弾く。生ギターを抱えて「他の人たちはこんな風に弾くけど」と普通に弾いて見せて、「でもこうなんだ、ぜんぜん音が違うだろ」と2本指。その直後に昔のスタジオライブのビデオが流れてみると、ほんとだ。2本で弾いてる。知らなかった。
録音してたホテルの火事は、ザッパのコンサート中に起こったっていうのも、初めて聞いたかもしれない。パープルがモービル・ユニットを持ち込んだホテルにザッパが来てコンサートやって(なんという時代!)、観客席から花火が2発上がって、それが天井に火をつけたと。イアン・ペイスが、花火が2発、こんな風にね、と手まねで説明。観てたらしい。その後ザッパが、みんな落ち着いて、とアナウンスしたけどパニック状態だったと。
Frank Zappa and the Mothers
Were at the best place around
ってのは、実際にそこに居たってことだったのね。

“Smoke on the Waterは2本指” の続きを読む

SOAとAjaxにおけるセキュリティ

InformationWeek | Security | Caution, Developers: SOA And Ajax Open To Attack | 6 6, 2006
Ajax – 増分的にデータを要求し、簡単に通信できる。そのやりとりを分析することで不正なデータ入手が可能。本質的にはDBへのアクセス頻度が上がることが問題。
この意味ではWebサービスも同様に考える必要がある。
攻撃例: SamyによるAjaxワーム。Webサイトのユーザプロファイルへのコード挿入、他ユーザのプロファイルを破壊。

“SOAとAjaxにおけるセキュリティ” の続きを読む

生まれた

仕事中に、生まれました、と電話があった。
それまで特にそわそわもしてなかったと思うけど、ちょっと嬉しかったかも。
ミーティングが終わってもう17時半だったけど2時間かけて見に行った。
大きい。3500以上ある由。口をへの字に結んで目をしっかりつぶっている。寝ているらしい。胸が激しく上下している。
顔はよく言えばしっかり、はっきり言うと仁王のよう。女の子なのに。
名前候補では可愛らしい名前が挙がってたけど、どうも似合いそうにない。
どうしたものやら。