PCI準拠には費用がかかるが情報漏洩に比べると小さいものだ

TJXの損失$12Mと比較して、PCI準拠を実装したIntuition Systemsを紹介。
Intuitionはカードを含めた決済サービスを提供する会社で、PCI準拠のために$250kを投資した、ということで、費用はかかったが情報漏えいが防げるなら安いものだ。
PCI Costs, But Not as Much as a Data Breach – Application and Perimeter Security – Dark Reading
Intuitionのコメントとして、顧客は頻繁にアプリケーションの変更を要求してくるが、PCIに準拠しようと思うとそのたびに脆弱性検査をしなければならない、その代わりにWAF等に投資した。

“PCI準拠には費用がかかるが情報漏洩に比べると小さいものだ” の続きを読む

サムソンのUMPC

Origami – UMPC (Ultra Mobile PC)仕様の新製品。
Gadget Lab – Wired Blogs
800-MHz Intel Ultra Mobile CPU, 1 gig of RAM, and Windows Vista Home Premium OS
Big 7-inch touchscreen. SD media card slot
Vistaなんか乗らなくても、その分軽くしてくれたほうがいいんだけどなあ。
両側に分かれたキーボードを使ってみたい。

ドイツの銀行サイトにおけるXSS

ドイツの銀行sparkasseのサイトにXSS脆弱性があり、「デモンストレーション」された。
Full Disclosure: XSS vulnerability on various german online banking sites (sparkasse)
From: Ulrich Keil
Date: Thu, 17 May 2007 06:08:34 +0200
The “Sparkassen-Finanzgruppe” with a transaction volume of over 3.300
billion euro is one of the largest banks for private customers in
germany. Many local member-banks of the group use the online banking
portal provided by sfze (http://www.sfze.de/), a subsidiary company of
Sparkassen-Finanzgruppe.
Vulnerability:
The online banking software of sfze does not check the HTTP GET
Parameter “KONTO” on the login page, and displays the content of this
variable without modification within the html form area.
Impact:
An attacker may gather login data (ID+PIN) from customers of the
Sparkassen-Finanzgruppe by tricking them to click on a special crafted
link, which points to the original login page of the online banking system.

NTT東でのCiscoトラブル

NTT東日本のフレッツ障害はCiscoのルータのトラブルだったと言う記事。
Cisco routers caused major outage in Japan: report – Network World
関連情報として、NTT東と西はコアルータの次期機種選定の最終段階にあり、東はCisco、西はJuniperの製品を評価中で、その選択はこの事故後も変わりそうに無い、と言ったことまで触れている。
国内の記事はルータのメーカーまで報道しているところはあまり無いみたいだけど。
報道文化の違いなのか。
ITmedia News:ルータ2000台が3秒でダウン 「フレッツ」「ひかり電話」大規模障害

 障害が起きたのは、15日午後6時44分ごろ。台東区蔵前にある同社ビル内に設置したルータ1台でハード故障が発生したため、予備系に切り替えて故障部分のパッケージを交換し、その後元のルータに再接続したが、これが引き金になった。
 再接続すると、同社管内の約4000台のルータでルート情報の自動書き換えが行われるが、その際、一部で処理能力を超えるルート情報が発生。連鎖的に約2000台のルータで処理能力をオーバーして「ルートフラッピング」と呼ばれる状態になり、パケット転送処理が停止した。
 管内の全ルータが処理しているルート情報は約1万5000。再接続したルータが持っていたルート情報は約80ある。再接続の際、各ルータは1万5000のルートから80のルートを探し出して再計算する処理を行ったが、処理能力の低い旧バージョンのソフトをインストールしていたルータの一部で処理が追い付かず、機能を停止した。
 あるルータが機能を停止すると、そのルータのルーティング情報を書き換える負荷が他のルータにも加わり、負荷を高めることになる。この結果、旧バージョンのソフトを利用していた計約2000のルータが連鎖的に停止に追い込まれた。

IBMのBig GreenにおけるXML

IBMがエネルギー効率の改善に10億ドル投資して世界のビジネスを変革すると言うBig Greenの中で、XMLおよびWebサービスのセキュリティー処理にも言及。
IBM データセンターにおけるエネルギー危機に対する取り組みを発表 – Japan

「WebSphere? DataPower? SOA Appliances(WebSphere DataPower SOAアプライアンス)はXMLおよびWebサービスのセキュリティー処理において、通常のサーバーを用いたシステム単体で行った場合の72倍もの性能を発揮しています。たとえばXMLアプリケーションを導入しWebサービスの保護を行いたいと考えるお客様の場合、パフォーマンスの向上とアプリケーション待ち時間の削減を行えると同時に、システムの設置面積と消費電力が削減されるところから、同様の業務を行うためのハードウェア資源の追加が不要となります。

人気通販サイトに脆弱性悪用のトロイの木馬が潜伏

ITmedia News:人気通販サイトに脆弱性悪用のトロイの木馬が潜伏

 Microsoftがアニメーションカーソルの脆弱性を修正した後1カ月以上たって、マニアに人気のネットショッピングサイトTom’s Hardwareのバナー広告の1つに、この脆弱性を悪用したトロイの木馬が潜んでいるのが見つかった。
 Webセキュリティ管理サービス会社のScanSafeは5月8日、似通ったトラフィックがブロックされる例が急増しているのを発見。Tomshardware.comが知らないうちに問題のバナー広告をホスティングし、マルウェアを自動的にダウンロードするサイトにユーザーをリダイレクトしていることが分かった。取材に対しScanSafeの製品戦略担当副社長のダン・ナディア氏は、問題の広告はサイト本体とは別にアルゼンチンでホスティングされていると説明した。

Oracleの新監査ツール – プロセッサあたり6百万円 – AuditVault

データベースから引き出した情報を一元管理し、監査データの綿密なチェックを可能にする監査ソフトウェア「Oracle Audit Vault」
オラクル、法令順守を支援するデータベース監査ソフトを出荷 : ソフトウェア&サービス – Computerworld.jp

  • Oracle Audit Vaultは、Database Vaultに搭載されているセキュリティ機能(データベースへのユーザー・アクセス管理)を強化するための製品
  • 現在、連携可能なデータベースは、Oracle Database 10g Release 1、Oracle Database 10g Release 2、Oracle9i Database Release 2の3種類のみ
  • インパーバやルミジェントなどのサードパーティ・ベンダーも、同様の製品を出荷…複数のデータベースをサポートしている点にメリット
  • Audit Vaultの価格は、1プロセッサ当たり5万ドル

“Oracleの新監査ツール – プロセッサあたり6百万円 – AuditVault” の続きを読む

Interop iLabs NAC Resources

Interop iLabs NAC Resources
NAC Resources
Contents
NAC: Network Access Control
Interop Labs Overview, Topology, and Presentations
Interop Labs Team White Papers
TCG/TNC Specifications
IETF Specifications
Vendor White Papers
Configuration Files from Labs Testing
External links and other resources
802.1X Background Information White Papers
NAC Topology and Presentations
Presentation on the NAC Labs (Flash)
NAC iLabs Booth Overview (PDF) (PPT) (also from 2006: (LV2006 PDF) (LV2006 PPT) (NY2006 PDF) (NY2006 PPT) )
NAC terminology glossary and map between IETF, TCG, Cisco, and Microsoft (PPT)
NAC iLabs addressing topology (XLS) (probably not interesting to most) (LV2006 version NY2006 version)
Interop Labs NAC Class Las Vegas 2007 (PDF) (PPT) ( 2006 class (PDF) (PPT))
Joel Snyder’s NAC Day Presentation (Courtesy Opus One)
——————————————————————————–
Interop Labs Team White Papers
Here are the white papers from the 2007 iLabs NAC project. All are PDF files. You may reproduce and distribute these files unchanged.
What is NAC? Generic network access control at its core is a simple concept: Who you are should govern what you’re allowed to do on the network. NAC, then, is simply the hardware and software that together let you enforce access control policies based on who you are.
What is 802.1X? Understanding what IEEE 802.1X is, its relationship to NAC, and why you should care about it means understanding three separate concepts: EAP (Extensible Authentication Protocol), IEEE 802.1X itself, and Tunneled Authentication.
Getting Started with Network Access Control If you’d like to implement Network Access Control, no matter what architecture you select, you definitely want to start by building a small interoperability lab. In this white paper, we’ll give you some advice on what to think about before you get started, and outline what resources you ll need to have in place in order to begin testing.
What is TCG’s Trusted Network Connect? The Trusted Computing Group (TCG) is an industry standards body formed to develop, define, and promote open standards for trusted computing and security technologies. TCG has developed an open architecture and standards for Network Access Control called Trusted Network Connect (TNC).
What is Microsoft’s Network Access Protection? The most significant differences between Microsoft’s Network Access Protection architecture and other NAC architectures you see in the iLabs come because Microsoft does not make switches or routers. Therefore, the path for handling enforcement is different, focusing on server enforcement and standards-based switch enforcement. The original intent of MS-NAP was not security, but to find and quarantine non-compliant clients in the enterprise LAN. As the interest in NAC has increased, Microsoft has adjusted their architecture to include more enforcement mechanisms, and it’s the 802.1x portion of MS-NAP that we tested for interoperability in the iLabs.
What is Cisco NAC? Cisco’s Network Admission Control, which we’ll call CNAC to avoid overloading the acronym NAC (for Network Access Control), maps directly to the IETF and TCG TNC architectures. Cisco has published a set of architectural overviews, supported product tables, and deployment guides. This white paper is derived from some of those overviews as well as the results of our iLabs testing. You may find it helpful to have our companion white paper, Network Access Control Architecture Alphabet Soup, in hand showing the diagram with different parts of a NAC architecture.
What is IETF Network Endpoint Assessment? The Internet Engineering Task Force (IETF) is the ultimate arbiter for Internet protocols. They have standardized dozens of critical protocols like IP, TCP, FTP, HTTP, SMTP, and IPsec. With its many competing and incompatible architectures and standards, Network Access Control is ripe for standardization. Fortunately, the IETF has started a Working Group in this area: the Network Endpoint Assessment (NEA) Working Group.
Switch Features for NAC As an IEEE standard, 802.1X is a critical building block in each of the three major NAC architectures. Before deploying one of the NAC architectures, the first step is to roll out 802.1X. This whitepaper will cover the switch and access point features that support an 802.1X environment.
How to Handle NAC Exceptions The IEEE 802.1X standard gets all of the attention when NAC is discussed because it works well, and consistently, across many networking vendor’s hardware. NAC deployments often depend on 802.1X both for authentication of the end-user and as a mechanism to tunnel end-point posture assessment information. IEEE 802.1X is a key strategy for interoperable and standards-based NAC deployments. Most network engineers understand that some devices can’t be full NAC clients with 802.1X support, but what is surprising is that dealing with these “NAC Exception” devices will consume a disproportionate amount of time. The 20% of devices that can’t run 802.1X may end up burning 80% of your design and deployment time.
Develop a “NAC” for Troubleshooting The use of a network analyzer can be invaluable to assist you in troubleshooting and optimizing your Network Access Control (NAC) process. In the testing and implementation phases of NAC, a network analyzer offers visibility into the network and offers valuable assistance in troubleshooting potential configuration and compatibility problems.
Network Access Control Resources This white paper provides pointers to some resources that we ve found helpful in our research on Network Access Control (NAC) architectures and interoperability.

OASIS WS-Federationに対する批判

IBMとMSがWS-FederationをOASISに提出したのを受け、OASISでWSFED TC発足。
(報道発表 5/2 OASIS Members Form Committee to Advance WS-Federation Identity Management Specification )
しかし既存のOASIS標準と重複する部分があると言う批判もある。
Proposed Microsoft, IBM identity protocol standard spawns controversy – Network World
特にSAML 2.0のbrowser-based federationとWS-FederationのPassive Requester Proficleが指摘されている。
WS-Federationが未標準化の規格WS-Transferに依存している点も問題。
批判的な意見を表明しているのはNTT、Sun、Oracle、Nokia、France Telecomなど。
MSのコメント「2つの世界を統合したり橋渡ししたりするつもりはない」 ああそうですか。

再春館製薬所不正アクセスで個人情報14万件流出

再春館製薬所が不正アクセス被害 – 試供品請求者や購入者の個人情報流出か:Security NEXT
外部の何者かにより同社ウェブサイトが不正アクセスを受けたもの。同社が5月1日に定例のシステムチェックを実施したところ、アクセス数が異常に上昇していたことから被害に気が付いたという。