月別: 2008年10月

Googleを駆使したWeb攻撃が急増

RSA Conference Europe 2008でGoogleを利用した攻撃手法の指摘。
Googleを駆使したWeb攻撃が急増――セキュリティ専門家が指摘 : セキュリティ・マネジメント – Computerworld.jp

Impervaでは最近、GoogleのIPアドレスを使ってSQLインジェクション攻撃を実行する方法を発見したという。Shulman氏は同コンファレンスでこの攻撃に関するプレゼンテーションを行ったが、攻撃の仕組みについては詳細を伏せた。
 ただし、同氏はこの攻撃にGoogleの広告システムが関係していることを認め、Googleに通知したことを明らかにした。同氏は「(同攻撃は)攻撃者が匿名性を保てるうえに、Googleを自動化した攻撃エンジンとして利用できる」と語った。
 実際「Goolag」「Gooscan」といったツールを利用すれば、インターネット上を広範囲に検索して特定の脆弱性をスキャンし、こうした問題を抱えるWebサイトのリストを作成することが可能だ。

正規のWebサイトを検索結果から消し去ってしまう「サイト・マスキング」

Googleの検索エンジンは、コンテンツの重複したWebサイトにはペナルティを科し、一方がGoogleのリストから外れるようになっている。ハッカーはこれを利用し、プロキシ・サーバを通して新たなサイトを作り、正規Webサイトへのリンクを張る。
 Googleでは、プロキシのドメインにあるコンテンツをインデックス化してしまう。さらにほかのプロキシ・サーバを利用してこの作業が数回行われた場合、Googleは正規ページを「複製」だと判断し、インデックスから消去してしまうというものだ。
 シュルマン氏はサイト・マスキングを「企業にとってかなりやっかいな問題」と指摘したうえで、「Webサイト管理者がこのような攻撃を防ぐ手段としては、検索エンジンの正規IPアドレス以外からはインデックス処理ができないようにしてしまうことだ」と語った。

WAFかセキュアコーディングか

Webアプリケーションのセキュリティ対策はWAFが良いのかセキュアコーディングが良いのか、という不毛な議論はもうやめましょうよ、という記事。
WAF vs. Secure Code vs. Dead Fish | securosis.com

Dead Fishがなぜ出てくるのか、よくわからない。
書いたのは元ガートナーのアナリストだったRich Mogull。 以前からアプリケーションレベルのセキュリティを調査している。
PCI DSSの要件6.6でWebアプリケーションの保護手段として、コード検査かWAF導入かどちらか、と規定されたために起こっている混乱に疲れた、と言っている。

酔っ払ったケイジャン2人が、ガンボの中でエビか豚肉のどちらがより重要か言い合っているようなものであって、実際はどちらが欠けても台無しになる。

っていうたとえは面白いけど、日本では理解してもらえないだろうなあ。しかも僕としてはエビかオクラといって欲しかった。
両方実施するだけの体力のない企業は、アプリケーションを抱えずにアウトソースするか、とりあえず検査を受けてみてその結果を見て検討するように勧めている。
開発フェーズと運用フェーズのセキュリティ対策が一元化できていないところが一番の問題だと思うんだけど、そこで必要なのは、まず組織的に開発とセキュリティが連携できることじゃないかな。

ランボルギーニのパトカー

すっげー。
こんなのに追いかけられたら、たまらん。
東京じゃ使えないだろうけど。

ランボルギーニ、伊警察に高級スポーツカーを提供

2008年10月25日 12:24 発信地:ローマ/イタリア

【10月25日 AFP】イタリアの自動車メーカー、ランボルギーニ(Lamborghini)が特別に安全仕様を施すなどした高級スポーツカー1台を同国警察に寄贈する。同社の広報が24日発表した。 今回……
≫続きを読む

テッド・ニュージェントの本が全米9位のベストセラー

ニューヨークタイムズのノンフィクションベストセラーのリストに、Ted, White & Blueが載っていた。
Hardcover Nonfiction – List – NYTimes.com

今週は9位、先週は8位だったらしい。
恐ろしい国だ。
テッド・ニュージェント著 「Ted, White & Blue: Nugent Manifesto」 – けにあmemo

US夏のツアーで稼いだアーティストトップ10

この夏のコンサートツアーにおける興行収入の記事。
Economy can’t cool summer tours: Earnings rise 5% – USATODAY.com

景気が良くないにもかかわらずツアーの収入は前年比5%アップ。
アーティストトップ10は…
1 Kenny Chesney – カントリーの人らしい。
2 The Police
3 Tom Petty
4 Dave Matthews Band
5 Bruce Springsteen
6 Billy Joel
7 The Jonas Brothers
8 American Idols Live
9 Neil Diamond
10 Rascal Flatts
なんか、おじさんたちががんばってるなあ。
ブルース・スプリングスティーンまでやってるんだ。
7 The Jonas Brothersはさわやかポップの若者たちで、期待を上回る成功らしい。

AdobeのWebサイトがSQLインジェクション攻撃受けマルウエア配布源に,Sophosが警告:ITpro

SQLインジェクションによるWebサイト改竄の記事。
AdobeのWebサイトがSQLインジェクション攻撃受けマルウエア配布源に,Sophosが警告:ITpro

SQLインジェクション攻撃(関連記事:急増するSQLインジェクション攻撃)を受け,アクセスしてきたユーザーのパソコンに悪質なスクリプトMal/Badsrc-Cをダウンロードする。このスクリプトが機能すると,さらにスパイウエアをダウンロードし,個人情報の不正取得などを図る。

SymantecがMessageLabsを買収 – セキュリティSaaS

SymantecがMessageLabsの買収を発表。
http://www.networkworld.com/news/2008/100808-symantec-to-buy-e-mail-security.html?fsrc=netflash-rss
Symantec to buy e-mail security vendor MessageLabs – Network World
$695 million
MessageLabsはメールとWebのフィルターサービスを提供、顧客の3分の2がヨーロッパ。
Symantecが既に提供しているデータバックアップやリモートアクセス等のオンラインサービスと統合。
ただし既存のSymantecサービスをMessageLabsのデータセンターに統合する形になる模様。
いよいよセキュリティSaaSが本格化するか。

テッド・ニュージェント著 「Ted, White & Blue: Nugent Manifesto」

テッド・ニュージェントが新しい本を出した。
ちょっとさあ、とうとうここまできたか。
とてもついていけない。
まずタイトルのTed, White & Blueってのは、Red, White & Blue (星条旗のこと)に引っ掛けてんのね。はい、はい。
オフィシャルサイトの宣伝The Official Community of Ted Nugentによると。

その時がきた
アメリカは指導者を求めてきたが、ついに、銃をぶら下げた、大ロックスターで、鹿殺しの愛国者がその役を進んで引き受けた。

鹿殺しって何だよ。

TED NUGENTに道を譲れ
撃ち方良し、不動の姿勢で、ロックの準備も良し、かのモーターシティマッドマン、あるいはデキる男のアブラハム・リンカーンが、究極の高オクタン価政治マニフェストを全世代のために解き放ったTed, White, and Blueは、憲法制定以来最も重要な愛国的文章だ。
Ted, White, and Blueを読めばこれがわかる:

  • なぜ戦争が、現状のさまざまな問題の答えとなるのか。
  • なぜ、テッドがメキシコ人だったら革命を始めるのか。
    (そして、現実には違うので、どうやって国境を守るべきか)
  • サムおじさんにダイエットさせる方法。
    (政府の浪費監視プログラム)
  • 世界を良くするために、いかに神と銃とロックンロールの力を利用するか。

もしアメリカを気遣うなら、もしこの自由の大地と勇気の故郷を守りたいなら、そしてもし怠惰で情けない脅かしやで政府を食い物にするアル・ゴアやマイケル・ムーアやオバマニアックスに嫌気がさしているなら、Ted, White, and Blue: The Nugent Manifestoを読まなければいけない。

もう疲れたけど宣伝文はまだ続く。
テッドが如何にすごいかがいろいろ書いてある。
テッドのTV番組Ted Nugent Spirit of the Wildは、アウトドアチャンネルのハンティング番組ランキングで1位になった。(だいぶ細かいな)
1995年から、NRA(全米ライフル協会)の役員。(びっくり)
2008年は50周年記念のOperation Rolling Thunderツアーを実施し、6000回目のコンサートを開き、アメリカとヨーロッパにおける動員記録(おそらく累計)を打ち立てた。(これは単純にすごいな)
この後、推薦の言葉が4人分並んでいる。
最初のToby Keith, country music starがほめてるのは良いとして。
2番目が元アーカンソー州知事のマイク・ハッカビーって、去年大統領候補選に出馬してた人が、「私はテッドの音楽やメッセージ、そしてわるびれず男らしい人生への対し方が好きだ。」なんていってる。残りの2人は、フィラデルフィアのDJと現役のテキサス州知事。
Rolling Stone誌では関連ニュースが結構流れている。
Ted Nugent Wishes Sarah Palin Luck This Hunting Season : Rolling Stone : Rock and Roll Daily

テッドが副大統領候補の話題の人、サラ・ペイリンに本を贈った。

ちなみにサラ・ペイリンは僕の3日前に生まれた人らしい。
8月24日には、
Ted Nugent Threatens to Kill Barack Obama and Hillary Clinton During Vicious Onstage Rant : Rolling Stone : Rock and Roll Daily
テッド・ニュージェントがステージで、バラク・オバマとヒラリー・クリントンの命を脅かす演説
“Obama, he’s a piece of shit. I told him to suck on my machine gun. Hey Hillary,” he continued. “You might want to ride one of these into the sunset, you worthless bitch.” Nugent summed up his eloquent speech by screaming “freedom!”
これは僕にはちょっと訳せない…
しかし、あほか。
あきれながらいろいろ見てたら、こんなのが出てた
Sweden Rocks (Dol) ~ Ted Nugent (DVD – 2008)
から、ポチっとしてしまった。
わくわく。
こっちはすんでのところで踏みとどまった。
Rockin the Corps ~ Various Artists (DVD – 2005)
イラク帰還兵を迎えるイベントでKISSやその他一杯でているそうだけど。
テッド・ニュージェントの星条旗よ永遠なれだけ見たいんだよなあ。他はいらないんだけどなあ。
で結局、本は買うべきなんだろうか。ギター弾いてるテッドが好きなだけで、中身は読みたくもないんだけど。

「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明:ITpro

最近また多いなあ。
「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明:ITpro

GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。

VoIPでもSQLインジェクションがある

Unified Communication (電話、音声、ビデオ、IMなどのトラフィックをすべてTCP/IP上で運用すること)におけるセキュリティの記事。
ユニファイドコミュニケーションのセキュリティの勘所 - TechTargetジャパン

SIPとSCCPに関連した問題としては、各種のバッファオーバーフローのほか、SQLインジェクション攻撃の脆弱性などがある。

それは知らなかった。
調べて見ると、
SNOCER

ここに “SIP Message Tampering: THE SQL code INJECTION attack”という論文があり、SIPやSQLインジェクションの簡単な説明から、SIPメッセージにSQLを挿入する手法、実証実験(SIPクライアントとしてMicrosoft PortraitとOsip使用)、防御・検知の方法などが書かれている。防御方法としては、ゲートウェイを立ててフィルターする、SIPメッセージに電子書名をつける、SIPサーバーからDBにアクセスするユーザーの権限を絞る、など。
SES SIP SQL Injection | Research | VoIPshield Systems Inc.
2008-04-01
AvayaのサーバーでSIP REQUESTにSQLコマンドを挿入して実行できてしまう。
SPIM Unauthenticated SQL Injection | Research | VoIPshield Systems Inc.

Avayaのサーバーでアカウント情報なしでSQLコマンドを挿入できてしまう。
Address Book SQL Injection | Research | VoIPshield Systems Inc.

Cisco Unified Communications Managerで、WebサーバーにSQLインジェクションの脆弱性がある。 これはSIPに関係するわけではないか。
Full Disclosure: Owning the internal network with SIP (part 1) and a Linksys Phone

LinksysのIP電話機に対して、脆弱性を利用してスクリプトを挿入する。
なるほど。
そうするとSIP用のファイアウォールというものが必要なわけで。
既にいくつか存在する。
Interex SIP Firewalls
Ingate Firewalls – enabling SIP-based VoIP also outside the enterprise

BorderWare SIPassure VoIP/SIP Security
ただしNATできることあたりが主な機能で、SQLインジェクションまで語っているところはなさそう。