Webアプリケーションへの攻撃をいかに阻止するか?(前編)|巧妙化する攻撃への有効策として普及が進む「Webアプリケーション・ファイアウォール」。製品選定に際しての着眼点はココだ

WAFの解説と、選定に際しての着眼点。
原文を見ると、後編は、WAFのべきとべからず集、になるらしい。
出典は「CSO Online」なのに、日本ではCIOにくくらないといけないのね。
Webアプリケーションへの攻撃をいかに阻止するか?(前編)|巧妙化する攻撃への有効策として普及が進む「Webアプリケーション・ファイアウォール」。製品選定に際しての着眼点はココだ! – CIO Online

 現在、WAFが導入される主な理由は2つある。1つは、PCIデータ・セキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)において、一般公開されているWebアプリケーションは、コード・レビューの実施か、もしくはWAFにより、既知の攻撃から保護することがセキュリティ要件として定められていることだ。もう1つは、セキュリティ攻撃の対象がネットワーク・レイヤからアプリケーション・レイヤに移行しているという認識が高まっていることである。なお、ホワイトハット・セキュリティが2006年1月から2008年12月までの3年間に行った877のWebサイトの評価調査では、82%のWebサイトに深刻度が「高い」、「重大」、あるいは「緊急」の問題が1つ以上あることが明らかになっている。
WAFが備えているべき特徴
●HTTP通信の完全な解析が可能
●ポジティブ・セキュリティ・モデルの提供
●アプリケーション・レイヤに対応したルールを持つ(SQLインジェクションなどの攻撃のあらゆる亜種を検出できる汎用的なルール)
●セッション・ベースの攻撃からの保護が可能
●きめ細かなポリシー管理が可能
OWASPが挙げるWAF製品の選定基準
●誤検出がほとんどない(正当なリクエストを決して拒否しない)
●初期設定状態でも強力な防御機能を発揮する
●堅固なセキュリティ設定が可能な動作モードと、設定の容易な動作モードが用意されている
●防御できる脆弱性の種類が多い
●個々のユーザー・セッションの改竄を防げる
●緊急パッチなどによって問題が生じないよう設定できる
●ソフトウェアかハードウェアとして提供される(一般にハードウェアが好まれる)
 

人類は百万年前に絶滅しかかっていた

Scientific Americanの記事。
Endangered Species: Humans Might Have Faced Extinction 1 Million Years Ago: Scientific American
百万年前には人類のeffective population (有効人口?)が18,500人くらいで、総人口は55,500人と推定される。
なんだかこの頃、人口が減っていた形跡があり、絶滅しかかっていたと思われるらしい。

パスワードは「123456」

パスワードを調べた結果、相変わらず(ますます?)脆弱なパスワードが使われてるという記事。
人類の遺伝子レベルの欠陥、というのが面白い。
ニュースな英語 – goo辞書パスワードは「123456」

記事は昨年12月、FacebookやMySpaceなどにソフトウェアを卸している会社「RockYou」のデータベースがハッキングされた事件に端を発しています。このときネット上に流出した3200万個のパスワードを、「Imperva」というハッキング対策ソフトウェア会社が調査したところ
利用者の20%が、人気のパスワード5000個を使っていたとのこと。つまり、大勢が使いがちポピュラーなパスワードがあるというわけです。逆に言えばハッカーは、そのポピュラーなパスワードを一分に何千個の速度で次々と試行すれば、かなり簡単に情報が盗み取れるのだと。
記事には、情報流出したRockYouユーザーの内、100万人が利用していたという32種類のパスワードが「人気」順で載っています。100万人が32種類ですから、単純計算して、同じパスワードを3万人以上が使っているというわけです。
一番人気(most popular)のパスワードは、前述したように「123456」。記事いわく、ネット黎明期の一番人気は「12345」。人類は20年近くかけてインターネットに慣れて、ネットの危険性をも承知するようになり、その結果とった安全対策と言えば、数字を一ケタ追加しただけだったという……。
そのほかの人気パスワードは、定番の「12345」。そして「1234567」に「123456789」。ちょっとひねって「654321」。
「password」というそのままやん!なものや、「iloveyou」とか「iloveu」(まあ嬉しい)。なぜか「princess」もポピュラー。RockYouというサービスのパスワードを「rockyou」にして、覚えやすさを何より優先してしまったものもあります。
「Imperva」社サイトのこちらによると、調べたユーザーの実に半分近くがパスワードとして「名前やスラング、辞書にある言葉、簡単な言葉(数字の連番や「qwerty」などキーボード上で並ぶ文字列そのまま)など」、推察しやすいものを使っているとか。
これはいったいどういうことなのでしょう? 人類はネットに慣れて賢く用心深くなったかと思いきや。むしろネットに慣れすぎてしまって安全ボケしているのかもしれません。記事では調査したImpervaの担当者が「人類の遺伝子レベルの欠陥なんじゃないかと思う(I guess it’s just a genetic flaw in humans)」とまで。
とするならばせめて、2種類のパスワードを使い分けてくださいというアドバイスに、なるほどと思いました。銀行やメールなど高いセキュリティーが必須なサービスについては、長くて複雑なパスワード(少なくとも12文字で、英数字や記号を組み合わせたもの推奨)。それほどセキュリティーを必要としない(つまり個人情報を提供していない)SNSやお遊びサイト用には、短くて単純なものを。

SQLインジェクションで顧客情報漏洩、SCNB

米ニューヨーク州の銀行、SCNBがSQLインジェクションで顧客情報漏洩。
8千件以上の顧客情報。credentials、とあるからパスワードのことか。
その情報が平文で保存されていたと指摘されている。
攻撃方法はSQLインジェクションではないかと思われる。
SCNB hit by breach – over 8,000 clear text credentials stolen – Security

According to Amichai Shulman, Imperva’s CTO, what is amazing about the case is not just the fact that the bank has taken until earlier this week to reveal that around 10 percent of its customers’ credentials were compromised, but that the data was stored as plain text.
“What I find astonishing about this hack is that you would think that a banking application would undergo much more stress testing than most and, as a result, the storage of user credentials in plain text would have been spotted and remediated early on in the system development process,” Shulman said.
“Although the full modus operandi for this banking hack has yet to be revealed, but given that the server was accessed and 8,378 credentials were stolen, I would assume the attacker gained access using an SQL injection approach,” he added.

米軍のサイトにハッキング

米軍のサイトが侵入され、DBの情報がさらされた。
U.S. Army Website Hacked – DarkReading
犯人は、TinKode、ルーマニアのハッカーらしい。先月はNASAのサイトに侵入した人。
TinKodeのブログ上の報告記事。
TinKode Stuff ≫ Blog Archive ≫ Army.mil full disclosure
マイクロソフトSQLサーバーのSQLインジェクション脆弱性を利用した、とある。テーブルのリスト、平文で保存されていたパスワードなどが掲示されている。
テストから、攻撃ステップが報告されている。
1=1という古典的なパターンが成功、1=2にすると詳細なエラーメッセージを表示してしまっている。

フリー~〈無料〉からお金を生みだす新戦略 クリス・アンダーソン

フリー~〈無料〉からお金を生みだす新戦略 (単行本)
クリス・アンダーソン (著), 小林弘人 (監修), 高橋則明 (翻訳)

# 単行本: 352ページ
# 出版社: 日本放送出版協会 (2009/11/21)
# 言語 日本語
# ISBN-10: 4140814047
# ISBN-13: 978-4140814048
# 発売日: 2009/11/21
新宿あり 予約2件目
原著:
Free: The Future of a Radical Price (ハードカバー)
Chris Anderson (著)
# ハードカバー: 288ページ
# 出版社: Hyperion (2009/7/7)
# 言語 英語, 英語, 英語
# ISBN-10: 1401322905
# ISBN-13: 978-1401322908
# 発売日: 2009/7/7
スゴイ速さで翻訳が出たんだなあ。訳文はところどころ読みにくい。
デジタルデータを筆頭として、いろいろなものが無料化されていく状況の解説。
ロングテールのWired編集長の新刊。
(ロングテールも、アップデート版なんて、出してるのね。)
ロングテール(アップデート版)―「売れない商品」を宝の山に変える新戦略 (ハヤカワ新書juice)
Googleのビジネスや、Linux、その他多数の事例を紹介して、フリーのビジネスの隆盛を論じる。
1895年に米国で発明された食品Jell-Oのレシピ配布が無料のものをマーケティングに使う手法の始まり、として紹介(試供品はその前からあったみたいだけど)するのを皮切りに、歴史的経緯を紹介しているのは面白い。
そして今では、オンラインでは無料であることが当たり前になっている、とまで言い切っているけど。
ちょうど、マスメディアが有償化の動きを見せ始めたのは、皮肉になってしまった。
Media Outlets Prepare to Charge for Content Online – NYTimes.com
ルパート・マードックのNews CorporationがかかえるFox News Channel, The Times of LondonやThe New York Postを遠からず有償化するのを始めとして、ビデオのHuluなどいろんなメディアが有償化を検討しているらしい。
マードックがWSJに書いたコメント:
【オピニオン】新技術はジャーナリズムの脅威ではない=マードック氏 / オピニオン / オピニオン / ホーム – The Wall Street Journal, Japan Online Edition – WSJ.com

質の高いコンテンツは無料ではないということだ。今後、質の高いジャーナリズムの命運は、報道機関が料金を払うに足るだけのニュースと情報を提供することで顧客を獲得できるかどうかにかかっている。

無料のルールというのを提唱している。
説明も書いてあるけど、根拠は今ひとつよく分からない。
他にも、根拠や出典がよく分からない話がいっぱいあった気がする。
1.デジタルのものは、遅かれ早かれ無料になる
2.アトムも無料になりたがるが、力強い足取りではない
3.フリーは止まらない
4.フリーからもお金儲けはできる
5.市場を再評価する
6.ゼロにする
7.遅かれ早かれフリーと競いあうことになる
8.ムダを受け入れよう
9.フリーは別のものの価値を高める
10.稀少なものではなく、潤沢なものを管理しよう

“フリー~〈無料〉からお金を生みだす新戦略 クリス・アンダーソン” の続きを読む

人は原子、世界は物理法則で動く マーク・ブキャナン

人は原子、世界は物理法則で動く―社会物理学で読み解く人間行動 (単行本)
マーク ブキャナン (著), Mark Buchanan (原著), 阪本 芳久 (翻訳)

# 単行本: 310ページ
# 出版社: 白揚社 (2009/06)
# ISBN-10: 4826901550
# ISBN-13: 978-4826901550
# 発売日: 2009/06
社会現象を考える上で、人間ひとりひとりの行動、特性を考えていてもわからないことが多い。集団として初めて現れる特性が重要。それを社会物理学といって、原子の集合の特性を扱う物理学の考え方を取り入れる。
ダニエル・カーネマンの、頭と腹の、二つのシステムや、ベル型カーブでは説明できなくなる広い裾、の話など、他の本でも出てきた内容があり、この辺が最近注目されているんだな。
翻訳はあまり読みやすくない。
関連を感じた本:

この本の場合は、個人個人は利己的な考え方があるのに、集団の中では互恵的な行動をとるようになるところに注目している。
性善説的な説明で、嬉しくなる。
原タイトルは、The Social Atom。すっきり、カッコいいタイトル。
タイトルを翻訳するのって難しいなあ。
The Social Atom: Why the Rich Get Richer, Cheaters Get Caught, and Your Neighbor Usually Looks Like You (ハードカバー)
Mark Buchanan (著)
The Social Atom: Why the Rich Get Richer, Cheaters Get Caught, and Your Neighbor Usually Looks Like You
# Hardcover: 256 pages
# Publisher: Bloomsbury USA (May 29, 2007)
# Language: English
# ISBN-10: 1596910135

スマトラトラに舐められる

監視ビデオカメラが、スマトラトラを撮影した記事。
TigerCam: First-Ever Video of Sumatran Tigress and Cubs in the Wild | Wired Science | Wired.com
初めてらしい。
World Wildlife Federation が設置した監視カメラに、虎が近づいて匂いを嗅ぐ。その後、おそらくカメラを舐めているのではないか、とのこと。

Tiger cubs sniff WWF camera trap from WWF on Vimeo.

Canonが米国企業?

日本は優秀なハイテク製品で評価が高いけど、状況が変わってないか検証してみよう、という記事。
Roundup: East vs. West Smackdown | Wired.com Product Reviews
最初はビデオカメラで、
Japan Sony HDR-XR520V

USA Canon Vixia HF S11
CanonはいつからUSAの会社になったんだ。
しかも評価内容が、メモリ容量がソニーの方が大きいからソニーの勝ち、って。