読者です 読者をやめる 読者になる 読者になる

以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

マジStruts2によるお漏らし案件多いっしょ…

Apache Struts2の脆弱性によるカード情報流出・個人情報流出が続発している件について。GMOPGが手がけた都税支払いサイトや、日本郵便の国際郵便マイページなど。特にGMOPGの案件は信用に大ダメージっしょ…。保存しちゃいけないCVVまで漏れてしまっていると…

パスワード管理について少し考え始めた

最近、パスワード管理ソフトを本気で使ったほうがいいのかなぁと思い、いろいろ試してみたりしている。今はEnpassというのを試しに使用中。ローカル保存型で、標準でDropboxなどのクラウドストレージへの同期もできたりする。Chromeの拡張機能がありショート…

VPSに入れていたRDBMSがMariaDBでよかったと思った瞬間

OracleのMySQLで重大な脆弱性があり(ITmedia)、Oracleとしては10月のパッチで対策する予定のようだが、VPSには「8/30までに対策済」とされるMySQLのフォーク版であるMariaDBを入れてある(もちろん更新済)。こういう重大なセキュリティ脆弱性には素早く対応し…

Leaked Sourceからメールアドレスに紐付く情報を削除してみるなどした

サービス等から流出したIDなどのデータが検索できるLeaked Sourceに思いっきりメールアドレスが登録されていた(Dropbox*1、Tumblrなど)ので削除手続きしてみた。普通は検索すると最低限の情報(どこのサービスで流出したか、どのような内容が流出したか)しか…

PSN(SEN)に2FAが導入されたようだが…

2段階認証 | プレイステーション® オフィシャルサイト PSN(SEN)にSMSによる2段階認証(2FA)が導入されたが、そこそこ罠がある件について。まず、PS4、ブラビア、PS App、アカウント管理サイト以外(PS3/PSVita(TV含む)/PSP/Xperia)は専用のパスワード(機器設定…

Let's Encryptがメールアドレスお漏らしというのをやらかしてくれたぞ

ちょっと急ぎ目に書く。Let's Encryptが利用規約更新についてのメールを配信した所、システムのバグにより配信先メールアドレスがBodyに出てしまい、Let's Encryptユーザーの一部に対して流出してしまった模様。自分のアドレスも見事に流出。 公開するなよ!…

Amazon SES+ACMでCloudFront運用のrita. xyzをSSL通信可能にしてみた

rita.xyzはAmazon CloudFrontを用いてS3内のコンテンツを配信している。何気にAmazon Certificate Manager(ACM)でSSL用の証明書を取得してSSL通信可能にしてみようと思ったが、ACMはメールでのドメイン認証が必要。あいにくrita.xyzにはMXレコードを設定して…

2013年初頭にTumblrのID(メールアドレス)/パスワード(ハッシュ)が漏れていたらしい

ID/PW等の情報が流出していないかを確認できるサイト、Have I been pwned?からメールが来て知ったのだが(画像は検索した時の画面)、2013年初頭にTumblrに登録しているメールアドレスとパスワード(SHA1でsalt付きハッシュ化されている)が流出していたことが最…

InsecamのVNC版ですね、わかります(リアルタイム性はないけど)。

World of VNC インターネットに野ざらしにされているパスワードの掛かっていないVNCサーバーを晒しあげしているサイトを某Gにて見かけた。3000以上のパスワードなしVNCサーバーがキャプチャと共に掲載されている。Insecamとは違い、キャプチャは収集時点での…

金融機関のID/PWを盗むスパイウェア入りの振込受付メールが3通も届いた件

今日、同じ内容のウイルスメールが3通も来たので注意喚起的な意味で書く。 (意訳:ウザいから晒す) 内容 本メールは、セキュリティ強化のため、電子署名をつけてお送りしています。 ~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~2016年3月3日にお振り込みを受け付けい…

なんかよくSSL関係の脆弱性見つかっているような…

DROWN Attack 全体の33%のHTTPSサイトが影響を受けるDROWNというSSLv2プロトコルでの脆弱性が発見されたようで。SSLv2プロトコルは現在使われていないプロトコルのはずだが、設定ミスで使用可能になっていたりすると復号できてしまう恐れがあり、さらに秘密…

Tor Browserが日本語対応した模様(ただし漢字が中華フォント)

通信経路を匿名化するTorとFirefox(Tor Button、NoScriptなどのアドオン付き)がセットになったTor Browserがバージョン5.5よりようやく日本語に対応した模様。このバージョンからフォント一覧によるフィンガープリント対策が施されているが、その関係なのか…

インターネット上に野ざらしになっているIPカメラの一覧サイト Insecamがヤバイ

Insecam - World biggest online cameras directory パスワードを掛けずにインターネットに公開されてしまっているIPカメラの一覧サイトが話題になっているらしい。日本の登録数はアメリカに続いて2番目に多いという。見てみると主にパナソニック製IPカメラ…

Let's Encryptのパブリックβが始まったので早速使ってみた

無料でSSL証明書が作れるLet's Encryptのパブリックβが始まったので早速使ってみたメモ。Linuxなどからコマンドラインで操作する必要はあるが、簡単かつすぐに証明書が取得できた。オレオレ証明書で赤かったhttpsの文字が数分で緑色になった。 この記事ではU…

SolveMediaのCAPTCHAでついに恐れていたこと「マルウェア配布サイトへのリダイレクト」が起きてしまった件について ※一時的だったっぽい?

8月に、SolveMediaのCAPTCHAを利用しようとするとページに表示されている広告が特定の広告に差し替わる現象が起きていると書いた。現在も一部サイトのSolveMediaでAmazonの広告に差し替わる現象が起きている。 広告強制差し替えはいろんな意味(セキュリティ…

SSHの鍵認証をRSAからECDSAに変更した

photo by ~Brenda-Starr~ VPSやRaspberry PiのSSH接続に使用する鍵の方式をRSAからECDSA*1に変更してみるなど。本当はEd25519を使ったほうがいいんだろうけれどCentOSやRaspbianのOpenSSHが対応していないっぽい(OpenSSH 6.5以降対応なのだがバージョンが古…

先日GitHubがFIDO U2F準拠セキュリティキーに対応したので設定したのは秘密

GitHub supports Universal 2nd Factor authentication · GitHub 先日、GitHubがFIDO U2F準拠のセキュリティキーに対応したので早速登録してみるなどした。といってもGitHubあまりつかってないけどね(GitHub Pages公開していたりGistをいくつか公開している…

何気に銀行コード0033〜0041までの銀行のネットバンキングのSSLサーバーをテストしてみた

何気にSSL Server Testを新形態銀行のネットバンキングのサーバーに対して実行したらB以上が出なかったアレについて。中にはTLSでPOODLE脆弱性があったりするものも。セキュリティ重視するならAくらいは欲しいけどC以下ということは大人の事情かなぁ( という…

FIDO U2Fセキュリティキーが届いたので試してみた

22日に注文した、Plug-up International社のFIDO U2Fセキュリティキーが届いたのでGoogleの2段階認証で利用できるように設定してみたの巻。続きを読むから。

物理的な2段階認証

FIDO U2Fセキュリティキーを購入してみようかなぁと思っていたり。Google ChromeでGoogleにログインする時にキーを挿して(物によっては)ボタンをポチっとするだけというハードウェア的に2段階認証ができるやつ*1。一番安い画像のこれだと4.99ドル(1.00ドル引…

114日以上の連続稼働日数がリセットされた瞬間

今日、使用しているVPSを再起動したのは秘密。というのも、VENOM脆弱性絡みで(画像はVENOMのサイトのスクショ)。強制再起動メンテナンスの日程は執筆時点でまだ決まっていないが、一足早くコールドリブート(shutdown -h nowで停止→コントロールパネルから起…

SolveMediaも一部日本語対応したようです

最近SolveMediaのCAPTCHAで画像のようなパターンの表示が見受けられるようになった。ボタンを押すと右の画像のような大きいウィンドウが表示される。このパターンの場合、大きいウィンドウに答えを入力、閉じると答えが元の入力欄(左の画像の方の入力欄)に入…

2段階認証でバックアップコード使ったの初めてなのでは

今日発生したTwitterの障害のせいでTwitterアプリからログアウトされた。携帯にインストールしてあるアプリによる2段階認証(2FA)を使っているが、そのアプリからログアウトされているので「通知を送信しました」と言われても何もできない。なので2FA設定時に…

スマフォ+Tor(Orbot)+サーバーソフトで .onionな携帯サーバーとは

AndroidスマートフォンにOrbotと適当なサーバーソフト*1を入れてHidden Service Hostingを設定しておけばTor経由でのみアクセスできる携帯可能な移動式サーバーのできあがり。サーバー端末側が3GやLTE環境下でも大丈夫。実験したから間違いない*2。Orbotの設…

I2PをRasPiに入れるメモ

あまり知られていないが、Androidアプリが最近出たりした、Torと同じく通信経路を匿名化するI2PをRaspberry Pi(Raspibian)に導入するメモ。参考:https://geti2p.net/ja/download/debian 0.(インストールまではroot権限で行うこと) 1.以下の内容で/etc/apt/so…

勝手にユーザーIDの問い合わせをされていた

昨日、GOM会員サービスからいきなりユーザーIDの案内メールが来た。最初は定期リマインダー?と思ったが、その数時間後また同じメールが来たので、これはもしや誰かが勝手に自分のメールアドレスでユーザーID問い合わせているなと判断。 このIDは使用してい…

VPSに来たShellShock脆弱性利用攻撃のログを晒してみる

ShellShockの攻撃ログを晒してみるテスト。一部はIPを隠しています。 ShellShock発表のあとにスキャンされた例 209.126.230.72 - - [25/Sep/2014:10:21:03 +0900] "GET / HTTP/1.0" 200 141 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http:…

bashのアレ(#shellshock)、VPSとかはアップデートしたのはいいが

bashのセキュリティの脆弱性の件(#shellshock)、VPSやRaspberry Piでは更新したが、Macのbashが更新できてない。というかできなさそうな雰囲気。10.4.11 Tigerというかなり古いバージョンに搭載されているbashは2.05b.0(1)で、見た限り2.05bにはパッチが用意…

bot達の無駄な行動をご覧ください

先月Dokuwikiへのユーザー登録を試みるbotについて書いたが、ここでそのbotのアクセス記録の一部を公開。mod_rewriteを利用して?do=があるリクエストを抽出していたがDokuwiki側の.htaccess内mod_rewriteの設定と競合してバグっていた*1のですべてのリクエス…

Google認証システムからAuthyに乗り換え中

2段階認証でお馴染みGoogle認証システムだが、CEX.IOの登録時に登録させられたAuthyに現在乗り換え中。万一端末を紛失したりした場合でもサーバーのバックアップから復旧できたり(もちろん暗号化はされている)、アプリの起動時に暗証番号を要求したり、複数…

リスト型攻撃とか流行ってるなぁと

はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い - はてなの日記 - 機能変更、お知らせなど はてなでも流出したID/PWなどを用いてログインを試みようとするリスト型攻撃を受けた模様。最近流行っ…

やっぱりbotですよねぇ

前書いてたらごめん。rita-ch.comはDokuwikiで構築されているが、spam攻撃を試みようとユーザー登録しようとしてくるbotがそこそこいる。このWikiはユーザー登録を封印しているのでやるだけ無駄だが、精神衛生上(気にしすぎ)「GET /start?do=register HTTP/1…

SHODANに相談(しません)

自分のVPSではiptablesで一部VPNが収容されているIP帯をブロックしているが、その中にSHODAN(参考)というサーバー検索エンジンのクローラーが含まれている模様。iptablesのログを何気に見るとcensus*.shodan.io(*は数字が入るし入らない場合もある)から様々…

最近axa.phpやPMAのsetup.phpを探ろうとする事例が発生している模様

58.137.**.* - - [28/Jan/2014:06:56:25 +0900] "GET /phpTest/zologize/axa.php HTTP/1.1" 403 226 "-" "-" 58.137.**.* - - [28/Jan/2014:06:56:25 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 230 "-" "-" 58.137.**.* - - [28/Jan/2014:06…

そういえば:mod_securityを導入

VPS(CentOS6.5 64bit)のhttpdのmod_securityを導入してみたメモ。 インストール ソースをDLしてapxsでコンパイルとインストールすればいいのだが、ここはあえてyumでインストール。 epelを利用できるようにしておく必要がある。 # yum install mod_security …

実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com viande@rita-ch.com