ブログ - ニュース・徒然カテゴリのエントリ
約1年前に書いた記事の続きなんだけど.
この時は,ネットワークが繋がらなくて困っていると言うのでオンコールを受けて出動. その会社は従業員700名くらいの会社なんだけど,システム担当はPOS担当が1名,パソコンセットアップ担当が1名.ネットワーク&セキュリティに関する知識は皆無.
まず,ネットワーク図を出させたら,トップルータが1つあるだけのシンプルさん.動作状況は,アクセスできなくなったらルータの電源をOFF/ONすると,使える様になる.しかし,30分もしないうちに使えなくなるという現象.
偶然,良く知っているヤマハのRTX1500だったのでログインするとCPUがほぼ100%になっている異常通信.
利用実態を見ようと,NATテーブルを確認するとあふれていました.RTX1500のスペック上のNATセッション数は4,096.
まさに「RTX1100で高負荷トラフィッククライアントを捜す」のドキュメント通りに実行すると,高負荷アクセスが確認できてNATテーブルが食いつぶされていました.
NATアドレステーブルをリセットすると通信が回復します.が,直ぐに埋まります.試しにTTLをデフォルトの15分から30秒に変更するとネットワーク疎通に問題が出なくなった.
とりあえずの暫定作業は終わったけれど,これからが大変だった.
この時は,ネットワークが繋がらなくて困っていると言うのでオンコールを受けて出動. その会社は従業員700名くらいの会社なんだけど,システム担当はPOS担当が1名,パソコンセットアップ担当が1名.ネットワーク&セキュリティに関する知識は皆無.
まず,ネットワーク図を出させたら,トップルータが1つあるだけのシンプルさん.動作状況は,アクセスできなくなったらルータの電源をOFF/ONすると,使える様になる.しかし,30分もしないうちに使えなくなるという現象.
偶然,良く知っているヤマハのRTX1500だったのでログインするとCPUがほぼ100%になっている異常通信.
利用実態を見ようと,NATテーブルを確認するとあふれていました.RTX1500のスペック上のNATセッション数は4,096.
まさに「RTX1100で高負荷トラフィッククライアントを捜す」のドキュメント通りに実行すると,高負荷アクセスが確認できてNATテーブルが食いつぶされていました.
NATアドレステーブルをリセットすると通信が回復します.が,直ぐに埋まります.試しにTTLをデフォルトの15分から30秒に変更するとネットワーク疎通に問題が出なくなった.
とりあえずの暫定作業は終わったけれど,これからが大変だった.
JPCERTが,Gumblarに対する分析結果をまとめたものをPDFで公開しています.
踏み台にされるWebサイト~いわゆるGumblarの攻撃手法の分析調査~
https://www.jpcert.or.jp/research/#webdefacement
Gumblarについては,ITホワイトボックスでも放送されてましたね.来年頭くらいに再放送される様です.
第13回 ::脅威!ガンブラーウイルスの正体
http://www.nhk.or.jp/itwb/2/workshop/13.html
踏み台にされるWebサイト~いわゆるGumblarの攻撃手法の分析調査~
https://www.jpcert.or.jp/research/#webdefacement
Gumblarについては,ITホワイトボックスでも放送されてましたね.来年頭くらいに再放送される様です.
第13回 ::脅威!ガンブラーウイルスの正体
http://www.nhk.or.jp/itwb/2/workshop/13.html
ECとかのWebサイトで個人情報に関係するようなデータの送受信が行われる際にSSLを使ったHTTPSによる暗号化通信が使われるのが普通です.
しかし,あえてHTTPとHTTPSの両方でアクセスできる様に設定しているサイトがあります.
15年くらい前はブラウザが,そもそもHTTPSに対応してないとかクライアント側に証明書が入ってないとかの機能不全でしかたなく用意していましたが,現在でも用意されているのは何故でしょうか?
それは簡単で,会社でプロキシーを経由して外部へアクセスしている際に,HTTPSで暗号化通信が行われると,アクセス内容のログを取得できないからです.
社内から掲示板等に誹謗中傷等の書き込みがあった場合,ログの日時等で追跡できるのですが,最後の最後,暗号化ログでは投稿内容が確認できないですからね.
つまり,ログを残す運用というアクセスポリシーを設定した場合,HTTPSで外部にアクセスされると困るので閉じてあるわけです.
あとは,会社から「ショッピングするな=私用で使うな」的なメッセージもあるとおもいますけどね.
しかし,あえてHTTPとHTTPSの両方でアクセスできる様に設定しているサイトがあります.
15年くらい前はブラウザが,そもそもHTTPSに対応してないとかクライアント側に証明書が入ってないとかの機能不全でしかたなく用意していましたが,現在でも用意されているのは何故でしょうか?
それは簡単で,会社でプロキシーを経由して外部へアクセスしている際に,HTTPSで暗号化通信が行われると,アクセス内容のログを取得できないからです.
社内から掲示板等に誹謗中傷等の書き込みがあった場合,ログの日時等で追跡できるのですが,最後の最後,暗号化ログでは投稿内容が確認できないですからね.
つまり,ログを残す運用というアクセスポリシーを設定した場合,HTTPSで外部にアクセスされると困るので閉じてあるわけです.
あとは,会社から「ショッピングするな=私用で使うな」的なメッセージもあるとおもいますけどね.
IPAがレポートを出したというので見てみました.
MFP の脆弱性に関する調査報告書
http://www.ipa.go.jp/security/fy21/reports/mfp/documents/20100830report.pdf
簡単に言うと,見落としがちな複合機のセキュリティについての話ですが,政府調達基準でもあるISO/IEC 27001準拠に対しての話です.
でも,実際,複合機のセキュリティホールを狙った攻撃は,あまり耳にした事が無いですね.
春先に,某社がPマーク保険に入るというので色々な保険屋から取り寄せてセルフ診断項目を埋めて行ってたら,1つの会社がISO/IEC 27001対応機器の導入を要求していました.
先に述べた様に政府調達基準になっているということで,普通の複合機メーカは対応しているので,非対応機種を見つけるのが難しいくらいになっているので,そんなに心配は不要なんじゃないかな.実質的に.
MFP の脆弱性に関する調査報告書
http://www.ipa.go.jp/security/fy21/reports/mfp/documents/20100830report.pdf
簡単に言うと,見落としがちな複合機のセキュリティについての話ですが,政府調達基準でもあるISO/IEC 27001準拠に対しての話です.
でも,実際,複合機のセキュリティホールを狙った攻撃は,あまり耳にした事が無いですね.
春先に,某社がPマーク保険に入るというので色々な保険屋から取り寄せてセルフ診断項目を埋めて行ってたら,1つの会社がISO/IEC 27001対応機器の導入を要求していました.
先に述べた様に政府調達基準になっているということで,普通の複合機メーカは対応しているので,非対応機種を見つけるのが難しいくらいになっているので,そんなに心配は不要なんじゃないかな.実質的に.
個人情報保護保険や契約文書を見ていて目につくのがウイルスソフト.
・事業所の設備外の機器を使用する場合には、ウイルスソフトのインストールを行い〜
・社内の全PCにウイルスソフトがインストールされていますか?
間違いなく「ウイルス対策ソフト」あるいは「アンチウイルスソフト」の事なんだろうとはおもいますが, 「ウイルスソフト」というのは,コンピュータウイルスそのものの事ですね...
ウイルスソフト比較&評価2010年版
http://www.bestsecurity.jp/
・事業所の設備外の機器を使用する場合には、ウイルスソフトのインストールを行い〜
・社内の全PCにウイルスソフトがインストールされていますか?
間違いなく「ウイルス対策ソフト」あるいは「アンチウイルスソフト」の事なんだろうとはおもいますが, 「ウイルスソフト」というのは,コンピュータウイルスそのものの事ですね...
ウイルスソフト比較&評価2010年版
http://www.bestsecurity.jp/
マイクロソフトから無料のツール.
IT 基盤 無料診断| Optimized Desktop
http://www.microsoft.com/japan/business/OptimizedDesktop/solutions/self-check/default.mspx
ツールと行ってもインストールして何かしらじゃなくて,システムの提案用稟議をするためのものだそうです.まぁ,仮に良いプロダクトを出しても,それを導入する為の決定権のある人へのアプローチをSEの人たちがうまくできると限らないので,その補佐をおこなうツールですね.
分析内容の対応がWindowsクライアントのみという制限がありますが,分析課題の参考資料として利用できそうです.
IT 基盤 無料診断| Optimized Desktop
http://www.microsoft.com/japan/business/OptimizedDesktop/solutions/self-check/default.mspx
ツールと行ってもインストールして何かしらじゃなくて,システムの提案用稟議をするためのものだそうです.まぁ,仮に良いプロダクトを出しても,それを導入する為の決定権のある人へのアプローチをSEの人たちがうまくできると限らないので,その補佐をおこなうツールですね.
分析内容の対応がWindowsクライアントのみという制限がありますが,分析課題の参考資料として利用できそうです.
セキュリティ担当者が新入社員に向けて行う研修内容をまとめたマニュアルがJPCERTで公開されてました.
JPCERT コーディネーションセンター 新入社員等研修向け情報セキュリティマニュアル
http://www.jpcert.or.jp/magazine/security/newcomer.html
これを印刷すればそのまま教育資料として使えるというものではなくて,セキュリティ担当者がこれを見てカスタマイズ,引用して新人教育や会社の上層部への提案資料として使えるかと思いました.
JPCERT コーディネーションセンター 新入社員等研修向け情報セキュリティマニュアル
http://www.jpcert.or.jp/magazine/security/newcomer.html
これを印刷すればそのまま教育資料として使えるというものではなくて,セキュリティ担当者がこれを見てカスタマイズ,引用して新人教育や会社の上層部への提案資料として使えるかと思いました.
結婚してすぐ通帳を取り上げられてから疎遠になった銀行.いつの間にか1日最大50万円までしかおろせないし,口座は持ってないけど手数料無料なので最寄りの都市銀行で健康保険料の支払いをしようとしたら本人確認の書類を書かされて免許証のコピーを取られてビックリ.
これは通称「本人確認法」と呼ばれる「金融機関等による顧客等の本人確認等及び預金口座等の不正な利用の防止に関する法律」で定められているのだそう. その取引というのは次の通り.
・金融機関と新規取引を開始する時
・200万円を超える金銭の送金・振込
・10万円を超える現金の送金・振込
今回は10万円を超える現金振込だったので本人確認が必要だったという事ですね.ちなみに,最初に保険証を出したのですが,それだと顔写真が無いのでNGだと言われました.免許証を持ってない人だっていると思うけどな. 振込先が個人とかじゃなくて健康保険組合のような,それなりの組織でも徹底的に行っているという事でしょう.
最後に個人情報取り扱いの書類をもらって完了.
国民年金をコンビにで支払うとき,総額は10万円を超えているけど請求書1枚あたりの金額が10万円以下であれば,本人確認されませんでしたね.そもそもコンビにでそこまで店員の教育も出来ないだろうし.
これは通称「本人確認法」と呼ばれる「金融機関等による顧客等の本人確認等及び預金口座等の不正な利用の防止に関する法律」で定められているのだそう. その取引というのは次の通り.
・金融機関と新規取引を開始する時
・200万円を超える金銭の送金・振込
・10万円を超える現金の送金・振込
今回は10万円を超える現金振込だったので本人確認が必要だったという事ですね.ちなみに,最初に保険証を出したのですが,それだと顔写真が無いのでNGだと言われました.免許証を持ってない人だっていると思うけどな. 振込先が個人とかじゃなくて健康保険組合のような,それなりの組織でも徹底的に行っているという事でしょう.
最後に個人情報取り扱いの書類をもらって完了.
国民年金をコンビにで支払うとき,総額は10万円を超えているけど請求書1枚あたりの金額が10万円以下であれば,本人確認されませんでしたね.そもそもコンビにでそこまで店員の教育も出来ないだろうし.
昨日,秋葉原通り魔事件の公判が放送されてましたが,時を同じくして秋葉原に町内会が監視カメラを16台設置したという報道もありました.
秋葉原の事件では犯行時間2分半で7人死亡10人負傷な短時間で実行された事件なので,カメラで異常検知や通報しても間に合いませんし,ましてや犯罪抑制にならないと思いますが,後で犯人がどのような行動をしたかを振り返る事は出来るのでしょう.
同じ様な事で昨年末にJR埼京線で痴漢防止策として防犯カメラ設置という話があって,報道当初,監視カメラを設置している事を案内したりプライバシーに配慮して運用する等と言われていましたが,そもそも駅の中,改札,通路にはこれまで何の断りも無く監視カメラだらけでいまさらお断りしても・・・という感じはあります. 電車内だけにプライバシーがあるわけじゃないので.
秋葉原の事件では犯行時間2分半で7人死亡10人負傷な短時間で実行された事件なので,カメラで異常検知や通報しても間に合いませんし,ましてや犯罪抑制にならないと思いますが,後で犯人がどのような行動をしたかを振り返る事は出来るのでしょう.
同じ様な事で昨年末にJR埼京線で痴漢防止策として防犯カメラ設置という話があって,報道当初,監視カメラを設置している事を案内したりプライバシーに配慮して運用する等と言われていましたが,そもそも駅の中,改札,通路にはこれまで何の断りも無く監視カメラだらけでいまさらお断りしても・・・という感じはあります. 電車内だけにプライバシーがあるわけじゃないので.
Adobe FlashとShockwaveとAcrobat Readerのバージョンを調べる
- ブロガー :
- ujpblog 2010/1/22 17:07
Adobe製品も新型インフルエンザ並みに?猛威をふるってるGumblarウイルスの感染の一因となっているので気を抜けないですね.
Adobe Shockwave Playerにも深刻度の高い脆弱性が発見されている様です.
Webブラウザのプラグインとなっているので,インストールされているか否か判らない場合は,以下のサイトにアクセスすれば良いです.
Adobe Shockwabe Player
http://www.adobe.com/jp/shockwave/welcome/
私の場合,インストールされていませんでした.ついでにFlash Playerも同じくサイトにアクセスすればバージョンが判ります.
Adobe Flash Player
http://www.adobe.com/jp/software/flash/about/
もう一つ,いつの間にか?AcrobatからAdobe Readerと名前を変えていたPDFビューアですが,これは従来通りのアプリケーションの操作でバージョンを確認する手順が出ています.
Adobe Reader のバージョンを確認する方法
http://kb2.adobe.com/jp/cps/831/8310.html
Adobe Shockwave Playerにも深刻度の高い脆弱性が発見されている様です.
Webブラウザのプラグインとなっているので,インストールされているか否か判らない場合は,以下のサイトにアクセスすれば良いです.
Adobe Shockwabe Player
http://www.adobe.com/jp/shockwave/welcome/
私の場合,インストールされていませんでした.ついでにFlash Playerも同じくサイトにアクセスすればバージョンが判ります.
Adobe Flash Player
http://www.adobe.com/jp/software/flash/about/
もう一つ,いつの間にか?AcrobatからAdobe Readerと名前を変えていたPDFビューアですが,これは従来通りのアプリケーションの操作でバージョンを確認する手順が出ています.
Adobe Reader のバージョンを確認する方法
http://kb2.adobe.com/jp/cps/831/8310.html
以前所属していた会社では,危機管理委員会というのがあって,まぁ会社にとって何かまずい事があったときの窓口な訳ですが,その人たちが最初にした眼に見える実績は,非常食の配布でした.
長崎のお土産でかう細長いカステラ2本くらいの箱に,賞味期限が5年くらいの食料がつめられたものです. 大災害があったら,それもって逃げろと.
結局開封する事はありませんでしたが,パッケージが英語の説明だったのと,正社員以外には配布されてなかったので,そこが生死の分かれ道・・・なんて考えたりしました.
先日訪問した会社では,椅子の背もたれに何か付けてあったのですが,よく調べると防災頭巾でした.
でも,興味を持って調べないと判らない状態ですね. たぶん配布したときは全社的に使用方法等の案内が出ていたのだと思いますがね.
長崎のお土産でかう細長いカステラ2本くらいの箱に,賞味期限が5年くらいの食料がつめられたものです. 大災害があったら,それもって逃げろと.
結局開封する事はありませんでしたが,パッケージが英語の説明だったのと,正社員以外には配布されてなかったので,そこが生死の分かれ道・・・なんて考えたりしました.
先日訪問した会社では,椅子の背もたれに何か付けてあったのですが,よく調べると防災頭巾でした.
でも,興味を持って調べないと判らない状態ですね. たぶん配布したときは全社的に使用方法等の案内が出ていたのだと思いますがね.
以前紹介した4月1日に活動を開始すると言われていたConfickerワームですが,大規模な活動は発生しなかった様です.
ただし,潜伏している事も多い様なのですが,ドメイン名にcertという文字が入っているとそこにアクセスできない様に設定されているらしく,逆にその特徴を利用した検証サイトがあります.
Conficker Eye Chart
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
このサイトにアクセスして,画像が6つ出ていればOKです.
一部でも画像が表示されなければ,Confickerワームに感染している可能性があります.
ただし,潜伏している事も多い様なのですが,ドメイン名にcertという文字が入っているとそこにアクセスできない様に設定されているらしく,逆にその特徴を利用した検証サイトがあります.
Conficker Eye Chart
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
このサイトにアクセスして,画像が6つ出ていればOKです.
一部でも画像が表示されなければ,Confickerワームに感染している可能性があります.
次の様なソフトウェアで構成されている.
1.暗号化ソフト
2.監視・制御ソフト
3.Webフィルタリング
4.電子メールフィルタリング
5.電子メールアーカイブ
6.電子メール暗号化
7.電子メール誤送信防止
8.統合ログ管理ソフト
9.サーバアクセスログ監査
10.データベースアクセス監査
11.データベース暗号化
12.プロキシ
これらが全て導入されていれば,それなりに安心なのだろうけども,いったい幾らお金がかかるのでしょうかね.
1.暗号化ソフト
2.監視・制御ソフト
3.Webフィルタリング
4.電子メールフィルタリング
5.電子メールアーカイブ
6.電子メール暗号化
7.電子メール誤送信防止
8.統合ログ管理ソフト
9.サーバアクセスログ監査
10.データベースアクセス監査
11.データベース暗号化
12.プロキシ
これらが全て導入されていれば,それなりに安心なのだろうけども,いったい幾らお金がかかるのでしょうかね.
MS08-067で修正されているRPCリクエストの脆弱性を突くワームのConfickerの活動が増えているのだそうです.
予防と復旧については,以下のURLに情報がまとめられています.(かなり手順が多い・・・)
Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
この文書の冒頭からの引用ですが,面倒な状態のものの様です.
使用しているコンピューターがこのワームに感染した場合、何も発生しないか、以下のいずれかの現象が発生します。
・アカウント ロックアウト ポリシーに障害が生じる。
・自動更新、バックグラウンド インテリジェント転送サービス (BITS)、Windows Defender、およびエラー報告サービスが無効になる。
・クライアントの要求に対するドメイン コントローラの応答が遅くなる。
・ネットワークが輻輳する。
・さまざまなセキュリティ関連の Web サイトにアクセスできなくなる。
ややこしやーですが,まず番号がMS08なので昨年でたパッチで,更に各ウイルス対策ソフトでも対応済なので,パッチを当てずにウイルス対策もしてない場合に影響しそうです. という事で,個人がターゲットになる事が多いですかね.
マイクロソフト セキュリティ情報 MS08-067 - 緊急
Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/Bulletin/MS08-067.mspx
予防と復旧については,以下のURLに情報がまとめられています.(かなり手順が多い・・・)
Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
この文書の冒頭からの引用ですが,面倒な状態のものの様です.
使用しているコンピューターがこのワームに感染した場合、何も発生しないか、以下のいずれかの現象が発生します。
・アカウント ロックアウト ポリシーに障害が生じる。
・自動更新、バックグラウンド インテリジェント転送サービス (BITS)、Windows Defender、およびエラー報告サービスが無効になる。
・クライアントの要求に対するドメイン コントローラの応答が遅くなる。
・ネットワークが輻輳する。
・さまざまなセキュリティ関連の Web サイトにアクセスできなくなる。
ややこしやーですが,まず番号がMS08なので昨年でたパッチで,更に各ウイルス対策ソフトでも対応済なので,パッチを当てずにウイルス対策もしてない場合に影響しそうです. という事で,個人がターゲットになる事が多いですかね.
マイクロソフト セキュリティ情報 MS08-067 - 緊急
Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/Bulletin/MS08-067.mspx
なんだか年度末に向けて?色々でてきてますね.IPA.
「10大脅威 攻撃手法の『多様化』が進む」を公開
http://www.ipa.go.jp/security/vuln/10threats2009.html
目次を取り出してみました.
組織への脅威
【1 位】 DNS キャッシュポイズニングの脅威 [総合:1 位]
【2 位】 巧妙化する標的型攻撃 [総合:3 位]
【3 位】 恒常化する情報漏えい [総合:5 位]
利用者への脅威
【1 位】 多様化するウイルスやボットの感染経路 [総合:4 位]
【2 位】 脆弱な無線LAN 暗号方式における脅威 [総合:6 位]
【3 位】 減らないスパムメール [総合:8 位]
【4 位】 ユーザ ID とパスワードの使いまわしによる危険性 [総合:10 位]
システム管理者・開発者への脅威
【1 位】 正規のウェブサイトを経由した攻撃の猛威 [総合:2 位]
【2 位】 誘導型攻撃の顕在化 [総合:7 位]
【3 位】 組込み製品に潜む脆弱性 [総合:9 位]
この情報セキュリティ白書2009 第鵺部とされるドキュメントで取り上げられている脅威は,個人単位でも気をつけるべき脅威に付いて記されています. ただし,一般の個人が読み解くのは難しいですね.
統合セキュリティ対策ソフトで,これらを網羅しているものはあるのでしょうか?
「10大脅威 攻撃手法の『多様化』が進む」を公開
http://www.ipa.go.jp/security/vuln/10threats2009.html
目次を取り出してみました.
組織への脅威
【1 位】 DNS キャッシュポイズニングの脅威 [総合:1 位]
【2 位】 巧妙化する標的型攻撃 [総合:3 位]
【3 位】 恒常化する情報漏えい [総合:5 位]
利用者への脅威
【1 位】 多様化するウイルスやボットの感染経路 [総合:4 位]
【2 位】 脆弱な無線LAN 暗号方式における脅威 [総合:6 位]
【3 位】 減らないスパムメール [総合:8 位]
【4 位】 ユーザ ID とパスワードの使いまわしによる危険性 [総合:10 位]
システム管理者・開発者への脅威
【1 位】 正規のウェブサイトを経由した攻撃の猛威 [総合:2 位]
【2 位】 誘導型攻撃の顕在化 [総合:7 位]
【3 位】 組込み製品に潜む脆弱性 [総合:9 位]
この情報セキュリティ白書2009 第鵺部とされるドキュメントで取り上げられている脅威は,個人単位でも気をつけるべき脅威に付いて記されています. ただし,一般の個人が読み解くのは難しいですね.
統合セキュリティ対策ソフトで,これらを網羅しているものはあるのでしょうか?
フジテレビのサイトで,ゼッケン番号か,ゴールした時間を入力すると,ゴールシーンの映像を観ることができます.
あなたのゴールシーンを無料配信!!
http://wwwz.fujitv.co.jp/sports/marathon/tm2009/goal.html
これはちょっと実質映像がアレなので,良くわかりませんが...個人情報がこんなにでちゃって良いのだろうか? 同意の上なのかな.
先日参加者したレインボーウオークでは,取材等の写真や映像にでる部分の所有権・著作権的なものは大会主催者に帰属するというような事がかかれてましたが,今回の場合はフルネームが検索できますからねぇ...
映像に映ったゼッケン番号や,ブログにゼッケン番号を書いている人もいるし. 危険だ.
あなたのゴールシーンを無料配信!!
http://wwwz.fujitv.co.jp/sports/marathon/tm2009/goal.html
これはちょっと実質映像がアレなので,良くわかりませんが...個人情報がこんなにでちゃって良いのだろうか? 同意の上なのかな.
先日参加者したレインボーウオークでは,取材等の写真や映像にでる部分の所有権・著作権的なものは大会主催者に帰属するというような事がかかれてましたが,今回の場合はフルネームが検索できますからねぇ...
映像に映ったゼッケン番号や,ブログにゼッケン番号を書いている人もいるし. 危険だ.
歴史のあるウイルススキャナとして有名なノートン先生. Norton Internet SecurityとNorton Antivirus 2006,Norton Antivirus 2007で,自動更新で配布したプログラムに署名が入っていない事で,不正なプログラムと判断されたようで,警告がでるそうです.
「ノートン先生」が大ミス、自動更新で署名のないファイルを配布
http://www.technobahn.com/cgi-bin/news/read2?f=200903112226
トレンドマイクロ問題の時の様な実害は出て無い様ですが,ウイルスとしての情報が無いので話題になった模様です.
もみ消し騒動もあったようですが,コーポレートサイトをみると,何もでていませんね.
シマンテック
http://www.symantec.com/ja/jp/
シマンテックはインターシティ(アメリカ大使館の隣の高層ビル)にあるのですが,たまに1Fのコーヒーショップに行ってました.なつかしい.
「ノートン先生」が大ミス、自動更新で署名のないファイルを配布
http://www.technobahn.com/cgi-bin/news/read2?f=200903112226
トレンドマイクロ問題の時の様な実害は出て無い様ですが,ウイルスとしての情報が無いので話題になった模様です.
もみ消し騒動もあったようですが,コーポレートサイトをみると,何もでていませんね.
シマンテック
http://www.symantec.com/ja/jp/
シマンテックはインターシティ(アメリカ大使館の隣の高層ビル)にあるのですが,たまに1Fのコーヒーショップに行ってました.なつかしい.
たくさんある,マイクロソフト製品のセキュリティ更新が必要なプログラムの情報を検出したり適用したりするソフトウェアや仕組みについての説明です.
Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja
簡単に説明すると,ソフトウェアのアップデートは以下の方法で行われます.
Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool
検知方法と配布方法の種類によって8種類あるのですが,こっちではできなくてあっちでできてみたいな機能制限があって,結局の所全てに置いてこれ1つでOKというものが無いようで複雑性を増しているようです.
検知方法は1つで,適用方法は個人用,企業用の2つで十分だと思うのですが.
Microsoft セキュリティ更新プログラムの検出と展開の手引き
http://support.microsoft.com/kb/961747/ja
簡単に説明すると,ソフトウェアのアップデートは以下の方法で行われます.
Windows Update
Microsoft Update
Office Update
Microsoft Baseline Security Analyzer (MBSA)
Windows Server Update Services (WSUS)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Systems Management Server (SMS)
Extended Security Update Inventory Tool
検知方法と配布方法の種類によって8種類あるのですが,こっちではできなくてあっちでできてみたいな機能制限があって,結局の所全てに置いてこれ1つでOKというものが無いようで複雑性を増しているようです.
検知方法は1つで,適用方法は個人用,企業用の2つで十分だと思うのですが.
Redhat 5.2で動作しているSSHDのログに,以下のようなものが記載されていました.
reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)
これはIPアドレスとFQDNが一致してない場合に出るものとの事.
1.IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
2.逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合
この1番は,良くありがちな気がしますが,2番の動きは危険な香りがしますね.
BREAK-INとは,直訳すると侵入するという意味だそうです.
reverse mapping checking getaddrinfo for XXXXXX failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)
これはIPアドレスとFQDNが一致してない場合に出るものとの事.
1.IPアドレスを逆引きしてもホスト名が割り当てられていなかった場合
2.逆引きしたホスト名を再度正引きしたら接続してきたIPアドレスと異なる場合
この1番は,良くありがちな気がしますが,2番の動きは危険な香りがしますね.
BREAK-INとは,直訳すると侵入するという意味だそうです.
2009年1月14日(水)以降にウイルスバスター2009にアップグレードを行った環境において再起動を促すメッセージが繰り返し表示される現象がでているようです.
アップデートが繰り返し実行される
ウイルスバスター2009を再インストール等で修復される様ですが,ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です.
アップデートが繰り返し実行される
ウイルスバスター2009を再インストール等で修復される様ですが,ウイルスバスター2008からウイルスバスター2009へのアップグレードはお待ちくださいとの事です.
ISO 9126というのを聞いたので,忘れる為にここにメモ.
機能性 functionality
信頼性 reliability
使用性 usability
効率性 efficiency
保守性 maintainability
移植性 portability
ソフトウェア品質に関する国際規格. 品質モデルを定義する際のフレームワークとして定義されているのですが,さらにそれぞれが下位の特性,副特性が含まれています.
開発系の仕事から離れて久しいのですが,最近はテスト専門のエンジニアの地位も確立されているんですね.
昔はテストは計画する人はSEで,実施する人はテスターという位置づけで,技能量はテスターは新人等がアサインされる等比較的低いポジションだった覚えがあります.最近はブラックボックステスト的なものを出すだけでなく,開発はしないけど仕様書,ER図の読み取りから行う様な人が居るのだそうです. 第三者チェックとして求められている技術要素も高いので,昔とは立ち位置が違うんですねー.
まぁ,ネットワークはネットワークエンジニアが分離独立している事を考えると,各工程は守備範囲毎にスペシャリストがいても不思議じゃないですな.
ただし,エンジニアとして何を自分の強みとして生きて行くかの選択も難しくなりそうですね.むかしは範囲が広かったので,色々とやってみて自分に合っている道を選ぶ事もできたかもしれませんが.
最近思うのは「いきなりネットワークエンジニア」は成り立つのか?という事です. 卒業して直ぐネットワークエンジニアみたいな経歴の人. 若い子で,プログラム作成を知らないままのネットワークエンジニアというのをたまに見かけるのですが,ちょとと違和感があります.
機能性 functionality
信頼性 reliability
使用性 usability
効率性 efficiency
保守性 maintainability
移植性 portability
ソフトウェア品質に関する国際規格. 品質モデルを定義する際のフレームワークとして定義されているのですが,さらにそれぞれが下位の特性,副特性が含まれています.
開発系の仕事から離れて久しいのですが,最近はテスト専門のエンジニアの地位も確立されているんですね.
昔はテストは計画する人はSEで,実施する人はテスターという位置づけで,技能量はテスターは新人等がアサインされる等比較的低いポジションだった覚えがあります.最近はブラックボックステスト的なものを出すだけでなく,開発はしないけど仕様書,ER図の読み取りから行う様な人が居るのだそうです. 第三者チェックとして求められている技術要素も高いので,昔とは立ち位置が違うんですねー.
まぁ,ネットワークはネットワークエンジニアが分離独立している事を考えると,各工程は守備範囲毎にスペシャリストがいても不思議じゃないですな.
ただし,エンジニアとして何を自分の強みとして生きて行くかの選択も難しくなりそうですね.むかしは範囲が広かったので,色々とやってみて自分に合っている道を選ぶ事もできたかもしれませんが.
最近思うのは「いきなりネットワークエンジニア」は成り立つのか?という事です. 卒業して直ぐネットワークエンジニアみたいな経歴の人. 若い子で,プログラム作成を知らないままのネットワークエンジニアというのをたまに見かけるのですが,ちょとと違和感があります.
グローバルIPアドレスを持ったSSH可能なマシンを設置して,何分で不正侵入の試み(ここではアタックと表現)を受けるか,試してみました.
ログイン失敗が記録されるbtmpファイルから,lastbコマンドで取り出した物で確認してみます.
設置完了して9時53分にメモの為にaaaでログインを試して最初のログを記録して,最初のアタックが11時ジャストなので約70分という事になります.
ちなみに,ここではマスクしてAtackとしていますが,この攻撃者は最初の接続から15分間のうちに345回のアタックを行ってきました.
そしてUJP IDSを導入する迄の5日間のうちに38127のアタックが行われ,平均すると,約11秒に1回のアタックを受けていることになります.
ログイン失敗が記録されるbtmpファイルから,lastbコマンドで取り出した物で確認してみます.
root ssh:notty Atack Sun Sep 21 11:00 - 11:00 (00:00)
root ssh:notty Atack Sun Sep 21 11:00 - 11:00 (00:00) ←これ
aaa ssh:notty 192.168.0.140 Sun Sep 21 09:53 - 09:53 (00:00)
aaa ssh:notty 192.168.0.140 Sun Sep 21 09:53 - 09:53 (00:00)
設置完了して9時53分にメモの為にaaaでログインを試して最初のログを記録して,最初のアタックが11時ジャストなので約70分という事になります.
ちなみに,ここではマスクしてAtackとしていますが,この攻撃者は最初の接続から15分間のうちに345回のアタックを行ってきました.
そしてUJP IDSを導入する迄の5日間のうちに38127のアタックが行われ,平均すると,約11秒に1回のアタックを受けていることになります.
