セキュリティエンジニア　kobaさん

Wednesday, November 21, 2007

残業代が出ないので転職検討中

某スクールでセキュリティの講座を教えているのですが
残業代が出ないので、辞めようかな？と検討中。

セキュリティの詳しい話ができるエンジニアを
お探しの企業さんはご連絡ください。

Tuesday, November 13, 2007

とうとうOracleデータベースの脆弱性突くエクスプロイトが公開されました。

とうとうOracle Database 10g R2のエクスプロイトが
公開されました。

ここのところ、メジャー製品のエクスプロイトコードが
数々公開されており、若干黒い影を感じます。

さて、今回の問題では、困ることに有効な回避策はないそうです。

次回の四半期パッチは2008年1月15日のリリースになるようです。
ブラックハットの会議でもこのような問題に強気なOracle社の
方針だから仕方ないものの、パッチの緊急リリースは
すべきかもしれません。少なからず、現場は望んでいるはずです。

US-CERTによれば、この脆弱性を悪用されると、
認証された攻撃者がリモートで任意のコードを
実行することが可能になる。

セキュリティ企業iDefenseのアドバイザリーによると、
この問題は2007年2月にOracleに通報済みで、
11月2日になってエクスプロイトコードが公開されたそうです。

Oracle社の怠慢として受け取っても言い過ぎではないかもしれません。

脆弱性はOracle Database 10g R2の
「XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA」プロシージャに
関するバッファオーバーフロー問題に起因します。

Oracleからは、メインコードラインでこの問題を修正し、
今後のパッチアップデートで公開予定だとの回答が
寄せられたという。なお、Oracleの次回の四半期パッチは
2008年1月15日にリリース予定。

結果Oracleを使用しているユーザは、
パッチを待たねばなりません。

WAVEでは4月からクライアントセキュリティ講座と
サーバ管理者セキュリティ講座が展開されます。
顧客情報流失がつづいている現在に終止符を打ちませんか？

「クライアントセキュリティ講座」・・・新入社員から既存社員まで
どのようにWEBを見るべきか？またスパムへの対応、マルウエアの
説明、パスワードの脆弱性及び無線LANの脆弱性、
アンチウイルスソフトの使用方法、IEやメールソフトの設定方法
情報の持ち出しによるリスク、などなど初歩的なところから
御社の社員を鍛えます！！

「サーバ管理者セキュリティ講座」・・・
サーバの設定からクライアントの設定、ネットワークに
どのような機器を導入すればよいのかなどの
テクニカル講座です。対象は管理者向けです。

Monday, November 12, 2007

Linux Apache(子プロセス MaxRequestChild）

さて、Apacheのディレクティブの最終説明です。
結構、毎夜毎夜、記事を考えながら書くのも疲れましたが
最終なので頑張ります。

さて、子プロセスはリクエストした後、リクエスト待ち状態で
常駐します。再びリクエストを受け付けるとまた処理状態になり、
この動作を繰り返します。
すなわち、同じプロセスが待機・動作を繰り返すわけです。

しかし、同一のプロセスを長期にわたって利用すると、
場合によってはメモリを大量に消費したり異常動作をする可能性が
高くなります。その為、リクエストを指定回数処理したプロセスを
強制的に終了させるように設定できます。

その回数を設定するのが、MaxRequestChildディレクティブです。
例えば、1000回リクエストを処理したら、その子プロセスを
終了させるためには以下のように記述します。
MaxRequestChild 1000


今日はかなり巧く説明ができていたものと思いますが
いかがだったでしょうか？

まずは、WAVEでLinux研修を受けてみては！！
Linux研修　

また、的中率10△%のCCNA模擬試験を更新の方は受けてみては！？
3月からは無線LANやIPv6が範囲に入りものすごく難しくなります。
CCNA模擬はWAVEで！！

Linux Apache(子プロセス MaxSpareServers）

本日はMaxSpareServersを説明します。

リクエストを処理し終えた子プロセスは、再びリクエスト待ち状態
になり常駐します。

同時に大量のアクセスを処理した後は、待ち状態の子プロセスが多く
常駐することになります。

しかし、多くの子プロセスを常駐させておくことはリソースの消費に
繋がるため、待機することのできる子プロセスの数を
制限する必要があります。

これを実現するのがMaxSpareServersディレクティブです。
MaxSpareServersの値を超える待機プロセスは、停止されます。
例えばリクエスト待ちの子プロセスを10個までに制限したい場合は
MaxSpareServers 10とします。

次回はMaxRequestPerChildの説明をします。
今日はかなり巧く説明ができていたものと思いますが
いかがだったでしょうか？

まずは、WAVEでLinux研修を受けてみては！！
Linux研修　

また、的中率10△%のCCNA模擬試験を更新の方は受けてみては！？
3月からは無線LANやIPv6が範囲に入りものすごく難しくなります。
CCNA模擬はWAVEで！！

Saturday, November 10, 2007

フィッシング詐欺でSalesforce[オンデマンドの顧客管理システム（ CRM ）]の顧客リスト流出

Salesforce.comは、従業員がフィッシング詐欺に遭って顧客リストを
流出させた結果、顧客あてのフィッシングメールが
出回っているとして、注意を呼びかける書簡をサイトに掲載しています。

同社のある従業員がフィッシング詐欺に引っかかり、
パスワードを公開してしまったため、
顧客リストがコピーされたという。
ただし、これは同社のアプリケーションやデータベースの
脆弱性に起因するものではないと強調しています。

いわばヒューマンスキルの問題です・・・。
しかもこの会社は[オンデマンドの顧客管理システム（ CRM ）]の
会社です。

システム会社だからセキュリティに気を使って当たり前です。
顧客の情報を扱っているわけですから・・・。

流出したリストには顧客の氏名、会社名、電子メールアドレス、
電話番号、およびSalesforce.comの顧客管理用データが
記載されていました。

その結果、「少数の顧客」あてに、Salesforce.comの
請求書を装った偽メールが届き、そのうちの「ごく少数」が
パスワードを明かしてしまったそうです。

現在、サポートおよびセキュリティチームが被害に遭った
顧客対応に当たるとともに、捜査当局に通報して事実関係を
調べ、今後の被害防止措置を取っていると同社は説明しています。

さらに数日前から、キーロガーなどをこっそり
インストールするマルウェアを添付した
新たなフィッシング詐欺メールが、
顧客多数をターゲットとして出回っているそうです。

すでにフィッシングとキーロガーの複合型が出ているぐらいです。

このような問題は専門的なセキュリティチームを持っている
Salesforce.com社でも起きる問題です。

やはり専門的なセキュリティ講座を新入社員と既存社員に
受けさせるべきではないでしょうか？

WAVEでは4月からクライアントセキュリティ講座と
サーバ管理者セキュリティ講座が展開されます。

この問題に重きを置いている会社様は某アンチウイルスベンダー
出身（元テクニカルマネージャ）のこの講座を受けられてみては
いかがでしょうか。

絶対、このような問題は起きなくなります。
まずはWAVEに連絡を！！

TEL:0120-651-678
study@mswave.co.jp

4月からセキュリティ講座が展開されますが、
まずは、CCNA研修やを受けてみては！！
CCNA研修　

また、的中率10△%のCCNA模擬試験を更新の方は受けてみては！？
3月からは無線LANやIPv6が範囲に入りものすごく難しくなります。
CCNA模擬はWAVEで！！