lumin

14.8K posts

lumin

@lumin

新製品開発と情報セキュリティをやっています。経済産業省主催のCTFチャレンジ優勝。クローラ/パケットキャプチャ/P2P/リバースエンジニアリング/情報漏えい/暗号解読/商品化/MOT/標的型攻撃/the movie/不正アプリ解析/IoT/暗号通貨セキュリティ/pinja/ドローン撃墜/OSINT/猫の意見

東京都墨田区Joined June 2008

5,097 Following

lumin’s posts

説明会にて講師「一番になるって重要なんですよ。日本で一番高い山は知っていますか？」学生「富士山」「それでは…」学生「( …北岳来るぞ…)」「日本で12番目と13番目に高い山は？」「はい、だれも知りませんよね。答えは中岳、中岳です」「ここまでくると名前も同じになってしまうのです。」

イオンがランサムウェアのwannacry に感染しているじゃないか。 | pic.x.com/QMb4nllWXp

Replying to

講師「日本で一番にならなくても、地方で一番になるという方法もあります。」「それでは、九州で一番高い山は？」学生「（…）」講師「だれも知らないですね。答えは、中岳です。」「地方も行っても認知度は変わらないのです。」 … 「それでは阿蘇山で2番目に高い山は、…」学生「（…中岳…）」

中学生が不正アクセスで書類送検されるんだったらいじめがあったら暴行罪でどんどん書類送検した方が良いな。

兵庫県警が利用者に黙ってGoogle Analyticsを使ってJavaScriptで個人情報をGoogleに取得させている。不正なプログラムを仕込んでいる。『プライバシーポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知する』Google アナリティクス利用規約より

The following media includes potentially sensitive content. Change settings

世界一受けたい授業のネット犯罪の授業が制作会社が悪いのかあまりに適当な感じになっていた。これ日本人ハッカーなら明日から仕事できないレベル。パスワードを01805052でいいとか解読一瞬。https なら安全とか、世界一受けてはいけない内容だった。

顔認証システムを使っていて顔情報が漏洩した場合は、顔の変更が必要です。また顔の定期変更により顔漏洩被害を少なくする必要もあります。クレジットカードの場合は漏洩した会社が変更時の再発行費用を負担をしてくれますが、顔認証の場合は顔の変更費用負担を漏洩した会社に負担させた事例がない。

ほこ×たてテレビでは地味でカットされたセキュリティ側の盾の裏側記事をアップしました。 netagent-blog.jp/archives/51945

マイナンバーカードのコピーが必要ということなので、生のICカードにデータをコピーして送った。これじゃダメだと言われたので、ICカードにカードプリンタで券面データをコピーして送ったら、原本を送らないでくださいと言われた。

2名とも不起訴になりました。やっぱサイバー事件で疑われたらすぐにITと刑事に強い弁護士に連絡すべき。（SEO対策注意) " アラートループ家宅捜索（いわゆる「兵庫県警ブラクラ摘発」）事件に関する寄付の呼びかけ #alertloop hacker.or.jp/alertloop/

組み込み系でネット接続しているやつかなり逝ったな。RTOS脆弱性 security-next.com/099690 CVE-2018-16522 CVE-2018-16525 CVE-2018-16526 CVE-2018-16528 CVE-2018-16523 CVE-2018-16524 CVE-2018-16527 CVE-2018-16599 CVE-2018-16600 CVE-2018-16601 CVE-2018-16602 CVE-2018-16603 CVE-2018-16598

パスワード付きZIPの代替案は 1. ファイル共有サービス(onedrive,gdrive,box)での受け取り人を指定した、要パスワード、閲覧のみ、ダウンロード不可など適切に指定しての提供 2. OfficeでエクスポートしたPDFの暗号化機能の使用 3. Officeの暗号化機能の使用 4. 暗号化しないzipファイルの順番です

１日で2000fav. いったら、遠隔操作ウイルスの真犯人の特定の方法をブログに書く。

いつもやっているバックドア発見の分類などについてどこかで発表した資料をアップロードした。バックドアの発見と検証

The following media includes potentially sensitive content. Change settings

セキュリティの部分は９０％以上編集でカットされていますけどね。　#ほこたて

ハックする人としない人の特徴ハックしない人「仕様ガー」「設計ガ―」「法に抵触する可能性ガー」「スキルガー」「人材ガー」ハックする人「できたよ！」

パスワード解析と認証情報の漏洩の専門家の立場からすると3が一番破りにくい。2は一番ダメで、1は2と同じケースが多いため1は良くない。正解は 4. 使わずに公開鍵認証を使った方法を使うよう

Quote

Haruhiko Okumura

@h_okumura

Jan 15, 2024

情報関係基礎、①が想定正解だとすればクレームが入りそう。パスワードは全数探索を難しくすればいいので、英字・数字・記号を混ぜなくても、ほんの少し長くすれば問題ない: (26+26+10+10)**8 < (26+26)**9

携帯電話番号が個人情報ではないということなので、日本の全携帯電話の番号を公開してみました。 packetkilling.packetblackhole.com/keitai.gz (453MB)

「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた

From xtech.nikkei.com

ブログ書きました。 Baidu IME , Simeji に関しての検証結果です。誤解がないように、半角入力のIDやパスワードは送信されません。| 入力情報を送信するＩＭＥ - NetAgent Official Blog netagent-blog.jp/archives/51969

コインチェックよりコインチェックを盗んだ犯人の暗号通貨取引所の方が透明性が高い件について。

ほこ×たて　ほこ×たてで紹介された会社を検索する視聴者　vs ほこたてのトラフィックに耐えるWebサーバ

あらかじめ言っておこう、スマホ向けのセキュリティは、最新のOSを使うのと、公式以外からアプリを入れない。これでほぼ問題なし。

現在十分な寄付が集まり、担当する弁護士も決まりました。詳細な寄付金額は現在集計中です。 #alertloop

若年層狙い撃ち。このまま寄付を終わってよいのか、支援の幅を広げないといけないのか。この件で支援が必要な方はご連絡ください。 " 不正プログラム摘発懸念の声も｜NHK 関西のニュース www3.nhk.or.jp/kansai-news/20 "

以下はセキュリティハラスメント(セキュハラ)です。 • SELinuxを有効にする • システム完成後に脆弱性検査をする • パスワードを定期的に変更させる • 脆弱性報告をする • 情報漏洩を報告する専門家には当然のことですが、相手の立場を理解して発言しましょう。

パスワードの定期変更は重要です。４桁数字の場合は、0.0003秒に1回、6文字英数字の場合は３分に一回、8文字英数字の場合は４時間に1回、８文字英数字記号の場合は1日に1回の変更が妥当な変更期間です。

テレワークに必要なもの 1. 高性能なノートPC 2. 高速なインターネット回線 3. クラウドで完結できる業務 4. 机と椅子 5. 誘惑に負けない強い心 6. 積極的な情報共有 7. 家族の理解 8. テレワークで働けない人たちの労働

今日JALの国際線に乗った時の話をすると。トイレで2回もタバコを吸ったやつがいた。2回も機内アナウンスされた。日本の航空会社機上での喫煙は年100回ほどあるが罰金が科された事例はないらしいのですが、罰金取った方が良いでしょう。トイレは火災リスクが高いので乗客全員の問題です。

情報処理安全確保支援士初期登録2万円，維持に3年で15万円決めたのは以下のメンバー(2/2) 浜田達夫日本情報システム・ユーザー協会原田要之助情報セキュリティ大学院大学三谷慶一郎ＮＴＴデータ経営研究所宮武由佳トレンドマイクロ

セキュリティやってない人には理解できないかもしれないが、「セキュリティ製品を導入しない」というセキュリティ対策も効果的なセキュリティ対策の1つです。

Replying to

ファイル名を変えるのは、TrueCryptの暗号化ドライブを使うという専門用語にするとなりますので。

情報処理安全確保支援士初期登録2万円，維持に3年で15万円決めたのは以下のメンバー(1/2) 有賀貞一ＡＩＴコンサルティング岩丸良明国立大学法人東京工業大学木内舞サイバーディフェンス研究所富永由加里日立ソリューションズ

バイトルの応募テロを検証したら。初回登録はメールアドレスの確認があるが、メールアドレスの変更時に確認がないため他人のメールアドレスが設定できるようだ。メールアドレス変更時のメールアドレス確認は必須。攻撃を受けたらバイトルにメールアドレスのみでログインできるのでログインして退会。

Stage2は WindowsXp spなしで、 ssh ,rdp他でログイン可能で、 joe pass。

SIMスワップの典型的な事例日本国内でもSMSで二要素認証やパスワードリセットといった機能をつけてはいけない理由です。

Quote

風間ゆたか東京都議会議員立憲民主党世田谷区選出

@setagaya_k

Apr 18, 2024

Replying to @setagaya_k

手続きしたところ、スマホに２段階認証のSMSが届かない。何度やっても届かない。Wi-Fiでスマホは使えるがなんでだろう？と思っていたところに、PayPay通知「24万円の決済が行われませんでした」。これはやばい、乗っ取られていると思い冷静にスマホを見ると、上部のアンテナマークが---になっている...

IPAに脆弱性を報告しても相手型に伝えるまで3週間かかったりして修正まで何ヶ月もかかるので、今の問題は即時公開しないと即時対応されない。

Replying to

侵入できるまでに2回心が折れて、ディレクターにソーシャルエンジニアリング仕掛けてやっと成功。

ZIPパスワードの解析は１秒間に100億回できるので、５分後にパスワード送信する誤送信防止用の自動ZIP暗号化サービスやアプライアンスは３兆回以内にクラックできれば勝てる。数字と小文字英数字のみで８文字以内あれば確実に勝てる。

The following media includes potentially sensitive content. Change settings

Replying to

働き方は融通が効くのでほぼリモートワークも可能です。勤務時間や日数も業務を回せる範囲であれば柔軟に対応できます。フルタイムも可能です。

英語圏のひとに雲取山ってなにかと聞かれたので、 cloud get mountain の意味で日本のクラウドコンピューティングの聖地で、USBメモリが祭られていて東京都にあると教えたら、来月行きたいとか言い出した。

あれ～、この画面、脆弱性を突かれても、侵入を防いでいるところの画面だ。blog-imgs-51.fc2.com/y/a/r/yaraon/C ほこたて

セキュリティの研究・教育に関わるときは、関係者は、日本ハッカー協会に加入しておいてください。 #sccs2023 警察が来たら弁護士付けます。 hacker.or.jp

技術が政治に負けた感があるので、ソフトバンクのファーウェイとZTEの基地局をもらい受けて、通信解析とファームウェア解析をして、本当に危険なのかオープンな場で再検証可能な状態で調査して報告したい。

The following media includes potentially sensitive content. Change settings

アナログハラスメント「アナハラ」とは、デジタルは苦手だとか心がこもっていないなどのといいはり、自分でやるべきパソコンでの作業を部下にやらせたり、私物のスマホ等のセットアップをやらせたりすること。タイポを見つけると鬼の首を取ったようにだからデジタルはと難癖をつける。

漏洩しても他で利用されにくい本人確認書類の提出方法。 1. 本人確認確認書類をクリアファイルに入れます。 2. 上から提出先名をホワイトボードマーカーで書きます。 3.写真を撮ります。 4.送ります。画像処理で消せないこともないけどすごく面倒。

とうとうWindowsまでDockerで動くのか？xpから11まで対応らしい。serverは2003-2025まで。

The following media includes potentially sensitive content. Change settings

NEMハッカーさん米国の取引所 Poloniexの hot wallet に1000XEM送る。取引所が汚染されたね。 chain.nem.ninja/#/transfer/64d

NTT コミュニケーションのDKIM/ARCチャレンジは失敗に終わったようだ。いまだDKIM未対応。(2/14) 大手企業のメールサービスでさえこんな状況、メールインフラエンジニアは希少価値だ。

DMM bitcoinの盗まれたビットコインを追跡し始めました。現時点までの追跡は完了これからどう動くかな。犯人の追跡依頼はないけど。

一番詳細な記事です。２日でやった結果。 Zaif不正出金事件の犯人追跡につながる証拠、JDDやエルプラスが特定

Zaif不正出金事件の犯人追跡につながる証拠、JDDやエルプラスが特定 (1/3)

4桁数字ではあっという間ですね。某セキュリティ会社は6桁数字でしたのでpikaZipで1分掛からなかったのでパスワードが来る前に割っていました。

Quote

Haruhiko Okumura

@h_okumura

Dec 5, 2020

Zipファイルクラックの実験: Mac mini (2018) 3.6 GHz Core i3 では 534 ms，M1 MacBook Air で Rosetta 環境では 319 ms，ネイティブでは 191 ms oku.edu.mie-u.ac.jp/~okumura/pytho

ダークウェブにアクセスすると危険と言っている人は、インターネットにアクセスすると危険なのでインターネットにアクセスしない方が良いと思う。インターネットの方がダークウェブより危険なサイトの数が多いのです。

ダメなセキュリティ会社「PCがLenovo」イケてるセキュリティ会社「Let's NoteかMac」ダ「添付ファイルはzip後からパスワード送信」イ「Onedrive でファイルに暗号」ダ「オープンソースのみで脆弱性診断」イ「作業効率のいい有償のソフトを使い分け」ダ「人海戦術でログ検査」イ「AIでログ検査」

DDoSを防ぐコストは、攻撃するコストの1000倍ぐらいなので、攻撃されたときのみ対応するのが一般的な対策です。もしくは、米国に魂を売る対策もあり。

Replying to

実際はそれやってたんですが。 > TrueCryptで暗号化されたドライブをクラック