2014年の10月23日、こんな記事を書きました。 記事は「JALさん、お願いですから英数字のパスワードの導入を！！！」という魂の叫びで締められているわけですが、ついに！2015年9月29日より、JALマイレージバンクでもパスワードが導入されることになりました…

【2017/05/25 追記】日本クラウドセキュリティアライアンス（CSAJC）に対応しました。 【2017/05/17 追記】重要生活機器連携セキュリティ協議会（CCDS）に対応しました。 以下のような、公共性の高いドキュメントを楽に集めたい。nekotricolor.hatenablog.co…

ガイドライン、マニュアル、指針、報告書など、文書としてネットに公開されたものをちまちまと集めていたので、せっかくなのでまとめて公開してみたいと思います。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱…

OllyDbgを使ってx86アセンブラを学ぶシリーズ第六話を公開しました。投げ銭方式なので最後まで無料で読めます。 今回はスタック領域のキモとなるEBPとESPについての説明です。こういう、単純だけどスマートな仕組みが大好きです。第六話：EBPとESP、スタック…

情報セキュリティポリシーは、基本方針（狭義のポリシー）、対策標準（スタンダード）、実施手順書（プロシージャ）の3つからなります。基本方針は偉い人の「頑張りまーす」という宣言なのであまり口は挟めず、実施手順書はマニュアルなのでわざわざ集めなく…

【2020/02/26更新】加筆修正を加えた2020年版を新記事を作成しました。この記事はもう更新しませんので、以下の記事をご覧ください。security.nekotricolor.com個人的なブックマークをどこでも使えるようにここに公開しておこうと思います。 政府機関 サイト…

OllyDbgを使ってx86アセンブラを学ぶシリーズ第五話を公開しました。投げ銭方式なので最後まで無料で読めます。 今回は、スタックの仕組みとLIFOについて、@nekotricolorが初めて習ったときに感じたことを率直に書いております。第五話：スタックとLIFO、だ…

Pythonベースのソフトウェア解析ツールBinary Ninjaのプロトタイプが公開されました。Binary Ninjaバイナリエディタや逆アセンブラなどがセットになっていて、近日公開のフルバージョンではシェルコードコンパイラ（shellcode2exe.pyみたいな、シェルコード…

無線LANのセキュリティって分かりづらいよね。と思っていて調べてみたら、どうも 暗号化アルゴリズム 完全性の検証方法 規格名 などが同次元に語られるせいで無駄に複雑になっているように思われます。 そこで、いくつかの切り口でまとめてみました。 とりあ…

OllyDbgを使ってx86アセンブラを学ぶシリーズ第四話を公開しました。投げ銭方式なので最後まで無料で読めます。 ここから、古き良きバッファオーバーフローを利用した攻撃でキモになるCALL命令の説明に入ります。第四話：CALL命令で起こること | トリコロー…

OllyDbgを使ってx86アセンブラを学ぶシリーズ第三話を公開しました。WindowsのASLR（Address Space Layout Randomization：アドレス空間配置のランダム化）をデバッガで見てみました。まさに百聞は一見に如かず。第三話：ASLRの意味をデバッガで見てみる | …

Pickup 懐かしのAlephOne。VERT Vuln School: Stack Overflow 101 I still remember my first time reading AlephOne’s ‘Smashing the Stack for Fun and Profit' 私もよく覚えてます。「クラシック：趣味と実益のスタック破壊」というタイトルで日本語訳が…

Pickup 遠隔操作ウイルスの話がwelivesecurityで取り上げられていました。江ノ島の猫動画も貼られています。The utterly crazy story of the death threat hacker The utterly crazy story of the death threat hacker Brace yourself, as this is one of th…

OllyDbgを使ってx86アセンブラを学ぶシリーズ第二話を公開しました。デバッガのメモリマップからコードとスタックが書かれている場所を見てみようという話です。軽い話なんで無料で最後まで読めます。第二話：メモリマップから見るコードとスタックの場所 | …

Pickup 中国のグレイトファイアウォールがVPNサービスをブロックし始めたそうです。VPN services blocked by China's Great FirewallVPN提供企業も必死です。 "Further, we have noticed both our New York and Miami server locations are still very acces…

Pickup 久々に日本（企業）の話。富士通がサイバー攻撃に遭いやすい人を判定する技術。Snoopy Fujitsu tech KNOWS you'll click that link – before YOU doSCISで発表されたようです。富士通、“サイバー攻撃に遭いやすいユーザー”を判定できる技術を開発もう…

週間海外セキュリティニュース #8 15/01/11〜15/01/17 - トリコロールな猫/セキュリティでも言及したイギリスとアメリカのサイバー戦争訓練の話です。面白そうなのでウォッチしたいと思います。 随時更新予定です。US and UK declare red-team CYBER WAR – o…

ピックアップ 先週は英キャメロン首相と米オバマ大統領が首脳会議をやったのに伴いイギリス・アメリカのネタが多いんですが、中でもイギリスとアメリカが訓練のためにサイバー戦争ごっこするって話がすごく面白そう。 ここでもよく出てくる英GCHQ（政府通信…

年末年始分はガン無視して1月4日分から。Sony Picturesがようやく下火になってきたと思ったら今度はBitcoinネタが。 United States 7 FTC chair worries about IoT privacy in CES speech • The Register USPS Reports Healthcare Breach for 485K Employees…