トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

20140423 セキュリティ情報まとめ

本日のまとめ

分類で分けてみる。なんか量が多いな今日は。

Heartbleed関連

Although OpenSSL is commonly used in the open source community, OpenSSL does not provide a stable API from version to version. For this reason, although OS X provides OpenSSL libraries, the OpenSSL libraries in OS X are deprecated, and OpenSSL has never been provided as part of iOS. Use of the OS X OpenSSL libraries by apps is strongly discouraged.

iOSはOpenSSLを使っていない。

時系列で誰が何をしたかが書かれてる。

さよならWindows XP

NIST ABANDONS CRYPTOGRAPHY ALGORITHM IN WAKE OF NSA BACKDOOR CONCERNS

嫌われるNSA

フィッシング詐欺に対する東京三菱UFJ銀行からの警告

とても参考になることが書いてあるけど、読むべき人には届かないよなあ。もういっそ銀行から偽の偽メール出して、偽リンクをクリックした人に直接警告するとかした方がよさそう。

Google is working on end-to-end encryption for Gmail

Well, According to Unknown Sources from Google confirmed that company is finally planning to take another step to ensure its users Privacy by implementing more complex encryption tools such as the secure PGP (Pretty Good Privacy).

VERIZON 2014 DBIR

[続報] Crucial military satellite systems are vulnerable to hacking

不正アクセス・情報漏洩事件

The next day after Bihar BJP's official website get hacked by hacker claimed to be from Pakistan, the official website of Senior BJP Leader LK Advani (www.lkadvani.in) also got defaced by the same hacker.

合計460万件を超える不正ログイン試行が確認されており、78,361件のアカウントにおいて、不正ログインされた可能性があります。

The problems started three days ago when large volumes of email, apparently from AOL Mail's servers, started popping up in inboxes. The spoofed emails included links to the usual spam sites selling diet fads and nostrums, and have been found in very large volumes, so AOL has moved to try and stem the tide.

15歳の少年、サンホセ国際空港で飛行機の車輪格納部に入りそのままハワイへ

A 15-year-old stowaway who survived a flight over the Pacific in a jet's wheel well spent seven hours undetected in what is supposed to be a highly secure area of San Jose International Airport before the flight departed, according to an official briefed on the investigation.

ネットセキュリティじゃないけど、物理的な不正アクセスということで。これは驚き。

プライバシー

Brazil's Senate unanimously approved groundbreaking legislation on Tuesday that guarantees equal access to the Internet and protects the privacy of Brazilian users in the wake of U.S. spying revelations.

モバイル

脆弱性・アップデート情報

IBM Notes and Domino on x86 Linux specify an executable stack

Apple セキュリティアップデート (Apple Security Update)

[続報] secret backdoor ‘TCP 32764’

Apache Struts 2

この2つは同じもの?違うもの?CVE-2014-0094?
↓これ読むと深刻な脆弱性を連発するソフトみたいですね。

読み物

Verizon's data breach report: Point-of-sale, Web app attacks take center stage | ZDNet

Hotels, retailers, and restaurants really need to lock down their point-of-sale systems, but don't have to sweat Web app attacks as much as financial services companies do.

SEC to Examine Wall Street Cyber Security Policies - The State of Security

The Security and Exchange Commission’s (SEC) Office of Compliance Inspections and Examinations (OCIE) has launched an initiative designed to examine the cybersecurity policies in place at as many as fifty Wall Street firms to determine if adequate governance and controls are in place.

脆弱性対策情報データベースJVN iPediaの登録状況 [2014年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構

脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/)」は、システム管理者が幅広いソフトウェア製品に関する脆弱性対策情報を日本語で取得し、迅速に脆弱性対策に活かせるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開したソフトウェアの脆弱性対策情報を集約、翻訳し、2007年4月25日から公開しています。

Defensive Cyberspace Operations and Intelligence - The State of Security

The objective of the DCOI, which is now an annual, high-level US-Israel cyber conference, is to contribute to an informed public discussion on cybersecurity and to promote international collaboration in the technological, legal, and policy-making domains – and the conference achieved those objectives.

韓国の旅客船沈没事故ニュース、スパムメール検出回避に利用される | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

大惨事となった今回の事故に世界が動揺している間にも、サイバー犯罪者はすでに活動を始めていました。トレンドマイクロは、このニュースが世界的に報道されてから数時間も経たないうちに、この事故に便乗したスパムメールを確認しています。

ひどい話。

その他