[続報] LibreSSL

• BSDCan2014: LibreSSL
• 30-Day Status Update On LibreSSL - Slashdot
• OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014 | マイナビニュース

プロジェクト開始から30日が経ち、現在の状況や既存のOpenSSLの問題点などを公開しています。OpenSSL、ボロクソに言われております。とにかくソースコードが汚いらしい。

マルウェアとウイルス対策ソフトのイタチごっこ

• 長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア - ZDNet Japan

内容を約めすぎたタイトルなので分かりづらいのだけど、

PC上のプログラムに悪意あるコードを追加（コードインジェクション）した後自身を削除するマルウェアが存在し、それを確認するためにサンドボックス上でマルウェアを動かすわけだけど、例えば作成者が用意したサーバにアクセスできるか確認するとか、「自分が実行されているのはサンドボックスなのかどうか」を確認するようなマルウェアもあって、ほんとイタチごっこですよね。

という話のようです。

Dropboxの共有リンクが、意図しない相手に漏れる可能性

• The Dropbox Blog » Blog Archive » Web vulnerability affecting shared links
• Dropboxの共有リンク、外部のWebサイトへ筒抜け - ITmedia ニュース

ちょっと古め。

これもITMediaの記事を読んだ時一瞬「は？」と思いましたが、シナリオとしては

1. Dropbox上にある文書をAさんと共有したいので、Aさんに共有用のリンクを教える
2. Aさん、[Dropboxの共有用のURL]をクリック
3. Aさん、表示された文書に含まれるリンク（どっかのWebサイトのURL）をクリック
4. 接続先のWebサーバのログにリファラが残る
5. そのリファラが1.の[Dropboxの共有用のURL]である
6. サーバ管理者がログを見て[Dropboxの共有用のURL]を発見、アクセスする

ということのようです。これは脆弱性なのか？まあリファラを残すのはよくないということか。
記事では「Webサイトに公開される」とあるけど、「Webサーバにログが残る」ってことじゃないのかな。だいぶ大きな違いだと思うけど。

本件とは直接関係ないけど、この「共有リンク」ってリンクさえ知ってりゃ誰でも見られるので、この方法で機密性の高い文書はやりとりしないほうがいいと思います。仲間内で写真を共有するとか、それくらいがいいのではと。

Cisco 2014 Annual Security Report

• Cisco 2014 Annual Security Report
• Cisco's 2014 Annual Security Report Offers Dim Forecast - The State of Security

CiscoのCEO、オバマ大統領にNSAの活動を抑制するよう要求

• Cisco chief urges Obama to curb NSA surveillance activity | Reuters
• Cisco CEO: U.S. Should Reform Surveillance Rules - InformationWeek

スノーデンの暴露本を受けてのことのようです。暴露本には「ルータに盗聴装置が仕込まれている」と書かれているだけでどこのルータかは明記されていなかったようですが、写真に写ってるルータにシスコの社名が入ってたんだってｗ

DDoS対策用のサーバがDNSのUDP flood攻撃

• Anti-DDoS Services Leveraged for Powerful DNS UDP Flood Attacks - The State of Security
• DNS Flood of 1.5 Billion Requests a Minute, Fueled by DDoS Protection Services

we were surprised to learn that the malicious requests were originating from servers of two other anti-DDoS service providers – one based in Canada, the other in China,

DDoS攻撃対策はマシンパワーが必要で、つまりはパワフルなマシンを使っているということなので、これを攻撃者が利用してリソースを大量に食うDNS UDP flood攻撃を行った、ということみたいなんだけどそもそもどうやってそのマシンを利用したのかはよく分からなかった。普通に侵入されて、ってことなのか、このマシンはプロキシ的な役割をしていて（パケットフィルタリングしてるわけだからそうなんだろう）、DDoS攻撃なのにクエリを素通りさせてるよpgrってことなのか。

Debian squeeze および wheezy 用 dpkg におけるディレクトリトラバーサル攻撃を実行される脆弱性

• JVNDB-2014-002500 - JVN iPedia - 脆弱性対策情報データベース

Juniper ScreenOS is vulnerable to a denial of service from malformed SSL packets

• Vulnerability Note VU#480428 - Juniper ScreenOS is vulnerable to a denial of service from malformed SSL packets
• JVNVU#96603356: Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性
• Juniper Networks - Out of Cycle Security Bulletin: ScreenOS: Malformed SSL packet can cause denial of service (DoS) (CVE-2014-2842) - Knowledge Base

その他

• 萩原栄幸の情報セキュリティ相談室：ネットバンキングの不正送金被害における事情と対策 (1/3) - ITmedia エンタープライズ
• あなたの車は狙われている - 第1回 世界中で取り組みが始まった自動車情報セキュリティ：ITpro
• ユーザーを詐欺サイトに誘導する韓国語のAndroidアプリをGoogle Play上で確認 | 日立ソリューションズの情報セキュリティブログ
• AppleID不正利用？合計9万円も身に覚えのないクレカ請求をされた話 / Maka-Veli .com
• 新・情報セキュリティ人材育成プログラム（情報セキュリティ政策会議）